校园数字化建设--注册中心投标文件研究(14)--统一身份认证系统设计方案

最新推荐文章于 2020-07-27 14:44:53 发布
最新推荐文章于 2020-07-27 14:44:53 发布
阅读量768 收藏 2
点赞数
分类专栏: 校园数字化建设 文章标签: 服务器 数据库 sso token 存储 配置管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liumingkong/article/details/5925234
版权

一.设计结构

       引入身份信息的生命周期管理,通过身份访问管理系统展现出身份和可访问的系统资源的对应关系,在底层使用身份同步配置器,及时将各业务系统的身份,用户信息同步到LDAP服务器和身份信息数据库中。

 

二.基于策略的访问控制

      通过使用门户服务器,安全远程访问包,授权用户只需一个基于JAVA技术的WEB浏览器和因特网即可查看其个性化的桌面内容。一旦登录并通过认证,用户即可通过门户服务器,安全远程访问包对任意内部文件服务器上的数据文件进行加密的私人访问。

(1)使用加密SSL进行认证

(2)代理用户认证要求现有的认证机制

(3)支持多种认证机制

(4)接受来自Secure Computing 的Safeword数字令牌以及来自Security Dynamics的SecurID数字令牌

(5)允许S/Key一次性口令

(6)包括到具有其它客户认证机制接口的API

(7)与配置信息引擎和核心门户服务器中的LDAP目录协同工作,实现基于策略的访问控制和授权

 

三.主要功能

1.角色权限管理

(1)角色管理

       每个机构管理员都可以创建属于本机构的角色,并将该角色与权限和用户对应,同时由于本身角色就含有数据范围,因此各个机构赋予的角色之间不会产生冲突。

        权限模型从业务系统特点出发,根据系统特点对系统内提供的服务进行统筹规划将具有共同特点的功能进行分类整理,并内置了部分角色,这样在系统实施过程中只需要设定角色得用户或者用户组即完成权限控制,有效加快实施速度。

(2)权限管理

       权限控制包括两层:访问控制和访问范围(已经通过权限验证后能访问功能点内的资源范围),为了降低权限整体的复杂度,epsa把访问控制和访问范围分开实现。主要功能包括:资源,权限项,业务权限,管理权限,业务角色,管理角色,用户组和全局用户组管理。

(3)分级授权管理

        建立全校的分级授权机制,每个部门,机关处室,院系办公室都可以参与授权管理,但只能管理本机构及所属机构的用户。

(4)个人权限管理

   管理员能够查看个人用户的权限和权限范围,以及权限获得途径。

用户能够委托自己具有的权限和回收委托的权限,挥手可以实现自动回收。

(5)系统控制台管理

        系统控制台完成统一用户管理与授权系统的启动,停止,备份,回复,重新启动,注销用户,数据导入,导出等功能。

(6)系统配置管理

         完成统一用户管理与授权系统的数据库管理,复制管理,Schema管理等功能。

(7)资源树结构管理

        完成统一用户管理与授权系统资源树的维护管理功能。

 

2.用户管理

用户管理的特点:

(1)用户支持LDAP和数据库的同时存储,在系统初始化时,可以选择用户存储的位置LDAP或DB,这样就解决了LDAP在认证时的压力,也解决了用户在数据交换时的数据库压力。

(2)支持批量处理,能够在新生入学或学生毕业瞪大数据量的业务操作。

(3)身份变更支持策略管理,针对不同学校的具体情况而定。

(4)组织机构管理支持多级管理,管理的角色职能负责权限的管理,不能操作业务模块。

(5)全线支持审核和委托

         接口丰富,在统一身份管理系统里,全部基于接口开发,并封装成web services接口,可与第三方系统进行集成。

1.组织机构及用户管理

       管理创建多级组织机构,部门信息;管理系统用户信息,限制用户登录权限;机构管理员,机构负责人,办公室主任配置。

2.数据维护

(1)用户身份数据维护

(2)组织数据的维护

(3)服务注册数据管理

(4)服务所需全线数据的管理

3.统一身份认证服务

统一认证管理特点:

(1)支持LDAP或数据库的认证方式

(2)灵活的认证策略管理

(3)支持密码找回功能

(4)认证的客户端支持多种开发语言

(5)提供第三方系统认证的web services 接口

(1)目录服务

         目录服务是统一身份认证平台的基础。学校所有的用户信息分别放在LDAP目录服务和数据库中,通过可靠的机制完成两者的同步;用户身份信息在目录服务中以层次结构,面向对象的数据库的方式集中存储管理,从而保证身份数据的一致性和完整性,为校园各类应用提供基础的一致的用户信息访问。

