智慧海港园区-统一权限管理服务平台规划设计方案

1、- -智慧海港统一权限管理服务平台规划设计方案设计单位:建设单位:编制日期:目录 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 第一章项目概况-4 -建设目标-4-建设内容-5- HYPERLINK l bookmark10 o Current Document 第二章业务需求-6-1.月艮务对象一6-2.业务需求-6-3.功能需求-7 - HYPERLINK l bookmark18 o Current Document 3.1.统一的单点用户身份认证及管理-7 - HYPERLINK l bookmark20 o Curren

2、t Document 3. 2.统一的应用权限管理-8 - HYPERLINK l bookmark22 o Current Document 3. 3.统一授权管理-9 -3. 4.系统接口服务-10 - HYPERLINK l bookmark24 o Current Document 3. 5.审计和日志管理-10 - HYPERLINK l bookmark26 o Current Document 2.4.非功能性需求-11 -4. 1.性能需求-11 -2. 4. 2.安全需求-12 -4. 3.接 口需求-13 -第三章总体设计-15-1.应用模型-16-1. 1.使用场景-16

3、 - HYPERLINK l bookmark32 o Current Document 1.2.实现模式设计-20- HYPERLINK l bookmark34 o Current Document 1.3.用户生命周期管理-22-功能设计-27- HYPERLINK l bookmark38 o Current Document 2.1.统一用户管理的模型和标准-28- HYPERLINK l bookmark40 o Current Document 2. 2.统一用户信息管理平台-29- HYPERLINK l bookmark42 o Current Document 2. 3.统

4、一授权管理平台-32-2. 4.统一用户身份认证-34- HYPERLINK l bookmark46 o Current Document 2. 5.审计和日志管理-40-第四章数据库-42- HYPERLINK l bookmark50 o Current Document 人力资源管理系统-42- HYPERLINK l bookmark52 o Current Document 办公自动化系统-43-3.其他业务应用系统-44- HYPERLINK l bookmark56 o Current Document 第五章实施方案451.实施内容45实施标准465. 3.进度计划56 -第

5、一章项目概况港口信息化过程中将不断建设新的应用系统，以进一步提高信息 化的程度和水平。这些新建的应用系统都存在用户认证、管理和授权 的问题。在推进和发展信息化建设的进程中，港口拟通过统一规划和 设计，开发建设一套统一的用户信息管理、身份认证和授权管理系统。 利用此系统可以实现用户在门户一次登录、网内通用，避免多次登录 到多个应用的情况。此外，可以对港口内各信息应用系统的权限分配 和权限变更进行有效的统一化管理，实现多层次授权，审计各种权限 的使用情况，防止信息共享后的权限滥用，规范今后的应用系统的建 设。建设目标统一用户管理系统项目的总体建设目标是：建立港口信息系统的统一用户管理模型；为现存的

6、和即将开发的 各应用系统提供一个统一用户管理支撑平台，实现系统管理员在统一 用户管理系统单点完成各应用系统的用户管理和授权管理工作，无需 多处、重复进行用户管理和授权管理工作。对于新建的业务应用系统，依靠统一用户管理系统实现用户 的单点登录、网内通行的工作方式。对于现存的业务应用系统，在技术上可行的条件下依靠统一 用户管理系统逐步实现用户的单点登录、网内通行的工作方 式。12建设内容通过开发、建设下图所示的统一用户管理平台，提供下列主要功从内网门户借助统一用户身份管理系统单点登录到不同应用 系统。统一用户信息的管理界面，包括对新建的应用系统和现存应 用系统用户管理。管理人员可以通过管理界面浏览

7、、查询、 新增、维护用户信息。不同用户信息源与用户信息表之间的数据同步。与统一用户身份管理相关的Web Services访问接口。用户信息管理界面统一用户管理平台第二章业务需求21 服务对象港口统一用户管理系统的用户主要是系统管理员，包括门户及各 业务应用系统的系统管理员，借助该系统实现对各系统的用户进行统 一的用户信息管理，实现用户的统一认证。22 业务需求在港口的信息化建设过程中，将建设实施一些业务应用系统，如 办公自动化系统、辅助决策平台、港口运营管理平台、财务系统、设 备资产管理系统、运行数据管理系统、人力资源管理系统等，同时, 将建设内网门户系统，实现对相关业务应用系统的有效整合。这

8、些应 用系统可能将由不同的开发商在不同的时期釆用不同的技术建设的, 在使用过程中将出现以下一些问题：大多数都有自成一体的用户管理、授权及认证系统，同一用 户在进入不同的应用系统时都需要使用属于该系统的不同账 号去访问，这种操作方式为用户的使用带来许多不便。在门户系统建设中，实现了分布式门户的用户目录同步。但 门户系统提供的用户目录服务受门户系统的运行状况影响较 大，同时也制约了门户业务模型变换，影响门户后续开发。 所以需要提供一个使用简单方便、实用性强的用户管理工具, 便于管理员进行用户信息、权限的管理。- - -同时在信息管理方面，每新建一个应用系统，管理员都需要 在该系统上进行用户管理和权

9、限管理的操作，造成一些重复 性的工作。这些都会增加信息管理工作的负担，降低了系统 的稳定性，更重要的是降低了港口信息化体系的可管理性和 整体安全性。23 功能需求本次项目的建设就是基于对上述问题的分析，提出解决的办法, 从功能层面而言，主要实现以下功能：统一的单点用户身份认证及管理在统一的单点用户身份认证及管理方面，系统需要提供下列主要 功能：能够整合多种不同的身份认证方式：用户名/口令、动态令牌、 数字证书及今后可能出现的生物特征的身份认证方式。支持Ldap协议。支持多级分布部署和多级分布用户管理。支持应用开发接口。支持用户身份、用户属性、用户组、用户角色、用户策略、 授权和权限委托等功能的

