用户培训手册-统一权限

统一权限使用手册(管理员)目录TOC\o"1-5"\h\z\o"CurrentDocument"1、系统概述 1\o"CurrentDocument"1.1更加稳定、安全、高效的权限管理服务 1\o"CurrentDocument"2、各组件特点 1\o"CurrentDocument"消息服务(ISC_MS) 1\o"CurrentDocument"权限管理平台(ISC_MP) 3\o"CurrentDocument"接口服务(ISC_SM) 5\o"CurrentDocument"统一认证(ISC_SSO) 6\o"CurrentDocument"审计服务(ISC_AS) 8\o"CurrentDocument"数据同步服务(ISC_SYNC_ADAPTER) 8\o"CurrentDocument"统一认证代理(ISC_SSO_AGENT) 9\o"CurrentDocument"鉴权代理(ISC_SM_AGENT)、缓存服务(ISC_CS) 10UAP身份和审计模块(ISC_MANAGE)、工单模块\o"CurrentDocument"(ISC_WORKFLOW) 11\o"CurrentDocument"3、权限管理 11\o"CurrentDocument"业务角色维护 11\o"CurrentDocument"组织角色维护 13\o"CurrentDocument"身份权限维护 15\o"CurrentDocument"4、集成管理 16\o"CurrentDocument"4.1同步结果监控 161、系统概述统一权限平台系统设计的目标是考虑国家电网公司人员身份管理业务的现状及特点，在总体设计上借鉴以往“国网统一身份认证系统典型设计”的成功经验，依托信息化手段着力提高人员身份管理的工作质量和效率，构建一套支撑“总部-网省”两级部署以及总部集中部署版本的统一权限平台系统，实现对人员身份的统一认证、统一管理、统一授权、以及合规性管理、安全审计等模块功能，实现统一管理、流程规范、过程受控、备案审查的目的，从而提升公司人员身份管理的规范性、合理性和安全性。1.1更加稳定、安全、高效的权限管理服务权限系统2.0版本是针对前期权限系统1.0版本的试点成果，进一步深化应用：1、考虑为业务应用提供满足安全等级保护规定中相应权限管理要求的服务。2、对访问控制管理方面进行安全加固与性能提升，增加权限测试机制，形成可水平扩展的鉴权体系。3、全面提升用户体验。2、各组件特点本节通过对统一权限平台各模块的介绍，阐明各模块的功能特性，以及各模块之间的通信交互过程，以便于实施工程师对统一权限系统的理解。消息服务（ISC_MS）统一权限平台系统消息服务模块是通过消息队列（MQ）来完成的，消息队列是一种应用程序对应用程序的通信方法。应用程序通过写和检索出入列队的针对应用程序的数据（消息）来通信，而无需专用连接来链接它们。统一权限平台各组件通过消息队列来进行消息传递。消息传递指的是程序之间通过在消息中发送数据进行通信，而不是通过直接调用彼此来通信。

简单地说，MQ就是这样的中间件，它允许一个应用向另一个应用发送消息，图消息队列MQ示意图消息队列（MQ）的特点包括：1、消息的发送方和接收方可以不再统一服务器上；2、通信可以是单向或者双向；3、要通信的应用程序可以运行在不同时间（异步传输）；4、对于应用间的结构没有限制；5、对于应用程序来说，底层的环境差异被屏蔽掉。统一权限消息服务组件主要功能包括：1、在权限平台的授权操作通过消息服务模块完成对UAP客户端权限缓存信息的刷新。2、在权限平台的授权操作通过消息服务模块将数据信息分发至与统一权限平台丫1.0集成的各业务系统（适配器模式接入的系统）。3、统一权限平台系统统一认证、系统接口服务、数据同步服务等操作事件通过消息服务模块存入数据库，用于数据的统计分析汇总。对多的关系。本模式主要应用于在UAP平台开发的业务应用缓存数据的更新（eg：当一个用户的中文名发生变更，消息服务将变更信息更新至所有UAP平台应用系统缓存区）。2、队列（QUEUE）点对点模式：消息服务将收到的数据存入队列，其它组件需要到此队列进行读取数据，如果数据A被一个组件读取，A数据将从队列从删除（数据传输是一对一的模式，一条数据只能被一个组件使用）。本模式主要应用于审计事件数据传输和对v1.0版本集成系统的数据同步。