用户培训手册-统一权限

0 20 统一权限使用手册 管理员 统一权限使用手册 管理员 目录目录 1 系统概述 0 1 1 更加稳定 安全 高效的权限管理服务 0 2 各组件特点 0 2 1 消息服务 ISC MS 0 2 2 权限管理平台 ISC MP 3 2 3 接口服务 ISC SM 5 2 4 统一认证 ISC SSO 6 2 5 审计服务 ISC AS 8 2 6 数据同步服务 ISC SYNC ADAPTER 8 2 7 统一认证代理 ISC SSO AGENT 9 2 8 鉴权代理 ISC SM AGENT 缓存服务 ISC CS 10 2 9 UAP 身份和审计模块 ISC MANAGE 工单模块 ISC WORKFLOW 11 3 权限管理 12 3 1 业务角色维护 12 3 2 组织角色维护 14 3 3 身份权限维护 15 4 集成管理 17 4 1 同步结果监控 17 1 20 1 系统概述 系统概述 统一权限平台系统设计的目标是考虑国家电网公司人员身份管理业务的现 状及特点 在总体设计上借鉴以往 国网统一身份认证系统典型设计 的成功 经验 依托信息化手段着力提高人员身份管理的工作质量和效率 构建一套支 撑 总部 网省 两级部署以及总部集中部署版本的统一权限平台系统 实现对 人员身份的统一认证 统一管理 统一授权 以及合规性管理 安全审计等模 块功能 实现统一管理 流程规范 过程受控 备案审查的目的 从而提升公 司人员身份管理的规范性 合理性和安全性 1 1 更加稳定 安全 高效的权限管理服务更加稳定 安全 高效的权限管理服务 权限系统 2 0 版本是针对前期权限系统 1 0 版本的试点成果 进一步深化 应用 1 考虑为业务应用提供满足安全等级保护规定中相应权限管理要求的服务 2 对访问控制管理方面进行安全加固与性能提升 增加权限测试机制 形 成可水平扩展的鉴权体系 3 全面提升用户体验 2 各组件特点 各组件特点 本节通过对统一权限平台各模块的介绍 阐明各模块的功能特性 以及各 模块之间的通信交互过程 以便于实施工程师对统一权限系统的理解 2 1 消息服务 消息服务 ISC MS 统一权限平台系统消息服务模块是通过消息队列 MQ 来完成的 消息队 2 20 列是一种应用程序对应用程序的通信方法 应用程序通过写和检索出入列队的 针对应用程序的数据 消息 来通信 而无需专用连接来链接它们 统一权限 平台各组件通过消息队列来进行消息传递 消息传递指的是程序之间通过在消 息中发送数据进行通信 而不是通过直接调用彼此来通信 简单地说 MQ 就是这样的中间件 它允许一个应用向另一个应用发送消息 而无论该应用是否在线 平平台台 A 消息队列 子系统A 应用A 放入 消息 平平台台 B 消息队列 子系统B 应用B 获取 消息 消息队列 MQ 图消息队列图消息队列 MQ 示意图示意图 消息队列消息队列 MQ MQ 的特点包括 的特点包括 1 消息的发送方和接收方可以不再统一服务器上 2 通信可以是单向或者双向 3 要通信的应用程序可以运行在不同时间 异步传输 4 对于应用间的结构没有限制 5 对于应用程序来说 底层的环境差异被屏蔽掉 统一权限消息服务组件主要功能包括 1 在权限平台的授权操作通过消息服务模块完成对 UAP 客户端权限缓存信 息的刷新 2 在权限平台的授权操作通过消息服务模块将数据信息分发至与统一权限 平台 v1 0 集成的各业务系统 适配器模式接入的系统 3 20 3 统一权限平台系统统一认证 系统接口服务 数据同步服务等操作事件 通过消息服务模块存入数据库 用于数据的统计分析汇总 消消息息服服务务 ISC MS 数数据据同同步步 V1 0集成系统数据同步 审审计计 UAP 缓缓存存 UAP鉴权缓存刷新 各业务模块审计事件 执行V1 0集成系统数据同步 队列模式 刷新UAP鉴权缓存 主题模式 审计事件写入数据库 队列模式 消消息息服服务务功功能能特特性性 统一权限消息服务的数据传输方式主要有两种 1 1 主题 主题 TOPICTOPIC 模式 模式 消息服务将数据信息主动发送给所有订阅者 是 一对多的关系 本模式主要应用于在 UAP 平台开发的业务应用缓存数据的更新 eg 当一个用户的中文名发生变更 消息服务将变更信息更新至所有 UAP 平 台应用系统缓存区 2 2 队列 队列 QUEUEQUEUE 点对点模式 点对点模式 消息服务将收到的数据存入队列 其它组 件需要到此队列进行读取数据 如果数据 A 被一个组件读取 A 数据将从队列 从删除 数据传输是一对一的模式 一条数据只能被一个组件使用 本模式 主要应用于审计事件数据传输和对 v1 0 版本集成系统的数据同步 注 注 统一权限平台系统采用的消息中间件是 Apache ActiveMQ 更多资料 可以参考 Apache