《新一代身份认证平台建设方案.docx》由会员分享,可在线阅读,更多相关《新一代身份认证平台建设方案.docx(42页珍藏版)》请在优知文库上搜索。
1、新一代身份认证平台建设方案一、项目概况4二、建设清单6三、建设内容63.1 总体设计73.2 新一代身份认证平台主要功能83.2.1身份认证方式83.2.2组织管理103.2.3用户数字身份管理113.3.4角色管理163.2.5权限管理173.2.6认证开放193.2.7应用统一接入服务203.2.8个人自助服务223.2.9数据维护和备份233.2.10日志管理及审计243.2.11系统监控243.3 个人门户管理系统功能253. 3.1个人主页254. 3.2角色管理255. 3.3服务管理266. 3.4系统管理297. 3.5日志管理298. 3.6系统监控309. 3.7其他常用功
2、能303.4 消息服务总线313.4.1缓存管理313.4.2权限管理323.4.3日志管理323.4.4系统监控333.4.5消息管理333.4.6应用管理343.4.7消息模板343.4.8第三方配置管理343.4.9接口调试工具343.4.10消息发布和查询353.4.11消息提醒353.4.12统计分析353.4.13高可用性353.5系统集成服务363.5.1应用系统集成363.5.2系统集成内容383.6 业务系统集成迁建服务393.7 安全体系413. 7.1主机安全414. 7.2平台安全425. 7.3数据安全436. 7.4安全运维要求436.8 性能及部署要求436.9
3、售后服务44一、项目概况本项目是学院2021年度“双高”建设任务九提升信息化水平的建设任务,为2021年度省财政“双高信息化”专项项目。学院现建有统一身份认证系统,使用已近8年,实现办事大厅、办公网、人事系统、教务系统、学工系统、科研系统、产学研系统等系统的统一认证、单点登录、统一门户等功能,有效支撑学院的信息化发展。随着互联网技术的不断发展、师生对门户的新要求和网络安全的新要求,现有的统一身份认证平台存在以下主要问题:(1)技术框架陈旧,浏览器兼容性不佳,无法满足跨终端访问需要,如缺少手机自适应的H5门户,用户体验差;(2)认证方式单一,仅支持账密的简单认证方式,不支持手机号码、邮箱、二维码
4、、短信动态验证码等其他认证方式;(3)认证开放能力不足,不支持与互联网应用的互认互信,如QQ、微信、钉钉等;(4)身份管理能力不足,用户数字身份的全生命周期管理能力缺乏;(5)接入运维成本高,需要运维人员与应用接入方联合调试;(6)用户自助能力薄弱,运维人员在重置密码等方面花费了大量的时间,未能强制绑定用户手机、邮箱等信息,造成找回密码功能未能真正落地。(7)系统性能低,在教务系统开展选课等大并发活动的情况下,平台无法提供稳定可靠的认证服务;(8)个性化服务能力不足,针对不同身份用户,无法提供个性化门户服务,如退休职工、在职职工的个性化页面。(9)密码安全性较差,不能对用户设置的密码采取强制性
5、措施,确保密码符合相关文件要求。上述问题已无法通过现有认证平台升级得到解决,需重新部署新一代身份认证平台。本项目主要是建立全校统一的开放的高性能的新一代身份认证与门户管理平台,主要实现以下目标:1、具备多种身份强认证方式,如账号密码、手机动态验证码、二维码扫描、互联网认证(如微信、钉钉等)、人脸识别、移动校园、一通等;2、支持并发用户数2000以上,同时在线用户数5000以上;3、形成应用系统单点接入标准,实现应用接入的自助在线调试;4、实现各类角色用户的个性化门户服务定制;5、构建用户账密自助找回的一件事闭环服务。6、形成符合上级要求的密码设置机制,能强制用户设置符合要求的密码。7、实现数字
