統(tǒng)一用戶管理與認(rèn)證平臺需求說明書

1、系統(tǒng)息網(wǎng)應(yīng)用山南區(qū)教育信息系南網(wǎng)山應(yīng)區(qū)統(tǒng)教育用信統(tǒng)一用戶管理與認(rèn)證平臺需求說明書項(xiàng)目及文檔信息項(xiàng)目經(jīng)理?xiàng)罹摭埧蛻糌?fù)貢人石義琦文檔編號項(xiàng)目名稱流水號項(xiàng)目代號文檔類型模板痂號合阿號2008930發(fā)布口期：曲山區(qū)教育信息網(wǎng)應(yīng)用系統(tǒng)項(xiàng)目合問編號版本信息代收刪除：代表修改，D*A代表新增,M版本號發(fā)布日期提交人審閱人AMD更新位置更新摘要1.02008-9-30A擬初稿1弓I言31.1編寫目的3背景L23定義L33參考資料L44任務(wù)概述242.1目標(biāo)4用戶的特點(diǎn)42.2假定和約束2.353需求規(guī)定53.1 對功能的規(guī)定5統(tǒng)用戶管理53.1.1統(tǒng)一認(rèn)證與單點(diǎn)登錄3.1.27應(yīng)用系統(tǒng)自身的用戶及認(rèn)證管理3.

2、1.383.2 對性能的規(guī)定8精度時(shí)間特性要求83.2.2靈活性93233.3 輸人輸出要求9用戶信息93.3.1認(rèn)證信息3.3.293.4 數(shù)據(jù)管理能力要求93.5 故障處理要求93.6 其他專門要求94運(yùn)行環(huán)境規(guī)定94.1設(shè)備9支持軟件4.210接口4.3101控制4.4引言1.1編寫目的本文檔的編寫目的在于確定南山教育信息網(wǎng)統(tǒng)用戶管理與認(rèn)證平臺的需求內(nèi)容，成為后續(xù)開發(fā)建設(shè)和驗(yàn)收的依據(jù)。在應(yīng)用系統(tǒng)的建設(shè)中，用戶身份和認(rèn)證信息的管理是最關(guān)鍵的部分。但是由于需求總是在不斷變化和發(fā)展，應(yīng)用系統(tǒng)也會不斷的增加或淘汰。因此，應(yīng)用系統(tǒng)通常都是在不同平臺上、由不同開發(fā)商開發(fā)，使用的技術(shù)不致，容易造成每套

3、系統(tǒng)都有獨(dú)立的用戶身份管理，登錄不同應(yīng)用系統(tǒng)需要多次登錄。對于用戶來說，每增加個(gè)新的應(yīng)用，需要記憶套新的用戶名/密碼，負(fù)賁的業(yè)務(wù)范圍越大，需要記憶的用戶名/密碼組越多。設(shè)定樣的密碼，不夠安全：密碼設(shè)定不樣，記憶困難，每次訪問應(yīng)用系統(tǒng)，需要重復(fù)輸入用戶名/密碼，在個(gè)系統(tǒng)中修改了密碼，其他系統(tǒng)的密碼不會隨之改變。對于系統(tǒng)管理員而言，沒有個(gè)統(tǒng)的用戶管理系統(tǒng)，就會在新進(jìn)人員時(shí)，需要到眾多系統(tǒng)中逐建立帳號：人員離職時(shí)，需要到眾多系統(tǒng)中逐刪除帳號，給系統(tǒng)管理員的工作造成了繁重負(fù)擔(dān)，還容易造成各系統(tǒng)中人員身份信息的不i致。對于南山區(qū)學(xué)校領(lǐng)導(dǎo)、教師和學(xué)生等用戶，由于其可以享受大量教育資源服務(wù)，為防止他人冒名頂

