OA系统指纹统一身份认证服务平台解决方案.doc

OA 系统指纹统一身份认证服务平台解决方案 OA 系统指纹统一身份认证服务平台 解决方案 OA 系统指纹统一身份认证服务平台解决方案 1总体总体 4 1 1应用背景 4 1 2UIAS 系统体系架构 5 1 3UIAS 网络应用结构 6 1 4UIAS 的典型应用 单点登录 8 2系统总体设计系统总体设计 9 2 1系统体系结构 10 2 2系统功能特点 11 2 3系统环境 12 2 4体系架构示意图 12 2 5系统备用策略部署模式 13 2 6平台故障的应急处理 14 2 7设备配置选择 14 2 7 1数据库服务器 14 2 7 2统一身份认证服务器 14 2 8设备部署方案 14 2 9硬件 软件要求 15 2 9 1硬件列表 15 2 9 2软件列表 15 2 10系统安全设计 16 2 10 1身份认证 16 2 10 2权限管理 16 2 10 3数字签名和加密 16 2 10 4数据安全性 16 2 10 5安全审计 17 3单点登录方案概述单点登录方案概述 17 3 1概述 17 3 2账号关联流程 18 3 3单点登录流程 18 3 4接口规范 18 3 4 1采用协议 18 3 4 2接口安全 19 3 4 3连接方式 19 3 4 4技术实现 19 3 4 5接口列表 19 3 4 6第三方业务系统开放的接口 20 3 4 7单点登录系统开放的接口 21 4统一身份认证接口统一身份认证接口 22 4 1业务描述 22 4 2业务场景 22 OA 系统指纹统一身份认证服务平台解决方案 4 3HESSIAN 接口 22 4 3 1接口定义 22 4 3 2调用实例 23 4 4WEB 服务接口 23 4 4 1接口定义 23 4 4 2调用实例 23 4 5SOCKET接口 23 4 5 1接口定义 23 4 5 2调用实例 24 5项目开发方案项目开发方案 24 5 1编码阶段 24 5 1 1阶段概述 24 5 1 2人员配置 24 5 2第三方系统集成阶段 25 5 2 1阶段概述 25 5 2 2人员配置 26 6项目实施及后期服务方案项目实施及后期服务方案 27 6 1实施和培训阶段 27 6 1 1阶段概述 27 6 1 2人员配置 27 6 2系统试运行阶段 29 6 2 1阶段概述 29 6 2 2人员配置 29 6 3系统维护阶段 30 6 3 1阶段概述 30 6 3 2人员配置 30 6 4系统售后服务 31 6 4 1人员配置 31 7实施案例实施案例 32 8平台截图平台截图 35 9平台报价平台报价 36 OA 系统指纹统一身份认证服务平台解决方案 1 总体总体 1 1 应用背景应用背景 现代企业的信息建设化越来越完善 各种电子邮件系统 网络办公 电子财务 人事 管理 针对特定行业的业务系统的信息网络化等进入了千百个企业 而企业业务正常运营 时 企业用户需要同时访问多个业务系统 并经常浏览企业内部网络中的相关信息资源 由于用户在访问不同业务系统时需要独立访问业务系统 同时 用户需要在各系统间频繁 地切换 操作较复杂 无法快速地获得相关业务信息并加以分析利用 此外 用户在进行 业务操作时 需要分别登录到不同的应用系统中 由于系统较多 用户帐号或密码遗忘现 象时有发生 或者一套简单用户名和密码多系统使用 造成保密度降低等问题 而在安全 性和系统管理方面 企业需要大量的 IT 技术管理人员 分别管理和维护不同系统 如 ERP 系统分析 OA 财务 Notes 系统等 的用户信息 需要建立可靠 安全 保密的业 务系统网络环境 保证企业业务系统网络环境 保证企业业务不受破坏和干扰 针对这种情况 企业希望通过实施建立企业级的统一身份认证系统 为企业用户提供 统一的信息资源认证访问入口 建立统一的 基于角色的和个性化的信息访问 集成平台 通过实施统一身份认证 单点登录功能 提高信息系统的易用性 安全性 稳定性 在此 基础上进一步实现企业用户告诉协同办公和企业知识管理功能 企业的各个业务系统大都 采用异构系统 在不同平台上建立不同应用服务器的业务系统 因此 在确保业务系统 独立运行的前提下 要解决统一认证 单点登录 安全防护和信息保密的问题 需要满足 如下需求 