方案-國內廠商身份管理項目技術方案

XX公司

身份管理（軟件）項目

技術方案

Xx公司身份管理（軟件）項目技術方案

目錄

目錄

1.項目概述...............................................4

1.1背景分析.........................................................4

1.2目標任務.........................................................5

1.3建設原則.........................................................5

2.項目需求分析...........................................7

2.1總體業(yè)務需求.....................................................7

2.2技術需求分析.....................................................7

2.2.1統(tǒng)一身份管理需求分析..........................................7

2.2.2統(tǒng)一認證、管理、登錄、存儲...................................8

2.3非功能性需求分析.................................................9

2.3.1先進性........................................................9

2.3.2實用性.......................................................10

2.3.3可靠性.......................................................10

2.3.4安全性.......................................................10

2.3.5可擴展性.....................................................10

2.3.6易維護性.....................................................11

2.3.7靈活性.......................................................11

3.總體技術方案...........................................12

3.1項目架構設計原則................................................12

3.1.1基于SOA設計原則............................................13

3.1.2開放的Web服務技術..........................................15

3.2項目總體技術設計................................................16

3.2.1身份管理設計.................................................18

Xx公司身份管理(軟件)項目技術方案

3.3支撐平臺搭建技術方案.............................................27

3.3.1身份管理搭建技術方案.........................................27

4.項目實施方案.................................................47

4.1項目實施策略....................................................47

4.2項目管理方法論..................................................48

4.2.1項目計劃期(ProjectPlanning)....................................................................49

4.2.2階段計戈ij期(PhasePlanning).....................................................................50

4.2.3階段控制期(PhaseControl)........................................................................52

4.2.4階段完成期(PhaseCompletion)................................................................53

4.2.5項目完成期(ProjectCompletion)..............................................................54

4.3項目實施風險管理................................................56

4.3.1風險分析.....................................................56

4.3.2風險規(guī)避....................................................58

4.3.3風險控制過程監(jiān)控.............................................60

4.3.4風險管理流程................................................60

4.4項目實施概述....................................................61

4.5實施安排........................................................61

4.5.1人員組織.....................................................62

4.5.2實施流程....................................................66

4.5.3項目立項....................................................66

4.5.4項目實施規(guī)劃和各階段工作分工................................66

4.5.5項目竣工驗收交付文檔........................................68

4.6項目實施計劃....................................................70

4.6.1項目總體實施計劃.............................................70

4.6.2身份管理實施計劃清單........................................72

5.服務方案......................................................74

5.1服務內容........................................................74

5.2培訓服務方案....................................................75

5.2.1培訓服務承諾應答.............................................75

Xx公司身份管理（軟件）項目技術方案

5.2.2知識轉移....................................................78

5.2.3培訓策略....................................................78

5.2.4培訓目標....................................................78

5.2.5現(xiàn)場培訓....................................................80

5.2.6培訓課程內容................................................81

5.2.7培訓材料....................................................83

5.2.8培訓計劃....................................................84

5.3產(chǎn)品供貨安裝....................................................85

5.3.1技術服務任務安排.............................................85

5.4上線支持和售后服務..............................................86

5.4.1售后服務承諾.................................................86

5.4.2售后服務概述................................................86

5.4.3服務種類....................................................90

5.5炎黃IDM統(tǒng)一認證管理平臺.......................................93

5.5.1產(chǎn)品概述.....................................................93

附錄：詳細技術指標逐項應答...............................101

III

1.項目概述

1.1背景分析

當今世界，信息化已成為經(jīng)濟社會發(fā)展的總體趨勢。對我國加快推進電子政務和信息化建設提出了迫切的要求。為積極

應對XX公司資源管理面臨的新形勢、新任務、新挑戰(zhàn)，XX公司資源部采取了一系列重大舉措，全力推進XX公司資源系統(tǒng)信

息化建設，取得了積極成效。一些省市在XX公司資源信息化規(guī)劃、建設和應用等方面走在了全國前列，其他一些省市也快速

跟進，全國XX公司資源系統(tǒng)形成了領導重視、整體布局、快速推進的信息化建設新局面。

近幾年來，河北省XX公司高度重視XX公司資源信息化建設，積極貫徹落實XX公司資源部的一系列部署和要求，在信息

化基礎建設、電子政務及業(yè)務系統(tǒng)開發(fā)應用等方面取得了明顯成效。

河北省XX公司資源信息化工作起步較早，先后建設了：土地利用計劃管理、土地登記信息動態(tài)等三十多個業(yè)務和政務審

批系統(tǒng)，積累了大量的經(jīng)驗。隨著信息技術的飛速發(fā)展，云計算、SOA、移動化等，河北省XX公司資源廳將多年來積累的

信息化建設經(jīng)驗和成果與先進技術相結合，要構建一個“范圍覆蓋全省、技術成熟領先、應用便捷可靠”的全新XX公司資源信

息化平臺。

這將一方面響應XX公司資源部要求，另一方面全面提升河北省XX公司資源管理水平，優(yōu)化XX公司資源管理能力，實現(xiàn)

“以圖管地、以圖管礦、以圖管海”的目標，河北省XX公司資源廳，將結合河北省XX公司資源信息化建設的需要，全面開展

河北省XX公司資源“一張圖”和綜合監(jiān)管平臺建設工作。

4

1.2目標任務

根據(jù)此次項目規(guī)劃，此次項目需要完成以下任務：

1.3建設原則

“一張圖”和綜合監(jiān)管平臺的建設涉及面廣，涉及業(yè)務種類多。因此建議在項目的組織、實施和管理中遵循如下原則：

1.統(tǒng)籌規(guī)劃，相互銜接。

為保證平臺建設和其它系統(tǒng)之間的充分銜接，需要統(tǒng)一規(guī)劃和設計工程建設框架，制定統(tǒng)一標準，遵循總體框架和工作

部署，結合XX公司資源工作特點，因地制宜地制定符合XX公司的建設實施方案，明確工作任務和計劃進度。按照行業(yè)制定

的統(tǒng)一標準和技術要求，開展支撐平臺、標準化等建設，各系統(tǒng)建設目標要與建設目標保持一致。

2.整合資源，形成合力。

經(jīng)過多年努力，xx公司的xx公司資源信息化建設已經(jīng)取得了一定的進展，在此次建設過程中，充分整合現(xiàn)有的應用系統(tǒng)、

網(wǎng)絡資源和數(shù)據(jù)資源，注重系統(tǒng)之間的銜接，切實保障系統(tǒng)之間的信息資源共享，避免重復建設，逐步消除“信息孤島”，最

