統(tǒng)一用戶管理及認(rèn)證平臺需求說明書

1、南而置教育儒屐闕魔鷹系統(tǒng)11統(tǒng)一用戶管理與認(rèn)證平臺需求說明書項目及文檔信息發(fā)布日期：2008-9-30項目名稱南山區(qū)教育信息網(wǎng)應(yīng)用系統(tǒng)合同號項目合同編號項目經(jīng)理楊巨龍客戶負(fù)責(zé)人石義琦文檔編號項目代號-文檔類型-流水號模板編號版本信息*A代表新增，M代表修改，D代表刪除版本號""發(fā)布日期提交人審閱人A.M.D更新位置更新摘要1.02008-9-30擬初稿1 引言31.1 編寫目的31.2 背景31.3 定義31.4 參考資料42 任務(wù)概述42.1 目標(biāo)42.2 用戶的特點42.3 假定和約束53 需求規(guī)定53.1 對功能的規(guī)定53.1.1 統(tǒng)一用戶管理53.1.2 統(tǒng)一認(rèn)證與

2、單點登錄73.1.3 應(yīng)用系統(tǒng)自身的用戶及認(rèn)證管理83.2 對性能的規(guī)定83.2.1 精度83.2.2 時間特性要求83.2.3 靈活性93.3 輸人輸出要求93.3.1 用戶信息93.3.2 認(rèn)證信息93.4 數(shù)據(jù)管理能力要求93.5 故障處理要求93.6 其他專門要求94 運(yùn)行環(huán)境規(guī)定94.1 設(shè)備94.2 支持軟件104.3 接口104.4 控制101引言1.1 編寫目的本文檔的編寫目的在于確定南山教育信息網(wǎng)統(tǒng)一用戶管理與認(rèn)證平臺的需求內(nèi)容，成為后續(xù)開發(fā)建設(shè)和驗收的依據(jù)。1.2 背景在應(yīng)用系統(tǒng)的建設(shè)中，用戶身份和認(rèn)證信息的管理是最關(guān)鍵的一部分。但是由于需求總是在不斷變化和發(fā)展，應(yīng)用系統(tǒng)也

3、會不斷的增加或淘汰。因此，應(yīng)用系統(tǒng)通常都是在不同平臺上、由不同開發(fā)商開發(fā)，使用的技術(shù)不一致，容易造成每套系統(tǒng)都有獨(dú)立的用戶身份管理，登錄不同應(yīng)用系統(tǒng)需要多次登錄。對于用戶來說，每增加一個新的應(yīng)用，需要記憶一套新的用戶名/密碼，負(fù)責(zé)的業(yè)務(wù)范圍越大，需要記憶的用戶名/密碼組越多。設(shè)定一樣的密碼，不夠安全；密碼設(shè)定不一樣，記憶困難，每次訪問應(yīng)用系統(tǒng)，需要重復(fù)輸入用戶名/密碼，在一個系統(tǒng)中修改了密碼，其他系統(tǒng)的密碼不會隨之改變。對于系統(tǒng)管理員而言，沒有一個統(tǒng)一的用戶管理系統(tǒng)，就會在新進(jìn)人員時，需要到眾多系統(tǒng)中逐一建立帳號；人員離職時，需要到眾多系統(tǒng)中逐一刪除帳號，給系統(tǒng)管理員的工作造成了繁重負(fù)擔(dān)，還容

