統(tǒng)一用戶管理與認(rèn)證平臺(tái)需求說(shuō)明書(shū)資料

1、南山區(qū)教育信息網(wǎng)應(yīng)用系統(tǒng)統(tǒng)一用戶管理與認(rèn)證平臺(tái)需求說(shuō)明書(shū)項(xiàng)目及文檔信息發(fā)布日期：2008-9-30項(xiàng)目名稱南山區(qū)教育信息網(wǎng)應(yīng)用系統(tǒng)合同號(hào)項(xiàng)目合同編號(hào)項(xiàng)目經(jīng)理?xiàng)罹摭埧蛻糌?fù)責(zé)人石義琦文檔編號(hào)項(xiàng)目代號(hào)-文檔類型-流水號(hào)模板編號(hào)版本信息* A代表新增，M代表修改，D代表刪除版本號(hào)發(fā)布日期提交人審閱人A.M.D更新位置更新摘要1.02008-9-30A擬初稿1引言 31.1 編寫(xiě)目的 31.2 背景 31.3 定義 31.4 參考資料 42任務(wù)概述 42.1 目標(biāo) 42.2 用戶的特點(diǎn) 42.3 假定和約束 53需求規(guī)定 53.1 對(duì)功能的規(guī)定 53.1.1統(tǒng)一用戶管理 53.1.2統(tǒng)一認(rèn)證與單點(diǎn)登錄

2、73.1.3 應(yīng)用系統(tǒng)自身的用戶及認(rèn)證管理 83.2 對(duì)性能的規(guī)定 83.2.1精度 83.2.2時(shí)間特性要求 83.2.3靈活性 93.3 輸人輸出要求 93.3.1用戶信息 93.3.2 認(rèn)證信息 93.4 數(shù)據(jù)管理能力要求 93.5 故障處理要求 93.6 其他專門(mén)要求 94 運(yùn)行環(huán)境規(guī)定 94.1設(shè)備 94.2 支持軟件 104.3 接口 104.4 控制 101 引言1.1 編寫(xiě)目的本文檔的編寫(xiě)目的在于確定南山教育信息網(wǎng)統(tǒng)一用戶管理與認(rèn)證平臺(tái)的需求內(nèi)容， 成為 后續(xù)開(kāi)發(fā)建設(shè)和驗(yàn)收的依據(jù)。1.2 背景在應(yīng)用系統(tǒng)的建設(shè)中， 用戶身份和認(rèn)證信息的管理是最關(guān)鍵的一部分。 但是由于需求總 是在

3、不斷變化和發(fā)展， 應(yīng)用系統(tǒng)也會(huì)不斷的增加或淘汰。 因此， 應(yīng)用系統(tǒng)通常都是在不同平 臺(tái)上、由不同開(kāi)發(fā)商開(kāi)發(fā)， 使用的技術(shù)不一致， 容易造成每套系統(tǒng)都有獨(dú)立的用戶身份管理， 登錄不同應(yīng)用系統(tǒng)需要多次登錄。對(duì)于用戶來(lái)說(shuō)，每增加一個(gè)新的應(yīng)用，需要記憶一套新的用戶名/密碼，負(fù)責(zé)的業(yè)務(wù)范圍越大，需要記憶的用戶名 /密碼組越多。設(shè)定一樣的密碼，不夠安全；密碼設(shè)定不一樣， 記憶困難，每次訪問(wèn)應(yīng)用系統(tǒng)，需要重復(fù)輸入用戶名/密碼，在一個(gè)系統(tǒng)中修改了密碼，其他系統(tǒng)的密碼不會(huì)隨之改變。對(duì)于系統(tǒng)管理員而言， 沒(méi)有一個(gè)統(tǒng)一的用戶管理系統(tǒng)， 就會(huì)在新進(jìn)人員時(shí)， 需要到眾多 系統(tǒng)中逐一建立帳號(hào)； 人員離職時(shí)， 需要到眾多系