对多个系统实现统一身份认证功能的需求 业务系统可以在不同的硬件架构中的需求 业务系统可以为异构系统 其运行的操作系统平台和应用服务器可以各不相同 客户端可以使用不同的浏览器的需求 用户单点登录时满足用户名 口令 用户名 指纹 证书认证 还能实现少数用户 通过 USB KEY 等硬件认证的需求 最少改动现有的应用模式和业务系统的需求 对后续的业务系统扩充和扩展有良好的兼容性的需求 OA 系统指纹统一身份认证服务平台解决方案 1 2 UIAS 系统体系架构系统体系架构 基于 UIAS Server 的统一身份认证系统的在企业 IT 架构中的位置和其他企业应用系 统的关系如图所示 统一身份认证系统 UIAS Server 办公系统财务系统运行管理系统仓库管理系统 用户 图一图一 UIAS 系统在企业系统在企业 IT 架构中的关系图架构中的关系图 统一身份认证系统 UIAS 作为企业应用环境中的一个子系统 按照一种企业自定义 规则的基于角色的用户管理机制 统一了各种企业应用系统五花八门的用户管理体系 UIAS 系统通过统一存储和管理企业应用系统中的用户组织和管理体系 提供了统一的用户 信息管理界面和统一的认证访问接口 可以使各应用系统专注于处理其业务功能 而不用 在用户的级别管理 归属管理 授权管理等部分上大费周章 以上图为例 用户在访问某一个应用系统 比如办公系统时 的某一种功能时 如果 是有安全性需求的保护模块 则办公系统要求用户通过输入口令 指纹 UKey 动态口令 等各种验证方式进行身份或者访问权限的认证 用户输入完成后 办公系统自动地将调用 UIAS Server 提供的相关接口 到 UIAS Server 上去验证此用户的身份及权限 UIAS Server 按照企业自定义规则的基于角色的用户认证机制 对此用户进行身份认证和权限判 断 并返回办公系统此用户的权限许可是或否 办公系统即可决定是否让该用户继续执行 此功能的操作 UIAS Server 提供统一的用户信息管理界面 各种认证信息及用户的基本资料在 UIAS Server 上通过在客户端使用浏览器的方式进行设置和管理 不通过具体某一个应用系统完 OA 系统指纹统一身份认证服务平台解决方案 成 而作为单独的应用 办公系统无需再对例如口令 密码 用户基本资料等信息进行设 置和管理 在 UIAS Server 上设置的用户认证信息 可统一为各种应用系统进行服务 提 供用户身份认证的功能 所以 各种应用系统可以无需建立自己的用户管理系统 而将其 集中到 UIAS 系统中 对系统的使用者来说 无需为各种系统记忆不同的用户名和密码以及不同的登录方式 对系统的管理者来说 只需维护 UIAS 系统这一套用户数据和访问规则即可 无需分别管理 不同应用系统中不同的使用者数据库 并且无需为不同的应用系统中无法共享和同步用户 登录信息而烦恼 此外 将用户身份认证的功能部分从各应用系统中独立出来 可以方便 的随时增加新的应用系统 而无需为每个使用者重复地在新增系统上建立用户信息 同时 由于统一身份认证系统跨越各个应用系统 所以为各个独立的应用系统建立了 一个公共的联系 从而是单点登录功能的实现成为可能 即在多个应用系统中 用户只需 要登录一次就可以访问所有相互信任的应用系统 1 3 UIAS 网络应用结构网络应用结构 系统的网络应用典型结构图如下图所示 OA 系统指纹统一身份认证服务平台解决方案 图二图二 统一身份认证平台网络示意图统一身份认证平台网络示意图 UIAS 服务器 UIAS Server 是实现统一身份认证系统的中心 是提供统一身份认证 服务的核心设备 在企业应用系统网络中 一般配置两台 UIAS Server 也可一台 如一台则无法实现 数据实时备份及负载分配 两台 UIAS Server 的硬件和软件配置完全一致并建立相同的 数据库结构 并同步初始数据 如果系统中配置两台 UIAS Server 则两台服务器的 MySql 数据库数据通过配置 以 数据库复制的方式实现双机数据的实时互同步镜像 应用户要求 系统也可采用外联数据 库服务器的方式 不使用 UIAS Server 上自带的 MySql 数据库 而通过 JDBC 连接不同种类 的用户数据库系统 如 Oracle SqlServer