10、管理，为统一权限管理系统提供底 层支持。支持C/S结构和B/S结构下的统一的身份管理。支持异构环境和异构系统，如Linu系统、Windows系统和Uni 系统。 支持 Web Services 应用。基于B/S的系统管理，管理员身份认证机制支持数字证书方 式。完善的审计功能，支持对用户行为的全方位审计。提供日志管理功能，支持统一的日志管理系统，包含用户访 问日志和系统运行管理日志。2.3.2.统一的应用权限管理在统一的应用权限管理方面，系统需要提供下列主要功能：基于上述统一单点用户身份认证管理，支持多种身份认证技 术，如数字证书、动态令牌、用户名/口令及今后的生物特征 等。支持单点登录系统。支

11、持Ldapo策略的表达和存储支持ML方式。支持统一部署，多级管理。支持对用户、资源、角色和策略进行管理。支持不基于属性证书的权限管理和基于属性证书的权限管理 并存的方式。支持基于B/S结构的系统管理和维护，支持管理员的数字证 书认证。支持系统管理事件的日志，符合统一日志管理和安全管理规 范的要求。2.3.3.统一授权管理通过开发、建设下图所示的统一授权管理平台，提供下列主要功 能：统一授权管理数据库。统一授权管理平台管理界面，包括对新建的应用系统和现存 应用系统授权管理。管理人员可以通过管理界面浏览、查询、 新增、维护授权信息。按角色的授权功能。实现分级授权机制。与统一授权管理相关的Web S

12、ervices访问接口。- - -统一授权管理平台统一授权管理界面系统接口服务系统接口主要包括以下几个方面：对用户信息（组织机构、人员、角色、权限及各种其他资源） 的查询接口。管理接口，包括对角色或人员进行授权，以及维护组织机构、 人员、功能、角色等。用户身份验证接口，判定某人在某应用系统中的身份合法性。权限验证接口，判断某人在某应用系统中是否属于某个角色、 是否具有某种操作的权力等。本系统将提供基本的编程接口， 在具体的应用中，可以在此接口基础上进一步开发相应的插 件（不同的应用系统有不同的技术形式）。审计和日志管理提供审计和日志管理功能，包括：集中的统一日志管理，包含用户访问日志和系统运行

13、管理日 志。符合统一日志管理和安全管理规范的要求。2.4.非功能性需求2.4.1.性能需求（1）时间特性排除网络的因素，从终端发出认证请求到信息反馈到终端的系统 平均反应时间最多不得超过两秒，尖峰时间不得超过三秒。（2）并发数并发的用户数达到500个。对于在10分钟之内与本系统无请求 的用户，系统应自动变为未连接状态。（3）稳定性1）鉴于本系统将成为港口网络服务连接的关键系统，因此，必 须实现7X24小时365天不间断工作，绝对保证系统的平稳运行。2）要求系统整体运行稳定，满足多用户并发使用要求，具有防 错、抗错能力，以保证各项工作的正常进行。3）系统运行过程中会与较多的其他系统发生数据交换，

14、因此， 本系统要能及时地检测到其它系统的故障，并进行相关处理；同时, 本系统的故障不应不影响其他系统的运行速度、效率、稳定性。4）特别地，本系统将定时读取人力资源管理系统用户数据，因 此本系统的运行应不影响人力资源管理系统的运行，同时也应不会因 人力资源管理系统运行中的问题而影响到本系统服务的延续性。2.4.2.安全需求（1）系统应保证数据的安全1）系统既要与其它系统有接口又要必须保证本系统的独立性和 完整性，即应防止未经授权的各类人员对本系统进行设置和修改或进 行有关统计。2）统一用户管理系统服务器软件必须提供可靠的数据备份和恢 复手段，在服务器软件、硬件出现严重故障时，能够根据备份的数据（

15、和帐户信息等必要的配套信息）迅速彻底地恢复正常运行环境。3）系统的用户信息管理相关模块，决定了港口众多系统的账户 安全性，必须保证统计数据准确、安全。用户信息应当提供完善的备 份和恢复措施。4）无论访问者帐户信息还是管理者帐户（身份鉴别）信息，都 必须提供完备手段由用户自行定义和备份保存，软件开发者不得在系 统中预留任何特殊帐户和密码。（2）系统应保证数据的传输安全1）系统应具备加密登录、数据加密传输等安全方面的保障，保 证数据在不同系统间传输过程中的保密性、安全性。- # - - -2）用户界面的安全性考虑：在界面上通过程序控制出错几率， 减少系统因用户人为的错误引起的破坏。开发者应当尽量周

16、全地考虑 到各种可能发生的问题，使出错的可能降至最小。（3）系统应保证系统的安全1）系统应具备加密登录、数据加密传输、数据存储等安全方面 的保障，以确保系统的安全性。2）系统是基于开放的操作系统平台和数据库上的，因此，要求 建立操作系统和数据库的安全保障体系，保证操作系统和数据库的安 全。3）对可能发生严重后果的操作要有补救措施。通过补救措施用 户可以回到原来的正确状态。对可能造成等待时间较长的操作应该提 供取消功能。4）对一些特殊符号和计算机代码的输入、与系统使用的符号相 冲突的字符等进行判断并阻止用户输入该字符。5）对错误操作最好支持可逆性处理，如取消系列操作。在输入 有效性字符之前应该阻

