方案-国内厂商身份管理项目技术方案

XX公司

身份管理（软件）项目

技术方案

Xx公司身份管理（软件）项目技术方案

目录

目录

1.项目概述...............................................4

1.1背景分析.........................................................4

1.2目标任务.........................................................5

1.3建设原则.........................................................5

2.项目需求分析...........................................7

2.1总体业务需求.....................................................7

2.2技术需求分析.....................................................7

2.2.1统一身份管理需求分析..........................................7

2.2.2统一认证、管理、登录、存储...................................8

2.3非功能性需求分析.................................................9

2.3.1先进性........................................................9

2.3.2实用性.......................................................10

2.3.3可靠性.......................................................10

2.3.4安全性.......................................................10

2.3.5可扩展性.....................................................10

2.3.6易维护性.....................................................11

2.3.7灵活性.......................................................11

3.总体技术方案...........................................12

3.1项目架构设计原则................................................12

3.1.1基于SOA设计原则............................................13

3.1.2开放的Web服务技术..........................................15

3.2项目总体技术设计................................................16

3.2.1身份管理设计.................................................18

Xx公司身份管理(软件)项目技术方案

3.3支撑平台搭建技术方案.............................................27

3.3.1身份管理搭建技术方案.........................................27

4.项目实施方案.................................................47

4.1项目实施策略....................................................47

4.2项目管理方法论..................................................48

4.2.1项目计划期(ProjectPlanning)....................................................................49

4.2.2阶段计戈ij期(PhasePlanning).....................................................................50

4.2.3阶段控制期(PhaseControl)........................................................................52

4.2.4阶段完成期(PhaseCompletion)................................................................53

4.2.5项目完成期(ProjectCompletion)..............................................................54

