成都大學(xué)數(shù)字化校園項目一卡通系統(tǒng)集成設(shè)計方案

1、 成都大學(xué)一卡通系統(tǒng)數(shù)字化校園集成方案 第 1 頁，共 11 頁成都大學(xué)一卡通系成都大學(xué)一卡通系統(tǒng)統(tǒng)集成方案集成方案 成都大學(xué)一卡通系統(tǒng)數(shù)字化校園集成方案 第 2 頁，共 11 頁文檔控制更改記錄日期作者版本備注2015-11-07劉裕平V1.0初稿審閱確認(rèn)姓名項目角色備注確認(rèn)簽字單位名稱負(fù)責(zé)人簽字（可多人）簽字日期成都大學(xué)一卡通中心成都大學(xué)信息網(wǎng)絡(luò)中心成都康賽信息技術(shù)有限公司新開普電子股份有限公司(第三方) 成都大學(xué)一卡通系統(tǒng)數(shù)字化校園集成方案 第 3 頁，共 11 頁目目 錄錄1引言引言.71.1目的.71.2適用對象.72系系統(tǒng)統(tǒng)概況概況.72.1系統(tǒng)的運行環(huán)境.73統(tǒng)統(tǒng)一身份一身份認(rèn)證

2、認(rèn)證集成集成.83.1用戶范圍和集成要求.83.1.1用戶范圍.83.1.2集成要求.83.2用戶信息同步.83.2.1用戶數(shù)據(jù)同步流向.83.2.2用戶數(shù)據(jù)同步方式.93.2.3同步時用戶屬性對照關(guān)系.93.3集成效果.103.4集成技術(shù)方案.103.4.1基礎(chǔ)協(xié)議.103.4.2如何實現(xiàn) SSO.113.4.3集成方案.114信息信息門戶門戶集成集成.124.1集成要求.12 成都大學(xué)一卡通系統(tǒng)數(shù)字化校園集成方案 第 4 頁，共 11 頁4.2集成效果.135數(shù)據(jù)中心數(shù)據(jù)中心.135.1集成要求.135.2集成方式.135.3集成的數(shù)據(jù).145.3.1一卡通系統(tǒng)提供.145.3.2共享數(shù)據(jù)

3、中心提供.165.4集成實現(xiàn)步驟.185.5數(shù)據(jù)安全性說明.196集成期集成期間間一卡通管理平臺的運行方案一卡通管理平臺的運行方案.196.1集成期間一卡通管理平臺的運行狀態(tài)分析.196.2運行異常時的處理.197各方各方權(quán)責(zé)權(quán)責(zé).198信息中心確信息中心確認(rèn)認(rèn)數(shù)據(jù)方案數(shù)據(jù)方案.208.1統(tǒng)一身份認(rèn)證平臺用戶初始化.209遺遺留留問題問題.20 成都大學(xué)一卡通系統(tǒng)數(shù)字化校園集成方案 第 5 頁，共 11 頁1引言引言1.1 目的目的本文檔描述了一卡通平臺集成統(tǒng)一身份認(rèn)證的方案，信息門戶中集成一卡通WEB 部分的方案，以及門戶平臺從一卡通抽取數(shù)據(jù)、一卡通從統(tǒng)一身份認(rèn)證平臺抽取數(shù)據(jù)的完整對接方案。

4、1.2 適用適用對對象象本集成方案適用對象為成都大學(xué)、新開普電子相關(guān)管理人員、技術(shù)人員。2系系統(tǒng)統(tǒng)概況概況2.1 系系統(tǒng)統(tǒng)的運行的運行環(huán)環(huán)境境 開發(fā)商： 新開普 體系結(jié)構(gòu)： BS+CS 編程語言： 操作系統(tǒng)： WEB 服務(wù)器： 數(shù)據(jù)庫：ORACLE 成都大學(xué)一卡通系統(tǒng)數(shù)字化校園集成方案 第 6 頁，共 11 頁3統(tǒng)統(tǒng)一身份一身份認(rèn)證認(rèn)證集成集成3.1 用用戶戶范范圍圍和集成要求和集成要求3.1.1 用用戶戶范范圍圍全校的在職在編教職工(身份證件號)學(xué)生（學(xué)號）。3.1.2 集成要求集成要求1.實現(xiàn)一卡通系統(tǒng)與數(shù)字化校園平臺單點登陸接入。3.2 集成集成效果效果統(tǒng)一身份認(rèn)證平臺提供 CAS 認(rèn)證

5、接口，一卡通管理平臺現(xiàn)實接口，最終實現(xiàn)在一個系統(tǒng)登錄過后，直接訪問一卡通系統(tǒng)，就不用再次登錄。 成都大學(xué)一卡通系統(tǒng)數(shù)字化校園集成方案 第 7 頁，共 11 頁3.3 集成集成技技術(shù)術(shù)方案方案3.3.1 基基礎(chǔ)協(xié)議礎(chǔ)協(xié)議上圖是一個基礎(chǔ)的 CAS 協(xié)議， CAS Client 以 過濾器的方式保護 Web 應(yīng)用的受保護資源，過濾從客戶端過來的每一個 Web 請求，同時， CAS Client 會分析 HTTP 請求中是否包請求 Service Ticket( 上圖中的 Ticket) ，如果沒有，則說明該用戶是沒有經(jīng)過認(rèn)證的， CAS Client 會重定向用戶請求到 CAS Server （ S