DB2 Sybase Informix 等等 如果采用外联 数据库系统 则无需配置数据库的镜像功能 数据的安全性和完整性由用户通过原有手段 完成 两台服务器由于具备同样的数据和执行功能 因此除了具备数据的相互实时备份外 通过对调用端的访问顺序配置 可以实现负载平衡的效果 1 4 UIAS 的典型应用 单点登录 的典型应用 单点登录 单点登录系统作为 UIAS Server 的一种典型应用 其应用结构图如下图所示 OA 系统指纹统一身份认证服务平台解决方案 LINUX Tomcat MySql LINUX Tomcat MySql 企业应用系统 UIAS Server UIAS Server 管理PC 浏览器 HTTP HTTPS 用户信息管理APP单点登录APP HTTP HTTPS 浏览器 B S方式 HTTP HTTPS 客户端程序 C S方式 身份认证接口 SOAP HESSIAN 普通用户PC 浏览器 单点登录app 图三图三 统一身份认证应用 单点登录 逻辑图统一身份认证应用 单点登录 逻辑图 在 UIAS SERVER 的 Tomcat 应用服务器上 部署单点登录系统服务端软件 其中 用 户信息管理 APP 模块提供给前端管理员使用浏览器方式进行用户信息的设置和管理 比如 人员信息的录入及指纹的采集等等 身份认证接口用 WebService hessian 的方式提供 提供给后端的企业应用系统调用 完成用户身份的验证 前端管理员可以输入 UIAS Server1 或者 UIAS Server2 的 URL 地址 进行用户信息的 设置和系统管理方面的操作 用户在使用企业应用系统前 可以输入 UIAS Server1 或者 UIAS Server2 单点登录系 统 APP 的 URL 地址 用户登录单点登录系统时 通过单点登录系统用户表中的字段来验证 用户身份 登录后得到其被授权使用的各种企业应用系统的信息 用户可在显示的各种应 用系统账户图标上 进入需使用的应用系统而无需再次单独登录 在对某应用系统实现自动登录的功能前 用户需要设置各个系统到该系统用户的映射 关系 以保证自动登录功能得以实现 数据加密保存在 UIAS SERVER 的数据库中 OA 系统指纹统一身份认证服务平台解决方案 2 系统总体设计系统总体设计 统一身份认证服务平台 将用户信息 应用资源信息以及用户对网络应用资源的访问 权限等在关系型数据库进行存储 并在此基础上提出一套统一身份认证 单点登录 集中 鉴权以及网络应用资源的统一管理 有效解决了用户重复登录和多点帐号管理的问题 方案 1 对第三方业务系统基本不作任何改变 用户通过 UIAS 认证后 配置业务 系统帐号 密码 随后用户访问业务系统时 由 UIAS 向业务系统提交认证 业务 系统完成认证和授权 方案 2 第三方业务系统需进行代码修改和配置 支持统一认证 分布授权 即 统一身份认证系统实现用户身份认证 而授权等操作则由老系统完成 系统设计方案比较表 方案 名称 介绍B S WEB 系统 单点登录实现 C S 桌面系统 单点登录实现 方案 1 对业务系统基本不做任 何改变 实施和维护相对简单 一旦出现故障 系统复 原相对简单 业务系统需进行身份认 证 授权 1 统一平台用户注册 2 平台用户与业务系统账号关 联 3 统一平台配置 B S 系统参数 4 使用 IE 控件往 B S 系统推送 账号 密码等相关参数 进行登 录 登录时需要验证码校验的第三 方业务系统要单独进行处理 IE 控件对校验码图片进行分析 随 机英文字母 随机数字 随机颜 色 随机位置 随机长度等参数 1 统一平台用 户注册 2 平台用户与 业务系统账号 关联 3 在统一平台 设置 C S 系统 基本参数 4 使用客户端 工具 在每个 用户客户端都 需初始化 C S 系统的相关参 数 5 使用 IE 控 件往 C S 系统 推送账号 密码 等相关参数 进行登录 方案 2 每个业务系统需代码修 改和配置 与统一身份 认证平台进行联调 由统一身份认证平台实 现统一的身份认证功能 业务系统只负责对用户 授权 一旦出现故障 系统复 原相对复杂 实施和维护相对复杂 1 统一平台用户注册 2 平台用户与业务系统账号关 联 3 统一平台配置 B S 系统参数 