统一用户管理与认证平台需求说明书.doc

南山区教育信息网应用系统 统一用户管理与认证平台 需求说明书 项目及文档信息 发布日期：2008-9-30 项目名称 南山区教育信息网应用系统 合同号 项目合同编号 项目经理 杨巨龙 客户负责人 石义琦 文档编号 项目代号-文档类型-流水号 模板编号 版本信息 * A代表新增，M代表修改，D代表删除。 版本号 发布日期 提交人 审阅人 A.M.D 更新位置 更新摘要 1.0 2008-9-30 A 拟初稿 1 引言 3 1.1 编写目的 3 1.2 背景 3 1.3 定义 3 1.4 参考资料 4 2 任务概述 4 2.1 目标 4 2.2 用户的特点 4 2.3 假定和约束 5 3 需求规定 5 3.1 对功能的规定 5 3.1.1 统一用户管理 5 3.1.2 统一认证与单点登录 7 3.1.3 应用系统自身的用户及认证管理 8 3.2 对性能的规定 8 3.2.1 精度 8 3.2.2 时间特性要求 8 3.2.3 灵活性 9 3.3 输人输出要求 9 3.3.1 用户信息 9 3.3.2 认证信息 9 3.4 数据管理能力要求 9 3.5 故障处理要求 9 3.6 其他专门要求 9 4 运行环境规定 9 4.1 设备 9 4.2 支持软件 10 4.3 接口 10 4.4 控制 10 10 1 引言 1.1 编写目的 本文档的编写目的在于确定南山教育信息网统一用户管理与认证平台的需求内容，成为后续开发建设和验收的依据。 1.2 背景 在应用系统的建设中，用户身份和认证信息的管理是最关键的一部分。但是由于需求总是在不断变化和发展，应用系统也会不断的增加或淘汰。因此，应用系统通常都是在不同平台上、由不同开发商开发，使用的技术不一致，容易造成每套系统都有独立的用户身份管理，登录不同应用系统需要多次登录。 对于用户来说，每增加一个新的应用，需要记忆一套新的用户名/密码，负责的业务范围越大，需要记忆的用户名/密码组越多。设定一样的密码，不够安全；密码设定不一样，记忆困难，每次访问应用系统，需要重复输入用户名/密码，在一个系统中修改了密码，其他系统的密码不会随之改变。 对于系统管理员而言，没有一个统一的用户管理系统，就会在新进人员时，需要到众多系统中逐一建立帐号；人员离职时，需要到众多系统中逐一删除帐号，给系统管理员的工作造成了繁重负担，还容易造成各系统中人员身份信息的不一致。 对于南山区学校领导、教师和学生等用户，由于其可以享受大量教育资源服务，为防止他人冒名顶替、盗用资源，故须对这些“合法”用户要进行统一的实名认证。 1.3 定义 统一认证平台：南山教育信息网的应用支撑性平台，包括了统一用户、应用资源的管理以及各应用资源的统一认证管理。 统一用户管理： 负责管理南山教育信息网全体实名用户的身份管理，并分配各分项应用子系统中具有使用权的用户，将统一用户信息同步到应用子系统中。 统一认证：负责南山教育信息网的统一用户认证以及单点登录支持，用户通过平台统一登录之后可以单点登录访问其权限范围内的各分项应用子系统，单点登录需要各应用系统支持统一认证接口。 1.4 参考资料 招标文件《南山区教育信息网应用系统软件开发与集成服务》 2 任务概述 2.1 目标 （1）用户组织与权限管理：建立一套有效的用来管理网络资源、用户身份的平台，实现组织、用户和资源的集中管理和授权，管理员不再分散管理用户，系统具有很高安全性和灵活性。 （2）统一认证管理：单点登录功能是实现统一身份认证系统的首要目标，实现让用户在经过一次网络身份验证后，就可以访问所有授权的网络资源，而不需要额外验证，支持多种认证方式（用户名密码、证书、USB）。这里的网络资源，主要是指基于Web方式的应用系统。 （3）应用系统管理：在实现了用户统一认证的基础上，制定出一套规范的用户单点登录机制，提供用户身份统一访问接口，要求所有新建且可以经过统一身份认证系统认证的应用系统，涉及的账号一定是统一身份认证系统的用户帐号。这些应用系统必须被统一身份认证系统所管理，管理平台设置可以访问此应用系统的用户、组织或角色等。 （4）旧系统策略：提供自动代理登录（自动登陆到其它目标业务系统）功能，实现统一用户可以单点登录旧系统，代理登陆所需要的用户信息保存在独立数据库中。 （5）日志管理：可以查看用户登录以及用户同步的日志记录。 