中小學(xué)智慧校園軟件解決方案技術(shù)白皮書

智慧校園軟件處理方案白皮書

目錄1. 總體框架 32. 技術(shù)路線 42.1. 編程語(yǔ)言 52.2. 面向?qū)ο蠼M件技術(shù) 52.3. 應(yīng)用程序開發(fā)與運(yùn)行結(jié)構(gòu) 52.4. 動(dòng)態(tài)網(wǎng)頁(yè)生成技術(shù) 63. 信息標(biāo)準(zhǔn)和規(guī)范系統(tǒng) 64. 基礎(chǔ)支撐平臺(tái) 84.1. 統(tǒng)一身份認(rèn)證系統(tǒng) 84.1.1. 設(shè)計(jì)關(guān)鍵點(diǎn) 84.1.2. 系統(tǒng)框架 94.1.3. 統(tǒng)一授權(quán)管理 164.1.4. 單點(diǎn)登錄服務(wù) 254.1.5. 系統(tǒng)布署說(shuō)明 384.1.6. 平臺(tái)可靠性和擴(kuò)展性 404.2. 統(tǒng)一信息門戶平臺(tái) 404.2.1. 設(shè)計(jì)關(guān)鍵點(diǎn) 404.2.2. 平臺(tái)框架 414.2.3. 門戶運(yùn)行環(huán)境 414.2.4. 平臺(tái)主要功效 424.2.5. 平臺(tái)布署及性能說(shuō)明 454.2.6. 平臺(tái)可靠性和擴(kuò)展性說(shuō)明 474.2.7. 平臺(tái)安全性考慮 474.3. 數(shù)據(jù)中心平臺(tái) 484.3.1. 技術(shù)路線 504.3.2. 設(shè)計(jì)關(guān)鍵點(diǎn) 504.3.3. 平臺(tái)框架 524.3.4. 應(yīng)用集成與數(shù)據(jù)集成 534.3.5. 數(shù)據(jù)交換機(jī)制 554.3.6. 平臺(tái)布署及性能說(shuō)明 59

總體框架億陽(yáng)信通智慧校園總體框架如圖所表示：該框架以“師生”為關(guān)鍵，圍繞智慧校園資源、管理和服務(wù)三要素，依靠數(shù)據(jù)中心及應(yīng)用支撐平臺(tái)，重點(diǎn)建設(shè)校園資源中心、校園管理中心、校園服務(wù)中心應(yīng)用系統(tǒng)，形成數(shù)字化教學(xué)環(huán)境、科研環(huán)境和生活環(huán)境。技術(shù)路線智慧校園應(yīng)用系統(tǒng)應(yīng)采取成熟先進(jìn)技術(shù)規(guī)范，設(shè)計(jì)上盡可能降低各子系統(tǒng)間相互依賴性（包含軟件對(duì)平臺(tái)、軟件對(duì)數(shù)據(jù)、軟件對(duì)軟件、平臺(tái)對(duì)平臺(tái)等），某個(gè)子系統(tǒng)降低、增加和變更，不影響其它子系統(tǒng)和整體，從而最大程度地保護(hù)現(xiàn)有投資，降低系統(tǒng)維護(hù)量和再投入。在應(yīng)用系統(tǒng)整體化、模塊化和規(guī)?；瑫r(shí)，確保應(yīng)用系統(tǒng)在技術(shù)上、經(jīng)濟(jì)上可連續(xù)發(fā)展。億陽(yáng)信通智慧校園軟件系統(tǒng)遵照以下技術(shù)路線：采取“跨平臺(tái)”編程語(yǔ)言。采取獨(dú)立于開發(fā)環(huán)境面向?qū)ο蠼M件技術(shù)，如EJBs(EnterpriseJavaBeans)，整個(gè)系統(tǒng)主要“應(yīng)用邏輯”由組件組成，系統(tǒng)架構(gòu)提供了良好伸縮性，使系統(tǒng)能夠輕易地組合與拆分各功效模塊。應(yīng)用軟件平臺(tái)開發(fā)及運(yùn)行架構(gòu)采取三層結(jié)構(gòu)，即Web服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器，在不影響系統(tǒng)其它部分情況下，確保了應(yīng)用服務(wù)器與其它應(yīng)用有效和無(wú)縫整合，同時(shí)支持大規(guī)模并發(fā)用戶訪問。采取模版（Template)技術(shù)生成動(dòng)態(tài)網(wǎng)頁(yè)，為用戶提供基于角色和權(quán)限內(nèi)容和數(shù)據(jù)服務(wù)。架構(gòu)實(shí)現(xiàn)采取Java語(yǔ)言和EJBs技術(shù)，在數(shù)據(jù)交換上支持XML，使系統(tǒng)功效最優(yōu)化，同時(shí)將系統(tǒng)內(nèi)部相互依賴性減至最低。編程語(yǔ)言遵照J(rèn)2EE(Java2EnterpriseEdition)規(guī)范，采取Java語(yǔ)言和服務(wù)器端Java技術(shù)（包含EJBs、Servlet、JNDI、JDBC和RMI等）開發(fā)系統(tǒng)。Java作為Web應(yīng)用事實(shí)標(biāo)準(zhǔn)，其獨(dú)立于操作系統(tǒng)和服務(wù)器“跨平臺(tái)性”，使其“一次編寫，四處運(yùn)行”，是WEB軟件系統(tǒng)最適合編程語(yǔ)言。相對(duì)于嵌入HTML、受限于用戶端顯示、編程能力有限腳本語(yǔ)言，Java能力完整，能夠開發(fā)具備強(qiáng)大“業(yè)務(wù)邏輯”大型應(yīng)用系統(tǒng)。面向?qū)ο蠼M件技術(shù)軟件編程由依賴于特定單機(jī)，到依賴于操作系統(tǒng)，已發(fā)展到今天面向?qū)ο蠼M件技術(shù)。面向?qū)ο蠼M件技術(shù)是一個(gè)完全獨(dú)立于硬件和操作系統(tǒng)開發(fā)環(huán)境，著重于應(yīng)用程序“業(yè)務(wù)對(duì)象”可重復(fù)使用組件，利用這些組件，能夠像搭積木一樣建立分布式應(yīng)用系統(tǒng)。面向?qū)ο蠼M件技術(shù)在異構(gòu)、分布環(huán)境下為不一樣機(jī)器上應(yīng)用提供了互操作性，并無(wú)縫地集成了多個(gè)對(duì)象系統(tǒng)；另首先，組件大大加緊了軟件開發(fā)速度，降低了軟件開發(fā)和再開發(fā)成本。應(yīng)用程序開發(fā)與運(yùn)行結(jié)構(gòu)開發(fā)及運(yùn)行結(jié)構(gòu)基于三層架構(gòu)，即Web服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器。利用這種架構(gòu)能夠：（1）將“業(yè)務(wù)邏輯”從Web服務(wù)器中分出，在應(yīng)用服務(wù)器中用獨(dú)立和完整編程語(yǔ)言而不是“腳本語(yǔ)言”開發(fā)應(yīng)用程序，同時(shí)使系統(tǒng)支持任何HTML顯示工具；（2）應(yīng)用服務(wù)器能夠作為數(shù)據(jù)庫(kù)訪問請(qǐng)求“緩沖區(qū)”，能夠重新安排、管理數(shù)據(jù)庫(kù)訪問。經(jīng)過JavaServlets引擎多線程處理，能夠極大地提升系統(tǒng)響應(yīng)性能和數(shù)據(jù)庫(kù)訪問效率；（3）應(yīng)用服務(wù)器能夠作為與其它應(yīng)用程序集成結(jié)合點(diǎn)，在不影響系統(tǒng)其它部分情況下與其它應(yīng)用有效、無(wú)縫集成。動(dòng)態(tài)網(wǎng)頁(yè)生成技術(shù)信息公布采取基于模版動(dòng)態(tài)網(wǎng)頁(yè)生成技術(shù)。用戶界面版面和顯示效果由預(yù)先制作模版實(shí)現(xiàn)，并支持任何標(biāo)準(zhǔn)化HTML工具，嵌入模版Java程序依照用戶角色和權(quán)限提取對(duì)應(yīng)內(nèi)容和數(shù)據(jù)，配合模版自動(dòng)合成針對(duì)用戶個(gè)性化動(dòng)態(tài)網(wǎng)頁(yè)。信息標(biāo)準(zhǔn)和規(guī)范系統(tǒng)信息標(biāo)準(zhǔn)是智慧校園建設(shè)重心，是學(xué)校各信息系統(tǒng)進(jìn)行數(shù)據(jù)采集、處理、交換、傳輸前提，也是構(gòu)建新應(yīng)用需要遵照標(biāo)準(zhǔn)。億陽(yáng)信通按以下標(biāo)準(zhǔn)建設(shè)智慧校園信息標(biāo)準(zhǔn)：唯一性：標(biāo)準(zhǔn)采取樹形體系結(jié)構(gòu)，唯一項(xiàng)、唯一路徑、唯一編碼。規(guī)范性：充分參考國(guó)家相關(guān)最新標(biāo)準(zhǔn)、教育部《教育管理信息化標(biāo)準(zhǔn)》、北京市教委相關(guān)標(biāo)準(zhǔn)和各區(qū)縣教委相關(guān)標(biāo)準(zhǔn)。適用性：標(biāo)準(zhǔn)制訂充分考慮學(xué)校實(shí)際情況，以應(yīng)用為目標(biāo)。兼容性：對(duì)標(biāo)準(zhǔn)實(shí)施版本化維護(hù)管理。高版本兼容低版本。同一個(gè)版本，維護(hù)其不一樣內(nèi)容一致性。學(xué)校校內(nèi)標(biāo)準(zhǔn)兼容教育部及其它管理部門標(biāo)準(zhǔn)，方便數(shù)據(jù)上報(bào)?？晒芾硇裕合到y(tǒng)提供數(shù)據(jù)標(biāo)準(zhǔn)集、數(shù)據(jù)代碼集、自定義代碼集、數(shù)據(jù)代碼映射等提供B/S架構(gòu)可視化管理工具，具備初始化、新增、刪除、修改等維護(hù)功效，支持分類檢索、輸出、數(shù)據(jù)展示等瀏覽功效?？蓴U(kuò)展性：支持標(biāo)準(zhǔn)增加和變更，具備維護(hù)統(tǒng)計(jì)和回溯功效，而且對(duì)應(yīng)用該標(biāo)準(zhǔn)業(yè)務(wù)系統(tǒng)透明。全部歷史版本可查詢，可比較差異。管理信息標(biāo)準(zhǔn)體系結(jié)構(gòu)包含以下幾個(gè)方面：一組相關(guān)數(shù)據(jù)元集合，對(duì)數(shù)據(jù)元屬性規(guī)范描述（又稱之為元數(shù)據(jù)標(biāo)準(zhǔn)化），屬性包含了數(shù)據(jù)項(xiàng)名稱、漢字簡(jiǎn)稱、類型、長(zhǎng)度、可選性、取值范圍等。為了確保數(shù)據(jù)錄入規(guī)范、便于查找和統(tǒng)計(jì)，每個(gè)管理子集都對(duì)應(yīng)著對(duì)應(yīng)標(biāo)準(zhǔn)代碼，代碼分國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和學(xué)校標(biāo)準(zhǔn)。系統(tǒng)遵照國(guó)家教育管理信息系統(tǒng)互操作規(guī)范，能夠與北京市教委制訂小學(xué)應(yīng)用互操作框架（簡(jiǎn)稱CIF）無(wú)縫對(duì)接，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)間規(guī)范數(shù)據(jù)共享。CIF實(shí)現(xiàn)規(guī)范也定義了基于XML標(biāo)準(zhǔn)CIF數(shù)據(jù)模型，支持小學(xué)數(shù)據(jù)對(duì)象在應(yīng)用系統(tǒng)間共享?！敖處煛焙汀皩W(xué)生”是智慧校園系統(tǒng)包括兩大數(shù)據(jù)對(duì)象，業(yè)務(wù)數(shù)據(jù)實(shí)體主要由這兩大對(duì)象映射產(chǎn)生。經(jīng)過“教師”對(duì)象產(chǎn)生數(shù)據(jù)實(shí)體主要有教案、作業(yè)、教學(xué)成績(jī)、教學(xué)計(jì)劃等一系列和教師教育教學(xué)活動(dòng)相關(guān)數(shù)據(jù)；經(jīng)過“學(xué)生”對(duì)象產(chǎn)生數(shù)據(jù)實(shí)體主要有考試成績(jī)、課堂表現(xiàn)、獲獎(jiǎng)、畢業(yè)去向等一系列和學(xué)生學(xué)習(xí)成長(zhǎng)相關(guān)數(shù)據(jù)。這些數(shù)據(jù)存放在智慧校園數(shù)據(jù)中心，經(jīng)過綜合統(tǒng)計(jì)分析，又產(chǎn)生大量衍生數(shù)據(jù)，如教師分布情況、學(xué)生分布情況、考試成績(jī)綜合統(tǒng)計(jì)分析等，這些數(shù)據(jù)能夠?yàn)閷W(xué)校管理層提供微觀和宏觀決議支持，使領(lǐng)導(dǎo)能夠直觀了解各個(gè)部門乃至整個(gè)學(xué)校運(yùn)行情況。詳細(xì)數(shù)據(jù)模型框架以下列圖所表示：基礎(chǔ)支撐平臺(tái)統(tǒng)一身份認(rèn)證系統(tǒng)應(yīng)用系統(tǒng)假如采取各自獨(dú)立身份認(rèn)證機(jī)制，用戶就要記憶不一樣系統(tǒng)中賬號(hào)/密碼。為方便師生使用，處理多應(yīng)用帶來(lái)多賬號(hào)問題，需要建立統(tǒng)一身份管理平臺(tái)，用戶在平臺(tái)上登錄一次就能夠訪問全部具備權(quán)限應(yīng)用。統(tǒng)一身份認(rèn)證以IDM/IM（身份認(rèn)證管理）為基礎(chǔ)提供安全用戶身份管理功效，并配合AccessManager基于代理架構(gòu)訪問控制，提供Web應(yīng)用單點(diǎn)登錄和Web應(yīng)用保護(hù)。