统一身份管理和认证项目POC测试方案_发公司

统一身份管理和认证项目 POC 测试方案测试方案 我行测试小组成员名单 我行测试小组成员名单 开发中心 研发四处 周柏佯 统一身份管理和认证项目 POC 测试方案 第 2 页 共 12 页 封面封面 2 附页 附页 编写人编写人周柏佯周柏佯审核人审核人 确认人确认人归档人归档人 发布范围发布范围总行信息技术部总行信息技术部发布日期发布日期 文档修订历史文档修订历史 版本号版本号 修订修订 日期日期 发布发布 日期日期 修订人修订人审核人审核人确认人确认人归档人归档人修订说明修订说明 V1 0120215120316 周柏佯初稿 V1 1141208141208 周柏佯修改封面 测试计划 广发银行信息技术部 统一身份管理和认证项目 POC 测试方案 3 目目 录录 POC 测试方案 1 一 概述 4 1 1背景 4 1 2测试原则 4 1 3测试目的 4 1 4测试方法 5 1 5术语与缩写 5 二 测试计划 5 三 业务场景设计 6 四 具体测试内容 7 4 1身份管理测试 7 4 1 1 主要功能 主要验证用户帐号生命周期管理 7 4 1 2 基本实例 9 4 2访问管理测试 11 4 2 1 主要功能 主要验证认证 单点登录服务 11 4 2 2 基本实例 11 4 3性能压力测试 12 4 3 1 测试目标 验证 LDAP SSO Server 性能 12 广发银行信息技术部 统一身份管理和认证项目 POC 测试方案 4 一 一 概述概述 1 1 背景背景 统一身份管理和认证项目已完成产品商调研 为了更好地选择一个性能 功能 可扩展性均满足需求的基础平台 我行在启动集中身份管理平台实施之 前 决定对集中身份管理平台产品进行一次针对性的 POC 测试 参与本次 POC 测试的厂商包括 1 2 测试原则测试原则 参考业界对集中身份管理系统的基准测试方法论 厂商在测试过程不能 对测试用例处理逻辑进行修改 为使不同厂商平台上测试配置的硬件环境应具备可比性 配置以已提交 的技术建议书为基础 为能充分发挥各数据库平台的性能 在合理和公平的前提下 可由各原 厂商的专家进行适当的调优工作 参与测试人员应坚持客观 公平 公正的原则 严格遵守测试纪律 协 同完成各项测试任务 并注意做好保密工作 未经广发银行许可 任 何人不得擅自披露有关的测试情况和数据 1 3 测试测试目的目的 由于项目时间有限 测试内容较多 考虑到测试本身的不可穷举特性 本 次测试目的主要集中在以下几点 1 功能测试 a 验证产品实现身份管理功能 对接入系统实现身份管理功能 包括账号管理 增删改 账号同步 工作 流 自助管理 管理界面等 b 验证产品实现访问管理功能 广发银行信息技术部 统一身份管理和认证项目 POC 测试方案 5 对接入系统实现单点登录功能 基于 LTPA 基于 HTTP Header WebServices Form SSO 等 2 压力测试 对单点登录系统 SSO 进行大规模并发的压力测试 以预测产品在测试 环境的配置下中 对大用户量和高负载情况下的承受能力 验证性能指标 1 4 测试方法测试方法 1 为避免上一个测试场景的缓存对下一个测试场景做成影响 在执行每个测 试场景前 先清理缓存或者重启 2 各厂商均在广发银行制定的测试环境进行测试 以确保测试过程的公平公 正客观 并确保最终的测试结果公正有效 1 5 术语与缩写术语与缩写 术语 缩写解释 LDAPLight weight Directory Access Protocol 轻量目录访问协议 MACMessage Authentication Code 消息验证码 RDBRational Database 关系数据库 SSLSecure Sockets Layer 加密套接字层 SSOSingle Sign on 单点登录 IAMIdentity and Access Management 身份和访问管理 二 二 测试计划测试计划 POC 测试的阶段和分工如下表 各阶段计划广发银行厂商时间 确定测试方案负责配合提供资料 确定测试计划负责配合提供资料启动准备阶段 硬件平台准备负责配合提供资料 广发银行信息技术部 统一身份管理和认证项目 POC 测试方案 6 软件平台准备N A负责 测试数据准备负责N