大程度發(fā)揮現(xiàn)有各類資源的效益，保護已有的投資。

3.試點引路，做好表率。

此次項目合理制定分期目標，利用統(tǒng)一界面和身份認證工具實現(xiàn)各系統(tǒng)的統(tǒng)一展現(xiàn)和單點登錄、身份管理，利用統(tǒng)一的

基礎設施支撐環(huán)境實現(xiàn)業(yè)務應用的運行和IT資源的統(tǒng)一配置和管理。結合xx公司的實際情況進行系統(tǒng)的完善，邊建設邊應

用，通過平臺的建設來促進系統(tǒng)的完善，進而推動系統(tǒng)的建設，全力以赴，做好表率。

5

4.開放服務，統(tǒng)一訪問。

立足于社會經(jīng)濟發(fā)展的需要，充分利用現(xiàn)代信息技術和多元化服務方式，大力加強xx公司資源信息的社會化服務。同時,

參照xx公司資源部有關制度、規(guī)定，制訂開發(fā)服務細則，引進身份管理，保障信息系統(tǒng)和xx公司資源訪問安全。

6

2.項目需求分析

2.1總體業(yè)務需求

2.2技術需求分析

目前河北省XX公司資源廳，行政管理相關業(yè)務系統(tǒng)正在應用的有35個（不完全統(tǒng)計），其中19個由XX公司部統(tǒng)一下發(fā)

業(yè)務系統(tǒng)，6個由河北省xx公司廳自建。服務用戶群體，包括xx公司系統(tǒng)內用戶、政府和相關單位用戶、社會公眾用戶。

"一張圖"的技術需求：全面掌握xx公司資源總體情況，并通過對地、礦、海涉及的行政管理、行政審批和執(zhí)法監(jiān)察等業(yè)

務事項類型進行監(jiān)管，實現(xiàn)對土地"批、供、用、補、查"、礦產(chǎn)"儲、探、采、用、查”和海洋資源開發(fā)利用等xx公司資源管

理工作的全過程監(jiān)管。對xx公司資源業(yè)務監(jiān)管能實現(xiàn)監(jiān)管過程的規(guī)范化與透明化，流程的公開透明化、預審與審批流程的透

明化、評審與驗收流程的透明化和執(zhí)法與處罰流程的公開透明化。

2.2.1統(tǒng)一身份管理需求分析

根據(jù)工程總體架構規(guī)劃設計方案，實現(xiàn)XX公司系統(tǒng)內部用戶和外部用戶集中統(tǒng)一的用戶和權限管理、系統(tǒng)級訪問控制管

理，為各應用系統(tǒng)提供用戶信息共享服務、統(tǒng)一身份認證服務、單點登錄服務、數(shù)字簽名驗簽服務、通道傳輸加密服務等。

7

?服務對象：XX公司應用中所涉及的內部賬戶和外部用戶

?業(yè)務目標：提供集中的用戶身份存儲、統(tǒng)一用戶管理、身份信息同步、統(tǒng)一密碼策略和用戶自服務等功能。

?收集、篩選并整理所有應用系統(tǒng)的用戶屬性信息，為XX公司所有應用系統(tǒng)建立集中統(tǒng)一的用戶信息庫。

?統(tǒng)一密碼策略主要考慮以統(tǒng)一身份管理平臺提供唯一的密碼策略，通過身份管理平臺的自服務功能提供密碼修改、密碼

重置功能，屏蔽應用系統(tǒng)的密碼策略和帳號自服務功能。身份管理平臺需要考慮與SSO系統(tǒng)的結合。

?設計并部署符合xx公司應用管理模式的用戶帳號同步和身份生命周期管理流程。

?設計并部署符合xx公司安全策略中用戶帳號管理規(guī)則、用戶帳號生成規(guī)則和密碼策略。

?定制并部署符合用戶操作習慣的用戶自服務功能，包括：個人資料修改、密碼修改、密碼重置、強制修改初始化密碼等,

并提供相應接口與SSO系統(tǒng)的集成。

?定制并部署身份管理平臺與短信平臺的集成，為重置密碼提供驗證碼功能。

222統(tǒng)一認證'管理'登錄、存儲

解決用戶統(tǒng)一管理

面對著多個應用系統(tǒng)整合，傳統(tǒng)的模式需要在各個應用系統(tǒng)中進行用戶數(shù)據(jù)的管理，流程復雜，時效性慢，管理復雜。

因此，業(yè)務整合的基礎首先就是要解決用戶統(tǒng)一管理問題，需要構建統(tǒng)一的用戶管理平臺，實現(xiàn)用戶數(shù)據(jù)的集中管理，為各

個業(yè)務系統(tǒng)的整合提供權威的用戶數(shù)據(jù)，提供集中統(tǒng)一的用戶生命周期管理平臺。

因為XX公司已有30多個業(yè)務系統(tǒng)，為了保護系統(tǒng)現(xiàn)有的投資。統(tǒng)一身份管理需要提供數(shù)據(jù)同步接口完成與現(xiàn)有系統(tǒng)的