&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个****注：统一权限平台系统采用的消息中间件是ApacheActiveMQ。更多资料，可以参考ApacheActiveMQ官方文档/&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个****2・2、权限管理平台（ISC_MP）权限管理平台是统一权限平台系统的核心组件，主要包括身份管理、资源管理、权限管理、配置管理、审计管理、集成管理、工单管理七大功能模块。

s国家电网统一权限管理平台I丈StajkGkiu双迎使用统一权限管理系筑0口秘主菜单甲口工单笆理由白市讨蹒甲二甥通笆理田一枚罡tl甲+ruse®00月出皆理・双迎使用统一权限管理系筑0权限管理平台是统一权限平台系统的管理端，通过本服务，管理员可以进行用户身份管理、各种资源(业务应用)、授权管理、各种配置管理、审计管理、系统接入等。普通用户可以进行个人身份管理、配置管理等。权限管理平台是统一权限平台系统的数据展示层，功能模块如下:统一权限管理平台系统2.0功能视图FO1O1用户维护一股管理批量操作F01身份管理用户合并一般管理有效期FO1O2组织维护批量管理FO1O3岗位维护F04审计自助维护权限秀托重置［□金箱色极限定义介印维护板限指海F0301业务角色维护FQ3Q3身份授权FG3权限管理关键操作一般管理批量探作FMO2系统审计F0401单点登录审计错误日志在线用户组织角色极限定义模块,功能使用情况FO1O1用户维护一股管理批量操作F01身份管理用户合并一般管理有效期FO1O2组织维护批量管理FO1O3岗位维护F04审计自助维护权限秀托重置［□金箱色极限定义介印维护板限指海F0301业务角色维护FQ3Q3身份授权FG3权限管理关键操作一般管理批量探作FMO2系统审计F0401单点登录审计错误日志在线用户组织角色极限定义模块,功能使用情况FO4O4权限审计互斥角邑审计 分析报言FO4O3集成审计集成情况用户登录登录分析组织角由授相板限测1式一般/批单肯理FO3O2组织角色维护F05集成管理 F06配置管理■■■Eijimmw己有功能［部分功能点新增'改版己有功能［部分功能点新增'改版完全新增 下线功能权限管理平台通过接口服务(ISC_SM)，将数据信息写入数据库、刷新UAP系统缓存、同步数据到v1.0集成的业务应用。

00口消消消消ISCSMO口消消消消消消ISCMPUAPiO000000口消消消消ISCSMO口消消消消消消ISCMPUAPiO000000000000000000000’0000 1&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&个*个********************************************************************************注：权限管理平台(ISC_MP)服务是通过接口服务进行数据库操作的，本身没有直接的数据库操作：ISC_MP--3ISC_SM---3数据库。&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个****接口服务(ISC_SM)接口服务是权限管理平台与各业务组件数据操作的桥梁，负责将用户在权限管理平台的各种操作更新到数据库、记录的审计服务、更新UAP平台系统缓存、以及分发给集成的各业务应用(v1.0版本)。口消消消消消消消消接口服务的主要功能包括：（1）鉴权缓存读取。用户在首次登录权限管理平台或基于服务集成的业务应用时，需要通过接口服务到数据库进行查询操作，操作完成后，会将查询信息缓存到缓存服务当中；当用户再次登录时，接口服务不需要到数据库进行查询，直接到缓存服务读取缓存信息。这种方式可以提高系统响应速度。（2）数据更新同步。接口服务将用户在权限平台的数据操作一方面更新到数据库，另一方面通信消息服务将数据更新到集成的业务应用（采用同步适配器方式集成的系统）。（3）刷新客户端缓存。为提高鉴权效率，统一权限平台系统在基于服务模式集成的业务应用客户端缓存用户权限信息，当用户在权限管理平台更新用户信息时，接口服务通过消息服务中间件更新客户端缓存。（4）审计事件。消息服务将权限管理平台的用户数据操作记录通过消息服务中间件写入审计数据库。统一认证（ISC_SSO）统一认证组件主要完成对用户在登录业务系统时的身份验证工作，主要包括统一认证管理、单点认证Agent（ISC_SSO_AGENT.jar）、目录服务（LDAP服务）、缓存服务四个部分构成，其架构关系如下：