4、替、盜用資源，故須對這些“合法”用戶要進(jìn)行統(tǒng)一的實(shí)名認(rèn)證。1.3 定義統(tǒng)認(rèn)證平臺：南山教育信息網(wǎng)的應(yīng)用支撐性平臺，包括了統(tǒng)用戶、應(yīng)用資源的管理以及各應(yīng)用資源的統(tǒng)一認(rèn)證管理。統(tǒng)用戶管理：負(fù)責(zé)管理南山教育信息網(wǎng)全體實(shí)名用戶的身份管理，并分配各分項(xiàng)應(yīng)用系統(tǒng)中具有使用權(quán)的用戶，將統(tǒng)用戶信息同步到應(yīng)用子系統(tǒng)中。用戶通過平臺統(tǒng)負(fù)責(zé)南山教育信息網(wǎng)的統(tǒng)用戶認(rèn)證以及單點(diǎn)登錄支持，統(tǒng)認(rèn)證：登錄之后可以單點(diǎn)登錄訪問其權(quán)限范圍內(nèi)的各分項(xiàng)應(yīng)用系統(tǒng)，單點(diǎn)登錄需要各應(yīng)用系統(tǒng)支持統(tǒng)一-認(rèn)證接口。1.4 參考資料招標(biāo)文件南山區(qū)教育信息網(wǎng)應(yīng)用系統(tǒng)軟件開發(fā)與集成服務(wù)2任務(wù)概述2.1 目標(biāo)（1）用戶組織與權(quán)限管理：建立,套有效的用來

5、管理網(wǎng)絡(luò)資源、用戶身份的平臺，實(shí)現(xiàn)組織、用戶和資源的集中管理和授權(quán)，管理員不再分散管理用戶，系統(tǒng)具有很高安全性和靈活性。（2）統(tǒng)認(rèn)證管埋：單點(diǎn)登錄功能是實(shí)現(xiàn)統(tǒng)身份認(rèn)證系統(tǒng)的首要目標(biāo)，實(shí)現(xiàn)讓用戶在經(jīng)過次網(wǎng)絡(luò)身份驗(yàn)證后，就可以訪問所有授權(quán)的網(wǎng)絡(luò)資源，而不需要額外驗(yàn)證，支持多種認(rèn)證方式（用戶名密碼、證書、USB）。這里的網(wǎng)絡(luò)資源.主要是指基于Web方式的應(yīng)用系統(tǒng)。（3）應(yīng)用系統(tǒng)管理：在實(shí)現(xiàn)了用戶統(tǒng)認(rèn)證的基礎(chǔ)上，制定出一套規(guī)范的用戶單點(diǎn)登錄機(jī)制，提供用戶身份統(tǒng)訪問接口，要求所有新建且可以經(jīng)過統(tǒng)身份認(rèn)證系統(tǒng)認(rèn)證的應(yīng)用系統(tǒng)，涉及的賬號定是統(tǒng),身份認(rèn)證系統(tǒng)的用戶帳號。這些應(yīng)用系統(tǒng)必須被統(tǒng)身份認(rèn)證系統(tǒng)所管理，

6、管理平臺設(shè)置可以訪問此應(yīng)用系統(tǒng)的用戶、組織或角色等。（4）舊系統(tǒng)策略：提供自動代理登錄（自動登陸到其它目標(biāo)業(yè)務(wù)系統(tǒng)）功能，實(shí)現(xiàn)統(tǒng)用戶可以單點(diǎn)登錄舊系統(tǒng)，代理登陸所需要的用戶信息保存在獨(dú)立數(shù)據(jù)庫中。（5）日志管理：可以查看用戶登錄以及用戶同步的日志記錄。2.2 用戶的特點(diǎn)南山教育信息網(wǎng)的用戶涉及到南山教育局以及下屆的各個(gè)學(xué)校和機(jī)構(gòu)的全體用戶，具體包括：約I萬的教職工用戶，約10萬的中小學(xué)生用戶、約10萬的家長用戶。所有這些用戶（如某個(gè)而各個(gè)單位平臺管理員有權(quán)管理所有的用戶信息，都將由統(tǒng)認(rèn)證平臺統(tǒng)管理，學(xué)校）的管理員可以管理本單位的用戶信息，普通的用戶可以使用自己的帳號通過平臺進(jìn)行統(tǒng)登錄，然后單點(diǎn)