4、易造成各系統(tǒng)中人員身份信息的不一致。對于南山區(qū)學(xué)校領(lǐng)導(dǎo)、教師和學(xué)生等用戶，由于其可以享受大量教育資源服務(wù)，為防止他人冒名頂替、盜用資源，故須對這些“合法”用戶要進(jìn)行統(tǒng)一的實名認(rèn)證。1.3 定義統(tǒng)一認(rèn)證平臺：南山教育信息網(wǎng)的應(yīng)用支撐性平臺，包括了統(tǒng)一用戶、應(yīng)用資源的管理以及各應(yīng)用資源的統(tǒng)一認(rèn)證管理。統(tǒng)一用戶管理：負(fù)責(zé)管理南山教育信息網(wǎng)全體實名用戶的身份管理，并分配各分項應(yīng)用子系統(tǒng)中具有使用權(quán)的用戶，將統(tǒng)一用戶信息同步到應(yīng)用子系統(tǒng)中。統(tǒng)一認(rèn)證：負(fù)責(zé)南山教育信息網(wǎng)的統(tǒng)一用戶認(rèn)證以及單點登錄支持，用戶通過平臺統(tǒng)一單點登錄需要各應(yīng)用系統(tǒng)支登錄之后可以單點登錄訪問其權(quán)限范圍內(nèi)的各分項應(yīng)用子系統(tǒng)，持統(tǒng)一認(rèn)證

5、接口。1.4 參考資料招標(biāo)文件南山區(qū)教育信息網(wǎng)應(yīng)用系統(tǒng)軟件開發(fā)與集成服務(wù)2 任務(wù)概述2.1 目標(biāo)（ 1）用戶組織與權(quán)限管理：建立一套有效的用來管理網(wǎng)絡(luò)資源、用戶身份的平臺，實現(xiàn)組織、用戶和資源的集中管理和授權(quán)，管理員不再分散管理用戶，系統(tǒng)具有很高安全性和靈活性。（ 2）統(tǒng)一認(rèn)證管理：單點登錄功能是實現(xiàn)統(tǒng)一身份認(rèn)證系統(tǒng)的首要目標(biāo)，實現(xiàn)讓用戶在經(jīng)過一次網(wǎng)絡(luò)身份驗證后，就可以訪問所有授權(quán)的網(wǎng)絡(luò)資源，而不需要額外驗證，支持多種認(rèn)證方式（用戶名密碼、證書、USB。這里的網(wǎng)絡(luò)資源，主要是指基于Web方式的應(yīng)用系統(tǒng)。（ 3）應(yīng)用系統(tǒng)管理：在實現(xiàn)了用戶統(tǒng)一認(rèn)證的基礎(chǔ)上，制定出一套規(guī)范的用戶單點登錄機(jī)制，提供用

6、戶身份統(tǒng)一訪問接口，要求所有新建且可以經(jīng)過統(tǒng)一身份認(rèn)證系統(tǒng)認(rèn)證的應(yīng)用系統(tǒng)，涉及的賬號一定是統(tǒng)一身份認(rèn)證系統(tǒng)的用戶帳號。這些應(yīng)用系統(tǒng)必須被統(tǒng)一身份認(rèn)證系統(tǒng)所管理，管理平臺設(shè)置可以訪問此應(yīng)用系統(tǒng)的用戶、組織或角色等。（ 4）舊系統(tǒng)策略：提供自動代理登錄（自動登陸到其它目標(biāo)業(yè)務(wù)系統(tǒng)）功能，實現(xiàn)統(tǒng)一用戶可以單點登錄舊系統(tǒng)，代理登陸所需要的用戶信息保存在獨(dú)立數(shù)據(jù)庫中。（ 5）日志管理：可以查看用戶登錄以及用戶同步的日志記錄。2.2 用戶的特點南山教育信息網(wǎng)的用戶涉及到南山教育局以及下屬的各個學(xué)校和機(jī)構(gòu)的全體用戶，具體包括：約1萬的教職工用戶，約10萬的中小學(xué)生用戶、約10萬的家長用戶。所有這些用戶都將由