IDM/IM都集成了DirectoryServer(LDAP)目錄服務(wù)器來(lái)存放統(tǒng)一身份庫(kù)信息。統(tǒng)一身份認(rèn)證實(shí)現(xiàn)功效以下：1.建立統(tǒng)一集中身份庫(kù)——統(tǒng)一身份數(shù)據(jù)中心，對(duì)各應(yīng)用系統(tǒng)全部用戶提供集中和統(tǒng)一管理，同時(shí)依照各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)認(rèn)證方式不一樣提供靈活認(rèn)證機(jī)制；2.在集中身份庫(kù)基礎(chǔ)上，在滿足數(shù)字校園管理平臺(tái)信息系統(tǒng)內(nèi)部業(yè)務(wù)流程規(guī)則前提下，經(jīng)過身份管理技術(shù)實(shí)現(xiàn)身份庫(kù)與各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)(門戶、OA、教學(xué)、教務(wù)等系統(tǒng))用戶身份信息自動(dòng)同時(shí)處理功效；3.在集中身份庫(kù)基礎(chǔ)上，提供單點(diǎn)登錄(SSO)功效，用戶只需要經(jīng)過一次身份認(rèn)證就能夠訪問具備權(quán)限全部資源。集中身份庫(kù)與門戶系統(tǒng)統(tǒng)一能夠?yàn)檎麄€(gè)平臺(tái)提供集中管理、安全機(jī)制，實(shí)現(xiàn)整體統(tǒng)一。設(shè)計(jì)關(guān)鍵點(diǎn)支持用戶數(shù)據(jù)集成，適應(yīng)中小學(xué)用戶數(shù)據(jù)分散管理現(xiàn)實(shí)狀況支持用戶數(shù)據(jù)存放模式，適應(yīng)中小學(xué)教職員多重身份現(xiàn)實(shí)狀況支持多個(gè)認(rèn)證方式，確保異構(gòu)業(yè)務(wù)系統(tǒng)能夠集成，讓用戶取得完整單點(diǎn)登錄體驗(yàn)滿足不一樣用戶或系統(tǒng)認(rèn)證安全需求確保身份認(rèn)證平臺(tái)高可靠性和高性能前三個(gè)需求是身份認(rèn)證平臺(tái)發(fā)揮作用基礎(chǔ)，而伴隨應(yīng)用集成力度和廣度加大，后兩個(gè)將是身份認(rèn)證平臺(tái)必須妥善處理問題。校園應(yīng)用功效多樣、結(jié)構(gòu)復(fù)雜，各應(yīng)用系統(tǒng)權(quán)限管理基本上采取分級(jí)授權(quán)方式。身份認(rèn)證平臺(tái)能夠采取統(tǒng)一權(quán)限模型，供各應(yīng)用系統(tǒng)使用，對(duì)應(yīng)權(quán)限數(shù)據(jù)既可集中管理也可分布式管理。從實(shí)踐結(jié)果看，集中權(quán)限控制效益并不顯著，提議不強(qiáng)求集中控制，由各應(yīng)用系統(tǒng)設(shè)計(jì)開發(fā)時(shí)按需選擇。系統(tǒng)框架身份認(rèn)證平臺(tái)主要包含以下三方面功效：LDAP目錄服務(wù)，支持海量用戶數(shù)據(jù)存放和管理高性能SSO(單點(diǎn)登錄)身份認(rèn)證服務(wù)開放認(rèn)證集成方式，支持不一樣開發(fā)語(yǔ)言和不一樣應(yīng)用服務(wù)器平臺(tái)業(yè)務(wù)系統(tǒng)統(tǒng)一身份管理架構(gòu)學(xué)校各種應(yīng)用系統(tǒng)通常都有自己獨(dú)立用戶管理、用戶認(rèn)證和授權(quán)機(jī)制，造成系統(tǒng)間互不兼容；學(xué)校組織機(jī)構(gòu)也不停改變，用戶起源日趨復(fù)雜，角色多樣化和角色改變等問題不停出現(xiàn)。各方原因交織在一起形成了一個(gè)龐大矩陣，為統(tǒng)一身份管理帶來(lái)了困難。如圖：針對(duì)上述問題，建立一個(gè)統(tǒng)一，基于業(yè)界標(biāo)準(zhǔn)（如LDAP，XML，WebService，J2EE等），靈活、開放、可擴(kuò)展性身份管理框架是最終處理方案。一個(gè)好身份管理處理方案將復(fù)雜身份管理問題變得簡(jiǎn)單、實(shí)用。身份認(rèn)證平臺(tái)關(guān)鍵結(jié)構(gòu)以下列圖所表示：身份認(rèn)證平臺(tái)管理用戶在各個(gè)應(yīng)用系統(tǒng)中用戶信息對(duì)應(yīng)關(guān)系，并依照這一關(guān)系管理用戶在各個(gè)應(yīng)用系統(tǒng)中生命周期，如添加、刪除、修改等。身份認(rèn)證平臺(tái)身份同時(shí)工具能夠自動(dòng)發(fā)覺某個(gè)應(yīng)用系統(tǒng)中用戶信息改變并經(jīng)過一定規(guī)則，保持和其它應(yīng)用中用戶信息同時(shí)。身份認(rèn)證平臺(tái)關(guān)鍵包含用戶信息創(chuàng)建和中止審批流程，該流程由管理員預(yù)先定義，能夠修改。當(dāng)用戶帳戶申請(qǐng)被同意后，用戶帳戶將依照預(yù)先定義規(guī)則在中央主目錄服務(wù)器中創(chuàng)建，并經(jīng)過資源適配器在各個(gè)該用戶能夠使用應(yīng)用系統(tǒng)中產(chǎn)生帳戶信息。用戶帳號(hào)中止也是一樣原理。身份認(rèn)證平臺(tái)具備口令管理功效，支持口令策略管理和口令歷史統(tǒng)計(jì)，支持用戶身份審計(jì)和用戶帳戶風(fēng)險(xiǎn)分析，支持用戶身份管理系統(tǒng)運(yùn)行監(jiān)測(cè)、評(píng)定。用戶數(shù)據(jù)模型身份認(rèn)證平臺(tái)中數(shù)據(jù)模型包含：1. 用戶帳號(hào)：學(xué)生、教職員工、合作搭檔、供給商等帳戶信息；2. 資源：身份認(rèn)證平臺(tái)所管理身份數(shù)據(jù)源和應(yīng)用系統(tǒng)，如學(xué)生數(shù)據(jù)中心、教職員數(shù)據(jù)中心、電子郵件、一卡通、綜合網(wǎng)絡(luò)管理系統(tǒng)以及上網(wǎng)認(rèn)證系統(tǒng)、VPN系統(tǒng)等，以及其它基于用戶屬性更改應(yīng)用；3. 資源組：按一定次序組織資源，身份認(rèn)證平臺(tái)將依照這一次序在應(yīng)用系統(tǒng)中創(chuàng)建和刪除用戶信息；4. 組織：管理一組用戶、資源和其它對(duì)象邏輯容器；5. 角色：用戶工作角色，代表其職能性質(zhì)，據(jù)此在資源中設(shè)置用戶屬性；6. 管理帳戶：具備管理員權(quán)限，能夠進(jìn)行分級(jí)管理；7. 能力：擁有哪些權(quán)限，如口令管理員只能管理用戶口令。下列圖為數(shù)據(jù)模型圖：身份認(rèn)證平臺(tái)：管理用戶訪問一個(gè)或多個(gè)資源權(quán)限；管理用戶在這些資源上帳戶數(shù)據(jù)；賦予用戶一個(gè)或多個(gè)角色，設(shè)置用戶訪問各種資源權(quán)限；管理組織，決定用戶帳戶由誰(shuí)和怎樣被管理。用戶數(shù)據(jù)是動(dòng)態(tài)，依賴于用戶角色、資源和資源組。依照角色（能夠是多角色）賦予資源數(shù)量和類型，需要不一樣信息表示，也決定著創(chuàng)建用戶時(shí)信息數(shù)量。身份認(rèn)證平臺(tái)有虛擬用戶概念，主要作用是映射用戶到多個(gè)資源，能夠?qū)⒁粋€(gè)用戶在多個(gè)應(yīng)用系統(tǒng)中全部帳戶信息作為一個(gè)實(shí)體來(lái)管理。用戶數(shù)據(jù)管理身份認(rèn)證系統(tǒng)需要提供多樣化用戶數(shù)據(jù)管理方案。用戶數(shù)據(jù)采集能夠依照學(xué)?，F(xiàn)實(shí)狀況，采取以下方式：1、集成管理著權(quán)威用戶數(shù)據(jù)業(yè)務(wù)系統(tǒng)，依賴該系統(tǒng)進(jìn)行用戶數(shù)據(jù)管理2、經(jīng)過數(shù)據(jù)集成平臺(tái)雙向同時(shí)用戶數(shù)據(jù)3、經(jīng)過身份認(rèn)證平臺(tái)用戶管理程序管理用戶數(shù)據(jù)身份數(shù)據(jù)集成統(tǒng)一身份認(rèn)證系統(tǒng)集成用戶身份數(shù)據(jù)過程，是經(jīng)過數(shù)據(jù)交換平臺(tái)從學(xué)校各個(gè)業(yè)務(wù)系統(tǒng)中自動(dòng)抽取用戶身份數(shù)據(jù)，并加以歸納和整理，最終充實(shí)用戶身份信息庫(kù)。自動(dòng)發(fā)覺和動(dòng)態(tài)同時(shí)身份認(rèn)證平臺(tái)能夠自動(dòng)發(fā)覺所管理資源中用戶信息更改，并依照規(guī)則將其同時(shí)到其它資源中去。帳號(hào)和口令管理身份認(rèn)證平臺(tái)提供了統(tǒng)一WEB管理界面，能夠方便地管理帳號(hào)和口令。帳號(hào)管理功效包含：用戶自注冊(cè)功效：用戶使用公共帳號(hào)/口令登錄系統(tǒng)，然后自行注冊(cè)一個(gè)賬號(hào)/口令。帳號(hào)新建功效：外來(lái)人員如需暫時(shí)帳號(hào)，能夠由管理員手工生成訪問身份，這個(gè)訪問身份通常是帳號(hào)/口令，也可經(jīng)過多因子認(rèn)證或數(shù)字證書實(shí)現(xiàn)。這些暫時(shí)帳號(hào)需要使用期限制，在“暫時(shí)”這段時(shí)間內(nèi)有效，過期則失效；對(duì)于可轉(zhuǎn)為正式帳號(hào)“暫時(shí)帳號(hào)”，可自動(dòng)轉(zhuǎn)換。帳號(hào)注銷功效：在一定條件下，實(shí)現(xiàn)用戶帳號(hào)注銷。用戶帳號(hào)注銷后，全部用戶權(quán)限失效。帳號(hào)凍結(jié)功效：暫時(shí)中止用戶訪問權(quán)限，在用戶需要開通時(shí)能夠重新恢復(fù)，這么用戶能夠繼續(xù)使用原來(lái)帳號(hào)。口令管理包含：自助式口令重置和同時(shí)經(jīng)過Web瀏覽器或者IVR（InteractiveVoiceResponse，交互語(yǔ)音應(yīng)答系統(tǒng)）系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)口令策略執(zhí)行口令歷史信息存放口令過期通知等等。為滿足用戶個(gè)性化設(shè)置需求，減輕管理員密碼維護(hù)壓力，平臺(tái)提供個(gè)人密碼找回和別名登錄功效，并開放給全部用戶。個(gè)人密碼遺忘后，用戶能夠在門戶認(rèn)證界面上使用密碼找回功效，問題回答正確后，能夠重新設(shè)置密碼；用戶登錄后，能夠依照自己習(xí)慣設(shè)置登錄別名，系統(tǒng)自動(dòng)檢驗(yàn)別名是否重復(fù)，別名設(shè)置成功后，用戶能夠使用別名進(jìn)行登錄。分級(jí)管理平臺(tái)提供扁平用戶權(quán)限模型，提供分級(jí)管理功效。應(yīng)用模式系統(tǒng)缺省建立四大類身份：領(lǐng)導(dǎo)、教職員、學(xué)生、校友；各應(yīng)用系統(tǒng)按需建立自己權(quán)限組或?qū)傩孕畔?，也可?fù)用其它系統(tǒng)已經(jīng)建立權(quán)限數(shù)據(jù)；權(quán)限模型支持分級(jí)授權(quán)，支持按組織架構(gòu)、系統(tǒng)范圍、用戶屬性等將權(quán)限管理工作分配給多名管理員；因?yàn)楸竟πг趯?shí)際使用中輕易造成管理混亂，通常提議只按照系統(tǒng)范圍（如人事系統(tǒng)、學(xué)生系統(tǒng)等）來(lái)分級(jí)授權(quán)。用戶數(shù)據(jù)采集時(shí)，自動(dòng)依照用戶屬性和起源為其設(shè)置對(duì)應(yīng)身份。批量維護(hù)工具滿足管理員日常數(shù)據(jù)維護(hù)需要，提供：批量導(dǎo)入用戶數(shù)據(jù)、組織數(shù)據(jù)批量修改和刪除人員屬性信息高級(jí)查詢功效系統(tǒng)服務(wù)注冊(cè)和注銷在不一樣人員容器間移感人員數(shù)據(jù)應(yīng)用模式：教職員用戶數(shù)據(jù)經(jīng)過人事系統(tǒng)數(shù)據(jù)訪問接口或用戶數(shù)據(jù)表導(dǎo)入；管理員定時(shí)使用該工具完成教職員用戶數(shù)據(jù)導(dǎo)入；學(xué)生畢業(yè)轉(zhuǎn)為校友后，管理員經(jīng)過該工具將畢業(yè)生批量轉(zhuǎn)入；系統(tǒng)運(yùn)行準(zhǔn)備階段，管理員經(jīng)過該工具完成批量用戶密碼初始化。與經(jīng)典應(yīng)用系統(tǒng)集成身份認(rèn)證平臺(tái)資源適配器采取服務(wù)器端J2EE適配器，布署在身份認(rèn)證服務(wù)端，即J2EE應(yīng)用服務(wù)器上，然后依照所管資源通訊協(xié)議和資源互通。對(duì)于大部分應(yīng)用系統(tǒng)，無(wú)須在資源（即應(yīng)用）一方安裝任何代理。這么既對(duì)應(yīng)用系統(tǒng)無(wú)影響，又防止了維護(hù)代理工作。