統(tǒng)一身份認(rèn)證平臺

1、統(tǒng)一身份認(rèn)證平臺主要功能統(tǒng)一身份識別；要求開放性接口，提供源代碼，擴展性強，便于后期與其他系統(tǒng)對接；支持移動終端應(yīng)用（兼容 IOS系統(tǒng)、安卓系統(tǒng)；手機端、PAD端；）教師基礎(chǔ)信息庫平臺（按照教育信息化標(biāo)準(zhǔn)-JYT1001_育管理基礎(chǔ)代碼實現(xiàn)）學(xué)生基礎(chǔ)信息庫平臺（按照教育信息化標(biāo)準(zhǔn)-JYT1001_育管理基礎(chǔ)代碼實現(xiàn)）二、系統(tǒng)說明2.1單點登錄：用戶只需登錄一次，即可通過單點登錄系統(tǒng)（SSO訪問后臺的多個應(yīng)用系統(tǒng)，無需重新登錄后臺的各個應(yīng)用系統(tǒng)。后臺應(yīng)用系統(tǒng)的用戶名和口令可以各不相同，并且實現(xiàn)單點登錄時，后臺應(yīng)用系統(tǒng)無需任何修改。2.2即插即用：通過簡單的配置，無須用戶修改任何現(xiàn)有B/S、即可使

2、用。解決了當(dāng)前其他SSO解決方案實施困難的難題。2.3多樣的身份認(rèn)證機制：同時支持基于PKI/CA數(shù)字證書和用戶名/ 口令身份認(rèn)證方式， 可單獨使用也可組合使用。2.4基于角色訪問控制：根據(jù)用戶的角色和URL實現(xiàn)訪問控制功能?；?Web界面管理：系統(tǒng)所有管理功能都通過Web方式實現(xiàn)。網(wǎng)絡(luò)管理人員和系統(tǒng)管理員可以通過瀏覽器在任何地方進行遠(yuǎn)程訪問管理。此外，可以使用HTTPS安全地進行管理。三、系統(tǒng)設(shè)計要求3.1業(yè)務(wù)功能架構(gòu)通過實施單點登錄功能，使用戶只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪問不同的應(yīng)用 系統(tǒng)，提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性；在此基礎(chǔ)上進一步實現(xiàn)用戶在異構(gòu)系統(tǒng)（不同平臺上建立不

3、同應(yīng)用服務(wù)器的業(yè)務(wù)系統(tǒng)），高速協(xié)同辦公和企業(yè)知識管理功能。單點登錄系統(tǒng)能夠與統(tǒng)一權(quán)限管理系統(tǒng)實現(xiàn)無縫結(jié)合，簽發(fā)合法用戶的權(quán)限票據(jù)，從而能夠使合法用戶進入其權(quán)限范圍內(nèi)的各應(yīng)用系統(tǒng)，并完成符合其權(quán)限的操作。單點登錄系統(tǒng)同時可以采用基于數(shù)字證書的加密和數(shù)字簽名技術(shù)，對用戶實行集中統(tǒng)一的管理和身份認(rèn)證，并作為各應(yīng)用系統(tǒng)的統(tǒng)一登錄入口。單點登錄系統(tǒng)在增加系統(tǒng)安全性、 降低管理成本方面有突出作用，不僅規(guī)避密碼安全風(fēng)險，還簡化用戶認(rèn)證的相關(guān)應(yīng)用操作。說明：CA安全基礎(chǔ)設(shè)施可以采用自建方式，也可以選擇第三方CA。3.2具體包含以下主要功能模塊：身份認(rèn)證中心存儲用戶目錄：完成對用戶身份、角色等信息的統(tǒng)一管理；授

4、權(quán)和訪問管理系統(tǒng)：用戶的授權(quán)、角色分配；訪問策略的定制和管理；用戶授權(quán)信息 的自動同步；用戶訪問的實時監(jiān)控、安全審計；身份認(rèn)證服務(wù)：身份認(rèn)證前置為應(yīng)用系統(tǒng)提供安全認(rèn)證服務(wù)接口，中轉(zhuǎn)認(rèn)證和訪問請求；身份認(rèn)證服務(wù)完成對用戶身份的認(rèn)證和角色的轉(zhuǎn)換；訪問控制服務(wù)：應(yīng)用系統(tǒng)插件從應(yīng)用系統(tǒng)獲取單點登錄所需的用戶信息；用戶單點登錄過程中，生成訪問業(yè)務(wù)系統(tǒng)的請求，對敏感信息加密簽名；CA中心及數(shù)字證書網(wǎng)上受理系統(tǒng)：用戶身份認(rèn)證和單點登錄過程中所需證書的簽發(fā)；四、技術(shù)要求4.1技術(shù)原理基于數(shù)字證書的單點登錄技術(shù)，使各信息資源和本防護系統(tǒng)站成為一個有機的整體。通過在各信息資源端安裝訪問控制代理中間件，和防護系統(tǒng)的

