統(tǒng)一身份認(rèn)證產(chǎn)品建設(shè)需求

統(tǒng)一身份認(rèn)證產(chǎn)品建設(shè)需求一、項(xiàng)目背景為深入貫徹落實(shí)高校數(shù)字化轉(zhuǎn)型相關(guān)政策要求，高校亟需采用先進(jìn)技術(shù)和解決方案，加快推進(jìn)數(shù)字化轉(zhuǎn)型步伐。原有的定制化統(tǒng)一身份認(rèn)證平臺(tái)，存在可擴(kuò)展性差、架構(gòu)老舊、維護(hù)成本高昂、用戶體驗(yàn)不佳、開放接入性弱等諸多問(wèn)題，已無(wú)法滿足不斷增長(zhǎng)的身份業(yè)務(wù)需求，難以作為重要內(nèi)部信息化基礎(chǔ)設(shè)施。迫切需要基于云原生技術(shù)的下一代統(tǒng)一身份認(rèn)證平臺(tái)作為領(lǐng)先的現(xiàn)代身份和訪問(wèn)管理解決方案，助力實(shí)現(xiàn)更加安全、高效、便捷的數(shù)字化轉(zhuǎn)型。平臺(tái)核心要求：（1）對(duì)老師、學(xué)生日常使用體驗(yàn)的提升，工作流程的簡(jiǎn)化；（2）對(duì)于IT相關(guān)人員安全管理能力提升，管理效率提升，安全管理能力的提升；（3）對(duì)于研發(fā)類內(nèi)部及第三方研發(fā)，數(shù)據(jù)安全合規(guī)的提升，研發(fā)效率的提升；（4）對(duì)于學(xué)校財(cái)務(wù)長(zhǎng)期投入的降低，重復(fù)研發(fā)成本的降低；（5）新老系統(tǒng)在用戶視角可以快速無(wú)感切換，實(shí)現(xiàn)用戶體驗(yàn)的平滑過(guò)渡；（6）實(shí)現(xiàn)存量應(yīng)用的快速對(duì)接，實(shí)現(xiàn)存量應(yīng)用的快速遷移上線；（7）新用戶注冊(cè)便捷；二、項(xiàng)目建設(shè)目標(biāo)本項(xiàng)目旨在建設(shè)一套先進(jìn)、安全、高效的統(tǒng)一身份管理平臺(tái)，滿足在身份和訪問(wèn)管理方面的以下場(chǎng)景需求：1.全面提升師生日常使用體驗(yàn)1.1簡(jiǎn)化認(rèn)證流程：支持單點(diǎn)登錄(SSO)，師生可使用統(tǒng)一賬號(hào)，一次登錄，訪問(wèn)所有教學(xué)、科研和管理應(yīng)用系統(tǒng)，及VPN、校園郵箱等過(guò)往需要獨(dú)立密碼進(jìn)行LDAP認(rèn)證的系統(tǒng)，告別繁瑣的密碼記憶和登錄操作，大幅提升工作效率和學(xué)習(xí)效率，有效降低密碼泄露釣魚或弱密碼帶來(lái)的數(shù)據(jù)安全風(fēng)險(xiǎn)。1.2安全無(wú)密碼認(rèn)證：師生可使用微信掃碼、Passkey、手機(jī)驗(yàn)證碼、人臉識(shí)別等無(wú)密碼認(rèn)證方式進(jìn)行快速認(rèn)證登錄，并能夠?yàn)槊舾袘?yīng)用配置多種二次驗(yàn)證方式，極大程度提升用戶體驗(yàn)并確保賬號(hào)安全性。1.3提升自助服務(wù)能力：師生可以在個(gè)人中心快速查看個(gè)人身份數(shù)據(jù)及應(yīng)用訪問(wèn)記錄，自助修改被授權(quán)的個(gè)人信息。1.4用戶身份的靈活切換：對(duì)于既是老師又是學(xué)生等具備多重身份用戶可自主選擇單點(diǎn)登錄過(guò)程中登錄某些系統(tǒng)的身份，無(wú)需記錄多個(gè)登錄方式。1.5通訊錄數(shù)據(jù)的有效分級(jí)管理：可以基于平臺(tái)靈活的ABAC權(quán)限模型不同用戶角色和標(biāo)簽靈活實(shí)現(xiàn)通訊錄數(shù)據(jù)的分級(jí)授權(quán)策略自定義，有效避免用戶數(shù)據(jù)大規(guī)模泄露。2.助力IT相關(guān)人員高效便捷管理2.1高細(xì)粒度分級(jí)分權(quán)管理能力：平臺(tái)超級(jí)管理員可以創(chuàng)建多個(gè)可自定義權(quán)限管理范圍的協(xié)作管理員，除了菜單、按鈕等常規(guī)平臺(tái)資源可被分配外也可以分配一定條件下平臺(tái)的數(shù)據(jù)資源范圍（如具有特定標(biāo)簽的用戶），滿足各種復(fù)雜場(chǎng)景的分級(jí)分權(quán)管理需求。2.2低代碼的自動(dòng)化管理策略配置：通過(guò)自動(dòng)化工作流快速配置覆蓋師生全生命周期管理場(chǎng)景的各類應(yīng)用權(quán)限管理策略及通知策略，有效降低手工分配帶來(lái)的重復(fù)工作量。2.3簡(jiǎn)單便捷的應(yīng)用接入配置：平臺(tái)管理員及各類應(yīng)用開發(fā)者可參考完善細(xì)致的功能文檔及API文檔，簡(jiǎn)單、低代碼進(jìn)行各類標(biāo)準(zhǔn)認(rèn)證協(xié)議（OIDC、SAML、CAS、LDAP）應(yīng)用的接入，及對(duì)非標(biāo)準(zhǔn)應(yīng)用進(jìn)行快速低代碼RPA接入。2.4快速高效的身份數(shù)據(jù)分析：平臺(tái)管理員可以快速進(jìn)行海量身份數(shù)據(jù)及應(yīng)用授權(quán)數(shù)據(jù)的快速篩選、提取，并且能夠通過(guò)API對(duì)接BI平臺(tái)進(jìn)行更高效的身份數(shù)據(jù)實(shí)時(shí)分析看板制作。