统一身份认证平台

身份认证/访问控制

随着学校应用的迅速发展，各种业务系统和用户数量在不断增加，网络规模也逐日扩大，访问控制和信息安全问题愈见突出，原有分散的“独立认证、独立授权、独立帐号管理”的模式已经不能满足高校目前及未来发展的要求；因此，本期数字化校园项目的建设过程中将构建一个完整统一、高效稳定、安全可靠的集中身份认证和管理平台。 
　　统一身份认证平台应能实现身份数据的统一存储、统一管理，实现全校各类应用的单点登陆，以及各类访问与操作安全审计。同时，还提供便利的工具，便于系统的维护和管理。平台建设内容主要包括以下方面： 
1、目录服务 
　　目录服务是统一身份认证平台的基础。目录服务以层次结构，面向对象的数据库的方式集中管理用户信息，保证数据的一致性和完整性，为数字化校园各类应用提供用户信息的共享。 
　　目录服务需定义符合学校特点的身份数据规范，实现用户信息规范命名、统一集中存储，用户ID全局唯一；支持X.509协议，利用多主复制的方式实现不同服务器之间的数据同步。系统能够提供细粒度的资源访问控制，访问控制列表（ACL）存储在每个目录对象中，并可以与数据一起被复制。平台要提供外部权威数据源向统一身份认证平台同步身份数据的功能，并可灵活的设置数据同步策略。 
2、统一身份管理 
　　统一身份管理要充分考虑高校业务中的需求，包含身份管理、身份信息同步、身份状态的转变。平台需提供对学生入校到离校、教师职位变更、以及多重身份多重职务的等应用现状的身份转换的支持；同时对组织机构的拆分和合并提供良好的支持，为SSO提供一个方便的、集中的身份数据管理平台。 
　　平台不仅要提供创建用户、用户组，查询、修改用户及用户组的详细信息，还要提供批量操作（导入、导出、迁移）工具，如采用用户数据EXCEL的导入导出，以满足学校大量用户维护的需求。 
　　平台还要包括对管理员的管理、用户类型管理、日志管理以及配置管理和修改密码等功能；用户登录应用系统后对系统资源的所有访问都记入日志，以便事后对用户操作进行审计，建立完善的事后追溯机制。 
3、统一认证 
　　通过平台提供的统一认证服务，满足学校业务系统多元化特点，提供跨服务器及业务应沈阳软件制作

用的身份认证服务及代理，确保跨业务系统身份认证识别。将众多的校园应用纳入到信息门户平台之中，实现单点登录。 
4、单点登录服务 
　　在完成集成工作的应用系统之间实现SSO，支持同域内多个应用系统间的单点登录，具有开放的跨平台SSO实现技术。 
5、资源访问安全审计 
　　用户登录应用系统后对系统资源的访问按需记入日志，具备完善的日志管理功能，能详细记录对所有信息的操作和变化情况，以便事后对用户操作进行审计，建立完善的事后追溯机制。