4.3项目实施风险管理................................................56

4.3.1风险分析.....................................................56

4.3.2风险规避....................................................58

4.3.3风险控制过程监控.............................................60

4.3.4风险管理流程................................................60

4.4项目实施概述....................................................61

4.5实施安排........................................................61

4.5.1人员组织.....................................................62

4.5.2实施流程....................................................66

4.5.3项目立项....................................................66

4.5.4项目实施规划和各阶段工作分工................................66

4.5.5项目竣工验收交付文档........................................68

4.6项目实施计划....................................................70

4.6.1项目总体实施计划.............................................70

4.6.2身份管理实施计划清单........................................72

5.服务方案......................................................74

5.1服务内容........................................................74

5.2培训服务方案....................................................75

5.2.1培训服务承诺应答.............................................75

Xx公司身份管理（软件）项目技术方案

5.2.2知识转移....................................................78

5.2.3培训策略....................................................78

5.2.4培训目标....................................................78

5.2.5现场培训....................................................80

5.2.6培训课程内容................................................81

5.2.7培训材料....................................................83

5.2.8培训计划....................................................84

5.3产品供货安装....................................................85

5.3.1技术服务任务安排.............................................85

5.4上线支持和售后服务..............................................86

5.4.1售后服务承诺.................................................86

5.4.2售后服务概述................................................86

5.4.3服务种类....................................................90

5.5炎黄IDM统一认证管理平台.......................................93

5.5.1产品概述.....................................................93

附录：详细技术指标逐项应答...............................101

III

1.项目概述

1.1背景分析

当今世界，信息化已成为经济社会发展的总体趋势。对我国加快推进电子政务和信息化建设提出了迫切的要求。为积极

应对XX公司资源管理面临的新形势、新任务、新挑战，XX公司资源部采取了一系列重大举措，全力推进XX公司资源系统信