5、認(rèn)證服務(wù)器通信，利用系統(tǒng)提供的安全保障和信息服務(wù)，共享安全優(yōu)勢。其原理如下：1）每個信息資源配置一個訪問代理，并為不同的代理分配不同的數(shù)字證書，用來保證和系統(tǒng)服務(wù)之間的安全通信。2）用戶登錄中心后，根據(jù)用戶提供的數(shù)字證書確認(rèn)用戶的身份。3）訪問一個具體的信息資源時，系統(tǒng)服務(wù)用訪問代理對應(yīng)的數(shù)字證書，把用戶的身份信息機密后以數(shù)字信封的形式傳遞給相應(yīng)的信息資源服務(wù)器。4）信息資源服務(wù)器在接受到數(shù)字信封后，通過訪問代理，進行解密驗證，得到用戶 身份。根據(jù)用戶身份，進行內(nèi)部權(quán)限的認(rèn)證。4.2統(tǒng)一身份認(rèn)證4.2.1.用戶認(rèn)證統(tǒng)一身份管理及訪問控制系統(tǒng)用戶數(shù)據(jù)獨立于各應(yīng)用系統(tǒng)，對于數(shù)字證書的用戶來說，用戶

6、證書的序列號平臺中是唯一的，對于非證書用戶來說，平臺用戶ID （passport）是唯一的，由其作為平臺用戶的統(tǒng)一標(biāo)識4.2.2統(tǒng)一身份認(rèn)證1）用戶認(rèn)證統(tǒng)一身份管理及訪問控制系統(tǒng)用戶數(shù)據(jù)獨立于各應(yīng)用系統(tǒng)，對于數(shù)字證書的用戶來說，用戶證書的序列號平臺中是唯一的，對于非證書用戶來說，平臺用戶ID（passport）是唯一的，由其作為平臺用戶的統(tǒng)一標(biāo)識。2）系統(tǒng)提供兩種應(yīng)用系統(tǒng)接入方式，以快速實現(xiàn)單點登錄：反向代理（Reverse Proxy）方式；3）應(yīng)用系統(tǒng)無需開發(fā)、無需改動。對于不能作改動或沒有原廠商配合的應(yīng)用系統(tǒng)，可以使用該方式接入統(tǒng)一用戶管理平臺；4）反向代理技術(shù)：實現(xiàn)方式為松耦合，采用反

7、向代理模塊和單點登錄（SSO認(rèn)證服務(wù)進行交互驗證用戶信息，完成應(yīng)用系統(tǒng)單點登錄。（5）Plug-in 方式Plug-in：實現(xiàn)方式為緊耦合，采用集成插件的方式與單點登錄（ SSO認(rèn)證服務(wù)進行交 互驗證用戶信息，完成應(yīng)用系統(tǒng)單點登錄。4.3技術(shù)要求兼容性跨系統(tǒng)（Windows/ linux等）、跨平臺（PC移動端）、跨技術(shù)語言（JAVA/.NET等）、跨數(shù)據(jù)庫（SQL Oracle）4.4技術(shù)細(xì)節(jié)登錄信息：唯一索引 ID （識別唯一身份）；賬號（規(guī)則、字符、位數(shù)、長度控制） ，密 碼（密碼規(guī)則、位數(shù)、 長度、字符控制）；姓名（實名制）；驗證碼（開關(guān)控制，隨機）； 身份證（驗證身份證有效性，身份證