4、統(tǒng)中逐一刪除帳號(hào)， 給系統(tǒng)管理員的工作 造成了繁重負(fù)擔(dān)，還容易造成各系統(tǒng)中人員身份信息的不一致。對(duì)于南山區(qū)學(xué)校領(lǐng)導(dǎo)、 教師和學(xué)生等用戶， 由于其可以享受大量教育資源服務(wù)， 為防止 他人冒名頂替、盜用資源，故須對(duì)這些“合法”用戶要進(jìn)行統(tǒng)一的實(shí)名認(rèn)證。1.3 定義統(tǒng)一認(rèn)證平臺(tái)： 南山教育信息網(wǎng)的應(yīng)用支撐性平臺(tái)， 包括了統(tǒng)一用戶、 應(yīng)用資源的管理 以及各應(yīng)用資源的統(tǒng)一認(rèn)證管理。統(tǒng)一用戶管理： 負(fù)責(zé)管理南山教育信息網(wǎng)全體實(shí)名用戶的身份管理，并分配各分項(xiàng)應(yīng) 用子系統(tǒng)中具有使用權(quán)的用戶，將統(tǒng)一用戶信息同步到應(yīng)用子系統(tǒng)中。統(tǒng)一認(rèn)證： 負(fù)責(zé)南山教育信息網(wǎng)的統(tǒng)一用戶認(rèn)證以及單點(diǎn)登錄支持， 用戶通過(guò)平臺(tái)統(tǒng)一登錄之

5、后可以單點(diǎn)登錄訪問(wèn)其權(quán)限范圍內(nèi)的各分項(xiàng)應(yīng)用子系統(tǒng)， 單點(diǎn)登錄需要各應(yīng)用系統(tǒng)支 持統(tǒng)一認(rèn)證接口。1.4 參考資料招標(biāo)文件南山區(qū)教育信息網(wǎng)應(yīng)用系統(tǒng)軟件開(kāi)發(fā)與集成服務(wù)2 任務(wù)概述2.1 目標(biāo)（1）用戶組織與權(quán)限管理：建立一套有效的用來(lái)管理網(wǎng)絡(luò)資源、用戶身份的平臺(tái)，實(shí) 現(xiàn)組織、 用戶和資源的集中管理和授權(quán)， 管理員不再分散管理用戶， 系統(tǒng)具有很高安全性和 靈活性。（2）統(tǒng)一認(rèn)證管理：?jiǎn)吸c(diǎn)登錄功能是實(shí)現(xiàn)統(tǒng)一身份認(rèn)證系統(tǒng)的首要目標(biāo)，實(shí)現(xiàn)讓用戶 在經(jīng)過(guò)一次網(wǎng)絡(luò)身份驗(yàn)證后， 就可以訪問(wèn)所有授權(quán)的網(wǎng)絡(luò)資源， 而不需要額外驗(yàn)證， 支持多 種認(rèn)證方式（用戶名密碼、證書(shū)、 USB ）。這里的網(wǎng)絡(luò)資源，主要是指基于 W

6、eb方式的應(yīng)用 系統(tǒng)。（ 3）應(yīng)用系統(tǒng)管理：在實(shí)現(xiàn)了用戶統(tǒng)一認(rèn)證的基礎(chǔ)上，制定出一套規(guī)范的用戶單點(diǎn)登 錄機(jī)制， 提供用戶身份統(tǒng)一訪問(wèn)接口， 要求所有新建且可以經(jīng)過(guò)統(tǒng)一身份認(rèn)證系統(tǒng)認(rèn)證的應(yīng) 用系統(tǒng)， 涉及的賬號(hào)一定是統(tǒng)一身份認(rèn)證系統(tǒng)的用戶帳號(hào)。 這些應(yīng)用系統(tǒng)必須被統(tǒng)一身份認(rèn) 證系統(tǒng)所管理，管理平臺(tái)設(shè)置可以訪問(wèn)此應(yīng)用系統(tǒng)的用戶、組織或角色等。（ 4）舊系統(tǒng)策略：提供自動(dòng)代理登錄（自動(dòng)登陸到其它目標(biāo)業(yè)務(wù)系統(tǒng)）功能，實(shí)現(xiàn)統(tǒng) 一用戶可以單點(diǎn)登錄舊系統(tǒng)，代理登陸所需要的用戶信息保存在獨(dú)立數(shù)據(jù)庫(kù)中。（ 5）日志管理：可以查看用戶登錄以及用戶同步的日志記錄。2.2 用戶的特點(diǎn)南山教育信息網(wǎng)的用戶涉及到南山教育