7、式的訪問南山教育信息網(wǎng)類自身具有權(quán)限的應(yīng)用系統(tǒng)資源，不再需耍為訪問某個(gè)應(yīng)用系統(tǒng)而分別輸入用戶、密碼。2.3 假定和約束南山教育信息網(wǎng)具備全局的統(tǒng)用戶庫，各分項(xiàng)的應(yīng)用子系統(tǒng)可以仍然具備自身的用戶體系，但用戶信息源于統(tǒng)用戶庫，用戶的產(chǎn)生由統(tǒng)用戶管理負(fù)責(zé)，各應(yīng)用系統(tǒng)接收平臺發(fā)送的用戶同步信各應(yīng)用系統(tǒng)必須提供相關(guān)的接口以支持單點(diǎn)登錄，對于已有的應(yīng)用系統(tǒng)而言，通過基于用戶映射的代理訪問方式，不需要單獨(dú)開發(fā)單點(diǎn)登錄接口。3需求規(guī)定3.1 對功能的規(guī)定3.1.1 統(tǒng)一用戶管理平臺提供南山教育信息網(wǎng)全體實(shí)名用戶的用戶資料信息集中存儲，這些資料由統(tǒng)用戶認(rèn)證平臺集中管理，平臺管埋員可以維護(hù)所有人員的用戶信息，各單

8、位的管理員只能維護(hù)其本單位的用戶信息。用戶的信息包括應(yīng)包括3個(gè)層面的含義：1、用戶的人事類基礎(chǔ)信息，諸如姓名、性別、戶籍、身份證、職務(wù)、聯(lián)系電話、電子郵箱、學(xué)歷、學(xué)位等等，這些信息不涉及安全登錄，但可以作為用戶登錄帳號信息的生成來源。2、用戶的帳號信息，諸如登錄帳號、密碼、密碼有效期、登錄方式等，這些信息涉及安全登錄，在進(jìn)行用戶認(rèn)證時(shí)，構(gòu)成校驗(yàn)信息的主體。3、權(quán)限信息，指用戶可以訪問哪些應(yīng)用系統(tǒng)資源。統(tǒng)用戶管理具體由以下功能組成。3.1.1.1 人事信息管理人事信息資料的管理是帳號管理體系的基礎(chǔ)工作，它具有對學(xué)生人事信息和教職工信息帳號查詢等功能。檢驗(yàn)、增加、統(tǒng)計(jì)、修改、提供人事信息查詢、的管

9、理職能，（含局機(jī)關(guān)）.系統(tǒng)應(yīng)支持從Excel批量導(dǎo)入人事信息的功能，同時(shí)也支持針對單個(gè)個(gè)體的創(chuàng)建及維護(hù)功能，便于管理。3.1.1.2 帳號信息管理帳號管理是整個(gè)統(tǒng)用戶管理體系的核心，它負(fù)責(zé)用戶登錄帳號的生成、注冊、掛失、解掛、維護(hù)等功能。帳號信息至少包括登錄帳號、密碼等，作為與應(yīng)用系統(tǒng)進(jìn)行用戶同步的基礎(chǔ)，帳號信息也包含主要的一些人事類信息，如姓名、性別、身份證、民族、籍貫、職務(wù)等。用戶的帳號必須唯，同時(shí)其密碼的設(shè)定應(yīng)不能過于簡單，安全起見應(yīng)具備定的復(fù)雜度。對于用戶個(gè)人來說，應(yīng)該具備密碼修改的功能，保證其帳號的安全性。3.1.1.3 應(yīng)用系統(tǒng)管理作為用戶管理主體，統(tǒng)用戶認(rèn)證平臺負(fù)責(zé)了整個(gè)南山教育

10、信息網(wǎng)的全體用戶信息的管理，各分項(xiàng)的應(yīng)用系統(tǒng)受平臺管理約束，各系統(tǒng)的用戶信息來源于統(tǒng)用戶，為了將統(tǒng)用戶信息分配到各個(gè)子系統(tǒng)，需要將應(yīng)用系統(tǒng)注冊到平臺之中，并記錄各系統(tǒng)支持用戶信息同步的接口。3.1.1.4 用戶權(quán)限管理南山教育信息網(wǎng)的用戶并不是可以訪問全部的應(yīng)用系統(tǒng)，因此必須具有相關(guān)的權(quán)限管理。統(tǒng)認(rèn)證平臺的用戶權(quán)限管理并不涉及到用戶對于各個(gè)應(yīng)用系統(tǒng)的業(yè)務(wù)權(quán)限，而是指定哪些用戶可以訪問哪些應(yīng)用系統(tǒng)，分配個(gè)用戶可以使用哪個(gè)應(yīng)用系統(tǒng)之后，他的用戶信息就被同步到相應(yīng)的應(yīng)用系統(tǒng)之中。3.1.1.5 用戶信息同步用戶具備某個(gè)應(yīng)用系統(tǒng)的權(quán)限之后，他應(yīng)用在該系統(tǒng)中具有用戶身份，由于用戶信息由平臺統(tǒng)管理，因此就

