統(tǒng)一用戶管理及認證平臺需求說明書

1、南而置教育儒屐闕魔鷹系統(tǒng)11統(tǒng)一用戶管理與認證平臺需求說明書項目及文檔信息發(fā)布日期：2008-9-30項目名稱南山區(qū)教育信息網(wǎng)應用系統(tǒng)合同號項目合同編號項目經(jīng)理楊巨龍客戶負責人石義琦文檔編號項目代號-文檔類型-流水號模板編號版本信息*A代表新增，M代表修改，D代表刪除版本號""發(fā)布日期提交人審閱人A.M.D更新位置更新摘要1.02008-9-30擬初稿1 引言31.1 編寫目的31.2 背景31.3 定義31.4 參考資料42 任務概述42.1 目標42.2 用戶的特點42.3 假定和約束53 需求規(guī)定53.1 對功能的規(guī)定53.1.1 統(tǒng)一用戶管理53.1.2 統(tǒng)一認證與

2、單點登錄73.1.3 應用系統(tǒng)自身的用戶及認證管理83.2 對性能的規(guī)定83.2.1 精度83.2.2 時間特性要求83.2.3 靈活性93.3 輸人輸出要求93.3.1 用戶信息93.3.2 認證信息93.4 數(shù)據(jù)管理能力要求93.5 故障處理要求93.6 其他專門要求94 運行環(huán)境規(guī)定94.1 設備94.2 支持軟件104.3 接口104.4 控制101引言1.1 編寫目的本文檔的編寫目的在于確定南山教育信息網(wǎng)統(tǒng)一用戶管理與認證平臺的需求內(nèi)容，成為后續(xù)開發(fā)建設和驗收的依據(jù)。1.2 背景在應用系統(tǒng)的建設中，用戶身份和認證信息的管理是最關鍵的一部分。但是由于需求總是在不斷變化和發(fā)展，應用系統(tǒng)也

3、會不斷的增加或淘汰。因此，應用系統(tǒng)通常都是在不同平臺上、由不同開發(fā)商開發(fā)，使用的技術不一致，容易造成每套系統(tǒng)都有獨立的用戶身份管理，登錄不同應用系統(tǒng)需要多次登錄。對于用戶來說，每增加一個新的應用，需要記憶一套新的用戶名/密碼，負責的業(yè)務范圍越大，需要記憶的用戶名/密碼組越多。設定一樣的密碼，不夠安全；密碼設定不一樣，記憶困難，每次訪問應用系統(tǒng)，需要重復輸入用戶名/密碼，在一個系統(tǒng)中修改了密碼，其他系統(tǒng)的密碼不會隨之改變。對于系統(tǒng)管理員而言，沒有一個統(tǒng)一的用戶管理系統(tǒng)，就會在新進人員時，需要到眾多系統(tǒng)中逐一建立帳號；人員離職時，需要到眾多系統(tǒng)中逐一刪除帳號，給系統(tǒng)管理員的工作造成了繁重負擔，還容

4、易造成各系統(tǒng)中人員身份信息的不一致。對于南山區(qū)學校領導、教師和學生等用戶，由于其可以享受大量教育資源服務，為防止他人冒名頂替、盜用資源，故須對這些“合法”用戶要進行統(tǒng)一的實名認證。1.3 定義統(tǒng)一認證平臺：南山教育信息網(wǎng)的應用支撐性平臺，包括了統(tǒng)一用戶、應用資源的管理以及各應用資源的統(tǒng)一認證管理。統(tǒng)一用戶管理：負責管理南山教育信息網(wǎng)全體實名用戶的身份管理，并分配各分項應用子系統(tǒng)中具有使用權的用戶，將統(tǒng)一用戶信息同步到應用子系統(tǒng)中。統(tǒng)一認證：負責南山教育信息網(wǎng)的統(tǒng)一用戶認證以及單點登錄支持，用戶通過平臺統(tǒng)一單點登錄需要各應用系統(tǒng)支登錄之后可以單點登錄訪問其權限范圍內(nèi)的各分項應用子系統(tǒng)，持統(tǒng)一認證