與LDAP目錄服務(wù)器集成身份認(rèn)證平臺(tái)和LDAP目錄服務(wù)器集成，如SunJavaSystemDirectoryServer是經(jīng)過JNDI資源適配器完成，在資源方無(wú)須代理。與采取LDAP目錄服務(wù)應(yīng)用系統(tǒng)集成同上。身份認(rèn)證平臺(tái)經(jīng)過其LDAP目錄服務(wù)資源適配器和這些應(yīng)用系統(tǒng)集成。與關(guān)系型數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)集成假如應(yīng)用系統(tǒng)用戶數(shù)據(jù)存放在關(guān)系型數(shù)據(jù)庫(kù)中，應(yīng)用系統(tǒng)和統(tǒng)一身份認(rèn)證系統(tǒng)集成后，統(tǒng)一身份認(rèn)證平臺(tái)代替了應(yīng)用系統(tǒng)身份認(rèn)證功效，該數(shù)據(jù)庫(kù)中用戶信息將主要用于應(yīng)用系統(tǒng)本身授權(quán)和策略管理。身份認(rèn)證平臺(tái)主要集成關(guān)系型數(shù)據(jù)庫(kù)中用戶信息表、權(quán)限信息表以及用戶/權(quán)限對(duì)應(yīng)關(guān)系表等，在身份認(rèn)證平臺(tái)上建立針對(duì)應(yīng)用數(shù)據(jù)庫(kù)資源，并制訂對(duì)應(yīng)用戶信息映射和同時(shí)關(guān)系，經(jīng)過該資源將對(duì)應(yīng)用戶信息創(chuàng)建到數(shù)據(jù)庫(kù)中。身份認(rèn)證平臺(tái)和關(guān)系型數(shù)據(jù)庫(kù)集成是經(jīng)過身份認(rèn)證平臺(tái)提供JDBC（JavaDataBaseConnectivity，Java數(shù)據(jù)庫(kù)連接）資源適配器完成，并在資源方無(wú)須安裝任何代理。資源適配器開發(fā)身份認(rèn)證平臺(tái)為創(chuàng)建定制化資源適配器提供了工具和文檔支持。開發(fā)工具包包含：指南性文檔資料：功效定義、README文件等Javadoc：提供身份認(rèn)證平臺(tái)API信息Jar文件：用于編譯、連接樣根源代碼等。統(tǒng)一授權(quán)管理策略與權(quán)限管理模塊是多用戶應(yīng)用系統(tǒng)不可或缺。通常，策略與權(quán)限管理模塊以應(yīng)用專有方式實(shí)現(xiàn)，系統(tǒng)策略模型、策略存貯結(jié)構(gòu)與訪問控制邏輯與應(yīng)用業(yè)務(wù)邏輯之間耦合緊密。這種方式缺點(diǎn)是顯而易見：因?yàn)椴呗阅K與應(yīng)用邏輯之間緊耦合使得策略模塊極難進(jìn)行擴(kuò)展與維護(hù)；策略模塊設(shè)計(jì)與編碼需要很大工作量，而且極難在不一樣應(yīng)用系統(tǒng)之間共享與重用。為了克服專有方式缺點(diǎn)，統(tǒng)一用戶管理與認(rèn)證平臺(tái)在基礎(chǔ)設(shè)施層提供了增強(qiáng)策略服務(wù)，提供標(biāo)準(zhǔn)、通用、靈活和可擴(kuò)展策略模型，支持策略定義、存貯、配置與判定，并與用戶管理和服務(wù)管理緊密集成。統(tǒng)一授權(quán)平臺(tái)架構(gòu)統(tǒng)一授權(quán)平臺(tái)架構(gòu)以下列圖所表示。圖中以灰色表示組件是應(yīng)用相關(guān)部分，需要進(jìn)行定制設(shè)計(jì)與開發(fā)；其余組件均由統(tǒng)一授權(quán)平臺(tái)提供?？傮w而言，策略與權(quán)限管理模塊架構(gòu)基于PDP/PEP模型。PDP代表策略判定點(diǎn)(PolicyDecisionPoint)，是策略提供者；PEP代表策略執(zhí)行點(diǎn)(PolicyEnforcementPoint)，是策略使用者。該架構(gòu)中，統(tǒng)一授權(quán)管理提供PDP服務(wù)，包含策略定義、存貯、配置與判定，這些服務(wù)經(jīng)過策略判定API與策略管理API向外部應(yīng)用提供；PEP是應(yīng)用中依照策略判定結(jié)果執(zhí)行應(yīng)用邏輯部分。PDP與PEP之間能夠經(jīng)過Java/C++API或XML/HTTP通信。因?yàn)榻y(tǒng)一授權(quán)管理提供策略判定結(jié)果是原始結(jié)果，為了深入簡(jiǎn)化應(yīng)用中策略執(zhí)行邏輯，引入應(yīng)用策略判定接口，對(duì)統(tǒng)一授權(quán)管理策略判定接口進(jìn)行封裝，對(duì)原始策略判定結(jié)果作深入加工與處理。統(tǒng)一授權(quán)管理支持經(jīng)過策略主體SPI（服務(wù)提供者接口）、策略條件SPI、策略推薦SPI與資源名稱SPI進(jìn)行擴(kuò)展。策略存貯結(jié)構(gòu)經(jīng)過LDAP中對(duì)象類與屬性類型加以定義；策略存貯在目錄服務(wù)器中。策略模型統(tǒng)一授權(quán)管理策略服務(wù)建立在通用、靈活和可擴(kuò)展模型上。正是該策略模型使其能在基礎(chǔ)設(shè)施層以一個(gè)應(yīng)用無(wú)關(guān)方式提供強(qiáng)大策略服務(wù)。通常而言，作為訪問控制規(guī)則策略描述了“誰(shuí)在何種情況下針對(duì)指定服務(wù)對(duì)何種資源可執(zhí)行怎樣操作”。在這里，“誰(shuí)”是策略主體；“情況”是策略適用條件；“服務(wù)”是策略上下文，“資源”與“操作”都是與該服務(wù)相關(guān)；“資源”是策略對(duì)象；“執(zhí)行怎樣操作”能夠表示為一系列“動(dòng)作”及與之對(duì)應(yīng)“值”?；趩吸c(diǎn)登錄系統(tǒng)策略模型提供了充分表示能力，允許準(zhǔn)確描述如上通用策略。統(tǒng)一授權(quán)管理策略采取XML來(lái)描述。為簡(jiǎn)明起見，在此以半形式化方式描述策略模型以下：常規(guī)策略::=主體集+條件集+規(guī)則集主體集::={主體}條件集::={條件}規(guī)則集::={規(guī)則}主體::=AccessManager角色集|LDAP組集|LDAP角色集|LDAP用戶集|LDAP組織集條件::=認(rèn)證級(jí)別|認(rèn)證方式|客戶IP|時(shí)間規(guī)則::=服務(wù)+資源名稱+動(dòng)作類型-值對(duì)集資源名稱::=字符串動(dòng)作類型-值對(duì)集::={動(dòng)作類型-值對(duì)}動(dòng)作類型-值對(duì)::=動(dòng)作類型+值備注：1、統(tǒng)一授權(quán)管理策略包含推薦策略與常規(guī)策略。因?yàn)橥扑]策略只是將策略推薦給對(duì)等組織或子組織進(jìn)行判定，而不包括策略詳細(xì)判定，所以此處不對(duì)推薦策略進(jìn)行詳細(xì)描述。2、統(tǒng)一授權(quán)管理提供主體插件SPI、條件插件SPI和資源名稱插件SPI允許擴(kuò)展主體、條件與資源名表示能力，上述描述中主體、條件與資源名稱只是由系統(tǒng)提供標(biāo)準(zhǔn)實(shí)現(xiàn)。策略編程接口應(yīng)用系統(tǒng)訪問身份認(rèn)證平臺(tái)能夠使用JavaAPI接口，也能夠使用XML/HTTP接口。假如是遠(yuǎn)程訪問，則JavaAPI接口本身也是對(duì)XML/HTTP接口一個(gè)封裝。遠(yuǎn)程客戶端調(diào)用策略驗(yàn)證接口時(shí)處理流程以下：(1) 應(yīng)用系統(tǒng)調(diào)用JavaAPI請(qǐng)求策略驗(yàn)證；(2) JavaAPI依照策略驗(yàn)證請(qǐng)求生成一個(gè)XML策略驗(yàn)證請(qǐng)求；(3) JavaAPI將XML策略驗(yàn)證請(qǐng)求經(jīng)過HTTP協(xié)議發(fā)送給系統(tǒng)Policy服務(wù)：%protocol://%host:%port/amserver/policyservice(4) 系統(tǒng)處理策略驗(yàn)證XML請(qǐng)求，并創(chuàng)建一個(gè)策略決議XML文檔作為應(yīng)答返回給客戶端；(5) 客戶端JavaAPI接收并解釋策略決議XML文檔；(6) 應(yīng)用系統(tǒng)經(jīng)過JavaAPI獲取策略決議信息。從上述流程可知，策略驗(yàn)證結(jié)果是以策略決議形式表現(xiàn)。假如使用XML/HTTP接口，則策略決議是一個(gè)XML文檔；假如使用JavaAPI接口，則策略決議是一個(gè)Java對(duì)象。策略決議中包含一組動(dòng)作決議，動(dòng)作決議是關(guān)于某個(gè)詳細(xì)動(dòng)作決議，其中包含：（1）動(dòng)作值：與該動(dòng)作相關(guān)決議值；（2）有效時(shí)間（TTL）：決議值在多久時(shí)間內(nèi)有效；（3）提議：該動(dòng)作決議描述信息。動(dòng)作值能夠是布爾類型，表示是是否、允許或禁止等兩值類型動(dòng)作決議；動(dòng)作值也能夠是復(fù)雜類型，如字符串、數(shù)值等，能夠用來(lái)表示動(dòng)作程度、范圍等決議概念，諸如郵箱配額、折扣率等。可能有許多策略適適用于一次策略請(qǐng)求，不一樣策略可能相互沖突。比如，用戶擁有角色允許他訪問某個(gè)URL，而用戶所屬組禁止他訪問某個(gè)URL；再比如，用戶擁有一個(gè)角色給予他20M郵箱配額，而用戶擁有另一個(gè)角色給予他10M郵箱配額。這種不一樣策略同時(shí)適用，而且決議值不一樣情況稱為沖突。沖突策略決議必須消解之后才能用于權(quán)限控制。系統(tǒng)是這么消解策略決議沖突：(1) 假如動(dòng)作值類型是布爾類型，則全部策略決議值在執(zhí)行AND操作之后返回，返回值是單值。也就是說(shuō)，只要有一個(gè)策略動(dòng)作決議是false，則動(dòng)作決議值就為false；(2) 假如動(dòng)作值類型是復(fù)雜類型，則全部策略決議值全部返回給應(yīng)用系統(tǒng)，由應(yīng)用系統(tǒng)對(duì)決議值進(jìn)行深入沖突消解。策略管理包含創(chuàng)建、刪除和修改策略。用戶能夠經(jīng)過系統(tǒng)WEB控制臺(tái)界面或命令行界面管理策略。假如在應(yīng)用系統(tǒng)中需要對(duì)策略進(jìn)行管理，能夠使用系統(tǒng)策略管理API。應(yīng)用策略設(shè)計(jì)一個(gè)應(yīng)用系統(tǒng)是建立在多個(gè)平臺(tái)服務(wù)之上，而且向用戶提供多個(gè)用戶服務(wù)；而一個(gè)平臺(tái)服務(wù)也應(yīng)該為多個(gè)應(yīng)用系統(tǒng)使用。所以應(yīng)用系統(tǒng)與服務(wù)之間是多對(duì)多關(guān)系。因?yàn)榉?wù)是應(yīng)用組成元素，所以，授權(quán)應(yīng)該是針對(duì)服務(wù)資源而不是應(yīng)用資源來(lái)進(jìn)行。不一樣服務(wù)具備不一樣資源和動(dòng)作類型，所以，不一樣服務(wù)有不一樣策略模板，該模板稱為策略方案（PolicySchema）。服務(wù)與策略方案之間對(duì)應(yīng)關(guān)系應(yīng)該是一對(duì)一關(guān)系。配置策略、驗(yàn)證策略是經(jīng)過指定服務(wù)來(lái)指定策略方案。一條詳細(xì)策略要求了一組主體在一組條件下一組訪問控制規(guī)則。每條規(guī)則中均指明了一個(gè)服務(wù)、屬于該服務(wù)資源以及一組動(dòng)作與值對(duì)。每個(gè)策略方案也能夠被多條策略使用。所以，策略與策略方案之間對(duì)應(yīng)關(guān)系應(yīng)該是多對(duì)多關(guān)系。因?yàn)榉?wù)與策略方案之間是一一對(duì)應(yīng)，所以，定義策略方案是在定義服務(wù)同時(shí)進(jìn)行。只有當(dāng)服務(wù)定義之后，才能定義與該服務(wù)相關(guān)詳細(xì)策略。從身份認(rèn)證平臺(tái)服務(wù)管理角度，服務(wù)是一組定義在一個(gè)公共名字下經(jīng)過身份認(rèn)證平臺(tái)管理屬性集合。身份認(rèn)證平臺(tái)將服務(wù)作為一組屬性進(jìn)行管理，而并不關(guān)心這些屬性詳細(xì)涵義。服務(wù)屬性集合是經(jīng)過一個(gè)XML文件加以定義。身份認(rèn)證平臺(tái)提供了大量平臺(tái)服務(wù)，這些服務(wù)本身也是經(jīng)過系統(tǒng)服務(wù)管理功效加以管理，所以，這些平臺(tái)服務(wù)也有對(duì)應(yīng)XML定義文件，而且服務(wù)選項(xiàng)也是經(jīng)過服務(wù)屬性加以管理。為了使服務(wù)能夠針對(duì)不一樣用戶、角色或組織等身份實(shí)體進(jìn)行定制和個(gè)性化，身份認(rèn)證平臺(tái)將服務(wù)屬性分為以下五種類型。不一樣類型屬性具備不一樣作用域、繼承性、用途。類型作用域繼承性用途全局整個(gè)統(tǒng)一授權(quán)系統(tǒng)不可繼承服務(wù)全局配置組織應(yīng)用于組織不可繼承服務(wù)組織級(jí)配置動(dòng)態(tài)應(yīng)用于角色、用戶可繼承服務(wù)動(dòng)態(tài)配置，配置給角色屬性自動(dòng)為全部具備該角色用戶擁有，配置給組織屬性自動(dòng)為全部該組織下用戶擁有。