统一认证管理认证服务 ESCI管理.统一认证管理主要对外提供认证服务以及单点登录(SSO)管理功能，随着未来统一认证接入业务系统的增多，统一认证管理部分压力将随之增大，其访问情况相对其它组件承受压力最大。.单点认证Agent组件主要为业务系统提供用于单点登录的组件，其功能负责与统一认证管理的认证通信，通信链路支持SSL。.目录服务用于存储进行单点认证的用户数据，主要包括用户名、密码等用户基本信息数据，采用扁平存储结构，提供用户数据获取效率。.缓存服务主要用于存储用户通过统一认证后的身份安全信息，通过缓存方式提升下一次用户单点认证的效率。&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个****注：统一认证默认情况下，连接目录LDAP服务，验证用户身份信息，在测试期间可以直接配置连接自身的Oracle数据库验证用户身份信息。

&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&个*个********************************************************************************审计服务(ISC_AS)审计服务是统一权限平台系统的安全组件，通过审计服务可以接收统一认证和接口服务模块的审计事件。数据同步服务(ISC_SYNC_ADAPTER)数据同步服务主要针对采用同步适配器方式进行集成的业务系统(主要指统一权限V1.0集成的各系统)。权限平台管理员---T权限管理平台(授权操作)---T接口服务消息服务—-1数据同步服务―-T业务应用接口--1业务应用数据库。

统一认证代理（ISC_SSO_AGENT）统一认证代理是业务应用系统Web服务的客户端插件，它的作用主要包括两个方面：1）首次登陆重定向通过在客户端配置本插件，当用户首次登录业务应用时，将用户访问请求重定向至统一认证服务模块（ISC_SSO），完成用户登录验证。2）身份校验对于已经完成统一认证服务身份认证的用户，传递解析身份票据信息，验证用户身份信息。鉴权代理（ISC_SM_AGENT）、缓存服务（ISC_CS）鉴权代理服务主要服务于权限管理平台模块和通过服务模式集成的业务应用系统。当用户完成身份认证登录系统后，通过鉴权代理，鉴别用户的权限信息，加载系统各项功能菜单。缓存服务主要有两个作用：1、统一认证身份信息缓存当用户经过统一身份认证服务验证身份信息时，统一认证服务需要建立到数据库的连接（LDAP连接或JDBC连接）进行用户身份信息校验。通过缓存服务，统一认证服务将用户的身份信息从放入缓存服务器中，当用户第二次验证身份信息时，可以直接读取缓存服务的用户身份信息，提高系统响应速度。2、用户鉴权信息缓存当用户登录权限管理平台或通过服务模式接入的业务应用时，需要系统接口服务到数据库加载用户的权限信息（例如：功能菜单等）。通过缓存服务，系统接口服务将用户的权限信息放入缓存服务器中，当用户再次登录本业务应用时，可以直接读取缓存服务的用户权限信息，提高系统响应速度。&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个个****注：统一权限缓存服务是通过Memcached缓存服务实现的。&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&个*个********************************************************************************UAP身份和审计模块(ISC_MANAGE)、工单模块(ISC_WORKFLOW)基于UAP平台开发身份管理模块基于uap和bpm，提供流程服务和流程审批的模块重要说明：1）统一权限只能通过组织角色对用户进行授权，授权后同步数据会将用户的组织信息和对应的角色信息推送到业务系统中。2）与统一权限集成后，业务系统新建用户由同步接口完成，不再由用户自己创建；门户只保留点亮业务系统图标功能，不再向业务系统推送用户。3）系统管理员（必须拥有该系统的管理角色和统一权限的使用角色）才能登录统一权限平台给地市管理员或者普通用户授权；系统管理员只能授该系统的管理权限，授权成功后联系统一权限平台管理员，还需拥有权限平台的使用权限。4）用户授权操作是否成功可在同步结果监控中查看3、权限管理业务角色维护新增业务组织角色：权限管理-业务角色维护-业务概览-业务角色分组列表，选择业务角色分组-新增