7、局以及下屬的各個(gè)學(xué)校和機(jī)構(gòu)的全體用戶，具體包括：約 1萬(wàn)的教職工用戶，約 10萬(wàn)的中小學(xué)生用戶、約 10 萬(wàn)的家長(zhǎng)用戶。 所有這些用戶 都將由統(tǒng)一認(rèn)證平臺(tái)統(tǒng)一管理， 平臺(tái)管理員有權(quán)管理所有的用戶信息， 而各個(gè)單位 （如某個(gè) 學(xué)校）的管理員可以管理本單位的用戶信息， 普通的用戶可以使用自己的帳號(hào)通過(guò)平臺(tái)進(jìn)行 統(tǒng)一登錄， 然后單點(diǎn)式的訪問(wèn)南山教育信息網(wǎng)類自身具有權(quán)限的應(yīng)用系統(tǒng)資源， 不再需要為 訪問(wèn)某一個(gè)應(yīng)用系統(tǒng)而分別輸入用戶、密碼。2.3 假定和約束南山教育信息網(wǎng)具備全局的統(tǒng)一用戶庫(kù)， 各分項(xiàng)的應(yīng)用子系統(tǒng)可以仍然具備自身的用戶 體系， 但用戶信息源于統(tǒng)一用戶庫(kù)， 用戶的產(chǎn)生由統(tǒng)一用戶管理負(fù)責(zé)，

8、各應(yīng)用系統(tǒng)接收平臺(tái) 發(fā)送的用戶同步信息。各應(yīng)用系統(tǒng)必須提供相關(guān)的接口以支持單點(diǎn)登錄， 對(duì)于已有的應(yīng)用系統(tǒng)而言， 通過(guò)基于 用戶映射的代理訪問(wèn)方式，不需要單獨(dú)開(kāi)發(fā)單點(diǎn)登錄接口。3 需求規(guī)定3.1 對(duì)功能的規(guī)定3.1.1 統(tǒng)一用戶管理平臺(tái)提供南山教育信息網(wǎng)全體實(shí)名用戶的用戶資料信息集中存儲(chǔ)， 這些資料由統(tǒng)一用戶 認(rèn)證平臺(tái)集中管理， 平臺(tái)管理員可以維護(hù)所有人員的用戶信息， 各單位的管理員只能維護(hù)其 本單位的用戶信息。用戶的信息包括應(yīng)包括 3 個(gè)層面的含義： 1、用戶的人事類基礎(chǔ)信息，諸如姓名、性別、 戶籍、身份證、職務(wù)、聯(lián)系電話、電子郵箱、學(xué)歷、學(xué)位等等，這些信息不涉及安全登錄， 但可以作為用戶登錄

9、帳號(hào)信息的生成來(lái)源。2、用戶的帳號(hào)信息，諸如登錄帳號(hào)、密碼、密碼有效期、 登錄方式等， 這些信息涉及安全登錄， 在進(jìn)行用戶認(rèn)證時(shí)， 構(gòu)成校驗(yàn)信息的主體。 3、權(quán)限信息，指用戶可以訪問(wèn)哪些應(yīng)用系統(tǒng)資源。統(tǒng)一用戶管理具體由以下功能組成。3.1.1.1 人事信息管理人事信息資料的管理是帳號(hào)管理體系的基礎(chǔ)工作， 它具有對(duì)學(xué)生人事信息和教職工信息 （含局機(jī)關(guān)） 的管理職能， 提供人事信息查詢、 修改、統(tǒng)計(jì)、增加、 檢驗(yàn)、 帳號(hào)查詢等功能。系統(tǒng)應(yīng)支持從 Excel 批量導(dǎo)入人事信息的功能， 同時(shí)也支持針對(duì)單個(gè)個(gè)體的創(chuàng)建及維護(hù) 功能，便于管理。3.1.1.2 帳號(hào)信息管理 帳號(hào)管理是整個(gè)統(tǒng)一用戶管理體系的核