策略N/AN/A與服務(wù)授權(quán)相關(guān)配置用戶只應(yīng)用于用戶不可繼承服務(wù)針對(duì)于每個(gè)用戶個(gè)性化配置。用戶類型屬性只對(duì)個(gè)別用戶有意義。角色與用戶組管理角色是和用戶組概念相同目錄服務(wù)器對(duì)象管理機(jī)制。一個(gè)組有其組員；一個(gè)角色也有其組員。在身份認(rèn)證平臺(tái)中，用戶角色權(quán)限是經(jīng)過為其設(shè)定ACI（AccessControlInfromation）來(lái)控制。訪問控制指令能夠控制對(duì)整個(gè)目錄、目錄子樹、目錄中特寫條目（包含定義配置任務(wù)條目）或特定條目屬性信息訪問權(quán)。能夠設(shè)置特定用戶、全部屬于特定組或角色用戶或全部目錄用戶權(quán)限。還能夠定義對(duì)特定位置（比如IP地址或DNS名稱）訪問權(quán)。與條目屬性一樣，訪問控制指令存放在目錄中。ACI屬性是一個(gè)操作性屬性，可用于目錄各個(gè)條目，而不論是否為該條目標(biāo)對(duì)象類所定義。接收到客戶端LDAP請(qǐng)求時(shí)，目錄服務(wù)器使用該屬性來(lái)允許或拒絕訪問。假如有尤其請(qǐng)求，則在ldapsearch操作中返回ACI屬性。在平臺(tái)中能夠定義特定角色，并利用ACI來(lái)控制其訪問權(quán)限。這么做能夠滿足一些特殊需求。利用組織內(nèi)創(chuàng)建用戶時(shí)能夠擁有默認(rèn)角色機(jī)制，能夠?yàn)椴灰粯咏M織創(chuàng)建不一樣默認(rèn)角色，這么新建用戶就自然擁有了這些角色所擁有屬性和服務(wù)以及對(duì)應(yīng)權(quán)限。組代表了具備相同功效、屬性或者興趣興趣用戶集合。通常來(lái)說(shuō)，組沒有自己特權(quán)。組能夠定義在組織機(jī)構(gòu)下，也能夠定義在別受管組（ManagedGroup）內(nèi)作為子組。身份認(rèn)證平臺(tái)提供了組分級(jí)管理能力。即使組組員缺省來(lái)自于整個(gè)用戶樹，不過對(duì)于權(quán)限有限組管理員來(lái)說(shuō)，當(dāng)他管理一個(gè)預(yù)訂組時(shí)候，他只能把他自己能管理用戶添加到新創(chuàng)建預(yù)訂組中。在這里已經(jīng)部分實(shí)現(xiàn)了用戶組分級(jí)管理。在業(yè)務(wù)系統(tǒng)一級(jí)授權(quán)上，我們提供了全局權(quán)限組用于人員初始化授權(quán)。這些組按照用戶基本身份建立（比如學(xué)生組、教職員組），作用域?yàn)檎麄€(gè)組織樹，在人員初始時(shí)能夠按照身份加入這些全局組，從而實(shí)現(xiàn)人員權(quán)限初始化。權(quán)限語(yǔ)義集成當(dāng)身份認(rèn)證平臺(tái)策略服務(wù)不能滿足業(yè)務(wù)系統(tǒng)授權(quán)要求時(shí)，我們提供了一個(gè)針對(duì)業(yè)務(wù)系統(tǒng)開放完全自由權(quán)限語(yǔ)義集成機(jī)制。權(quán)限語(yǔ)義描述了用戶詳細(xì)應(yīng)用權(quán)限，權(quán)限語(yǔ)義詳細(xì)描述和解析由業(yè)務(wù)系統(tǒng)負(fù)責(zé)。業(yè)務(wù)系統(tǒng)能夠經(jīng)過API來(lái)獲取這些語(yǔ)義，解析后授予用戶對(duì)應(yīng)權(quán)限。用戶數(shù)據(jù)采集功效描述針對(duì)學(xué)校用戶管理分散進(jìn)行特點(diǎn)，提供從權(quán)威數(shù)據(jù)源采集用戶數(shù)據(jù)，并實(shí)時(shí)更新目錄服務(wù)器中用戶數(shù)據(jù)，提供：數(shù)據(jù)源采集點(diǎn)和采集周期定義數(shù)據(jù)源改變跟蹤和自動(dòng)采集應(yīng)用模式建立從公共數(shù)據(jù)庫(kù)平臺(tái)相關(guān)共享數(shù)據(jù)集采集，在學(xué)生和教職員用戶數(shù)據(jù)變更(包含新增、刪除、修改)后，采集模塊自動(dòng)同時(shí)更新統(tǒng)一認(rèn)證用戶數(shù)據(jù)庫(kù)。用戶數(shù)據(jù)通常分散在不一樣應(yīng)用系統(tǒng)中。常見情況是：人事系統(tǒng)管理人事信息；辦公系統(tǒng)管理與日常工作關(guān)于信息；用戶認(rèn)證信息如用戶ID和密碼在各個(gè)系統(tǒng)中通常不一樣，由各個(gè)系統(tǒng)分散管理；用戶基本屬性，如姓名等信息往往在各個(gè)系統(tǒng)中都存在。不一樣應(yīng)用系統(tǒng)不但管理不一樣類型用戶數(shù)據(jù)，而且也提供不一樣類型數(shù)據(jù)存放與訪問方式。傳統(tǒng)業(yè)務(wù)系統(tǒng)通常使用關(guān)系數(shù)據(jù)庫(kù)存放用戶數(shù)據(jù)，如管理信息系統(tǒng)；互聯(lián)網(wǎng)應(yīng)用系統(tǒng)通常使用LDAP存放用戶數(shù)據(jù)，如電子郵件系統(tǒng)。不一樣類型數(shù)據(jù)存放方式具備不一樣數(shù)據(jù)存放格式，也提供不一樣數(shù)據(jù)訪問接口。用戶數(shù)據(jù)分散存放與管理使得共享用戶數(shù)據(jù)成為復(fù)雜而低效任務(wù)。建立統(tǒng)一用戶管理數(shù)據(jù)庫(kù)目標(biāo)是為用戶信息管理與使用提供統(tǒng)一入口。統(tǒng)一用戶管理數(shù)據(jù)庫(kù)在物理上與其它應(yīng)用數(shù)據(jù)源獨(dú)立，在數(shù)據(jù)上與其它應(yīng)用數(shù)據(jù)源保持同時(shí)。用戶管理數(shù)據(jù)庫(kù)變更后同時(shí)到LDAP目錄數(shù)據(jù)庫(kù)。用戶數(shù)據(jù)公布功效描述為了保持各業(yè)務(wù)系統(tǒng)中用戶數(shù)據(jù)完整性和統(tǒng)一性，向各集成業(yè)務(wù)系統(tǒng)提供用戶身份數(shù)據(jù)。應(yīng)用模式對(duì)現(xiàn)在已經(jīng)有系統(tǒng)提供用戶數(shù)據(jù)更新變更同時(shí)提供用戶信息瀏覽、排序、查詢等管理功效因?yàn)橹行W(xué)用戶數(shù)據(jù)分散管理，在權(quán)威數(shù)據(jù)源變更后，其余系統(tǒng)都可經(jīng)過統(tǒng)一用戶管理數(shù)據(jù)庫(kù)同時(shí)數(shù)據(jù)變更，保持?jǐn)?shù)據(jù)完整與一致批量維護(hù)工具功效描述滿足管理員日常維護(hù)數(shù)據(jù)需要，提供：導(dǎo)入用戶數(shù)據(jù)和組織數(shù)據(jù)批量修改和刪除人員屬性信息高級(jí)查詢功效服務(wù)注冊(cè)與注銷在不一樣人員容器間移感人員數(shù)據(jù)應(yīng)用模式教職員用戶數(shù)據(jù)由人事系統(tǒng)提供數(shù)據(jù)訪問接口或用戶數(shù)據(jù)表管理員定時(shí)使用該工具完成教職員用戶數(shù)據(jù)導(dǎo)入在學(xué)生畢業(yè)轉(zhuǎn)為校友后，管理員經(jīng)過該工具將畢業(yè)生批量轉(zhuǎn)入系統(tǒng)運(yùn)行準(zhǔn)備階段，管理員經(jīng)過該工具完成用戶密碼批量初始化個(gè)人自助服務(wù)功效描述為了滿足用戶個(gè)性化設(shè)置并減輕管理員維護(hù)工作量，平臺(tái)提供個(gè)人密碼找回、別名登錄功效。應(yīng)用模式該功效開放給所用用戶；用戶遺忘個(gè)性化設(shè)置密碼后，能夠在門戶認(rèn)證界面上進(jìn)入密碼找回功效，預(yù)設(shè)問題回答正確后，能夠自主重置密碼；用戶登錄后，能夠依照自己習(xí)慣設(shè)置登錄別名，系統(tǒng)自動(dòng)檢驗(yàn)別名是否重復(fù)，別名設(shè)置成功后，用戶能夠經(jīng)過別名進(jìn)行登錄。權(quán)限模型功效描述為了適應(yīng)中小學(xué)用戶多重身份和組織結(jié)構(gòu)易變特點(diǎn)，同時(shí)最大程度確保用戶認(rèn)證效率，平臺(tái)提供扁平用戶權(quán)限模型。應(yīng)用模式系統(tǒng)將缺省建立四大類身份：教職員、學(xué)生、領(lǐng)導(dǎo)、校友；各應(yīng)用系統(tǒng)按需建立自定義權(quán)限組或?qū)傩孕畔ⅲ部蓮?fù)用其余系統(tǒng)已經(jīng)建立相關(guān)權(quán)限數(shù)據(jù)；權(quán)限模型支持分級(jí)授權(quán)，方便按組織架構(gòu)、系統(tǒng)范圍、用戶屬性等特征將權(quán)限管理工作逐層分配給多名管理員；該功效在實(shí)際使用中輕易造成管理混亂，通常提議只按照系統(tǒng)范圍（如人事系統(tǒng)、學(xué)生系統(tǒng)等等）來(lái)分級(jí)授權(quán)。用戶數(shù)據(jù)采集時(shí)，自動(dòng)依照用戶屬性和起源為用戶設(shè)置對(duì)應(yīng)身份。認(rèn)證集成功效描述滿足學(xué)校業(yè)務(wù)系統(tǒng)多元化特點(diǎn)，提供：支持基于認(rèn)證接口、認(rèn)證代理和LDAP認(rèn)證多個(gè)認(rèn)證集成模式支持密碼認(rèn)證支持與標(biāo)準(zhǔn)主流Radius服務(wù)器集成預(yù)留CA認(rèn)證擴(kuò)展接口預(yù)留SmartCard、JavaCard認(rèn)證擴(kuò)展接口預(yù)留與網(wǎng)絡(luò)接入認(rèn)證設(shè)備用戶認(rèn)證模塊集成接口，實(shí)現(xiàn)與網(wǎng)絡(luò)接入認(rèn)證設(shè)備認(rèn)證集成應(yīng)用模式業(yè)務(wù)系統(tǒng)全部采取基于認(rèn)證接口認(rèn)證集成方式；用戶統(tǒng)一采取基于密碼認(rèn)證登錄方式。單點(diǎn)登錄服務(wù)單點(diǎn)登錄（SingleSignOn，SSO）通常定義為指用戶只需經(jīng)過一次認(rèn)證就能夠訪問全部擁有訪問權(quán)限應(yīng)用系統(tǒng)。單點(diǎn)登錄能夠提升用戶工作效率，降低身份認(rèn)證過程中人為錯(cuò)誤，也減輕了用戶在密碼管理上負(fù)擔(dān)，從而使系統(tǒng)更安全、更易用。身份認(rèn)證平臺(tái)提供了單點(diǎn)登錄處理方案，用戶只需經(jīng)過系統(tǒng)認(rèn)證，而且具備足夠權(quán)限，就能夠訪問全部由身份認(rèn)證平臺(tái)管理應(yīng)用系統(tǒng)。統(tǒng)一認(rèn)證服務(wù)是單點(diǎn)登錄支持基礎(chǔ)，沒有統(tǒng)一認(rèn)證，就沒有真正單點(diǎn)登錄。校園網(wǎng)通常運(yùn)行多個(gè)應(yīng)用系統(tǒng)，為學(xué)校領(lǐng)導(dǎo)、各部門及教生提供多個(gè)服務(wù)，這么就帶來(lái)了一個(gè)突出問題，用戶面對(duì)多個(gè)系統(tǒng)時(shí)要記憶、輸入帳號(hào)/口令等信息，不但煩瑣，而且輕易丟失口令，一旦口令泄漏會(huì)造成不可估量損失。單點(diǎn)登錄系統(tǒng)建設(shè)目標(biāo)是要處理各應(yīng)用系統(tǒng)用戶名和口令不統(tǒng)一問題，期望提供一套方便、安全口令認(rèn)證方法，讓用戶只要一個(gè)用戶名和口令就能夠使用網(wǎng)絡(luò)上他有權(quán)使用全部業(yè)務(wù)系統(tǒng)。設(shè)計(jì)關(guān)鍵點(diǎn)單點(diǎn)登錄系統(tǒng)設(shè)計(jì)關(guān)鍵點(diǎn)以下：遵照LA（LibertyAlliance，聯(lián)合互信）ID-FFV1.2規(guī)范。支持SAML（SecurityAssertionMarkupLanguage）安全性斷言標(biāo)識(shí)語(yǔ)言規(guī)范。支持多個(gè)多級(jí)登錄認(rèn)證機(jī)制，如用戶/密碼、動(dòng)態(tài)口令等。支持系統(tǒng)認(rèn)證過程支持加密認(rèn)證方式。系統(tǒng)支持基于用戶UID和密碼身份認(rèn)證。提供用戶密碼加密功效，支持SSHA、CRYPT、SHA等加密算法。經(jīng)過TLS（TransportLayerSecurity，傳輸層安全協(xié)議）或SSL（SecureSocketsLayer，安全套接層協(xié)議）為信息傳輸提供保密性和完整性保護(hù)。支持X.509協(xié)議，能夠?qū)?shù)字證書、公共密鑰、數(shù)字署名進(jìn)行存放和管理。支持跨域單點(diǎn)登錄功效。系統(tǒng)原理與體系結(jié)構(gòu)單點(diǎn)登錄系統(tǒng)根本原理是保持用戶會(huì)話（session）狀態(tài)。