息化建设，取得了积极成效。一些省市在XX公司资源信息化规划、建设和应用等方面走在了全国前列，其他一些省市也快速

跟进，全国XX公司资源系统形成了领导重视、整体布局、快速推进的信息化建设新局面。

近几年来，河北省XX公司高度重视XX公司资源信息化建设，积极贯彻落实XX公司资源部的一系列部署和要求，在信息

化基础建设、电子政务及业务系统开发应用等方面取得了明显成效。

河北省XX公司资源信息化工作起步较早，先后建设了：土地利用计划管理、土地登记信息动态等三十多个业务和政务审

批系统，积累了大量的经验。随着信息技术的飞速发展，云计算、SOA、移动化等，河北省XX公司资源厅将多年来积累的

信息化建设经验和成果与先进技术相结合，要构建一个“范围覆盖全省、技术成熟领先、应用便捷可靠”的全新XX公司资源信

息化平台。

这将一方面响应XX公司资源部要求，另一方面全面提升河北省XX公司资源管理水平，优化XX公司资源管理能力，实现

“以图管地、以图管矿、以图管海”的目标，河北省XX公司资源厅，将结合河北省XX公司资源信息化建设的需要，全面开展

河北省XX公司资源“一张图”和综合监管平台建设工作。

4

1.2目标任务

根据此次项目规划，此次项目需要完成以下任务：

1.3建设原则

“一张图”和综合监管平台的建设涉及面广，涉及业务种类多。因此建议在项目的组织、实施和管理中遵循如下原则：

1.统筹规划，相互衔接。

为保证平台建设和其它系统之间的充分衔接，需要统一规划和设计工程建设框架，制定统一标准，遵循总体框架和工作

部署，结合XX公司资源工作特点，因地制宜地制定符合XX公司的建设实施方案，明确工作任务和计划进度。按照行业制定

的统一标准和技术要求，开展支撑平台、标准化等建设，各系统建设目标要与建设目标保持一致。

2.整合资源，形成合力。

经过多年努力，xx公司的xx公司资源信息化建设已经取得了一定的进展，在此次建设过程中，充分整合现有的应用系统、

网络资源和数据资源，注重系统之间的衔接，切实保障系统之间的信息资源共享，避免重复建设，逐步消除“信息孤岛”，最

大程度发挥现有各类资源的效益，保护已有的投资。

3.试点引路，做好表率。

此次项目合理制定分期目标，利用统一界面和身份认证工具实现各系统的统一展现和单点登录、身份管理，利用统一的

基础设施支撑环境实现业务应用的运行和IT资源的统一配置和管理。结合xx公司的实际情况进行系统的完善，边建设边应

用，通过平台的建设来促进系统的完善，进而推动系统的建设，全力以赴，做好表率。

5

4.开放服务，统一访问。

立足于社会经济发展的需要，充分利用现代信息技术和多元化服务方式，大力加强xx公司资源信息的社会化服务。同时,

参照xx公司资源部有关制度、规定，制订开发服务细则，引进身份管理，保障信息系统和xx公司资源访问安全。

6

2.项目需求分析

2.1总体业务需求

2.2技术需求分析

目前河北省XX公司资源厅，行政管理相关业务系统正在应用的有35个（不完全统计），其中19个由XX公司部统一下发

业务系统，6个由河北省xx公司厅自建。服务用户群体，包括xx公司系统内用户、政府和相关单位用户、社会公众用户。

"一张图"的技术需求：全面掌握xx公司资源总体情况，并通过对地、矿、海涉及的行政管理、行政审批和执法监察等业

务事项类型进行监管，实现对土地"批、供、用、补、查"、矿产"储、探、采、用、查”和海洋资源开发利用等xx公司资源管

理工作的全过程监管。对xx公司资源业务监管能实现监管过程的规范化与透明化，流程的公开透明化、预审与审批流程的透

明化、评审与验收流程的透明化和执法与处罚流程的公开透明化。

2.2.1统一身份管理需求分析

根据工程总体架构规划设计方案，实现XX公司系统内部用户和外部用户集中统一的用户和权限管理、系统级访问控制管

理，为各应用系统提供用户信息共享服务、统一身份认证服务、单点登录服务、数字签名验签服务、通道传输加密服务等。

7

•服务对象：XX公司应用中所涉及的内部账户和外部用户

•业务目标：提供集中的用户身份存储、统一用户管理、身份信息同步、统一密码策略和用户自服务等功能。

•收集、筛选并整理所有应用系统的用户属性信息，为XX公司所有应用系统建立集中统一的用户信息库。

•统一密码策略主要考虑以统一身份管理平台提供唯一的密码策略，通过身份管理平台的自服务功能提供密码修改、密码

重置功能，屏蔽应用系统的密码策略和帐号自服务功能。身份管理平台需要考虑与SSO系统的结合。

•设计并部署符合xx公司应用管理模式的用户帐号同步和身份生命周期管理流程。

•设计并部署符合xx公司安全策略中用户帐号管理规则、用户帐号生成规则和密码策略。

•定制并部署符合用户操作习惯的用户自服务功能，包括：个人资料修改、密码修改、密码重置、强制修改初始化密码等,

并提供相应接口与SSO系统的集成。

•定制并部署身份管理平台与短信平台的集成，为重置密码提供验证码功能。

222统一认证'管理'登录、存储

解决用户统一管理

面对着多个应用系统整合，传统的模式需要在各个应用系统中进行用户数据的管理，流程复杂，时效性慢，管理复杂。

因此，业务整合的基础首先就是要解决用户统一管理问题，需要构建统一的用户管理平台，实现用户数据的集中管理，为各

个业务系统的整合提供权威的用户数据，提供集中统一的用户生命周期管理平台。

因为XX公司已有30多个业务系统，为了保护系统现有的投资。统一身份管理需要提供数据同步接口完成与现有系统的

集成，实现用户数据的集中统一管理。

8

解决多应用系统下的统一授权问题

