統(tǒng)一用戶管理與認(rèn)證平臺需求說明書資料

1、系統(tǒng)息網(wǎng)應(yīng)用南山區(qū)教育信息系南網(wǎng)山應(yīng)區(qū)統(tǒng) 教育用信統(tǒng)一用戶管理與認(rèn)證平臺需求說明書項目及文檔信息發(fā)布日期：2008-9-30項目名稱南山區(qū)教育信息網(wǎng)應(yīng)用系統(tǒng)合同號項目合同編號項目經(jīng)理楊巨龍客戶負(fù)責(zé)人石義琦文檔編號流水號文檔類型-項目代號-模板編號版本信息* A代表新增，M代表修改，D代表刪除。版本號發(fā)布日期提交人審閱人A. M.D更新位置更新摘要1.02008-9-30A擬初稿1 引言 31.1 編寫目的 3背景 1.2 3定義 1.3 3參考資料 1.4 4任務(wù)概述 2 42.1 目標(biāo) 4用戶的特點 42.2假定和約束 2.353 需求規(guī)定 53.1 對功能的規(guī)定 5統(tǒng)一用戶管理 53.1.

2、1統(tǒng)一認(rèn)證與單點登錄 3.1.27應(yīng)用系統(tǒng)自身的用戶及認(rèn)證管理 3.1.383.2 對性能的規(guī)定 8精度 8 3.2.1 時間特性要求 8 3.2.2靈活性 9 3.2.33.3 輸人輸出要求 9用戶信息 93.3.1認(rèn)證信息 3.3.2 93.4 數(shù)據(jù)管理能力要求 93.5 故障處理要求 93.6 其他專門要求 94 運行環(huán)境規(guī)定 94.1 設(shè)備 9支持軟件 4.2 10接口 4.3 10控制 4.4 1021 引言1.1 編寫目的本文檔的編寫目的在于確定南山教育信息網(wǎng)統(tǒng)一用戶管理與認(rèn)證平臺的需求內(nèi)容， 成為后續(xù)開發(fā) 建設(shè)和驗收的依據(jù)。1.2 背景 在應(yīng)用系統(tǒng)的建設(shè)中， 用戶身份和認(rèn)證信息的

3、管理是最關(guān)鍵的一部分。 但是由于需求總是在不斷 變化和發(fā)展，應(yīng)用系統(tǒng)也會不斷的增加或淘汰。因此，應(yīng)用系統(tǒng)通常都是在不同平臺上、由不同 開發(fā)商開發(fā)， 使用的技術(shù)不一致， 容易造成每套系統(tǒng)都有獨立的用戶身份管理， 登錄不同應(yīng)用系 統(tǒng)需要多次登錄。對于用戶來說，每增加一個新的應(yīng)用，需要記憶一套新的用戶名/密碼，負(fù)責(zé)的業(yè)務(wù)范圍越大，需要記憶的用戶名 /密碼組越多。設(shè)定一樣的密碼，不夠安全；密碼設(shè)定不一樣，記憶困難，每 次訪問應(yīng)用系統(tǒng)，需要重復(fù)輸入用戶名/密碼，在一個系統(tǒng)中修改了密碼，其他系統(tǒng)的密碼不會隨之改變。對于系統(tǒng)管理員而言， 沒有一個統(tǒng)一的用戶管理系統(tǒng)， 就會在新進人員時， 需要到眾多系統(tǒng)中逐

4、一建立帳號； 人員離職時， 需要到眾多系統(tǒng)中逐一刪除帳號， 給系統(tǒng)管理員的工作造成了繁重負(fù) 擔(dān)，還容易造成各系統(tǒng)中人員身份信息的不一致。對于南山區(qū)學(xué)校領(lǐng)導(dǎo)、 教師和學(xué)生等用戶， 由于其可以享受大量教育資源服務(wù)， 為防止他人冒名 頂替、盜用資源，故須對這些“合法”用戶要進行統(tǒng)一的實名認(rèn)證。1.3 定義統(tǒng)一認(rèn)證平臺： 南山教育信息網(wǎng)的應(yīng)用支撐性平臺， 包括了統(tǒng)一用戶、 應(yīng)用資源的管理以及各應(yīng) 用資源的統(tǒng)一認(rèn)證管理。統(tǒng)一用戶管理： 負(fù)責(zé)管理南山教育信息網(wǎng)全體實名用戶的身份管理，并分配各分項應(yīng)用子系統(tǒng) 中具有使用權(quán)的用戶，將統(tǒng)一用戶信息同步到應(yīng)用子系統(tǒng)中。統(tǒng)一認(rèn)證：負(fù)責(zé)南山教育信息網(wǎng)的統(tǒng)一用戶認(rèn)證以及