集成，實現(xiàn)用戶數(shù)據(jù)的集中統(tǒng)一管理。

8

解決多應用系統(tǒng)下的統(tǒng)一授權問題

在用戶信息集中管理的基礎上，解決現(xiàn)有部下發(fā)和省建設應用系統(tǒng)的統(tǒng)一授權管理問題。統(tǒng)一授權管理主要是把分散到

各個應用系統(tǒng)中的權限管理集中到統(tǒng)一認證管理平臺中進行統(tǒng)一管理。

根據(jù)河北省xx公司信息化建設現(xiàn)狀和需求，本期項目授權管理粒度為細粒度授權，控制到應用功能級別。

解決應用系統(tǒng)責任認定問題

通過全面、集中監(jiān)控和審計：用戶訪問應用系統(tǒng)的行為，管理員的操作行為，以及應用系統(tǒng)的安全運行狀態(tài)，將有效地

提高安全管控能力和責任認定有效性。

2.3非功能性需求分析

2.3.1先進性

此次項目需要把XX公司業(yè)務科學的管理理念和先進的技術手段緊密結合起來，提出先進合理的業(yè)務流程，真正做到緊

扣XX公司事業(yè)未來發(fā)展方向；系統(tǒng)應運用先進成熟的技術手段和標準化產(chǎn)品，具有較高性能，符合當今技術發(fā)展的方向，

確保系統(tǒng)具有較強的生命力，有長期的使用價值，符合未來的發(fā)展趨勢。

9

2.3.2實用性

設計應面向實際、注重實效、堅持實用、經(jīng)濟的原則，應充分利用原有設備和信息資源，應用軟件應考慮用戶的操作習

慣，為用戶提供友好的操作界面以及豐富的聯(lián)機幫助，全面提升系統(tǒng)的實用性和經(jīng)濟性。

2.3.3可靠性

設計時要采用可靠的技術，系統(tǒng)各環(huán)節(jié)具備故障分析與恢復和容錯能力，在安全體系建設、復雜環(huán)節(jié)解決方案和系統(tǒng)切

換等各方面考慮周到、切實可行，建成的系統(tǒng)安全可靠，穩(wěn)定性強，從而把各種可能存在的風險降至最低。

2.3.4安全性

系統(tǒng)應該在各個層次對訪問進行控制，設置嚴格的操作權限；并充分利用日志系統(tǒng)、健全的備份和恢復策略，增強系統(tǒng)

的安全性。

2.3.5可擴展性

全面考慮XX公司業(yè)務的發(fā)展趨勢，系統(tǒng)設計要具有一定的前瞻性，在五到十年內不落后，并充分考慮系統(tǒng)升級、擴

10

容、擴充和維護的可行性，考慮在統(tǒng)一系統(tǒng)架構下增加新業(yè)務的可行性。

2.3.6易維護性

在設計上要考慮可維護性，使日常維護和操作直觀、簡便和高效。建模工具要先進，模塊化程度要高，對不同的業(yè)務流

程和管理方式的適應能力強，維護方便。

2.3.7靈活性

軟件設計時應充分考慮整個應用系統(tǒng)的靈活要求，隨用戶需求的改變而及時調整，通過合理的模塊劃分，實現(xiàn)應用軟件

對業(yè)務變更或軟件技術發(fā)展的靈活適應能力。

11

3.總體技術方案

3.1項目架構設計原則

因為XX公司的這個項目，涉及到到多個業(yè)務系統(tǒng)部署，實施周期長。因此建議整個設計遵循以下技術原則：

1）先進性

采用SOA架構，SOA架構采用技術反映當前國內外科學技術先進成果，既符合當代信息技術發(fā)展趨勢又有已成功的經(jīng)

驗，并且是各個領域公認的、技術領先且功能完備的成熟技術和理念，其時效性方面能滿足技術發(fā)展要求。

2）可靠性

架構設計考慮整個系統(tǒng)的可靠性，能保證系統(tǒng)7*24小時不間斷運行，出現(xiàn)故障能及時告警?？晒M足需求的用戶所使用，

同時在線人數(shù)滿足項目需求。支撐的xx公司應用系統(tǒng)具備自動或手動恢復措施，以便在發(fā)生錯誤時能夠快速地恢復正常運行。

應用軟件能夠防止消耗過多的系統(tǒng)資源而使系統(tǒng)崩潰。

3）開放性

平臺的構建要滿足相關國際標準和國家標準，是開放的可兼容系統(tǒng)，能與不同廠商的產(chǎn)品兼容，可以有效保護投資，實

現(xiàn)系統(tǒng)間的互聯(lián)、互通及整合。保證對二次開發(fā)的支持，可提供豐富的API等。

4）可擴展性

12

構建的平臺要支持負載均衡和故障恢復，提供過載保護功能，保障在高業(yè)務壓力下能保持正常運行，提供良好的可擴展

性，能進行水平或者垂直的擴展，提供多種負載均衡算法，按業(yè)務需求進行配置。

5)成熟性

平臺要選用成熟度高的開發(fā)技術和接口技術，選用成熟的、先進的產(chǎn)品，回避了因技術缺陷造成的風險因素。

6)易用性

平臺要能提供完善的用戶文檔，保證其易于學習；同時保證人機界面友好、界面設計科學合理以及系統(tǒng)功能簡便易用，

可支持多種語言。

3.1.1基于SOA設計原則

采用SOA可以確保xx公司在進行系統(tǒng)建設時，有效確保資源的重用。SOA能實現(xiàn)系統(tǒng)與系統(tǒng)之間實現(xiàn)了數(shù)據(jù)唯一、

共享，業(yè)務互聯(lián)互通。xx公司業(yè)務數(shù)據(jù)、業(yè)務都可以包裝成服務，組成基于服務的聯(lián)動網(wǎng)絡。“數(shù)據(jù)唯一、共享，業(yè)務互