17、止用户进行只有输入之后才可进行的操作。2.4.3.接口需求统一用户管理系统的接口需求如下:人力资源管理系统用户数据A统一用户管理系统用户数据 君认证结果用户数据 V认证结果用户数据 召认证结果用户数据 V认证结果用户数据 谷认证结果门户系统办公自动化系统辅助决策平台口岸运营管理平台其他系统系统应具备与上述各系统进行有效连接的功能。由于各系统的需 求和开发时间上的不一致，因此，系统应提供公共的连接接口，同时， 系统也应能满足特殊接口的要求。对于港口现有应用系统，本系统应实现与此类系统的认证连接。对于港口未建应用系统，本系统应针对各个系统提供认证的标准 协议接口，以保证未来建设的应用系统与本系统顺

18、利实现认证连接。- - -第三章总体设计统一用户管理系统的系统结构如下图所示:系统主要由下列部分组成：用户单点登录数据库：存放用户单点登陆的相关信息。用户单点登录控制：对外提供Web Services接口，供应用程序查 询当前用户在该应用系统中的对应用户名和口令。用户管理模块：提供一系列用户管理界面，分别管理存放在统一 用户信息库中以及现存应用系统中的用户信息，并进行不同用户信息 源之间的数据同步。授权数据库：存放用户授权信息。这部分信息与用户帐号信息分 开处理，以增加系统的灵活性和可管理性。授权管理模块：主要包括组织结构及用户管理、应用程序权限设 置、用户授权管理。应用程序权限控制：对外提供

19、Web Services接口,供应用程序查 询当前用户是否有权限访问指定功能。31 应用模型使用场景统一用户管理用户：本系统的系统管理员。统一用户管理系统实施后，只需在人力资源管理系统中单点进行 组织机构和用户信息维护（增加、修改、浏览、查询、删除、迁移等）， 基于用户信息同步技术，人力资源管理系统用户数据库中的数据每天 同步到统一用户信息库，然后由统一用户信息库将用户信息分发到各 业务应用系统，相关业务应用系统的用户信息和基于用户角色等的用 户授权信息都能同步发生变化，并且能够立即生效，从而简化了用户 管理工作，避免了安全隐患的发生。应用系统的授权注册用户：本系统及相关应用系统的系统管理员。

20、统一用户管理系统实施之后，对于可以实现统一授权的应用系统, 首先需要把各应用系统的授权管理信息输入到本系统的相关数据库 中。这项任务可以通过应用系统或子系统向本系统进行注册的方式来 实现。在统一用户管理系统中，将提供两种应用系统授权管理的注册方 式：通过调用注册程序模块的接口进行注册通过统一授权管理系统的图形界面进行注册各应用系统通过上述注册方式向统一用户管理系统进行注册，将 各应用系统的授权管理部分或全部地委托给统一用户管理系统，从而 实现港口信息系统的统一用户管理和权限管理，以及全集团范围权限 信息的共享。应用系统、子系统或模块向统一用户管理系统注册的原理如下图 所示。.统一授权管理用户：

21、本系统的系统管理员。在统一用户管理系统环境中，用户对各应用系统的访问权限存放 在统一的权限信息库中。用户在访问应用系统的时候，应用系统通过 统一授权系统的接口去查询、验证该用户是否有权使用该功能，根据 统一用户管理系统返回的结果进行相应的处理。如下图所示：.独立授权管理用户：相关应用系统的系统管理员。在各相关应用系统对用户进行授权，应用系统的功能模块配置、 用户授权信息保存在应用系统自己的数据库中。用户身份的验证要通 过调用“统一用户权限Web Services进行处理；而用户权限的判断 由应用系统自己进行处理。同时，将部分授权信息推送给门户，当用 户通过门户访问应用系统时，用户权限的判断由门

22、户系统根据推送的 授权信息进行处理。.统一用户认证用户：相关应用系统用户。本系统实施后，用户登录门户时，首先调用统一的用户身份认证 服务进行用户身份认证；对于使用CA数字证书的用户，首先由CA 发放证书，并由管理员对此证书与统一用户信息库中的用户帐号进行 关联，这样用户可以用证书来登录门户。用户登录门户后，对各应用系统实现单点登录，在允许访问资源 内可以任意切换，而用户身份认证，各应用系统通过调用统一的用户 身份认证服务，是统一验证的，而不是在各应用中分别验证的。用户登录场景如下图所示:建立关一2用户3.1.2.实现模式设计从用户管理、权限管理、权限验证的角度，实现统一用户管理有 两种可以选择

23、的模式：统一用户管理、统一授权管理统一用户管理、独立授权管理统一用户管理、统一授权管理实现模式从用户管理、权限管理、权限验证的角度，在条件允许的情况下， 建议新建业务应用系统可釆用统一用户管理、统一授权管理的实现模 式。（1）概述用户的基本信息（用户注册名、姓名、密码等）统一保存在统一 用户信息库中；应用系统的功能模块配置、用户授权信息保存到“统 一用户权限系统”中；用户身份的验证、用户权限的判断统一调用“统 一用户权限Web Servicesn进行处理。应用系统不再建立自己单独的用户管理、权限管理模块。（2）应用流程用户注册：如果用户没有在统一用户信息库中注册，首先在 统一用户信息库中注册用