A 测试案例准备负责N A 测试脚本准备审核负责 测试演练审核负责 产品测试 测试时间为 月 日 月 日 测试准备阶段安装配置监督负责 用户管理测试负责配合 单点登录测试负责配合具体测试阶段 性能测试负责配合 三 三 业务场景设计业务场景设计 为验证产品能满足我行关键业务功能 本次 POC 测试将模拟新员工从入 职 自动供应账户 审批 应用权限变化 到离职 包括用户自服务 密码 服务等一整套流程 四 四 具体测试内容具体测试内容 本次测试包含用户管理测试 单点登录测试 性能测试等几个方面的测试 内容 测试顺序基本如下 1 身份管理测试 2 访问管理测试 3 性能压力测试 4 1 身份管理测试身份管理测试 4 1 1 主要功能 主要验证用户帐号生命周期管理主要功能 主要验证用户帐号生命周期管理 功能名称功能名称是否具备是否具备效果效果 1 用户账号自动创建和注销用户账号自动创建和注销 新员工账号创建和信息初始化 离职员工账号禁用 注销 广发银行信息技术部 统一身份管理和认证项目 POC 测试方案 7 已有员工的信息变更 员工信息变化的审批工作流 2 用户信息维护用户信息维护 可以定义不同类型的用户 如行内员工 外 包人员 临时人员等 可以将各维度的组织机构作为用户的属性值 进行维护 对不同类型的用户 系统可以设定不同业务 规则 系统可以根据用户类型的不同 将用户加入 到对应的组中 对于不通过 HR 中维护的用户信息可以通过 身份管理提供的界面进行创建 维护 通过统一用户管理集中平台进行用户信息维 护工作 用户信息维护可以根据组织机构进行分权分 级授权管理 统一用户集中管理平台的展示风格可以根据 企业文化特点进行定制 统一用户集中管理平台可以对 LDAP 进行组 的创建 删除管理 3 自服务门户自服务门户 最终用户能够通过自服务门户查看自己的基 本身份信息和授权访问信息 最终用户能够通过自服务门户用于更新指定 的自身信息 最终用户能够通过自服务门户重置密码 授权管理员能够通过自服务门户更新用户的 指定信息 支持动态口令自维护功能 自服务界面可以根据企业特点进行显示风格 定制 4 统一授权视图统一授权视图 提供按照用户组织的集中授权视图展示用户 在用户身份管理系统中访问各信息系统的授 权信息 5 统一密码策略统一密码策略 提供规范的密码策略 如密码的长度 字符 的范围 更换的频度等 允许为不同应用定义不同的密码 集中提供更改应用账户密码的服务 能够有效地保护密码在传输过程中的安全性 用户第一次创建时可生成随机密码 并通过 广发银行信息技术部 统一身份管理和认证项目 POC 测试方案 8 邮件通知用户 6 身份信息同步身份信息同步 能够自动侦测 自动同步 能够支持多种驱动方式的同步 如时间驱动 事件驱动 同步策略应多样灵活 即能满足不同用户 也能满足不同应用系统的需求 7 相关联动系统相关联动系统 支持和短信平台联动 能够和邮件平台联动 8 操作日志审计操作日志审计 所有变更操作能够记录日志 并提供多种格 式报表展示 可以根据信息用户管理里的业务数据进行有 针对性的定制报表 4 1 2 基本实例基本实例 4 1 2 1 实例实例 1模拟用户入职模拟用户入职 目标模拟从 HR 中获取用户身份信息 作为主数据信息 过程1 假定从测试环境人力资源管理系统导出格式为 cvs 的用户信息 user cvs 作为 HR 提供的用户身份信息 2 以 user cvs 为蓝本 完成用户账号创建和信息初始化工作 效果 4 1 2 2 实例实例 2模拟自动供应账户模拟自动供应账户 目标模拟 HR 新增用户 在 IM 系统建立新的用户账号 并自动同步到 AD 域 或 Exchange 邮件 中 过程1 在 user cvs 内新增一条用户记录 模拟 HR 新增用户 2 IM 系统内会自动为新增用户创建用户账号 3 授权新增用户能够使用用户管理系统 4 通过 IM 所提供的适配器从 IM 系统将该用户同步到 AD 域 并开通 Exchange 邮件 效果 广发银行信息技术部 统一身份管理和认证项目 POC 测试方案 9 4 1 2 3 实例实例 3模拟含审批流程的供应服务模拟含审批流程的供应服务 目标模拟 HR 新增用户 在 IM 系统建立新的用户账号 申请同步到 柜面终端系统 或 商业汇票系统 