1、系統(tǒng)息網(wǎng)應(yīng)用山南區(qū)教育信息系南網(wǎng)山應(yīng)區(qū)統(tǒng)教育用信統(tǒng)一用戶(hù)管理與認(rèn)證平臺(tái)需求說(shuō)明書(shū)項(xiàng)目及文檔信息項(xiàng)目經(jīng)理?xiàng)罹摭埧蛻?hù)負(fù)貢人石義琦文檔編號(hào)項(xiàng)目名稱(chēng)流水號(hào)項(xiàng)目代號(hào)文檔類(lèi)型模板痂號(hào)合阿號(hào)2008930發(fā)布口期：曲山區(qū)教育信息網(wǎng)應(yīng)用系統(tǒng)項(xiàng)目合問(wèn)編號(hào)版本信息代收刪除：代表修改，D*A代表新增,M版本號(hào)發(fā)布日期提交人審閱人AMD更新位置更新摘要1.02008-9-30A擬初稿1弓I言31.1編寫(xiě)目的3背景L23定義L33參考資料L44任務(wù)概述242.1目標(biāo)4用戶(hù)的特點(diǎn)42.2假定和約束2.353需求規(guī)定53.1 對(duì)功能的規(guī)定5統(tǒng)用戶(hù)管理53.1.1統(tǒng)一認(rèn)證與單點(diǎn)登錄3.1.27應(yīng)用系統(tǒng)自身的用戶(hù)及認(rèn)證管理3.

2、1.383.2 對(duì)性能的規(guī)定8精度時(shí)間特性要求83.2.2靈活性93233.3 輸人輸出要求9用戶(hù)信息93.3.1認(rèn)證信息3.3.293.4 數(shù)據(jù)管理能力要求93.5 故障處理要求93.6 其他專(zhuān)門(mén)要求94運(yùn)行環(huán)境規(guī)定94.1設(shè)備9支持軟件4.210接口4.3101控制4.4引言1.1編寫(xiě)目的本文檔的編寫(xiě)目的在于確定南山教育信息網(wǎng)統(tǒng)用戶(hù)管理與認(rèn)證平臺(tái)的需求內(nèi)容，成為后續(xù)開(kāi)發(fā)建設(shè)和驗(yàn)收的依據(jù)。在應(yīng)用系統(tǒng)的建設(shè)中，用戶(hù)身份和認(rèn)證信息的管理是最關(guān)鍵的部分。但是由于需求總是在不斷變化和發(fā)展，應(yīng)用系統(tǒng)也會(huì)不斷的增加或淘汰。因此，應(yīng)用系統(tǒng)通常都是在不同平臺(tái)上、由不同開(kāi)發(fā)商開(kāi)發(fā)，使用的技術(shù)不致，容易造成每套

3、系統(tǒng)都有獨(dú)立的用戶(hù)身份管理，登錄不同應(yīng)用系統(tǒng)需要多次登錄。對(duì)于用戶(hù)來(lái)說(shuō)，每增加個(gè)新的應(yīng)用，需要記憶套新的用戶(hù)名/密碼，負(fù)賁的業(yè)務(wù)范圍越大，需要記憶的用戶(hù)名/密碼組越多。設(shè)定樣的密碼，不夠安全：密碼設(shè)定不樣，記憶困難，每次訪(fǎng)問(wèn)應(yīng)用系統(tǒng)，需要重復(fù)輸入用戶(hù)名/密碼，在個(gè)系統(tǒng)中修改了密碼，其他系統(tǒng)的密碼不會(huì)隨之改變。對(duì)于系統(tǒng)管理員而言，沒(méi)有個(gè)統(tǒng)的用戶(hù)管理系統(tǒng)，就會(huì)在新進(jìn)人員時(shí)，需要到眾多系統(tǒng)中逐建立帳號(hào)：人員離職時(shí)，需要到眾多系統(tǒng)中逐刪除帳號(hào)，給系統(tǒng)管理員的工作造成了繁重負(fù)擔(dān)，還容易造成各系統(tǒng)中人員身份信息的不i致。對(duì)于南山區(qū)學(xué)校領(lǐng)導(dǎo)、教師和學(xué)生等用戶(hù)，由于其可以享受大量教育資源服務(wù)，為防止他人冒名頂