8、可作為不唯一索引識別，后臺可以開關(guān)）；輸入要求（大寫狀態(tài)提示、軟鍵盤功能）五、系統(tǒng)功能模塊5.1賬號生成統(tǒng)一從登錄系統(tǒng)添加平臺用戶的帳號和密碼，可以注冊，也可以從后臺添加。會員登錄系統(tǒng)后，系統(tǒng)分配標(biāo)準(zhǔn)的 session值，把用戶的登錄信息寫入session中，子系統(tǒng)按這個標(biāo)準(zhǔn)進行判斷用戶是否登錄。5.2注冊管理用戶郵箱激活（可注冊），手機綁定，手機驗證碼注冊（可注冊） 。5.3密碼管理1）登錄記住密碼；2）忘記密碼：郵箱找回，手機找回，問題提示（個人關(guān)鍵信息：姓名、身份證、學(xué)籍號、教工號等）找回；密碼復(fù)位；3）密碼初始化（管理員可批量恢復(fù)用戶默認(rèn)密碼）；4）默認(rèn)密碼管理（修改默認(rèn)密碼值）5.4

9、帳號管理：登錄賬戶管理、添加、停用、注銷、刪除；1）注銷賬號：對于不再使用的用戶，管理員可以選將其注銷，注銷操作是不可恢復(fù)的。已注銷的用戶，在查詢時選擇狀態(tài)為“注銷”即可查詢到。2）賬號停用：對于暫時不使用的用戶，可以選將其停用，與注銷操作不同的是，停用的用戶是可以通過啟用來恢復(fù)使用的。如果用戶管理中創(chuàng)建或修改賬號時，指定了賬號的有 效期，超過有效期后，該賬號也會自動被停用。 已停用的用戶，在查詢時選擇狀態(tài)為“停 用”即可查詢到。3）賬號啟用：要恢復(fù)停用的賬號，只需在列表中將其檢索出來后，選中，然后點擊“啟用”按鈕，確認(rèn)后即可。對于因為超過有效期而停用的賬號，除了要將其狀態(tài)改為啟用外， 還需要

10、修改用戶信息，為其重新指定有效的使用時間才能恢復(fù)使用。5.5系統(tǒng)接入管理：接入外部系統(tǒng)的添加、編輯、刪除；添加、停用、刪除；5.5身份驗證：身份證、學(xué)號、教工號驗證身份信息；5.6權(quán)限管理：分角色對系統(tǒng)功能進行權(quán)限分配，也可對單人權(quán)限分配； 角色管理自定義（學(xué)生、學(xué)生會、社團、班干部、科代表等；普通教師、年段長、教研組長、中層干部、三處一 室、副校長、校長書記等）5.7用戶管理1）用戶初始化：導(dǎo)入用戶信息；2）用戶管理包括用戶的增，刪，改，密碼管理，用戶狀態(tài)管理即賬戶注銷，賬戶停用，賬 戶啟用。3）管理員管理轄內(nèi)人員信息，可以增加、刪除和修改人員信息，可以重置人員密碼。 系統(tǒng)增加或者刪除一個人

11、員則相應(yīng)的增加或者刪除一個用戶的賬戶，每新增一個人員賬戶，賦予該賬戶一個初始化密碼。4）用戶檢索：用戶可以按部門查詢?nèi)藛T信息，查詢輸入條件主要包括：姓名、學(xué)籍號、教 師工號、身份證號、郵箱號、手機號和賬號狀態(tài)等5.8系統(tǒng)管理1）登錄日志管理（記錄所有用戶登錄登出系統(tǒng)情況）2）系統(tǒng)檢索（通過系統(tǒng)檢索查找用戶；用戶名、手機、身份證號、學(xué)籍號、教師工號、 郵箱）5.9系統(tǒng)界面要求用戶登錄后界面，選擇自己要用的系統(tǒng)，進行權(quán)限申請；應(yīng)用系統(tǒng)選擇界面參考拒祐司btSft佐円彌械事nueas便鳥和騒!Eft.i n事主收事鼻規(guī)UA HUAfind3訓(xùn)UAeJ.門癥A泰豈亞身LUu 1*廂國LU4 6S:!a