4 统一平台与第三方业务系统 单点登录接口调用 同上 OA 系统指纹统一身份认证服务平台解决方案 建议1 老系统整合 使用方案 1 2 新系统接入 采用方案 2 2 1 系统体系结构系统体系结构 统一身份认证服务平台主要包括资源层 目录服务系统和客户端三部分 资源层是系统的核心 包含关系型业务数据库和关系型审计数据库 关系型业务数据 库用于存储用户数据 关系型审计数据库用于存储用户访问日志 认证服务系统用于提供基于 Web 方式的用户管理 身份认证 服务授权 审计管理和 外部访问接口 客户端由若干应用系统和普通用户组成 认证服务系统 SSO单点登录 统一身份管理 B S系统单点登录C S系统单点登录 多种身份认证统一身份认证统一用户身份管理 统一授权管理 访问资源管理访问策略管理分级授权管理 统一审计管理 访问行为审计审计信息分析统计审计信息查询 资源层 业务数据库审计数据库 客户端 C S系统用户B S系统 外部访问接口 应用访问接口用户认证接口 OA 系统指纹统一身份认证服务平台解决方案 2 2 系统功能特点系统功能特点 实现用户单点登录 对于 B S 结构应用系统 用户只需通过浏览器界面登录一次 即可通过统一身份认证系统 访问后台的多个用户权限内的 Web 应用系统 无需逐一输入用户名 密码登录 对于 C S 结构应用系统 通过 Active 控件或客户端 Plugin 来实现对 C S 系统客户端的单点登录 用 户输入一次用户名 密码 即可访问所有被授权的 C S 系统资源 统一用户身份管理 用户注册 用户在 UIAS 中心注册帐号 该帐号可用于所有使用 UIAS 的应用系统中 帐号关联 对于用户在相关应用中已建立的帐号 可与 UIAS 的帐号进行关联 以便在不 改变原有帐号的情况下仍能访问应用系统 统一身份认证 UIAS 系统提供开发接口给新建系统 可为后续新的应用系统开发提供了统一的身份认证 接口和标准 多种身份认证方式 UIAS 支持多种身份认证方式 如指纹认证 同时也保留了传统的静态口令认证 并且为 其他认证方式如短信 数字证书 USB Key 动态口令身份认证等认证方式预留接口 以 适应企业对认证方式扩展的需求 日志和审计报告 UIAS 依靠记录最终用户和管理人员的访问过程 建立一套全面的 有效的回溯和追查机 制 同时系统管理员可以实时监测用户对企业各应用系统的访问状态 及时发现非法访问 事件 对出现的问题进行事后追溯和责任追究提供实证 通过对系统运行状态实时监控审 计 还增强了系统的可维护性 主要完成访问行为审计 审计信息查询 审计信息防窜改 等几大功能 系统集中管理 UIAS 提供管理功能 实现对用户身份信息 权限 应用系统 审计信息的集中管理 系 统管理员通过这个管理中心可对用户 资源 权限及审计信息进行统一的管理 并对 UIAS 系统本身进行维护管理 同时系统支持分级授权管理功能 支持总部授权下属单位 管理自身的用户 并对其授权 减少总部管理员的负担 2 3 系统环境系统环境 客户端支持的浏览器 单点登录 指纹采集等页面使用 ocx 控件 仅支持 IE 其它页面支持 firefox 等主流浏 览器 客户端支持的操作系统 Windows 服务器端支持的操作系统 OA 系统指纹统一身份认证服务平台解决方案 Windows Unix Linux 数据库 Oracle SQL Server 或 My SQL 等关系型数据库 中间件 Tomcat Weblogic 等开源或商用中间件 2 4 体系架构示意图体系架构示意图 从逻辑架构上 统一身份认证平台由三层组成 客户端 服务层和数据库层 客户端也称为系统接入层 它可以使用 API 接口或者浏览器 服务层由应用服务器构成 实际是由 应用中间件 WEB 应用 形成的 B S 系统中 的服务端系统 数据库层由数据库服务器组成 为整个指纹认证系统提供数据库支持 数据库服务器 采用 PPRC 双备的策略 保证数据的安全性 可靠性和高可用性 体系架构说明 统一身份认证平台部署在核心业务区 建立有技术接口规范的统一身份认证平台 可 以保证网络上数据传输的保密性 可认证性 完整性及不可抵赖性 实现与第三方业务系 统的对接 以此为基础可以将更高安全性需求的业务操作建设在互联网之上 并且使这一 