ActiveMQ 官方文档 http activemq apache org 2 2 权限管理平台 权限管理平台 ISC MP 权限管理平台是统一权限平台系统的核心组件 主要包括身份管理 资源 管理 权限管理 配置管理 审计管理 集成管理 工单管理七大功能模块 4 20 权限管理平台是统一权限平台系统的管理端 通过本服务 管理员可以进 行用户身份管理 各种资源 业务应用 授权管理 各种配置管理 审计管 理 系统接入等 普通用户可以进行个人身份管理 配置管理等 权限管理平台是统一权限平台系统的数据展示层 功能模块如下 权限管理平台通过接口服务 ISC SM 将数据信息写入数据库 刷新 UAP 系统缓存 同步数据到 v1 0 集成的业务应用 5 20 用用户户 用用户户操操作作 权权限限平平台台数数据据操操作作流流程程 数数据据库库操操作作 数数据据同同步步UAP 缓缓存存 权权限限管管理理平平台台 ISC MP 系系统统接接口口服服务务 ISC SM 注 注 权限管理平台 ISC MP 服务是通过接口服务进行数据库操作的 本身没有直接的数据 库操作 ISC MP ISC SM 数据库 2 3 接口服务 接口服务 ISC SM 接口服务是权限管理平台与各业务组件数据操作的桥梁 负责将用户在权 限管理平台的各种操作更新到数据库 记录的审计服务 更新 UAP 平台系统缓 存 以及分发给集成的各业务应用 v1 0 版本 6 20 系系统统接接口口服服务务 ISC SM isc sm war 数数据据库库鉴鉴权权 更更新新 UAP平平台台系系统统 鉴鉴权权 更更新新操操作作 读读取取鉴鉴权权缓缓存存 权权限限平平台台 鉴鉴权权 更更新新操操作作 同同步步适适配配器器模模式式 数数据据同同步步 点点对对点点 基基于于服服务务模模式式的的 数数据据同同步步 主主题题 审计事件 点对点 接接口口服服务务功功能能示示意意图图 接口服务的主要功能包括 1 1 鉴权缓存读取 鉴权缓存读取 用户在首次登录权限管理平台或基于服务集成的业 务应用时 需要通过接口服务到数据库进行查询操作 操作完成后 会将查询 信息缓存到缓存服务当中 当用户再次登录时 接口服务不需要到数据库进行 查询 直接到缓存服务读取缓存信息 这种方式可以提高系统响应速度 2 2 数据更新同步 数据更新同步 接口服务将用户在权限平台的数据操作一方面更新到 数据库 另一方面通信消息服务将数据更新到集成的业务应用 采用同步适配 器方式集成的系统 3 3 刷新客户端缓存 刷新客户端缓存 为提高鉴权效率 统一权限平台系统在基于服务模 式集成的业务应用客户端缓存用户权限信息 当用户在权限管理平台更新用户 信息时 接口服务通过消息服务中间件更新客户端缓存 4 4 审计事件 审计事件 消息服务将权限管理平台的用户数据操作记录通过消息服 务中间件写入审计数据库 2 4 统一认证 统一认证 ISC SSO 统一认证组件主要完成对用户在登录业务系统时的身份验证工作 主要包 括统一认证管理 单点认证 Agent ISC SSO AGENT jar 目录服务 LDAP 服务 缓存服务四个部分构成 其架构关系如下 7 20 统一认证架构设计 1 统一认证管理主要对外提供认证服务以及单点登录 SSO 管理功能 随着 未来统一认证接入业务系统的增多 统一认证管理部分压力将随之增大 其访 问情况相对其它组件承受压力最大 2 单点认证 Agent 组件主要为业务系统提供用于单点登录的组件 其功能 负责与统一认证管理的认证通信 通信链路支持 SSL 3 目录服务用于存储进行单点认证的用户数据 主要包括用户名 密码等 用户基本信息数据 采用扁平存储结构 提供用户数据获取效率 4 缓存服务主要用于存储用户通过统一认证后的身份安全信息 通过缓存 方式提升下一次用户单点认证的效率 注 注 统一认证默认情况下 连接目录 LDAP 服务 验证用户身份信息 在测试期间可 以直接配置连接自身的 Oracle 数据库验证用户身份信息 8 20 2 5 审计服务 审计服务 ISC AS 审计服务是统一权限平台系统的安全组件 通过审计服务可以接收统一认 证和接口服务模块的审计事件 消消息息服服务务 ISC MS 审审计计服服务务 ISC SAS ISC SAS 审审计计队队列列 数数据据库库服服务务 Oracle 审审计计事事件件数数据据传传输输 接口服务 审计事件读取 队列模式 统统一一认认证证 数数据据库库写写入入 2 6 数据同步服务 数据同步服务 ISC SYNC ADAPTER 数据同步服务主要针对采用同步适配器方式进行集成的业务系统 主要指统 一权限 V1 0 集成的各系统 权限平台管理员 权限管理平台 授权操作 9 20 接口服务 消息服务 数据同步服务数据同步服务 业务应用接口 业务应用 数据库 用用户户 权权限限管管理理平平台台 