统一身份认证平台
一、 主要功能
1. 统一身份识别;
2. 要求开放性接口,提供源代码,扩展性强,便于后期与其他系统对接; 3. 支持移动终端应用(兼容IOS系统、安卓系统;手机端、PAD端;)
4. 教师基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 5. 学生基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 二、 系统说明
2.1单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和 口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。
2.2即插即用:通过简单的配置,无须用户修改任何现有B/S、即可使用。解决了当前其他SSO解决方案实施困难的难题。 2.3多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。
2.4基于角色访问控制:根据用户的角色和URL实现访问控制功能。基于Web界面管理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使 用HTTPS安全地进行管理。 三、 系统设计要求
3.1业务功能架构
通过实施单点登录功能,使用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性;在此 基础上进一步实现用户在异构系统(不同平台上建立不同应用服务器的业务系统),高速协同办公和企业知识管理功能。
单点登录系统能够与统一权限管理系统实现无缝结合,签发合法用户的权限票据,从而能够使合法用户进入其权限范围内的各应用系统,并完成符合其权限的操作。
单点登录系统同时可以采用基于数字证书的加密和数字签名技术,对用户实行集中统一的管理和身份认证,并作为各应用系统的统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用,不仅规避密码安全风险,还简化用户认证的相关应用操作。
说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。 3.2具体包含以下主要功能模块: ① 身份认证中心
② 存储用户目录:完成对用户身份、角色等信息的统一管理;
③ 授权和访问管理系统 :用户的授权、角色分配;访问策略的定制和管理;用户授权信息
的自动同步; 用户访问的实时监控、安全审计; ④ 身份认证服务:身份认证前置为应用系统提供安全认证服务接口,中转认证和访问请求;
身份认证服务完成对用户身份的认证和角色的转换;
⑤ 访问控制服务:应用系统插件从应用系统获取单点登录所需的用户信息; 用户单点登
录过程中,生成访问业务系统的请求,对敏感信息加密签名;
⑥ CA中心及数字证书网上受理系统: 用户身份认证和单点登录过程中所需证书的签发; 四、 技术要求
4.1技术原理
基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。 其原理如下:
1) 每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保
证和系统服务之间的安全通信。
2) 用户登录中心后,根据用户提供的数字证书确认用户的身份。
3) 访问一个具体的信息资源时,系统服务用访问代理对应的数字证书,把用户的身份
信息机密后以数字信封的形式传递给相应的信息资源服务器。
4) 信息资源服务器在接受到数字信封后,通过访问代理,进行解密验证,得到用户
身份。根据用户身份,进行内部权限的认证。 4.2统一身份认证 4.2.1.用户认证
统一身份管理及访问控制系统用户数据独立于各应用系统,对于数字证书的用户来说,用户证书的序列号平台中是唯一的,对于非证书用户来说,平台用户ID(passport)是唯一的,由其作为平台用户的统一标识 4.2.2统一身份认证 1)用户认证
统一身份管理及访问控制系统用户数据独立于各应用系统,对于数字证书的用户来说,用户证书的序列号平台中是唯一的,对于非证书用户来说,平台用户ID(passport)是唯一的,由其作为平台用户的统一标识。 2)系统提供两种应用系统接入方式,以快速实现单点登录: (1)反向代理(Reverse Proxy)方式;
3)应用系统无需开发、无需改动。对于不能作改动或没有原厂商配合的应用系统,可以使用该方式接入统一用户管理平台;
4)反向代理技术:实现方式为松耦合,采用反向代理模块和单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。 (5)Plug-in 方式
Plug-in:实现方式为紧耦合,采用集成插件的方式与单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。 4.3技术要求兼容性
跨系统(Windows/ linux等)、跨平台(PC、移动端)、跨技术语言(JAVA/.NET等)、跨数据库(SQL、Oracle) 4.4技术细节
登录信息:唯一索引ID(识别唯一身份);账号(规则、字符、位数、长度控制),密码(密码规则、位数、长度、字符控制);姓名(实名制);验证码(开关控制,随机);身份证(验证身份证有效性,身份证可作为不唯一索引识别,后台可以开关);输入要求(大写状态提示、软键盘功能) 五、 系统功能模块 5.1账号生成
统一从登录系统添加平台用户的帐号和密码,可以注册,也可以从后台添加。会员登录系统后,系统分配标准的session 值,把用户的登录信息写入session中,子系统按这个标准进行判断用户是否登录。 5.2注册管理
用户邮箱激活(可注册),手机绑定,手机验证码注册(可注册)。 5.3密码管理
1) 登录记住密码;
2) 忘记密码:邮箱找回,手机找回,问题提示(个人关键信息:姓名、身份证、学籍号、
教工号等)找回;密码复位;
3) 密码初始化(管理员可批量恢复用户默认密码); 4) 默认密码管理(修改默认密码值)
5.4帐号管理:登录账户管理、添加、停用、注销、删除;
1) 注销账号:对于不再使用的用户,管理员可以选将其注销,注销操作是不可恢复的。已
注销的用户,在查询时选择状态为“注销”即可查询到。
2) 账号停用:对于暂时不使用的用户,可以选将其停用,与注销操作不同的是,停用的用
户是可以通过启用来恢复使用的。如果用户管理中创建或修改账号时,指定了账号的有
效期,超过有效期后,该账号也会自动被停用。已停用的用户,在查询时选择状态为“停用”即可查询到。 3) 账号启用:要恢复停用的账号,只需在列表中将其检索出来后,选中,然后点击“启用”
按钮,确认后即可。对于因为超过有效期而停用的账号,除了要将其状态改为启用外,还需要修改用户信息,为其重新指定有效的使用时间才能恢复使用。 5.5系统接入管理:接入外部系统的添加、编辑、删除;添加、停用、删除; 5.5身份验证:身份证、学号、教工号验证身份信息; 5.6权限管理:分角色对系统功能进行权限分配,也可对单人权限分配;角色管理自定义(学生、学生会、社团、班干部、科代表等;普通教师、年段长、教研组长、中层干部、三处一室、副校长、校长书记等) 5.7用户管理
1) 用户初始化:导入用户信息;
2) 用户管理包括用户的增,删,改,密码管理,用户状态管理即账户注销,账户停用,账
户启用。
3) 管理员管理辖内人员信息,可以增加、删除和修改人员信息,可以重置人员密码。系统
增加或者删除一个人员则相应的增加或者删除一个用户的账户,每新增一个人员账户,赋予该账户一个初始化密码。
4) 用户检索:用户可以按部门查询人员信息,查询输入条件主要包括:姓名、学籍号、教
师工号、身份证号、邮箱号、手机号和账号状态等 5.8系统管理
1) 登录日志管理(记录所有用户登录登出系统情况)
2) 系统检索(通过系统检索查找用户;用户名、手机、身份证号、学籍号、教师工号、
邮箱)
5.9系统界面要求
用户登录后界面,选择自己要用的系统,进行权限申请; 应用系统选择界面参考
六、 学生基础数据库平台
1) 定制化开发;
2) 根据中华人民共和国教育行业标准JY/T,教育管理基础代码标准、教育管理基础信
息标准、普通中小学校管理信息标准、教育统计信息标准;结合学校需求进行设计开发;
3) 数据导入,数据备份,学生可单独维护数据; 4) 学生管理类代码子集 :