24、户信息（包括用户的登录名、姓名、 密码、所在组织机构等信息）。在“统一用户权限系统”中对用户进行授权，应用系统的管 - - 理员在“统一用户权限系统”中维护应用系统的功能模块， 并为用户授权。将用户信息分发到门户：如果门户用户要访问应用系统，门 户用户的注册信息必须与统一用户权限系统中该用户的注册 信息保持一致。如果该用户不在门户的数据库中，可以通过 门户提供的“从统一权限系统中加载用户”的功能，将用户 添加到门户的某单位下。如果用户只访问门户资源，可以在 门户中手工建立用户。应用系统Portlet封装到门户中：按照应用系统功能模块的层 次化组织方式，将应用系统功能模块的URL进行Portle

25、t封装, 挂接到门户的资源目录树中；最后通过门户的授权功能，将 Portlet的访问权限分配给门户用户。统一用户管理、独立授权管理实现模式对现存业务应用系统也可以采用统一用户管理、独立授权管理的 实现模式。(1)概述用户的基本信息(用户注册名、姓名、密码等)统一保存在统一 用户信息库中；应用系统的功能模块配置、用户授权信息保存在应用 系统自己的数据库中。用户身份的验证要通过调用“统一用户权限 Web Services进行处理；而用户权限的判断由应用系统自己进行处 理。应用系统具有单独的权限管理模块；应用系统中保存的用户信息 应该与统一用户信息库中的用户信息一致，但应用系统不保存用户的 密码；(

26、2)应用流程用户注册：如果用户没有在统一用户信息库中注册，首先在统 一用户信息库中注册用户信息(包括用户的登录名、姓名、密码、所 在组织机构等信息)。将用户信息分发到门户：如果门户用户要访问应用系统，门户 用户的注册信息必须与统一用户信息库中该用户的注册信息保持一 致。如果该用户不在门户的数据库中，可以通过门户提供的“从统一 权限系统中加载用户”的功能，将用户添加到门户的某单位下。如果 用户只访问门户资源，可以在门户中手工建立用户。将用户信息分发到各应用系统，并在应用系统中维护应用系统 自己的功能模块，为用户授权。应用系统Portlet封装到门户中：按照应用系统功能模块的层次 化组织方式，将应

27、用系统功能模块的URL进行Portlet M装，挂接到 门户的资源目录树中；最后通过门户的授权功能，将Portlet的访问权 限分配给门户用户。3.1.3.用户生命周期管理.新建用户如果有新员工加入，人力资源管理系统登记注册新用户；同时, 通过用户信息同步和授权信息传递，系统自动在与其相关的每个应用 系统中增加一套用户账号，并且能够快速生效（生效时间取决于用户 同步频率），从而简化了用户管理工作，避免了安全隐患的发生。通过人力资源管理系统登记用户基本信息，为该用户分配一个注 册名。该注册名是访问应用系统的用户名，只能包含大小写英文字母 和数字，并且是唯一的。用户注册名/帐号的编码规则按照排数集

28、团 统一用户帐号编码规范进行编码。在人力资源管理系统中新建完该用户后，该用户同时也是门户系 统用户，门户用户的用户名应该与用户信息库中该用户的注册名保持 一致。用户注册流程：如果一个用户要访问门户或者应用，而用户信息库中没有该用户, 或者该用户在用户信息库中必须的信息（如：用户简称、口令）不完 整，需要按该流程进行用户注册，如下图所示。- - -0 0DODOD 0 D D 0 0 0 D D 0 D D D D 0 DD 0 0 0 0 D 0 D 0 DODDO0 D 0 0 D 00 D 00 00 0 00 0 0D D 0(D 0 0 0 0 )DODOD DrTT D 0 0 Dm

29、oon一0 0 D 0 D D D 0 0 D D 0pb o o o0 0 0-D 0 0 0 D0 Q 0 0 D 0 Q D D 0 D 0 0（1）若该用户信息不存在，在人力资源管理系统中登记用户 信息，并同步到统一用户信息库；并自动成为门户的用户登录信息；（2）赋予该用户用户组、角色、级别等授权信息；（3）对各应用系统的用户信息进行同步，并对用户进行授权。a）遗留应用系统：若在应用系统用户数据库中，该用户信息不存在，在该应用系 统中新增一个用户：用户信息同步：UserID同用户信息库中用户UserID；动态随机生成一个密码，按照应用系统的规则，加密存储在应 用系统用户数据库和门户用户

30、/应用系统对照库中；用户组、角色、级别等授权信息传递；按照相应的约定规则实 现用户组、角色、级别等代码的转换。ii.若在应用系统用户数据库中，该用户信息UserID已经存在， 在该应用系统中更新该用户信息，但密码不变；b）新建应用系统：在应用系统用户数据库中新增一个用户：1 .用户信息同步：UserID同用户信息库中用户UserID；动态随机生成一个密码，按照应用系统的规则，加密存储在应 用系统用户数据库和门户用户/应用系统对照库中；用户组、角色、级别等授权信息传递（新建应用系统应遵循同 用户信息库采用统一的用户组、角色、级别等代码编码规则，不需要 进行代码转换）。.密码维护门户集成更改口令P

31、ortlet,供用户在门户中修改口令，如下图所 不O因用户在门户中所更改的口令，即为用户信息库中用户口令。对用户口令/密钥约定如下：应加密存储； 区分大小写;口令应有长度限制，如必须大于6位字母或数字；禁止任何人查询，但是可以允许用户改变自己的口令；用户第一次登录必须应强制更改口令；系统管理员可重置用户的口令，但用户下次登录时应强 制更改口令；口令拥有有效期如1个月，过期后，用户登录时应强制 更改口令。对应用系统的口令更改：对应用系统的口令更改，应通过应用系统所提供的口令更改功能, 输入原口令和新口令，进行口令更改；对于通过门户系统自动产生的对某个用户在应用系统中的口令， 一般不鼓励用户用该用

