爱山东政务服务平台 第8部分：统一身份认证系统接入规范-地方标准编制说明

1一身份认证系统接入规范》地方标准编制说明（报批稿）一、工作简况（一）任务来源2021年9月，山东省市场监督管理局下达了《关于印发2021年度“山东标准”建设项目计划的通知》（鲁市监标字〔2021〕261号本标准列为推荐性地方标准，计划编号：2021-T-193。标准编写过程中，根据专家审查意见，标准名称由《政务服务平台第8部分：统一身份认证系统接入规范》调整为《“爱山东”政务服务平台第8部分：统一身份认证系统接入规范》。本文件由山东省大数据局提出、归口并组织实施。（二）起草单位、起草人及任务分工山东省大数据中心为主要起草单位，负责标准的编制等工作；济南市大数据局、山东新一代标准化研究院有限公司、淄博市大数据局、潍坊市大数据中心、山东省计算中心（国家超级计算济南中心）等为主要参与单位，负责标准意见征集、标准技术论证等。（2）起草人及任务分工本标准的起草人为郑艳君、王建坤、张立群、徐凡、张子云、王准、李娜、梁峰宁、李文娜、綦明、刘婉婷、扈玮、2赵硕、逄锦山等。任务分工如下：郑艳君、王建坤、张立群负责标准总体设计、技术把关工作，徐凡、张子云、王准负责标准资料调研、汇总等工作，李娜、梁峰宁、李文娜负责技术资料分析、标准框架搭建等工作，綦明、逄锦山、刘婉婷负责标准内容起草、征求意见及修改、专家研讨及意见修改、送审材料编写等工作，扈玮、赵硕负责参与标准各阶段的技术讨论、标准的试验论证等工作。编写组首先开展项目调研工作，一方面广泛搜集业务中台身份认证系统对接相关的国家标准、行业标准、地方标准及相关政策文件等；另一方面深入了解全省“爱山东”政务服务平台统一身份认证系统对接等相关实施项目，与统一身份认证系统建设相关方就统一身份认证系统情况进行充分沟通，获取大量统一身份认证系统对接现状、对接需求、对接要求等相关信息。2022年10月—2022年12月，标准编写组对搜集的资料及调研结果进行分析处理，总结归纳出当前“爱山东”政务服务平台统一身份认证系统对接的标准化需求：“爱山东”政务服务平台统一身份认证系统正处于对接应用阶段，主要通过接口进行对接，迫切需要对接入流程、接入3接口、接入管理等进行明确，并提出具体要求，以指导“爱山东”政务服务平台全省统一身份认证系统的设计、建设、管理和应用。2.草案形成阶段（2023年1月—2023年4月）2023年1月—2023年4月，标准编写组与统一身份认证系统建设相关方多次深入沟通，了解到统一身份认证系统对接主要通过接口。经与统一身份认证系统建设相关方多轮讨论后，确定该标准范围为指导全省各接入单位规范对接到“爱山东”政务服务平台。标准编写组充分借鉴、吸收国家和其他各省在统一身份认证系统对接的经验做法，并深入调研分析我省“爱山东”政务服务平台统一身份认证系统对接的接入流程、接入接口、接入管理等相关要求，并起草了标准草案初稿。针对标准中的对接流程等内容，标准编写组多次与统一身份认证系统主管部门、各技术服务厂商等开展了线上、线下讨论，认真汇总参与讨论各方所提的意见和建议后，根据意见处理情况对标准草案初稿多轮次迭代优化，形成了标准草案。3.征求意见阶段（2023年5月—2023年9月）2023年5月，在标准草案基础上，标准编写组组织各技术服务厂商开展了多次线上讨论会，主要讨论问题内容集中于统一身份认证系统对接流程是否合理，接入接口、接入安管理要求是否符合各级实际需求。讨论会后，标准编写组认真梳理、分析各技术服务厂商所提的意见，并根据意见情况4完善标准内容，主要包括：接入流程增加接入开通；接入接口补充接口信息要求；接入安全体现用户信息安全。标准编写组对标准草案进行了修改完善，形成了征求意见稿。