統(tǒng)一登錄系統(tǒng)方案

隨著教育信息化的普及，學校成立了或即將成立多套系統(tǒng)，用來實現(xiàn)對行政治理、教學治理、人員治理等學校內部各方事務的信息化效勞?？墒?，由于各個系統(tǒng)分管的部門不同，應用對象不同，對學校阻礙的緊迫程度不同，各個系統(tǒng)是分步成立的。各個系統(tǒng)的成立時刻不同，系統(tǒng)的廠商也不同，從而致使各個系統(tǒng)之間多數(shù)相對獨立存在，利用者需經歷不同的登錄賬號，登錄不同系統(tǒng)進行操作。這無疑加大了用戶日常利用進程中的不便性，降低了工作效率。而學校的系統(tǒng)治理員在對多套系統(tǒng)的用戶治理時，無法進行統(tǒng)一的賬號及權限治理，這也增加了系統(tǒng)治理人員的治理負擔，造成用戶治理的不標準，關于信息平安存在必然的平安隱患。統(tǒng)一身份認證系統(tǒng)確實是解決上述問題行之有效的工具。統(tǒng)一身份認證系統(tǒng)作為平臺的平安認證及授權中心，要緊為各應用系統(tǒng)提供集中的身份認證與授權效勞。用戶通過統(tǒng)一信息門戶實現(xiàn)單點登錄，提高信息化治理應用系統(tǒng)的平安性。通過指定相應的集中認證技術標準，提供統(tǒng)一的應用系統(tǒng)用戶治理接口，最終實現(xiàn)學校（教育局）所有系統(tǒng)用戶認證的集中統(tǒng)一治理，大幅簡化用戶登錄進程，顯著提高工作效率。同時也減輕系統(tǒng)治理員的用戶治理工作，統(tǒng)一用戶治理。系統(tǒng)提供一系列全面的認證、授權操縱和治理工具，對數(shù)據(jù)的訪問和利用進行全方位多層次的許可、操縱和治理，并珍惜數(shù)據(jù)擁有者和利用者的數(shù)據(jù)平安。關于數(shù)據(jù)庫中的同一數(shù)據(jù)不同用戶依照其擁有的權限集的不同概念對該數(shù)據(jù)對象的操作能力，包括創(chuàng)建、增加、修改元數(shù)據(jù)的索引屬性，創(chuàng)建、增加、修改數(shù)據(jù)對象和對數(shù)據(jù)注釋信息進行操作等功能，從而實現(xiàn)對數(shù)據(jù)的平安珍惜，提升學校（教育局）的信息平安水平。

單點豊錄應用誼問日志身說劇系統(tǒng)運行審計身粉校驗身悅認證安全審計統(tǒng)一登錄管理系統(tǒng)單點登錄服務層認田賄目錄服務日志躥接口層認證接口曰數(shù)據(jù)庫接口認證對象層LDAP目錄接口數(shù)據(jù)交換服務管理單點豊錄應用誼問日志身說劇系統(tǒng)運行審計身粉校驗身悅認證安全審計統(tǒng)一登錄管理系統(tǒng)單點登錄服務層認田賄目錄服務日志躥接口層認證接口曰數(shù)據(jù)庫接口認證對象層LDAP目錄接口數(shù)據(jù)交換服務管理控制層r組唾jr蚊丿巾［角色管理j［口代理jr班絞管理j［會話管理］身份管理敎諦局佛司辦公人節(jié)檔秦學工檔案報務箭理資產管理門戶網站系統(tǒng)統(tǒng)一認證、授權和單點登錄系統(tǒng)是和門戶系統(tǒng)緊密集成的一套基于策略的訪問操縱平臺，采用開放的架構，支持可插接的用戶認證模塊，能夠支持當前主流平安架構，可供Java、、ASP、PHP等開發(fā)平臺挪用實現(xiàn)統(tǒng)一認證。其基于LDAP目錄效勞器，實現(xiàn)用戶的身份認證、應用資源的訪問操縱、策略治理與效勞。提供包括傳統(tǒng)的用戶密碼認證、數(shù)字證書認證、CA證書認證、動態(tài)短信認證等多種認證手腕，實現(xiàn)“一次鑒權（認證和授權）”一一單點登錄，提供基于Web的多種應用程序，即通過閱讀器實現(xiàn)對多個B/S架構應用的統(tǒng)一賬戶認證。實現(xiàn)了用戶只需認證一次，就可以夠夠沒必要再次登錄地訪問其做授權能夠訪問的業(yè)務系統(tǒng)。身份治理成立基于目錄效勞的統(tǒng)一身份治理機制，建設全校（局）統(tǒng)一的用戶身份庫，實現(xiàn)用戶信息的集中存儲和治理，用戶信息標準命名、統(tǒng)一存儲，用戶ID全校（局）唯一，并提供標準接口，實現(xiàn)不同應用系統(tǒng)的用戶身份的同步，支持海量的基于LDAP目錄效勞器的用戶數(shù)據(jù)存儲和治理功能。認證治理用戶認證采用集中統(tǒng)一方式，身份認證支持多種方式認證，支持用戶名/口令、數(shù)字證書、CA證書和短信動態(tài)口令等認證方式，能夠依照業(yè)務的不同平安品級合理利用憑證。認證的全進程數(shù)據(jù)加密。授權治理關于能集中到統(tǒng)一授權的系統(tǒng)，通過數(shù)據(jù)集成方式(WebService)把用戶的授權功能代碼、讀寫權、數(shù)據(jù)范圍、讀寫字段等權限治理數(shù)據(jù)集中到統(tǒng)一身份認證、權限治理平臺上，能夠集中授權。統(tǒng)一授權策略將基于統(tǒng)一資源訪問操縱，基于SOA架構的技術標準，對任何一個功能都按WEBService、URL資源功能效勞、WEB剪輯集成效勞、frame集成效勞、RSS集成效勞、API集成效勞、Portlets集成效勞等提供效勞，能夠提供細粒度的資源訪問操縱，包括對網頁、文件、數(shù)據(jù)范圍、數(shù)據(jù)庫字段級的訪問操縱。審計治理平安審計效勞應能提供多層次的依照用戶、時刻、終端等多種組合的全方位的數(shù)據(jù)操作審計，通過審計信息，治理員能夠追蹤對所有數(shù)據(jù)操作記錄。保證系統(tǒng)的平安靠得住(排除平安致使的系統(tǒng)性能瓶頸)，在此基礎上，成立應用的授權機制，成立統(tǒng)一用戶治理、授權治理和身份認證，進行分級授權和集中身份認證，提高應用系統(tǒng)的平安性和用戶利用的方便性，實現(xiàn)全數(shù)應用的單點登錄，集中治理應用系統(tǒng)內的用戶，實現(xiàn)每一個用戶在訪問各個應用系統(tǒng)時加倍方即靠得住。功能特點用戶的名稱、屬性等能夠支持目錄效勞器LDAP。SSO單點登錄：用戶只需登錄一次就可訪問其所有有權訪問的系統(tǒng)。當用戶持有的身份和密碼通過統(tǒng)一認證平臺的認證后，即可訪問其有權限的所有應用系統(tǒng)，用戶無需再輸入原有系統(tǒng)的登錄密碼，后臺的各應用系統(tǒng)上的用戶名和密碼能夠不相同。擁有相關完整的接口方案，接口通信方式采用Webservice方式。系統(tǒng)支持用戶