32、户名/口令直接登录该应用系统，而是应通过 门户登录该应用系统；若要进行应用系统的用户口令更改，则必须经 该应用系统的系统管理员对该用户口令重置，然后，用户再进行应用 系统的口令更改。.删除用户如果有员工离开单位，在人力资源管理系统中删除该用户信息的 同时，通过用户信息同步技术，在与其相关的每个应用系统中删除该 用户的一套用户账号，从而使得删除老用户能够方便地完成，并且立 即生效，从而简化了用户管理工作，避免了安全隐患的发生。删除用户流程:在人力资源管理系统中删除该用户信息；删除该用户在统一用户管理系统中的用户信息；删除该用户在门户中的相应用户信息，如门户与应用系 统之间的用户帐号映射库；基于用

33、户信息同步技术，删除该用户在各个应用系统中 的帐户信息。删除用户过程如下图所示。D 0 DD D 0 0 0 0 D D D 00 D 0 D D 0iTT o o o oD D 0 D D0 D D 0 0 D D 0 0 0D 0 00 0Q 0 D D 0 0 0 D 0 DD D 0 0 0 0 D 0 0 0D 0 0 00 D D 0 D D 0 0 0 DD D D D 0D DD 0 0 D D32功能设计港口信息系统的未来环境可能会比较复杂，有Windows、Uni、Linu等操作系统，以及在不同时期由不同开发商采用不同技术开发的 多种应用系统。实现统一的用户管理需要建立模型

34、、规范以及接口标准，这是本 建设项目中需要首先解决的问题。在建设一个完整的统一用户管理系统过程中，需要涉及新建的应 用系统，同时要对现存的应用系统进行部分改造，其中最大的障碍是 对现存的应用系统进行改造。特别是，有些现存应用系统可能由于技 术原因无法实现完全的统一用户管理。因此，在开发建设中我们将区别对待这两种不同情况，以减少风 险，增大成功率。统一用户管理的模型和标准在前述的方案设计中，已经提出统一用户的管理架构和授权模型。 在建设实施阶段中，将首先对港口现存的应用系统进行调研。在调研 的基础上，确定：统一用户帐号编码。按照统一用户编码规则对用户帐号进行编 码，以保证每个用户在内、外网环境中

35、有一个基于统一用户信息库的 统一和唯一的身份标识。用户权限管理模型设计，通过对用户的需求调研，并借鉴相关 成熟技术和产品，确定符合港口具体情况的用户权限管理模型。新建应用系统的统一用户管理规范、接口标准、管理界面功能；新建应用系统的统一授权管理规范、接口标准、管理界面功能；- - #- 哪些现存应用系统可以进行统一用户管理或授权管理，哪些不 可以；对每个可管理的现存应用系统，确定具体的用户管理方式、接 口标准和管理功能；对每个可管理的现存应用系统，确定具体的授权管理方式、接 口标准和管理功能；统一用户和统一授权管理的审计和日志管理规范。3.2.2.统一用户信息管理平台建设统一用户管理平台包括以

36、下主要方面。.统一用户信息库根据新建应用系统的统一用户管理规范，设计、建设一个统一用 户数据库。统一用户管理系统将采用数据库方式进行用户身份信息的存储， 系统支持将统一的用户信息存储于各大主流数据库中，如Oracle、DB2、 SQL Server Sybase MySQL等。统一用户管理系统同时支持将统一 的用户信息存储于LDAP目录中。本系统采用从人力资源管理系统的RDBMS用户数据库授权访 问的用户信息视图中读取用户数据，并在统一用户管理系统中建立统 一用户信息库，作为统一用户管理系统的统一用户信息存储管理库， 实现对用户信息管理和身份验证。基于用户信息同步技术，只需在人力资源管理系统中

37、单点进行增 加新用户、修改用户信息、或者删除老用户，人力资源管理系统用户 数据库中的数据每天同步到统一用户信息库，然后由统一用户信息库 将用户信息分发到各业务应用系统，相关业务应用系统的用户信息和 基于用户角色等的用户授权信息都能同步发生变化，并且能够立即生 效，从而简化了用户管理工作，避免了安全隐患的发生。统一用户目录、用户信息与各应用系统之间的用户信息交换体系 架构如下图所示。OA系统辅助决策平台口岸运营管理平台塚合管理系统3.22.2 统一用户信息管理系统根据新建的统一用户数据库结构以及统一用户管理的功能需求, 设计开发一个用户管理系统。该管理系统将提供：- - -浏览、查询、新增、维护

38、用户信息的管理界面；通过整合、重用现存应用系统中的管理界面，管理存放在现存 应用系统中的用户信息；调用用户管理接口进行不同用户数据源之间的同步。在“统一用户管理系统”中，通过“数据同步”的功能，将“统 一用户信息库中用户信息（包括用户的编码/登录名、姓名、所在 部门、岗位角色、专业、职称、手机、办公电话、家庭电话、邮件地 址等信息）自动同步给门户及相关应用系统，使港口员工在门户及相 关应用系统的用户信息与统一用户信息库中该用户的注册信息保持 致。用户信息同步频率为一天同步一次，次日生效；或手工触发即时 生效。与门户系统和CA系统进行集成，实现用户的统一身份认证。用户登录门户时，首先调用统一的用