7、統(tǒng)一認(rèn)證平臺統(tǒng)一管理，平臺管理員有權(quán)管理所有的用戶信息，而各個單位（如某個學(xué)校）的管理員可以管理本單位的用戶信息，普通的用戶可以使用自己的帳號通過平臺進(jìn)行統(tǒng)一登錄，然后單點式的訪問南山教育信息網(wǎng)類自身具有權(quán)限的應(yīng)用系統(tǒng)資源，不再需要為訪問某一個應(yīng)用系統(tǒng)而分別輸入用戶、密碼。2.3 假定和約束南山教育信息網(wǎng)具備全局的統(tǒng)一用戶庫，各分項的應(yīng)用子系統(tǒng)可以仍然具備自身的用戶體系，但用戶信息源于統(tǒng)一用戶庫，用戶的產(chǎn)生由統(tǒng)一用戶管理負(fù)責(zé)，各應(yīng)用系統(tǒng)接收平臺發(fā)送的用戶同步信息。各應(yīng)用系統(tǒng)必須提供相關(guān)的接口以支持單點登錄，對于已有的應(yīng)用系統(tǒng)而言，通過基于用戶映射的代理訪問方式，不需要單獨(dú)開發(fā)單點登錄接口。3

8、需求規(guī)定3.1 對功能的規(guī)定3.1.1 統(tǒng)一用戶管理平臺提供南山教育信息網(wǎng)全體實名用戶的用戶資料信息集中存儲，這些資料由統(tǒng)一用戶認(rèn)證平臺集中管理，平臺管理員可以維護(hù)所有人員的用戶信息，各單位的管理員只能維護(hù)其本單位的用戶信息。用戶的信息包括應(yīng)包括3個層面的含義：1、用戶的人事類基礎(chǔ)信息，諸如姓名、性別、戶籍、身份證、職務(wù)、聯(lián)系電話、電子郵箱、學(xué)歷、學(xué)位等等，這些信息不涉及安全登錄，但可以作為用戶登錄帳號信息的生成來源。2、用戶的帳號信息，諸如登錄帳號、密碼、密碼有效期、登錄方式等，這些信息涉及安全登錄，在進(jìn)行用戶認(rèn)證時，構(gòu)成校驗信息的主體。3、權(quán)限信息，指用戶可以訪問哪些應(yīng)用系統(tǒng)資源。統(tǒng)一用戶

9、管理具體由以下功能組成。3.1.1.1 人事信息管理人事信息資料的管理是帳號管理體系的基礎(chǔ)工作，它具有對學(xué)生人事信息和教職工信息的管理職能，提供人事信息查詢、修改、 統(tǒng)計、 增加、 檢驗、 帳號查詢等功能。系統(tǒng)應(yīng)支持從Excel批量導(dǎo)入人事信息的功能，同時也支持針對單個個體的創(chuàng)建及維護(hù)功能，便于管理。3.1.1.2 帳號信息管理帳號管理是整個統(tǒng)一用戶管理體系的核心，它負(fù)責(zé)用戶登錄帳號的生成、注冊、掛失、解掛、維護(hù)等功能。帳號信息至少包括登錄帳號、密碼等，作為與應(yīng)用系統(tǒng)進(jìn)行用戶同步的基礎(chǔ)，帳號信息也包含了主要的一些人事類信息，如姓名、性別、身份證、民族、籍貫、職務(wù)等。用戶的帳號必須唯一，同時其密

10、碼的設(shè)定應(yīng)不能過于簡單，安全起見應(yīng)具備一定的復(fù)雜度。對于用戶個人來說，應(yīng)該具備密碼修改的功能，保證其帳號的安全性。3.1.1.3 應(yīng)用系統(tǒng)管理作為用戶管理主體，統(tǒng)一用戶認(rèn)證平臺負(fù)責(zé)了整個南山教育信息網(wǎng)的全體用戶信息的管理，各分項的應(yīng)用系統(tǒng)受平臺管理約束，各系統(tǒng)的用戶信息來源于統(tǒng)一用戶，為了將統(tǒng)一用戶信息分配到各個子系統(tǒng)，需要將應(yīng)用系統(tǒng)注冊到平臺之中，并記錄各系統(tǒng)支持用戶信息同步的接口。3.1.1.4 用戶權(quán)限管理南山教育信息網(wǎng)的用戶并不是可以訪問全部的應(yīng)用系統(tǒng)，因此必須具有相關(guān)的權(quán)限管理。統(tǒng)一認(rèn)證平臺的用戶權(quán)限管理并不涉及到用戶對于各個應(yīng)用系統(tǒng)的業(yè)務(wù)權(quán)限，而是指定哪些用戶可以訪問哪些應(yīng)用系統(tǒng)，