操作得到更高效 更安全 更便捷的执行 统一身份认证平台架构图 OA 系统指纹统一身份认证服务平台解决方案 UIAS SERVER 接接入入层层 服服务务层层 数数据据层层 机机房房2 2机机房房1 1 UIAS SERVER 数据库 主 X3950 4Core 16G EHR人力资 源管理系统 CBS系统 网站系统 数据库 备 X3950 4Core 16G PPRC数据级备份 系统架构图 2 5 系统备用策略部署模式系统备用策略部署模式 接入和应用服务层 统一身份认证平台采用双中心双活方式部署 两个数据中心各部署一套系统同时对外 提供服务 当其中一套系统故障时 另一套系统保持对外服务 数据库和存储 统一身份认证平台数据库使用部署在 X3950 服务器上的 4core 16G 和 DS8100 存储 700G 主数据中心和备数据中心的数据库自动进行存储级别的数据同步 PPRC 方式 2 6 平台故障的应急处理平台故障的应急处理 如遇平台故障 无法在短时内有效修复 为保证业务的正常运行 人力资源系统 CBS 系统 网站系统等对接类系统 可以通过前台调整参数 将各自系统设置为不通过统 一身份认证平台的方式绕行 如遇用户个人由于手指受伤或者其它特殊原因导致指纹无法识别 可通过前台 将该 用户设置为不启用指纹认证的方式绕行 2 7 设备配置选择设备配置选择 设备配置满足 双中心双活 要求 且服务器部署满足平台的设计指标 总注册用户 OA 系统指纹统一身份认证服务平台解决方案 数 1 万 同时 1000 用户在线 应答在 4 秒以内到达客户端 2 7 1 数据库服务器数据库服务器 平台数据库使用部署在核心业务区 X3950 服务器 虚机 4core 16G 上 存储使用 DS8100 700G 2 7 2 统一身份认证服务器统一身份认证服务器 每个数据中心配置 1 台 2CPU 4G 146G 4 R01 的机架式服务器 安装 Linux 操作系统 和 Tomcat 软件 支持双中心双活 部署在核心业务区的 S1 区 2 8 设备部署方案设备部署方案 统一身份认证平台在方案设计上采用双中心双活方案部署 如下图所示的部署方案 机机房房2 2机机房房1 1 S S1 1区区 统一身份认证平台服务器 Linux Redhat AS4 Tomcat K K1 1区区 S S1 1区区 统一身份认证平台服务器 Linux Redhat AS4 Tomcat K K1 1区区 数据库 备 X3950 Linux Redhat AS4 Oracle 10g 数据库 主 X3950 Linux Redhat AS4 Oracle 10g 服务器 部署表 机房机房分区分区服务器服务器台数台数 S1 区统一身份认证服务器 1 1 K1 区数据库服务器 主用 1 1 机房 1 总计总计 2 2 S1 区统一身份认证服务器 1 1 机房 2 K1 区数据库服务器 备用 1 1 OA 系统指纹统一身份认证服务平台解决方案 总计总计 2 2 2 9 硬件 软件要求硬件 软件要求 2 9 1 硬件列表硬件列表 所需资源类型所需资源类型配置配置数量数量 服务器 生产环境 2U 机架 2C 4G 146G 4 RAID0 12 台 服务器 数据库 X3950 虚机 4Core 16G 和 DS8100 存储 700G2 台 2 9 2 软件列表软件列表 种类种类类型类型软件名称软件名称版本号版本号 操作系统操作系统Linux Redhat 64bit 4 0 WEB 服务应用软件Tomcat 32bit 6 0 数据库数据库Oracle 64bit 10g 2 10 系统安全设计系统安全设计 2 10 1身份认证身份认证 系统是为广大工作人员提供服务的 为了区分各个用户以及不同级别的用户 需要对他们 的身份和操作的合法性进行检查 体系应该规定实现身份认证与权限检查的方式 方法以 及对这些用户的管理要求 2 10 2权限管理权限管理 权限管理系统是保证业务系统安全的一项重要手段 系统将采用一种基于角色的访问控制 RBAC Role Based policies Access Control 模型的权限管理系统的设计和实现 基于 RBAC 模型的权限管理系统具有以下优势 权限分配直观 