39、户身份认证服务进行用户 身份认证；用户登录门户后，对各应用系统实现单点登录，在允许访问资源 内可以任意切换，而用户身份认证，各应用系统通过调用统一的用户 身份认证服务，是统一验证的，而不是在各应用中分别验证的。.统一用户管理接口根据新建应用系统的统一用户管理规范和接口标准，开发下列接口：用户信息查询接口（查询组织机构、人员、角色、在某应用系 统中的用户名和口令等，该接口是实现单点登陆功能的关键）。用户管理维护接口（维护组织机构、人员、角色等，该接口主 要用于实现不同用户数据源之间的同步）。用户身份验证接口。3.2.3.统一授权管理平台授权控制管理是建立在基于统一用户目录管理的基础之上，在统 一

40、信息资源目录的管理下对信息资源进行统一的授权。基于统一资源目录，对不同的资源进行授权：因通过统一资源目 录映射到各应用系统的功能模块或子系统中，从而在授权时，不用关 心该应用在什么位置，具体有什么内容和作用；只需根据灵活的授权 策略进行授权即可。建设统一授权管理平台包括以下主要方面。.统一授权数据库根据新建应用系统和现存应用系统的统一授权管理规范，设计、 建设一个统一授权数据库。统一授权数据库的结构将满足按角色授权 和分级授权的功能需求。对于拥有自身用户数据库的新建应用系统或遗留应用系统，因为角色/用户组/级别等用户权限身份标识信息，在门户用户目录数据和 应用系统自身的用户数据库都需要分别进行

41、存储；故而，对这类应用 分层次授权时，为了简化用户授权管理，希望能够在门户级对某个用 户授权的同时，系统自动将授权信息传递到应用系统，从而完成赋予 该用户对相关应用系统内部的授权。这样，当新建/修改/删除某用户信息时，通过用户信息同步交换 机制，该用户的角色、用户组、级别等用户类别标识信息可有效传递 到应用系统自身的用户数据库，从而间接实现了对该用户的基于用户 角色、用户组、级别等的授权控制。.统一授权管理系统根据新建的统一授权数据库结构以及按角色授权和分级授权管 理功能，设计开发一个授权管理系统。该管理系统将提供：浏览、查询、新增、维护授权信息的管理界面。统一授权系统将提供一套管理界面。管理

42、界面将包括新建的应用 系统权限管理界面、以及现存应用系统权限的管理界面。管理员可以 通过管理界面查询、新增、维护用户授权的信息。通过整合、重用现存应用系统中的授权管理界面，管理现存应 用系统中的授权信息。使用统一授权时，用户首先通过单点登录方式进入某应用系统。 当用户需要使用该应用系统的某一功能时，应用系统调用统一授权的 相应接口查询该用户是否具有使用该功能的权限。如果该用户已被授 - - - 予相应的使用权限，应用系统将允许用户进入该功能。否则，用户将 不能使用该功能。控制用户能否使用应用系统某项功能是由应用系统和统一授权 系统共同实现的。,统一授权管理接口根据新建应用系统和现存应用系统的统

43、一授权管理规范和接口 标准，开发下列接口：用户授权信息查询接口（查询组织机构、人员、角色、在某应 用系统中的权限等）。权限管理维护接口（维护组织机构、人员、角色、权限等）。权限验证接口，判断某人在某应用系统中是否属于某个角色、 是否具有某种操作的权力等。供应用系统进行授权信息注册的接口。3.2.4.统一用户身份认证用户登录门户时，首先调用统一的用户身份认证服务进行用户身 份认证；用户登录门户后，对各应用系统实现单点登录，在允许访问资源 内可以任意切换，而用户身份认证，各应用系统通过调用统一的用户 身份认证服务，是统一验证的，而不是在各应用中分别验证的。.用户登录门户用户输入用户名、密码登录门户

44、。门户系统查询门户数据库，判 断用户是否为从“统一用户管理系统”中加载的用户。如果是，门户 系统调用“统一用户身份认证 Web Service ”中的函数 checkUserByLogin,到统一用户信息库中判断用户是否合法。如果用 户是合法用户，函数返回用户令牌（一个随机字符串），做为用户身 份的标识；否则，提示错误信息。D DPorta 10 D如果用户为临时用户（不是从“统一用户管理系统”中加载的用 户），由门户系统直接验证用户的合法性。完成用户身份认证后，由 门户系统根据用户的权限对用户进行授权。用户身份认证流程图如下图所示:.用户通过门户访问应用系统在门户对应用系统整合的过程中将应用

45、系统Portlet封装到门户 中，具体过程如下：按照应用系统功能模块的层次化组织方式，将应 用系统功能模块的URL进行Portlet封装或应用系统的专用Portlet, 挂接到门户的资源目录树中；最后通过门户的授权功能，将Portlet的访问权限分配给门户用户。用户通过门户访问应用系统将主要分为统一用户身份认证和代理登录两种方式。(1)统一用户身份认证用户通过门户中对应应用系统的功能模块Portlet,访问相应应用 系统。Portlet传递给应用系统的参数有：用户令牌。应用系统根据接 收到的令牌，调用统一用户管理系统WebServices接口，对用户身份 进行确认；同时，统一用户管理系统返回给