2.5審計(jì)日志及事件：平臺(tái)全量記錄用戶訪問(wèn)行為和安全事件，支持實(shí)時(shí)風(fēng)險(xiǎn)告警對(duì)接，管理者可以及時(shí)發(fā)現(xiàn)安全隱患，提升整體安全管理能力。2.6統(tǒng)一賬號(hào)切換用戶和管理員身份：管理者用戶可以通過(guò)SSO登錄后快速切換管理控制臺(tái)界面，無(wú)需單獨(dú)記錄管理控制臺(tái)登錄地址和密碼，安全高效。2.7自動(dòng)化運(yùn)維告警：對(duì)業(yè)務(wù)指標(biāo)、業(yè)務(wù)日志、業(yè)務(wù)鏈路（南北向+東西向）進(jìn)行全方位采集、追蹤、計(jì)算、監(jiān)控和實(shí)時(shí)告警，確保在發(fā)生事件的第一時(shí)間進(jìn)行策略化、自動(dòng)化處置流程的同時(shí)可以通知到相關(guān)管理人員。3.提升研發(fā)效能，建立身份數(shù)據(jù)全生命周期治理標(biāo)準(zhǔn)3.1降低身份能力開發(fā)成本：自研應(yīng)用無(wú)需單獨(dú)開發(fā)認(rèn)證、用戶管理、第三方登錄等身份能力，可以直接使用平臺(tái)的標(biāo)準(zhǔn)化SDK和API快速完成應(yīng)用開發(fā)，開發(fā)者可以更多時(shí)間聚焦于業(yè)務(wù)邏輯本身的開發(fā)。3.2第三方開發(fā)范式統(tǒng)一：平臺(tái)提供統(tǒng)一的認(rèn)證接入規(guī)范、權(quán)限接入規(guī)范、標(biāo)準(zhǔn)化的API規(guī)范、標(biāo)準(zhǔn)化的SDK規(guī)范；存量軟件進(jìn)行分批次逐步遷移，增量軟件嚴(yán)格遵循IDaaS平臺(tái)的開發(fā)規(guī)范。3.3身份數(shù)據(jù)合規(guī)使用保護(hù)：使用身份安全認(rèn)證標(biāo)準(zhǔn)協(xié)議進(jìn)行用戶認(rèn)證和信息授權(quán)控制，在此之上實(shí)施最小權(quán)限原則，確保外部供應(yīng)商只能訪問(wèn)其所需的資源和數(shù)據(jù)；對(duì)于關(guān)鍵數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中對(duì)敏感數(shù)據(jù)進(jìn)行加密或脫敏，包括用戶憑據(jù)、個(gè)人數(shù)據(jù)等；同時(shí)記錄和監(jiān)控用戶的身份驗(yàn)證和訪問(wèn)行為，包括登錄、授權(quán)、數(shù)據(jù)訪問(wèn)等操作；實(shí)施日志管理和審計(jì)功能，以確保對(duì)用戶行為進(jìn)行審計(jì)，并及時(shí)檢測(cè)和響應(yīng)異?；顒?dòng)。3.4多租戶場(chǎng)景降本增效：面向類SaaS化的內(nèi)部服務(wù)場(chǎng)景，例如后勤、資產(chǎn)經(jīng)營(yíng)公司可使用學(xué)校統(tǒng)一建設(shè)的身份認(rèn)證服務(wù)，但可以獨(dú)立管理自己的身份數(shù)據(jù)和認(rèn)證方式，并接入和管理其他自己采購(gòu)的應(yīng)用，降低統(tǒng)一認(rèn)證平臺(tái)重復(fù)建設(shè)的成本及協(xié)作管理成本。4.采用領(lǐng)先的云計(jì)算、容器化技術(shù)，實(shí)現(xiàn)高性能、高安全、高可用、可擴(kuò)展4.1高性能：4.1.1微服務(wù)架構(gòu)，彈性伸縮：平臺(tái)采用微服務(wù)架構(gòu)，將應(yīng)用拆分成多個(gè)獨(dú)立的服務(wù)，每個(gè)服務(wù)可以單獨(dú)部署和擴(kuò)展。這種架構(gòu)使得平臺(tái)能夠根據(jù)負(fù)載彈性伸縮資源，滿足不同場(chǎng)景的性能需求。例如，在高峰期，平臺(tái)可以自動(dòng)增加服務(wù)節(jié)點(diǎn)，以滿足增加的流量需求；在低峰期，平臺(tái)可以自動(dòng)減少服務(wù)節(jié)點(diǎn)，以降低資源消耗。4.1.2容器編排技術(shù)，高效運(yùn)維管理：高效地利用計(jì)算資源，提升應(yīng)用性能，自動(dòng)服務(wù)發(fā)現(xiàn)、負(fù)載均衡、健康檢查等。4.2高安全：4.2.1多重身份驗(yàn)證：支持多種身份驗(yàn)證方式，包括用戶名密碼、短信驗(yàn)證碼、第三方賬號(hào)登錄等，并支持多因子認(rèn)證，最大程度地保障用戶賬戶安全。例如，可以要求用戶使用密碼和短信驗(yàn)證碼進(jìn)行雙重認(rèn)證，或者使用密碼和人臉識(shí)別進(jìn)行多因子認(rèn)證。4.2.2細(xì)粒度權(quán)限控制：提供細(xì)粒度的權(quán)限控制功能，可以對(duì)用戶、角色、資源進(jìn)行授權(quán)，確保只有授權(quán)用戶才能訪問(wèn)指定資源。例如，平臺(tái)可以授予某個(gè)用戶對(duì)某個(gè)應(yīng)用的只讀權(quán)限，或者授予某個(gè)角色對(duì)某個(gè)數(shù)據(jù)庫(kù)的讀寫權(quán)限。4.2.3數(shù)據(jù)加密存儲(chǔ)：采用加密技術(shù)對(duì)用戶數(shù)據(jù)進(jìn)行存儲(chǔ)，防止數(shù)據(jù)泄露。