容易理解 便于使用 扩展性 好 支持岗位 权限多变的需求 分级权限适合分层的组织结构形式 RBAC 模型中包含的基本元素主要有 用户 Users 角色 Role 资源 Resource 操作 OA 系统指纹统一身份认证服务平台解决方案 Operation 对用户来说 可能拥有几个角色 而不同的角色拥有若干种操作或功能点 这就规定了该用户所拥有的权限是各个角色的操作或功能点之和 用户隶属于用户组 而 用户组可能拥有几个角色 因此用户所拥有的权限是所在用户组的权限之和 在本方案中 系统可以提供 URL 方法 实体等细粒度的权限控制 同时系统也可以提供 模块级的粗粒度权限控制 2 10 3数字签名和加密数字签名和加密 对关键业务数据和电子文档进行数字签名和加密 保证关键业务数据和电子文档的在网络 环境下的保密性 不可抵赖性和完整性 2 10 4数据安全性数据安全性 在保证了系统的安全性之后 我们要确定数据的安全性 完整性和可恢复性 对于数据服 务器可采用双机热备份 一台作为主机 另一台作为备用机 备用机一直监视主机的工作 状态 主机一旦出现故障 备用机取代主机 这样可以保障系统的安全运行 对服务器系统采用数据备份策略 为系统运行过程设计如下 3 种备份功能 数据实时备 份 凡是信息中心接收到的数据作在线备份 数据定时备份 定时将磁盘上的数据备份 在磁带上 备份时间长短由数据的重要性决定 关键数据做到异地备份 或者备份到 Web 服务器上或分公司的服务器上 系统灾难性备份 信息中心的系统软件做到两套以 上的灾难备份 最好做到异地备份或者外部存储备份 在遇到破坏时 就可从本地或外部 磁带保存地点获得灾难备份磁带 安装应用服务器操作系统并配置网络 配置存储设备 装上灾难备份磁带 从存储设备中取得最新的引导信息 恢复数据库 确认数据库为最新 版本 批准系统运行 进行灾难恢复 系统管理员可以通过操作系统和数据库软件提供的数据备份功能 结合相应的硬件和存储 设备 对数据备份进行集中管理 以此实现自动化的备份 文件归档 数据分级存储以及 灾难恢复等 2 10 5安全审计安全审计 安全审计是网络安全中尚待开发的一个新领域 在目前已有的审计软件中 大多数是基于 主机的 或者是基于网络的 他们本身存在着各种各样的缺陷 为此 我们依据在安全技 术中已有的开发经验 结合其他新的网络技术 提出并设计了一种崭新的分布式审计系统 以期更好地解决应用系统的安全问题 系统能够记录每个用户的重要操作 拥有权限的人员可以查看审计日志记录 对网络行为 各种操作进行实时的监控 对各种行为进行分类管理 规定行为的范围和期限 OA 系统指纹统一身份认证服务平台解决方案 3 单点登录方案概述单点登录方案概述 3 1 概述概述 用户登录单点登录系统时 通过单点登录系统用户表中的字段来验证用户身份 登录 以后 用户需要设置各个系统到该系统用户的映射关系 设置好以后 当通过该系统进入 其他某个 Web 应用系统时 该系统会为该用户和该系统生成一个临时会话票据 st 并 转到 Web 应用系统中的登录检测页面 登录检测页面通过获取到的临时会话票据 来调用 单点登录系统的获取用户名密码等相关信息 API 接口 如果用户名密码正确 则转到正常 登录后的页面 如果不正确 则转到登录错误的页面 这里 API 接口 在返回用户名和 密码后 将删除单点登录系统数据库中相应的临时会话 这样不但用户名 密码都是在服 务器之间进行传递的 并且临时会话存在的时间也是尽可能的短 因此只要保证服务器之 间的对话不能被监听 即可保证安全性 第三方业务系统需要增加一个用于单点登录系统的登录验证页面 该页面工作过程大致第三方业务系统需要增加一个用于单点登录系统的登录验证页面 该页面工作过程大致 如下 如下 获取单点登录系统的票据 st 值 提供 HTTP URL 地址 通过票据值得到用户名和密码 HTTP Servlet 方式调用 通过用户名和密码进行身份验证 返回身份验证后的页面 3 2 账号关联流程账号关联流程 登记新的第三方业务系统账号关联 1 用户向统一身份认证服务发出账号关联注册请求 用户提供了应用系统的标识 A 同时提供了可以在该应用系统中使用的用户信息 如用户名和密码等 2 服务首先向该应用系统 A 征询 用户信息是否合法 