2023年6月—7月，标准编写组采用线上方式，面向11个省直部门，16个地市对标准征求意见稿进行了广泛征求意见。2023年8月—9月，标准编写组认真汇总各部门提出的意见和建议，回函单位数32，有意见和建议单位数4，共搜集5条意见，采纳4条，主要修改标准格式。标准编写组根据意见处理情况，对标准内容进行了修改。4.送审稿形成阶段（2023年10月—2023年12月）2023年10月，标准编写组与平台建设主管部门逐项讨论修改后的标准内容，讨论过程中发现问题及时修改，并在业务中台对接过程中开展标准验证，参照验证结果进一步完善标准技术内容，形成了标准送审稿。同时标准编写组完善了地方标准编制说明，编写地方标准审查申请书、送审函、审查会议方案和拟邀请审查专家推荐表等，形成了完整标准送审材料。5.报批稿形成阶段（2024年1月—2024年4月）2024年1月25日在济南邀请来自山东大学、山东省公安厅信息通信处、山东省生态环境监测中心、山东省市场监管监测中心、中国软件评测中心、山东省标准化研究院、济南大学、山东省司法厅、山东省农业技术推广中心等单位共9名专家组成专家审查委员会，针对标准编写组准备的标准审5查材料进行审查，提出了补充调整接入流程描述、具体接口在正文中体现等方面意见。标准起草组汇总专家审查意见，对标准文本等进行了修改完善，形成了标准草案报批稿。2024年2月—4月，标准编写组编制了地方标准编制说明、地方标准报批申请书、报批函等，形成了完整标准报批材料，并计划报送省市场监管局进行报批。二、地方标准制定目的和意义本标准制定目的是通过明确“爱山东”政务服务平台统以指导全省接入单位对接“爱山东”政务服务平台统一身份认证系统。通过规范统一身份认证系统接入流程，明确了接入申请、接入审核、接入改造、接入测试、接入开通、用户信息绑定、接入下线等接入环节要求。通过规范统一身份认证系统接入接口，明确了接口信息和接口目录，主要包括通过票据获取令牌接口、根据令牌获取个人用户详细信息、根据令牌获取法人用户详细信息、登录页面接口、PC账号退出接口等。通过规范统一身份认证系统安全管理，明确了身份认证系统安全技术要求、用户个人信息安全要求、用户身份认证与授权要求等。本标准的发布实施，可有效指导爱山东”政务服务平台全省统一身份认证系统的设计、建设、管理和应用，推动各级各部门接入全省统一身份认证系统，进一步加强政务服务应用中身份认证管理。6三、地方标准编制原则、主要技术内容和确定依据（一）标准编制原则本标准依据GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》给出的规则起草，该标准编写的主要原则如下：（1）科学性原则：本标准依据已经发布的相关国家标准、行业标准、地方标准，结合我省实际，确定标准框架，具有较高的科学性；（2）需求主导原则：本标准的制定充分调研我省统一身份认证系统接入实际需求，明确框架，在标准起草过程中及时根据建设中反馈的问题同步完善标准内容，标准内容与实际项目需求保持一致；（3）适用性和可行性：本标准规范的接入流程、接入可有效的指导统一身份认证系统接入工作，具有广泛的适用性和可行性。（二）标准主要技术内容本文件规定了“爱山东”政务服务平台中统一身份认证系统接入流程、接入接口、接入管理里要求，并描述对应验证方法。本文件适用于“爱山东”政务服务平台全省统一身份认证系统的设计、建设、管理和应用。本文件主要技术内容包括：7（1）术语和定义：GB/T31072界定的术语和定义适用于本文件。（2）缩略语：给出了HTTPS、ID、PC、URL等缩略语的含义，例如HTTPS表示超文本传输安全协议，是HypertextTransferProtocolSecure的缩写。