4.2.4安全審計(jì)：提供安全審計(jì)功能，可以記錄用戶登錄、操作等行為，并提供詳細(xì)的審計(jì)日志。4.3高可用：4.3.1分布式部署：平臺(tái)可以部署在多個(gè)數(shù)據(jù)中心或云環(huán)境中，以確保服務(wù)高可用。即使一個(gè)數(shù)據(jù)中心出現(xiàn)故障，平臺(tái)也可以繼續(xù)為用戶提供服務(wù)。4.3.2自動(dòng)故障轉(zhuǎn)移：支持自動(dòng)故障轉(zhuǎn)移，當(dāng)某臺(tái)服務(wù)器出現(xiàn)故障時(shí)，可以自動(dòng)將流量切換到其他服務(wù)器，確保服務(wù)不中斷。4.3.2負(fù)載均衡：提供負(fù)載均衡功能，可以將流量均勻地分配到多個(gè)服務(wù)節(jié)點(diǎn)，避免單個(gè)節(jié)點(diǎn)成為瓶頸。4.4可擴(kuò)展：4.4.1標(biāo)準(zhǔn)化開放API：通過(guò)標(biāo)準(zhǔn)化的規(guī)范，使得第三方系統(tǒng)可以標(biāo)準(zhǔn)化、快速的集成和接入身份認(rèn)證業(yè)務(wù)，并且豐富的API有助于業(yè)務(wù)系統(tǒng)基于自身業(yè)務(wù)進(jìn)行靈活、低成本的二次開發(fā)。4.4.2低代碼自動(dòng)化編排：基于零代碼+低代碼的自動(dòng)化編排技術(shù)，可以實(shí)現(xiàn)關(guān)于用戶全生命周期自動(dòng)化管理、權(quán)限全生命周期自動(dòng)化管理、安全策略自動(dòng)化管理等，大大降低了傳統(tǒng)的人工管理方式，并且針對(duì)新的業(yè)務(wù)和需求，不需要進(jìn)行繁瑣的二次開發(fā)流程，可以通過(guò)可視化的方式進(jìn)行業(yè)務(wù)流程的自定義編排。三、建設(shè)指導(dǎo)思想1.終端用戶無(wú)感切換：通過(guò)完善的無(wú)感遷移工具和無(wú)感遷移方案，能夠在確保用戶體驗(yàn)短期不發(fā)生變化的情況下使用新的統(tǒng)一身份認(rèn)證平臺(tái)替換原有的統(tǒng)一身份認(rèn)證平臺(tái)。2.低成本信創(chuàng)組件切換：通過(guò)容器化技術(shù)+分層架構(gòu)，確保業(yè)務(wù)服務(wù)和信創(chuàng)組件（基礎(chǔ)服務(wù)）進(jìn)行解耦合，并使用中間層進(jìn)行各種不同信創(chuàng)組件的適配，當(dāng)需要進(jìn)行切換時(shí)，可以是用戶無(wú)感知的情況下完成平滑遷移和切換。3.產(chǎn)品開放可嵌入性：采用開放標(biāo)準(zhǔn)協(xié)議及提供完整的平臺(tái)全能力API，滿足甲方未來(lái)對(duì)平臺(tái)的完整可控，及與其他系統(tǒng)集成、嵌入和互聯(lián)互通的需求，避免定制化產(chǎn)品帶來(lái)的高昂后續(xù)修改成本。四、功能模塊參數(shù)模塊內(nèi)容說(shuō)明用戶注冊(cè)用戶注冊(cè)能力支持多種注冊(cè)方式，包括用戶名/密碼、電子郵件、社交賬號(hào)等。支持定制注冊(cè)表單，以滿足學(xué)校特定信息收集需求。支持密碼策略設(shè)置，強(qiáng)制用戶設(shè)置強(qiáng)密碼。支持注冊(cè)審核機(jī)制，防止惡意注冊(cè)。新生自主注冊(cè)激活:新生自行激活賬號(hào)并綁定手機(jī)號(hào)微信號(hào)。新教職工注冊(cè)激活，從中心庫(kù)同步新增的教職工賬號(hào)，新教職工拿到賬號(hào)后登錄激活并綁定手機(jī)號(hào)微信號(hào)等。外來(lái)人員自行注冊(cè)，其中學(xué)生家長(zhǎng)注冊(cè)，需支持綁定對(duì)應(yīng)的關(guān)系人學(xué)生信息。數(shù)據(jù)統(tǒng)計(jì):系統(tǒng)可以統(tǒng)計(jì)新生激活人數(shù)、按班級(jí)、專業(yè)、年級(jí)統(tǒng)計(jì)新生人數(shù)等。用戶導(dǎo)入能力支持從各種數(shù)據(jù)源導(dǎo)入用戶，包括CSV文件、LDAP目錄、HR系統(tǒng)等。支持批量導(dǎo)入用戶。支持將導(dǎo)入的用戶與已有的用戶進(jìn)行匹配。支持導(dǎo)入用戶時(shí)自動(dòng)分配權(quán)限。用戶認(rèn)證支持使用微信掃碼、Passkey、手機(jī)驗(yàn)證碼、人臉識(shí)別等無(wú)密碼認(rèn)證方式進(jìn)行快速認(rèn)證登錄，并能夠?yàn)槊舾袘?yīng)用配置多種二次驗(yàn)證方式；支持單點(diǎn)登錄(SSO)，可使用統(tǒng)一賬號(hào)，一次登錄，訪問(wèn)所有有權(quán)限的教學(xué)、科研和管理等應(yīng)用系統(tǒng)，及VPN、校園郵箱等過(guò)往需要獨(dú)立密碼進(jìn)行LDAP認(rèn)證的系統(tǒng)；用戶身份的靈活切換：對(duì)于既是老師又是學(xué)生等具備多重身份用戶可自主選擇單點(diǎn)登錄過(guò)程中登錄某些系統(tǒng)的身份，無(wú)需記錄多個(gè)登錄方式。