5、接口。1.4 參考資料招標文件南山區(qū)教育信息網(wǎng)應用系統(tǒng)軟件開發(fā)與集成服務2 任務概述2.1 目標（ 1）用戶組織與權限管理：建立一套有效的用來管理網(wǎng)絡資源、用戶身份的平臺，實現(xiàn)組織、用戶和資源的集中管理和授權，管理員不再分散管理用戶，系統(tǒng)具有很高安全性和靈活性。（ 2）統(tǒng)一認證管理：單點登錄功能是實現(xiàn)統(tǒng)一身份認證系統(tǒng)的首要目標，實現(xiàn)讓用戶在經(jīng)過一次網(wǎng)絡身份驗證后，就可以訪問所有授權的網(wǎng)絡資源，而不需要額外驗證，支持多種認證方式（用戶名密碼、證書、USB。這里的網(wǎng)絡資源，主要是指基于Web方式的應用系統(tǒng)。（ 3）應用系統(tǒng)管理：在實現(xiàn)了用戶統(tǒng)一認證的基礎上，制定出一套規(guī)范的用戶單點登錄機制，提供用

6、戶身份統(tǒng)一訪問接口，要求所有新建且可以經(jīng)過統(tǒng)一身份認證系統(tǒng)認證的應用系統(tǒng)，涉及的賬號一定是統(tǒng)一身份認證系統(tǒng)的用戶帳號。這些應用系統(tǒng)必須被統(tǒng)一身份認證系統(tǒng)所管理，管理平臺設置可以訪問此應用系統(tǒng)的用戶、組織或角色等。（ 4）舊系統(tǒng)策略：提供自動代理登錄（自動登陸到其它目標業(yè)務系統(tǒng)）功能，實現(xiàn)統(tǒng)一用戶可以單點登錄舊系統(tǒng)，代理登陸所需要的用戶信息保存在獨立數(shù)據(jù)庫中。（ 5）日志管理：可以查看用戶登錄以及用戶同步的日志記錄。2.2 用戶的特點南山教育信息網(wǎng)的用戶涉及到南山教育局以及下屬的各個學校和機構的全體用戶，具體包括：約1萬的教職工用戶，約10萬的中小學生用戶、約10萬的家長用戶。所有這些用戶都將由

7、統(tǒng)一認證平臺統(tǒng)一管理，平臺管理員有權管理所有的用戶信息，而各個單位（如某個學校）的管理員可以管理本單位的用戶信息，普通的用戶可以使用自己的帳號通過平臺進行統(tǒng)一登錄，然后單點式的訪問南山教育信息網(wǎng)類自身具有權限的應用系統(tǒng)資源，不再需要為訪問某一個應用系統(tǒng)而分別輸入用戶、密碼。2.3 假定和約束南山教育信息網(wǎng)具備全局的統(tǒng)一用戶庫，各分項的應用子系統(tǒng)可以仍然具備自身的用戶體系，但用戶信息源于統(tǒng)一用戶庫，用戶的產(chǎn)生由統(tǒng)一用戶管理負責，各應用系統(tǒng)接收平臺發(fā)送的用戶同步信息。各應用系統(tǒng)必須提供相關的接口以支持單點登錄，對于已有的應用系統(tǒng)而言，通過基于用戶映射的代理訪問方式，不需要單獨開發(fā)單點登錄接口。3

8、需求規(guī)定3.1 對功能的規(guī)定3.1.1 統(tǒng)一用戶管理平臺提供南山教育信息網(wǎng)全體實名用戶的用戶資料信息集中存儲，這些資料由統(tǒng)一用戶認證平臺集中管理，平臺管理員可以維護所有人員的用戶信息，各單位的管理員只能維護其本單位的用戶信息。用戶的信息包括應包括3個層面的含義：1、用戶的人事類基礎信息，諸如姓名、性別、戶籍、身份證、職務、聯(lián)系電話、電子郵箱、學歷、學位等等，這些信息不涉及安全登錄，但可以作為用戶登錄帳號信息的生成來源。2、用戶的帳號信息，諸如登錄帳號、密碼、密碼有效期、登錄方式等，這些信息涉及安全登錄，在進行用戶認證時，構成校驗信息的主體。3、權限信息，指用戶可以訪問哪些應用系統(tǒng)資源。統(tǒng)一用戶