46、应用系统该用户UserID 在应用系统中对应的用户标识AppUserlD (可相同)；应用系统根据 该用户在应用系统的用户标识AppUserlD登录相关应用功能模块，判 定该用户在该应用所拥有的权限。用户身份认证流程图如下图所示:优点：集成性强，安全性高。缺点：需要对应用系统进行修改。应用系统的修改主要是用户合法性的判断：应用系统判断用户合 法性不再是通过自己的登录页面，而是判断Portlet传递过来的用户令 牌是否为空。可选的，以用户令牌为参数调用“统一用户权限Web Servicew中的函数getUserLoginInfo,获取用户的登录信息。如果令 牌非法，函数访问值为nullo应用系统

47、可以将函数getUserLoginlnfo 返回的信息保存到Session中。(2)代理登录用户通过门户中应用系统的功能模块Portlet,访问相应应用系统。 在第一次访问时，Portlet将提示门户用户输入应用系统对应的用户名、 密码。当用户输入完成后，门户将负责安全保存用户在该应用系统对 应的用户名、密码。Portlet将模仿用户登录应用系统的方式，登录应 用系统。如果登录成功，将显示整个应用系统。用户在第二次及以后通过门户访问该应用系统时，则不需要再次 输入用户名和密码(除非应用系统本身已更改该用户的用户密码)， 门户会自动代理用户进行登录该应用系统。应用系统的权限控制由应用系统自己进行

48、处理。 # - -用户名、口令Portal fl 户应用系统优缺点：应用系统不需要修改。缺点：集成性差，安全级别相对低一些。3.2.5.审计和日志管理建设审计和日志管理子系统包括以下主要方面。.审计和日志数据库根据统一用户管理的审计和日志管理规范，设计、建设一个审计 和日志管理数据库。.审计和日志管理系统根据审计和日志管理数据库结构，设计开发一个审计和日志管理 系统。通过该管理系统用户可以浏览、查询、备份、清除审计和日志 信息。- - -第四章数据库根据新建应用系统的统一用户管理规范，设计、建设一个统一用 户数据库。统一用户管理系统将采用数据库方式进行用户身份信息的存储， 系统支持将统一的用户

49、信息存储于各大主流数据库中，如Oracle、DB2、 SQL Server. Sybase. MySQL等。统一用户管理系统同时支持将统一 的用户信息存储于LDAP目录中。本系统采用从人力资源管理系统的RDBMS用户数据库授权访 问的用户信息视图中读取用户数据，并在统一用户管理系统中建立统 一用户信息库，作为统一用户管理系统的统一用户信息存储管理库， 实现对用户信息管理和身份验证。人力资源管理系统人力资源管理系统需要开放部分数据库接口，该部分数据库接口 要满足下面的要求：包括用户、用户组织全部数据库表；对开放的数据库表的详细描述及技术咨询和支持。另外，为使人力资源管理系统与统一身份认证系统之间

50、的用户数 据同步更有效率和易于实现，建议在人力资源管理系统系统能够设置:最好有相关的用户信息更新时间标志字段；或可以用于标记数据是否被有效传输的数据标志位，可供统一 身份认证系统读写。办公自动化系统统一身份认证系统要求对办公自动化系统进行相应修改，主要包 括以下内容：用户数据同步要求：/因直接开放与用户信息相关的数据库表结构，由统一认证系统 去直接更新数据库，若办公自动化系统一旦出现问题，会导致双方责 任认定不清的问题；“建议：办公自动化系统按照标准格式提供相应的用户信息更新 WebServices接口；由统一身份认证系统通过调用该接口实现办公自 动化系统用户信息的更新同步。WebServic

51、es接口规范和标准由统一 身份认证系统提供。统一身份认证要求：办公自动化系统提供用户身份验证和功能 调转的接口，使得用户可以通过直接接收HttpRequest中的用户身份 认证信息而进行直接登录，并根据HttpReques中的功能信息直接跳 转到相应的功能页面。用户身份信息可以是直接的用户名+ 口令形式, 也可以是令牌形式，这由具体实现的时候来最终确定。 4.3 其他业务应用系统因其他业务应用系统还处于正在实施过程中，相对而言，对统一 身份认证系统更易于支持，对其他业务应用系统进行相应修改协作要 求主要包括以下内容：用户数据同步要求：其他业务应用系统按照标准格式提供相 应的用户信息更新WebS

52、ervices接口 ；由统一身份认证系统通 过调用该接口实现其他业务应用系统用户信息的更新。 WebServices接口规范和标准由统一身份认证系统提供。统一身份认证要求：其他业务应用系统提供用户身份验证和 功能调转的接口，使得用户可以通过直接接收HttpRequest中 的用户身份令牌信息而进行直接登录，并根据HttpReques中 的功能信息直接跳转到相应的功能页面。第五章实施方案51 实施内容本系统的建设采取定制开发的方式实现。序号内容详细内容工作量（人月）I项目调研需求调研与分析2详细设计系统概要设计和详细设计3系统定制开发(1)用户信息管理功能数据分发：用户数据同步分发体系的定制(2

53、)用户授权和认证功能对用户进行身份认证及授权访问的功能(3)应用系统数据接口应用系统修改：配合用户身份认证模 式的调整，修改现有的应用系统的身 份认证模块4系统部署、测试系统部署实施和联合测试5系统试运行6合计52实施标准统一用户产品选型规格要求:项目主要功能、性能指标基本要求用户帐户管理系统应自动从相关系统获取用户数据；无论是在本系统还是在相关系统修改用户数据，都应做到本系统与相关系统用户数据的同步；用户权限及资源分配管理用户的应用系统使用权限，均在本系统设置。权限的级别应分为个人、角色、组等，一位用户可以属于多个组， 具有多种角色的权限，一个角色也可以有多人同时担当。权限的设 置应提供缺省

