用戶培訓(xùn)手冊統(tǒng)一權(quán)限

1、統(tǒng)一權(quán)限使用手冊（管理員）目錄1、系統(tǒng)概述01.1更加穩(wěn)定、安全、高效的權(quán)限管理服務(wù)02、各組件特點(diǎn)02.1、消息服務(wù) (isc_ms)02.2、權(quán)限管理平臺 (isc_mp)32.3、接口服務(wù)(isc_sm)52.4、統(tǒng)一認(rèn)證 (isc_sso)62.5、審計(jì)服務(wù) (isc_as)82.6、數(shù)據(jù)同步服務(wù) (isc_sync_adapter)82.7、統(tǒng)一認(rèn)證代理 (isc_sso_agent)92.8、鑒權(quán)代理 (isc_sm_agent)、緩存服務(wù)（isc_cs）102.9、uap身份和審計(jì)模塊（isc_manage）、工單模塊（isc_workflow）113、權(quán)限管理123.1、業(yè)務(wù)角

2、色維護(hù)123.2、組織角色維護(hù)143.3、身份權(quán)限維護(hù)154、集成管理174.1同步結(jié)果監(jiān)控171、系統(tǒng)概述統(tǒng)一權(quán)限平臺系統(tǒng)設(shè)計(jì)的目標(biāo)是考慮國家電網(wǎng)公司人員身份管理業(yè)務(wù)的現(xiàn)狀及特點(diǎn)，在總體設(shè)計(jì)上借鑒以往“國網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)典型設(shè)計(jì)”的成功經(jīng)驗(yàn)，依托信息化手段著力提高人員身份管理的工作質(zhì)量和效率，構(gòu)建一套支撐“總部-網(wǎng)省”兩級部署以及總部集中部署版本的統(tǒng)一權(quán)限平臺系統(tǒng)，實(shí)現(xiàn)對人員身份的統(tǒng)一認(rèn)證、統(tǒng)一管理、統(tǒng)一授權(quán)、以及合規(guī)性管理、安全審計(jì)等模塊功能，實(shí)現(xiàn)統(tǒng)一管理、流程規(guī)范、過程受控、備案審查的目的，從而提升公司人員身份管理的規(guī)范性、合理性和安全性。1.1更加穩(wěn)定、安全、高效的權(quán)限管理服務(wù)權(quán)限系

3、統(tǒng)2.0版本是針對前期權(quán)限系統(tǒng)1.0版本的試點(diǎn)成果，進(jìn)一步深化應(yīng)用：1、考慮為業(yè)務(wù)應(yīng)用提供滿足安全等級保護(hù)規(guī)定中相應(yīng)權(quán)限管理要求的服務(wù)。2、對訪問控制管理方面進(jìn)行安全加固與性能提升，增加權(quán)限測試機(jī)制，形成可水平擴(kuò)展的鑒權(quán)體系。3、全面提升用戶體驗(yàn)。2、各組件特點(diǎn)本節(jié)通過對統(tǒng)一權(quán)限平臺各模塊的介紹，闡明各模塊的功能特性，以及各模塊之間的通信交互過程，以便于實(shí)施工程師對統(tǒng)一權(quán)限系統(tǒng)的理解。2.1、消息服務(wù) (isc_ms)統(tǒng)一權(quán)限平臺系統(tǒng)消息服務(wù)模塊是通過消息隊(duì)列（mq）來完成的，消息隊(duì)列是一種應(yīng)用程序?qū)?yīng)用程序的通信方法。應(yīng)用程序通過寫和檢索出入列隊(duì)的針對應(yīng)用程序的數(shù)據(jù)（消息）來通信，而無需專用