Q鞘累盘北劳播色弱蛆刎表北务角色名称人资管控口◎管理3.1.3、给新建的业务角色授权，点击权限变更■■ ；■.©♦舌角越堪a〜3.1.2、填写表单：xxx_管理，角色类型：管理（可以授权）北箝角色於组概览 北劳角色概莞3.1.4、填写授权的表单，资源里显示：主菜单-展现下级，选择要授权的资源+.K432325M5-白人资管控乙口口未分.组00000:B默认角色处组如阻 乂踏1别用理"原百里 上司的典乜摄*色视fl关更心生感蝌IQ鞘累盘北劳播色弱蛆刎表北务角色名称人资管控口◎管理3.1.3、给新建的业务角色授权，点击权限变更■■ ；■.©♦舌角越堪a〜3.1.2、填写表单：xxx_管理，角色类型：管理（可以授权）北箝角色於组概览 北劳角色概莞3.1.4、填写授权的表单，资源里显示：主菜单-展现下级，选择要授权的资源+.K432325M5-白人资管控乙口口未分.组00000:B默认角色处组如阻 乂踏1别用理"原百里 上司的典乜摄*色视fl关更心生感蝌I防删除：G更新组织角色根限直批里新增组级Aiff苣!5。附用r!■中星日凌卬但士符坡口HE用包•E中品31巾中*11*黄：5工If±.Bi*代之总L员 北务国制护业枭国画物etr禺北房肉巨蛋如itifsasst■福市：鼻刎师让寺角色片里的色£'|1|隹包向◎件Q：USftBSffl-：ODOMl^4<i<wwa-ijtfi2ewjl3口另出直方t-JJIMW止号号里书凫1用角色IM止乌岛自名祸丑男角邑领出疆昆克2!搜索条件人费管控09使用管控管理管控使用争壬蒐中L密片诂涉,,—i^fBTTIS权限变更权限变更权限变更言业舞睛色珏・列愚口升:函Dooood|_|加||际邑外粕I&!W*曲”制3北皆旗必先立：it若角色名称：ii世希的四口事«12邳I.4道式哨两吊包营组0DDW业皆用人Ft时1潘跳一 竭克为会不 。娇OfiOi壬研间2D13-Q3-1Z：］鹿岸加 鸟侬用壬研间2D13-Q3-1Z10!名嘲 的 Iaswh5d下级菜单展现后，勾选资源，注意：一定要先选择主资源，再选择下级资源直至末级资源，完成后点击图中绿色标记可以直接回退到该资源，再次选择其他的资源，最后保存即可硒百量希・色如粒.，义勇另由0起瞰过弟梢包侬费明帕也蜃恨■■■保存立券信色苒电酶色文怦।人更H?因意fl bH 际色济目iOCOOQ 11器菽卸1领臣2口1U抄刁城Bf身睇'厢应用至腾修注晒日4■MEt法而钟金空H星工口上泊方我口王至甲的卫武2&13-O9-12侬下就3/搏？机砌社化KT人大隹制人前片挂，尊王案・的总时联两代20-13-D5-1JffiUTffi6上网联贵羊・/SWSID儿索H口至！E⑼上事除匿2Q-1MM2阚襁7J赳底点必策A?Sffl£20人事詈将3U壬宾・库悦员.3J13-D&-12雷畏下娠g/蒙祥工总钟AS11E2C上凿・1¥2口王娈⑼不戒■曲3M3rM巾周良玉珥Q.-东中A?gffl£20QE部2生工恭明运量苗科展口3013-D&-12S^Tffi10ERPHQ平・>,^«S2aEHWitRPfiqM13-O9-1J组织角色维护新增组织角色：权限管理-组织角色维护-展开业务组织单元树-新增江硒:«v43«rftM-aRkF.K：「第缰理+ ”口！.h世青■:tt♦元饼一曰口HI@JN史方口丸d[Y阳•14ap=%上期舱2曲电济」思・四”6>Ak&tff?n£■・1「Efsim+SWifflU ■-1All-片・让异，色翱QMS!ABRWW1H.」*Etll一iSffiSSA.^mwigna1±E.a.htvs口不nA^vi^wtn使用13的希里丽出心UMW色Hi♦用±4忸黄里加郎月产ir^RQ-m*用i5他费里刊短!