ISC MP 系系统统接接口口服服务务 ISC SM isc sm war 消消息息服服务务 ISC MS 数数据据同同步步 V1 0集集成成应应用用系系统统 数据库 应用系统同步接口 应用系统厂商开发 授授权权 数数据据同同步步服服务务 ISC DM isc dm war 数数据据同同步步 列列模模式式 数数据据同同步步 队队列列模模式式 操操作作 Web应应用用服服务务 数数据据同同步步服服务务模模块块工工作作机机制制 isc mp war isc ms war 数数据据同同步步 2 7 统一认证代理 统一认证代理 ISC SSO AGENT 统一认证代理是业务应用系统 Web 服务的客户端插件 它的作用主要包括 两个方面 1 1 首次登陆重定向首次登陆重定向 通过在客户端配置本插件 当用户首次登录业务应用时 将用户访问请求 重定向至统一认证服务模块 ISC SSO 完成用户登录验证 2 2 身份校验 身份校验 10 20 对于已经完成统一认证服务身份认证的用户 传递解析身份票据信息 验证用户身份信息 2 8 鉴权代理 鉴权代理 ISC SM AGENT 缓存服务 缓存服务 ISC CS 鉴权代理鉴权代理服务主要服务于权限管理平台模块和通过服务模式集成的业务应用系统 当用户完成身份认证登录系统后 通过鉴权代理 鉴别用户的权限信息 加载系统各项功能菜单 缓存服务缓存服务主要有两个作用 1 统一认证身份信息缓存统一认证身份信息缓存 当用户经过统一身份认证服务验证身份信息时 统一认证服务需要建立到 数据库的连接 LDAP 连接或 JDBC 连接 进行用户身份信息校验 通过缓存服务 统一认证服务将用户的身份信息从放入缓存服务器中 当 用户第二次验证身份信息时 可以直接读取缓存服务的用户身份信息 提高系 统响应速度 2 用户鉴权信息缓存用户鉴权信息缓存 当用户登录权限管理平台或通过服务模式接入的业务应用时 需要系统接 口服务到数据库加载用户的权限信息 例如 功能菜单等 通过缓存服务 系统接口服务将用户的权限信息放入缓存服务器中 当用 户再次登录本业务应用时 可以直接读取缓存服务的用户权限信息 提高系统 响应速度 11 20 数数据据库库服服务务 统统一一认认证证服服务务 ISC SSO isc sso war 系系统统接接口口服服务务 ISC SM isc sm war Oracle 目录 LDAP 缓缓存存服服务务 ISC CS 统一认证用户缓存 鉴权缓存 鉴鉴权权 更更新新 读读取取鉴鉴权权缓缓存存 缓存读取 缓缓存存服服务务工工作作机机制制 注 注 统一权限缓存服务是通过 Memcached 缓存服务实现的 2 9 UAP 身份和审计模块 身份和审计模块 ISC MANAGE 工单模块 工单模块 ISC WORKFLOW 基于 UAP 平台开发身份管理模块 基于 uap 和 bpm 提供流程服务和流程审批的模块 重要说明 重要说明 1 统一权限只能通过组织角色对用户进行授权 授权后同步数据会将用户的统一权限只能通过组织角色对用户进行授权 授权后同步数据会将用户的 组织信息和对应的角色信息推送到业务系统中 组织信息和对应的角色信息推送到业务系统中 2 与统一权限集成后 业务系统新建用户由同步接口完成 不再由用户自己与统一权限集成后 业务系统新建用户由同步接口完成 不再由用户自己 12 20 创建 门户只保留点亮业务系统图标功能 不再向业务系统推送用户 创建 门户只保留点亮业务系统图标功能 不再向业务系统推送用户 3 系统管理员 系统管理员 必须拥有该系统的管理角色和统一权限的使用角色必须拥有该系统的管理角色和统一权限的使用角色 才能登 才能登 录统一权限平台给地市管理员或者普通用户授权 系统管理员只能授该系录统一权限平台给地市管理员或者普通用户授权 系统管理员只能授该系 统的管理权限 授权成功后联系统一权限平台管理员统的管理权限 授权成功后联系统一权限平台管理员 还需拥有权限平台 还需拥有权限平台 的使用权限 的使用权限 4 用户授权操作是否成功可在同步结果监控中查看用户授权操作是否成功可在同步结果监控中查看 3 权限管理 权限管理 3 1 业务角色维护 业务角色维护 3 1 1 新增业务组织角色 权限管理 业务角色维护 业务概览 业务角色分 组列表 选择业务角色分组 新增 3 1 2 填写表单 xxx 管理 角色类型 管理 可以授权 13 20 3 1 3 给新建的业务角色授权 点击权限变更 3 1 4 填写授权的表单 资源里显示 主菜单 展现下级 选择要授权的资源 3 1 5 下级菜单展现后 勾选资源 注意 一定要先选择主资源 再选择下级 资源直至末级资源 完成后点击图中绿色标记可以直接回退到该资源 再次选 14 20 择其他的资源 最后保存即可 3 2 组织角色维护 组织角色维护 3 2 1 新