用戶管理對(duì)學(xué)校學(xué)生、教職工、臨時(shí)人員、訪客等的統(tǒng)一身份管理，將分散于各個(gè)應(yīng)用系統(tǒng)中的用戶數(shù)據(jù)統(tǒng)一集中管理，實(shí)現(xiàn)組織用戶身份集中管理與存儲(chǔ)，并實(shí)現(xiàn)用戶身份全生命周期閉環(huán)的常態(tài)化管理。主要功能包括：新增用戶、修改用戶、刪除用戶、禁用/啟用、修改/重置密碼、用戶組管理等功能。支持用戶個(gè)人敏感信息進(jìn)行脫敏展示，避免數(shù)據(jù)泄露。同一個(gè)用戶可以屬于多個(gè)用戶組（實(shí)現(xiàn)多維度用戶標(biāo)簽）。為管理員提供全面的用戶管理能力，包括：3.1支持用戶分類管理，比如內(nèi)部用戶、外部用戶等；3.2以主數(shù)據(jù)系統(tǒng)作為權(quán)威數(shù)據(jù)源，進(jìn)行內(nèi)部用戶的同步，外部用戶支持管理員手動(dòng)維護(hù)；3.3基于組織機(jī)構(gòu)的用戶查詢；3.4可以對(duì)用戶的入職、信息變更、禁用、啟用、邏輯刪除、離職等進(jìn)行操作；3.5頁(yè)面配置默認(rèn)顯示列，可搜索字段，顯示列可以動(dòng)態(tài)調(diào)整；3.6批量刪除、啟用、停用、鎖定、解鎖、重置密碼；3.7批量操作導(dǎo)出和導(dǎo)入；3.8支持外部用戶自主注冊(cè)服務(wù)。為管理員提供靈活的用戶配置能力，包括：4.1為管理員提供可靈活擴(kuò)展的用戶自定義配置能力，方便管理員對(duì)用戶數(shù)據(jù)進(jìn)行維護(hù)。主要功能包括：用戶屬性定義、用戶事件自定義、用戶過(guò)程定義、用戶類型定義、用戶組定義等。4.2支持對(duì)用戶密碼策略進(jìn)行靈活管理，滿足組織在不同時(shí)期的密碼管理要求和法律法規(guī)對(duì)密碼管理的相關(guān)要求。主要功能包括：隨機(jī)密碼生成策略管理、默認(rèn)密碼校驗(yàn)策略管理、條件密碼校驗(yàn)策略管理等。支持對(duì)用戶供應(yīng)策略進(jìn)行靈活的配置，管理員可根據(jù)不同時(shí)期的用戶供應(yīng)要求，進(jìn)行靈活增減和配置相關(guān)限制條件。主要功能包括全部用戶供應(yīng)策略管理、條件用戶供應(yīng)策略管理等。身份數(shù)據(jù)治理1.一數(shù)一源：對(duì)于用戶類型的某個(gè)字段內(nèi)容，指定一個(gè)權(quán)威數(shù)據(jù)源作為唯一來(lái)源，確保數(shù)據(jù)的準(zhǔn)確性和一致性。2.采集源管理：管理采集源的信息，將數(shù)據(jù)源，用戶類型，數(shù)據(jù)項(xiàng)關(guān)聯(lián)起來(lái)，形成一個(gè)完整的采集信息，規(guī)范用戶類型擁有的屬性，以及對(duì)應(yīng)的屬性來(lái)源，保證數(shù)據(jù)的準(zhǔn)確性。通過(guò)數(shù)據(jù)對(duì)照使對(duì)應(yīng)系統(tǒng)的數(shù)據(jù)字段進(jìn)行關(guān)聯(lián)。3.采集任務(wù)：管理執(zhí)行采集源列表的開關(guān)，維護(hù)定時(shí)執(zhí)行采集源，實(shí)時(shí)執(zhí)行采集源及展示采集源的執(zhí)行時(shí)間，執(zhí)行內(nèi)容等。將個(gè)人信息、個(gè)人經(jīng)歷等信息進(jìn)行標(biāo)準(zhǔn)化自動(dòng)收集，允許數(shù)據(jù)導(dǎo)入、首次注冊(cè)信息登記和后續(xù)登錄完善，以保證身份信息完整。提高數(shù)據(jù)的復(fù)用性，方便在不同業(yè)務(wù)系統(tǒng)中身份被快速識(shí)別、重復(fù)利用。采集任務(wù)不同采集數(shù)據(jù)類型：人員、機(jī)構(gòu)、崗位、關(guān)系（人員-機(jī)構(gòu)關(guān)系、機(jī)構(gòu)-崗位關(guān)系、人員-機(jī)構(gòu)-崗位關(guān)系）。4.任務(wù)采集日志：對(duì)任務(wù)采集進(jìn)行日志記錄，包含采集數(shù)據(jù)的內(nèi)容，如：用戶名、姓名、用戶類型、證件號(hào)、聯(lián)系電話等。5.數(shù)據(jù)采集日志：對(duì)數(shù)據(jù)采集進(jìn)行日志記錄，可根據(jù)條件查詢數(shù)據(jù)采集日志信息，如：用戶名、姓名、用戶類型、數(shù)據(jù)操作類型（更新數(shù)據(jù)、刪除數(shù)據(jù)等）、采集結(jié)果（成功、失?。?、采集時(shí)間等。6.異動(dòng)數(shù)據(jù)處理：對(duì)身份數(shù)據(jù)異動(dòng)情況進(jìn)行監(jiān)控并處理，支持查看用戶詳情。組織機(jī)構(gòu)管理對(duì)接學(xué)校組織體系、角色體系、崗位體系。支持從上游權(quán)威數(shù)據(jù)源自動(dòng)獲取組織機(jī)構(gòu)數(shù)據(jù)，實(shí)現(xiàn)對(duì)組織的全量組織機(jī)構(gòu)的統(tǒng)一納管。主要功能包括：機(jī)構(gòu)搜索、新增機(jī)構(gòu)、修改機(jī)構(gòu)、刪除機(jī)構(gòu)、禁用/啟用、批量操作、查詢、撤銷、合并&轉(zhuǎn)移等。3.