聯(lián)互通”都可以表示成服務層面上的聯(lián)動，所以廣義的講SOA就是“一體化平臺”，狹義的講SOA是一體化這個業(yè)務理念

的技術支撐！

本項目采用SOA(Services-OrientedArchitecture,SOA)”面向服務的架構“實現(xiàn)xx公司應用集成。運用這個架構使得著

眼于為各種xx公司應用和數(shù)據(jù)提供的可重用的服務。組件化是政府應用的整體趨勢。由于組件所具有預制性、封裝性、透

明性、互操作性、通用性的特征，這使得“開發(fā)一次、到處運行”成為技術上的可能。

13

面向服務的架構的中心思想是模塊化與封裝這兩大原則，模塊化將復雜的大任務的分解成相對簡單的小步驟，封裝則將

其內部的復雜性屏蔽代之以用清晰的接口。在這兩項原則指導下，開發(fā)人員只需關注應用中與其相關的部分而無須知道其他

部分的細節(jié)，只要各個組件都遵守接口“契約(Contract)”，這些組件的開發(fā)、測試和修改都相對獨立，無須太多的協(xié)調，

使得基于SOA的應用易于開發(fā)和維護。

采用組件技術可以實現(xiàn)靈活的接口定義、執(zhí)行代碼運行時刻的聯(lián)編/載入以及通訊網(wǎng)絡協(xié)議，支持異構分布應用程序間的

互操作性及獨立于平臺和編程語言的組件重用。

采用SOA架構具有以下主要優(yōu)勢：

?為用戶或其他應用系統(tǒng)訪問本系統(tǒng)的業(yè)務邏輯提供的訪問形式為服務(Service)

?獨立于用戶接口(userinterfaces)定義服務接口(serviceinterfaces)

?采用標準的形式發(fā)布，以便于其他用戶或應用系統(tǒng)發(fā)現(xiàn)和調用這些服務

?服務接口可以從目錄中查獲，并能動態(tài)捆綁不同的實現(xiàn)

?允許采用不同類型的編碼/數(shù)據(jù)模型

?應用服務都可以從目錄中查獲并能動態(tài)捆綁

?應用服務都自我管理并且模塊化

?應用服務都可互操作

?應用服務都可松耦合

?應用服務都支持分布式的接口

?應用服務應定義業(yè)務邏輯相對獨立的相對粗顆粒的接口

14

?應用服務都對物理機器位置透明

?應用服務可以復合構造

?應用服務可以提高代碼重用性

?應用服務應最大可能地支持多份部署，提高可用性

3.1.2開放的Web服務技術

WebService具有真正技術獨立性，任何可以構建XML格式文件并能通過HTTP協(xié)議傳輸這個文件的機制都是潛在的

WebService消費者；任何可以監(jiān)聽HTTP傳輸、轉換XML文件、實現(xiàn)數(shù)據(jù)綁定的機制都是潛在的WebService提供者。以

上的這些特性使得WebService可以在非常短的時間內跨平臺、跨軟件采用。

當前絕大多數(shù)技術支撐平臺都采用基于WebService的SOA架構實現(xiàn)，它可帶來如下技術優(yōu)勢：

I松耦合

松耦合意味著接口和實現(xiàn)是分離的，這種分離允許在接口不變的情況下修改實現(xiàn)內容，這是所有SOA技術的基礎。松

耦合是實現(xiàn)業(yè)務靈活性的關鍵。與這個概念緊密相關的是版本和位置的透明性概念，如允許新舊版木的服務共存，同時這些

服務的消費者可以定位到要求的服務，而不必了解其所處物理位置。

I分布式

為了滿足提供給服務消費者的契約，SOA潛在的定義就是服務必需是可用的。當服務接口和服務實現(xiàn)部署在一個分布式

環(huán)境中時就可以保證這種可用性。這也間接強調了位置透明的重要性。

15

■以流程為中心

任何時候，信息系統(tǒng)間的數(shù)據(jù)交換都需要一個流程來管理。交易、時間分配、重試、錯誤處理、通知、審計和其他數(shù)據(jù)

流需求。SOA使得在應用開發(fā)時關注于業(yè)務流程，而不是關注于更底層的集成或應用問題。SOA就是一個可用網(wǎng)絡服務的

集合，通過平臺透明、明確定義的接口通訊。這些服務提供數(shù)據(jù)訪問、業(yè)務流程、IT基礎架構，為服務提供消費和生命周

期管理。

■開放性

SOA的廣泛采用得益于它對不同技術平臺的支持，無論對于服務消費者還是服務提供者。SOA的這個能力源于對開放

標準的執(zhí)行，特別是WebService,但不局限于WebService。對于這些標準的支持確保SOA實現(xiàn)時互操作性和技術選擇的

最大化。

3.2項目總體技術設計

XX公司此次建設的“一張圖”和綜合監(jiān)管平臺主要利用SOA技術實現(xiàn)，為XX公司資源全業(yè)務網(wǎng)上運行和監(jiān)管創(chuàng)建統(tǒng)一的

基礎技術平臺和運行環(huán)境。

“一張圖”和綜合監(jiān)管平臺基于SOA服務運行框架和運行于框架之上。應用服務框架實現(xiàn)對應用服務的管理調度；公共服

務組件提供組織機構、身份服務、訪問控制、業(yè)務流程、單點登錄等的公共服務，實現(xiàn)統(tǒng)一組織機構、統(tǒng)一身份服務、統(tǒng)一

訪問控制、統(tǒng)一用戶界面、統(tǒng)一GIS應用服務、統(tǒng)一數(shù)據(jù)支撐；業(yè)務服務組件提供xx公司資源業(yè)務所需的應用服務，如電

子政務服務、綜合監(jiān)管服務、社會信息服務、數(shù)據(jù)中心管理、數(shù)據(jù)服務等應用服務支撐。

16

充分復用“一張圖”和綜合監(jiān)管平臺通用服務組件和業(yè)務服務組件，將有效整合XX公司資源部門在土地、礦產(chǎn)、測繪、地

質環(huán)境等領域已經(jīng)開發(fā)建設的系統(tǒng)及數(shù)據(jù)，引入開發(fā)過程管理和文檔管理工具，實現(xiàn)“平臺就是服務(PAAS)”，“軟件就是

