统一身份认证系统需求.docx

目录1业务概述21.1业务背景21.2业务目标21.3业务范围21.4专业术语说明31.5关联业务需求31.6整体计划32业务需求42.1统一认证43性能需求53.1系统响应时间53.2容量支持要求51 业务概述根据公司建立统一认证系统的总体目标，针对现有工程系统和办公系统，和正在规划中的系统，做了充分的需求调研，最终确定了现阶段统一认证系统的具体要求,形成了本需求内容。1.1 业务背景现阶段，公司信息系统正处于快速建设系统的阶段，各应用系统都拥有各自的用户管理及权限管理，用户登录各系统时需切换不同的身份方可进入相应的系统，给用户带来极大的不便，也给IT运营维护带来极大的困扰。另外，随着公司各项业务的关联性不断增强，各应用系统之间的基于用户身份的数据集成因此受到阻碍。为了解决这一问题，建立统一认证系统提上日程。统一认证管理系统，可提供可靠统一用户登陆、用户认证等功能，它可以在不改变现有基础结构的情况下，对现有的系统进行集成，也能适应各种未知系统的集成。1.2 业务目标建立统一认证系统是IT规划的总体目标之一，目的是为了使得现有系统的用户信息重复混乱、用户重复登录体验差的现状得以改变，也为新规划的系统建立统一的认证标准。总体目标：建立完善的统一认证系统，实现企业内系统的集成，提供可靠的、可管理的统一认证服务。主要建设目标有： 建立统一认证系统，提供统一身份认证服务； 实现系统的统一认证集成；1.3 业务范围1范围主要包含用户登录模块、用户管理模块、代理认证模块、服务管理与验证模块、系统管理模块。使用部门用户登录模块，公司全体员工使用；其他模块，信息中心维护人员使用；服务对象各个集成统一认证的系统1.4 专业术语说明序号术语/ 缩略语全称和解释1UIA统一身份认证(Unified identity authentication)2SSO单点登录(Single sign-on)1.5 关联业务需求序号关联业务需求需求内容描述1231.6 整体计划序号阶段计划完成时间1需求确认2012年8月2完成统一认证系统2012年11月3完成SSO集成2012年12月4.2 业务需求2.1 统一认证2.1.1 业务需求描述 总体目标建立统一认证系统的目的就是使分布在一个企业内部的各个异构系统的认证工作集中在一起，通过一个公用的认证系统统一管理和验证用户的身份。在SSO Server上认证的用户将获得SSO颁发的一个证书，使用这个证书，用户可以在承认SSO证书的各个系统上自由穿梭访问，不需要再次的登录认证。 建立统一身份认证系统的愿景： 建立一个易用的、能跨不同Web应用的单点登录认证中心； 实现统一的用户身份和密钥管理，减少多套密码系统造成的管理成本和安全漏洞； 降低认证模块在IT系统设计中的耦合度，提供更好的SOA设计和更弹性的安全策略 总体要求l 目前的现状：目前公司内容系统主要分为工程系统和办公系统两大块，这些系统主要涉及技术平台分别为Java、.Net，大多数系统基于Active Directory域认证，一部分核心业务系统基于用户认证或混合认证。l 系统设计总体要求 能够很好的支持Active Directory认证； 能够支持用户名、密码混合认证； 凭据要求符合一定标准， 如SAML，以便能够更好的支持一些基于Java平台的工程应用系统，如Oracle Primavera P6； SharePoint门户支持改变SharePoint认证方式将会对会影响门户的功能，如Office集成功能，要求保持现有用户体验. 验证流程 功能描述.1 用户登录l 统一用户登录 用户登录各集成单点登录的应用系统时，统一跳转到Web SSO Server登录窗口，登录完成后返回应用系统，并在客户端浏览器中生成凭据信息。 要求支持多语言：中文、英语l 界面.2 用户管理l 用户以域用户为主,支持AD用户同步和映射；l 支持和公司现有工作流系统、组织结构系统用户同步（是从AD同步的）现有用户和组织架构是以工作流平台为准的，工作流平台中的用户是从域中定时同步过来的。要求能够和工作流系统的用户信息集成或同步。l 支持非域用户的用户名密码管理临时用户或外来人员没有域帐号，只有工号或用户名，可以通过用户名或工号开特定系统的权限，需要能够对这部分用户管理起来。对于非域用户，能够单独设定密码，并能修改密码加密、过期策略..3 代理认证l 托管个人用户凭据对于不能实现凭据共享的系统，要能够从单点登录系统中获取密码，提交给该系统自己验证，如基于POP3的邮件帐户。可由用户设定,也可在第一次访问时存储。