崗位管理支持崗位新增、刪除、修改、查詢、導(dǎo)入操作，崗位可以關(guān)聯(lián)部門與用戶。崗位是關(guān)鍵信息，可用于授權(quán)、認(rèn)證、合規(guī)等業(yè)務(wù)場(chǎng)景策略控制。4.統(tǒng)除常規(guī)組織、用戶、崗位數(shù)據(jù)模型外，還存在諸如機(jī)構(gòu)，用戶群組等自定義數(shù)據(jù)模型，適配兼容難度較大。通過(guò)平臺(tái)內(nèi)置組織、用戶、崗位數(shù)據(jù)模型，支持?jǐn)U展數(shù)據(jù)模型，數(shù)據(jù)模型支持自定義屬性、屬性與對(duì)象關(guān)聯(lián)，通過(guò)彈性擴(kuò)展機(jī)制，靈活適配數(shù)據(jù)源系統(tǒng)數(shù)據(jù)模型，更好對(duì)組織用戶進(jìn)行管理。5支持從多維度創(chuàng)建、維護(hù)以及展示多個(gè)機(jī)構(gòu)樹，支持在不同維度機(jī)構(gòu)樹之間切換展示，方便組織集中統(tǒng)一管理行政組織架構(gòu)和業(yè)務(wù)組織架構(gòu)和按需同步至下游各應(yīng)用系統(tǒng)。通過(guò)組織機(jī)構(gòu)管理功能實(shí)現(xiàn)：5.1基本批量操作和導(dǎo)入導(dǎo)出功能；5.2頁(yè)面配置默認(rèn)顯示列，可搜索字段，顯示列可以動(dòng)態(tài)調(diào)整；5.3批量刪除、物理刪除、啟用、停用，支持組織合并和組織轉(zhuǎn)移；5.4協(xié)助梳理崗位-訪問(wèn)級(jí)權(quán)限的對(duì)應(yīng)關(guān)系，以實(shí)現(xiàn)人員崗位變動(dòng)后訪問(wèn)為權(quán)限的自動(dòng)調(diào)整；5.5并支持與其他三方系統(tǒng)的打通，包括但不限于釘釘、企業(yè)微信等；5.6支持導(dǎo)入、導(dǎo)出組織信息等；應(yīng)用管理應(yīng)用配置：為管理員提供可靈活的應(yīng)用配置能力，方便管理員對(duì)各類應(yīng)用情況進(jìn)行維護(hù)。為應(yīng)用提供注冊(cè)、展示、管理、屬性定義等。主要功能包括：應(yīng)用注冊(cè)、應(yīng)用屬性定義、應(yīng)用事件定義等。應(yīng)用集成：2.1支持廣泛的預(yù)配置應(yīng)用集成，提供簡(jiǎn)單的配置向?qū)?lái)集成各種常用的應(yīng)用和服務(wù)。2.2提供多種預(yù)構(gòu)建的SaaS應(yīng)用集成。2.3提供多種第三方身份源，如微信、企業(yè)微信、釘釘、支付寶等第三方身份認(rèn)證方式的預(yù)集成，快速開箱即用。2.4支持學(xué)校郵箱對(duì)接集成（企業(yè)郵接口對(duì)接、用戶賬號(hào)同步、單點(diǎn)登錄、LDAP對(duì)接等）。單點(diǎn)登錄（SSO）：3.1支持多種主流認(rèn)證協(xié)議（OIDC、SAML、CAS、OAuth）實(shí)現(xiàn)應(yīng)用快速配置。3.2為保證老舊系統(tǒng)SSO對(duì)接的平滑遷移，并兼容老舊系統(tǒng)的數(shù)據(jù)交換流程，需支持OIDC自定義Claim和Scope、支持SAML自定義Response。3.3支持通過(guò)應(yīng)用集成網(wǎng)關(guān)技術(shù)，對(duì)非標(biāo)準(zhǔn)應(yīng)用。3.4支持單點(diǎn)登錄技術(shù)，允許用戶使用一組憑證安全地訪問(wèn)多個(gè)應(yīng)用。提供一個(gè)用戶友好的應(yīng)用程序門戶，用戶可以從中訪問(wèn)所有授權(quán)的應(yīng)用。應(yīng)用訪問(wèn)管理和控制：提供基于角色的訪問(wèn)控制（RBAC）和屬性的訪問(wèn)控制（ABAC），允許管理員定義用戶在應(yīng)用中的角色和權(quán)限，并符合法規(guī)和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。API安全和管理：5.1提供如API令牌管理和安全策略等功能，滿足應(yīng)用級(jí)別管理API的單獨(dú)權(quán)限能力。確保應(yīng)用數(shù)據(jù)的交互和訪問(wèn)控制符合安全標(biāo)準(zhǔn)。5.2支持對(duì)特定一個(gè)或多個(gè)IP和網(wǎng)段進(jìn)行策略的設(shè)定和排除，同時(shí)支持多種基于IP的風(fēng)險(xiǎn)控制策略。支持通過(guò)自定義JSON數(shù)據(jù)在線對(duì)IP/IP段進(jìn)行管理和維護(hù)，并支持導(dǎo)入和導(dǎo)出能力。低代碼品牌化能力：允許高度定制和靈活配置登錄界面風(fēng)格，應(yīng)用門戶風(fēng)格，以滿足特定業(yè)務(wù)需求，包括用戶界面的自定義和集成流程的定制。用戶自助服務(wù)平臺(tái)提供的用戶自助服務(wù)功能：密碼管理：用戶可以自行重置或更改密碼，不需要IT部門的介入。這包括通過(guò)安全問(wèn)題、郵箱或手機(jī)驗(yàn)證來(lái)重置忘記的密碼。個(gè)人信息管理：允許用戶自行更新個(gè)人資料，如綁定手機(jī)號(hào)、微信號(hào)等。賬戶解鎖：用戶在輸入多次錯(cuò)誤密碼后可能會(huì)鎖定其賬戶。