10、心，它負(fù)責(zé)用戶登錄帳號(hào)的生成、注冊(cè)、掛失、 解掛、維護(hù)等功能。帳號(hào)信息至少包括登錄帳號(hào)、 密碼等， 作為與應(yīng)用系統(tǒng)進(jìn)行用戶同步的基礎(chǔ)， 帳號(hào)信息 也包含了主要的一些人事類信息，如姓名、性別、身份證、民族、籍貫、職務(wù)等。用戶的帳號(hào)必須唯一， 同時(shí)其密碼的設(shè)定應(yīng)不能過(guò)于簡(jiǎn)單， 安全起見(jiàn)應(yīng)具備一定的復(fù)雜 度。對(duì)于用戶個(gè)人來(lái)說(shuō)，應(yīng)該具備密碼修改的功能，保證其帳號(hào)的安全性。3.1.1.3 應(yīng)用系統(tǒng)管理作為用戶管理主體， 統(tǒng)一用戶認(rèn)證平臺(tái)負(fù)責(zé)了整個(gè)南山教育信息網(wǎng)的全體用戶信息的管 理，各分項(xiàng)的應(yīng)用系統(tǒng)受平臺(tái)管理約束， 各系統(tǒng)的用戶信息來(lái)源于統(tǒng)一用戶， 為了將統(tǒng)一用 戶信息分配到各個(gè)子系統(tǒng)， 需要將應(yīng)用系統(tǒng)

11、注冊(cè)到平臺(tái)之中， 并記錄各系統(tǒng)支持用戶信息同 步的接口。3.1.1.4 用戶權(quán)限管理 南山教育信息網(wǎng)的用戶并不是可以訪問(wèn)全部的應(yīng)用系統(tǒng)，因此必須具有相關(guān)的權(quán)限管 理。統(tǒng)一認(rèn)證平臺(tái)的用戶權(quán)限管理并不涉及到用戶對(duì)于各個(gè)應(yīng)用系統(tǒng)的業(yè)務(wù)權(quán)限， 而是指定 哪些用戶可以訪問(wèn)哪些應(yīng)用系統(tǒng)， 分配一個(gè)用戶可以使用哪個(gè)應(yīng)用系統(tǒng)之后， 他的用戶信息 就被同步到相應(yīng)的應(yīng)用系統(tǒng)之中。3.1.1.5 用戶信息同步用戶具備某個(gè)應(yīng)用系統(tǒng)的權(quán)限之后， 他應(yīng)用在該系統(tǒng)中具有用戶身份， 由于用戶信息由 平臺(tái)統(tǒng)一管理，因此就需要將用戶信息同步到應(yīng)用系統(tǒng)中。同步的用戶信息指的是用戶的帳號(hào)信息， 平臺(tái)應(yīng)具備通用的用戶信息同步接口， 負(fù)