用戶經(jīng)過一次認(rèn)證就可建立單點(diǎn)登錄會(huì)話，每個(gè)單點(diǎn)登錄會(huì)話對(duì)應(yīng)于一個(gè)令牌（token），用戶訪問應(yīng)用系統(tǒng)時(shí)向應(yīng)用系統(tǒng)傳遞單點(diǎn)登錄令牌，應(yīng)用系統(tǒng)能夠依照令牌識(shí)別用戶認(rèn)證狀態(tài)，從而使一次認(rèn)證能夠被多個(gè)應(yīng)用系統(tǒng)認(rèn)可，防止了重復(fù)認(rèn)證。我們采取SunJavaSystemAccessManager（簡(jiǎn)稱AM）作為單點(diǎn)登錄底層技術(shù)平臺(tái)。依照上述原理，AM對(duì)單點(diǎn)登錄提供SDK級(jí)別支持，其中包含單點(diǎn)登錄令牌創(chuàng)建與驗(yàn)證。以WEB應(yīng)用單點(diǎn)登錄為例：用戶經(jīng)過AM認(rèn)證頁(yè)面進(jìn)行認(rèn)證，認(rèn)證經(jīng)過之后，平臺(tái)為該用戶創(chuàng)建一個(gè)單點(diǎn)登錄令牌，并將該令牌ID經(jīng)過cookie返回至用戶瀏覽器；當(dāng)用戶訪問WEB應(yīng)用系統(tǒng)時(shí)，單點(diǎn)登錄令牌ID自動(dòng)經(jīng)過cookie傳遞至WEB應(yīng)用系統(tǒng)，WEB應(yīng)用系統(tǒng)能夠經(jīng)過單點(diǎn)登錄令牌ID還原單點(diǎn)登錄令牌，并向AccessManager驗(yàn)證單點(diǎn)登錄令牌是否有效。假如有效，則應(yīng)用系統(tǒng)能夠從單點(diǎn)登錄令牌獲取用戶身份信息，而不再需要用戶進(jìn)行再次認(rèn)證。對(duì)于C/S結(jié)構(gòu)應(yīng)用，單點(diǎn)登錄過程是類似，只是單點(diǎn)登錄令牌ID傳遞方式不一樣。上述單點(diǎn)登錄SDK體系結(jié)構(gòu)以下列圖所表示：如前所述，單點(diǎn)登錄是經(jīng)過單點(diǎn)登錄會(huì)話實(shí)現(xiàn)，經(jīng)過單點(diǎn)登錄會(huì)話保持用戶在整個(gè)平臺(tái)認(rèn)證狀態(tài)。在對(duì)用戶進(jìn)行身份驗(yàn)證之前，AM會(huì)話服務(wù)先產(chǎn)生令牌，令牌包含一個(gè)隨機(jī)生成會(huì)話標(biāo)志而且會(huì)作為這次會(huì)話最終標(biāo)志。令牌一旦生成，AM會(huì)將它插入一個(gè)Cookie，而且頒發(fā)給用戶瀏覽器。與此同時(shí)，AM會(huì)依照用戶所使用驗(yàn)證方式，提醒不一樣登錄界面，驗(yàn)證方式可預(yù)先為組織、角色或單個(gè)用戶進(jìn)行配置。當(dāng)用戶接收到登錄界面時(shí)，同時(shí)也取得一個(gè)會(huì)話令牌，用戶會(huì)鍵入用戶名和密碼，登錄資料被提交給適當(dāng)驗(yàn)證服務(wù)器(如LDAP、RADIUS等)，一旦用戶經(jīng)過了身份驗(yàn)證，AM會(huì)從cookie中提取用戶令牌，而且將其狀態(tài)設(shè)置為有效，接著將用戶重新定向到所要訪問URL。單點(diǎn)登錄會(huì)話具備以下列圖所表示生命周期：如圖所表示，單點(diǎn)登錄會(huì)話初始狀態(tài)是無(wú)效，表示單點(diǎn)登錄會(huì)話即使已經(jīng)創(chuàng)建并被分配給用戶，但用戶還未經(jīng)過有效認(rèn)證。無(wú)效單點(diǎn)登錄會(huì)話也經(jīng)過一個(gè)單點(diǎn)登錄會(huì)話令牌身份，并存放在用戶瀏覽器cookie中。當(dāng)用戶認(rèn)證成功之后，單點(diǎn)登錄會(huì)話變?yōu)橛行顟B(tài)。該單點(diǎn)登錄會(huì)話仍以同一個(gè)單點(diǎn)登錄會(huì)話令牌身份，用戶瀏覽器中cookie不變，只是服務(wù)器維護(hù)會(huì)話狀態(tài)變?yōu)橛行А吸c(diǎn)登錄會(huì)話能夠因?yàn)橐韵略蚨N毀：客戶端空閑時(shí)間達(dá)成最大空閑時(shí)間；會(huì)話時(shí)間達(dá)成最大會(huì)話有效時(shí)間；因?yàn)橛脩舻浅龆@式銷毀會(huì)話；會(huì)話銷毀之后，客戶端cookie中保留單點(diǎn)登錄會(huì)話令牌身份依然存在，只是與該令牌相關(guān)會(huì)話信息已經(jīng)在AM中刪除。上述單點(diǎn)登錄會(huì)話生命期由AM進(jìn)行管理，會(huì)話生命期特征能夠經(jīng)過配置選項(xiàng)進(jìn)行定制。在AM中，與單點(diǎn)登錄會(huì)話相關(guān)屬性是經(jīng)過“會(huì)話”服務(wù)（sessionservice）進(jìn)行管理，這些可配置屬性均為動(dòng)態(tài)類型屬性，能夠針對(duì)組織、角色和服務(wù)配置，并可被繼承。會(huì)話可配置屬性以下表所表示：?jiǎn)吸c(diǎn)登錄會(huì)話屬性說(shuō)明最長(zhǎng)會(huì)話時(shí)間（分鐘）單點(diǎn)登錄會(huì)話有效最長(zhǎng)時(shí)間，超出該時(shí)間，用戶必須重新登錄創(chuàng)建新單點(diǎn)登錄會(huì)話。最長(zhǎng)空閑時(shí)間（分鐘）當(dāng)用戶沒有任何動(dòng)作時(shí)，單點(diǎn)登錄會(huì)話有效最長(zhǎng)時(shí)間，超出該時(shí)間，則會(huì)話失效，用戶必須重新登錄創(chuàng)建新單點(diǎn)登錄會(huì)話。最長(zhǎng)高速緩存時(shí)間（分鐘）單點(diǎn)登錄會(huì)話信息在客戶端高速緩存中保留最長(zhǎng)時(shí)間，超出該時(shí)間，則客戶端必須訪問服務(wù)器以刷新緩存中會(huì)話信息。經(jīng)過AMWeb控制臺(tái)能夠管理單點(diǎn)登錄會(huì)話。在Web控制臺(tái)“當(dāng)前會(huì)話”頁(yè)面顯示了當(dāng)前全部有效單點(diǎn)登錄會(huì)話狀態(tài)，管理員能夠有選擇性地終止單點(diǎn)登錄會(huì)話。認(rèn)證方式設(shè)計(jì)單點(diǎn)登錄系統(tǒng)采取認(rèn)證方式與登錄方式分層設(shè)計(jì)，可平滑擴(kuò)展多個(gè)登錄方式，如用戶名口令、證書、智能卡等，支持多級(jí)登錄認(rèn)證機(jī)制。為預(yù)防暴力破解，提供附加圖像碼方式增加安全性。用戶認(rèn)證方式認(rèn)證方式單點(diǎn)登錄系統(tǒng)提供了多個(gè)內(nèi)置登錄方式。1、LDAP認(rèn)證方式單點(diǎn)登錄系統(tǒng)提供缺省認(rèn)證方式。使用LDAP認(rèn)證方式，用戶名與口令存放在指定LDAP目錄中。當(dāng)一個(gè)用戶登錄時(shí)，提供用戶名與口令若與該LDAP目錄中指定子樹中某一個(gè)用戶統(tǒng)計(jì)用戶名與口令相同，則認(rèn)證成功，登錄者具備LDAP目錄中該用戶統(tǒng)計(jì)對(duì)應(yīng)身份。2、自注冊(cè)認(rèn)證方式允許用戶在認(rèn)證時(shí)選擇“新建用戶”，并輸入用戶名與口令，建立自已用戶帳號(hào)。隨即就能夠像LDAP認(rèn)證方式一樣使用用戶名與口令登錄系統(tǒng)。自注冊(cè)用戶資料也存放在LDAP中，但能夠?yàn)樽宰?cè)用戶指定不一樣于用戶存放位置。3、數(shù)字證書認(rèn)證方式使用X509v3數(shù)字證書，只要客戶端能夠提供X509v3數(shù)字證書，系統(tǒng)允許其登錄。能夠配置用戶個(gè)人數(shù)字證書必須和目錄服務(wù)器中存放證書相同，并與證書回收列表（CRL）比較以確保個(gè)人證書是有效。4、RADIUS認(rèn)證方式系統(tǒng)利用外部撥號(hào)認(rèn)證系統(tǒng)作為本身認(rèn)證機(jī)制，假如用戶經(jīng)過了外部撥號(hào)認(rèn)證系統(tǒng)認(rèn)證，系統(tǒng)則認(rèn)為此用戶認(rèn)證經(jīng)過。5、UNIX認(rèn)證系統(tǒng)利用所安裝UNIX環(huán)境認(rèn)證系統(tǒng)作為本身認(rèn)證機(jī)制，假如用戶經(jīng)過了UNIX認(rèn)證系統(tǒng)認(rèn)證，系統(tǒng)則認(rèn)為此用戶認(rèn)證經(jīng)過。6、MicrosoftWindows域認(rèn)證系統(tǒng)使用Windows域認(rèn)證系統(tǒng)作為本身認(rèn)證機(jī)制，假如用戶經(jīng)過了它認(rèn)證，則認(rèn)為此用戶認(rèn)證經(jīng)過。7、SafeWord認(rèn)證系統(tǒng)可使用SecureComputingSafeWord或SafeWordPremier認(rèn)證服務(wù)器。單點(diǎn)登錄系統(tǒng)作為SafeWord服務(wù)器客戶端，SafeWord服務(wù)器能夠安裝在單點(diǎn)登錄系統(tǒng)同一臺(tái)機(jī)器上，也能夠安裝在另外系統(tǒng)中。8、RSASecureID認(rèn)證9、多因子認(rèn)證除了上述內(nèi)置認(rèn)證方式之外，平臺(tái)也提供了服務(wù)提供者接口來(lái)開發(fā)定制認(rèn)證方式。認(rèn)證方式個(gè)性化不一樣認(rèn)證方式具備不一樣安全性、易用性和布署成本，所以，針對(duì)不一樣用戶群與不一樣應(yīng)用范圍需要對(duì)認(rèn)證方式進(jìn)行個(gè)性化。在單點(diǎn)登錄系統(tǒng)中，能夠依照角色、用戶、服務(wù)指定不一樣認(rèn)證方式，也能夠在認(rèn)證時(shí)直接指定認(rèn)證模塊。對(duì)于不一樣組織、角色和服務(wù)，能夠配置個(gè)性化認(rèn)證選項(xiàng)。認(rèn)證選項(xiàng)按照不一樣認(rèn)證方式經(jīng)過單點(diǎn)登錄系統(tǒng)服務(wù)加以組織。單點(diǎn)登錄系統(tǒng)為每種內(nèi)置認(rèn)證方式定義了一個(gè)服務(wù)，并定義了一個(gè)關(guān)鍵認(rèn)證服務(wù)，用于組織全部認(rèn)證方式公有屬性。以下分述關(guān)鍵認(rèn)證服務(wù)與支持配置選項(xiàng)以及慣用認(rèn)證服務(wù)配置選項(xiàng)。關(guān)鍵認(rèn)證服務(wù)支持配置選項(xiàng)分為全局選項(xiàng)與組織選項(xiàng)。全局選項(xiàng)在整個(gè)單點(diǎn)登錄系統(tǒng)范圍內(nèi)適用，組織選項(xiàng)在組織級(jí)別進(jìn)行配置，只對(duì)一個(gè)組織有效。用戶認(rèn)證界面用戶認(rèn)證界面是單點(diǎn)登錄系統(tǒng)與最終用戶接口，它負(fù)責(zé)向用戶顯示登錄表單，搜集用戶認(rèn)證信息，并傳回服務(wù)器端；服務(wù)器端經(jīng)過調(diào)用平臺(tái)認(rèn)證API進(jìn)行認(rèn)證，并為經(jīng)過認(rèn)證用戶創(chuàng)建單點(diǎn)登錄系統(tǒng)單點(diǎn)登錄會(huì)話。單點(diǎn)登錄系統(tǒng)提供了基于WEB用戶認(rèn)證界面，該用戶認(rèn)證界面是由單點(diǎn)登錄系統(tǒng)動(dòng)態(tài)生成，提供了平臺(tái)中全部認(rèn)證模塊用戶界面。單點(diǎn)登錄系統(tǒng)用戶認(rèn)證界面是基于JATO（J2EEAssistedTake-Off）WEB應(yīng)用框架創(chuàng)建，它經(jīng)過JSP和XML為用戶提供圖形化界面交互方式。對(duì)用戶認(rèn)證界面常見客戶化工作包含對(duì)認(rèn)證界面上文字信息和圖片進(jìn)行客戶化，以及對(duì)用戶認(rèn)證界面進(jìn)行當(dāng)?shù)鼗?。認(rèn)證界面是基于一組JSP模板和XML文件動(dòng)態(tài)生成。JSP模板定義了認(rèn)證頁(yè)面布局，XML文件是認(rèn)證模塊配置資源文件。缺省JSP模板和XML文件均位于位于IS_Root/SUNWam/web-apps/services/config/auth/default目錄下。這些文件均可修改，使得不一樣組織、子組織、地域、服務(wù)/應(yīng)用、客戶端類型具備不一樣認(rèn)證界面。認(rèn)證接口設(shè)計(jì)單點(diǎn)登錄系統(tǒng)提供了公共認(rèn)證服務(wù)架構(gòu)，對(duì)外提供多個(gè)認(rèn)證接口，以及認(rèn)證服務(wù)擴(kuò)展接口?；诮y(tǒng)一認(rèn)證服務(wù)應(yīng)用系統(tǒng)間能夠?qū)崿F(xiàn)單點(diǎn)登錄。認(rèn)證服務(wù)架構(gòu)單點(diǎn)登錄系統(tǒng)提供認(rèn)證服務(wù)是基于JAAS（Java認(rèn)證與授權(quán)服務(wù)）框架。JAAS是Java2平臺(tái)標(biāo)準(zhǔn)版(J2SETM)1.4規(guī)范組成部分，它提供認(rèn)證與授權(quán)服務(wù)應(yīng)用編程接口與服務(wù)提供者接口，但單點(diǎn)登錄系統(tǒng)只使用了JAAS認(rèn)證接口。