统一授权管理.pdf

1、统一授权管理解决方案 统一授权管理统一授权管理 在推进各机构单位信息化建设的进程中，普遍存在多个系统的信息资源目录的统一问题，普遍存在统一的授权管理问题，普遍存在统一授权机制、分级分类授权操作的问题。这些问题的解决直接影响整个信息资源系统的可控性和安全性。这是当前各机构单位信息化中的一个关键问题。CenGRP 用户授权管理正是基于上述需求而设计开发的授权管理类安全控制产品，提供与当前我国政府和企业实际组织体系和业务模式相适应的分级分类授权机制，向用户和应用程序提供整合的授权控制管理服务，提供用户身份到应用授权的映射功能，提供用户控制的基于多种业务属性组合条件下灵活的授权策略，提供与实际应用处理

2、模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。CenGRP 用户授权管理对非结构化数据、结构化数据、应用系统的各类异构信息资源以统一的标准Portlet方式实现了形式上的统一，这为统一的用户统一的用户Portlet入口级的授权控制入口级的授权控制奠定了基础。CenGRP 用户授权管理同时提供了分层次授权机制：?Portlet 入口级授权：入口级授权：实现对 Portlet 入口级的授权；?应用内部授权应用内部授权：实现对 Portlet 对应的 CMS、各应用系统内部细粒度的授权控制。1、用户授权管理体系架构用户授权管理体系架构 用户授权管理在统

3、一用户目录和统一资源目录的基础上，实现针对不同角色的用户提供对统一的信息资源目录的灵活的授权策略；实现统一的分级分类授权等一系列管理。用户访问门户时，通过授权访问接口来确定该用户被授权的所有可访问资源。用户授权管理体系架构如下图所示：1 统一授权管理解决方案 CA 认证系统如CFCA LDAP 信息资源；数据资源；CMS 信息条目 统一授权的应用：模块功能、模块操作(增删改查)登用户授权数据库授权访问接口 统一授权管理统一授权管理 用户注册访问接口 统一资源目录 用户目录 Portlet 资源注册接口资源获取接口用户目录(LDAP、RDBMS)Portlet 部署部署 获取资源目录验证权限获取

4、资源目录验证权限 用户认证用户认证 CA 认证接口?Portlet 入口级授权?应用内部细粒度授权 浏览器 资源目录接口 门 户 服 务 器 Portlet Portlet Portlet Portlet 发布 管理 系统 Portlet 注册注册 2、统一资源目录管理统一资源目录管理 统一资源目录是构建企业信息资源整合与管理平台的基础设施，是进行信息资源整合的主线，统一资源目录基于统一的封装机制，实现异构信息资源的统一接入：?Portlet 入口级资源目录入口级资源目录：CenGRP 用户授权管理对非结构化数据、结构化数据、应用系统的各类异构信息资源以统一的标准 Portlet 方式实现了形

5、式上的统一，这为统一的用户统一的用户 Portlet 入口级的授权控制入口级的授权控制奠定了基础。?部分应用内部细粒度资源注册部分应用内部细粒度资源注册：实现对 LDAP 目录中信息资源、数据资2 统一授权管理解决方案 源、CMS 信息条目、各应用系统内部模块操作级(如增删改查等)细粒度的授权控制。注：不过，值得注意的是，并不是所有应用系统(如遗留应用系统、Lotus Notes OA 办公自动化系统)内细粒度的资源都可以纳入到统一资源目录中进行管理。统一资源目录是为用户提供的信息源导航，给用户提供访问所有应用系统的统一入口。用户可以查找和使用整个网络系统信息资源，而无需了解资源的确切名称或位