11、分配一個用戶可以使用哪個應(yīng)用系統(tǒng)之后，他的用戶信息就被同步到相應(yīng)的應(yīng)用系統(tǒng)之中。3.1.1.5 用戶信息同步用戶具備某個應(yīng)用系統(tǒng)的權(quán)限之后，他應(yīng)用在該系統(tǒng)中具有用戶身份，由于用戶信息由平臺統(tǒng)一管理，因此就需要將用戶信息同步到應(yīng)用系統(tǒng)中。同步的用戶信息指的是用戶的帳號信息，平臺應(yīng)具備通用的用戶信息同步接口，負(fù)責(zé)將統(tǒng)一帳號信息以通用的接口方式發(fā)送給各個應(yīng)用系統(tǒng)，各系統(tǒng)按照平臺的規(guī)范性要求實現(xiàn)自身自身的用戶信息同步接口，獲取統(tǒng)一用戶信息后，完成用戶從平臺到各系統(tǒng)的新增、修改、刪除的同步操作。3.1.1.6 日志管理系統(tǒng)具備用戶同步日志管理功能，可以查看同步是否成功，同步不成功時也可以看到具體的錯誤跟

12、蹤信息。系統(tǒng)具備用戶登錄日志管理功能，可以查看用戶的登錄情況。3.1.2 統(tǒng)一認(rèn)證與單點登錄3.1.2.1 統(tǒng)一認(rèn)證作為南山教育信息網(wǎng)的應(yīng)用基礎(chǔ)，統(tǒng)一認(rèn)證平臺應(yīng)提供用戶帳號身份的集中驗證功能，驗證通過之后，用戶具有的全局的身份，當(dāng)他再訪問網(wǎng)內(nèi)的其他應(yīng)用子系統(tǒng)時，不再需要進(jìn)行身份認(rèn)證。統(tǒng)一認(rèn)證只需要支持B/S架構(gòu)的認(rèn)證方式，具體可以支持NTLM、Kerberosv5.0、BASIC認(rèn)證、摘要認(rèn)證、LDAP認(rèn)證等多種認(rèn)證協(xié)議，并支持用戶名/密碼、數(shù)字證書、卡認(rèn)證等多種認(rèn)證方式，以支持在不同應(yīng)用場景下的用戶認(rèn)證請求。對于南山教育信息網(wǎng)本期項目而言，只統(tǒng)一使用用戶名/密碼的認(rèn)證方式。在南山教育信息網(wǎng)主

13、門戶網(wǎng)站中，將提供統(tǒng)一的登錄入口，用戶登錄之后，進(jìn)入其個人首頁，個人首頁中提供了用戶有權(quán)訪問的應(yīng)用系統(tǒng)資源，用戶從該處可以以單點登錄的方式進(jìn)入各應(yīng)用系統(tǒng)。3.1.2.2 單點登錄用戶經(jīng)過統(tǒng)一認(rèn)證之后，方式南山教育信息網(wǎng)內(nèi)各子應(yīng)用系統(tǒng)時，應(yīng)支持單點登錄功能，用戶只需輸入一次用戶名和密碼，就可訪問平臺所有被授權(quán)訪問的系統(tǒng)，而無需二次輸入用戶名和密碼。平臺需要支持2類B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)的單點登錄：1、使用統(tǒng)一帳號的新建應(yīng)用系統(tǒng)，其單點登錄支持需要支持各種異構(gòu)系統(tǒng)，比如基于微軟技術(shù)的、Java技術(shù)的、Php技術(shù)的等等，這種方式對于用戶來說使用的就是統(tǒng)一帳號和密碼，不需要其自身再進(jìn)行任何設(shè)置，對于應(yīng)用