應(yīng)用開發(fā)人員不直接使用JAAS，而是使用單點(diǎn)登錄系統(tǒng)認(rèn)證應(yīng)用編程接口。單點(diǎn)登錄系統(tǒng)提供Java和XML/HTTP兩種應(yīng)用認(rèn)證接口。Java認(rèn)證接口能夠在當(dāng)?shù)鼗蜻h(yuǎn)程調(diào)用。在當(dāng)?shù)卣{(diào)用Java編程接口直接與JAAS認(rèn)證API交互，在遠(yuǎn)程調(diào)用Java編程接口則實(shí)際經(jīng)過XML/HTTP與認(rèn)證平臺(tái)認(rèn)證服務(wù)交互。XML/HTTP認(rèn)證接口提供了與語(yǔ)言和平臺(tái)無(wú)關(guān)方式對(duì)認(rèn)證服務(wù)進(jìn)行遠(yuǎn)程訪問。單點(diǎn)登錄系統(tǒng)認(rèn)證模塊是以插件方式實(shí)現(xiàn)，多個(gè)認(rèn)證模塊經(jīng)過JAAS服務(wù)提供者接口與單點(diǎn)登錄系統(tǒng)相連。這種基于插件認(rèn)證模塊實(shí)現(xiàn)方式使得單點(diǎn)登錄系統(tǒng)能夠支持已經(jīng)廣泛應(yīng)用各種標(biāo)準(zhǔn)認(rèn)證方式，也支持客戶自行定制認(rèn)證方式。下列圖顯示了單點(diǎn)登錄系統(tǒng)認(rèn)證服務(wù)架構(gòu)。應(yīng)用認(rèn)證接口單點(diǎn)登錄系統(tǒng)僅為應(yīng)用程序提供兩種類型認(rèn)證編程接口。對(duì)基于Java應(yīng)用系統(tǒng)（包含基于JSPWEB應(yīng)用系統(tǒng)和基于Java應(yīng)用程序）能夠使用Java編程接口；對(duì)于非Java應(yīng)用系統(tǒng)，能夠使用XML/HTTP編程接口或C/C++編程接口。假如僅使用SUNAccessManagerAPI接口，存在很多限制：1、操作系統(tǒng)限制：C/C++接口現(xiàn)在只能穩(wěn)定運(yùn)行在Solaris系統(tǒng)中，其余主流UNIX/Linux系統(tǒng)不支持2、XML解析復(fù)雜：對(duì)于非Java和C/C++開發(fā)系統(tǒng)集成來(lái)說(shuō)，集成應(yīng)用需要編寫了解復(fù)雜XML結(jié)構(gòu)，編寫XML解析程序3、集成系統(tǒng)開發(fā)工作量大：集成系統(tǒng)采取API模式集成時(shí)不但要完成SUNAPI復(fù)雜過程配置，還需要進(jìn)行通訊多線程處理，在雙機(jī)環(huán)境下還需要大量編程支持動(dòng)態(tài)切換4、平臺(tái)升級(jí)困難：直接采取SUNAPI集成，每個(gè)集成應(yīng)用都與底層平臺(tái)緊密耦合，當(dāng)平臺(tái)升級(jí)時(shí)，需要每個(gè)應(yīng)用重新進(jìn)行修改，無(wú)法確保整個(gè)系統(tǒng)平滑升級(jí)。為了處理這些問題，我們采取ICE（InternetCommunicationsEngine）中間件平臺(tái)自主開發(fā)各類認(rèn)證接口。ICE是一個(gè)面向?qū)ο笾虚g件平臺(tái)，采取了一個(gè)用于使對(duì)象接口與其實(shí)現(xiàn)相分離基礎(chǔ)性抽象機(jī)制，為構(gòu)建面向?qū)ο罂蛻簦?wù)器應(yīng)用提供了工具、API和庫(kù)支持。在客戶機(jī)與服務(wù)器之間建立合約，描述應(yīng)用所使用各種類型及對(duì)象接口。這種描述與實(shí)現(xiàn)語(yǔ)言無(wú)關(guān)，所以編寫客戶所用語(yǔ)言無(wú)需與編寫服務(wù)器所用語(yǔ)言相同，很適合中小學(xué)多語(yǔ)言集成環(huán)境。其架構(gòu)圖以下：ICE認(rèn)證接口是架設(shè)在集成應(yīng)用和身份認(rèn)證平臺(tái)之間中間件，支持大多數(shù)主流Unix/Linux平臺(tái)與MSWindows平臺(tái)，集成應(yīng)用系統(tǒng)開發(fā)人員無(wú)需面對(duì)復(fù)雜XML解析，只需要一個(gè)對(duì)象（類）就能夠完成全部認(rèn)證相關(guān)操作，ICE認(rèn)證接口API是線程安全，開發(fā)人員無(wú)需額外付出就能夠取得高效多線程功效。在架構(gòu)上ICE接口存在使得各個(gè)集成應(yīng)用和統(tǒng)一身份平臺(tái)是非緊密耦合，在代碼層統(tǒng)一身份平臺(tái)對(duì)外接口升級(jí)改變將不會(huì)影響到各個(gè)集成應(yīng)用，增加了整個(gè)系統(tǒng)穩(wěn)定和擴(kuò)展性。同時(shí)ICE也支持統(tǒng)一身份認(rèn)證平臺(tái)雙機(jī)熱備模式，能夠動(dòng)態(tài)進(jìn)行切換，集成應(yīng)用無(wú)需付出額外工作考慮平臺(tái)狀態(tài)問題。ICE認(rèn)證接口增加了系統(tǒng)監(jiān)控功效，經(jīng)過配置，能夠在系統(tǒng)出現(xiàn)問題時(shí)發(fā)郵件通知系統(tǒng)管理員。我們架構(gòu)為應(yīng)用開發(fā)者提供很多主要優(yōu)勢(shì)：面向?qū)ο笳Z(yǔ)義ICE“在線路上”完全保留了面向?qū)ο蠓缎?。全部操作調(diào)用都使用遲后綁定，所以操作實(shí)現(xiàn)選定，是依照對(duì)象在運(yùn)行時(shí)（而不是靜態(tài)）實(shí)際類型決定。支持同時(shí)和異步消息傳遞ICE提供了同時(shí)和異步操作調(diào)用和分配，經(jīng)過ICEStorm提供了公布－訂閱消息傳遞機(jī)制。這么，能夠依照應(yīng)用需要來(lái)選擇通信模型，而無(wú)須把應(yīng)用硬塞進(jìn)某種模型里。支持多個(gè)接口經(jīng)過facets，對(duì)象能夠提供多個(gè)不相關(guān)接口，同時(shí)又跨越這些接口、保持單一對(duì)象標(biāo)識(shí)。這提供了極大靈活性，尤其是在應(yīng)用發(fā)生演化，但又需要與更老、已經(jīng)布署客戶端保持兼容時(shí)。機(jī)器無(wú)關(guān)性客戶機(jī)及服務(wù)器與底層機(jī)器架構(gòu)屏蔽開來(lái)。對(duì)于應(yīng)用代碼而言，像字節(jié)序和填充這么問題都隱藏了起來(lái)。語(yǔ)言無(wú)關(guān)性客戶和服務(wù)器能夠分別布署，所用語(yǔ)言也能夠不一樣?？蛻艉头?wù)器所用Slice定義建立二者之間接口合約，這么定義也是它們唯一需要達(dá)成一致標(biāo)準(zhǔn)。實(shí)現(xiàn)無(wú)關(guān)性客戶不知道服務(wù)器是怎樣實(shí)現(xiàn)其對(duì)象。這意味著，在客戶布署之后，服務(wù)器實(shí)現(xiàn)能夠改變，比如，它能夠使用不一樣持久機(jī)制，甚至不一樣程序設(shè)計(jì)語(yǔ)言。操作系統(tǒng)無(wú)關(guān)性ICEAPI完全是可移植，所以一樣源碼能夠在Windows和UNIX上編譯和運(yùn)行。線程支持ICE運(yùn)行時(shí)環(huán)境完全是線程化，其API是線程安全。作為應(yīng)用開發(fā)者，除了在訪問共享數(shù)據(jù)時(shí)進(jìn)行同時(shí)，無(wú)需為開發(fā)線程化高性能客戶和服務(wù)器付出額外努力。傳輸機(jī)制無(wú)關(guān)性ICE現(xiàn)在采取了TCP/IP和UDP作為傳輸協(xié)議?？蛻艉头?wù)器代碼都不需要了解底層傳輸機(jī)制，能夠經(jīng)過一個(gè)配置參數(shù)選擇所需傳輸機(jī)制。位置和服務(wù)器透明性ICE運(yùn)行時(shí)環(huán)境會(huì)負(fù)責(zé)定位對(duì)象，并管理底層傳輸機(jī)制，比如打開和關(guān)閉連接。客戶與服務(wù)器之間交互顯得像是無(wú)連接。假如在客戶調(diào)用操作時(shí)，服務(wù)器沒有運(yùn)行，你能夠經(jīng)過ICEPack讓它們隨需開啟。服務(wù)器能夠遷移到不一樣物理地址，而不會(huì)使客戶持有代理失效，而客戶完全不知道對(duì)象實(shí)現(xiàn)是怎樣分布在多個(gè)服務(wù)器進(jìn)程上。安全性經(jīng)過SSL強(qiáng)加密，能夠使客戶和服務(wù)器完全安全地進(jìn)行通信，這么，應(yīng)用能夠使用不安全網(wǎng)絡(luò)安全地進(jìn)行通信。你能夠使用Glacier穿過防火墻，實(shí)現(xiàn)安全請(qǐng)求轉(zhuǎn)發(fā)，而且完全支持回調(diào)。內(nèi)建持久機(jī)制使用Freeze，創(chuàng)建持久對(duì)象實(shí)現(xiàn)變成了一件微不足道事情。ICE提供了對(duì)高性能數(shù)據(jù)庫(kù)BerkeleyDB內(nèi)建支持。認(rèn)證頭現(xiàn)在我們已經(jīng)實(shí)現(xiàn)了對(duì)JSP、ASP、PHP、Java、C、C#、VB等多個(gè)語(yǔ)言接口，并可方便擴(kuò)展對(duì)Python、Ruby、C++等語(yǔ)言支持。集成應(yīng)用系統(tǒng)環(huán)境包含IBMWebSphere、Domino、Tomcat、Apache等主流服務(wù)器。提供適用主流開發(fā)語(yǔ)言認(rèn)證接口，包含Java接口、PHP接口、COM接口，該集成模式只要求各系統(tǒng)簡(jiǎn)單修改認(rèn)證部分，就能夠具備以下功效：校驗(yàn)當(dāng)前用戶是否是統(tǒng)一身份認(rèn)證平臺(tái)正當(dāng)用戶。假如用戶身份不正當(dāng)則跳轉(zhuǎn)到登錄頁(yè)面。假如用戶身份正當(dāng)則無(wú)需登錄，直接訪問集成應(yīng)用。將用戶屬性信息傳遞給集成應(yīng)用。代理認(rèn)證對(duì)于中小學(xué)中不易改造應(yīng)用系統(tǒng)，能夠引入代理集成機(jī)制，被集成應(yīng)用系統(tǒng)無(wú)需更改即可實(shí)現(xiàn)單點(diǎn)登陸功效。代理認(rèn)證是嵌入到目標(biāo)系統(tǒng)中程序，能夠在不改動(dòng)原有應(yīng)用代碼前提下實(shí)現(xiàn)以下功效：校驗(yàn)當(dāng)前用戶是否是統(tǒng)一身份認(rèn)證平臺(tái)正當(dāng)用戶，并判斷是否有權(quán)訪問請(qǐng)求應(yīng)用；假如用戶身份不正當(dāng)則跳轉(zhuǎn)到登錄頁(yè)面；假如無(wú)權(quán)進(jìn)入此應(yīng)用則出現(xiàn)拒絕進(jìn)入頁(yè)面；假如用戶身份正當(dāng)則無(wú)需登錄，直接訪問集成應(yīng)用；將用戶屬性信息傳遞給集成應(yīng)用。LDAP認(rèn)證對(duì)于中小學(xué)中高并發(fā)認(rèn)證型應(yīng)用集成需求，比如選課系統(tǒng)，我們針對(duì)這種類型系統(tǒng)特點(diǎn)開發(fā)了LDAP接口，支持標(biāo)準(zhǔn)LDAPV3協(xié)議，能夠滿足短時(shí)間內(nèi)上萬(wàn)人次認(rèn)證，并具備高穩(wěn)定性?，F(xiàn)在LDAP接口支持JAVA/C/PHP/.Net等開發(fā)環(huán)境。實(shí)現(xiàn)以下功效：校驗(yàn)用戶名/密碼；獲取用戶屬性信息?？缬騿吸c(diǎn)登錄和聯(lián)合互信采取聯(lián)合互信(LibertyAlliance)FederationSSO標(biāo)準(zhǔn)實(shí)現(xiàn)跨域SSO。我們前面所描述單次登錄處理方案，都是建立在同一個(gè)廠商提供處理方案基礎(chǔ)上，比如AM實(shí)現(xiàn)跨系統(tǒng)單次登錄。不過，在現(xiàn)有學(xué)校中，有可能會(huì)有來(lái)自于不一樣廠商網(wǎng)絡(luò)身份管理方案；另外，學(xué)校也不可防止地需要和學(xué)校外應(yīng)用系統(tǒng)交互，此時(shí)，跨不一樣廠商應(yīng)用系統(tǒng)間單次登錄就會(huì)成為一個(gè)問題。許多身份與策略服務(wù)，包含身份認(rèn)證、單點(diǎn)登錄和用戶自定義，都是聯(lián)合互信項(xiàng)目正在舉行標(biāo)準(zhǔn)化行動(dòng)主題。其目標(biāo)是產(chǎn)生聯(lián)合身份系統(tǒng)。聯(lián)合身份系統(tǒng)確保適宜方面而不是一個(gè)中心機(jī)構(gòu)來(lái)對(duì)主要個(gè)人信息使用進(jìn)行管理和分配。聯(lián)合互信項(xiàng)目是一個(gè)商業(yè)聯(lián)盟，其組建目標(biāo)是提供和支持一個(gè)因特網(wǎng)身份處理方案，以一個(gè)開放、聯(lián)合方式，實(shí)現(xiàn)單點(diǎn)登錄。聯(lián)合互信有三大目標(biāo)：允許個(gè)人用戶和機(jī)構(gòu)確保個(gè)人信息安全。使用多家提供者分散認(rèn)證和開放授權(quán)，提供通用、開放單點(diǎn)登錄標(biāo)準(zhǔn)。