6、置，也可以使用统一的信息资源目录来管理整个资源。统一资源目录包括三部分：?组件目录组件目录：应用组件的注册信息列表；?信息资源目录信息资源目录：用户能使用、能管理、能查看的信息资源目录；?被授权的信息资源目录被授权的信息资源目录：用户被授权的信息资源目录的子集。从用户业务的角度出发，统一所有的信息资源，包括业务应用逻辑组件(Portlet)、结构化数据、非结构化数据（文档、图片等）、WEB 链接等。统一资源目录体现为树状目录分级结构树状目录分级结构（类似于 Window 资源管理器），一般按照业务范围进行栏目分级。统一资源目录支持用户组级别的目录共享（与授权控制管理结合），目录可以共享给指定的

7、授权用户用户组。API 接口接口：统一资源管理提供一致的接口 API，如以下原型格式：?CreateFolder(.)/*创建资源目录*/?UpdateFolder(.)/*更新资源目录信息*/?DelFolder(.)/*删除资源目录*/?AddResourceToFolder(.)/*发布资源到资源目录*/?RemoveResourceFromFolder(.)/*从资源目录中删除资源*/3 统一授权管理解决方案?SetFolderProperties(.)/*设置资源目录属性*/3、授权控制管理授权控制管理 授权控制管理是建立在基于统一用户目录管理的基础之上，在统一信息资源目录的管理下对

8、信息资源进行统一的授权。基于统一资源目录，对不同的资源进行授权基于统一资源目录，对不同的资源进行授权：因通过统一资源目录映射到各应用系统的功能模块或子系统中，从而在授权时，不用关心该应用在什么位置，具体有什么内容和作用；只需根据灵活的授权策略进行授权即可：?用户组/角色或级别授权用户组/角色或级别授权：对于属于某一用户组/角色或级别的用户，确定可被授权的信息资源列表；?针对信息资源授权针对信息资源授权：对于信息资源目录中某一具体的信息资源而言，确定哪些用户组/角色或级别的用户可以对该信息资源拥有权限；?确定用户所属的用户组/角色或级别：确定用户所属的用户组/角色或级别：对于某一用户，确定该用户

9、属于哪些用户组/角色或级别。统一资源目录中的任一级别的目录，都有相对应的指定归属用户组或角色。该用户组中的用户具有对对应目录下资源访问等权限，如下图所示。4 统一授权管理解决方案 4、统一权限验证统一权限验证 用户登录后，在允许访问资源内可以任意切换，而权限验证是统一验证的，而不是在各应用中分别验证的。5、分级分类授权分级分类授权 与当前我国各机构单位实际组织体系和处理模式相适应，用户授权管理通常情况下可能需要实现分级管理，支持多级分布式授权管理体系：?根系统管理员或上级系统管理员对下级系统管理员授权根系统管理员或上级系统管理员对下级系统管理员授权；?本级系统管理员只能对本级的相关人员进行授权

10、本级系统管理员只能对本级的相关人员进行授权；强大且灵活的分级授权管理系统可以提供多级(支持 20 级以上)的管理员，并且支持分布式部署、独立授权模式。6、分层次授权分层次授权 分层次授权，指门户只完成对 Portlet 入口级资源的授权，此外，实际上，很多情况下，还必须利用应用本身的内部授权功能，完成对应用内部细颗粒度的授权。?CMS 信息条目授权CMS 信息条目授权：CMS 内容管理可以针对信息栏目下的不同条目进行授权，使得用户所看到的信息栏目下的信息条目会根据用户身份的不同实现个性化信息条目展现。这是基于 CMS 信息条目资源纳入了统一的信息资源目录体系，由门户体系统一授权管理系统的 CM

11、S 信息条目授权功能来完成这是基于 CMS 信息条目资源纳入了统一的信息资源目录体系，由门户体系统一授权管理系统的 CMS 信息条目授权功能来完成。?新建应用统一授权新建应用统一授权：同样，基于某些新建应用系统内部模块操作级(如增删改查等)信息资源纳入了统一的信息资源目录体系，由门户体系统一授权管理系统，由门户体系统一授权管理系统，实现对某些新建应用系统内部模块操作级实现对某些新建应用系统内部模块操作级(如增删改查等如增删改查等)细粒度的授权控制细粒度的授权控制。?新建应用独立授权新建应用独立授权：应用系统内部的模块操作级(如增删改查等)细粒度的授权由应用系统自身的授权管理功能来完成。5 统一