5、單點登錄支持，用戶通過平臺統(tǒng)一 3 登錄之后可以單點登錄訪問其權(quán)限范圍內(nèi)的各分項應(yīng)用子系統(tǒng)， 單點登錄需要各應(yīng)用系統(tǒng)支持統(tǒng) 一認(rèn)證接口。1.4 參考資料招標(biāo)文件南山區(qū)教育信息網(wǎng)應(yīng)用系統(tǒng)軟件開發(fā)與集成服務(wù)2 任務(wù)概述2.1 目標(biāo)（1）用戶組織與權(quán)限管理：建立一套有效的用來管理網(wǎng)絡(luò)資源、用戶身份的平臺，實現(xiàn)組織、 用戶和資源的集中管理和授權(quán)，管理員不再分散管理用戶，系統(tǒng)具有很高安全性和靈活性。（2）統(tǒng)一認(rèn)證管理：單點登錄功能是實現(xiàn)統(tǒng)一身份認(rèn)證系統(tǒng)的首要目標(biāo)，實現(xiàn)讓用戶在經(jīng)過一 次網(wǎng)絡(luò)身份驗證后， 就可以訪問所有授權(quán)的網(wǎng)絡(luò)資源， 而不需要額外驗證， 支持多種認(rèn)證方式 （用 戶名密碼、證書、 USB

6、）。這里的網(wǎng)絡(luò)資源，主要是指基于Web 方式的應(yīng)用系統(tǒng)。（3）應(yīng)用系統(tǒng)管理：在實現(xiàn)了用戶統(tǒng)一認(rèn)證的基礎(chǔ)上，制定出一套規(guī)范的用戶單點登錄機制， 提供用戶身份統(tǒng)一訪問接口， 要求所有新建且可以經(jīng)過統(tǒng)一身份認(rèn)證系統(tǒng)認(rèn)證的應(yīng)用系統(tǒng)， 涉及 的賬號一定是統(tǒng)一身份認(rèn)證系統(tǒng)的用戶帳號。 這些應(yīng)用系統(tǒng)必須被統(tǒng)一身份認(rèn)證系統(tǒng)所管理， 管 理平臺設(shè)置可以訪問此應(yīng)用系統(tǒng)的用戶、組織或角色等。（4）舊系統(tǒng)策略：提供自動代理登錄（自動登陸到其它目標(biāo)業(yè)務(wù)系統(tǒng)）功能，實現(xiàn)統(tǒng)一用戶可 以單點登錄舊系統(tǒng)，代理登陸所需要的用戶信息保存在獨立數(shù)據(jù)庫中。（5）日志管理：可以查看用戶登錄以及用戶同步的日志記錄。2.2 用戶的特點南山教

7、育信息網(wǎng)的用戶涉及到南山教育局以及下屬的各個學(xué)校和機構(gòu)的全體用戶， 具體包括： 約 1 萬的教職工用戶，約 10 萬的中小學(xué)生用戶、約 10 萬的家長用戶。所有這些用戶都將由統(tǒng)一認(rèn) 證平臺統(tǒng)一管理，平臺管理員有權(quán)管理所有的用戶信息，而各個單位（如某個 4 學(xué)校） 的管理員可以管理本單位的用戶信息， 普通的用戶可以使用自己的帳號通過平臺進行統(tǒng)一 登錄， 然后單點式的訪問南山教育信息網(wǎng)類自身具有權(quán)限的應(yīng)用系統(tǒng)資源， 不再需要為訪問某一 個應(yīng)用系統(tǒng)而分別輸入用戶、密碼。2.3 假定和約束南山教育信息網(wǎng)具備全局的統(tǒng)一用戶庫， 各分項的應(yīng)用子系統(tǒng)可以仍然具備自身的用戶體系， 但 用戶信息源于統(tǒng)一用戶庫，