平臺(tái)可以提供自助解鎖賬戶的功能，通過(guò)驗(yàn)證過(guò)程幫助用戶恢復(fù)賬戶訪問(wèn)權(quán)限。多因素認(rèn)證設(shè)置：用戶可以自行管理多因素認(rèn)證（MFA）的設(shè)置，選擇他們偏好的驗(yàn)證方法（如人臉、短信、應(yīng)用、硬件令牌、無(wú)密碼認(rèn)證等方式），增加賬戶的安全性。自動(dòng)化工作流模塊身份自動(dòng)化工作流通過(guò)低代碼、無(wú)代碼的智能工作流配置提升身份管理的效率和安全性，具備以下幾點(diǎn)：自動(dòng)化的數(shù)據(jù)同步1.1提供針對(duì)主流HR應(yīng)用、OA應(yīng)用、數(shù)據(jù)庫(kù)等開箱即用的身份數(shù)據(jù)連接和ETL能力，并能夠通過(guò)可視化編排的自動(dòng)化工作流進(jìn)行靈活的數(shù)據(jù)編排、API調(diào)度編排，并能夠提供可自定義身份數(shù)據(jù)對(duì)象和實(shí)體的低代碼能力，滿足更多復(fù)雜組織結(jié)構(gòu)下的數(shù)據(jù)實(shí)體定義和同步能力，并能夠提供成熟的工作流運(yùn)行監(jiān)控能力和告警能力。支持可視化展示同步過(guò)程，支持拖拉拽的方式實(shí)現(xiàn)同步邏輯的變更，支持在同步的任意流程中嵌入自定義代碼完成功能擴(kuò)展，支持在同步的流程中插入自定義HTTP請(qǐng)求完成功能擴(kuò)展，支持場(chǎng)景的數(shù)據(jù)處理和流程控制節(jié)點(diǎn)，包括但不限于：數(shù)據(jù)統(tǒng)計(jì)、數(shù)據(jù)過(guò)濾、數(shù)據(jù)轉(zhuǎn)換、判斷節(jié)點(diǎn)等。1.2數(shù)據(jù)同步的方式為主數(shù)據(jù)系統(tǒng)通過(guò)融合集成協(xié)議增量推送到平臺(tái)，即平臺(tái)系統(tǒng)按照融合集成協(xié)議接口規(guī)范，并支持從其他第三方系統(tǒng)同步組織和人員數(shù)據(jù)，包括但不限于企業(yè)微信、釘釘、數(shù)據(jù)倉(cāng)庫(kù)、LDAP、AD等；支持實(shí)時(shí)同步、定時(shí)同步、手動(dòng)同步；同步日志可查詢，總記錄數(shù)，同步成功數(shù)，失敗數(shù)，同步時(shí)間等。自動(dòng)化賬戶管理：自動(dòng)創(chuàng)建、更新、禁用和刪除用戶賬戶。這包括在員工入職、崗位變動(dòng)或離職時(shí)，根據(jù)預(yù)定義的規(guī)則和流程自動(dòng)執(zhí)行相應(yīng)的賬戶管理操作。角色和權(quán)限自動(dòng)分配：3.1根據(jù)用戶的角色和職責(zé)自動(dòng)分配相應(yīng)的訪問(wèn)權(quán)限。例如，新入職的員工可以根據(jù)其職位自動(dòng)獲得對(duì)必要系統(tǒng)和資源的訪問(wèn)權(quán)限。3.2身份自動(dòng)化功能支持以自動(dòng)化方式實(shí)現(xiàn)某組織機(jī)構(gòu)下用戶批量授權(quán)。您的系統(tǒng)可以在某個(gè)事件觸發(fā)的時(shí)刻按照指定好的規(guī)范向工作流觸發(fā)器發(fā)送攜帶權(quán)限分配信息的HTTP請(qǐng)求，并自動(dòng)化地實(shí)現(xiàn)組織機(jī)構(gòu)授權(quán)情況的更改。自動(dòng)化訪問(wèn)審批：通過(guò)工作流引擎支持訪問(wèn)審批過(guò)程，自動(dòng)將訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給合適的審批者，并根據(jù)審批結(jié)果自動(dòng)執(zhí)行訪問(wèn)授權(quán)或拒絕。多租戶管理模塊允許服務(wù)提供商使用單一的實(shí)例來(lái)服務(wù)多個(gè)客戶（即租戶）。例如面向類SaaS化的內(nèi)部服務(wù)場(chǎng)景，例如后勤、資產(chǎn)經(jīng)營(yíng)公司可使用學(xué)校統(tǒng)一建設(shè)的身份認(rèn)證服務(wù)，但可以獨(dú)立管理自己的身份數(shù)據(jù)和認(rèn)證方式，并接入和管理其他自己采購(gòu)的應(yīng)用，降低統(tǒng)一認(rèn)證平臺(tái)重復(fù)建設(shè)的成本及協(xié)作管理成本，多租戶身份管理系統(tǒng)應(yīng)具備以下能力：隔離性和數(shù)據(jù)安全：1.1保證各租戶數(shù)據(jù)的完全隔離，確保一個(gè)租戶的數(shù)據(jù)不會(huì)被其他租戶訪問(wèn)。這包括用戶數(shù)據(jù)、配置設(shè)置和個(gè)性化信息的隔離。1.2實(shí)施強(qiáng)有力的安全措施，包括加密存儲(chǔ)和傳輸數(shù)據(jù)，以保護(hù)所有租戶的敏感信息。靈活租戶個(gè)性化能力配置：2.1支持多種身份認(rèn)證機(jī)制，包括社交登錄、企業(yè)身份驗(yàn)證（如SAML、OAuth）、多因素認(rèn)證等，以滿足不同租戶的安全需求和用戶便利性。2.2允許租戶自定義登錄頁(yè)面和用戶認(rèn)證流程，以符合各自的品牌和用戶體驗(yàn)需求。多租戶管理界面：提供一個(gè)中央管理界面，供服務(wù)提供商管理所有租戶的配置和監(jiān)控其使用情況。