12、授权管理解决方案?遗留应用独立授权遗留应用独立授权：授权管理同新建应用独立授权新建应用独立授权，只不过，可能用户的用户组/角色/级别等代码与门户中的用户组/角色/级别代码不同，需要进行按一定规则进行转换。7、授权信息传递授权信息传递 对于拥有自身用户数据库的新建应用系统或遗留应用系统，因为角色/用户组/级别等用户权限身份标识信息，在门户用户目录数据和应用系统自身的用户数据库都需要分别进行存储；故而，对这类应用分层次授权时，为了简化用户授权管理，希望能够在门户级对某个用户授权的同时，系统自动将授权信息传递到应用系统，从而完成赋予该用户对相关应用系统内部的授权。授权信息传递基于这样的前提：?应用系

13、统不直接使用统一的中央用户目录用户信息，而是拥有自己的用拥有自己的用户数据库户数据库；?应用系统本身拥有独立的内部授权本身拥有独立的内部授权，也就是需要(Portlet 入口级和应用内部)分层次授权；?应用系统基于用户角色、用户组、级别角色、用户组、级别等用户类别标识信息进行授权。这样，当新建/修改/删除某用户信息时，通过用户信息同步交换机制，该用户的角色、用户组、级别等用户类别标识信息可有效传递到应用系统自身的用户数据库，从而间接实现了对该用户的基于用户角色、用户组、级别等的授权控制，如下图所示：6 统一授权管理解决方案 注注：?不需授权信息传递不需授权信息传递：对于门户和平台内部的应用功能

14、如 CMS 内容管理等，无单独的用户信息存储，而直接使用 LDAP 用户目录数据，不需要进行用户信息交换和授权信息传递。?不能对用户不能对用户 UserID 授权授权：基于授权信息传递的应用系统内部授权控制，不能实现针对某个用户 UserID 直接进行授权。不过，我们 8、CMS 内容授权管理内容授权管理 除了可进行栏目授权，对栏目进行“查看”、“编辑”、“审核”、“发布”、“共享”的分别授权，也可对 CMS 内容条目进行细粒度的授权。7 统一授权管理解决方案 8.1 CMS 信息栏目授权信息栏目授权 CMS 信息栏目展现作为一个 Portlet 组件，对信息栏目进行授权：?信息栏目授权信息栏

15、目授权：对于信息栏目而言，确定哪些用户组/角色或级别的用户拥有权限；?确定用户所属的用户组/角色或级别：确定用户所属的用户组/角色或级别：对于某一用户，确定该用户属于哪些用户组/角色或级别。8.2 CMS 内容信息条目授权内容信息条目授权 信息编辑、校对、审核等信息发布流程可设定。信息发布、上载信息的用户在给信息条目设置共享的时候对信息进行授权，可设定浏览、编辑、删除权限；CMS 内容信息条目授权基于共享栏目进行授权内容信息条目授权基于共享栏目进行授权：在给信息条目设置共享的时候，指定该信息条目可共享给哪些共享栏目；然后，对共享栏目进行授权，确定哪些用户组/角色或级别的用户拥有权限，即可实现用户对个性化信息条目内容的授权。8.3 信息浏览追溯管理信息浏览追溯管理 基于信息发布、浏览、修改、删除等日志功能，实现对信息浏览追溯管理功能，可查询确定：?对某一信息，在某一时间段内，有哪些用户对其进行了发布和修改，有哪些用户对该信息进行了浏览，什么用户什么时间删除了该信息；?对某一用户，在某一时间段内，对哪些信息作了什么操作。8