8、 用戶的產(chǎn)生由統(tǒng)一用戶管理負(fù)責(zé)， 各應(yīng)用系統(tǒng)接收平臺發(fā)送的用戶同 步信息。各應(yīng)用系統(tǒng)必須提供相關(guān)的接口以支持單點登錄， 對于已有的應(yīng)用系統(tǒng)而言， 通過基于用戶映射 的代理訪問方式，不需要單獨開發(fā)單點登錄接口。3 需求規(guī)定3.1 對功能的規(guī)定3.1.1 統(tǒng)一用戶管理 平臺提供南山教育信息網(wǎng)全體實名用戶的用戶資料信息集中存儲， 這些資料由統(tǒng)一用戶認(rèn)證平臺 集中管理， 平臺管理員可以維護所有人員的用戶信息， 各單位的管理員只能維護其本單位的用戶 信息。用戶的信息包括應(yīng)包括 3 個層面的含義： 1、用戶的人事類基礎(chǔ)信息，諸如姓名、性別、戶籍、 身份證、職務(wù)、聯(lián)系電話、電子郵箱、學(xué)歷、學(xué)位等等，這些信息

9、不涉及安全登錄，但可以作為 用戶登錄帳號信息的生成來源。 2、用戶的帳號信息，諸如登錄帳號、密碼、密碼有效期、登錄 方式等，這些信息涉及安全登錄，在進行用戶認(rèn)證時，構(gòu)成校驗信息的主體。3 、權(quán)限信息，指用戶可以訪問哪些應(yīng)用系統(tǒng)資源。統(tǒng)一用戶管理具體由以下功能組成。3.1.1.1 人事信息管理人事信息資料的管理是帳號管理體系的基礎(chǔ)工作， 它具有對學(xué)生人事信息和教職工信息 （含局機 關(guān)）的管理職能，提供人事信息查詢、修改、統(tǒng)計、增加、檢驗、帳號查詢等功能。5系統(tǒng)應(yīng)支持從 Excel 批量導(dǎo)入人事信息的功能， 同時也支持針對單個個體的創(chuàng)建及維護功能，便 于管理。3.1.1.2 帳號信息管理 帳號管理

10、是整個統(tǒng)一用戶管理體系的核心，它負(fù)責(zé)用戶登錄帳號的生成、注冊、掛失、解掛、維 護等功能。帳號信息至少包括登錄帳號、 密碼等， 作為與應(yīng)用系統(tǒng)進行用戶同步的基礎(chǔ)， 帳號信息也包含了 主要的一些人事類信息，如姓名、性別、身份證、民族、籍貫、職務(wù)等。用戶的帳號必須唯一，同時其密碼的設(shè)定應(yīng)不能過于簡單，安全起見應(yīng)具備一定的復(fù)雜度。 對于用戶個人來說，應(yīng)該具備密碼修改的功能，保證其帳號的安全性。3.1.1.3 應(yīng)用系統(tǒng)管理作為用戶管理主體， 統(tǒng)一用戶認(rèn)證平臺負(fù)責(zé)了整個南山教育信息網(wǎng)的全體用戶信息的管理， 各分 項的應(yīng)用系統(tǒng)受平臺管理約束， 各系統(tǒng)的用戶信息來源于統(tǒng)一用戶， 為了將統(tǒng)一用戶信息分配到 各個