6、身份的全周期闭环管理。8、实现H5页面服务的全周期闭环管理。二、建设清单序号建设内容数量备注1新一代身份认证平台1套2个人门户管理系统1套3消息服务总线1套4业务系统集成及迁建服务1套三、建设内容本项目的建设主体为:个人门户管理系统、统一身份认证平台和消息服务总线。通过新一代身份认证平台建设,建立全面的身份认证安全体系,实现学校各类人员身份认证、单点登录,以及身份管理及授权管理等,为校园应用提供面向过程和策略的安全通路。同时梳理并整合校内外服务资源,实现服务的集中管理,为全校师生提供统一的一站式服务。服务内容覆盖各类用户生命周期中涉及的教学、科研、生活等所有方面。项目建设内容主要包括新一代身份
7、认证平台、个人门户管理系统和消息服务总线。3.1总体设计项目服务器部署示意图示例如下:1、新一代身份认证平台基于J2EE标准规范,JAVA开发语言,采用面向服务架构(SOA)设计理念,以身份仓库为身份数据中心,协同实现账号生命周期管理、多样的认证服务及复杂的授权管理等。在满足业务数据处理的同时,技术上支持多数据源,性能上支持高并发,功能上实现身份认证平台集中认证和授权,支持CAS、OAUth2.0、SAML2.0等主流应用对接协议及RestfulAPI等辅助接口对接。2、个人门户管理系统基于J2EE标准规范,JAVA开发语言,采用面向服务架构(SOA)设计理念,以“数据共享、业务整合、一站式服
8、务”为指导思想,建设“以人为本”的服务型信息门户平台,为学院各类用户提供个性化应用服务,实现互动交流、知识分享、协同办公,并以服务为导向为用户提供跨部门一站式服务,为用户带来全新的应用体验。以“不同用户”为视角,梳理并展现面向不同角色的应用服务,满足个性化的需求,并可通过服务门户进行一站式的访问和使用。3、消息服务总线规定各类业务系统在发送消息时须按照规范,调用统一接口发送消息,当有新消息接入时,业务系统无需二次开发,即可发送对应类型的消息,同时对业务系统发送的消息进行权限监管。3.2新一代身份认证平台主要功能3.2.1身份认证方式由于学校用户的多样化,用户习惯的认证方式不同。平台具备多种身份
9、强认证方式,如账号密码、手机动态验证码、二维码扫描认证(微信、钉钉等)、人脸识别认证等。而学校应用系统及软硬件设备的多样化,要求平台具备基于CAS、0uth2.0.SAML2.0等主流应用对接协议的资源授权能力,以及具备LDAP、RestfulAPl等辅助接口对接的能力。用户认证需采用集中统一方式,支持用户名/口令、动态口令、邮箱、别名、二维码、互联网应用账号(如钉钉、微信)、802.IX、标准的X.509数字证书、RF卡(校园一卡通)和智能USbkey等多种认证方式,同时支持第三方认证方式和代理认证机制。能够根据业务的不同安全等级合理使用凭证。具体分类如下:1、系统自身的认证功能。包括用户名
10、/口令、动态口令、邮箱、别名、二维码、LDAP等。其中,重点构建生命体的动态二维码身份标识,也就是系统需具备生成人员动态二维码的机制,用于在某个时间点下唯一标识师生身份,为门禁、会议考勤等应用场景提供身份的统一认证服务。2、第三方认证源接入(1)微信、钉钉、QQ的扫码认证认证平台通过微信、QQ、钉钉等平台生成的二维码,调用对应平台的扫描工具接口,用对应的工具(微信、QQ、钉钉等)扫码实现登录并做好相应的授权管理。如用户未绑定微信、QQ或钉钉,则用对应工具扫码时需提示用户到一站式录入平台录入个人手机号、微信、QQ等个人信息。用户在一站式录入平台录入后,通过调用认证平台提供的API接口将相应数据推