12、責(zé)將 統(tǒng)一帳號(hào)信息以通用的接口方式發(fā)送給各個(gè)應(yīng)用系統(tǒng)， 各系統(tǒng)按照平臺(tái)的規(guī)范性要求實(shí)現(xiàn)自身自身的用戶信息同步接口， 獲取統(tǒng)一用戶信息后， 完成用戶從平臺(tái)到各系統(tǒng)的新增、 修改、 刪除的同步操作。3.1.1.6 日志管理系統(tǒng)具備用戶同步日志管理功能， 可以查看同步是否成功， 同步不成功時(shí)也可以看到具 體的錯(cuò)誤跟蹤信息。系統(tǒng)具備用戶登錄日志管理功能，可以查看用戶的登錄情況。3.1.2 統(tǒng)一認(rèn)證與單點(diǎn)登錄3.1.2.1 統(tǒng)一認(rèn)證作為南山教育信息網(wǎng)的應(yīng)用基礎(chǔ)，統(tǒng)一認(rèn)證平臺(tái)應(yīng)提供用戶帳號(hào)身份的集中驗(yàn)證功能， 驗(yàn)證通過(guò)之后， 用戶具有的全局的身份， 當(dāng)他再訪問(wèn)網(wǎng)內(nèi)的其他應(yīng)用子系統(tǒng)時(shí)， 不再需要進(jìn) 行身份認(rèn)

13、證。統(tǒng)一認(rèn)證只需要支持 B/S 架構(gòu)的認(rèn)證方式， 具體可以支持 NTLM 、Kerberos v5.0 、BASIC 認(rèn)證、摘要認(rèn)證、 LDAP 認(rèn)證等多種認(rèn)證協(xié)議，并支持用戶名/密碼、數(shù)字證書(shū)、卡認(rèn)證等多種認(rèn)證方式，以支持在不同應(yīng)用場(chǎng)景下的用戶認(rèn)證請(qǐng)求。對(duì)于南山教育信息網(wǎng)本期項(xiàng)目而言，只統(tǒng)一使用用戶名/密碼的認(rèn)證方式。在南山教育信息網(wǎng)主門(mén)戶網(wǎng)站中， 將提供統(tǒng)一的登錄入口， 用戶登錄之后， 進(jìn)入其個(gè)人 首頁(yè)，個(gè)人首頁(yè)中提供了用戶有權(quán)訪問(wèn)的應(yīng)用系統(tǒng)資源， 用戶從該處可以以單點(diǎn)登錄的方式 進(jìn)入各應(yīng)用系統(tǒng)。3.1.2.2 單點(diǎn)登錄用戶經(jīng)過(guò)統(tǒng)一認(rèn)證之后， 方式南山教育信息網(wǎng)內(nèi)各子應(yīng)用系統(tǒng)時(shí)， 應(yīng)支持單

14、點(diǎn)登錄功能， 用戶只需輸入一次用戶名和密碼， 就可訪問(wèn)平臺(tái)所有被授權(quán)訪問(wèn)的系統(tǒng)， 而無(wú)需二次輸入用 戶名和密碼。平臺(tái)需要支持2類B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)的單點(diǎn)登錄：1、使用統(tǒng)一帳號(hào)的新建應(yīng)用系統(tǒng)，其單點(diǎn)登錄支持需要支持各種異構(gòu)系統(tǒng)，比如基于 微軟技術(shù)的、Java技術(shù)的、Php技術(shù)的等等，這種方式對(duì)于用戶來(lái)說(shuō)使用的就是統(tǒng)一帳號(hào)和 密碼， 不需要其自身再進(jìn)行任何設(shè)置， 對(duì)于應(yīng)用系統(tǒng)來(lái)說(shuō)， 則需要按照平臺(tái)的規(guī)范性要求實(shí) 現(xiàn)單點(diǎn)登錄接口，能夠獲取到用戶的統(tǒng)一身份信息。2、非使用統(tǒng)一帳號(hào)的原有應(yīng)用系統(tǒng)，其單點(diǎn)登錄支持的是基于Form 的表單式認(rèn)證，平臺(tái)提供用戶自助式的原系統(tǒng)用戶名、 密碼配置界面， 用戶配置