允許每個(gè)租戶通過(guò)自己的管理界面配置和管理自己的用戶和權(quán)限。LDAP對(duì)接模塊提供集成LDAP服務(wù)不僅需要支持傳統(tǒng)的LDAP功能，還應(yīng)提供額外的現(xiàn)代化改進(jìn)和云特性關(guān)鍵能力：兼容性與集成：1.1完全兼容標(biāo)準(zhǔn)的LDAP協(xié)議，確?？梢詿o(wú)縫集成進(jìn)現(xiàn)有使用LDAP的應(yīng)用和服務(wù)中，并且能夠和統(tǒng)一認(rèn)證平臺(tái)共享數(shù)據(jù)。1.2支持對(duì)接的LDAP協(xié)議應(yīng)用能夠和統(tǒng)一認(rèn)證平臺(tái)其他應(yīng)用實(shí)現(xiàn)靈活的SSO單點(diǎn)登錄。1.3支持與各種目錄服務(wù)的集成，包括ActiveDirectory、其他LDAP服務(wù)器等。擴(kuò)展性與性能：2.1提供高可擴(kuò)展性，能夠根據(jù)組織的需求動(dòng)態(tài)調(diào)整資源。2.2保證高性能的響應(yīng)時(shí)間，即使是在用戶數(shù)量劇增的情況下也能維持服務(wù)的穩(wěn)定性。安全性與加密：3.1數(shù)據(jù)傳輸時(shí)完全加密，使用SSL/TLS等技術(shù)確保數(shù)據(jù)在傳輸過(guò)程中的安全。3.2提供強(qiáng)大的訪問(wèn)控制機(jī)制，包括基于角色的訪問(wèn)控制和細(xì)粒度的權(quán)限設(shè)置。高可用性與災(zāi)難恢復(fù)：4.1確保高可用性配置，減少任何可能的服務(wù)中斷。4.2提供災(zāi)難恢復(fù)能力，以備不時(shí)之需，如數(shù)據(jù)中心故障時(shí)自動(dòng)切換到備份中心。多租戶支持：支持多租戶架構(gòu)，允許多個(gè)獨(dú)立的客戶在同一個(gè)云環(huán)境中運(yùn)行，而不會(huì)互相干擾。安全審計(jì)模塊提供一個(gè)以日志的形式記錄用戶所作的所有操作的集中的存儲(chǔ)中心。審計(jì)人員、安全管理人員可以隨時(shí)察看這些記錄用戶、系統(tǒng)和應(yīng)用的日志信息。安全審計(jì)為所有應(yīng)用系統(tǒng)和用戶提供了一個(gè)基于關(guān)系性數(shù)據(jù)庫(kù)的準(zhǔn)確而且安全的日志記錄方式。1.支持用戶行為審計(jì)：認(rèn)證日志、訪問(wèn)應(yīng)用日志、登錄時(shí)間、登錄地點(diǎn)、登錄IP、登錄設(shè)備、用戶、操作、操作日志等，至少保留6個(gè)月及以上；且無(wú)法刪除、修改或覆蓋審計(jì)記錄，包括應(yīng)用及賬號(hào)類的審計(jì)和認(rèn)證類的審計(jì)。2.實(shí)時(shí)監(jiān)控與警報(bào)：實(shí)時(shí)監(jiān)控所有身份相關(guān)的活動(dòng)，能夠自動(dòng)檢測(cè)異常行為模式，如不尋常的登錄嘗試、非授權(quán)地區(qū)的訪問(wèn)嘗試等。當(dāng)檢測(cè)到潛在的安全事件或違規(guī)行為時(shí)，系統(tǒng)應(yīng)能觸發(fā)警報(bào)并通知相應(yīng)的安全團(tuán)隊(duì)。事件關(guān)聯(lián)與安全行為分析：對(duì)收集的數(shù)據(jù)進(jìn)行深入分析，識(shí)別潛在的威脅或異常行為。利用持續(xù)自適應(yīng)多因素檢測(cè)等等技術(shù)進(jìn)行身份安全行為分析，以實(shí)現(xiàn)動(dòng)態(tài)的自適應(yīng)多因素認(rèn)證。開放平臺(tái)模塊開放平臺(tái)是為了確保靈活性和可擴(kuò)展性，支持第三方開發(fā)者和企業(yè)客戶能夠輕松集成和擴(kuò)展其服務(wù)，滿足甲方未來(lái)對(duì)平臺(tái)的完整可控，及與其他系統(tǒng)集成、嵌入和互聯(lián)互通的需求，避免定制化產(chǎn)品帶來(lái)的高昂后續(xù)修改成本。開放平臺(tái)模塊應(yīng)該具備以下關(guān)鍵能力：全面的API支持：1.1提供一套豐富的RESTfulAPI，允許開發(fā)者對(duì)用戶、組、角色、權(quán)限等進(jìn)行管理。1.2支持身份驗(yàn)證和授權(quán)流程，例如OAuth2.0和OpenIDConnect。1.3API應(yīng)該包括高級(jí)的安全措施，如訪問(wèn)控制和速率限制。事件驅(qū)動(dòng)架構(gòu)：2.1支持基于事件的集成，允許系統(tǒng)在發(fā)生特定事件（如用戶登錄、密碼更改、權(quán)限更新等）時(shí)觸發(fā)外部應(yīng)用的響應(yīng)。2.2支持低代碼Pipeline能力，可配置在特定流程、條件、場(chǎng)景中可觸發(fā)的認(rèn)證流程。2.3提供Webhooks或類似機(jī)制，使第三方服務(wù)可以訂閱并響應(yīng)這些事件。SDK和工具包：3.1提供多種編程語(yǔ)言的SDK（如Java,Python,JavaScript,.NET等），使開發(fā)者可以在其選擇的語(yǔ)言中輕松集成學(xué)校統(tǒng)一身份功能。3.2SDK應(yīng)包括常用的身份管理任務(wù)的封裝，簡(jiǎn)化開發(fā)過(guò)程。