的帐号信息 要求经过业务主管 IT 主管的审批后才能开 通 过程1 在 user cvs 内新增一条用户记录 模拟 HR 新增用户 2 IM 系统内会自动为新增用户创建用户账号 3 用户申请 柜面终端系统 或 商业汇票系统 的帐号信息 系统会自 动触发工作流用于审批 4 相关主管登录 Console 审批该流程 看其该账户是否能够在对方应用 开通 效果 4 1 2 4 实例实例 4模拟用户离职服务模拟用户离职服务 目标模拟 HR 禁止用户 在 IM 系统内禁止帐户 该账户在其他应用中的帐户将自动 禁止 过程1 在 user cvs 内设置用户状态为 disable 模拟 HR 禁止用户 2 IM 系统内会自动为禁止该用户账号 3 按照定义的同步规则 将该用户身份信息从其他应用中删除 效果 4 1 2 5 实例实例 5模拟用户在应用权限变化模拟用户在应用权限变化 目标模拟用户在 柜面终端系统 或 商业汇票系统 中的角色发生变化 IM 中用 户属性的变动 过程1 用户在 柜面终端系统 或 商业汇票系统 中角色发生变化 2 触发数据同步 将用户新的角色信息发送给 IM 3 IM 调整用户的角色属性值 效果 备注1 在粗授权原则下 IM 只要定义用户允许访问的应用系统即可 在 IM 内不需 要为会应用系统的角色信息 在这种情况下 应用系统使用统一用户管理平 台的原则是屏蔽自身用户管理 但保留角色管理 原则上讲 组织机构管理 角色管理 用户的身份信息 授权信息都统一在 IM 内管理 应用系统只是透明享受这些服务 4 1 2 6 实例实例 6用户自服务用户自服务 目标用户自服务画面 过程1 通过产品缺省提供的自服务界面或实施定制的自助服务界面提供的界面 允 广发银行信息技术部 统一身份管理和认证项目 POC 测试方案 10 许用户查看自己的身份信息和授权信息 2 用户账户生成后 自动将系统产生的随机密码发送到指定的邮件中 3 该用户利用该密码 第一次登陆时 要求强制修改密码 并设置 Challenge Question 回答 为将来提供用户密码遗忘服务做准备 4 允许用户通过自服务画面修改指定属性信息 信息修改后 系统管理员审批 后自动提交服务 5 允许用户通过自服务画面修改 重置密码 效果 4 1 2 7 实例实例 7用户密码服务用户密码服务 目标用户密码策略 过程1 定义用户密码策略 2 允许应用系统自身保留用户密码 且可以和身份认证库密码不同 效果 4 2访问管理测试访问管理测试 4 2 1 主要功能 主要功能 主要验证认证 单点登录服务主要验证认证 单点登录服务 功能名称功能名称是否具备是否具备效果效果 1 认证门户认证门户 为辖内应用提供统一的登陆和退出界面 展现 SSO 应用服务列表 提供强认证入口 2 认证服务认证服务 要求支持多种认证方式 如密码 数字证书 智能卡 或指纹等 授权策略能够灵活定义 用户身份认证库和 IM 的关系 用户认证策略库和 IM 的关系 用户授权策略库和 IM 的关系 支持 B S 模式的应用 支持 C S 模式的应用 支持 windows AD 广发银行信息技术部 统一身份管理和认证项目 POC 测试方案 11 4 2 2 基本实例基本实例 4 2 2 1 实例实例 1访问服务器授权策略访问服务器授权策略 目标建立用户身份信息库 用户授权策略库 过程根据 IM 内的信息 建立用户身份信息库 拥护授权策略库 效果 4 2 2 2 实例实例 2与与 AD 域单点登录集成域单点登录集成 目标用户登录到 Windows AD 域 与应用实现 SSO 集成 过程1 用户登录到 MS AD 域 然后访问项目管理工具 B S 应用实现 SSO 效果 4 2 2 3 实例实例 3B S 应用的典型测试场景应用的典型测试场景 目标支持 B S 应用模式 过程1 利用身份管理平台所创建的账户 单点登录到 B S 的 商业汇票系统 应用 2 将其应用设置不同安全级别 论证先访问高级别应用可单点登录到底级别应 用 先访问低级别的应用再访问高级别应用 需要再次验证 效果 4 2 2 4 实例实例 4C S 应用的典型测试场景应用的典型测试场景 目标支持 C S 应用模式 过程1 选择 柜面终端系统 作为测试目标 利用相关产品实现用户对 柜面终端 系统 的单点登录服务