11、需要將用戶信息同步到應(yīng)用系統(tǒng)中。同步的用戶信息指的是用戶的帳號信息，平臺應(yīng)具備通用的用戶信息同步接口，負(fù)責(zé)將各系統(tǒng)按照平臺的規(guī)范性要求實(shí)現(xiàn)自統(tǒng)帳號信息以通用的接口方式發(fā)送給各個(gè)應(yīng)用系統(tǒng)，身自身的用戶信息同步接口，獲取統(tǒng)用戶信息后，完成用戶從平臺到各系統(tǒng)的新增、修改、刪除的同步操作。3.1.1.6 日志管理系統(tǒng)具備用戶同步日志管理功能，可以查看同步是否成功，同步不成功時(shí)也可以看到具體的錯誤跟蹤信息。系統(tǒng)具備用戶登錄日志管理功能，可以查看用戶的登錄情況。3.1.2 統(tǒng)一認(rèn)證與單點(diǎn)登錄3.1.2.1 統(tǒng)一認(rèn)證作為南山教育信息網(wǎng)的應(yīng)用基礎(chǔ)，統(tǒng)認(rèn)證平臺應(yīng)提供用戶帳號身份的集中驗(yàn)證功能，驗(yàn)證通過之后，用戶

12、具有的全局的身份，當(dāng)他再訪問網(wǎng)內(nèi)的其他應(yīng)用f系統(tǒng)時(shí)，不再需耍進(jìn)行身份認(rèn)證。統(tǒng)認(rèn)證只需要支持B/S架構(gòu)的認(rèn)證方式，具體可以支持NTLM、Kerberosv5.0,BASIC認(rèn)證、摘要認(rèn)證、LDAP認(rèn)證等多種認(rèn)證協(xié)議，并支持用戶名/密碼、數(shù)字證書、卡認(rèn)證等多種認(rèn)證方式，以支持在不同應(yīng)用場景下的用戶認(rèn)證請求。對于南山教育信息網(wǎng)本期項(xiàng)目而言，只統(tǒng)使用用戶名/密碼的認(rèn)證方式。在南山教育信息網(wǎng)主門戶網(wǎng)站中，將提供統(tǒng)的登錄入口，用戶登錄之后，進(jìn)入其個(gè)人首頁，個(gè)人首頁中提供用戶有權(quán)訪問的應(yīng)用系統(tǒng)資源,用戶從該處可以以單點(diǎn)登錄的方式進(jìn)入各應(yīng)用系統(tǒng)。3.1.2.2 單點(diǎn)登錄用戶經(jīng)過統(tǒng)認(rèn)證之后，方式南山教育信息網(wǎng)內(nèi)

13、各夕應(yīng)用系統(tǒng)時(shí)，應(yīng)支持單點(diǎn)登錄功能，用戶只需輸入次用戶名和密碼，就可訪問平臺所有被授權(quán)訪問的系統(tǒng)，而無需二次輸入用戶名和密碼。平臺需要支持2類B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)的單點(diǎn)登錄：1、使用統(tǒng)帳號的新建應(yīng)用系統(tǒng)，其單點(diǎn)登錄支持需要支持各種異構(gòu)系統(tǒng)，比如基于微軟技術(shù)的、Java技術(shù)的、Php技術(shù)的等等，這種方式對于用戶來說使用的就是統(tǒng)帳號和則需要按照平臺的規(guī)范性要求實(shí)對于應(yīng)用系統(tǒng)來說，不需要其自身再進(jìn)行任何設(shè)置，密碼，現(xiàn)單點(diǎn)登錄接口，能夠獲取到用戶的統(tǒng)一身份信息。2、非使用統(tǒng)帳號的原有應(yīng)用系統(tǒng)，其單點(diǎn)登錄支持的是基于Form的表單式認(rèn)證，平臺提供用戶自助式的原系統(tǒng)用戶名、密碼配置界而，用戶配置好原系統(tǒng)的