在用户信息集中管理的基础上，解决现有部下发和省建设应用系统的统一授权管理问题。统一授权管理主要是把分散到

各个应用系统中的权限管理集中到统一认证管理平台中进行统一管理。

根据河北省xx公司信息化建设现状和需求，本期项目授权管理粒度为细粒度授权，控制到应用功能级别。

解决应用系统责任认定问题

通过全面、集中监控和审计：用户访问应用系统的行为，管理员的操作行为，以及应用系统的安全运行状态，将有效地

提高安全管控能力和责任认定有效性。

2.3非功能性需求分析

2.3.1先进性

此次项目需要把XX公司业务科学的管理理念和先进的技术手段紧密结合起来，提出先进合理的业务流程，真正做到紧

扣XX公司事业未来发展方向；系统应运用先进成熟的技术手段和标准化产品，具有较高性能，符合当今技术发展的方向，

确保系统具有较强的生命力，有长期的使用价值，符合未来的发展趋势。

9

2.3.2实用性

设计应面向实际、注重实效、坚持实用、经济的原则，应充分利用原有设备和信息资源，应用软件应考虑用户的操作习

惯，为用户提供友好的操作界面以及丰富的联机帮助，全面提升系统的实用性和经济性。

2.3.3可靠性

设计时要采用可靠的技术，系统各环节具备故障分析与恢复和容错能力，在安全体系建设、复杂环节解决方案和系统切

换等各方面考虑周到、切实可行，建成的系统安全可靠，稳定性强，从而把各种可能存在的风险降至最低。

2.3.4安全性

系统应该在各个层次对访问进行控制，设置严格的操作权限；并充分利用日志系统、健全的备份和恢复策略，增强系统

的安全性。

2.3.5可扩展性

全面考虑XX公司业务的发展趋势，系统设计要具有一定的前瞻性，在五到十年内不落后，并充分考虑系统升级、扩

10

容、扩充和维护的可行性，考虑在统一系统架构下增加新业务的可行性。

2.3.6易维护性

在设计上要考虑可维护性，使日常维护和操作直观、简便和高效。建模工具要先进，模块化程度要高，对不同的业务流

程和管理方式的适应能力强，维护方便。

2.3.7灵活性

软件设计时应充分考虑整个应用系统的灵活要求，随用户需求的改变而及时调整，通过合理的模块划分，实现应用软件

对业务变更或软件技术发展的灵活适应能力。

11

3.总体技术方案

3.1项目架构设计原则

因为XX公司的这个项目，涉及到到多个业务系统部署，实施周期长。因此建议整个设计遵循以下技术原则：

1）先进性

采用SOA架构，SOA架构采用技术反映当前国内外科学技术先进成果，既符合当代信息技术发展趋势又有已成功的经

验，并且是各个领域公认的、技术领先且功能完备的成熟技术和理念，其时效性方面能满足技术发展要求。

2）可靠性

架构设计考虑整个系统的可靠性，能保证系统7*24小时不间断运行，出现故障能及时告警。可供满足需求的用户所使用，

同时在线人数满足项目需求。支撑的xx公司应用系统具备自动或手动恢复措施，以便在发生错误时能够快速地恢复正常运行。

应用软件能够防止消耗过多的系统资源而使系统崩溃。

3）开放性

平台的构建要满足相关国际标准和国家标准，是开放的可兼容系统，能与不同厂商的产品兼容，可以有效保护投资，实

现系统间的互联、互通及整合。保证对二次开发的支持，可提供丰富的API等。

4）可扩展性

12

构建的平台要支持负载均衡和故障恢复，提供过载保护功能，保障在高业务压力下能保持正常运行，提供良好的可扩展

性，能进行水平或者垂直的扩展，提供多种负载均衡算法，按业务需求进行配置。

5)成熟性

平台要选用成熟度高的开发技术和接口技术，选用成熟的、先进的产品，回避了因技术缺陷造成的风险因素。

6)易用性

平台要能提供完善的用户文档，保证其易于学习；同时保证人机界面友好、界面设计科学合理以及系统功能简便易用，

可支持多种语言。

3.1.1基于SOA设计原则

采用SOA可以确保xx公司在进行系统建设时，有效确保资源的重用。SOA能实现系统与系统之间实现了数据唯一、

共享，业务互联互通。xx公司业务数据、业务都可以包装成服务，组成基于服务的联动网络。“数据唯一、共享，业务互

联互通”都可以表示成服务层面上的联动，所以广义的讲SOA就是“一体化平台”，狭义的讲SOA是一体化这个业务理念

的技术支撑！

本项目采用SOA(Services-OrientedArchitecture,SOA)”面向服务的架构“实现xx公司应用集成。运用这个架构使得着

眼于为各种xx公司应用和数据提供的可重用的服务。组件化是政府应用的整体趋势。由于组件所具有预制性、封装性、透

明性、互操作性、通用性的特征，这使得“开发一次、到处运行”成为技术上的可能。

13

面向服务的架构的中心思想是模块化与封装这两大原则，模块化将复杂的大任务的分解成相对简单的小步骤，封装则将

其内部的复杂性屏蔽代之以用清晰的接口。在这两项原则指导下，开发人员只需关注应用中与其相关的部分而无须知道其他

部分的细节，只要各个组件都遵守接口“契约(Contract)”，这些组件的开发、测试和修改都相对独立，无须太多的协调，

使得基于SOA的应用易于开发和维护。

采用组件技术可以实现灵活的接口定义、执行代码运行时刻的联编/载入以及通讯网络协议，支持异构分布应用程序间的

互操作性及独立于平台和编程语言的组件重用。

采用SOA架构具有以下主要优势：

•为用户或其他应用系统访问本系统的业务逻辑提供的访问形式为服务(Service)

•独立于用户接口(userinterfaces)定义服务接口(serviceinterfaces)