2.2 用户的特点 南山教育信息网的用户涉及到南山教育局以及下属的各个学校和机构的全体用户，具体包括：约1万的教职工用户，约10万的中小学生用户、约10万的家长用户。所有这些用户都将由统一认证平台统一管理，平台管理员有权管理所有的用户信息，而各个单位（如某个学校）的管理员可以管理本单位的用户信息，普通的用户可以使用自己的帐号通过平台进行统一登录，然后单点式的访问南山教育信息网类自身具有权限的应用系统资源，不再需要为访问某一个应用系统而分别输入用户、密码。 2.3 假定和约束 南山教育信息网具备全局的统一用户库，各分项的应用子系统可以仍然具备自身的用户体系，但用户信息源于统一用户库，用户的产生由统一用户管理负责，各应用系统接收平台发送的用户同步信息。 各应用系统必须提供相关的接口以支持单点登录，对于已有的应用系统而言，通过基于用户映射的代理访问方式，不需要单独开发单点登录接口。 3 需求规定 3.1 对功能的规定 3.1.1 统一用户管理 平台提供南山教育信息网全体实名用户的用户资料信息集中存储，这些资料由统一用户认证平台集中管理，平台管理员可以维护所有人员的用户信息，各单位的管理员只能维护其本单位的用户信息。 用户的信息包括应包括3个层面的含义：1、用户的人事类基础信息，诸如姓名、性别、户籍、身份证、职务、联系电话、电子邮箱、学历、学位等等，这些信息不涉及安全登录，但可以作为用户登录帐号信息的生成来源。2、用户的帐号信息，诸如登录帐号、密码、密码有效期、登录方式等，这些信息涉及安全登录，在进行用户认证时，构成校验信息的主体。3、权限信息，指用户可以访问哪些应用系统资源。 统一用户管理具体由以下功能组成。 3.1.1.1 人事信息管理 人事信息资料的管理是帐号管理体系的基础工作，它具有对学生人事信息和教职工信息（含局机关）的管理职能，提供人事信息查询、修改、统计、增加、检验、帐号查询等功能。 系统应支持从Excel批量导入人事信息的功能，同时也支持针对单个个体的创建及维护功能，便于管理。 3.1.1.2 帐号信息管理 帐号管理是整个统一用户管理体系的核心，它负责用户登录帐号的生成、注册、挂失、解挂、维护等功能。 帐号信息至少包括登录帐号、密码等，作为与应用系统进行用户同步的基础，帐号信息也包含了主要的一些人事类信息，如姓名、性别、身份证、民族、籍贯、职务等。 用户的帐号必须唯一，同时其密码的设定应不能过于简单，安全起见应具备一定的复杂度。 对于用户个人来说，应该具备密码修改的功能，保证其帐号的安全性。 3.1.1.3 应用系统管理 作为用户管理主体，统一用户认证平台负责了整个南山教育信息网的全体用户信息的管理，各分项的应用系统受平台管理约束，各系统的用户信息来源于统一用户，为了将统一用户信息分配到各个子系统，需要将应用系统注册到平台之中，并记录各系统支持用户信息同步的接口。 3.1.1.4 用户权限管理 南山教育信息网的用户并不是可以访问全部的应用系统，因此必须具有相关的权限管理。 统一认证平台的用户权限管理并不涉及到用户对于各个应用系统的业务权限，而是指定哪些用户可以访问哪些应用系统，分配一个用户可以使用哪个应用系统之后，他的用户信息就被同步到相应的应用系统之中。 3.1.1.5 用户信息同步 用户具备某个应用系统的权限之后，他应用在该系统中具有用户身份，由于用户信息由平台统一管理，因此就需要将用户信息同步到应用系统中。 同步的用户信息指的是用户的帐号信息，平台应具备通用的用户信息同步接口，负责将统一帐号信息以通用的接口方式发送给各个应用系统，各系统按照平台的规范性要求实现自身自身的用户信息同步接口，获取统一用户信息后，完成用户从平台到各系统的新增、修改、删除的同步操作。 3.1.1.6 日志管理 系统具备用户同步日志管理功能，可以查看同步是否成功，同步不成功时也可以看到具体的错误跟踪信息。 系统具备用户登录日志管理功能，可以查看用户的登录情况。 3.1.2 统一认证与单点登录 3.1.2.1 统一认证 作为南山教育信息网的应用基础，统一认证平台应提供用户帐号身份的集中验证功能，验证通过之后，用户具有的全局的身份，当他再访问网内的其他应用子系统时，不再需要进行身份认证。 