一些集成困难的应用系统，还可以采用此功能，用脚本注入用户名、密码，post提交登录，实现登录集成。l 服务凭据托管能够管理应用系统、服务之间集成访问的凭据。对于应用系统之间的数据集成验证要求，可以管理访问凭据，ESB平台将会使用到该功能。.4 服务管理与验证l 需求描述 能够注册和管理受信任的需要集成SSO的应用系统； 能够注册和管理需要进行托管服务凭据的服务； 只有注册并开启验证功能的系统和服务才能通过验证；没有注册过的系统试图验证，跳转到指定错误页面或登录页面，并给相应提示，防止循环验证。l 界面.5 系统管理l 系统设置 AD服务器地址配置 用户同步策略配置 能够对凭据的有效期进行设置 能够设置用户同步策略 能够设置用户密码策略、密码过期策略、错误重试次数l 审计功能 用户登录日志查询 集成要求l SSO-Server提供的三个验证服务接口（web服务URL）： 用户登录URL，形如 https:/casserver/cas/servlet/login 用户凭证校验URL，形如 https:/casserver/cas/servlet/validate 用户登出URL，形如 https:/casserver/cas/servlet/logoutl Java系统 提供基于Java Servlets的SSO Filter ，用来拦截用户请求 通用Java API Object，用来验证用户名、密码或票据l .Net系统 提供SSO Http Module，用来拦截用户请求，便于应用集成 提供基于SSO 的Membership Provider，便于应用集成 提供.Net API ，用来验证用户名、密码或票据2.1.2 重要规则及公式说明统一认证系统集成要求：序号系统技术平台现状认证模式1采购质量监造系统java使用中FORM认证，AD和数据库混合2企业协同平台SharePoint2010使用中Windows认证，集成AD3工作流程平台.Net使用中Windows认证，集成AD4员工假期管理系统.Net使用中Windows认证，集成AD5工作文件共享documentumjava使用中FORM 认证，集成AD6文件管理系统documentumjava使用中FORM 认证，集成AD7人工时.Net使用中FORM 认证，集成AD8月度绩效.Net使用中Windows认证，集成AD9出差管理系统.Net待开发Windows认证，集成AD10金雨商旅服务系统.Net开发中Windows认证，集成AD11会议管理系统.Net开发中Windows认证，集成AD12综合计划管理系统.Net开发中Windows认证，集成AD注： 以上系统都有源代码 企业信息门户基于SharePoint，如果能够实现，请明确是否影响SharePoint功能的影响及影响的范围2.1.3 权限定义权限级别分为管理员和普通用户，管理员可以登录后台管理系统，进行日常维护与管理，普通用户可以修改个人用户信息和密码。 基于AD认证的用户密码仍然由AD统一管理。2.1.4 使用频度由于单点登录服务是平台性系统，大多数系统都基于该系统进行用户的身份验证，使用频度较高，尤其是每个工作日开始的时段。2.1.5 优先级请选择其一： / 优先级原因高 中 低单点登录服务是大多数系统都需要用到。注：高：监管、公司战略、新产品；中：影响公司对客户服务、影响业务的正常开展；低：其他。2.1.6 非功能需求l 性能要求统一认证系统要求能够通过配置实现负载均衡群集或支持分布式部署，从而保证系统的可用性和性能。 负载均衡群集由于未来大多数系统都将通过Web SSO系统验证身份，特别是上班高峰期间，要求能够满足至少两个节点的负载均衡群集。 数据缓存各个应用系统在验证用户信息、权限信息时，数据库访问IO压力很大，为提高效率，应合理使用Cache，如Member Cache，App Fabric 等。l 可靠性要求实现了单点登录后， Web SSO出现故障将影响所有系统的登录，需通过群集或分布式技术确保该系统的可靠性。l 兼容性要求 系统集成要兼顾java系统和.net系统； 界面要支持IE7.0及以上；l 操作的便利性 在界面设计上应考虑操作的便利性和界面的友好性，便于用户对系统的理解和操作；l 维护性 系统架构合理，便于系统的维护与扩充； 开发代码严格按照编程规约执行，提交代码的可读性；l 安全要求 为了系统集成安全，统一认证系统返回凭据信息应加密传输； 在统一认证系统上注册过的系统才能获得统一认证支持； 统一认证系统能够支持SSL;l 完整性和连续性需求