统一用户管理与认证平台需求说明书.doc

南山区教育信息网应用系统南山区教育信息网应用系统南山区教育信息网应用系统南山区教育信息网应用系统南山区教育信息网应用系统南山区教育信息网应用系统 统一用户管理与认证平台统一用户管理与认证平台统一用户管理与认证平台统一用户管理与认证平台 需求说明书需求说明书需求说明书需求说明书 版本信息版本信息 A 代表新增 M 代表修改 D 代表删除 版本号版本号发布日期发布日期提交人提交人审阅人审阅人A M D更新位置更新位置更新摘要更新摘要 1 02008 9 30A拟初稿拟初稿 项目及文档信息项目及文档信息 发布日期 2008 9 30 项目名称项目名称 南山区教育信息网应用系统南山区教育信息网应用系统 合同号合同号 项目合同编号项目合同编号 项目经理项目经理 杨巨龙杨巨龙 客户负责人客户负责人 石义琦石义琦 文档编号文档编号 项目代号项目代号 文档类型文档类型 流水号流水号 模板编号模板编号 2 1引言引言 3 1 1编写目的 3 1 2背景 3 1 3定义 3 1 4参考资料 4 2任务概述任务概述 4 2 1目标 4 2 2用户的特点 4 2 3假定和约束 5 3需求规定需求规定 5 3 1对功能的规定 5 3 1 1统一用户管理 5 3 1 2统一认证与单点登录 7 3 1 3应用系统自身的用户及认证管理 8 3 2对性能的规定 8 3 2 1精度 8 3 2 2时间特性要求 8 3 2 3灵活性 9 3 3输人输出要求 9 3 3 1用户信息 9 3 3 2认证信息 9 3 4数据管理能力要求 9 3 5故障处理要求 9 3 6其他专门要求 9 4运行环境规定运行环境规定 9 4 1设备 9 4 2支持软件 10 4 3接口 10 4 4控制 10 3 1 引言引言 1 1编写目的编写目的 本文档的编写目的在于确定南山教育信息网统一用户管理与认证平台的需求内容 成 为后续开发建设和验收的依据 1 2背景背景 在应用系统的建设中 用户身份和认证信息的管理是最关键的一部分 但是由于需求 总是在不断变化和发展 应用系统也会不断的增加或淘汰 因此 应用系统通常都是在不 同平台上 由不同开发商开发 使用的技术不一致 容易造成每套系统都有独立的用户身 份管理 登录不同应用系统需要多次登录 对于用户来说 每增加一个新的应用 需要记忆一套新的用户名 密码 负责的业务范 围越大 需要记忆的用户名 密码组越多 设定一样的密码 不够安全 密码设定不一样 记忆困难 每次访问应用系统 需要重复输入用户名 密码 在一个系统中修改了密码 其 他系统的密码不会随之改变 对于系统管理员而言 没有一个统一的用户管理系统 就会在新进人员时 需要到众 多系统中逐一建立帐号 人员离职时 需要到众多系统中逐一删除帐号 给系统管理员的 工作造成了繁重负担 还容易造成各系统中人员身份信息的不一致 对于南山区学校领导 教师和学生等用户 由于其可以享受大量教育资源服务 为防 止他人冒名顶替 盗用资源 故须对这些 合法 用户要进行统一的实名认证 1 3定义定义 统一认证平台 南山教育信息网的应用支撑性平台 包括了统一用户 应用资源的管 理以及各应用资源的统一认证管理 统一用户管理 负责管理南山教育信息网全体实名用户的身份管理 并分配各分项应 用子系统中具有使用权的用户 将统一用户信息同步到应用子系统中 统一认证 负责南山教育信息网的统一用户认证以及单点登录支持 用户通过平台统 4 一登录之后可以单点登录访问其权限范围内的各分项应用子系统 单点登录需要各应用系 统支持统一认证接口 1 4参考资料参考资料 招标文件 南山区教育信息网应用系统软件开发与集成服务 2 任务概述任务概述 2 1目标目标 1 用户组织与权限管理 建立一套有效的用来管理网络资源 用户身份的平台 实 现组织 用户和资源的集中管理和授权 管理员不再分散管理用户 系统具有很高安全性 和灵活性 2 统一认证管理 单点登录功能是实现统一身份认证系统的首要目标 实现让用户 在经过一次网络身份验证后 就可以访问所有授权的网络资源 而不需要额外验证 支持 多种认证方式 用户名密码 证书 USB 这里的网络资源 主要是指基于 Web 方式的 应用系统 3 应用系统管理 在实现了用户统一认证的基础上 制定出一套规范的用户单点登 录机制 提供用户身份统一访问接口 要求所有新建且可以经过统一身份认证系统认证的 