         在ldap服务器中基于标准的LDAP目录服务器进行身份信息同步存储,并利用LDAP的标准协议接口实现和其他应用系统的身份认证管理。

(2)身份认证服务

        基于LDAP和CAS认证方式设计,提供跨服务器及业务应用的身份认证服务以及Agent,确保跨业务系统身份认证识别。

(3)单点登录服务

       提供WEB-SSO(Single Sign On)服务,用户只需要登录一次就可以访问所有相互信任的web应用系统,包括可以将这次主要的登录映射到其他应用中,勇于同一个用户的登录机制。

       用户登录portal的过程:用户发出请求,那么系统的Identity Server会自动把用户定向到登陆页面,用户登录后,会在Identity Server中自动产生一个SSO Token,这个SSO Token用来把用户的信息进行保存,并且对于以后发过来的验证请求,都会对应到这个SSO Token上面。

        用户只需要一次登录,就能通过门户平台登录到其中集成的应用子系统。系统平台并根据用户的角色与权限,提供该用户相应的活动场所,信息资源和基于其权限的功能模块和工具。

(4)个人自助服务

(5)身份审核

         用户认证方式使用CAS完成,对于支持LDAP认证的系统,并通过缓存技术和同步技术保证身份信息的唯一性和一致性。

 

mk
关注
专栏目录
校园数字化建设--注册中心投标文件研究(15)--统一身份认证系统设计方案
liumingkong的专栏
10-07 774
系统对接口 1.外部系统接口 (1)获得用户ID:提供当前登录人员的id (2)获得用户角色:提供当前登录用户的角色 (3)单点注销服务:实现单点注销 (4)获得用户的组:提供当前人员所在LDAP中的组 (5)获得用户名称:提供当前人员在LDAP中的用户名称   2.平台接口   (1)获得用户ID:提供当前登录人员的ID (2)获得用户角色:提供当前登录用户的角色
统一身份认证系统方案
Bellboy的博客
01-24 7257
应用系统身份认证方式能辨别用户的真实身份,是实现业务系统向基层网安部门推广的前提条件。建设多样化的身份认证手段,是提升业务系统安全性与灵活性的关键举措。网综平台要求各类业务系统使用统一的用户身份;业务系统能够根据实际应用场景及信息内容的重要性,控制终端的使用环境及资源。建设一套集中、统一、多样化、高效的安全认证服务与控制系统,形成业务系统统一认证和安全控制技术体系和安全服务体系,“安全中心系统
统一身份认证(CAS)简单说明与设计方案
06-23
统一身份认证(CAS)简单说明与设计方案
统一身份认证对外文档
01-02
cas统一认证对外集成文档,适用于其他第三方公司使用。
统一身份认证平台服务采购项目技术方案模板.doc
07-17
第一章 项目简介 1 1.1 项目名称 1 1.2 项目建设单位和负责人、职能、项目责任人 1 1.3 项目建设方案及概算编制单位 1 1.4 项目建设相关依据文件 1 1.4.1 政策文件 1 1.4.2 标准规范 2 1.5 项目概述 4 1.5.1 建设目标 5 1.5.2 建设内容 5 1.5.3 建设周期 5 1.5.4 总投资及资金来源 6 第二章 需求分析 7 2.1 现状与问题分析 7 2.1.1 现状分析 7 2.1.2 存在问题分析 8 2.2 服务对象 9 2.3 业务需求 10 2.4 功能需求 11 2.5 性能需求 12 2.5.1 数据量测算 12 2.5.2 信息访问量测算 13 2.5.3 硬件需求分析 13 2.6 安全需求 14 第三章 建设方案 15 3.1 设计原则 15 3.1.1 标准化和开放性 15 3.1.2 适用性和先进性 15 3.1.3 安全性和可靠性 15 3.1.4 高性能和高负载能力 16 3.1.5 灵活性与可扩展性 16 3.1.6 经济性与投资保护 16 3.2 技术路线 17 3.3 总体目标 18 3.4 总体架构 19 3.5 信息资源目录 21 3.6 平台详细设计 23 3.6.1 用户注册子系统 23 3.6.2 用户认证系统 27 3.6.3 用户自助管理子系统 31 3.6.4 后台管理子系统 33 3.6.5 接口管理子系统 40 3.6.6 安全支撑子系统 43 3.6.7 认证建设 44 3.6.8 部署方案 45 3.7 系统对接 46 3.7.1 业务系统接入 46 3.7.2 省一体化政务服务平台接入 51 3.7.3 