4、替、盜用資源，故須對(duì)這些“合法”用戶(hù)要進(jìn)行統(tǒng)一的實(shí)名認(rèn)證。1.3 定義統(tǒng)認(rèn)證平臺(tái)：南山教育信息網(wǎng)的應(yīng)用支撐性平臺(tái)，包括了統(tǒng)用戶(hù)、應(yīng)用資源的管理以及各應(yīng)用資源的統(tǒng)一認(rèn)證管理。統(tǒng)用戶(hù)管理：負(fù)責(zé)管理南山教育信息網(wǎng)全體實(shí)名用戶(hù)的身份管理，并分配各分項(xiàng)應(yīng)用系統(tǒng)中具有使用權(quán)的用戶(hù)，將統(tǒng)用戶(hù)信息同步到應(yīng)用子系統(tǒng)中。用戶(hù)通過(guò)平臺(tái)統(tǒng)負(fù)責(zé)南山教育信息網(wǎng)的統(tǒng)用戶(hù)認(rèn)證以及單點(diǎn)登錄支持，統(tǒng)認(rèn)證：登錄之后可以單點(diǎn)登錄訪(fǎng)問(wèn)其權(quán)限范圍內(nèi)的各分項(xiàng)應(yīng)用系統(tǒng)，單點(diǎn)登錄需要各應(yīng)用系統(tǒng)支持統(tǒng)一-認(rèn)證接口。1.4 參考資料招標(biāo)文件南山區(qū)教育信息網(wǎng)應(yīng)用系統(tǒng)軟件開(kāi)發(fā)與集成服務(wù)2任務(wù)概述2.1 目標(biāo)（1）用戶(hù)組織與權(quán)限管理：建立,套有效的用來(lái)

5、管理網(wǎng)絡(luò)資源、用戶(hù)身份的平臺(tái)，實(shí)現(xiàn)組織、用戶(hù)和資源的集中管理和授權(quán)，管理員不再分散管理用戶(hù)，系統(tǒng)具有很高安全性和靈活性。（2）統(tǒng)認(rèn)證管埋：?jiǎn)吸c(diǎn)登錄功能是實(shí)現(xiàn)統(tǒng)身份認(rèn)證系統(tǒng)的首要目標(biāo)，實(shí)現(xiàn)讓用戶(hù)在經(jīng)過(guò)次網(wǎng)絡(luò)身份驗(yàn)證后，就可以訪(fǎng)問(wèn)所有授權(quán)的網(wǎng)絡(luò)資源，而不需要額外驗(yàn)證，支持多種認(rèn)證方式（用戶(hù)名密碼、證書(shū)、USB）。這里的網(wǎng)絡(luò)資源.主要是指基于Web方式的應(yīng)用系統(tǒng)。（3）應(yīng)用系統(tǒng)管理：在實(shí)現(xiàn)了用戶(hù)統(tǒng)認(rèn)證的基礎(chǔ)上，制定出一套規(guī)范的用戶(hù)單點(diǎn)登錄機(jī)制，提供用戶(hù)身份統(tǒng)訪(fǎng)問(wèn)接口，要求所有新建且可以經(jīng)過(guò)統(tǒng)身份認(rèn)證系統(tǒng)認(rèn)證的應(yīng)用系統(tǒng)，涉及的賬號(hào)定是統(tǒng),身份認(rèn)證系統(tǒng)的用戶(hù)帳號(hào)。這些應(yīng)用系統(tǒng)必須被統(tǒng)身份認(rèn)證系統(tǒng)所管理，