文檔和開發(fā)者支持：4.1提供詳盡、易懂的API文檔和開發(fā)者指南。4.2提供開發(fā)者社區(qū)或論壇，為開發(fā)者提供支持和交流的平臺(tái)。定期舉辦開發(fā)者活動(dòng)和培訓(xùn)，幫助開發(fā)者了解和使用平臺(tái)。數(shù)據(jù)交換接口、系統(tǒng)集成1．總體要求：系統(tǒng)設(shè)計(jì)和開發(fā)要遵循“一庫(kù)一表”的建設(shè)理念和建設(shè)標(biāo)準(zhǔn)，要符合《信息編碼標(biāo)準(zhǔn)》，包括數(shù)據(jù)信息編碼規(guī)則和技術(shù)規(guī)范、公共編碼標(biāo)準(zhǔn)、基礎(chǔ)接口標(biāo)準(zhǔn)等；系統(tǒng)所有功能必須集成到學(xué)校的信息管理中臺(tái)；系統(tǒng)必須與學(xué)校的統(tǒng)一公共數(shù)據(jù)平臺(tái)、統(tǒng)一身份認(rèn)證、綜合信息門戶、校園APP進(jìn)行全面對(duì)接與集成。2.系統(tǒng)設(shè)計(jì)要求：系統(tǒng)設(shè)計(jì)采用B/S架構(gòu)，面向用戶的功能要能獨(dú)立配置成微功能（微應(yīng)用），微功能（微應(yīng)用）與綜合信息門戶、校園APP進(jìn)行集成。系統(tǒng)采用分層模塊化設(shè)計(jì)編碼，當(dāng)局部功能出現(xiàn)問(wèn)題，系統(tǒng)自動(dòng)通過(guò)簡(jiǎn)單隔離操作保證系統(tǒng)整體的可用性。用戶界面直觀明了、簡(jiǎn)單方便，操作簡(jiǎn)便，用戶使用體驗(yàn)好。3.系統(tǒng)部署要求：本系統(tǒng)要求獨(dú)立部署在校內(nèi)服務(wù)器中，開發(fā)要求采用先進(jìn)的J2EE主流技術(shù)平臺(tái)產(chǎn)品；系統(tǒng)應(yīng)用和數(shù)據(jù)分開部署，應(yīng)用端必須支持部署在虛擬機(jī)，服務(wù)器端采用Linux系統(tǒng)（CETOS6.5）；系統(tǒng)要求在技術(shù)上引入緩存等高并發(fā)機(jī)制，優(yōu)化數(shù)據(jù)庫(kù)設(shè)計(jì)，提高數(shù)據(jù)查詢、統(tǒng)計(jì)等高流量時(shí)段的性能瓶頸。后臺(tái)所有功能須集成到學(xué)校信息管理中臺(tái)，平臺(tái)數(shù)據(jù)通信使用基于TOKEN的AES加密。4.兼容性要求：用戶端完全兼容各類主流瀏覽器，包括IE、Edge、Chrome、Firefox、Safari、Opera、360瀏覽器等。5.移動(dòng)端支持：面向師生的功能必須有HTML5（H5）頁(yè)面，支持Android、iOS智能終端，能夠匹配市面上主流的手機(jī)機(jī)型，對(duì)應(yīng)的H5頁(yè)面必須集成（或自由配置）到學(xué)校APP、微信、QQ、釘釘、易班內(nèi)。6.數(shù)據(jù)共享與集成：系統(tǒng)作為學(xué)校整體信息化的一部分，需要與學(xué)?！耙粠?kù)一表”的統(tǒng)一公共數(shù)據(jù)平臺(tái)和其它應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)共享與集成。根據(jù)學(xué)校的數(shù)據(jù)集成方案實(shí)現(xiàn)數(shù)據(jù)的采集（ETL技術(shù)）和數(shù)據(jù)的推送(統(tǒng)一數(shù)據(jù)接口)，完成數(shù)據(jù)交換和共享。系統(tǒng)中使用的基礎(chǔ)信息數(shù)據(jù)，例如組織機(jī)構(gòu)、教師信息、學(xué)生信息、班級(jí)信息、學(xué)院信息、建筑物信息等必須從中心數(shù)據(jù)庫(kù)實(shí)時(shí)同步（采集）；本系統(tǒng)中產(chǎn)生的數(shù)據(jù)，根據(jù)頻度、粒度的需要實(shí)時(shí)同步（推送）到中心數(shù)據(jù)庫(kù)；系統(tǒng)要提供數(shù)據(jù)交互接口，包括讀和寫兩個(gè)方面，提供手動(dòng)推送和手動(dòng)讀取功能，對(duì)于實(shí)時(shí)性強(qiáng)的數(shù)據(jù)須按照學(xué)校數(shù)據(jù)交互標(biāo)準(zhǔn)改造并免費(fèi)開放接口。7.功能集成。系統(tǒng)面向大眾的微功能（微應(yīng)用）要與學(xué)?！耙粠?kù)一表”對(duì)接，對(duì)接內(nèi)容包括并不限于以下事項(xiàng)：（1）消息對(duì)接（包括待辦事宜、消息提醒、消息發(fā)送等）；（2）日程對(duì)接（包括業(yè)務(wù)日程、公共日程和個(gè)人日程）；（3）服務(wù)集成（包括瀏覽器兼容性、Frame嵌入集成、UI整體風(fēng)格一致性調(diào)整等），協(xié)助學(xué)校實(shí)現(xiàn)將面向最終用戶的服務(wù)頁(yè)面整合在綜合服務(wù)門戶中；（4）微功能（微應(yīng)用）屬性信息集成，包括微功能（微應(yīng)用）的時(shí)間屬性及點(diǎn)擊痕跡記錄日志信息。系統(tǒng)須采用碎片化（微應(yīng)用）的設(shè)計(jì)方式，使得所有業(yè)務(wù)功能可自由調(diào)用及搭配。8.系統(tǒng)接口開放