服務(SAAS)”的構想，形成xx公司資源的協(xié)同開發(fā)環(huán)境和運行環(huán)境。

根據(jù)此次招標文件所提招標產(chǎn)品，我們推薦采用如下架構搭建“一張圖”和綜合監(jiān)管平臺的支撐系統(tǒng):

此次項目，我們推薦采用炎黃盈動軟件和天磯公司的硬件產(chǎn)品，搭建“一張圖”和綜合監(jiān)管平臺。支撐架構主要是由專用

集群設備：天磯一體機和數(shù)據(jù)備份服務器；門戶和內容管理產(chǎn)品：炎黃門戶和內容管理；應用服務器：炎黃應用服務器；身

份管理：炎黃身份管理。

17

1.安全管理：炎黃身份管理：此次建設的平臺希望能建立起完善的安全服務，向應用提供身份認證服務、授權服務、

數(shù)據(jù)安全服務、消息安全服務和審計、日志服務。炎黃身份管理作為業(yè)內領先的安全管理產(chǎn)品，提供了整個平臺對用戶訪問

身份認證、授權和訪問權限管理和審計、日志服務的服務能力。

以上產(chǎn)品構成的支撐平臺中預制了豐富的面向服務的組件功能，能夠在此之上快速開發(fā)和部署應用系統(tǒng)；能確保系統(tǒng)在

運行期能高效、穩(wěn)定、可靠的運作，同時面向服務的SOA架構能更好地實現(xiàn)循序漸進，應用系統(tǒng)更靈活地適應業(yè)務發(fā)展的

需要。

3.2.1身份管理設計

設計思路

.1概述

為實現(xiàn)河北省xx公司構建針對人員，帳戶管理層面和應用層面的、全面完善的統(tǒng)一認證管理的需要，我們將按照如下設

計思想為xx公司設計并實施統(tǒng)一認證管理平臺解決方案，統(tǒng)一認證管理做為此次支撐平臺的重要組成部分實現(xiàn)招標文件要求

的統(tǒng)一用戶管理、統(tǒng)一認證及單點登錄功能實現(xiàn)。

以用戶身份集中管理的思路為核心，建立xx公司系統(tǒng)內用戶的唯一的權威身份信息源，可在一點集中管理用戶身份和權

限，從而降低管理成本。在統(tǒng)一用戶身份的基礎上，實現(xiàn)各個應用的單點登錄、統(tǒng)一認證、統(tǒng)一授權、審計等信息的集中統(tǒng)

18

一管理，并能提供與XX公司現(xiàn)有的應用系統(tǒng)進行系統(tǒng)集成的解決方案，規(guī)劃合理、高效的用戶身份管理流程，集成開發(fā)規(guī)范

和運行維護規(guī)范等。

通過身份管理、訪問控制、單點登錄、目錄服務、數(shù)據(jù)同步連接器等應用模塊實現(xiàn)XX公司所提出的用戶帳戶統(tǒng)一、系統(tǒng)

資源整合、身份信息共享和全面集中管控的核心目標；并制定標準規(guī)范，為以后新應用系統(tǒng)的上線集成奠定工作基礎。

本項目建成后，對于用戶來說，將實現(xiàn)只需一個登錄憑證（數(shù)字證書、用戶名/口令等），只需進行一次登錄，就可以進

入不同的業(yè)務系統(tǒng)，并能方便的來回切換訪問；對于管理員來說，將實現(xiàn)對用戶信息、機構信息、訪問控制信息等統(tǒng)一定義

和描述，能確保信息的一致性；只需在統(tǒng)一認證平臺進行統(tǒng)一配置管理和維護，就可以自動同步聯(lián)動到各業(yè)務系統(tǒng)，降低工

作量和復雜度；對于應用系統(tǒng)來說，將實現(xiàn)信息資源整合，打破信息孤島；提供信息統(tǒng)一標識規(guī)范和集成規(guī)范，能規(guī)范和指

導新業(yè)務系統(tǒng)集成建設。

3.2.1.1.2統(tǒng)一用戶管理

統(tǒng)一身份管理采取“分散到集中”的設計思路，即把原來分散于各個業(yè)務系統(tǒng)中的用戶管理系統(tǒng)統(tǒng)一采用一個系統(tǒng)來管

理，各個業(yè)務系統(tǒng)不再設置用戶管理系統(tǒng)，各個業(yè)務系統(tǒng)中的人員信息以統(tǒng)一身份管理為依據(jù)，通過統(tǒng)一身份管理提供的適

配器接口實現(xiàn)業(yè)務系統(tǒng)和統(tǒng)一身份管理之間信息的同步。基于統(tǒng)一身份管理實現(xiàn)對人員的管理，抓住了信息化的根本要素：

人，通過對人員各種公共屬性的管理，可以方便、快速、清晰的實現(xiàn)集中的人員管理。

在用戶主賬戶信息發(fā)布，xx公司統(tǒng)一認證管理系統(tǒng)采用目錄服務系統(tǒng)進行發(fā)布，形成的用戶權威身份屬性信息、，即形成

統(tǒng)一的人員管理樹，目錄服務系統(tǒng)采用集中的部署模式，即在省廳部署目錄服務系統(tǒng)，其它系統(tǒng)都直接訪問省廳的目錄服務

系統(tǒng)，確保數(shù)據(jù)的唯一性。

19

.3統(tǒng)一的授權管理

統(tǒng)一的權限管理系統(tǒng)以統(tǒng)一身份管理為基礎，針對xx公司實際情況和目前業(yè)內的通用做法，權限控制粒度級別策略為控

制到應用系統(tǒng)級。

統(tǒng)一的權限管理系統(tǒng)提供完善的資源管理功能，以樹的方式實現(xiàn)用戶資源的統(tǒng)一管理，形成資源管理樹。統(tǒng)一的權限管

理系統(tǒng)以應用系統(tǒng)為索引，為每個業(yè)務系統(tǒng)開辟單獨的管理空間，在各個應用管理空間中，基于本業(yè)務系統(tǒng)的實際情況構建