11、送给认证平台进行绑定。(2)集中人脸识别认证在质保期内,若学校建成了人脸集中识别系统或证照库系统,则新一代身份认证平台需实现与该系统对接,将该系统的能力纳入统一管理,确保校内第三方应用要开展人脸识别认证,都调用本平台统一的标准化认证服务,不能直接去调用人脸集中识别系统的认证服务。也就是说,当第三方应用系统需要人脸识别认证身份时,可通过新一代身份认证系统调用人脸识别系统的身份识别API,人脸识别系统通过人脸模型进行匹配,匹配成功后由新一代身份认证平台返回此用户的基础信息(包括姓名、数字身份账号、手机号码、身份证号等),来提升通过人脸识别场景带来的身份验证的便捷性和安全性。(3)一卡通刷卡识别学校
12、现有门禁系统,均通过集成一卡通系统的识别能力。需要将一卡通系统的刷卡身份认证能力集成到本平台,通过本平台的接口,提供门禁等第三方系统的刷卡身份识别(不用于消费场所,仅用于门禁)。该第三方认证源接入,仅作为创新性的试点应用,仅对本项目验收通过后学校新购的门禁系统进行试点实施,学校现有的门禁系统维持直接对接一卡通系统模式。3.2.2组织管理新一代身份认证平台支持学校组织机构管理,实现与学校组织机构数据权威源同步。实现多组织架构管理,可根据各业务系统需要对应的组织架构。支持组织、部门等基础信息的维护和浏览功能。目前学校组织机构权威源在校内的“一站式录入平台”。要求认证平台支持API及ODI的方式与一
13、站式录入平台或数据中心对接,实现组织机构数据从一站式录入平台或数据中心推送至认证平台,完成认证平台学校组织机构的调整。采用API方式同步时,认证平台开放APl接口供一站式录入平台调用;采用ODl方式同步时,认证平台建立组织机构中间表,通过学校现有的ODl工具将组织机构信息从数据中心推送至认证平台的组织机构中间表。认证平台具备对全校组织机构的管理功能,包括组织机构的设定、机构分类、分级维护管理等。实现机构信息增加、机构信息修改、机构作废,及机构展现等功能。可按照教学院系、科研机构、行政机构、党务部门、公共服务、附属单位、后勤部门、校办产业、其他部门等多种分类,实现对学校部门、院系、所、室进行配置
14、与管理,确定部门名称、上下级关系、排序、编制等信息。可根据实际情况对取消的部门进行废弃操作及部门人员的批量变动操作。3.2.3用户数字身份管理建立统一用户数字身份库,作为学校的统一数字身份信息权威源,实现信息系统用户数字身份信息的集中存储,提供用户数字身份账号从激活、启用、维护、锁定、注销的全生命周期管理,同一类用户(如教职工、学生)数字身份账号全局唯一。为避免认证平台在版本迭代升级时,对数字身份管理页面造成不必要的影响,数字身份管理图形化界面应与认证平台的标准化产品页面剥离开来。采用UUlD方式,作为标识生命体的唯一识别码,将身份证、数字校园账号等都作为属性值。(一)数字身份的闭环管理数字身
15、份的闭环管理模块,以用户的UUid作为标识用户的唯一主数字身份,以账号等内容为辅身份,具体以学校实际需求为准(如采用账号为唯一的主数字身份)。为系统管理员提供统一的账号管理操作界面,实现用户数字身份(包括数字身份账号、人脸信息、身份二维码、一卡通等信息)的管理。用户数字身份的状态应包括:启用、未启用和停用等。数字身份账号的管理手段应包括激活、维护、锁定、注销的手动操作及用户数字身份账号批量导入和导出、增删改查及状态调整等操作,满足学校大量账号维护需求。用户数字身份同时应具备与学校数据权威源的自动同步功能,实现用户数字身份账号从激活、维护、锁定、注销的动态管理,各环节的要点如下:(1)用户数字身份账号同步目前学校用户数据权威源为一站式录入平台,人脸的数据权威源为人脸库,身份二维码和一卡通的数据权威源在一卡通系统。统一身份认证平台须通过包括API、ODI等至少两种方式实现与一站式录入平台的用户数据同步,包括用户教职工或学生身份、人员状态及教职工人员类别等,确保统一身份认证平台与一站式录入平台用户信息一致。教职工用户数据采用API和ODl两种方