11、子系統(tǒng)，需要將應(yīng)用系統(tǒng)注冊到平臺之中，并記錄各系統(tǒng)支持用戶信息同步的接口。3.1.1.4 用戶權(quán)限管理 南山教育信息網(wǎng)的用戶并不是可以訪問全部的應(yīng)用系統(tǒng)，因此必須具有相關(guān)的權(quán)限管理。 統(tǒng)一認(rèn)證平臺的用戶權(quán)限管理并不涉及到用戶對于各個應(yīng)用系統(tǒng)的業(yè)務(wù)權(quán)限， 而是指定哪些用戶 可以訪問哪些應(yīng)用系統(tǒng)， 分配一個用戶可以使用哪個應(yīng)用系統(tǒng)之后， 他的用戶信息就被同步到相 應(yīng)的應(yīng)用系統(tǒng)之中。3.1.1.5 用戶信息同步用戶具備某個應(yīng)用系統(tǒng)的權(quán)限之后， 他應(yīng)用在該系統(tǒng)中具有用戶身份， 由于用戶信息由平臺統(tǒng)管理，因此就需要將用戶信息同步到應(yīng)用系統(tǒng)中。 同步的用戶信息指的是用戶的帳號信息，平臺應(yīng)具備通用的用戶信息

12、同步接口，信息以通用的接口方式發(fā)送給各個應(yīng)用系統(tǒng)，各系統(tǒng)按照平臺的規(guī)范性要求實現(xiàn)自 身自身的用戶信息同步接口，獲取統(tǒng)一用戶信息后，完成用戶從平臺到各系統(tǒng)的新增、 除的同步操作。負(fù)責(zé)將統(tǒng)一帳號6修改、 刪3.1.1.6 日志管理系統(tǒng)具備用戶同步日志管理功能， 可以查看同步是否成功， 同步不成功時也可以看到具體的錯誤 跟蹤信息。系統(tǒng)具備用戶登錄日志管理功能，可以查看用戶的登錄情況。3.1.2 統(tǒng)一認(rèn)證與單點登錄3.1.2.1 統(tǒng)一認(rèn)證作為南山教育信息網(wǎng)的應(yīng)用基礎(chǔ)， 統(tǒng)一認(rèn)證平臺應(yīng)提供用戶帳號身份的集中驗證功能， 驗證通過 之后，用戶具有的全局的身份，當(dāng)他再訪問網(wǎng)內(nèi)的其他應(yīng)用子系統(tǒng)時，不再需要進行身

13、份認(rèn)證。 統(tǒng)一認(rèn)證只需要支持 B/S 架構(gòu)的認(rèn)證方式，具體可以支持NTLM 、Kerberos v5.0 、BASIC 認(rèn)證、/密碼、數(shù)字證書、卡認(rèn)證等多種認(rèn)證方/密碼的認(rèn)證方式。用戶登錄之后，進入其個人首頁， 個摘要認(rèn)證、 LDAP 認(rèn)證等多種認(rèn)證協(xié)議，并支持用戶名 式，以支持在不同應(yīng)用場景下的用戶認(rèn)證請求。 對于南山教育信息網(wǎng)本期項目而言，只統(tǒng)一使用用戶名 在南山教育信息網(wǎng)主門戶網(wǎng)站中，將提供統(tǒng)一的登錄入口， 人首頁中提供了用戶有權(quán)訪問的應(yīng)用系統(tǒng)資源， 用戶 統(tǒng)。3.1.2.2 單點登錄用戶經(jīng)過統(tǒng)一認(rèn)證之后， 方式南山教育信息網(wǎng)內(nèi)各子應(yīng)用系統(tǒng)時， 應(yīng)支持單點登錄功能， 用戶只 需輸入一次用

14、戶名和密碼， 就可訪問平臺所有被授權(quán)訪問的系統(tǒng)， 而無需二次輸入用戶名和密碼。 平臺需要支持 2 類 B/S 結(jié)構(gòu)的應(yīng)用系統(tǒng)的單點登錄：1、使用統(tǒng)一帳號的新建應(yīng)用系統(tǒng)，其單點登錄支持需要支持各種異構(gòu)系統(tǒng)，比如基于微軟技術(shù)的、Java技術(shù)的、Php技術(shù)的等等，這種方式對于用戶來說使用的就是統(tǒng)一帳號和密碼，不需要 其自身再進行任何設(shè)置，對于應(yīng)用系統(tǒng)來說，則需要按照平臺的規(guī)范性要求實7現(xiàn)單點登錄接口，能夠獲取到用戶的統(tǒng)一身份信息。2、非使用統(tǒng)一帳號的原有應(yīng)用系統(tǒng)，其單點登錄支持的是基于Form 的表單式認(rèn)證，平臺提供用戶自助式的原系統(tǒng)用戶名、 密碼配置界面， 用戶配置好原系統(tǒng)的認(rèn)證信息后， 在訪問原

