大学数字化校园身份认证平台设计方案

大学数字化校园身份认证平台设计方案

抄投标文件

招标文件：

1.1.1.1.总体架构

随着学校数字化校园应用建设的逐步深入，已经建成的和将要建成的各种应用系统存在不同的身份认证方式，安全信息各自管理，广大师生用户必须记忆不同的密码和身份。为了解决多账户问题，方便老师和学生使用数字化校园的各个应用管理系统，迫切要求建立一套统一的身份管理平台，用户只需要在平台上登录一次就可以使用所有的数字化校园内的应用软件系统。

在本次设计中，企业公司考虑到学校的应用环境的复杂性，也为了更好的保护学校的投资，建议学校建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系，将组织机构信息、用户身份信息统一管理，进行分级授权和集中身份认证，规范应用系统的用户认证方式。

这种设计，提高了应用系统的安全性和用户使用的方便性，实现全部应用的单点登录。即用户经统一应用门户登录后，从一个功能进入到另一个功能时，系统平台依据用户的角色与权限，完成对用户的一次性身份认证，提供该用户相应的活动“场所”、信息资源和基于其权限的功能模块和工具。在学校工作人员进行了调动、调级、调职等变更后，或者学校体制改革、组织机构变动后，使用户的身份和权限在各系统之间协调同步，减少应用系统的开发和维护成本。

教务系统办公系统校园卡图书馆学生系统门户系统其他D ire c to r y

生命周期管理

在针对本项目设计中，企业公司引入身份信息的生命周期管理，通过身份访问管理系统展现出身份和可访问的系统资源的对应关系，在底层使用身份同步适配器，及时将各业务系统的身份、用户信息同步到LDAP 服务器和身份信息数据库中。学校所有的数字化校园访问用户的信息，都来自于相关的业务系统，如，教师信息来源于人事管理系统，学生信息来自于学籍管理库中。

这样，将用户的基本信息的管理放入各自业务系统中，使身份认证平台关注于机构、角色和权限模型的建立及管理上，进而提高了系统的安全可靠性。

1.1.1.

2. 认证数据存储

目录服务是统一身份认证平台的基础。学校所有的用户信息分别存放在LDAP 目录服务和数据库中，通过可靠的机制完成两者的同步；用户身份信息在目录服务中以层次结构，面向对象的数据库的方式集中存储管理，从而保证身份数据的一致性和完整性，为校园各类应用提供基础的一致的用户信息访问。

在LDAP 服务器产品中，我们使用基于标准的LDAP 目录服务器进行身份信息同步存储，并利用LDAP 的标准协议接口实现和其他应用系统的身份认证管理。

《图LDAP用户信息管理》

《图LDAP身份信息管理》

用户在身份管理中可以进行各种角色的分类：教师、学生、校友、临时人员；校领导、处长、部门信息员；本科生、研究生等等。在原有的数字化平台中，对于教职工和学生，平台还不支持按照一定查询条件批量导出，新的人员还不能智能的、批量的生成平台账号。

在新的平台中将实现这些功能。对于平台的账号，在公共数据库中有相关数据与其对应，利用数据交换平台中的导入导出工具即可以实现这些功能。

下图是新进教职工批量生成平台账号的示例。

《图批量生成账号示意图》

对于新进教工，数据来源于人事处的人事管理系统，通过数据交换平台的机制对数据进行加载、处理、转换等一系列操作，解析出新进人员数据，再由系统job自动触发在LDAP 中生成账号，并且将这些人员数据回写到个业务系统中去，完成一个自动的、完整的数据流程，批量的生成这些人员的账号和密码。

1.1.1.3.认证流程

1.1.1.3.1.门户平台认证流程

数字化校园门户系统的统一身份认证可以通过统一资源目录服务中存储的用户ID、口令以及系统登录信息来认证用户身份并登录门户系统。其认证过程如下：

《图统一身份认证及门户关系》

1、用户通过UID+PASSWORD进行系统登录；

2、PORTAL SERVER通过IDS API从LDAP SERVER 进行用户身份认证；

3、如本地LDAP SERVER没有整个用户信息，则根据LDAP SERVER的REFERRAL所设定的LDAP SERVER去进行身份认证；

4、远端LDAP SERVER将身份认证信息返回给PORTAL POLICY；

5、经过验证的用户返回到PORTAL POLICY，POLICY的授权模块根据用户角色提供相应的功能及个性化定制；

6、POLICY提供相应的功能及个性化定制内容返回给PORTAL；

7、内容通过PORTAL展现给用户BROWSER。

1.1.1.3.

2.应用系统认证流程

现有应用系统和待建系统包括业务、管理等系统。统一用户管理与授权系统中可存放这些系统的配置信息，对新建应用系统使用统一资源管理进行人员身份认证，也可进行访问权限控制和进行单点登录等，对原有系统人员基本信息可与目录服务中的人员基本信息进行统一和同步。

登录数字化校园门户系统的用户可以访问门户连接的应用系统，可以通过访问鉴权来实现，这是通过统一资源系统中存储的用户系统登录和授权信息来完成单点登录各应用系统。其登录流程如下：

《图统一身份认证及管理系统关系》

1、用户通过UID+POSSWORD进行系统登录；

2、PORTAL SERVER通过IDS API从LDAP SERVER 进行用户身份认证；

3、LDAP SERVER将身份认证信息及用户角色返回给PORTAL POLICY；

4、POLICY根据角色所对应的应用系统访问控制信息提供给PORTAL Servlet；

5、PORTAL Servlet作为应用的客户端请求应用系统；

6、应用系统返回请求结果；

7、PORTAL Servlet返回应用系统的请求结果到用户BROWSER。

1.1.1.4.认证方式

统一认证系统主要是为其它系统提供认证服务，用户只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。

统一认证管理特点:

◆支持LDAP或数据库的认证方式。

◆灵活的认证策略管理，如：匿名认证方式、用户名/密码认证、PKI/CA数字证书认证、

IP地址认证、时间段认证、验证码等。

◆支持密码找回功能，发送新密码到邮件里。

◆认证的客户端支持多种开发语言，包括Java、.Net、ISAPI、PHP、Perl、Acegi、

Ruby、VBScript等客户端。

◆提供第三方系统认证的web services接口。