•采用标准的形式发布，以便于其他用户或应用系统发现和调用这些服务

•服务接口可以从目录中查获，并能动态捆绑不同的实现

•允许采用不同类型的编码/数据模型

•应用服务都可以从目录中查获并能动态捆绑

•应用服务都自我管理并且模块化

•应用服务都可互操作

•应用服务都可松耦合

•应用服务都支持分布式的接口

•应用服务应定义业务逻辑相对独立的相对粗颗粒的接口

14

•应用服务都对物理机器位置透明

•应用服务可以复合构造

•应用服务可以提高代码重用性

•应用服务应最大可能地支持多份部署，提高可用性

3.1.2开放的Web服务技术

WebService具有真正技术独立性，任何可以构建XML格式文件并能通过HTTP协议传输这个文件的机制都是潜在的

WebService消费者；任何可以监听HTTP传输、转换XML文件、实现数据绑定的机制都是潜在的WebService提供者。以

上的这些特性使得WebService可以在非常短的时间内跨平台、跨软件采用。

当前绝大多数技术支撑平台都采用基于WebService的SOA架构实现，它可带来如下技术优势：

I松耦合

松耦合意味着接口和实现是分离的，这种分离允许在接口不变的情况下修改实现内容，这是所有SOA技术的基础。松

耦合是实现业务灵活性的关键。与这个概念紧密相关的是版本和位置的透明性概念，如允许新旧版木的服务共存，同时这些

服务的消费者可以定位到要求的服务，而不必了解其所处物理位置。

I分布式

为了满足提供给服务消费者的契约，SOA潜在的定义就是服务必需是可用的。当服务接口和服务实现部署在一个分布式

环境中时就可以保证这种可用性。这也间接强调了位置透明的重要性。

15

■以流程为中心

任何时候，信息系统间的数据交换都需要一个流程来管理。交易、时间分配、重试、错误处理、通知、审计和其他数据

流需求。SOA使得在应用开发时关注于业务流程，而不是关注于更底层的集成或应用问题。SOA就是一个可用网络服务的

集合，通过平台透明、明确定义的接口通讯。这些服务提供数据访问、业务流程、IT基础架构，为服务提供消费和生命周

期管理。

■开放性

SOA的广泛采用得益于它对不同技术平台的支持，无论对于服务消费者还是服务提供者。SOA的这个能力源于对开放

标准的执行，特别是WebService,但不局限于WebService。对于这些标准的支持确保SOA实现时互操作性和技术选择的

最大化。

3.2项目总体技术设计

XX公司此次建设的“一张图”和综合监管平台主要利用SOA技术实现，为XX公司资源全业务网上运行和监管创建统一的

基础技术平台和运行环境。

“一张图”和综合监管平台基于SOA服务运行框架和运行于框架之上。应用服务框架实现对应用服务的管理调度；公共服

务组件提供组织机构、身份服务、访问控制、业务流程、单点登录等的公共服务，实现统一组织机构、统一身份服务、统一

访问控制、统一用户界面、统一GIS应用服务、统一数据支撑；业务服务组件提供xx公司资源业务所需的应用服务，如电

子政务服务、综合监管服务、社会信息服务、数据中心管理、数据服务等应用服务支撑。

16

充分复用“一张图”和综合监管平台通用服务组件和业务服务组件，将有效整合XX公司资源部门在土地、矿产、测绘、地

质环境等领域已经开发建设的系统及数据，引入开发过程管理和文档管理工具，实现“平台就是服务(PAAS)”，“软件就是

服务(SAAS)”的构想，形成xx公司资源的协同开发环境和运行环境。

根据此次招标文件所提招标产品，我们推荐采用如下架构搭建“一张图”和综合监管平台的支撑系统:

此次项目，我们推荐采用炎黄盈动软件和天矶公司的硬件产品，搭建“一张图”和综合监管平台。支撑架构主要是由专用

集群设备：天矶一体机和数据备份服务器；门户和内容管理产品：炎黄门户和内容管理；应用服务器：炎黄应用服务器；身

份管理：炎黄身份管理。

17

1.安全管理：炎黄身份管理：此次建设的平台希望能建立起完善的安全服务，向应用提供身份认证服务、授权服务、

数据安全服务、消息安全服务和审计、日志服务。炎黄身份管理作为业内领先的安全管理产品，提供了整个平台对用户访问

身份认证、授权和访问权限管理和审计、日志服务的服务能力。

以上产品构成的支撑平台中预制了丰富的面向服务的组件功能，能够在此之上快速开发和部署应用系统；能确保系统在

运行期能高效、稳定、可靠的运作，同时面向服务的SOA架构能更好地实现循序渐进，应用系统更灵活地适应业务发展的

需要。

3.2.1身份管理设计

设计思路

.1概述

为实现河北省xx公司构建针对人员，帐户管理层面和应用层面的、全面完善的统一认证管理的需要，我们将按照如下设

计思想为xx公司设计并实施统一认证管理平台解决方案，统一认证管理做为此次支撑平台的重要组成部分实现招标文件要求

的统一用户管理、统一认证及单点登录功能实现。

以用户身份集中管理的思路为核心，建立xx公司系统内用户的唯一的权威身份信息源，可在一点集中管理用户身份和权

限，从而降低管理成本。在统一用户身份的基础上，实现各个应用的单点登录、统一认证、统一授权、审计等信息的集中统

18

一管理，并能提供与XX公司现有的应用系统进行系统集成的解决方案，规划合理、高效的用户身份管理流程，集成开发规范

和运行维护规范等。

通过身份管理、访问控制、单点登录、目录服务、数据同步连接器等应用模块实现XX公司所提出的用户帐户统一、系统

资源整合、身份信息共享和全面集中管控的核心目标；并制定标准规范，为以后新应用系统的上线集成奠定工作基础。

本项目建成后，对于用户来说，将实现只需一个登录凭证（数字证书、用户名/口令等），只需进行一次登录，就可以进

入不同的业务系统，并能方便的来回切换访问；对于管理员来说，将实现对用户信息、机构信息、访问控制信息等统一定义

和描述，能确保信息的一致性；只需在统一认证平台进行统一配置管理和维护，就可以自动同步联动到各业务系统，降低工

作量和复杂度；对于应用系统来说，将实现信息资源整合，打破信息孤岛；提供信息统一标识规范和集成规范，能规范和指

导新业务系统集成建设。

3.2.1.1.2统一用户管理

统一身份管理采取“分散到集中”的设计思路，即把原来分散于各个业务系统中的用户管理系统统一采用一个系统来管

理，各个业务系统不再设置用户管理系统，各个业务系统中的人员信息以统一身份管理为依据，通过统一身份管理提供的适

配器接口实现业务系统和统一身份管理之间信息的同步。基于统一身份管理实现对人员的管理，抓住了信息化的根本要素：

人，通过对人员各种公共属性的管理，可以方便、快速、清晰的实现集中的人员管理。

在用户主账户信息发布，xx公司统一认证管理系统采用目录服务系统进行发布，形成的用户权威身份属性信息、，即形成

统一的人员管理树，目录服务系统采用集中的部署模式，即在省厅部署目录服务系统，其它系统都直接访问省厅的目录服务

系统，确保数据的唯一性。

19

.3统一的授权管理

统一的权限管理系统以统一身份管理为基础，针对xx公司实际情况和目前业内的通用做法，权限控制粒度级别策略为控

制到应用系统级。

统一的权限管理系统提供完善的资源管理功能，以树的方式实现用户资源的统一管理，形成资源管理树。统一的权限管

理系统以应用系统为索引，为每个业务系统开辟单独的管理空间，在各个应用管理空间中，基于本业务系统的实际情况构建

符合需求的资源树。系统提供手工和接口两种方式，保证业务系统资源发生变化时，统一授权管理系统资源树可以方便、快

捷的发生变化。

统一的权限管理系统为了方便、快捷的实现资源和用户之间的授权管理，提供基于角色的授权管理模型。该模型包括角

色定义、角色分配和角色权限定义三个部分。角色定义指的是系统管理员根据业务系统的需要定义各种角色；角色分配指的

是根据用户责任和资历再被指派为不同的角色；角色权限定义指的是角色与权限之间的关联。用户可以根据需要定义各种角

色，设置合适的访问权限，而用户根据其责任和资历再被指派为不同的角色。由于实现了用户与访问权限的逻辑分离，基于

角色的策略极大的方便了权限管理。

通过对用户权限的统一管理，一则减轻了各个业务系统权限分散管理带来的负担，可以精确的针对每个用户进行权限的

设置、查询、统计，满足细粒度管理的需要；二则减轻了各个业务系统权限管理各自开发、部署所带来的开发工作量；三则

可以统一各个业务系统权限管理的级别，满足权限管理规范化、统一化的需要。

20

.4统一认证

统一的授权管理形成统一的用户管理视图和对应于统一用户管理的统一权限管理视图。

统一的认证指的是基于授权管理形成的结果实现验证的过程。各种用户在访问业务数据的时候，只有通过统一认证系统

的校验，才可以实现业务数据的访问。本项目中统一认证要考虑与门户的充分集成，门户提供用户登录的统一入口，统一认

证系统提供单点登录认证接口和单点登录会话的申请、下发、注销、更新接口，并定义应用系统的单点登录集成接口规范。