如果合法则响应服务 3 如果收到合法响应 那么服务就将这个账号关联注册信息保存到用户注册库中 在 该用户登录统一身份认证服务之后 就能够使用相应的应用系统 A 4 当注册库完成保存操作后 统一身份认证服务响应用户 最后注册完成 OA 系统指纹统一身份认证服务平台解决方案 3 3 单点登录流程单点登录流程 流程描述如下 1 用户使用在统一认证服务注册的用户名和密码 也可能是其他的授权信息 比如数 字签名等 登陆统一认证服务 2 统一认证服务创建了一个会话 同时将与该会话关联的访问认证令牌返回给用户 3 用户使用这个访问认证令牌访问某个支持统一身份认证服务的应用系统 不过用户 并不将请求消息直接交给应用系统 而是传给统一身份认证服务 在消息中标识了最 终的应用系统的 ID 4 统一认证服务访问应用系统注册库 获取了应用系统的访问入口 并确认这个应用 系统的确是支持统一身份认证服务的 5 统一认证服务将请求消息转发给指定的应用系统 如果该应用系统使用自己的用户 系统的话 那么该消息应当包含了预先定义好的相关联的用户名和密码等 6 应用系统将请求结果返回给统一认证服务 最后统一认证服务将响应消息返回给用 户 完成调用 所有应用系统仅接收来自统一认证服务的访问请求 3 4 接口规范接口规范 3 4 1 采用协议采用协议 接口提供方采用协议 第三方业务系统 HTTP 单点登录系统 HTTP 3 4 2 接口安全接口安全 采用基于 IP 地址的身份验证方式 在服务调用的过程中 服务提供者获取调用者的 ip 地址 在本地保存的授权访问 ip 地址列表中查询 认证通过执行服务返回数据 不通 过则拒绝服务 3 4 3 连接方式连接方式 POST 方式 OA 系统指纹统一身份认证服务平台解决方案 3 4 4 技术实现技术实现 接口采用 OpenURL 技术实现 接口语法格式说明 http url ssoAuthService query query 部分包括多组参数名称与参数值 其中最主要的 verb 参数 访问服务的具体名 称见接口列表中的接口名称 OpenURLOpenURL 语法格式 语法格式 OpenURLOpenURL BASE URLBASE URL QUERYQUERY BASE URLBASE URL 基础 基础 URLURL 服务提供方的 服务提供方的 URLURL 地址地址 QUERYQUERY 查询 包含 查询 包含 ORIGIN DESCRIPTIONORIGIN DESCRIPTION 参数名称 参数名称 OBJECT DESCRIPTIONOBJECT DESCRIPTION 参数值 参数值 两部分 两部分 3 4 5 接口列表接口列表 接口提供方接口类型接口名称接口功能 第三方业务系统单点登录ssoLogin获取单点登录系统 票据 st 进行单 点登录操作 第三方业务系统验证账户validatePrincipal验证单点登录系统 提交的账户和用户 唯一标示的信息 身 份证 是否有效 以 XML 格式响应 单点登录系统校验票据validateServiceTicket验证第三方业务系 统票据 校验通过 以 XML 格式返回第 三方系统账户等相 关数据 3 4 6 第三方业务系统开放的接口第三方业务系统开放的接口 接口名称 ssoLogin 接口说明 获取单点登录系统票据 st 用于调用单点登录系统的校验票据接口 获取业务系统账户 信息 进行单点登录 OA 系统指纹统一身份认证服务平台解决方案 请求参数说明 verbssoLogin st单点登录系统票据 调用示例 http url ssoAuthService verb ssoLogin 其它其它 验证失败 返回失败信息验证失败 返回失败信息 响应格式示例 xml RPC OKRPC OK 3 4 7 单点登录系统开放的接口单点登录系统开放的接口 接口名称 validateServiceTicket 接口说明 验证第三方业务系统票据 以 XML 格式返回第三方系统账户等相关数据 请求参数说明 verbvalidateServiceTicket st单点登录系统票据 调用示例 http url ssoAuthService verb validateServiceTicket 其它其它 