6、管理平臺(tái)設(shè)置可以訪(fǎng)問(wèn)此應(yīng)用系統(tǒng)的用戶(hù)、組織或角色等。（4）舊系統(tǒng)策略：提供自動(dòng)代理登錄（自動(dòng)登陸到其它目標(biāo)業(yè)務(wù)系統(tǒng)）功能，實(shí)現(xiàn)統(tǒng)用戶(hù)可以單點(diǎn)登錄舊系統(tǒng)，代理登陸所需要的用戶(hù)信息保存在獨(dú)立數(shù)據(jù)庫(kù)中。（5）日志管理：可以查看用戶(hù)登錄以及用戶(hù)同步的日志記錄。2.2 用戶(hù)的特點(diǎn)南山教育信息網(wǎng)的用戶(hù)涉及到南山教育局以及下屆的各個(gè)學(xué)校和機(jī)構(gòu)的全體用戶(hù)，具體包括：約I萬(wàn)的教職工用戶(hù)，約10萬(wàn)的中小學(xué)生用戶(hù)、約10萬(wàn)的家長(zhǎng)用戶(hù)。所有這些用戶(hù)（如某個(gè)而各個(gè)單位平臺(tái)管理員有權(quán)管理所有的用戶(hù)信息，都將由統(tǒng)認(rèn)證平臺(tái)統(tǒng)管理，學(xué)校）的管理員可以管理本單位的用戶(hù)信息，普通的用戶(hù)可以使用自己的帳號(hào)通過(guò)平臺(tái)進(jìn)行統(tǒng)登錄，然后單點(diǎn)

7、式的訪(fǎng)問(wèn)南山教育信息網(wǎng)類(lèi)自身具有權(quán)限的應(yīng)用系統(tǒng)資源，不再需耍為訪(fǎng)問(wèn)某個(gè)應(yīng)用系統(tǒng)而分別輸入用戶(hù)、密碼。2.3 假定和約束南山教育信息網(wǎng)具備全局的統(tǒng)用戶(hù)庫(kù)，各分項(xiàng)的應(yīng)用子系統(tǒng)可以仍然具備自身的用戶(hù)體系，但用戶(hù)信息源于統(tǒng)用戶(hù)庫(kù)，用戶(hù)的產(chǎn)生由統(tǒng)用戶(hù)管理負(fù)責(zé)，各應(yīng)用系統(tǒng)接收平臺(tái)發(fā)送的用戶(hù)同步信各應(yīng)用系統(tǒng)必須提供相關(guān)的接口以支持單點(diǎn)登錄，對(duì)于已有的應(yīng)用系統(tǒng)而言，通過(guò)基于用戶(hù)映射的代理訪(fǎng)問(wèn)方式，不需要單獨(dú)開(kāi)發(fā)單點(diǎn)登錄接口。3需求規(guī)定3.1 對(duì)功能的規(guī)定3.1.1 統(tǒng)一用戶(hù)管理平臺(tái)提供南山教育信息網(wǎng)全體實(shí)名用戶(hù)的用戶(hù)資料信息集中存儲(chǔ)，這些資料由統(tǒng)用戶(hù)認(rèn)證平臺(tái)集中管理，平臺(tái)管埋員可以維護(hù)所有人員的用戶(hù)信息，各單

8、位的管理員只能維護(hù)其本單位的用戶(hù)信息。用戶(hù)的信息包括應(yīng)包括3個(gè)層面的含義：1、用戶(hù)的人事類(lèi)基礎(chǔ)信息，諸如姓名、性別、戶(hù)籍、身份證、職務(wù)、聯(lián)系電話(huà)、電子郵箱、學(xué)歷、學(xué)位等等，這些信息不涉及安全登錄，但可以作為用戶(hù)登錄帳號(hào)信息的生成來(lái)源。2、用戶(hù)的帳號(hào)信息，諸如登錄帳號(hào)、密碼、密碼有效期、登錄方式等，這些信息涉及安全登錄，在進(jìn)行用戶(hù)認(rèn)證時(shí)，構(gòu)成校驗(yàn)信息的主體。3、權(quán)限信息，指用戶(hù)可以訪(fǎng)問(wèn)哪些應(yīng)用系統(tǒng)資源。統(tǒng)用戶(hù)管理具體由以下功能組成。3.1.1.1 人事信息管理人事信息資料的管理是帳號(hào)管理體系的基礎(chǔ)工作，它具有對(duì)學(xué)生人事信息和教職工信息帳號(hào)查詢(xún)等功能。檢驗(yàn)、增加、統(tǒng)計(jì)、修改、提供人事信息查詢(xún)、的管