符合需求的資源樹。系統(tǒng)提供手工和接口兩種方式，保證業(yè)務系統(tǒng)資源發(fā)生變化時，統(tǒng)一授權管理系統(tǒng)資源樹可以方便、快

捷的發(fā)生變化。

統(tǒng)一的權限管理系統(tǒng)為了方便、快捷的實現(xiàn)資源和用戶之間的授權管理，提供基于角色的授權管理模型。該模型包括角

色定義、角色分配和角色權限定義三個部分。角色定義指的是系統(tǒng)管理員根據(jù)業(yè)務系統(tǒng)的需要定義各種角色；角色分配指的

是根據(jù)用戶責任和資歷再被指派為不同的角色；角色權限定義指的是角色與權限之間的關聯(lián)。用戶可以根據(jù)需要定義各種角

色，設置合適的訪問權限，而用戶根據(jù)其責任和資歷再被指派為不同的角色。由于實現(xiàn)了用戶與訪問權限的邏輯分離，基于

角色的策略極大的方便了權限管理。

通過對用戶權限的統(tǒng)一管理，一則減輕了各個業(yè)務系統(tǒng)權限分散管理帶來的負擔，可以精確的針對每個用戶進行權限的

設置、查詢、統(tǒng)計，滿足細粒度管理的需要；二則減輕了各個業(yè)務系統(tǒng)權限管理各自開發(fā)、部署所帶來的開發(fā)工作量；三則

可以統(tǒng)一各個業(yè)務系統(tǒng)權限管理的級別，滿足權限管理規(guī)范化、統(tǒng)一化的需要。

20

.4統(tǒng)一認證

統(tǒng)一的授權管理形成統(tǒng)一的用戶管理視圖和對應于統(tǒng)一用戶管理的統(tǒng)一權限管理視圖。

統(tǒng)一的認證指的是基于授權管理形成的結果實現(xiàn)驗證的過程。各種用戶在訪問業(yè)務數(shù)據(jù)的時候，只有通過統(tǒng)一認證系統(tǒng)

的校驗，才可以實現(xiàn)業(yè)務數(shù)據(jù)的訪問。本項目中統(tǒng)一認證要考慮與門戶的充分集成，門戶提供用戶登錄的統(tǒng)一入口，統(tǒng)一認

證系統(tǒng)提供單點登錄認證接口和單點登錄會話的申請、下發(fā)、注銷、更新接口，并定義應用系統(tǒng)的單點登錄集成接口規(guī)范。

.5統(tǒng)一審計

統(tǒng)一的審計系統(tǒng)針對業(yè)務數(shù)據(jù)實現(xiàn)全面、集中安全審計管理，收集、記錄、管理用戶對業(yè)務系統(tǒng)的高敏感度的數(shù)據(jù)訪問

和關鍵操作行為記錄。及時發(fā)現(xiàn)非法登錄和非法操作，對非法登錄和非法操作快速分析、定位和響應。統(tǒng)計自然人對資源中

高敏感度數(shù)據(jù)（非常重要和重要）的訪問情況和操作記錄，在出現(xiàn)安全事故時用于責任追蹤。同時，對人員的登錄過程、關

鍵操作行為等進行審計和處理。最終建立完善針對“自然人一資源”訪問過程的完整審計管理。

統(tǒng)一審計與監(jiān)控支持防篡改功能，可對認證服務、用戶管理、認證管理和授權管理提供完整的業(yè)務記錄和審計報告。對

管理流程進行實時的監(jiān)控，同時也包含證書的發(fā)放；對整體系統(tǒng)的運行情況、使用情況、應用訪問情況進行統(tǒng)一的審計。

21

架構設計

為實現(xiàn)招標文件對統(tǒng)一用戶管理,統(tǒng)一認證和單點登錄的要求，按照如下設計思想為xx公司設計并實施統(tǒng)一認證管理平臺

解決方案。

建設部署統(tǒng)一認證管理平臺：

在XX公司建立省級統(tǒng)一認證管理平臺，通過集中的身份管理、集中的訪問控制、統(tǒng)一的目錄服務、集中的審計管理、單

點登錄服務、證書服務、自助服務等應用模塊實現(xiàn)招標文件所提出的用戶帳戶統(tǒng)一、系統(tǒng)資源整合、應用數(shù)據(jù)共享和全面集

中管控的核心目標。

采用數(shù)據(jù)同步連接器實現(xiàn)用戶信息采集及同步：

通過統(tǒng)一認證管理平臺的數(shù)據(jù)同步連接器實現(xiàn)與各應用系統(tǒng)的身份信息的采集，主要為規(guī)劃新建設的系統(tǒng)。根據(jù)不同平

臺提供不同的數(shù)據(jù)連接器，實現(xiàn)各個應用身份信息到統(tǒng)一認證管理平臺的集中管理。

采用LDAP實現(xiàn)用戶身份信息集中存儲：

平臺提供獨立的LDAP統(tǒng)一目錄服務系統(tǒng)進行統(tǒng)一身份信息和數(shù)字證書的集中存儲。

實現(xiàn)集中認證、訪問控制及單點登錄：

平臺制定了統(tǒng)一的訪問控制策略，提供了集中的身份認證服務，所有對應用系統(tǒng)的訪問請求都需要先到平臺的身份認證

模塊進行認證通過之后，再根據(jù)訪問控制策略進行權限查詢，用戶才可以對有權限訪問的應用系統(tǒng)進行操作，平臺支持的身

份認證方式有用戶名/口令、U-key數(shù)字證書、RSATOKEN、AD域認證、短信認證等方式，同時實現(xiàn)了應用系統(tǒng)級的粗粒度訪

問控制。

22

平臺支持多個應用系統(tǒng)之間的單點登錄，即一次登錄，多次使用。單點登錄的實現(xiàn)采用部署單點登錄組件和安全票據(jù)技

術，封裝用戶登錄后的認證狀態(tài)信息和權限信息，并以安全方式傳遞到各個相關系統(tǒng)中，通過對票據(jù)的解密、驗證、解析，

從而實現(xiàn)方便、快捷、安全的單點登錄。

實現(xiàn)單點登錄及集中認證：

支持XX公司內網(wǎng)門戶系統(tǒng)的集成，通過集成單點登錄模塊和調用統(tǒng)一身份認證服務，實現(xiàn)針對不同的用戶登錄，可以展

示不同的內容。

最終實現(xiàn)用戶只需一次登錄門戶系統(tǒng)，即可實現(xiàn)訪問其所有有權限的應用系統(tǒng)（包括B/S和C/S架構的應用系統(tǒng)），無