9、管理具體由以下功能組成。3.1.1.1 人事信息管理人事信息資料的管理是帳號管理體系的基礎工作，它具有對學生人事信息和教職工信息的管理職能，提供人事信息查詢、修改、 統(tǒng)計、 增加、 檢驗、 帳號查詢等功能。系統(tǒng)應支持從Excel批量導入人事信息的功能，同時也支持針對單個個體的創(chuàng)建及維護功能，便于管理。3.1.1.2 帳號信息管理帳號管理是整個統(tǒng)一用戶管理體系的核心，它負責用戶登錄帳號的生成、注冊、掛失、解掛、維護等功能。帳號信息至少包括登錄帳號、密碼等，作為與應用系統(tǒng)進行用戶同步的基礎，帳號信息也包含了主要的一些人事類信息，如姓名、性別、身份證、民族、籍貫、職務等。用戶的帳號必須唯一，同時其密

10、碼的設定應不能過于簡單，安全起見應具備一定的復雜度。對于用戶個人來說，應該具備密碼修改的功能，保證其帳號的安全性。3.1.1.3 應用系統(tǒng)管理作為用戶管理主體，統(tǒng)一用戶認證平臺負責了整個南山教育信息網(wǎng)的全體用戶信息的管理，各分項的應用系統(tǒng)受平臺管理約束，各系統(tǒng)的用戶信息來源于統(tǒng)一用戶，為了將統(tǒng)一用戶信息分配到各個子系統(tǒng)，需要將應用系統(tǒng)注冊到平臺之中，并記錄各系統(tǒng)支持用戶信息同步的接口。3.1.1.4 用戶權限管理南山教育信息網(wǎng)的用戶并不是可以訪問全部的應用系統(tǒng)，因此必須具有相關的權限管理。統(tǒng)一認證平臺的用戶權限管理并不涉及到用戶對于各個應用系統(tǒng)的業(yè)務權限，而是指定哪些用戶可以訪問哪些應用系統(tǒng)，

11、分配一個用戶可以使用哪個應用系統(tǒng)之后，他的用戶信息就被同步到相應的應用系統(tǒng)之中。3.1.1.5 用戶信息同步用戶具備某個應用系統(tǒng)的權限之后，他應用在該系統(tǒng)中具有用戶身份，由于用戶信息由平臺統(tǒng)一管理，因此就需要將用戶信息同步到應用系統(tǒng)中。同步的用戶信息指的是用戶的帳號信息，平臺應具備通用的用戶信息同步接口，負責將統(tǒng)一帳號信息以通用的接口方式發(fā)送給各個應用系統(tǒng)，各系統(tǒng)按照平臺的規(guī)范性要求實現(xiàn)自身自身的用戶信息同步接口，獲取統(tǒng)一用戶信息后，完成用戶從平臺到各系統(tǒng)的新增、修改、刪除的同步操作。3.1.1.6 日志管理系統(tǒng)具備用戶同步日志管理功能，可以查看同步是否成功，同步不成功時也可以看到具體的錯誤跟

12、蹤信息。系統(tǒng)具備用戶登錄日志管理功能，可以查看用戶的登錄情況。3.1.2 統(tǒng)一認證與單點登錄3.1.2.1 統(tǒng)一認證作為南山教育信息網(wǎng)的應用基礎，統(tǒng)一認證平臺應提供用戶帳號身份的集中驗證功能，驗證通過之后，用戶具有的全局的身份，當他再訪問網(wǎng)內(nèi)的其他應用子系統(tǒng)時，不再需要進行身份認證。統(tǒng)一認證只需要支持B/S架構的認證方式，具體可以支持NTLM、Kerberosv5.0、BASIC認證、摘要認證、LDAP認證等多種認證協(xié)議，并支持用戶名/密碼、數(shù)字證書、卡認證等多種認證方式，以支持在不同應用場景下的用戶認證請求。對于南山教育信息網(wǎng)本期項目而言，只統(tǒng)一使用用戶名/密碼的認證方式。在南山教育信息網(wǎng)主