与融合服务平台对接 52 3.7.4 与短信平台对接 52 3.7.5 与认证源对接 52 3.7.6 与市民云平台对接 53 3.8 标准体系建设 53 3.8.1 建设原则与思路 53 3.8.2 编制依据 53 3.8.3 技术标准 53 3.8.4 标准规范结构 53 3.8.5 标准规范编制内容 54 3.8.6 标准规范的修订 55 3.8.7 标准规范编制方法 55 3.8.8 标准规范编制队伍 57 3.9 安全保障体系建设 57 3.9.1 管理安全 58 3.9.2 技术安全 60 3.10 项目建设边界 62 3.10.1 系统部署 62 3.10.2 项目建设投资边界 62 3.10.3 业务覆盖边界 63 3.10.4 建设内容 64 3.10.5 项目服务采购内容及指标 65 第四章 项目建设与运行管理 70 4.1 领导和管理机构 70 4.2 项目实施机构团队配置要求 70 4.3 运行维护 71 4.3.1 日常与应急运行维护 72 4.3.2 业务系统接入维护 73 4.4 人员培训方案 73 4.4.1 培训方式 73 4.4.2 培训计划 74 第五章 项目实施进度 76 5.1 项目建设期 76 5.2 实施进度计划 76 第六章 项目建设概算 78 6.1 项目建设模式及建设周期 78 6.2 项目投资预算 78 6.2.1 项目投资直接费用预算 79 6.2.2 项目投资间接费用预算 79 6.2.3 测算依据 81 6.3 资金来源 88 第七章 风险分析及对策 89 7.1 风险分析 89 7.1.1 认证源风险 89 7.1.2 进度风险 89 7.1.3 技术风险 89 7.2 风险对策 90 7.2.1 认证源风险应对策略 90 7.2.2 进度风险应对策略 90 7.2.3 技术风险应对策略 90
校园数字化建设--注册中心投标文件研究(7)--公共数据库及数据模型设计
liumingkong的专栏
10-07 418
<br />1.信息标准建设<br /><br />信息标准内容:<br />(1)信息标准集(包括一级,二级,三级信息子集)<br />(2)标准代码集(国家标准代码,教育管理信息化标准,学校自编信息代码)<br /> <br /> <br />2.信息标准编制<br /><br />(1)代码表标准<br />(2)自定义代码表标准<br />(3)编码标准<br />(4)根据学校的全局服务模型建立元数据模型<br /> <br />3.数据标准调试工具<br /><br />    在数据中心项目建
校园数字化建设--注册中心投标文件研究(13)--学生注册管理系统设计方案
liumingkong的专栏
10-07 1000
学生注册系统功能概述一.学生注册服务       注册系统中提供给学生的服务。为学生提供各阶段电子注册的平台,方便学生进行个人电子注册注册中心为在校的本科生,研究生提供以下的注册服务:(1)学生刷卡注册:每学年学期时,学生可以在校园内的注册刷卡机上刷卡注册。(2)学生缓注册申请:学生由于某些原因不能按时注册时,填写说明情况申请延期注册,等待学校审核(3)查询注册时间:学生注册后,提供注册时间查询服务(4)查询注册结果:学生注册后,提供注册结果查询服务(5)学籍注册政策查询:为学生提供查询国家,学校的注册相关
优质资料(2021-2022年收藏)数字化校园与信息化建设采购项目第三标段数字校园管理.doc
10-11
数字化校园与信息化建设采购项目】是针对中等职业学校进行的一项重要工程,旨在提升教育机构的现代化管理水平。该项目在2021年至2022年间被列为精品资料,表明其在当时具有较高的参考价值和实践意义。第三标段的...
优秀资料(2021-2022年收藏)数字化校园与信息化建设采购项目第三标段数字校园管理.doc
09-29
数字化校园与信息化建设采购项目】是针对中等职业学校的一种综合信息管理解决方案,旨在提升教育机构的教学质量和行政效率。该项目的核心是构建一个数字校园管理系统,以满足教育机构的信息化需求。 【项目概况】...
中小学智慧校园工程--建设方案说明.docx
10-05
1. 智慧校园总体目标:主要目标是构建一个数字化、网络化、智能化的校园环境,实现教育资源的优化配置,提升教学效果,促进个性化学习,同时加强校园安全管理,提高行政管理效率。 2. 本期建立目标:具体目标可能...
校园数字化建设--注册中心投标文件研究(12)--接口文档
liumingkong的专栏
10-07 574