.5统一审计

统一的审计系统针对业务数据实现全面、集中安全审计管理，收集、记录、管理用户对业务系统的高敏感度的数据访问

和关键操作行为记录。及时发现非法登录和非法操作，对非法登录和非法操作快速分析、定位和响应。统计自然人对资源中

高敏感度数据（非常重要和重要）的访问情况和操作记录，在出现安全事故时用于责任追踪。同时，对人员的登录过程、关

键操作行为等进行审计和处理。最终建立完善针对“自然人一资源”访问过程的完整审计管理。

统一审计与监控支持防篡改功能，可对认证服务、用户管理、认证管理和授权管理提供完整的业务记录和审计报告。对

管理流程进行实时的监控，同时也包含证书的发放；对整体系统的运行情况、使用情况、应用访问情况进行统一的审计。

21

架构设计

为实现招标文件对统一用户管理,统一认证和单点登录的要求，按照如下设计思想为xx公司设计并实施统一认证管理平台

解决方案。

建设部署统一认证管理平台：

在XX公司建立省级统一认证管理平台，通过集中的身份管理、集中的访问控制、统一的目录服务、集中的审计管理、单

点登录服务、证书服务、自助服务等应用模块实现招标文件所提出的用户帐户统一、系统资源整合、应用数据共享和全面集

中管控的核心目标。

采用数据同步连接器实现用户信息采集及同步：

通过统一认证管理平台的数据同步连接器实现与各应用系统的身份信息的采集，主要为规划新建设的系统。根据不同平

台提供不同的数据连接器，实现各个应用身份信息到统一认证管理平台的集中管理。

采用LDAP实现用户身份信息集中存储：

平台提供独立的LDAP统一目录服务系统进行统一身份信息和数字证书的集中存储。

实现集中认证、访问控制及单点登录：

平台制定了统一的访问控制策略，提供了集中的身份认证服务，所有对应用系统的访问请求都需要先到平台的身份认证

模块进行认证通过之后，再根据访问控制策略进行权限查询，用户才可以对有权限访问的应用系统进行操作，平台支持的身

份认证方式有用户名/口令、U-key数字证书、RSATOKEN、AD域认证、短信认证等方式，同时实现了应用系统级的粗粒度访

问控制。

22

平台支持多个应用系统之间的单点登录，即一次登录，多次使用。单点登录的实现采用部署单点登录组件和安全票据技

术，封装用户登录后的认证状态信息和权限信息，并以安全方式传递到各个相关系统中，通过对票据的解密、验证、解析，

从而实现方便、快捷、安全的单点登录。

实现单点登录及集中认证：

支持XX公司内网门户系统的集成，通过集成单点登录模块和调用统一身份认证服务，实现针对不同的用户登录，可以展

示不同的内容。

最终实现用户只需一次登录门户系统，即可实现访问其所有有权限的应用系统（包括B/S和C/S架构的应用系统），无

需在每一次访问系统时再输入用户和口令的效果。

逻辑架构设计

统一认证管理平台采用了MVC分层设计及SOA的设计思想，分为系统基础设施层、数据服务层、统一认证管理平台层、

业务层及用户层，同时平台的应用接入需遵从应用系统集成开发规范、平台的使用和运行管理需遵从业务管理流程和运维管

理规范。

在信息系统基础设施的基础上，遵循了SPML1.0技术标准，SAML协议等国际成熟技术为基础，采用LDAP存储用户数据

的方式，构架统一认证管理平台，从而提供统一的用户管理、统一的访问控制等业务功能。通过单点登录组件、认证代理等

技术组件，实现统一认证管理平台与应用系统的认证、单点登录集成工作。下面分别简述各层的主要内容。

23

.1基础设施层

统一认证管理平台建设所必备的软硬件环境，包括服务器设备、操作系统、数据库系统、中间件软件、开发软件等。

.2数据服务层

统一认证管理平台的数据存储采用数据库存储和目录服务(LDAP)存储两种方式。

LDAP存储：

其中统一的用户身份数据采用统一的LDAP进行存储。用户数据的采集可以使用数据同步连接器的方式实现，对于不同的

平台不同的数据库采用相应的数据同步连接器进行同步。统一认证管理为本期项目提供多种连接器。为支持未来的扩展系统,

还可提供更多的数据同步连接器等。

数据库存储：

统一认证管理平台的各种管理数据采用数据库的方式存储，包括访问控制策略、用户信息、角色信息、组织机构信息、

应用系统资源信息、审计日志信息等。

.3平台层

统一认证管理平台的核心功能，包括几大部分，身份管理、身份和策略存储、单点登录及访问控制、证书服务以及审计

管理功能。

24

身份管理功能：

身份管理负责建立XX公司系统内用户的唯一的权威身份信息源，实现一点集中管理用户身份，提供完整的身份生命周期

管理的功能。包括以下功能组成：

A用户身份管理：实现用户身份及多账号信息的统一管理支撑功能，为统一身份认证和单点登录提供服务的基础。包括用

户信息管理、组织机构管理、帐号信息管理、用户生命周期管理以及制定身份管理策略。

A平台自助服务：为了提高用户管理效率，降低管理成本，统一认证管理平台提供基于Web的用户个人自助管理功能，供

普通用户使用。包括应用帐号关联、用户信息修改以及密码修改等。

身份和策略存储功能：

身份和策略存储是访问控制、开通服务和身份管理服务的基础，采用LDAP服务的方式实现统一储存用户的身份信息、访

问规则策略和审计日志信息的功能。