4、連接來鏈接它們。統(tǒng)一權(quán)限平臺各組件通過消息隊(duì)列來進(jìn)行消息傳遞。消息傳遞指的是程序之間通過在消息中發(fā)送數(shù)據(jù)進(jìn)行通信，而不是通過直接調(diào)用彼此來通信。簡單地說，mq就是這樣的中間件，它允許一個(gè)應(yīng)用向另一個(gè)應(yīng)用發(fā)送消息，而無論該應(yīng)用是否在線。圖消息隊(duì)列mq示意圖消息隊(duì)列(mq)的特點(diǎn)包括：1、 消息的發(fā)送方和接收方可以不再統(tǒng)一服務(wù)器上；2、 通信可以是單向或者雙向；3、 要通信的應(yīng)用程序可以運(yùn)行在不同時(shí)間（異步傳輸）；4、 對于應(yīng)用間的結(jié)構(gòu)沒有限制；5、 對于應(yīng)用程序來說，底層的環(huán)境差異被屏蔽掉。統(tǒng)一權(quán)限消息服務(wù)組件主要功能包括：1、在權(quán)限平臺的授權(quán)操作通過消息服務(wù)模塊完成對uap客戶端權(quán)限緩存信息的

5、刷新。2、在權(quán)限平臺的授權(quán)操作通過消息服務(wù)模塊將數(shù)據(jù)信息分發(fā)至與統(tǒng)一權(quán)限平臺v1.0集成的各業(yè)務(wù)系統(tǒng)（適配器模式接入的系統(tǒng)）。3、統(tǒng)一權(quán)限平臺系統(tǒng)統(tǒng)一認(rèn)證、系統(tǒng)接口服務(wù)、數(shù)據(jù)同步服務(wù)等操作事件通過消息服務(wù)模塊存入數(shù)據(jù)庫，用于數(shù)據(jù)的統(tǒng)計(jì)分析匯總。統(tǒng)一權(quán)限消息服務(wù)的數(shù)據(jù)傳輸方式主要有兩種：1、主題（topic）模式：消息服務(wù)將數(shù)據(jù)信息主動發(fā)送給所有訂閱者，是一對多的關(guān)系。本模式主要應(yīng)用于在uap平臺開發(fā)的業(yè)務(wù)應(yīng)用緩存數(shù)據(jù)的更新（eg：當(dāng)一個(gè)用戶的中文名發(fā)生變更，消息服務(wù)將變更信息更新至所有uap平臺應(yīng)用系統(tǒng)緩存區(qū)）。2、隊(duì)列（queue）點(diǎn)對點(diǎn)模式：消息服務(wù)將收到的數(shù)據(jù)存入隊(duì)列，其它組件需要到此隊(duì)

6、列進(jìn)行讀取數(shù)據(jù)，如果數(shù)據(jù)a被一個(gè)組件讀取，a數(shù)據(jù)將從隊(duì)列從刪除（數(shù)據(jù)傳輸是一對一的模式，一條數(shù)據(jù)只能被一個(gè)組件使用）。本模式主要應(yīng)用于審計(jì)事件數(shù)據(jù)傳輸和對v1.0版本集成系統(tǒng)的數(shù)據(jù)同步。*注：統(tǒng)一權(quán)限平臺系統(tǒng)采用的消息中間件是apache activemq。更多資料，可以參考apache activemq官方文檔 /*2.2、權(quán)限管理平臺 (isc_mp)權(quán)限管理平臺是統(tǒng)一權(quán)限平臺系統(tǒng)的核心組件，主要包括身份管理、資源管理、權(quán)限管理、配置管理、審計(jì)管理、集成管理、工單管理七大功能模塊。權(quán)限管理平臺是統(tǒng)一權(quán)限平臺系統(tǒng)的管理端，通過本服務(wù)，管理員可

7、以進(jìn)行用戶身份管理、各種資源（業(yè)務(wù)應(yīng)用）、授權(quán)管理、各種配置管理、審計(jì)管理、系統(tǒng)接入等。普通用戶可以進(jìn)行個(gè)人身份管理、配置管理等。權(quán)限管理平臺是統(tǒng)一權(quán)限平臺系統(tǒng)的數(shù)據(jù)展示層，功能模塊如下：權(quán)限管理平臺通過接口服務(wù)(isc_sm)，將數(shù)據(jù)信息寫入數(shù)據(jù)庫、刷新uap系統(tǒng)緩存、同步數(shù)據(jù)到v1.0集成的業(yè)務(wù)應(yīng)用。*注：權(quán)限管理平臺(isc_mp)服務(wù)是通過接口服務(wù)進(jìn)行數(shù)據(jù)庫操作的，本身沒有直接的數(shù)據(jù)庫操作：isc_mp-isc_sm -數(shù)據(jù)庫 。*2.3、接口服務(wù)(isc_sm)接口服務(wù)是權(quán)限管理平臺與各業(yè)務(wù)組件數(shù)據(jù)操作的橋梁，負(fù)責(zé)將用戶在權(quán)限管理平臺的各種操作更新到數(shù)據(jù)庫、記錄的審計(jì)服務(wù)、更新uap