14、認(rèn)證信息后，在訪問原系統(tǒng)時(shí),平臺將身份信息以代理的方式提交給原系統(tǒng)，完成登錄。3.1.3 應(yīng)用系統(tǒng)自身的用戶及認(rèn)證管理南山教育信息內(nèi)各新建的應(yīng)用系統(tǒng)的用戶管理和認(rèn)證與統(tǒng)用戶管理認(rèn)證平臺做整合，以統(tǒng)用戶管理認(rèn)證系統(tǒng)為主，以應(yīng)用系統(tǒng)自身的用戶管理和認(rèn)證為輔。3.1.3.1 應(yīng)用系統(tǒng)用戶管理各應(yīng)用系統(tǒng)仍然具備自身的用戶管理，保持其獨(dú)立性。主要維護(hù)其本系統(tǒng)內(nèi)的些統(tǒng)用戶之外的個(gè)性化信息參數(shù)，用戶的創(chuàng)建由平臺發(fā)起，不能由應(yīng)用系統(tǒng)首先創(chuàng)建。應(yīng)用系統(tǒng)需要開發(fā)用戶信息同步接口，負(fù)賁本系統(tǒng)內(nèi)用戶帳號信息的創(chuàng)建、修改、刪除工作。平臺在授權(quán)后會將用戶帳號信息同步到應(yīng)用系統(tǒng)中，平臺在刪除用戶后也將通過同步接口將用戶從應(yīng)

15、用系統(tǒng)中刪除。3.1.3.2 應(yīng)用系統(tǒng)用戶認(rèn)證各應(yīng)用系統(tǒng)仍然可以具備自身的用戶登錄認(rèn)證功能，保持其獨(dú)立性。應(yīng)用系統(tǒng)自身的登錄認(rèn)證,只完成其本身的登錄，并沒有登錄到統(tǒng)一平臺。3.2 對性能的規(guī)定3.2.1 精度支持10萬級用戶的身份認(rèn)證，支持3000并發(fā)認(rèn)證。3.2.2 時(shí)間特性要求響應(yīng)時(shí)間在2秒以內(nèi)，不能超過5秒。3.2.3 靈活性系統(tǒng)從結(jié)構(gòu)上及功能上應(yīng)該具備良好的靈活性，能夠滿足用戶不斷發(fā)展的復(fù)雜業(yè)務(wù)需求。降低使用維護(hù)過程中的難度。3.3 輸人輸出要求3.3.1 用戶信息用戶基本信息至少包括姓名、性別、身份證、所屬單位。3.3.2 認(rèn)證信息用戶認(rèn)證所需的帳號信息至少包括登錄帳號、密碼、密碼有

16、效期。3.4 數(shù)據(jù)管理能力要求能夠管理20萬級別的用戶信息管理。3.5 故障處理要求系統(tǒng)具備集群功能，防止系統(tǒng)單點(diǎn)故障。3.6 其他專門要求無4運(yùn)行環(huán)境規(guī)定4.1設(shè)備2臺TAM服務(wù)器，4臺WebSeal服務(wù)器，性能條件建筑在以下具體配置要求之上：)二級緩存2x6MB集成前端總線，1333(2.66GHz,處理器5430XeonIntel兩個(gè)四核1.2 .8GB(4x2GB)兩路交錯PC2-5300全緩沖DDR2-667內(nèi)存3 .支持高級ECC,鏡相內(nèi)存和在線備用內(nèi)存，8個(gè)內(nèi)存插槽，最大內(nèi)存可以擴(kuò)充到32GB：4 .集成雙千兆網(wǎng)卡，帶TCP/IPOffload引擎，可實(shí)現(xiàn)加速iSCSI,2個(gè)I/O擴(kuò)展槽：5 .集成SAS智能陣列控制器，支持RAID0