需在每一次訪問系統(tǒng)時再輸入用戶和口令的效果。

邏輯架構設計

統(tǒng)一認證管理平臺采用了MVC分層設計及SOA的設計思想，分為系統(tǒng)基礎設施層、數(shù)據(jù)服務層、統(tǒng)一認證管理平臺層、

業(yè)務層及用戶層，同時平臺的應用接入需遵從應用系統(tǒng)集成開發(fā)規(guī)范、平臺的使用和運行管理需遵從業(yè)務管理流程和運維管

理規(guī)范。

在信息系統(tǒng)基礎設施的基礎上，遵循了SPML1.0技術標準，SAML協(xié)議等國際成熟技術為基礎，采用LDAP存儲用戶數(shù)據(jù)

的方式，構架統(tǒng)一認證管理平臺，從而提供統(tǒng)一的用戶管理、統(tǒng)一的訪問控制等業(yè)務功能。通過單點登錄組件、認證代理等

技術組件，實現(xiàn)統(tǒng)一認證管理平臺與應用系統(tǒng)的認證、單點登錄集成工作。下面分別簡述各層的主要內容。

23

.1基礎設施層

統(tǒng)一認證管理平臺建設所必備的軟硬件環(huán)境，包括服務器設備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件軟件、開發(fā)軟件等。

.2數(shù)據(jù)服務層

統(tǒng)一認證管理平臺的數(shù)據(jù)存儲采用數(shù)據(jù)庫存儲和目錄服務(LDAP)存儲兩種方式。

LDAP存儲：

其中統(tǒng)一的用戶身份數(shù)據(jù)采用統(tǒng)一的LDAP進行存儲。用戶數(shù)據(jù)的采集可以使用數(shù)據(jù)同步連接器的方式實現(xiàn)，對于不同的

平臺不同的數(shù)據(jù)庫采用相應的數(shù)據(jù)同步連接器進行同步。統(tǒng)一認證管理為本期項目提供多種連接器。為支持未來的擴展系統(tǒng),

還可提供更多的數(shù)據(jù)同步連接器等。

數(shù)據(jù)庫存儲：

統(tǒng)一認證管理平臺的各種管理數(shù)據(jù)采用數(shù)據(jù)庫的方式存儲，包括訪問控制策略、用戶信息、角色信息、組織機構信息、

應用系統(tǒng)資源信息、審計日志信息等。

.3平臺層

統(tǒng)一認證管理平臺的核心功能，包括幾大部分，身份管理、身份和策略存儲、單點登錄及訪問控制、證書服務以及審計

管理功能。

24

身份管理功能：

身份管理負責建立XX公司系統(tǒng)內用戶的唯一的權威身份信息源，實現(xiàn)一點集中管理用戶身份，提供完整的身份生命周期

管理的功能。包括以下功能組成：

A用戶身份管理：實現(xiàn)用戶身份及多賬號信息的統(tǒng)一管理支撐功能，為統(tǒng)一身份認證和單點登錄提供服務的基礎。包括用

戶信息管理、組織機構管理、帳號信息管理、用戶生命周期管理以及制定身份管理策略。

A平臺自助服務：為了提高用戶管理效率，降低管理成本，統(tǒng)一認證管理平臺提供基于Web的用戶個人自助管理功能，供

普通用戶使用。包括應用帳號關聯(lián)、用戶信息修改以及密碼修改等。

身份和策略存儲功能：

身份和策略存儲是訪問控制、開通服務和身份管理服務的基礎，采用LDAP服務的方式實現(xiàn)統(tǒng)一儲存用戶的身份信息、訪

問規(guī)則策略和審計日志信息的功能。

帳號獲取及供應：

提供賬號供應管理的功能，以xx公司系統(tǒng)內用戶的身份信息為基礎，集成各個應用系統(tǒng)，通過可定制的審批工作流和對

業(yè)務規(guī)則、策略的管理，來處理應用賬號的開通/注銷，并支持和提供安全事件的審計報告。包括帳號獲取和供應功能：

＞帳號獲取：通過多種渠道采集用戶身份信息、，進行統(tǒng)一管理。提供系統(tǒng)同步和人工注冊兩種方式實現(xiàn)的用戶身份信息采

集方式。同時支持人工審批開通和平臺審批開通兩種審批開通方式。

＞帳號供應：在用戶身份信息統(tǒng)一管理基礎上，建立平臺數(shù)據(jù)庫到應用數(shù)據(jù)庫/目錄服務器的賬號同步機制，實現(xiàn)平臺用戶

身份數(shù)據(jù)的同步。

單點登錄及訪問控制功能：

25

訪問控制系統(tǒng)負責制定訪問控制策略，根據(jù)策略實現(xiàn)基于角色的授權管理，實現(xiàn)對應用系統(tǒng)級的粗粒度授權，即用戶有

權利訪問哪些應用系統(tǒng)，實現(xiàn)用戶的統(tǒng)一的身份認證、單點登錄及訪問控制。包括以下功能組成：

＞身份認證：提供統(tǒng)一的身份認證服務，支持口令、RSAToken,U-Key數(shù)字證書、Windows域認證、手機短信認證、混合

認證等多種認證方式。

＞單點登錄：實現(xiàn)單點登錄票據(jù)(SSOTicket)的產(chǎn)生及管理，并通過SSOAgent組件實現(xiàn)各應用系統(tǒng)的單點登錄功能。