*“户Uy但T”使用0f.WRse9UUW名Mlwt>7EffflS更ida曼1IU■电*1*用Dt布期更加4・也|”D1a.eWRH3vnw■111a.a-1-1a«(■j填写组织角色表单，业务角色名称选择刚才在业务角色维护里新建的角色，系统会自动把业务角色权限同步到组织角色里，保存。组织拶树注吉郢以焦色门户鞋号3.2.3、用户授权（方法1）,点击新建的组织角色用户数量史坦尚色港中志北舞的制不并料6m£3口■**士史里巴*卯电日KUA61113.2.4、填写授权表单，点开（标识1）；展现基准组织树，尽可能的选择用户所在的部门（标识2）；勾选用户（标识3）；新增（标识4）到左边的已授权用户列表；提交完成。市画5 相旗角色缰炉期坦的邑祗品 物他!防型醴板5组£箱比便息利典由邑；息裂口电曲侨X尸相叙用自翻1：忸^^乂笠蜡啕所崩蝴短”用黄奖外.疝顿用和角齿推并涓想篇陂辉事■r专提示；.号力胫国呢！把1冲肉划哂包领听届张普脑西话|bu.flsiii15WHS坦取桑邑鹤:1!务情色名称 ：：未演&用户理善一1日示期坦制榻索用尸拄包二左国忠版主情身*出口悟告留考中心+」陕西各电力史司住-4以西省电力北司方：皿软.一用画蜘出口人力语遁部。|也「屈我附部1帆_厘境部1「7运维检修辞*二;主金监空房用;留_苫翦部iaasiBifrqat*包的丝己悔在用户升量□1MHS/才期失星曲丽，.空・性国整蛔」、变量1式配螃git例旧厘人越的0限用：：15WHK用户到去2n05凶口DB花宁 HI霞电网母百岁电力鼻司狎财拘国电网科国旗网鞫已后"用户d反送a«.«晶设置豪告相处情目1O01100056停罚国1变国EiR羽织周色领〕国同电网一人相空使官北务角色古辞':组以用笆加码”昵蹄H克港盘机「酒创丰2Q人播国度乳由主第单■崎酒酋闻・■醉世醐质闻业符泪飘］国案的好山用1X招备金工口P!"rIJUUIJO_人然雌。恻'>■我Sfm缴用管理使用宣端理□朱刊组:二即角包分组□用源总斫H位H1!□衽单粟单人带普倬打身份权限维护用户授权（方法2）：权限管理-身份权限维护（标识1）-基准组织树（尽可能的选择用户所在的部门（标识2）,方便查询），点击授权（标识3）* 求ED页身怆仅限结肿•日O融主粱中 我用户S!苍用蛆同邑祝友鼻卡难蛆加例 就N卜雷■Tw-LlW*HfK4，为吊7年IT」，为吊7年IT」乐炉同酬护B,点或官理w二I萤第管里, 酉班年亚琛翩:同4•二酶IJ中心医信H保台服升中I：*,二俄西营电力心邙可黑也同三士俄西营电力,E本部土，通公主|□即HS嗨登如目薛-二八|］蝇都（社保电-口财球产都工匚费溢部罡匚运康变慎咏出匚无主瞌酬更却!亡自部-」碗工作都,口联百鲂触性制弧+匚中讣汪/丁.-J^T&rXJW始4i」Ji/裾章求汴门户it号；g用而0哺用户血Si□理性门内款号牲金 才侬1□国飞99100006张宁正集2n良快》95900005■EE1W正字1m□知捏TODQDSe?由心：•文信息梅宏亮正审:4□圉枳TD00024&学瞬电正常5□图校TDDQ0163盖小怖正常6B第也99100013冏满要案7□覆礼99D220D1扬ft正常8[:1:和O8G1O110越回£正案裾T千辗'填写授权表单：展开组织树（标识1）-选择刚才在组织角色维护里新增的组织角色（标识2），新增到已分配角色中，设置为缺省角色，提交完成落酶 起出恨用雄井证幽情色1腌 用户I酬*用户信品用户亩年H^t4：011ODD56Jti蛹E155 王京人短至在 两应 肓注肥£驯娶12-MHi曜曲蚱I痢切巴甫耳・史用吾痢切巴甫耳・史用吾fp］辐色M标;।TA乘二:L阻M色名行对色:螭.4jS道铃0»克富”“口5#人谓者在2Q二口国格函白,百皆电力地湾1+jansnrare-.ar-fc-t-Kr-E*fsan俎织机柢用史E］登电团A资团k游用领I春侬用户授权（方法3）：权限管理-身份权限维护-组织角色概览-展开业务组织单元树，点击已授权用户数量，填写表单（详细填写过程同上）国家电网统一顿眼看理平台ESCSTA-j^GlUlJi国家电网统一顿眼看理平台ESCSTA-j^GlUlJi肃物诲：oiwrat看做里日U土啰•司蟠箝皿加MJ%EU*色海悯1AMR»3■，属由・H?q电I呜色电I呜色M旭+二Atm肝1骨*他S*仅闲天更WW_>.5Hllt：SW肝1骨*他S*仅闲天更WW_>.5Hllt：SW上仙中旧♦艮4、集成