（3）接入流程：给出统一身份认证系统对接流程以及流程各环节要求，包括接入申请、接入审核、接入改造、接入测试、接入开通、用户信息绑定、接入下线等。（4）接入接口：给出统一身份认证系统对接接口的信息要求和接口目录，接口信息包括接口名称、接口描述、接入方式、输入参数、输出参数，接口目录包括票据获取令牌接口、根据令牌获取个人用户详细信息、根据令牌获取法人用户详细信息、登录页面接口、PC账号退出接口等。（5）接入管理：给出统一身份认证系统接入管理要求，包括身用户个人信息、身份认证与授权等接入管理要求。（6）验证方法：给出了统一身份认证系统接入流程、接入接口、接入管理的验证方法。（7）附录A：给出了统一身份认证系统接入流程图。（8）附录B：给出了系统接入申请表。（9）附录C：给出了系统下线申请表。（10）附录D：给出了接入接口中部分参数的代码集说（三）本标准主要技术内容确定的确定依据81.标准编制背景《山东省人民政府关于印发山东省“十四五”数字强省建设规划的通知鲁政字〔2021〕128号》中提出打造整体高效的数字政府。要夯实服务平台做“加法”，围绕“政府一个平台推服务、群众一个平台办事项”目标,推动数字技术与政务服务深度融合,丰富服务渠道,升级平台功能,强化数据分析,打造“一个门户、一部手机”政务服务“新基建”，优化升级省市一体化在线政务服务平台,提升跨层级、跨部门业务运行支撑能力，持续拓展“一网通办”总门户,加快政务服务事项全面上网运行,实现企业群众办事“进一张网,办全省事”，实施“掌上齐鲁”惠民工程,迭代升级“爱山东”移动端,推动政务服务“随时办、随地办、随手办”,进一步优化“一部手机走齐鲁”体验.强化政务服务大数据分析,优化以企业群众为中心的定制服务、主动服务、精准服《山东省人民政府办公厅关于印发数字强省建设2023年工作要点的通知鲁政办发〔2023〕10号》中提出塑强一体化的“爱山东”政务服务品牌，深化窗口端、桌面端、移动年底前基本实现企业群众在线办事“进一个网，办全省事”，建设“24小时不打烊”的网上政府、掌上政府。《山东省人民政府关于印发山东省数字政府建设实施方案的通知鲁政字〔2023〕15号》中提出打造泛在可及的服9务体系。发挥全国一体化政务服务平台“一网通办”枢纽作用，迭代升级“爱山东”政务服务平台，推动线上线下多渠道业务协同和服务融合，打造以线上“全程网办”为主，线下专窗代收代办为辅，线上线下相融合的政务服务通办体系。通过制定"爱山东"政务服务平台统一身份认证系统接入规范，有利于推动各级各部门接入统一身份认证系统，有利于推动数字技术与政务服务深度融合,丰富服务渠道。2.标准主要内容的确定（1）标准框架的确定一方面标准起草组调研了国家和其他相关省在起草和已发布的统一身份认证系统接入等相关的标准框架，总结出统一身份认证系统接入实施一般从接入流程、接入接口等几方面进行规范。另一方面对我省统一身份认证系统实际接入情况开展了调研，经调研了解统一身份认证系统接入实际情况，并明确了接入流程、接入接口、接入管理等相关内容。结合以上情况，标准编写组搭建了标准框架，主要内容包括接入流程、接入接口、安全管理。标准组梳理其他各省统一身份认证系统接入流程，梳理总结出一般接入流程包括接入申请、接入审核、接入改造、接入测试、接入开通、用户信息绑定、接入下线等，与我省统一身份认证系统接入实际情况比对，符合我省统一身份认证系统接入流程需求，并在附录A中给出接入流程图。根据我省统一身份认证系统接入流程实际情况，业务系统接入统一身份认证系统前，接入方应先进行第三方安全测评，符合统一身份认证系统要求的才能进行接入申请，在标准中体现。