＞訪問控制：提供對用戶訪問權限的控制功能，根據(jù)授權管理服務模塊的動態(tài)授權控制，靈活的實現(xiàn)用戶的訪問控制功能。

＞訪問授權管理：提供對用戶角色、用戶權限的管理支撐功能，可動態(tài)生成訪問控制列表，靈活的實現(xiàn)用戶的訪問控制服

務支撐功能。

證書服務功能：

傳統(tǒng)的申請數(shù)字證書的方式是由管理員在CA系統(tǒng)中進行數(shù)字證書的統(tǒng)一申請、統(tǒng)一審核、統(tǒng)一制證，管理員的工作量大。

為了減輕管理員的工作復雜度，在實現(xiàn)身份集中管理的基礎上，可以進一步實現(xiàn)平臺與CA系統(tǒng)的業(yè)務整合，將平臺作為CA

系統(tǒng)的一個集中證書服務受理平臺，在統(tǒng)一認證管理平臺中實現(xiàn)對用戶證書的集中管理功能。同時為用戶提供自助服務功能。

審計管理功能：

＞對管理員的操作行為進行審計；

＞對用戶登錄、登出過程的審計；

＞對用戶身份認證的審計；

＞對登錄后用戶行為的審計；

＞對平臺運行中出現(xiàn)的故障等關鍵事件進行審計；

26

＞提供統(tǒng)計分析、報表展示功能。

.4業(yè)務層及用戶層

業(yè)務層包括目前已有系統(tǒng)，以及在建的系統(tǒng)和未來建設的擴展系統(tǒng)等。用戶層分為兩大類用戶，普通用戶以及系統(tǒng)管理

員。

3.3支撐平臺搭建技術方案

3.3.1身份管理搭建技術方案

1.用戶數(shù)據(jù)同步

對已有應用系統(tǒng)，建設的統(tǒng)一身份管理將提供用戶身份數(shù)據(jù)導入接口，將應用原始用戶數(shù)據(jù)導入到統(tǒng)一身份管理中。

統(tǒng)一身份管理面向各應用提供統(tǒng)一的用戶信息同步接口，各應用通過該接口同步用戶數(shù)據(jù)，以保證統(tǒng)一身份管理和各應

用間的用戶身份同步。如XX公司采用公共密鑰體系的RA系統(tǒng)，在頒發(fā)用戶證書的同時?，還要通過RA和統(tǒng)一身份管理間的

接口，完成用戶賬號和用戶證書的自動綁定，實現(xiàn)證書發(fā)放和證書綁定操作一步完成，簡化用戶賬號和用戶證書間關系的維

護步驟。

2.統(tǒng)一用戶管理實現(xiàn)

27

a)概述

因為用戶的角色、信息是活動的，因此對應的用戶身份也是動態(tài)變化的。作為xx公司整體IT規(guī)劃的組成部分，統(tǒng)一認

證管理必然要與其他應用系統(tǒng)發(fā)生信息交換，以保證用戶身份信息的準確性和實時性，借助數(shù)據(jù)同步服務，統(tǒng)一認證管理平

臺可以很輕松的將分散在各個應用系統(tǒng)中的用戶賬戶收集在一起，對冗余賬戶進行合并，并統(tǒng)一管理。用戶信息同步方式如

下圖。

目錄服務器客戶應用系統(tǒng)數(shù)據(jù)庫企業(yè)應用系統(tǒng)

_______y

v

監(jiān)控系統(tǒng)中用戶信息的變化

用戶信息同步模型

28

b）用戶信息采集及同步思路

統(tǒng)一認證平臺需要通過多種渠道采集用戶身份信息，進行統(tǒng)一管理。本項目根據(jù)xx公司的用戶來源不同，可將應用系統(tǒng)

使用用戶分為系統(tǒng)內用戶、系統(tǒng)外用戶，統(tǒng)一認證管理平臺需要實現(xiàn)對兩類用戶身份的整合和集中管理，整合方案描述如下：

■系統(tǒng)內用戶身份整合

根據(jù)招標文件，統(tǒng)一認證管理系統(tǒng)內用戶為，省、地市、縣XX公司內部人員。統(tǒng)一身份管理將提供數(shù)據(jù)同步接口，當管

理人員在業(yè)務應用系統(tǒng)中錄入一個新的用戶信息或者修改刪除一個用戶信息時調用統(tǒng)一身份管理的接口，將新增的用戶或者

修改刪除的用戶信息同步到統(tǒng)一身份管理中。初始化過程中可以通過工具將大批量的用戶數(shù)據(jù)從應用系統(tǒng)中同步到統(tǒng)一身份

管理數(shù)據(jù)庫中。另外一些內部用戶可能不在專業(yè)應用系統(tǒng)中，這些用戶可以由統(tǒng)一身份管理的管理員直接通過統(tǒng)一身份管理

提供的界面維護到統(tǒng)一身份管理中。

■外部用戶身份整合

本項目的系統(tǒng)外用戶為其它政府部門用戶和公眾用戶。統(tǒng)一認證管理系統(tǒng)提供數(shù)據(jù)同步接口，當操作人員外網(wǎng)服務系統(tǒng)

中，錄入一個新的外部用戶信息或者修改刪除一個外部用戶信息時調用統(tǒng)一身份管理的接口，將新增的外部用戶或者修改刪

除的外部用戶信息同步到統(tǒng)一身份管理中。初始化過程中可以通過工具或信息采集方式將外部用戶數(shù)據(jù)同步到統(tǒng)一身份管理

中。

C）和內部系統(tǒng)集成方案

統(tǒng)一認證管理平臺，實現(xiàn)內部系統(tǒng)與統(tǒng)一認證平臺的數(shù)據(jù)交互。如下圖所示：

29

統(tǒng)一身份管理平臺

證書服務系統(tǒng)

--------------------------1

中央目錄服務器I

,4、批量

審批證

ALDAP服務器

「.書申請

---------------->1