14、系統(tǒng)來說，則需要按照平臺的規(guī)范性要求實現(xiàn)單點登錄接口，能夠獲取到用戶的統(tǒng)一身份信息。2、 非使用統(tǒng)一帳號的原有應(yīng)用系統(tǒng)，其單點登錄支持的是基于Form的表單式認(rèn)證，平臺提供用戶自助式的原系統(tǒng)用戶名、密碼配置界面，用戶配置好原系統(tǒng)的認(rèn)證信息后，在訪問原系統(tǒng)時，平臺將身份信息以代理的方式提交給原系統(tǒng)，完成登錄。3.1.3 應(yīng)用系統(tǒng)自身的用戶及認(rèn)證管理南山教育信息內(nèi)各新建的應(yīng)用系統(tǒng)的用戶管理和認(rèn)證與統(tǒng)一用戶管理認(rèn)證平臺做整合，以統(tǒng)一用戶管理認(rèn)證系統(tǒng)為主，以應(yīng)用系統(tǒng)自身的用戶管理和認(rèn)證為輔。3.1.3.1 應(yīng)用系統(tǒng)用戶管理各應(yīng)用系統(tǒng)仍然具備自身的用戶管理，保持其獨(dú)立性。主要維護(hù)其本系統(tǒng)內(nèi)的一些統(tǒng)一用戶

15、之外的個性化信息參數(shù)，用戶的創(chuàng)建由平臺發(fā)起，不能由應(yīng)用系統(tǒng)首先創(chuàng)建。應(yīng)用系統(tǒng)需要開發(fā)用戶信息同步接口，負(fù)責(zé)本系統(tǒng)內(nèi)用戶帳號信息的創(chuàng)建、修改、刪除工作。平臺在授權(quán)后會將用戶帳號信息同步到應(yīng)用系統(tǒng)中，平臺在刪除用戶后也將通過同步接口將用戶從應(yīng)用系統(tǒng)中刪除。3.1.3.2 應(yīng)用系統(tǒng)用戶認(rèn)證各應(yīng)用系統(tǒng)仍然可以具備自身的用戶登錄認(rèn)證功能，保持其獨(dú)立性。應(yīng)用系統(tǒng)自身的登錄認(rèn)證，只完成其本身的登錄，并沒有登錄到統(tǒng)一平臺。3.2 對性能的規(guī)定3.2.1 精度支持10萬級用戶的身份認(rèn)證，支持3000并發(fā)認(rèn)證。3.2.2 時間特性要求響應(yīng)時間在2秒以內(nèi)，不能超過5秒。3.2.3 靈活性系統(tǒng)從結(jié)構(gòu)上及功能上應(yīng)該具備

16、良好的靈活性，能夠滿足用戶不斷發(fā)展的復(fù)雜業(yè)務(wù)需求。降低使用維護(hù)過程中的難度。3.3 輸人輸出要求3.3.1 用戶信息用戶基本信息至少包括姓名、性別、身份證、所屬單位。3.3.2 認(rèn)證信息用戶認(rèn)證所需的帳號信息至少包括登錄帳號、密碼、密碼有效期。3.4 數(shù)據(jù)管理能力要求能夠管理20萬級別的用戶信息管理。3.5 故障處理要求系統(tǒng)具備集群功能，防止系統(tǒng)單點故障。3.6 其他專門要求無。4 運(yùn)行環(huán)境規(guī)定4.1 設(shè)備2臺TAM服務(wù)器，4臺WebSeal服務(wù)器，性能條件建筑在以下具體配置要求之上：1. 兩個四核IntelXeon5430處理器（2.66GHz,1333前端總線，集成2x6MB二級緩存）；2. 8GB(4x2GB)兩路交錯PC2-5300全緩沖DDR2-667內(nèi)存3. 支持高級ECC鏡相內(nèi)存和在線備用內(nèi)存，8個內(nèi)存插槽，最大內(nèi)存可以擴(kuò)充到32GB4. 集成雙千兆網(wǎng)卡,帶TCP/IPOffload引擎，可實現(xiàn)加速iSCSI,2個I/O擴(kuò)展槽；5 .集成SAS智能陣列控制器，支持RAID0,1,支持2個小尺寸SAS