為橫跨全部網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)身份提供一個(gè)開放標(biāo)準(zhǔn)。聯(lián)合身份實(shí)現(xiàn)了聯(lián)合商務(wù)開發(fā)，這還能夠讓企業(yè)為學(xué)?；蜃罱K用戶帶來(lái)更多方便、選擇，并讓他們愈加好地控制自己身份。另外，聯(lián)合身份模型允許學(xué)校或用戶管理自己數(shù)據(jù)。比如，某用戶在學(xué)校UID為109886，而在網(wǎng)絡(luò)招聘系統(tǒng)中UID為。學(xué)校網(wǎng)絡(luò)身份管理系統(tǒng)采取我們單點(diǎn)登錄系統(tǒng)，網(wǎng)絡(luò)招聘系統(tǒng)采取是另外廠商方案，當(dāng)在這兩個(gè)系統(tǒng)中實(shí)現(xiàn)SSO時(shí)，假如對(duì)方同AM一樣，符合聯(lián)合互信SAML規(guī)范，跨系統(tǒng)SSO就能夠?qū)崿F(xiàn)。單點(diǎn)登錄系統(tǒng)遵照LibertyAlliancePhase2和SAML1.1規(guī)范。它對(duì)這些標(biāo)準(zhǔn)支持幫助創(chuàng)建了一個(gè)既簡(jiǎn)便易用又與現(xiàn)有系統(tǒng)兼容聯(lián)合框架及驗(yàn)證共享機(jī)制。系統(tǒng)布署說(shuō)明身份認(rèn)證平臺(tái)支持雙機(jī)或多機(jī)運(yùn)行模式，首先能夠確保系統(tǒng)可靠性，另首先也能夠保持良好擴(kuò)展能力，支持以下列圖布署架構(gòu)：依照實(shí)際測(cè)試情況，身份認(rèn)證平臺(tái)處理能力主要取決于處理器數(shù)量和內(nèi)存數(shù)量，系統(tǒng)完全能夠滿足20萬(wàn)用戶數(shù)據(jù)存放要求(20萬(wàn)*0.5M/用戶=100G存放容量)，并能夠保持較高處理性能，平均延時(shí)小于1秒，完全能夠確保同時(shí)有超出5000(5000*1M/用戶=5G內(nèi)存容量)用戶同時(shí)在線使用。提議采取以下系統(tǒng)安全方法提升系統(tǒng)安全性：安全分類安全方法主機(jī)安全支持身份認(rèn)證平臺(tái)管理員賬號(hào)和操作系統(tǒng)分離支持Unix、Linux等安全性高操作系統(tǒng)傳輸安全支持HTTPS加密傳輸機(jī)制訪問安全身份認(rèn)證平臺(tái)為各接入系統(tǒng)開設(shè)不一樣訪問用戶能夠設(shè)置數(shù)據(jù)同時(shí)服務(wù)對(duì)權(quán)威數(shù)據(jù)源訪問賬號(hào)讀寫權(quán)限建立對(duì)用戶登錄和注銷行為系統(tǒng)日志，能夠跟蹤非法用戶入侵和正當(dāng)用戶非法攻擊系統(tǒng)只使用以下端口：系統(tǒng)管理端口58080，LDAP訪問端口389，認(rèn)證服務(wù)器端口0存放安全全部用戶口令采取高安全不可逆加密存放全部包括到對(duì)其余數(shù)據(jù)庫(kù)訪問賬號(hào)配置采取加密存放安全管理支持用戶數(shù)據(jù)在線備份，和系統(tǒng)快速恢復(fù)支持用戶口令強(qiáng)制訂期變更平臺(tái)可靠性和擴(kuò)展性為確保系統(tǒng)7*二十四小時(shí)運(yùn)行，可采取雙機(jī)運(yùn)行模式，一臺(tái)服務(wù)器停頓運(yùn)行后，另外一臺(tái)服務(wù)器能夠不間斷自動(dòng)切換，不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行。同時(shí)在硬件層經(jīng)過RAID1確保所存放用戶身份數(shù)據(jù)可靠性，并在系統(tǒng)管理上支持用戶身份數(shù)據(jù)在線備份和備份數(shù)據(jù)定時(shí)遠(yuǎn)程上傳，確保在硬件層故障時(shí)，管理員能夠快速進(jìn)行系統(tǒng)整體恢復(fù)。平臺(tái)數(shù)據(jù)存放能夠依照實(shí)際數(shù)據(jù)量經(jīng)過擴(kuò)充主機(jī)磁盤容量方式進(jìn)行擴(kuò)展。統(tǒng)一信息門戶平臺(tái)統(tǒng)一信息門戶平臺(tái)（Portal），就是將各種應(yīng)用系統(tǒng)、數(shù)據(jù)資源和互聯(lián)網(wǎng)資源集成到一個(gè)信息管理平臺(tái)之上，它把分立系統(tǒng)不一樣功效有效地組織起來(lái)，為各類用戶提供一個(gè)統(tǒng)一信息服務(wù)入口，并提供高可配置功效，提供WEB網(wǎng)站頁(yè)面格調(diào)、布局、內(nèi)容等方面定制工具。設(shè)計(jì)關(guān)鍵點(diǎn)智慧校園包括教務(wù)、人事等多個(gè)業(yè)務(wù)系統(tǒng)，每個(gè)業(yè)務(wù)系統(tǒng)都會(huì)提供用戶不一樣信息服務(wù)，而且在各系統(tǒng)中也存在多個(gè)應(yīng)用子系統(tǒng)，每個(gè)子系統(tǒng)也都會(huì)提供不一樣服務(wù)界面。為提升易用性和一致性，需要在校內(nèi)建立統(tǒng)一信息服務(wù)門戶平臺(tái)，經(jīng)過該平臺(tái)重點(diǎn)處理以下幾方面問題：統(tǒng)一信息門戶平臺(tái)重點(diǎn)處理以下幾方面問題：（1）提供符合師生使用習(xí)慣高效、可靠平臺(tái)；（2）提供符合通用標(biāo)準(zhǔn)、可連續(xù)升級(jí)框架；（3）提供各種WEB應(yīng)用系統(tǒng)與門戶系統(tǒng)集成伎倆，完成不一樣應(yīng)用系統(tǒng)界面集成；（4）提供安全憑證登錄伎倆，用于實(shí)現(xiàn)對(duì)外部系統(tǒng)和內(nèi)部無(wú)法改造系統(tǒng)訪問時(shí)單點(diǎn)登錄；（5）提供滿足用戶個(gè)性化使用需求界面自定義功效；（6）提供門戶應(yīng)用開發(fā)框架、工具支持，處理學(xué)校一些非系統(tǒng)級(jí)應(yīng)用快速實(shí)現(xiàn)要求。平臺(tái)框架信息門戶平臺(tái)架構(gòu)以下：從功效上來(lái)看信息門戶平臺(tái)有六大部分組成：門戶基礎(chǔ)框架，提供標(biāo)準(zhǔn)運(yùn)行和開發(fā)框架應(yīng)用集成插件，用于滿足校內(nèi)外各類WEB應(yīng)用界面集成需求內(nèi)容管理模塊，提供統(tǒng)一內(nèi)容采編、審核和公布管理個(gè)人服務(wù)模塊，用于滿足師生用戶個(gè)人資料管理服務(wù)需求公共服務(wù)模塊，用于滿足面向公眾信息互動(dòng)和共享需求協(xié)作服務(wù)模塊，用于滿足人員之間、業(yè)務(wù)之間協(xié)同工作需求門戶運(yùn)行環(huán)境提供符合Portlet1.0規(guī)范門戶運(yùn)行支撐框架；提供標(biāo)準(zhǔn)Portlet開發(fā)接口，支持門戶應(yīng)用快速開發(fā)；提供頻道、欄目、頁(yè)面、內(nèi)容管理功效，用于管理員創(chuàng)建不一樣主題缺省網(wǎng)站；需提供個(gè)性化定制界面功效，支持管理員對(duì)界面配置，在界面中修改布局、樣式、欄目和欄目標(biāo)位置，同時(shí)支持個(gè)人用戶自主管理自己缺省界面；提供對(duì)Portlet應(yīng)用在線布署，在不影響已經(jīng)有應(yīng)用運(yùn)行情況下加載新應(yīng)用，或?qū)σ呀?jīng)有應(yīng)用進(jìn)行更新和卸載；提供分類Cache監(jiān)控管理功效，管理員能夠有針對(duì)性監(jiān)控Cache使用情況；提供單點(diǎn)登錄服務(wù)，集成統(tǒng)一身份認(rèn)證及權(quán)限管理平臺(tái)；提供信息門戶備份和恢復(fù)功效，保障系統(tǒng)可靠運(yùn)行；提供日志、審計(jì)、監(jiān)控、統(tǒng)計(jì)分析功效。平臺(tái)主要功效應(yīng)用管理模塊信息門戶平臺(tái)提供了完善應(yīng)用管理工作，包含應(yīng)用注冊(cè)、應(yīng)用信息管理和應(yīng)用負(fù)載管理。應(yīng)用注冊(cè)：在門戶內(nèi)注冊(cè)新應(yīng)用。應(yīng)用只有在門戶注冊(cè)后，用戶才能夠經(jīng)過門戶訪問；門戶支持portlet應(yīng)用系統(tǒng)在信息門戶注冊(cè)和管理，供用戶使用。應(yīng)用信息管理：管理應(yīng)用系統(tǒng)相關(guān)信息，如管理員、使用期等。應(yīng)用負(fù)載管理：信息門戶基于應(yīng)用服務(wù)器集群環(huán)境實(shí)現(xiàn)負(fù)載均衡管理，可布署多個(gè)平臺(tái)實(shí)例，支持大規(guī)模用戶訪問。系統(tǒng)監(jiān)控：監(jiān)控系統(tǒng)訪問信息，提供系統(tǒng)日志，方便管理員有效量化管理。應(yīng)用集成套件URL資源管理插件，提供對(duì)URL資源類和資源明細(xì)維護(hù)和授權(quán)，基于所維護(hù)URL資源管理，能夠靈活定義不一樣URL資源顯示欄目，用于支持不一樣應(yīng)用系統(tǒng)菜單級(jí)集成；IFrame集成插件，支持嵌入其它系統(tǒng)頁(yè)面，用于實(shí)現(xiàn)和其余網(wǎng)站界面無(wú)縫集成，并能夠控制集成后欄目標(biāo)表現(xiàn)形式；WebClipping集成插件，能夠?qū)?yīng)用服務(wù)器訪問到頁(yè)面進(jìn)行區(qū)域裁剪，裁剪后內(nèi)容作為門戶欄目進(jìn)行統(tǒng)一管理；URL集成插件，支持服務(wù)器級(jí)高效集成，包含對(duì)網(wǎng)站或其余門戶欄目標(biāo)集成；RSS集成插件，支持自動(dòng)從其它符合RSS（ReallySimpleSyndication，簡(jiǎn)易信息聚合）規(guī)范網(wǎng)站或門戶采集到需要數(shù)據(jù)，并定義對(duì)應(yīng)展現(xiàn)方式；憑證登錄插件，支持用戶實(shí)現(xiàn)對(duì)外部網(wǎng)站或內(nèi)網(wǎng)不能實(shí)現(xiàn)身份集成網(wǎng)站單點(diǎn)登錄功效；JSP編輯器插件，對(duì)數(shù)據(jù)庫(kù)查詢進(jìn)行安全封裝，支持在線JSP編輯，供開發(fā)人員和管理員快速開發(fā)一些數(shù)據(jù)庫(kù)查詢公布應(yīng)用。個(gè)性化Web桌面提供欄目管理功效，支持管理員增加新欄目，修改或刪除已經(jīng)有欄目，同時(shí)提供欄目分組管理功效用于方便管理員對(duì)欄目標(biāo)管理；提供欄目授權(quán)功效，支持管理員實(shí)現(xiàn)按欄目授權(quán)給用戶組或用戶功效；提供內(nèi)容頁(yè)管理功效，用于管理員創(chuàng)建不一樣主題內(nèi)容頁(yè)，同時(shí)支持二級(jí)內(nèi)容頁(yè)定義；提供頁(yè)面格調(diào)擴(kuò)展功效，支持管理員靈活擴(kuò)展用戶可選擇頁(yè)面格調(diào)；提供最終用戶個(gè)性化定制功效，最終用戶能夠自主選擇頁(yè)面格調(diào)，并自主定義自己內(nèi)容頁(yè)；提供站內(nèi)搜索服務(wù)，支持最終用戶能夠經(jīng)過關(guān)鍵字和內(nèi)容進(jìn)行搜索。內(nèi)容管理子系統(tǒng)內(nèi)容分類設(shè)置，提供內(nèi)容類內(nèi)容屬性、顯示格調(diào)設(shè)置，并支持分級(jí)管理，由分級(jí)管理員完成子類管理；審批流程定義，提供管理員依照不一樣內(nèi)容分類定義審批流程，以滿足不一樣類型內(nèi)容不一樣審批權(quán)限和審批級(jí)別；內(nèi)容編輯功效，提供所見即所得編輯方式，支持在線編輯、當(dāng)?shù)鼐庉嫼鸵面溄尤N，滿足不一樣場(chǎng)景下內(nèi)容快速錄入需要；內(nèi)容審批功效，提供審批人員待審批內(nèi)容列表，對(duì)于每項(xiàng)審批內(nèi)容能夠直接修改，也能夠使用批注，以提升審批效率；內(nèi)容公布功效，對(duì)于經(jīng)過審批內(nèi)容，公布責(zé)任人能夠設(shè)置公布使用期，支持預(yù)公布和實(shí)時(shí)公布；內(nèi)容歸檔功效，依照所公布內(nèi)容特征，由系統(tǒng)自動(dòng)進(jìn)行歸檔存放，并對(duì)所歸檔內(nèi)容提供查詢和統(tǒng)計(jì)；可與學(xué)校主頁(yè)有機(jī)整合，共享新聞、通知、公告等網(wǎng)站信息；支持整合學(xué)校各部門二級(jí)門戶網(wǎng)站，構(gòu)建獨(dú)立門戶。個(gè)人服務(wù)子系統(tǒng)個(gè)人記事本，為用戶提供網(wǎng)絡(luò)記事服務(wù)。