应用系统 涉及的账号一定是统一身份认证系统的用户帐号 这些应用系统必须被统一身 份认证系统所管理 管理平台设置可以访问此应用系统的用户 组织或角色等 4 旧系统策略 提供自动代理登录 自动登陆到其它目标业务系统 功能 实现统 一用户可以单点登录旧系统 代理登陆所需要的用户信息保存在独立数据库中 5 日志管理 可以查看用户登录以及用户同步的日志记录 2 2用户的特点用户的特点 南山教育信息网的用户涉及到南山教育局以及下属的各个学校和机构的全体用户 具 体包括 约 1 万的教职工用户 约 10 万的中小学生用户 约 10 万的家长用户 所有这些 用户都将由统一认证平台统一管理 平台管理员有权管理所有的用户信息 而各个单位 5 如某个学校 的管理员可以管理本单位的用户信息 普通的用户可以使用自己的帐号通 过平台进行统一登录 然后单点式的访问南山教育信息网类自身具有权限的应用系统资源 不再需要为访问某一个应用系统而分别输入用户 密码 2 3假定和约束假定和约束 南山教育信息网具备全局的统一用户库 各分项的应用子系统可以仍然具备自身的用 户体系 但用户信息源于统一用户库 用户的产生由统一用户管理负责 各应用系统接收 平台发送的用户同步信息 各应用系统必须提供相关的接口以支持单点登录 对于已有的应用系统而言 通过基 于用户映射的代理访问方式 不需要单独开发单点登录接口 3 需求规定需求规定 3 1对功能的规定对功能的规定 3 1 1统一用户管理统一用户管理 平台提供南山教育信息网全体实名用户的用户资料信息集中存储 这些资料由统一用 户认证平台集中管理 平台管理员可以维护所有人员的用户信息 各单位的管理员只能维 护其本单位的用户信息 用户的信息包括应包括 3 个层面的含义 1 用户的人事类基础信息 诸如姓名 性别 户籍 身份证 职务 联系电话 电子邮箱 学历 学位等等 这些信息不涉及安全登录 但可以作为用户登录帐号信息的生成来源 2 用户的帐号信息 诸如登录帐号 密码 密 码有效期 登录方式等 这些信息涉及安全登录 在进行用户认证时 构成校验信息的主 体 3 权限信息 指用户可以访问哪些应用系统资源 统一用户管理具体由以下功能组成 3 1 1 1人事信息管理人事信息管理 人事信息资料的管理是帐号管理体系的基础工作 它具有对学生人事信息和教职工信 息 含局机关 的管理职能 提供人事信息查询 修改 统计 增加 检验 帐号查询等 6 功能 系统应支持从 Excel 批量导入人事信息的功能 同时也支持针对单个个体的创建及维 护功能 便于管理 3 1 1 2帐号信息管理帐号信息管理 帐号管理是整个统一用户管理体系的核心 它负责用户登录帐号的生成 注册 挂失 解挂 维护等功能 帐号信息至少包括登录帐号 密码等 作为与应用系统进行用户同步的基础 帐号信 息也包含了主要的一些人事类信息 如姓名 性别 身份证 民族 籍贯 职务等 用户的帐号必须唯一 同时其密码的设定应不能过于简单 安全起见应具备一定的复 杂度 对于用户个人来说 应该具备密码修改的功能 保证其帐号的安全性 3 1 1 3应用系统管理应用系统管理 作为用户管理主体 统一用户认证平台负责了整个南山教育信息网的全体用户信息的 管理 各分项的应用系统受平台管理约束 各系统的用户信息来源于统一用户 为了将统 一用户信息分配到各个子系统 需要将应用系统注册到平台之中 并记录各系统支持用户 信息同步的接口 3 1 1 4用户权限管理用户权限管理 南山教育信息网的用户并不是可以访问全部的应用系统 因此必须具有相关的权限管 理 统一认证平台的用户权限管理并不涉及到用户对于各个应用系统的业务权限 而是指 定哪些用户可以访问哪些应用系统 分配一个用户可以使用哪个应用系统之后 他的用户 信息就被同步到相应的应用系统之中 3 1 1 5用户信息同步用户信息同步 用户具备某个应用系统的权限之后 他应用在该系统中具有用户身份 由于用户信息 由平台统一管理 因此就需要将用户信息同步到应用系统中 同步的用户信息指的是用户的帐号信息 平台应具备通用的用户信息同步接口 负责 7 将统一帐号信息以通用的接口方式发送给各个应用系统 各系统按照平台的规范性要求实 现自身自身的用户信息同步接口 获取统一用户信息后 完成用户从平台到各系统的新增 修改 删除的同步操作 3 1 1 6日志管理日志管理 系统具备用户同步日志管理功能 可以查看同步是否成功 同步不成功时也可以看到 