<br />主要接口包括:<br />1.Web Services接口:主要为身份权限认证方面的,数据中心公共数据交换方面的<br />2.Spring远程调用开发接口:主要为实现统一身份认证权限系统开发使用的<br />3.数据库视图:针对于统一公共数据库应用的集成方案的数据接口<br />4.JMS接口:统一身份系统操作的接口,主要用于ldap操作。<br />5.sso服务接口:为实现统一身份认证单点登录,系统提供认证服务和开发包,例如jsp,php,asp<br />《身份相关接口规范》<br />
已有统一身份认证平台,兼容ldap和cas设计(二)cas简介和兼容
No system is safe
07-27 651
cas简介 CAS即集中式认证服务(Central Authentication Service)是一种针对万维网的单点登录协议。它的目的是允许一个用户访问多个应用程序,而只需提供一次凭证(如用户名和密码)。 cas分为server端和client端 cas需要一个单独的web系统 因为已有open-uac的存在,所以不打算用cas,而是用uac和系统间交互,替代cas,实现单点登录和单点登出。 cas单点登录校验流程 cas单点登出校验流程 回调所有记载在册的系统的登出session的url cas和
校园数字化建设--注册中心投标文件研究(11)--公共数据库及数据模型设计
liumingkong的专栏
10-07 409
<br />数据信息服务系统<br />1.自助查询<br />要求提供一套面向学生,教师个人的信息查询,提供的查询服务不少于50种。<br />(1)学生数字档案<br />(2)教职工数字档案<br />2.通用查询(.......)<br />3.各部门信息查询<br />4.校领导信息查询<br />5.管理员信息查询<br />本科教学评估指标体系查询<br />1.配置管理<br />2.迎评管理<br />3.综合服务
微服务架构下的统一身份认证和授权
weixin_33829657的博客
10-18 7018
为什么80%的码农都做不了架构师?>>> ...
校园数字化建设--注册中心投标文件研究(16)--综合服务门户系统设计方案
liumingkong的专栏
10-07 1381
<br />功能介绍<br />       信息集成门户,全面整合学校各院系,部处的网站信息与资源信息,为用户提供个性化服务,门户应用支持组织机构创建省城技术,支持二级部门和个人门户。各二级单位通过学校的多机构门户构建本单位的独立门户,每个二级部门和每位教师,学生均可以通过短名称访问;要求实现学校内个各系统之间的互相认证(单点登录服务),门户支持单位和个人用户个性化布局模板定义,菜单定义,提供多机构的分级权限管理和角色管理。<br /><br />1.机构主页管理<br /><br />支持创建管理自定义
校园数字化建设--注册中心投标文件研究(17)--综合服务门户系统设计方案
liumingkong的专栏
10-07 1281
<br />应用集成<br />1.门户及应用系统集成<br /><br />2.数据整合<br /><br />(1)业务系统数据库把公共服务平台提出需要的数据的变化量推到公共数据库中,反之亦然。<br />(2)若数据量比较小,可以实时或比较短的时间间隔对数据进行同步。若数据量较大则可以采用每天定时同步数据。<br />(3)数据保存:对于同步过来的数据,数据量较大时可采取保存一个时间段内数据的方式<br />(4)提供WEB查询方式:对于同步到公共数据库中的数据,公共平台提供一个简单的查询功能功能。<
校园数字化建设--注册中心投标文件研究(2)--设计方案总体技术框架
liumingkong的专栏
10-07 575
整体架构:表示层(终端层),应用服务层(门户应用,业务层,支撑层),数据层(数据资源层)1.表示层B/S方式,包括:PC浏览器,WAP手机,PDA浏览器,专用终端2.应用服务层(1)门户应用层门户工具与服务:欢迎信息,系统帮助,在线搜索。校内公共信息与服务:下载,通知,公告,知识库,校内新闻业务系统集成:一卡通,Email,人事,教务,校网站,图书馆公共信息集成:天气预报,列车时刻表,航班信息后台管理:信息管理,定制管理,统计管理,权限管理,搜索管理,知识库管理,查询,报表配置管理,基本信息维护管理个人信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值