9、理職能，（含局機(jī)關(guān)）.系統(tǒng)應(yīng)支持從Excel批量導(dǎo)入人事信息的功能，同時(shí)也支持針對(duì)單個(gè)個(gè)體的創(chuàng)建及維護(hù)功能，便于管理。3.1.1.2 帳號(hào)信息管理帳號(hào)管理是整個(gè)統(tǒng)用戶(hù)管理體系的核心，它負(fù)責(zé)用戶(hù)登錄帳號(hào)的生成、注冊(cè)、掛失、解掛、維護(hù)等功能。帳號(hào)信息至少包括登錄帳號(hào)、密碼等，作為與應(yīng)用系統(tǒng)進(jìn)行用戶(hù)同步的基礎(chǔ)，帳號(hào)信息也包含主要的一些人事類(lèi)信息，如姓名、性別、身份證、民族、籍貫、職務(wù)等。用戶(hù)的帳號(hào)必須唯，同時(shí)其密碼的設(shè)定應(yīng)不能過(guò)于簡(jiǎn)單，安全起見(jiàn)應(yīng)具備定的復(fù)雜度。對(duì)于用戶(hù)個(gè)人來(lái)說(shuō)，應(yīng)該具備密碼修改的功能，保證其帳號(hào)的安全性。3.1.1.3 應(yīng)用系統(tǒng)管理作為用戶(hù)管理主體，統(tǒng)用戶(hù)認(rèn)證平臺(tái)負(fù)責(zé)了整個(gè)南山教育

10、信息網(wǎng)的全體用戶(hù)信息的管理，各分項(xiàng)的應(yīng)用系統(tǒng)受平臺(tái)管理約束，各系統(tǒng)的用戶(hù)信息來(lái)源于統(tǒng)用戶(hù)，為了將統(tǒng)用戶(hù)信息分配到各個(gè)子系統(tǒng)，需要將應(yīng)用系統(tǒng)注冊(cè)到平臺(tái)之中，并記錄各系統(tǒng)支持用戶(hù)信息同步的接口。3.1.1.4 用戶(hù)權(quán)限管理南山教育信息網(wǎng)的用戶(hù)并不是可以訪(fǎng)問(wèn)全部的應(yīng)用系統(tǒng)，因此必須具有相關(guān)的權(quán)限管理。統(tǒng)認(rèn)證平臺(tái)的用戶(hù)權(quán)限管理并不涉及到用戶(hù)對(duì)于各個(gè)應(yīng)用系統(tǒng)的業(yè)務(wù)權(quán)限，而是指定哪些用戶(hù)可以訪(fǎng)問(wèn)哪些應(yīng)用系統(tǒng)，分配個(gè)用戶(hù)可以使用哪個(gè)應(yīng)用系統(tǒng)之后，他的用戶(hù)信息就被同步到相應(yīng)的應(yīng)用系統(tǒng)之中。3.1.1.5 用戶(hù)信息同步用戶(hù)具備某個(gè)應(yīng)用系統(tǒng)的權(quán)限之后，他應(yīng)用在該系統(tǒng)中具有用戶(hù)身份，由于用戶(hù)信息由平臺(tái)統(tǒng)管理，因此就

11、需要將用戶(hù)信息同步到應(yīng)用系統(tǒng)中。同步的用戶(hù)信息指的是用戶(hù)的帳號(hào)信息，平臺(tái)應(yīng)具備通用的用戶(hù)信息同步接口，負(fù)責(zé)將各系統(tǒng)按照平臺(tái)的規(guī)范性要求實(shí)現(xiàn)自統(tǒng)帳號(hào)信息以通用的接口方式發(fā)送給各個(gè)應(yīng)用系統(tǒng)，身自身的用戶(hù)信息同步接口，獲取統(tǒng)用戶(hù)信息后，完成用戶(hù)從平臺(tái)到各系統(tǒng)的新增、修改、刪除的同步操作。3.1.1.6 日志管理系統(tǒng)具備用戶(hù)同步日志管理功能，可以查看同步是否成功，同步不成功時(shí)也可以看到具體的錯(cuò)誤跟蹤信息。系統(tǒng)具備用戶(hù)登錄日志管理功能，可以查看用戶(hù)的登錄情況。3.1.2 統(tǒng)一認(rèn)證與單點(diǎn)登錄3.1.2.1 統(tǒng)一認(rèn)證作為南山教育信息網(wǎng)的應(yīng)用基礎(chǔ)，統(tǒng)認(rèn)證平臺(tái)應(yīng)提供用戶(hù)帳號(hào)身份的集中驗(yàn)證功能，驗(yàn)證通過(guò)之后，用戶(hù)