15、系統(tǒng)時， 平臺將身份信息以代理的方式提交給原系統(tǒng)，完成登錄。3.1.3 應(yīng)用系統(tǒng)自身的用戶及認(rèn)證管理 南山教育信息內(nèi)各新建的應(yīng)用系統(tǒng)的用戶管理和認(rèn)證與統(tǒng)一用戶管理認(rèn)證平臺做整合， 以統(tǒng)一用 戶管理認(rèn)證系統(tǒng)為主，以應(yīng)用系統(tǒng)自身的用戶管理和認(rèn)證為輔。3.1.3.1 應(yīng)用系統(tǒng)用戶管理各應(yīng)用系統(tǒng)仍然具備自身的用戶管理， 保持其獨立性。 主要維護其本系統(tǒng)內(nèi)的一些統(tǒng)一用戶之外 的個性化信息參數(shù)，用戶的創(chuàng)建由平臺發(fā)起，不能由應(yīng)用系統(tǒng)首先創(chuàng)建。應(yīng)用系統(tǒng)需要開發(fā)用戶信息同步接口，負(fù)責(zé)本系統(tǒng)內(nèi)用戶帳號信息的創(chuàng)建、修改、刪除工作。 平 臺在授權(quán)后會將用戶帳號信息同步到應(yīng)用系統(tǒng)中， 平臺在刪除用戶后也將通過同步接口將

16、用戶從 應(yīng)用系統(tǒng)中刪除。3.1.3.2 應(yīng)用系統(tǒng)用戶認(rèn)證各應(yīng)用系統(tǒng)仍然可以具備自身的用戶登錄認(rèn)證功能，保持其獨立性。應(yīng)用系統(tǒng)自身的登錄認(rèn)證， 只完成其本身的登錄，并沒有登錄到統(tǒng)一平臺。3.2 對性能的規(guī)定3.2.1 精度支持 10 萬級用戶的身份認(rèn)證，支持 3000 并發(fā)認(rèn)證 。3.2.2 時間特性要求響應(yīng)時間在 2 秒以內(nèi)，不能超過 5 秒。83.2.3 靈活性系統(tǒng)從結(jié)構(gòu)上及功能上應(yīng)該具備良好的靈活性， 能夠滿足用戶不斷發(fā)展的復(fù)雜業(yè)務(wù)需求。 降低使 用維護過程中的難度。3.3 輸人輸出要求3.3.1 用戶信息用戶基本信息至少包括姓名、性別、身份證、所屬單位。3.3.2 認(rèn)證信息用戶認(rèn)證所需的

17、帳號信息至少包括登錄帳號、密碼、密碼有效期。3.4 數(shù)據(jù)管理能力要求能夠管理 20 萬級別的用戶信息管理。3.5 故障處理要求系統(tǒng)具備集群功能，防止系統(tǒng)單點故障。3.6 其他專門要求無。4 運行環(huán)境規(guī)定4.1 設(shè)備2 臺 TAM 服務(wù)器， 4 臺 WebSeal 服務(wù)器，性能條件建筑在以下具體配置要求之上：1. 兩個四核 Intel Xeon 5430 處理器 (2.66GHz, 1333 前端總線，集成 2x6MB 二級緩存 ) ； 92. 8GB(4x2GB) 兩路交錯 PC2 -5300 全緩沖 DDR2 -667 內(nèi)存3. 支持高級 ECC ，鏡相內(nèi)存和在線備用內(nèi)存， 8 個內(nèi)存插槽，最大內(nèi)存可以擴充到32GB ；4. 集成雙千兆網(wǎng)卡 ,帶 TCP/IP Offload 引擎，可實現(xiàn)加速 iSCSI,2 個 I/O 擴展槽；5. 集成 SAS 智能陣列控制器，支持 RAID 0 ，1，支持 2 個小尺寸 SAS 熱拔插