15、好原系統(tǒng)的認(rèn)證信息后， 在 訪問(wèn)原系統(tǒng)時(shí)，平臺(tái)將身份信息以代理的方式提交給原系統(tǒng)，完成登錄。3.1.3 應(yīng)用系統(tǒng)自身的用戶及認(rèn)證管理南山教育信息內(nèi)各新建的應(yīng)用系統(tǒng)的用戶管理和認(rèn)證與統(tǒng)一用戶管理認(rèn)證平臺(tái)做整合， 以統(tǒng)一用戶管理認(rèn)證系統(tǒng)為主，以應(yīng)用系統(tǒng)自身的用戶管理和認(rèn)證為輔。3.1.3.1 應(yīng)用系統(tǒng)用戶管理各應(yīng)用系統(tǒng)仍然具備自身的用戶管理， 保持其獨(dú)立性。 主要維護(hù)其本系統(tǒng)內(nèi)的一些統(tǒng)一 用戶之外的個(gè)性化信息參數(shù)，用戶的創(chuàng)建由平臺(tái)發(fā)起，不能由應(yīng)用系統(tǒng)首先創(chuàng)建。應(yīng)用系統(tǒng)需要開(kāi)發(fā)用戶信息同步接口， 負(fù)責(zé)本系統(tǒng)內(nèi)用戶帳號(hào)信息的創(chuàng)建、 修改、 刪除 工作。平臺(tái)在授權(quán)后會(huì)將用戶帳號(hào)信息同步到應(yīng)用系統(tǒng)中， 平

16、臺(tái)在刪除用戶后也將通過(guò)同步 接口將用戶從應(yīng)用系統(tǒng)中刪除。3.1.3.2 應(yīng)用系統(tǒng)用戶認(rèn)證各應(yīng)用系統(tǒng)仍然可以具備自身的用戶登錄認(rèn)證功能， 保持其獨(dú)立性。 應(yīng)用系統(tǒng)自身的登 錄認(rèn)證，只完成其本身的登錄，并沒(méi)有登錄到統(tǒng)一平臺(tái)。3.2 對(duì)性能的規(guī)定3.2.1 精度支持 10 萬(wàn)級(jí)用戶的身份認(rèn)證，支持 3000 并發(fā)認(rèn)證 。3.2.2 時(shí)間特性要求響應(yīng)時(shí)間在 2秒以內(nèi)，不能超過(guò) 5 秒3.2.3 靈活性系統(tǒng)從結(jié)構(gòu)上及功能上應(yīng)該具備良好的靈活性，能夠滿足用戶不斷發(fā)展的復(fù)雜業(yè)務(wù)需 求。降低使用維護(hù)過(guò)程中的難度。3.3 輸人輸出要求3.3.1 用戶信息用戶基本信息至少包括姓名、性別、身份證、所屬單位。3.3.

17、2 認(rèn)證信息用戶認(rèn)證所需的帳號(hào)信息至少包括登錄帳號(hào)、密碼、密碼有效期。3.4 數(shù)據(jù)管理能力要求能夠管理 20 萬(wàn)級(jí)別的用戶信息管理。3.5 故障處理要求系統(tǒng)具備集群功能，防止系統(tǒng)單點(diǎn)故障。3.6 其他專門(mén)要求無(wú)。4 運(yùn)行環(huán)境規(guī)定4.1 設(shè)備2 臺(tái) TAM 服務(wù)器， 4 臺(tái) WebSeal 服務(wù)器，性能條件建筑在以下具體配置要求之上：1. 兩個(gè)四核In tel Xeo n 5430處理器（2.66GH z, 1333前端總線，集成2x6MB二級(jí)緩存）;2. 8GB(4x2GB) 兩路交錯(cuò) PC2-5300 全緩沖 DDR2-667 內(nèi)存3. 支持高級(jí) ECC ，鏡相內(nèi)存和在線備用內(nèi)存， 8 個(gè)內(nèi)存插槽，最大內(nèi)存可以擴(kuò)充到 32GB ；4. 集成雙千兆網(wǎng)卡 ,帶 TCP/IP Offload 引擎，可實(shí)現(xiàn)加速 iSCSI,2 個(gè) I/O 擴(kuò)展槽；5. 集成 SAS 智能陣列控制器，支持 RAID 0 ，1，支持 2 個(gè)小尺寸 SAS 熱拔插硬盤(pán)；6. 兩個(gè) 146G