12、具有的全局的身份，當(dāng)他再訪(fǎng)問(wèn)網(wǎng)內(nèi)的其他應(yīng)用f系統(tǒng)時(shí)，不再需耍進(jìn)行身份認(rèn)證。統(tǒng)認(rèn)證只需要支持B/S架構(gòu)的認(rèn)證方式，具體可以支持NTLM、Kerberosv5.0,BASIC認(rèn)證、摘要認(rèn)證、LDAP認(rèn)證等多種認(rèn)證協(xié)議，并支持用戶(hù)名/密碼、數(shù)字證書(shū)、卡認(rèn)證等多種認(rèn)證方式，以支持在不同應(yīng)用場(chǎng)景下的用戶(hù)認(rèn)證請(qǐng)求。對(duì)于南山教育信息網(wǎng)本期項(xiàng)目而言，只統(tǒng)使用用戶(hù)名/密碼的認(rèn)證方式。在南山教育信息網(wǎng)主門(mén)戶(hù)網(wǎng)站中，將提供統(tǒng)的登錄入口，用戶(hù)登錄之后，進(jìn)入其個(gè)人首頁(yè)，個(gè)人首頁(yè)中提供用戶(hù)有權(quán)訪(fǎng)問(wèn)的應(yīng)用系統(tǒng)資源,用戶(hù)從該處可以以單點(diǎn)登錄的方式進(jìn)入各應(yīng)用系統(tǒng)。3.1.2.2 單點(diǎn)登錄用戶(hù)經(jīng)過(guò)統(tǒng)認(rèn)證之后，方式南山教育信息網(wǎng)內(nèi)

13、各夕應(yīng)用系統(tǒng)時(shí)，應(yīng)支持單點(diǎn)登錄功能，用戶(hù)只需輸入次用戶(hù)名和密碼，就可訪(fǎng)問(wèn)平臺(tái)所有被授權(quán)訪(fǎng)問(wèn)的系統(tǒng)，而無(wú)需二次輸入用戶(hù)名和密碼。平臺(tái)需要支持2類(lèi)B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)的單點(diǎn)登錄：1、使用統(tǒng)帳號(hào)的新建應(yīng)用系統(tǒng)，其單點(diǎn)登錄支持需要支持各種異構(gòu)系統(tǒng)，比如基于微軟技術(shù)的、Java技術(shù)的、Php技術(shù)的等等，這種方式對(duì)于用戶(hù)來(lái)說(shuō)使用的就是統(tǒng)帳號(hào)和則需要按照平臺(tái)的規(guī)范性要求實(shí)對(duì)于應(yīng)用系統(tǒng)來(lái)說(shuō)，不需要其自身再進(jìn)行任何設(shè)置，密碼，現(xiàn)單點(diǎn)登錄接口，能夠獲取到用戶(hù)的統(tǒng)一身份信息。2、非使用統(tǒng)帳號(hào)的原有應(yīng)用系統(tǒng)，其單點(diǎn)登錄支持的是基于Form的表單式認(rèn)證，平臺(tái)提供用戶(hù)自助式的原系統(tǒng)用戶(hù)名、密碼配置界而，用戶(hù)配置好原系統(tǒng)的