统一认证只需要支持B/S架构的认证方式，具体可以支持NTLM、Kerberos v5.0、BASIC认证、摘要认证、LDAP认证等多种认证协议，并支持用户名/密码、数字证书、卡认证等多种认证方式，以支持在不同应用场景下的用户认证请求。 对于南山教育信息网本期项目而言，只统一使用用户名/密码的认证方式。 在南山教育信息网主门户网站中，将提供统一的登录入口，用户登录之后，进入其个人首页，个人首页中提供了用户有权访问的应用系统资源，用户从该处可以以单点登录的方式进入各应用系统。 3.1.2.2 单点登录 用户经过统一认证之后，方式南山教育信息网内各子应用系统时，应支持单点登录功能，用户只需输入一次用户名和密码，就可访问平台所有被授权访问的系统，而无需二次输入用户名和密码。 平台需要支持2类B/S结构的应用系统的单点登录： 1、使用统一帐号的新建应用系统，其单点登录支持需要支持各种异构系统，比如基于微软技术的、Java技术的、Php技术的等等，这种方式对于用户来说使用的就是统一帐号和密码，不需要其自身再进行任何设置，对于应用系统来说，则需要按照平台的规范性要求实现单点登录接口，能够获取到用户的统一身份信息。 2、非使用统一帐号的原有应用系统，其单点登录支持的是基于Form的表单式认证，平台提供用户自助式的原系统用户名、密码配置界面，用户配置好原系统的认证信息后，在访问原系统时，平台将身份信息以代理的方式提交给原系统，完成登录。 3.1.3 应用系统自身的用户及认证管理 南山教育信息内各新建的应用系统的用户管理和认证与统一用户管理认证平台做整合，以统一用户管理认证系统为主，以应用系统自身的用户管理和认证为辅。 3.1.3.1 应用系统用户管理 各应用系统仍然具备自身的用户管理，保持其独立性。主要维护其本系统内的一些统一用户之外的个性化信息参数，用户的创建由平台发起，不能由应用系统首先创建。 应用系统需要开发用户信息同步接口，负责本系统内用户帐号信息的创建、修改、删除工作。平台在授权后会将用户帐号信息同步到应用系统中，平台在删除用户后也将通过同步接口将用户从应用系统中删除。 3.1.3.2 应用系统用户认证 各应用系统仍然可以具备自身的用户登录认证功能，保持其独立性。应用系统自身的登录认证，只完成其本身的登录，并没有登录到统一平台。 3.2 对性能的规定 3.2.1 精度 支持10万级用户的身份认证，支持3000并发认证。 3.2.2 时间特性要求 响应时间在2秒以内，不能超过5秒。 3.2.3 灵活性 系统从结构上及功能上应该具备良好的灵活性，能够满足用户不断发展的复杂业务需求。降低使用维护过程中的难度。 3.3 输人输出要求 3.3.1 用户信息 用户基本信息至少包括姓名、性别、身份证、所属单位。 3.3.2 认证信息 用户认证所需的帐号信息至少包括登录帐号、密码、密码有效期。 3.4 数据管理能力要求 能够管理20万级别的用户信息管理。 3.5 故障处理要求 系统具备集群功能，防止系统单点故障。 3.6 其他专门要求 无。 4 运行环境规定 4.1 设备 2台TAM服务器，4台WebSeal服务器，性能条件建筑在以下具体配置要求之上： 1. ★两个四核Intel Xeon 5430处理器(2.66GHz, 1333前端总线，集成2x6MB二级缓存)； 2. ★8GB(4x2GB)两路交错PC2-5300全缓冲 DDR2-667内存 3. 支持高级ECC，镜相内存和在线备用内存，8个内存插槽，最大内存可以扩充到32GB； 4. 集成双千兆网卡,带TCP/IP Offload引擎，可实现加速iSCSI,2个I/O扩展槽； 5. 集成SAS智能阵列控制器，支持RAID 0，1，支持2个小尺寸SAS热拔插硬盘； 6. ★两个146GB 10K SAS 2.5"硬盘； 7. ★配备双口4GB光纤通道卡； 4.2 支持软件 ITDS 6.0：Redhat Enterprise Linux 4 update 5 TAM 6.0：Redhat Enterprise Linux 4 update 5 WebSeal 6.0：Redhat Enterprise Linux 4 update 5 4.3 接口 用户同步接口 单点登录接口 统一用户信息获取接口 4.4 控制 平台控制统一用户信息的维护和认证，各系统实现用户同步接口、单点登录接口，可以通过统一用户信息获取接口获取用户信息。