统一权限管理平台技术方案
统一权限身份验证单点登录管理平台
技 术 方 案
2019年 10月
目录
目录 ................................................................................................................................................... 2 第一章 系统实施方案 ...................................................................................................................... 3 1.1 1.2
概述 ......................................................................................................................................... 3 系统架构设计 ......................................................................................................................... 3
1.2.1 总体设计 .............................................................................................................................. 3 1.2.2 技术路线 .............................................................................................................................. 4 1.3
功能设计 ................................................................................................................................. 5 1.3.1 AD域规划方案..................................................................................................................... 5 1.3.2 统一权限平台 ...................................................................................................................... 8 1.3.3 数据同步方案 .................................................................................................................... 13 1.3.4 主数据方案 ........................................................................................................................ 13 1.3.5 下游对接方案 .................................................................................................................... 13 1.4
非功能性需求设计 ............................................................................................................... 14 1.4.1 高可用,高可靠 ................................................................................................................ 14 1.4.2 性能需求设计 .................................................................................................................... 14 1.4.3 故障诊断 ............................................................................................................................ 14 1.4.4 兼容性需求设计 ................................................................................................................ 14 1.5
系统软硬件平台配置方案 ................................................................................................... 15 1.5.1 部署方案 ............................................................................................................................ 15 1.5.2 硬件环境配置建议 ............................................................................................................ 15 1.5.3 软件环境配置建议 ............................................................................................................ 16 1.5 系统实施方案 ............................................................................................................................. 16 1.5.1实施团队 ............................................................................................................................... 16 1.5.2实施方法 ............................................................................................................................... 16
第一章 系统实施方案
1.1 概述
本文档针对统一权限管理平台的需求进行总体技术方案设计及模块部署方案设计。看,
1.2 系统架构设计
1.2.1 总体设计
统一权限管理平台是以Windows AD 为基础,搭建统一身份认证、统一权限管理、主数据管理、上下游系统对接的集成化信息系统。
1) 通过平台单向同步HR/OA系统人员信息至Windows AD和主数据中。
2) 规划定义好各岗位的标准权限,即规划每一个岗位在各应用系统中的权限类型,
在平台主数据中,建立HR系统的岗位信息和业务系统的角色信息的对应关系。人员入职,其账号将自动开通预设的权限,人员调动的权限变更通过流程来控制,人员离职自动禁用帐号。
3) 业务应用系统的用户认证方式为LDAP认证时,只需配置相关域控制器地址,无
需开发。
4) 不支持LDAP认证的业务系统,统一权限管理平台提供标准的OAuth2登录认证方
式。此认证方式需要少量开发,并支持APP、微信应用等互联网应用的接入。 5) 统一权限管理平台将提供用户信息、组织部门、岗位角色、权限分派等后台管理
功能。后台使用前后端分离的Web技术,提供部分服务治理的功能,并且通过支
撑产品制定应用层面的各种标准规范,提供基础组件类库,确保本系统业务应用的整合和未来扩展,为本系统提供有力的技术基础,加快信息化的进程,降低管理成本。
1.2.2 技术路线
1.2.2.1 Cloud Admin Framework
Cloud Admin Framework是基于Spring Cloud、OAuth2.0搭建的微服务快速开发框架,通过整合企业信息、业务应用及服务,为企业信息系统提供统一访问入口,统一身份管理,统一权限管理,个性化展现定制等功能,同时还是企业构件集成支撑环境的基础平台。CA Framework具备微服务的所有特征,在服务监控、熔断、降级等方面具有先天的优势。
1.2.2.2 RESTful
REST 指的是一组基于HTTP协议、使用JSON进行交互的架构约束条件和原则。满足这些约束条件和原则的应用程序或设计就是 RESTful。
Web 应用程序最重要的 REST 原则是,客户端和服务器之间的交互在请求之间是无状态的。从客户端到服务器的每个请求都必须包含理解请求所必需的信息。如果服务器在请求之间的任何时间点重启,客户端不会得到通知。服务器端,应用程序状态和功能可以分为各种资源。资源是一个有趣的概念实体,它向客户端公开。资源的例子有:应用程序对象、数据库记录、算法等等。每个资源都使用 URI (Universal Resource Identifier) 得到一个唯一的地址。所有资源都共享统一的接口,以便在客户端和服务器之间传输状态。使用的是标准的 HTTP 方法,比如 GET、PUT、POST 和 DELETE。Hypermedia 是应用程序状态的引擎,资源表示通过超链接互联。 1.2.2.3 JWT token
Json web token(JWT)是非LDAP协议的统一身份认证的解决方案。满足不支持LDAP协议的业务系统的接入,也满足APP、微信公众号等互联网应用的接入。
JWT为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
JWT由头部(header)、载荷(payload)、签证(signature)三部分构成。头部是加密声明,通常直接使用HMAC SHA256,载荷则可以烧人如下信息:
用户身份 组织单位 岗位角色
失效时间(内置)
JWT是跨平台、跨语言的,有了这些信息便可以和非LDAP协议的系统无缝对接,获取了token,便获取统一权限管理主数据平台组织及人员架构数据。
1.2.2.4 Dynamic Datasource Engine
dynamic-datasource-spring-boot-starter 是一个基于springboot的快速集成多数据源的启动器。这个启动器主要是对接HR数据源和统一权限管理平台的AD用户数据和平台主数据,进行各个系统的数据同步。
1.2.2.5 Cloud Admin Job
CA-JOB是一个轻量级中央调度平台,它包含运行报表、任务管理、调度日志、执行器管理几个模块。统一权限管理平台的所有同步任务、策略都在调度中心统一管理、维护。调度中心以HTTP指令的方式触发同步任务的执行。
1.3 功能设计
1.3.1 AD域规划方案
1.3.1.1 单域多站点架构的好处:
1) 满足大型企业对于网络资源的共享,管理以及相关设备的控制的需求。 2) 实现了最新的“开源节流”标准,节约了的能源损耗,同时使得企业的管理变得
简单而且灵活,统一管理。
3) 通过管理需求建立起网络策略和本地策略使得我们的人力资源得到很好的节约,
同时也使得我们的网络开销减少。
1.3.1.2 架构设计
基于某公司员工数众多,且在国内有多个分公司,出差或者出国都很频繁,登录方式和使用情况都不统一,所以提出集团化的单域多站点架构,统一使用唯一集团账户,去登录和使用各应用系统和邮件服务。
1.3.1.3 子网规划与环境搭建
单域多站点架构在划分站点的同时,先要划分好企业的基本网络拓扑图。以南昌、丰城、上海为例建立三个站点:N1、N2、N3站点。然后通过网络连接相应的站点实现域环境下的子网结构。划分好子网后,在子网存在的情况下搭建环境。
AD域命名
基于WindowsAD域 统一权限管理身份验证的单点登录台系统技术方案