14、認(rèn)證信息后，在訪(fǎng)問(wèn)原系統(tǒng)時(shí),平臺(tái)將身份信息以代理的方式提交給原系統(tǒng)，完成登錄。3.1.3 應(yīng)用系統(tǒng)自身的用戶(hù)及認(rèn)證管理南山教育信息內(nèi)各新建的應(yīng)用系統(tǒng)的用戶(hù)管理和認(rèn)證與統(tǒng)用戶(hù)管理認(rèn)證平臺(tái)做整合，以統(tǒng)用戶(hù)管理認(rèn)證系統(tǒng)為主，以應(yīng)用系統(tǒng)自身的用戶(hù)管理和認(rèn)證為輔。3.1.3.1 應(yīng)用系統(tǒng)用戶(hù)管理各應(yīng)用系統(tǒng)仍然具備自身的用戶(hù)管理，保持其獨(dú)立性。主要維護(hù)其本系統(tǒng)內(nèi)的些統(tǒng)用戶(hù)之外的個(gè)性化信息參數(shù)，用戶(hù)的創(chuàng)建由平臺(tái)發(fā)起，不能由應(yīng)用系統(tǒng)首先創(chuàng)建。應(yīng)用系統(tǒng)需要開(kāi)發(fā)用戶(hù)信息同步接口，負(fù)賁本系統(tǒng)內(nèi)用戶(hù)帳號(hào)信息的創(chuàng)建、修改、刪除工作。平臺(tái)在授權(quán)后會(huì)將用戶(hù)帳號(hào)信息同步到應(yīng)用系統(tǒng)中，平臺(tái)在刪除用戶(hù)后也將通過(guò)同步接口將用戶(hù)從應(yīng)

15、用系統(tǒng)中刪除。3.1.3.2 應(yīng)用系統(tǒng)用戶(hù)認(rèn)證各應(yīng)用系統(tǒng)仍然可以具備自身的用戶(hù)登錄認(rèn)證功能，保持其獨(dú)立性。應(yīng)用系統(tǒng)自身的登錄認(rèn)證,只完成其本身的登錄，并沒(méi)有登錄到統(tǒng)一平臺(tái)。3.2 對(duì)性能的規(guī)定3.2.1 精度支持10萬(wàn)級(jí)用戶(hù)的身份認(rèn)證，支持3000并發(fā)認(rèn)證。3.2.2 時(shí)間特性要求響應(yīng)時(shí)間在2秒以?xún)?nèi)，不能超過(guò)5秒。3.2.3 靈活性系統(tǒng)從結(jié)構(gòu)上及功能上應(yīng)該具備良好的靈活性，能夠滿(mǎn)足用戶(hù)不斷發(fā)展的復(fù)雜業(yè)務(wù)需求。降低使用維護(hù)過(guò)程中的難度。3.3 輸人輸出要求3.3.1 用戶(hù)信息用戶(hù)基本信息至少包括姓名、性別、身份證、所屬單位。3.3.2 認(rèn)證信息用戶(hù)認(rèn)證所需的帳號(hào)信息至少包括登錄帳號(hào)、密碼、密碼有

16、效期。3.4 數(shù)據(jù)管理能力要求能夠管理20萬(wàn)級(jí)別的用戶(hù)信息管理。3.5 故障處理要求系統(tǒng)具備集群功能，防止系統(tǒng)單點(diǎn)故障。3.6 其他專(zhuān)門(mén)要求無(wú)4運(yùn)行環(huán)境規(guī)定4.1設(shè)備2臺(tái)TAM服務(wù)器，4臺(tái)WebSeal服務(wù)器，性能條件建筑在以下具體配置要求之上：)二級(jí)緩存2x6MB集成前端總線(xiàn)，1333(2.66GHz,處理器5430XeonIntel兩個(gè)四核1.2 .8GB(4x2GB)兩路交錯(cuò)PC2-5300全緩沖DDR2-667內(nèi)存3 .支持高級(jí)ECC,鏡相內(nèi)存和在線(xiàn)備用內(nèi)存，8個(gè)內(nèi)存插槽，最大內(nèi)存可以擴(kuò)充到32GB：4 .集成雙千兆網(wǎng)卡，帶TCP/IPOffload引擎，可實(shí)現(xiàn)加速iSCSI,2個(gè)I/O擴(kuò)展槽：5 .集成SAS智能陣列控制器，支持RAID0