13、門戶網(wǎng)站中，將提供統(tǒng)一的登錄入口，用戶登錄之后，進入其個人首頁，個人首頁中提供了用戶有權訪問的應用系統(tǒng)資源，用戶從該處可以以單點登錄的方式進入各應用系統(tǒng)。3.1.2.2 單點登錄用戶經(jīng)過統(tǒng)一認證之后，方式南山教育信息網(wǎng)內(nèi)各子應用系統(tǒng)時，應支持單點登錄功能，用戶只需輸入一次用戶名和密碼，就可訪問平臺所有被授權訪問的系統(tǒng)，而無需二次輸入用戶名和密碼。平臺需要支持2類B/S結(jié)構的應用系統(tǒng)的單點登錄：1、使用統(tǒng)一帳號的新建應用系統(tǒng)，其單點登錄支持需要支持各種異構系統(tǒng)，比如基于微軟技術的、Java技術的、Php技術的等等，這種方式對于用戶來說使用的就是統(tǒng)一帳號和密碼，不需要其自身再進行任何設置，對于應用

14、系統(tǒng)來說，則需要按照平臺的規(guī)范性要求實現(xiàn)單點登錄接口，能夠獲取到用戶的統(tǒng)一身份信息。2、 非使用統(tǒng)一帳號的原有應用系統(tǒng)，其單點登錄支持的是基于Form的表單式認證，平臺提供用戶自助式的原系統(tǒng)用戶名、密碼配置界面，用戶配置好原系統(tǒng)的認證信息后，在訪問原系統(tǒng)時，平臺將身份信息以代理的方式提交給原系統(tǒng)，完成登錄。3.1.3 應用系統(tǒng)自身的用戶及認證管理南山教育信息內(nèi)各新建的應用系統(tǒng)的用戶管理和認證與統(tǒng)一用戶管理認證平臺做整合，以統(tǒng)一用戶管理認證系統(tǒng)為主，以應用系統(tǒng)自身的用戶管理和認證為輔。3.1.3.1 應用系統(tǒng)用戶管理各應用系統(tǒng)仍然具備自身的用戶管理，保持其獨立性。主要維護其本系統(tǒng)內(nèi)的一些統(tǒng)一用戶

15、之外的個性化信息參數(shù)，用戶的創(chuàng)建由平臺發(fā)起，不能由應用系統(tǒng)首先創(chuàng)建。應用系統(tǒng)需要開發(fā)用戶信息同步接口，負責本系統(tǒng)內(nèi)用戶帳號信息的創(chuàng)建、修改、刪除工作。平臺在授權后會將用戶帳號信息同步到應用系統(tǒng)中，平臺在刪除用戶后也將通過同步接口將用戶從應用系統(tǒng)中刪除。3.1.3.2 應用系統(tǒng)用戶認證各應用系統(tǒng)仍然可以具備自身的用戶登錄認證功能，保持其獨立性。應用系統(tǒng)自身的登錄認證，只完成其本身的登錄，并沒有登錄到統(tǒng)一平臺。3.2 對性能的規(guī)定3.2.1 精度支持10萬級用戶的身份認證，支持3000并發(fā)認證。3.2.2 時間特性要求響應時間在2秒以內(nèi)，不能超過5秒。3.2.3 靈活性系統(tǒng)從結(jié)構上及功能上應該具備

16、良好的靈活性，能夠滿足用戶不斷發(fā)展的復雜業(yè)務需求。降低使用維護過程中的難度。3.3 輸人輸出要求3.3.1 用戶信息用戶基本信息至少包括姓名、性別、身份證、所屬單位。3.3.2 認證信息用戶認證所需的帳號信息至少包括登錄帳號、密碼、密碼有效期。3.4 數(shù)據(jù)管理能力要求能夠管理20萬級別的用戶信息管理。3.5 故障處理要求系統(tǒng)具備集群功能，防止系統(tǒng)單點故障。3.6 其他專門要求無。4 運行環(huán)境規(guī)定4.1 設備2臺TAM服務器，4臺WebSeal服務器，性能條件建筑在以下具體配置要求之上：1. 兩個四核IntelXeon5430處理器（2.66GHz,1333前端總線，集成2x6MB二級緩存）；2. 8GB(4x2GB)兩路交錯PC2-5300全緩沖DDR2-667內(nèi)存3. 支持高級ECC鏡相內(nèi)存和在線備用內(nèi)存，8個內(nèi)存插槽，最大內(nèi)存可以擴充到32GB4. 集成雙千兆網(wǎng)卡,帶TCP/IPOffload引擎，可實現(xiàn)加速iSCSI,2個I/O擴展槽；5 .集成SAS智能陣列控制器，支持RAID0,1,支持2個小尺寸SAS