帐号获取及供应：

提供账号供应管理的功能，以xx公司系统内用户的身份信息为基础，集成各个应用系统，通过可定制的审批工作流和对

业务规则、策略的管理，来处理应用账号的开通/注销，并支持和提供安全事件的审计报告。包括帐号获取和供应功能：

＞帐号获取：通过多种渠道采集用户身份信息、，进行统一管理。提供系统同步和人工注册两种方式实现的用户身份信息采

集方式。同时支持人工审批开通和平台审批开通两种审批开通方式。

＞帐号供应：在用户身份信息统一管理基础上，建立平台数据库到应用数据库/目录服务器的账号同步机制，实现平台用户

身份数据的同步。

单点登录及访问控制功能：

25

访问控制系统负责制定访问控制策略，根据策略实现基于角色的授权管理，实现对应用系统级的粗粒度授权，即用户有

权利访问哪些应用系统，实现用户的统一的身份认证、单点登录及访问控制。包括以下功能组成：

＞身份认证：提供统一的身份认证服务，支持口令、RSAToken,U-Key数字证书、Windows域认证、手机短信认证、混合

认证等多种认证方式。

＞单点登录：实现单点登录票据(SSOTicket)的产生及管理，并通过SSOAgent组件实现各应用系统的单点登录功能。

＞访问控制：提供对用户访问权限的控制功能，根据授权管理服务模块的动态授权控制，灵活的实现用户的访问控制功能。

＞访问授权管理：提供对用户角色、用户权限的管理支撑功能，可动态生成访问控制列表，灵活的实现用户的访问控制服

务支撑功能。

证书服务功能：

传统的申请数字证书的方式是由管理员在CA系统中进行数字证书的统一申请、统一审核、统一制证，管理员的工作量大。

为了减轻管理员的工作复杂度，在实现身份集中管理的基础上，可以进一步实现平台与CA系统的业务整合，将平台作为CA

系统的一个集中证书服务受理平台，在统一认证管理平台中实现对用户证书的集中管理功能。同时为用户提供自助服务功能。

审计管理功能：

＞对管理员的操作行为进行审计；

＞对用户登录、登出过程的审计；

＞对用户身份认证的审计；

＞对登录后用户行为的审计；

＞对平台运行中出现的故障等关键事件进行审计；

26

＞提供统计分析、报表展示功能。

.4业务层及用户层

业务层包括目前已有系统，以及在建的系统和未来建设的扩展系统等。用户层分为两大类用户，普通用户以及系统管理

员。

3.3支撑平台搭建技术方案

3.3.1身份管理搭建技术方案

1.用户数据同步

对已有应用系统，建设的统一身份管理将提供用户身份数据导入接口，将应用原始用户数据导入到统一身份管理中。

统一身份管理面向各应用提供统一的用户信息同步接口，各应用通过该接口同步用户数据，以保证统一身份管理和各应

用间的用户身份同步。如XX公司采用公共密钥体系的RA系统，在颁发用户证书的同时・，还要通过RA和统一身份管理间的

接口，完成用户账号和用户证书的自动绑定，实现证书发放和证书绑定操作一步完成，简化用户账号和用户证书间关系的维

护步骤。

2.统一用户管理实现

27

a)概述

因为用户的角色、信息是活动的，因此对应的用户身份也是动态变化的。作为xx公司整体IT规划的组成部分，统一认

证管理必然要与其他应用系统发生信息交换，以保证用户身份信息的准确性和实时性，借助数据同步服务，统一认证管理平

台可以很轻松的将分散在各个应用系统中的用户账户收集在一起，对冗余账户进行合并，并统一管理。用户信息同步方式如

下图。

目录服务器客户应用系统数据库企业应用系统

_______y

v

监控系统中用户信息的变化

用户信息同步模型

28

b）用户信息采集及同步思路

统一认证平台需要通过多种渠道采集用户身份信息，进行统一管理。本项目根据xx公司的用户来源不同，可将应用系统

使用用户分为系统内用户、系统外用户，统一认证管理平台需要实现对两类用户身份的整合和集中管理，整合方案描述如下：

■系统内用户身份整合

根据招标文件，统一认证管理系统内用户为，省、地市、县XX公司内部人员。统一身份管理将提供数据同步接口，当管

理人员在业务应用系统中录入一个新的用户信息或者修改删除一个用户信息时调用统一身份管理的接口，将新增的用户或者

修改删除的用户信息同步到统一身份管理中。初始化过程中可以通过工具将大批量的用户数据从应用系统中同步到统一身份

管理数据库中。另外一些内部用户可能不在专业应用系统中，这些用户可以由统一身份管理的管理员直接通过统一身份管理

提供的界面维护到统一身份管理中。

■外部用户身份整合

本项目的系统外用户为其它政府部门用户和公众用户。统一认证管理系统提供数据同步接口，当操作人员外网服务系统

中，录入一个新的外部用户信息或者修改删除一个外部用户信息时调用统一身份管理的接口，将新增的外部用户或者修改删

除的外部用户信息同步到统一身份管理中。初始化过程中可以通过工具或信息采集方式将外部用户数据同步到统一身份管理

中。

C）和内部系统集成方案

统一认证管理平台，实现内部系统与统一认证平台的数据交互。如下图所示：

29

统一身份管理平台

证书服务系统

--------------------------1

中央目录服务器I

,4、批量

审批证

ALDAP服务器

「.书申请

---------------->1