统一身份管理系统单点登录和身份同步接入规范

国网统一身份管理系统单点登录和身份同步接入规范

项目名称<国网统一身份管理系统>

文档类别<接口规范>

文档编号<>

版本<>

密级<>

二〇二二年四月二十五日

目录

一、国网统一身份管理系统介绍 (3)

1.1 系统概述 (3)

1.2 单点登录流程 (4)

1.3 单点登录接入方式 (5)

二、国网应用系统单点登录集成 (6)

2.1国网应用系统集成分类 (6)

2.2应用系统权限管理模式 (7)

2.3单点登录集成要求 (9)

2.4 单点登录集成流程 (12)

三、身份同步规范 (15)

3.1用户身份数据流 (15)

3.2帐号管理流程 (16)

3.2.1帐号创建流程 (16)

3.2.2帐号更新流程 (16)

3.2.3帐号删除/禁用流程 (16)

3.3帐号的身份同步 (17)

3.4数据库改造 (17)

一、国网统一身份管理系统介绍

1.1 系统概述

单点登录

目录系统

管理模块

应用系统认

应用系统

由上图可见国家电网统一身份管理系统由单点登录和目录管理两部分构成。其中单点登录采用的是Novell的单点登录产品Access Manager，其单点登录通过Access Manager访问网关、单点登录认证管理模块、认证目录三部分协作实现。统一身份管理系统中的目录包含三类：认证目录、资源目录和身份目录。

认证目录是专用于Novell Access Manager做用户认证使用的目录，目录中包含所有登录总部门户的用户。用户核心属性是用户名、密码以及单点登录到应用系统的帐号和密码。

资源目录是国网总部部门数据以及应用权限数据的权威数据源。在该目录下管理用户所属的组织机构信息、各应用系统的信息、各应用系统的分组角色信息等。组织机构信息、应用系统信息、分组角色信息等可供各应用系统认证管理模块做权限管理。资源目录中的用户核心属性是用户名、OU。

身份目录是国网用户的权威数据源。所有国网总部的用户都从身份目录中开始创建、修改、删除。该目录下的用户具有最全面的用户信息，它实时向认证目录和资源目录中同步用户信息。

1.2 单点登录流程

对于Novell Access Manager产品实现的应用系统单点登录，其流程如下：

1、用户访问某个应用系统的单点登录url；

2、Novell访问网关截获该访问请求，展示统一的单点登录页面；

3、用户在统一的单点登录页面中输入统一的认证用户名和密码（即在认证目录中的用户名和密码）；

4、单点登录认证管理模块获取用户的录入信息，并与认证目录中的用户名和密码进行匹配验证，如果验证失败则返回：用户登录失败；

5、验证通过后，单点登录认证管理模块将用户请求的应用系统url与内部的访问控制管理策略匹配，如果发现用户排除在允许访问的策略之外则返回：用户对指定资源的访问遭到拒绝；

6、用户验证通过后，同时也被内部策略允许访问指定的资源，则单点登录认证管理模块从该用户的映射信息中提取出当前用户在指定应用系统的认证信息，提交给应用系统的认证管理模块；

7、应用系统的认证管理模块验证接收到的用户映射信息，不通过则返回给单点登录认证管理模块，然后由单点登录认证管理模块自动删除认证目录中记录的错误映射信息，并要求用户填写正确的映射信息；

8、应用系统的认证管理模块验证用户映射信息通过，则向用户展示已登录信息，表示用户通过统一的认证入口单点登录到指定的应用系统中；

9、如果用户在已登录的应用系统中链接访问其他应用系统，由于用户已经通过统一的认证入口，因此用户对其他应用系统的访问将依照第5步开始单点登录到任意授权访问的应用系统中。

由以上过程可知，单点登录过程要跨越两个认证过程：统一的认证入口和应用系统的认证管理模块。在认证完成后，有两处可以控制用户的访问权限，分别是通过统一认证管理模块和应用系统认证管理模块来控制，其中应用系统认证管理模块可以进一步使用分组和角色的方式来管理用户的访问权限。统一认证管理模块只能在访问控制策略中根据认证目录中的用户属性来控制哪些用户被允许或者被拒绝访问哪些Web资源（即应用系统url集合）。

1.3 单点登录接入方式

根据Novell单点登录产品的特性，目前支持两种方式的单点登录接入方式：FormFill 自动填表方式和身份注入。这两种方式都可以实现在统一认证完毕后，把特定信息（用户LDAP属性信息或者与应用系统用户的映射信息）传递给应用系统自身的认证模块来实现单点登录。

1.3.1 FormFill自动填表

通过表单进行登录的应用系统在登录时均有一个登录页面，可以对该登录页面上需要提交的表单项设置自动填表策略。

例如，在某个登录页面中，用于实现登录的表单的名称为：login，需要提交的用于表示用户名的变量名为：username,用于表示用户密码的变量名为password,那么填表策略就可以设置如下：

该策略工作的方式：当用户访问到该页面时，如果该用户有权限访问该页面（由AM的保护资源设置决定），该策略首先确定该页面是否存在login这个表单，如果存在，就将策略里面定义的username,password填写到login表单对应项中（由AM的FormFill 策略决定），并模拟用户自动提交表单。

应用系统接收到登录页面提交的用户信息后，应用系统认证模块验证用户名和密码，通过后返回登录成功的页面。也就是说，应用系统使用自身的认证模块来认证用户，AM实现单点登录的方式是模拟用户填写表单并提交。

统一认证系统只负责判断用户是否允许访问资源以及传递后台应用系统所需要的信息。