并提供查詢、搜索功效；個(gè)人文件夾，依照個(gè)人權(quán)限分配網(wǎng)絡(luò)空間，用于上傳、下載、檢索個(gè)人電子資料，并能夠按文件或目錄授權(quán)給摯友或指定用戶共享；提議學(xué)生每人分配200M空間，教師能夠分配1G空間；個(gè)人相冊(cè)管理，提供相片數(shù)據(jù)上傳、維護(hù)，提供圖片按百分比在線瀏覽，同時(shí)用戶能夠按相片文件或目錄授權(quán)給摯友或指定用戶共享；新聞瀏覽器，提供RSS新聞瀏覽服務(wù)，自動(dòng)收取各新聞網(wǎng)站RSS新聞內(nèi)容；個(gè)人收藏夾，提供給普通用戶使用，用戶能夠在網(wǎng)上管理可用網(wǎng)絡(luò)書簽資源；個(gè)人主頁(yè)（博客），提供給每個(gè)用戶一個(gè)個(gè)人主頁(yè)空間，用戶能夠發(fā)表文章、評(píng)論、標(biāo)簽等Web內(nèi)容。公共服務(wù)子系統(tǒng)公共信息服務(wù)，提供校內(nèi)公告通知、網(wǎng)上調(diào)查，天氣預(yù)報(bào)、出行查詢等；網(wǎng)上投票，提供網(wǎng)上投票定義、按用戶組授權(quán)功效，調(diào)查表格可按需擴(kuò)展，并提供圖形化統(tǒng)計(jì)和分析功效，用于搜集特定群體對(duì)特定問題看法，可按權(quán)限公布詳細(xì)投票信息；圖文廣告，提供多個(gè)表現(xiàn)形式廣告管理，用于基于門戶公布各類廣告信息；公告管理，提供管理員和授權(quán)人員依據(jù)通用模式維護(hù)公告列表和公告內(nèi)容，同時(shí)提供按列表批量公告公布和單條目標(biāo)公告公布。協(xié)作服務(wù)子系統(tǒng)日程管理，提供用戶行程日歷，在日歷上實(shí)時(shí)標(biāo)識(shí)每日工作安排，同時(shí)提供對(duì)外服務(wù)接口，實(shí)現(xiàn)和其余業(yè)務(wù)系統(tǒng)行程安排整合；待辦事宜，為登錄用戶提供待辦任務(wù)提醒和管理，提升網(wǎng)上工作協(xié)作能力；網(wǎng)絡(luò)留言，經(jīng)過該服務(wù)實(shí)現(xiàn)網(wǎng)絡(luò)留言和回復(fù)功效，處理個(gè)人不在線時(shí)工作協(xié)作。平臺(tái)布署及性能說(shuō)明信息門戶平臺(tái)布署在標(biāo)準(zhǔn)J2EE應(yīng)用服務(wù)器之上，支持在單臺(tái)服務(wù)器上垂直擴(kuò)展、在多臺(tái)服務(wù)器上水平擴(kuò)展，垂直擴(kuò)展能夠提升系統(tǒng)運(yùn)行可靠性，水平擴(kuò)展能夠線性提升性能，以下列圖所表示布署架構(gòu)：基于上述結(jié)構(gòu)，系統(tǒng)在以下測(cè)試環(huán)境中性能情況以下：測(cè)試環(huán)境環(huán)境說(shuō)明網(wǎng)絡(luò)環(huán)境在試驗(yàn)室局域網(wǎng)內(nèi)，網(wǎng)絡(luò)帶寬100M硬件環(huán)境服務(wù)器：2CPU主頻3.2GXeon、2GRAM客戶端1：2CPU主頻為1.6GXeon、4GRAM客戶端2：1CPU主頻為2GP4、512MRAM操作系統(tǒng)服務(wù)器操作系統(tǒng)為：RedHatAS3.4客戶端操作系統(tǒng)為：Win系統(tǒng)軟件數(shù)據(jù)庫(kù)：Oracle10g應(yīng)用服務(wù)器：WebSphere6.0ND測(cè)試方法在2分鐘內(nèi)仿真200用戶連續(xù)訪問門戶指定頁(yè)面，頁(yè)面內(nèi)容為194K測(cè)試結(jié)果依照上述測(cè)試結(jié)果，在單臺(tái)2顆Xeon3.2GCPU、2GRAMPC服務(wù)器平臺(tái)上，門戶服務(wù)器平均處理能力能夠達(dá)成132.11RPS；100個(gè)并發(fā)訪問時(shí)，每秒可處理50個(gè)訪問請(qǐng)求，平均響應(yīng)時(shí)間1.9秒，在2分鐘內(nèi)能夠處理15000次以上用戶訪問請(qǐng)求，頁(yè)面訪問速度小于3秒，并發(fā)用戶支持人，在線用戶支持2萬(wàn)人。平臺(tái)可靠性和擴(kuò)展性說(shuō)明信息門戶平臺(tái)采取以下技術(shù)確保系統(tǒng)可靠性和可擴(kuò)展性運(yùn)行：支持在一臺(tái)應(yīng)用服務(wù)器內(nèi)部垂直擴(kuò)展，能夠依照應(yīng)用服務(wù)器內(nèi)存情況，同時(shí)創(chuàng)建多個(gè)服務(wù)實(shí)例，在一個(gè)服務(wù)實(shí)例故障時(shí)，其余服務(wù)實(shí)例能夠自動(dòng)接管對(duì)應(yīng)用戶訪問請(qǐng)求支持在多臺(tái)應(yīng)用服務(wù)器之間實(shí)現(xiàn)水平擴(kuò)展，并能夠依照各服務(wù)器處理能力設(shè)置對(duì)應(yīng)負(fù)載權(quán)重，在一臺(tái)服務(wù)器故障時(shí)，其余服務(wù)器能夠自動(dòng)接管對(duì)應(yīng)用戶訪問請(qǐng)求支持門戶單個(gè)應(yīng)用在線加載和更新，某個(gè)應(yīng)用出現(xiàn)問題時(shí)，能夠在服務(wù)不停情況，實(shí)現(xiàn)對(duì)該應(yīng)用更新平臺(tái)安全性考慮安全分類安全方法網(wǎng)絡(luò)安全支持應(yīng)用服務(wù)器布署在內(nèi)部網(wǎng)絡(luò)，經(jīng)過HTTPServer提供對(duì)外訪問主機(jī)安全門戶系統(tǒng)管理員能夠配置為統(tǒng)一身份認(rèn)證及權(quán)限管理平臺(tái)中指定用戶，不存在對(duì)操作系統(tǒng)用戶依賴支持對(duì)門戶系統(tǒng)管理員賬號(hào)強(qiáng)制訂期變更支持Solaris,Linux等安全性高UNIX操作系統(tǒng)傳輸安全支持HTTPS加密傳輸機(jī)制訪問安全對(duì)統(tǒng)一身份認(rèn)證及權(quán)限管理平臺(tái)訪問賬號(hào)是受限賬號(hào)對(duì)相關(guān)數(shù)據(jù)庫(kù)訪問賬號(hào)是受限賬號(hào)系統(tǒng)只使用J2EE服務(wù)器標(biāo)準(zhǔn)端口存放安全全部包括到對(duì)其余數(shù)據(jù)庫(kù)(系統(tǒng)庫(kù)、業(yè)務(wù)庫(kù)、共享庫(kù))訪問賬號(hào)采取加密存放對(duì)統(tǒng)一身份認(rèn)證及權(quán)限管理平臺(tái)訪問賬號(hào)采取加密存放對(duì)于采取憑證登錄和憑證登錄Portlet應(yīng)用,其登錄憑證采取加密存放數(shù)據(jù)中心平臺(tái)數(shù)據(jù)中心建設(shè)能夠分為三個(gè)階段，第一個(gè)階段主要是公共數(shù)據(jù)庫(kù)建設(shè)，其目標(biāo)是集成學(xué)?，F(xiàn)有和即將建設(shè)應(yīng)用，標(biāo)準(zhǔn)化學(xué)校相關(guān)數(shù)據(jù)，提供部分針對(duì)詳細(xì)業(yè)務(wù)查詢和報(bào)表。第二階段主要是數(shù)據(jù)庫(kù)應(yīng)用建設(shè)，其目標(biāo)是對(duì)學(xué)校數(shù)據(jù)資產(chǎn)進(jìn)行盤活，提供面向全局?jǐn)?shù)據(jù)展示服務(wù)。第三階段主要是數(shù)據(jù)倉(cāng)庫(kù)建設(shè)，其目標(biāo)是依照學(xué)校詳細(xì)需求和數(shù)據(jù)情況提供高層次數(shù)據(jù)服務(wù)，加強(qiáng)學(xué)校關(guān)鍵競(jìng)爭(zhēng)力。公共數(shù)據(jù)庫(kù)平臺(tái)建設(shè)須依據(jù)數(shù)據(jù)中心整體架構(gòu)，考慮未來(lái)數(shù)據(jù)應(yīng)用需求，建設(shè)一個(gè)面向未來(lái)、先進(jìn)數(shù)據(jù)平臺(tái)。數(shù)據(jù)中心實(shí)現(xiàn)數(shù)據(jù)存放、數(shù)據(jù)交換、數(shù)據(jù)服務(wù)、數(shù)據(jù)處理功效，主要為學(xué)校數(shù)據(jù)集成與應(yīng)用提供一個(gè)綜合性支撐平臺(tái)，數(shù)據(jù)中心應(yīng)基于學(xué)校詳細(xì)需求建設(shè)，面向?qū)W校綜合信息服務(wù)，為未來(lái)構(gòu)建新業(yè)務(wù)應(yīng)用提供強(qiáng)大數(shù)據(jù)平臺(tái)和服務(wù)平臺(tái)。智慧校園系統(tǒng)數(shù)據(jù)交換系統(tǒng)將經(jīng)過CIF（客戶信息系統(tǒng)）傳輸層（JMS接口，JAVA消息服務(wù)接口）數(shù)據(jù)交換方式在區(qū)域內(nèi)、代理之間經(jīng)過兩種方式共享數(shù)據(jù)：公布/訂閱和請(qǐng)求/應(yīng)答。代理將訂閱者感興趣數(shù)據(jù)改變（CIF_Event消息）發(fā)送給區(qū)域綜合服務(wù)，從而實(shí)現(xiàn)公布過程。代理也能夠向區(qū)域綜合服務(wù)發(fā)送CIF_Request消息，請(qǐng)求應(yīng)答結(jié)果，最終將收到一個(gè)或多個(gè)CIF_Response應(yīng)答消息，實(shí)現(xiàn)與教育資源網(wǎng)、CMIS系統(tǒng)、教委體系原有應(yīng)用系統(tǒng)或機(jī)構(gòu)信息系統(tǒng)、新構(gòu)建應(yīng)用系統(tǒng)之間進(jìn)行快速、安全數(shù)據(jù)交換。以下列圖所表示：數(shù)據(jù)中心建設(shè)重點(diǎn)分為以下三個(gè)方面：建設(shè)全局?jǐn)?shù)據(jù)集成與應(yīng)用集成中心數(shù)據(jù)中心以數(shù)據(jù)集成與應(yīng)用集成為目標(biāo)構(gòu)建綜合性學(xué)校應(yīng)用中心，使業(yè)務(wù)系統(tǒng)完成從以技術(shù)為中心向以數(shù)據(jù)為中心方向轉(zhuǎn)變。提供多角度、多層次數(shù)據(jù)服務(wù)數(shù)據(jù)中心基于開放標(biāo)準(zhǔn)與規(guī)范，經(jīng)過OLTP（聯(lián)機(jī)事務(wù)處理）、OLAP（聯(lián)機(jī)分析處理）數(shù)據(jù)處理相結(jié)合伎倆實(shí)現(xiàn)各種數(shù)據(jù)服務(wù)，使學(xué)校業(yè)務(wù)和管理系統(tǒng)在戰(zhàn)略層面、戰(zhàn)術(shù)層面、操作層面、運(yùn)行層面都能為相關(guān)各類用戶提供愈加好支持和服務(wù)。保護(hù)投資，增強(qiáng)現(xiàn)有應(yīng)用數(shù)據(jù)中心對(duì)現(xiàn)有信息技術(shù)資產(chǎn)具備兼容性，能夠保護(hù)已經(jīng)有投資、防止重復(fù)構(gòu)建，提供對(duì)專有系統(tǒng)集成能力，提升已經(jīng)有系統(tǒng)和新系統(tǒng)可靠性、模塊化、可擴(kuò)展性、可伸縮性和穩(wěn)定性。技術(shù)路線數(shù)據(jù)交換平臺(tái)是智慧校園關(guān)鍵技術(shù)支撐平臺(tái)主要組成部分，是整個(gè)系統(tǒng)信息傳輸、信息交換總線。經(jīng)過數(shù)據(jù)交換平臺(tái)將各業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)中需集成數(shù)據(jù)自動(dòng)上傳到共享數(shù)據(jù)庫(kù)中，并按各業(yè)務(wù)系統(tǒng)訂閱需求將共享數(shù)據(jù)分發(fā)到各業(yè)務(wù)系統(tǒng)，從而實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一集成和標(biāo)準(zhǔn)化，為提供數(shù)據(jù)綜合查詢、統(tǒng)計(jì)分析奠定數(shù)據(jù)基礎(chǔ)。同時(shí)，保留各業(yè)務(wù)系統(tǒng)原有數(shù)據(jù)庫(kù)，確保各業(yè)務(wù)系統(tǒng)完整性。現(xiàn)在，數(shù)據(jù)交換平臺(tái)底層技術(shù)選擇有兩種技術(shù)路線：一個(gè)是單純滿足數(shù)據(jù)交換需求，強(qiáng)調(diào)數(shù)據(jù)集成能力，簡(jiǎn)化適配器開發(fā)，比如Oracle數(shù)據(jù)集成器（ODI）；另一個(gè)是采取EAI（EnterpriseApplicationIntegration，企業(yè)應(yīng)用集成）方案，在SOA（Service-OrientedArchitecture，面向服務(wù)體系結(jié)構(gòu)）架構(gòu)模式下，實(shí)施服務(wù)總線ESB（EnterpriseServiceBus，即企業(yè)服務(wù)總線），強(qiáng)調(diào)設(shè)計(jì)架構(gòu)，需要大量開發(fā)適配器，不過能為學(xué)校奠定一個(gè)有效SOA架構(gòu)基礎(chǔ)，而且從數(shù)據(jù)集成開始做起，積累經(jīng)驗(yàn)，比如SUNCAPS就是這么處理方案。首選方案是以CAPS為基礎(chǔ)服務(wù)總線模式設(shè)計(jì)，同時(shí)不局限于CAPS能力，還參考了EAI領(lǐng)域Tibco、Vitria等著