8、平臺系統(tǒng)緩存、以及分發(fā)給集成的各業(yè)務(wù)應(yīng)用（v1.0版本）。接口服務(wù)的主要功能包括：（1） 鑒權(quán)緩存讀取。用戶在首次登錄權(quán)限管理平臺或基于服務(wù)集成的業(yè)務(wù)應(yīng)用時(shí)，需要通過接口服務(wù)到數(shù)據(jù)庫進(jìn)行查詢操作，操作完成后，會將查詢信息緩存到緩存服務(wù)當(dāng)中；當(dāng)用戶再次登錄時(shí)，接口服務(wù)不需要到數(shù)據(jù)庫進(jìn)行查詢，直接到緩存服務(wù)讀取緩存信息。這種方式可以提高系統(tǒng)響應(yīng)速度。（2）數(shù)據(jù)更新同步。接口服務(wù)將用戶在權(quán)限平臺的數(shù)據(jù)操作一方面更新到數(shù)據(jù)庫，另一方面通信消息服務(wù)將數(shù)據(jù)更新到集成的業(yè)務(wù)應(yīng)用（采用同步適配器方式集成的系統(tǒng)）。（3）刷新客戶端緩存。為提高鑒權(quán)效率，統(tǒng)一權(quán)限平臺系統(tǒng)在基于服務(wù)模式集成的業(yè)務(wù)應(yīng)用客戶端緩存用戶權(quán)

9、限信息，當(dāng)用戶在權(quán)限管理平臺更新用戶信息時(shí)，接口服務(wù)通過消息服務(wù)中間件更新客戶端緩存。（4）審計(jì)事件。消息服務(wù)將權(quán)限管理平臺的用戶數(shù)據(jù)操作記錄通過消息服務(wù)中間件寫入審計(jì)數(shù)據(jù)庫。2.4、統(tǒng)一認(rèn)證 (isc_sso)統(tǒng)一認(rèn)證組件主要完成對用戶在登錄業(yè)務(wù)系統(tǒng)時(shí)的身份驗(yàn)證工作，主要包括統(tǒng)一認(rèn)證管理、單點(diǎn)認(rèn)證agent (isc_sso_agent.jar)、目錄服務(wù)(ldap服務(wù))、緩存服務(wù)四個(gè)部分構(gòu)成，其架構(gòu)關(guān)系如下：統(tǒng)一認(rèn)證架構(gòu)設(shè)計(jì)1.統(tǒng)一認(rèn)證管理主要對外提供認(rèn)證服務(wù)以及單點(diǎn)登錄(sso)管理功能，隨著未來統(tǒng)一認(rèn)證接入業(yè)務(wù)系統(tǒng)的增多，統(tǒng)一認(rèn)證管理部分壓力將隨之增大，其訪問情況相對其它組件承受壓力最

10、大。2.單點(diǎn)認(rèn)證agent組件主要為業(yè)務(wù)系統(tǒng)提供用于單點(diǎn)登錄的組件，其功能負(fù)責(zé)與統(tǒng)一認(rèn)證管理的認(rèn)證通信，通信鏈路支持ssl。3.目錄服務(wù)用于存儲進(jìn)行單點(diǎn)認(rèn)證的用戶數(shù)據(jù)，主要包括用戶名、密碼等用戶基本信息數(shù)據(jù)，采用扁平存儲結(jié)構(gòu)，提供用戶數(shù)據(jù)獲取效率。4.緩存服務(wù)主要用于存儲用戶通過統(tǒng)一認(rèn)證后的身份安全信息，通過緩存方式提升下一次用戶單點(diǎn)認(rèn)證的效率。*注：統(tǒng)一認(rèn)證默認(rèn)情況下，連接目錄ldap服務(wù)，驗(yàn)證用戶身份信息，在測試期間可以直接配置連接自身的oracle數(shù)據(jù)庫驗(yàn)證用戶身份信息。*2.5、審計(jì)服務(wù) (isc_as)審計(jì)服務(wù)是統(tǒng)一權(quán)限平臺系統(tǒng)的安全組件，通過審計(jì)服務(wù)可以接收統(tǒng)一認(rèn)證和接口服務(wù)模塊的