在接入申请和接入下线流程中，根据统一身份认证系统接入要求，接入部门需要填写系统接入申请表和系统下线申请表。标准组对以往提交的系统接入申请表和系统下线申请表进行申请总结，提取关键信息形成标准中的接入申请表和系统下线申请表，与技术人员和业务主管部门讨论确定后在标准组根据前期调研情况了解到接入方通过对接接口接入统一身份认证系统。标准组根据技术人员提供的技术文档等资料梳理出关键对接接口，主要包括票据获取令牌接口、根据令牌获取个人用户详细信息、根据令牌获取法人用户详给出部分参数的代码集说明。标准组多次与统一身份认证系统相关建设方开会讨论统一身份认证系统对接接入管理需求，总结接入管理需求包括用户个人信息、身份认证与授权、接入接口监测等要求，主要引用GB/T37964、GB/Z24294.3等国标。之后与统一身份认证系统主管方确认时，补充访问控制、定期检测等安全管理要求。本标准为规范类标准，GB/T20001.5-2017《标准编写规则第5部分：规范标准》中规定规范类标准需要给出的相应的验证说明，标准组对规范类的国标进行了调研，流程类一般通过观察实际接入流程并获取接入流程产生的数据进行验证；接口类一般通过验证程序调用接口，测试接口运行情况进行验证。标准组对“爱山东”政务服务平台统一身份认证系统对接中接入管理验证情况进行调研，可通过创建接入管理场景，展现出相应的接入管理要求与本标准给出的接入管理要求进行对比来验证。（四）本标准的试验论证情况（1）基本要求满足实际需求的验证。选取已接入统一身份认证系统的业务系统进行接入验证，梳理其统一身份认证系统时保存的相关资料，整理出的接入流程与本标准给出的接入流程一致。（2）基本要求满足测试环节的验证。选取枣庄市还未接入统一身份认证系统的业务系统按标准中规定的接口与接入统一身份认证系统进行对接，包括登录页面接口、获取退出接口、法人账号切换接口等，能够满足业务系统对身份认证的应用要求。通过以上验证，本标准规定的接入流程、接入接口、接入管理要求合理、适用性强，能够满足统一身份认证系统接入的管理需求。四、与现行相关法律、行政法规和其他标准的关系本标准主要参考的政策、法规、标准如下：(1)《山东省人民政府办公厅关于印发数字强省建设2023年工作要点的通知》（鲁政办发〔2023〕10号）(2)《山东省人民政府关于印发山东省数字政府建设实施方案的通知》（鲁政字〔2023〕15号）(3)《山东省人民政府关于塑强“爱山东”政务服务品牌全面推进政务服务体系建设的实施意见》（鲁政发〔2022〕(4)《关于加强“爱山东”政务服务平台移动端建设管理的意见》（办公厅便函〔2022〕157号）(5)《关于印发2022年度“爱山东”政务服务平台移动端建设运营工作方案的通知》（鲁数发〔2022〕11号）(6)《国家电子政务标准体系建设指南》(7)《山东省政务信息系统整合共享实施方案》（鲁政办发〔2017〕75号）(8)《山东省人民政府关于印发山东省“十四五”数字强省建设规划的通知》（鲁政字〔2021〕128号）(9)ZWFWC0103国家政务服务平台政务服务移动端建设(10)ZWFWC0110国家政务服务平台统一身份认证系统接入要求(11)ZWFWC0121国家政务服务平台统一电子印章接入测试方法(12)GB/T22239—2019信息安全技术信息系统安全等级保护基本要求(13)GB/T31506—2015信息安全技术政府门户网站系统安全技术指南(14)GB/T39047—2020政务服务平台基本功能规范(15)GB/T39044—2020政务服务平台接入规范(16)GB/T22239信息安全技术网络安全等级保护基本要求(17)GB/T37964信息安全技术个人信息去标识化指南(18)GB/T37973信息安全技术