6、tep 2 ）。 Step 3 是用戶認(rèn)證過程，如果用戶提供了正確的認(rèn)證信息 ， CAS Server 會產(chǎn)生一個隨機的 Service Ticket ，會向 User 發(fā)送一個 Ticket granting cookie (TGC) 給 User 的瀏覽器，并且重定向用戶到 CAS Client （附帶剛才產(chǎn)生的 Service Ticket），Step 5 成都大學(xué)一卡通系統(tǒng)數(shù)字化校園集成方案 第 8 頁，共 11 頁和 Step6 是 CAS Client 和 CAS Server 之間完成了一個對用戶的身份核實，用 Ticket 查到 Username ，認(rèn)證通過。3.3.2 如何如

7、何實現(xiàn)實現(xiàn) SSO當(dāng)用戶訪問 Helloservice2 再次被重定向到 CAS Server 的時候， CAS Server 會主動獲到這個 TGC cookie ，然后做下面的事情： 如果 User 的持有 TGC 且其還沒失效，那么就走基礎(chǔ)協(xié)議圖的 Step4 ，達到了 SSO 的效果。 如果 TGC 失效，那么用戶還是要重新認(rèn)證 ( 走基礎(chǔ)協(xié)議圖的 Step3)。3.3.3 集成方案集成方案認(rèn)證服務(wù)只是負(fù)責(zé)身份認(rèn)證，而不負(fù)責(zé)權(quán)限等的分配，應(yīng)用系統(tǒng)通過內(nèi)嵌認(rèn)證客戶端實現(xiàn)對受保護資源的訪問請求控制。根據(jù)應(yīng)用系統(tǒng)情況具體集成方式分為兩種情況：統(tǒng)統(tǒng)一用一用戶戶身份身份 ID業(yè)務(wù)系

8、統(tǒng)的用戶 ID 與統(tǒng)一身份認(rèn)證平臺的用戶 ID 一致，應(yīng)用系統(tǒng)獲得認(rèn)證服務(wù)給的用戶 ID 就可以分配權(quán)限了。用用戶賬戶賬號映射號映射如果業(yè)務(wù)系統(tǒng)的用戶 ID 與統(tǒng)一身份認(rèn)證平臺的用戶 ID 不同，應(yīng)用系統(tǒng)中建立一個用戶對應(yīng)關(guān)系表，提供一個應(yīng)用系統(tǒng)用戶 ID 與統(tǒng)一身份認(rèn)證平臺用戶 ID 映射的界 成都大學(xué)一卡通系統(tǒng)數(shù)字化校園集成方案 第 9 頁，共 11 頁面，用戶首次使用應(yīng)用系統(tǒng)時完成用戶賬號映射。應(yīng)用系統(tǒng)通過認(rèn)證服務(wù)給的用戶 ID來查找對應(yīng)的用戶，然后進行權(quán)限分配。統(tǒng)統(tǒng)一身份一身份認(rèn)證認(rèn)證平臺平臺單單點接入?yún)⒖嘉臋n點接入?yún)⒖嘉臋n本次同一身份認(rèn)證平臺對接一卡通系統(tǒng)

9、，采用新開普電子股份有限公司提供的技術(shù)文檔單點登陸技術(shù)方案.doc文檔附件 1單點登陸技術(shù)方案.doc手機手機 APP 接入到康接入到康賽賽信息信息門戶門戶的的 API 文檔文檔詳細(xì)的對接實現(xiàn)方案請參考手機單點接入接口 API 說明.docx文檔附件 2手機單點接入接口API說明.docx4數(shù)據(jù)中心數(shù)據(jù)中心4.1 集成要求集成要求門戶平臺提供一卡通管理平臺系統(tǒng)常用功能鏈接，無需登錄一卡通管理平臺即可進行相關(guān)操作，支持消費明細(xì)查詢等功能。4.2集成方式集成方式交互交互類類型型提供方提供方提供方式提供方式數(shù)據(jù)內(nèi)容數(shù)據(jù)內(nèi)容備備注注數(shù)據(jù)抽取一卡通系統(tǒng)視圖用戶基本數(shù)據(jù)、 一卡通系統(tǒng)數(shù)據(jù)庫新

10、 成都大學(xué)一卡通系統(tǒng)數(shù)字化校園集成方案 第 10 頁，共 11 頁用戶消費明細(xì)數(shù)據(jù)建用戶基本數(shù)據(jù)、用戶消費明細(xì)數(shù)據(jù)視圖，共享數(shù)據(jù)中心定時提取數(shù)據(jù)到自己的數(shù)據(jù)庫中。數(shù)據(jù)推送共享數(shù)據(jù)中心中間表組織架構(gòu)信息教職工基礎(chǔ)信息、學(xué)生信息共享數(shù)據(jù)中心提供組織架構(gòu)信息、教職工基礎(chǔ)信息中間表，一卡通系統(tǒng)定時抽取數(shù)據(jù)同步到自己的數(shù)據(jù)庫中。5集成期集成期間間一卡通管理平臺的運行方案一卡通管理平臺的運行方案5.1 集成期集成期間間一卡通管理平臺的運行狀一卡通管理平臺的運行狀態(tài)態(tài)分析分析集成期間對一卡通管理平臺不產(chǎn)生影響。5.2 運行異常運行異常時時的的處處理理如果一卡通系統(tǒng)存在遷移，需對從新提供的單點登錄接入地址。6各方各方權(quán)責(zé)權(quán)責(zé)序號序號涉及各方涉及各方權(quán)責(zé)說權(quán)責(zé)說明明1成都康賽信息技術(shù)有限1、 組織討論、編寫集成方案并通過評審 成都大學(xué)一卡通系統(tǒng)數(shù)字化校園集成方案 第 11 頁，共 11 頁公司2、 提供集成技術(shù)支持3、 進行相關(guān)的集成實施4、 集成協(xié)調(diào)工作2新開普公司（一卡通系統(tǒng)開發(fā)商）1、 參與討論并確認(rèn)集成方案2、 進行程序開發(fā)或修改等集成相