具体的错误跟踪信息 系统具备用户登录日志管理功能 可以查看用户的登录情况 3 1 2统一认证与单点登录统一认证与单点登录 3 1 2 1统一认证统一认证 作为南山教育信息网的应用基础 统一认证平台应提供用户帐号身份的集中验证功能 验证通过之后 用户具有的全局的身份 当他再访问网内的其他应用子系统时 不再需要 进行身份认证 统一认证只需要支持 B S 架构的认证方式 具体可以支持 NTLM Kerberos v5 0 BASIC 认证 摘要认证 LDAP 认证等多种认证协议 并支持用户名 密码 数字证 书 卡认证等多种认证方式 以支持在不同应用场景下的用户认证请求 对于南山教育信息网本期项目而言 只统一使用用户名 密码的认证方式 在南山教育信息网主门户网站中 将提供统一的登录入口 用户登录之后 进入其个 人首页 个人首页中提供了用户有权访问的应用系统资源 用户从该处可以以单点登录的 方式进入各应用系统 3 1 2 2单点登录单点登录 用户经过统一认证之后 方式南山教育信息网内各子应用系统时 应支持单点登录功 能 用户只需输入一次用户名和密码 就可访问平台所有被授权访问的系统 而无需二次 输入用户名和密码 平台需要支持 2 类 B S 结构的应用系统的单点登录 1 使用统一帐号的新建应用系统 其单点登录支持需要支持各种异构系统 比如基于 微软技术的 Java 技术的 Php 技术的等等 这种方式对于用户来说使用的就是统一帐号 8 和密码 不需要其自身再进行任何设置 对于应用系统来说 则需要按照平台的规范性要 求实现单点登录接口 能够获取到用户的统一身份信息 2 非使用统一帐号的原有应用系统 其单点登录支持的是基于 Form 的表单式认证 平台提供用户自助式的原系统用户名 密码配置界面 用户配置好原系统的认证信息后 在访问原系统时 平台将身份信息以代理的方式提交给原系统 完成登录 3 1 3应用系统自身的用户及认证管理应用系统自身的用户及认证管理 南山教育信息内各新建的应用系统的用户管理和认证与统一用户管理认证平台做整合 以统一用户管理认证系统为主 以应用系统自身的用户管理和认证为辅 3 1 3 1应用系统用户管理应用系统用户管理 各应用系统仍然具备自身的用户管理 保持其独立性 主要维护其本系统内的一些统 一用户之外的个性化信息参数 用户的创建由平台发起 不能由应用系统首先创建 应用系统需要开发用户信息同步接口 负责本系统内用户帐号信息的创建 修改 删 除工作 平台在授权后会将用户帐号信息同步到应用系统中 平台在删除用户后也将通过 同步接口将用户从应用系统中删除 3 1 3 2应用系统用户认证应用系统用户认证 各应用系统仍然可以具备自身的用户登录认证功能 保持其独立性 应用系统自身的 登录认证 只完成其本身的登录 并没有登录到统一平台 3 2对性能的规定对性能的规定 3 2 1精度精度 支持 10 万级用户的身份认证 支持 3000 并发认证 3 2 2时间特性要求时间特性要求 响应时间在 2 秒以内 不能超过 5 秒 9 3 2 3灵活性灵活性 系统从结构上及功能上应该具备良好的灵活性 能够满足用户不断发展的复杂业务需 求 降低使用维护过程中的难度 3 3输人输出要求输人输出要求 3 3 1用户信息用户信息 用户基本信息至少包括姓名 性别 身份证 所属单位 3 3 2认证信息认证信息 用户认证所需的帐号信息至少包括登录帐号 密码 密码有效期 3 4数据管理能力要求数据管理能力要求 能够管理 20 万级别的用户信息管理 3 5故障处理要求故障处理要求 系统具备集群功能 防止系统单点故障 3 6其他专门要求其他专门要求 无 4 运行环境规定运行环境规定 4 1设备设备 2 台 TAM 服务器 4 台 WebSeal 服务器 性能条件建筑在以下具体配置要求之上 1 两个四核 Intel Xeon 5430 处理器 2 66GHz 1333 前端总线 集成 2x6MB 二级缓 10 存 2 8GB 4x2GB 两路交错 PC2 5300 全缓冲 DDR2 667 内存 3 支持高级 ECC 镜相内存和在线备用内存 8 个内存插槽 最大内存可以扩充到 32GB 4 集成双千兆网卡 带 TCP IP Offload 引擎 可实现加速 iSCSI 2 个 I O 扩展槽 5 集成 SAS 智能阵列控制器 支持 RAID 0 1 支持 2 个小尺寸 SAS 热