54、、批量、个别等操作方式。权限是与资源相连的，系统内应有资源的列表和管理，并且能够増减资源。统一认证认证方式应支持：1）匿名认证方式：用户不需要任何认证，可以匿名的方式登录系统。2）用户名/密码认证。3）IP地址认证：用户只能从指定的IP地址或者IP地址段访问系统。4）PKI/CA数字证书认证：通过数字证书的方式认证用户的身份。根据应用系统使用许可可以对认证方式进行组合配置，并且可在选 定认证方式的基础上同时增加PKI/CA数字证书认证，以防止非法页 面的攻击，保证认证数据的安全有效。系统应能与已有的应用系统，以及将要建成或购买的应用系统实现统一认证，统一认证实现方法应切实可行。系统还应能实现与

55、国内外其它签有协议或对方许可的集团（机构）的认证中心实现互联。统一认证的过程应包括用户应用系统的使用权限的检查；统一认证的结果，应包括用户对各应用系统使用权限的说明。功能需求用户数据建立本功能描述系统建立用户数据的方式。一、批量从相关系统获取用户的数据；二、同步从相关系统获取用户的数据。批量导入用户数据系统提供对从相关系统导出的批量用户数据进行编辑整合入库的功能，提供提取数据范围和条件的可设置参数，提供数据提取任务的设置参数。系统应输出批量导入的处理报告。联机获取用户数据系统应能根据需要，自动从相关系统中获取本系统没有的而已在本系统中登录的用户的数据，进行有关的数据项目的抽取、判断和增加指定的

56、数据项目等处理。用户数据维护本功能描述维护本系统用户数据需具有的功能。包括用户网上自行 修改用户信息，以及系统或管理人员修改用户信息等内容。用户登录系统应提供用户登录页面。该页面应包括可供用户选择的用户名或条码号，密码可用软键盘输入，以及应有校验码项目等，并能够满足如下认证方式：1）匿名认证方式：用户不需要任何认证，可以匿名的方式登录系统。2）用户名/密码认证。3）IP地址认证：用户只能从指定的IP地址或者IP地址段访问系统。根据应用系统使用可以对认证方式进行组合配置，并且可在选定认证方式的基础上同时增加PKI/CA数字证书认证，以防止非法页面的攻击，保证认证数据的安全有效。系统应对用户输入的

57、数据进行验证，并釆用加密的方法发送到服务器。用户修改信息系统应提供用户信息修改页面，并校验用户的修改的信息，以及实际修改用户数据库数据。用户密码修改系统应提供用户密码修改页面，并检查新密码和校对密码数据，以及实际修改数据库中的密码。失去密码找回在确认用户身份后，系统应自动生成新的随机密码，并通过电子邮件方式向用户发送密码。管理员修改用户数据系统应允许有权限的系统管理员批量或个别修改、删除用户数据。数据删除只做标记，不允许物理删除，管理员能将数据从认证数据库表中移到历史库，也能从历史库还原数据。系统应提供检索功能，帮助管理员确定待修改的用户。资源与角色管理本功能包括系统包含的各种角色的设置、系统

58、所连接的资源的配置,以及资源与角色之间的对应关系的建立。资源管理系统应能灵活地配置系统认证涉及的各种应用系统，包括应用系统的个别或批量増加、修改、删除（需要确认没有角色拥有该系统权限）等操作。系统数据中，应包括允许便用的IP地址或IP地址段，以及认证方式的等要求信息。角色管理系统应能灵活地设置系统包含的各种角色，包括个别或批量増加角色、修改角色以及删除角色（需要确认没有用户具有该种角色），角色的权限应与资源挂钩。用户权限管理本功能应包括对网上用户权限的单个设置或修改，以及批量设置或修改。系统应提供检索功能，帮助管理员确定待修改的用户。系统应提供基于角色的分组、分类权限管理政策，支持一用户多角色

59、和一角色多用户的权限分配方式，以及支持一组用户多角色和一角色多组用户。统一认证管理系统应提供安全可靠又简便易行的统一认证功能，确保用户只需一次登录，即可使用他权限范围内的应用系统或进入有关系统，并在 不重复登录的情况下，进行系统间的跳转，实现单点登录。系统应支持跨域认证，支持多应用系统，实现统一认证、统一权限、 统一用户。其他系统可以调用本系统进行身份认证和分配权限，并 且应该预留接口。认证方式应支持：1）匿名认证方式：用户不需要任何认证，可以匿名的方式登录系统。2）用户名/密码认证。3）IP地址认证：用户只能从指定的IP地址或者IP地址段访问系统。根据应用系统使用可以对认证方式进行组合配置，

60、并且可在选定认 证方式的基础上同时增加PKI/CA数字证书认证，以及特定用户在某 个时间段访问、累计访问次数限制等功能。系统认证管理系统认证管理，实现用户在本系统一次登录后，再按照授权许可的 范围使用的应用系统或进入其它相关多个系统。以及用户在其它外 部系统登录后，连接到本系统进行用户认证和获得授权信息的管理。其它系统认证接口管理系统应提供一个在其他系统登录而通过本系统进行认证的用户登录 接口参数规范，以及相应的接口处理。系统管理系统管理员权限管理系统应提供创建、修改系统管理员、系统操作员的功能，以及设置 相关操作处理权限的功能。系统应禁止对系统最高权限的管理员进行逻辑或物理删除。统计管理系统