11、審計(jì)事件。2.6、數(shù)據(jù)同步服務(wù) (isc_sync_adapter)數(shù)據(jù)同步服務(wù)主要針對采用同步適配器方式進(jìn)行集成的業(yè)務(wù)系統(tǒng)(主要指統(tǒng)一權(quán)限v1.0集成的各系統(tǒng))。權(quán)限平臺管理員-權(quán)限管理平臺(授權(quán)操作) -接口服務(wù) 消息服務(wù) -數(shù)據(jù)同步服務(wù)-業(yè)務(wù)應(yīng)用接口-業(yè)務(wù)應(yīng)用數(shù)據(jù)庫。2.7、統(tǒng)一認(rèn)證代理 (isc_sso_agent)統(tǒng)一認(rèn)證代理是業(yè)務(wù)應(yīng)用系統(tǒng)web服務(wù)的客戶端插件，它的作用主要包括兩個(gè)方面：1) 首次登陸重定向通過在客戶端配置本插件，當(dāng)用戶首次登錄業(yè)務(wù)應(yīng)用時(shí)，將用戶訪問請求重定向至統(tǒng)一認(rèn)證服務(wù)模塊（isc_sso），完成用戶登錄驗(yàn)證。 2）身份校驗(yàn)對于已經(jīng)完成統(tǒng)一認(rèn)證服務(wù)身份認(rèn)證的用戶

12、，傳遞解析身份票據(jù)信息，驗(yàn)證用戶身份信息。2.8、鑒權(quán)代理 (isc_sm_agent)、緩存服務(wù)（isc_cs）鑒權(quán)代理服務(wù)主要服務(wù)于權(quán)限管理平臺模塊和通過服務(wù)模式集成的業(yè)務(wù)應(yīng)用系統(tǒng)。當(dāng)用戶完成身份認(rèn)證登錄系統(tǒng)后，通過鑒權(quán)代理，鑒別用戶的權(quán)限信息，加載系統(tǒng)各項(xiàng)功能菜單。緩存服務(wù)主要有兩個(gè)作用：1、 統(tǒng)一認(rèn)證身份信息緩存當(dāng)用戶經(jīng)過統(tǒng)一身份認(rèn)證服務(wù)驗(yàn)證身份信息時(shí)，統(tǒng)一認(rèn)證服務(wù)需要建立到數(shù)據(jù)庫的連接（ldap連接或jdbc連接）進(jìn)行用戶身份信息校驗(yàn)。通過緩存服務(wù)，統(tǒng)一認(rèn)證服務(wù)將用戶的身份信息從放入緩存服務(wù)器中，當(dāng)用戶第二次驗(yàn)證身份信息時(shí)，可以直接讀取緩存服務(wù)的用戶身份信息，提高系統(tǒng)響應(yīng)速度。2、

13、用戶鑒權(quán)信息緩存當(dāng)用戶登錄權(quán)限管理平臺或通過服務(wù)模式接入的業(yè)務(wù)應(yīng)用時(shí)，需要系統(tǒng)接口服務(wù)到數(shù)據(jù)庫加載用戶的權(quán)限信息（例如：功能菜單等）。通過緩存服務(wù)，系統(tǒng)接口服務(wù)將用戶的權(quán)限信息放入緩存服務(wù)器中，當(dāng)用戶再次登錄本業(yè)務(wù)應(yīng)用時(shí)，可以直接讀取緩存服務(wù)的用戶權(quán)限信息，提高系統(tǒng)響應(yīng)速度。*注：統(tǒng)一權(quán)限緩存服務(wù)是通過memcached緩存服務(wù)實(shí)現(xiàn)的。*2.9、uap身份和審計(jì)模塊（isc_manage）、工單模塊（isc_workflow）基于uap平臺開發(fā)身份管理模塊基于uap和bpm，提供流程服務(wù)和流程審批的模塊重要說明：1) 統(tǒng)一權(quán)限只能通過組織角色對用戶進(jìn)行授權(quán)，授權(quán)后同步數(shù)據(jù)會將用戶的組織信息和對