12、sfewainircAffia05BF卻 右N鼻事pen renren.ccmrnLagfijftae EUA=a|BIMjBfhm|B|ULA.iynd .pii 同上時聒傳LU12 UA刪ndiex嗣門LJIMUAiiyindcxu 1IAAohd P16 ec六、學(xué)生基礎(chǔ)數(shù)據(jù)庫平臺1）定制化開發(fā)；2）根據(jù)中華人民共和國教育行業(yè)標(biāo)準(zhǔn)JY/T,教育管理基礎(chǔ)代碼標(biāo)準(zhǔn)、教育管理基礎(chǔ)信息標(biāo)準(zhǔn)、普通中小學(xué)校管理信息標(biāo)準(zhǔn)、教育統(tǒng)計信息標(biāo)準(zhǔn)；結(jié)合學(xué)校需求進行設(shè)計開發(fā)；3）數(shù)據(jù)導(dǎo)入，數(shù)據(jù)備份，學(xué)生可單獨維護數(shù)據(jù)；4）學(xué)生管理類代碼子集：安全教學(xué)形式代碼 ；畢業(yè)去向代碼 ；處分名稱代碼 ；殘疾人類型代碼；附

13、加分 類別代碼；分流方向代碼；攻讀類型代碼高考科目代碼；高校畢業(yè)去向代碼；工作崗位性質(zhì)代碼；獲得學(xué)歷方式代碼；獲獎類型代碼；戶口遷出狀況代碼；就讀 方式代碼；獎勵方式代碼；獎勵資助資金來源代碼；繳納學(xué)費狀況代碼；競賽級 別代碼；家庭類別代碼；獎學(xué)金類型代碼；來華留學(xué)生經(jīng)費來源代碼；來華留學(xué) 生類別代碼；來華留學(xué)生收費類別代碼；來華留學(xué)生重點關(guān)注類別代碼；錄取類 別代碼；培養(yǎng)層次代碼；培養(yǎng)方式代碼；勤工類別代碼；入學(xué)方式代碼；社會實 踐等級代碼；社會實踐類型代碼；三助類別代碼；體檢項目類別代碼；違紀(jì)類別 代碼；學(xué)籍異動類別代碼；學(xué)籍異動原因代碼；學(xué)生變動代碼；學(xué)生當(dāng)前狀態(tài)代 碼；學(xué)生獲獎類別代碼

14、；學(xué)生類別代碼；學(xué)生來源代碼；學(xué)生年齡代碼；學(xué)生收 費調(diào)整方式代碼；學(xué)生體質(zhì)達標(biāo)代碼；休退學(xué)原因代碼；嚴(yán)重不良行為代碼；中 小學(xué)學(xué)生來源代碼；七、教師基礎(chǔ)數(shù)據(jù)庫平臺教職工管理類代碼子集；編制類別代碼；編制異動代碼；辭去社會兼職或?qū)W術(shù)團體職 務(wù)原因代碼；導(dǎo)師類別代碼；輔導(dǎo)員年齡代碼；崗位類別代碼；崗位職業(yè)代碼；高校 教職工源代碼；工作年限代碼；行業(yè)工種類別代碼；教師變動代碼；教師獲獎類別代 碼；教師流動類別代碼；教師年齡代碼；教職工當(dāng)前狀態(tài)代碼；教職工類別代碼；教 職工來源代碼；離崗原因代碼；離校離職原因代碼；聘任情況代碼；聘用性質(zhì)代碼； 任課角色代碼；任課課程類別代碼；任課學(xué)段代碼；任課狀況代

15、碼；外籍專家來華渠 道代碼；外籍專家證類型代碼；委員會任職代碼；專家類別代碼；職務(wù)類別代碼；通 用人員管理類代碼子集；出國目的代碼；港澳臺僑外代碼；國（境）外協(xié)作單位類型 代碼；漢語水平考試成績代碼；級別代碼；獎勵等級代碼；來訪代表團成員身份代碼；來訪訪問類別代碼；普通話水平等級代碼；是否標(biāo)志代碼；身份證件類型代碼；社會 單位性質(zhì)代碼；世界各洲名稱代碼；血型代碼；科研管理類代碼子集；出版社級別代 碼；成果獲獎類別代碼；成果類型代碼；活動類型代碼；會議舉辦形式代碼；合作形 式代碼；鑒定結(jié)論代碼；機構(gòu)職能類型代碼；計劃完成情況代碼；角色代碼；刊物級 別代碼；論文報告形式代碼；論著類別代碼；社會經(jīng)濟效益代碼；受讓方類型代碼； 完成形式代碼；學(xué)科門類（科技）代碼；項目經(jīng)費來源代碼；項目類型代碼；項目來 源代碼；項目執(zhí)行狀態(tài)代碼；學(xué)術(shù)會議等級代碼；學(xué)術(shù)交流類型代碼；學(xué)術(shù)團體級別 代碼；協(xié)作單位類型代碼；專利法