操作失败 返回错误信息操作失败 返回错误信息 用户名用户名 密码密码 按业务需要可为空按业务需要可为空 truetrue 为单点登录用户已经登入为单点登录用户已经登入 falsefalse 为末登为末登 响应格式示例 xml RPC OKRPC OK pinkepinke 11 falsefalse 4 统一身份认证接口统一身份认证接口 4 1 业务描述业务描述 第三方业务系统用户登录或关键性业务操作需进行用户身份认证 业务系统可通过调用认 证平台的认证服务接口 发送身份 指纹或密码 认证请求 认证平台响应处理后 将认 证结果返回给业务系统 具体流程如下 1 用户在第三方业务系统输入系统账户 密码或采集指纹 提交给业务系统中间件 由业务系统中间件调用统一身份认证平台的认证服务接口 2 认证平台对用户信息进行认证 将认证结果返回给第三方业务系统 统一身份认证平台提供了 3 类接口供应用系统调用 分别为 Hessian 接口 WebService 接 口和 Socket 接口 本文的后续章节将分别描述三类接口的定义 报文格式和调用实例 4 2 业务场景业务场景 CBS 应用主管柜员的授权功能 CBS 应用调用身份认证接口 进行双岗认证操作 OA 系统指纹统一身份认证服务平台解决方案 4 3 HESSIAN 接口接口 4 3 1 接口定义接口定义 定义如下 Public int authenticate String appType String appCode String appUserid String fingerFeature String password String authType String extendinfo 输入参数 参参 数数说说 明明备备 注注 appType第三方系统系统类别编号预留 appCode第三方系统编号 appUserid第三方系统账户需要设置第三方业务系统到单点登录系统 的用户映射关系 fingerFeature指纹数据 password密码 authType身份认证方式1 密码 2 指纹 3 密码和指纹 extendinfo保留字段 格式 名称 1 值 名 称 2 值 预留 输出参数 无 返回值 0 成功 其它 失败 1 表示验证失败 2 无当前用户信息 3 当前用户为密码认证方式 4 当前用户 未采集指纹 5 发送数据异常 6 系统异常 99 通讯异常 4 3 2 调用实例调用实例 待补充 OA 系统指纹统一身份认证服务平台解决方案 4 4 WEB 服务接口服务接口 4 4 1 接口定义接口定义 同 HESSIAN 接口定义 4 4 2 调用实例调用实例 待补充 4 5 Socket 接口接口 4 5 1 接口定义接口定义 代补充 4 5 2 调用实例调用实例 待补充 5 项目开发方案项目开发方案 5 1 编码阶段编码阶段 5 1 1 阶段概述阶段概述 项目阶段编码 阶段任务描述编写所有代码及其注释和文档 编写单元测试用例 所需时间 工作日 20 实施方投入人员项目经理 技术总监 软件工程师 美工 测试工程师 客户方参与人员各有关技术人员 OA 系统指纹统一身份认证服务平台解决方案 里程碑标志完成编码 完成单元测试用例 主要成果完整的代码和注释 完整的单元测试用例和测试数据 完整的测试计划 完整的代码及相关文档 5 1 2 人员配置人员配置 角色人数能力描述职责 项目经理1本科学历 具有 5 年以 上项目管理经验 统筹项目 充当与客户沟通的桥梁 修正进度表 分配人员工作 技术经理1本科学历 具有 5 年以 上开发和系统分析经验 参与过大型企业级应用 项目 系统架构设计修正 组织系统模块级 设计的 review 排除主要技术障碍 协助项目经理完成技术上的人员安排 编写测试计划 软件工程师3本科学历 具有 2 年以 上 Java 开发经验 完成后台各模块编码 网页美工2有 2 年以上网页美工经 验 负责网页美工 测试工程师2有 2 年以上网页开发经 验或测试经验 编写单元测试用例和测试数据 5 2 第三方系统集成阶段第三方系统集成阶段 5 2 1 阶段概述阶段概述 项目阶段第三方系统集成 阶段任务描述编写身份认证接口和单点登录接口协议 身份认证接口和单点登录接口编码实现和调用接口的 OA 系统指纹统一身份认