14、應(yīng)的角色信息推送到業(yè)務(wù)系統(tǒng)中。2) 與統(tǒng)一權(quán)限集成后，業(yè)務(wù)系統(tǒng)新建用戶由同步接口完成，不再由用戶自己創(chuàng)建；門戶只保留點(diǎn)亮業(yè)務(wù)系統(tǒng)圖標(biāo)功能，不再向業(yè)務(wù)系統(tǒng)推送用戶。3) 系統(tǒng)管理員（必須擁有該系統(tǒng)的管理角色和統(tǒng)一權(quán)限的使用角色）才能登錄統(tǒng)一權(quán)限平臺給地市管理員或者普通用戶授權(quán)；系統(tǒng)管理員只能授該系統(tǒng)的管理權(quán)限，授權(quán)成功后聯(lián)系統(tǒng)一權(quán)限平臺管理員 ，還需擁有權(quán)限平臺的使用權(quán)限。4) 用戶授權(quán)操作是否成功可在同步結(jié)果監(jiān)控中查看3、權(quán)限管理3.1、業(yè)務(wù)角色維護(hù)3.1.1、新增業(yè)務(wù)組織角色：權(quán)限管理-業(yè)務(wù)角色維護(hù)-業(yè)務(wù)概覽-業(yè)務(wù)角色分組列表，選擇業(yè)務(wù)角色分組-新增 3.1.2、填寫表單：xxx_管理，角色

15、類型：管理（可以授權(quán)） 3.1.3、給新建的業(yè)務(wù)角色授權(quán)，點(diǎn)擊權(quán)限變更3.1.4、填寫授權(quán)的表單，資源里顯示：主菜單-展現(xiàn)下級，選擇要授權(quán)的資源3.1.5、下級菜單展現(xiàn)后，勾選資源，注意：一定要先選擇主資源，再選擇下級資源直至末級資源，完成后點(diǎn)擊圖中綠色標(biāo)記可以直接回退到該資源，再次選擇其他的資源，最后保存即可3.2、組織角色維護(hù)3.2.1、新增組織角色：權(quán)限管理-組織角色維護(hù)-展開業(yè)務(wù)組織單元樹-新增3.2.2、填寫組織角色表單，業(yè)務(wù)角色名稱選擇剛才在業(yè)務(wù)角色維護(hù)里新建的角色，系統(tǒng)會自動把業(yè)務(wù)角色權(quán)限同步到組織角色里，保存。3.2.3、用戶授權(quán)（方法1），點(diǎn)擊新建的組織角色用戶數(shù)量3.2.4、填寫授權(quán)表單，點(diǎn)開（標(biāo)識1）；展現(xiàn)基準(zhǔn)組織樹，盡可能的選擇用戶所在的部門（標(biāo)識2）；勾選用戶（標(biāo)識3）；新增（標(biāo)識4）到左邊的已授權(quán)用戶列表；提交完成。3.3、身份權(quán)限維護(hù)3.3.1、用戶授權(quán)（方法2）：權(quán)限管理-身份權(quán)限維護(hù)（標(biāo)識1）-基準(zhǔn)組織樹（盡可能的選擇用戶所在的部門（標(biāo)識2），方便查詢），點(diǎn)擊授權(quán)（標(biāo)識3）3.3.2、填寫授權(quán)表單：展開組織樹（標(biāo)識1）-選擇剛才在組織角色維護(hù)里新增的組織角色（標(biāo)識2），新增到已分配角色中，設(shè)置為缺省角色，提交完成