QGDW-11417-2015-統(tǒng)一權(quán)限平臺接口規(guī)范

ICS29.240

Q/GDW

國家電網(wǎng)公司企業(yè)標準

Q/GDW11417—2015

統(tǒng)一權(quán)限平臺接口規(guī)范

Interfacespecificationforidentitysecuritycontrolplatform

2016-03-31發(fā)布2016-03-31實施

國家電網(wǎng)公司發(fā)布

Q/GDW11417—2015

統(tǒng)一權(quán)限平臺接口規(guī)范

1范圍

本標準規(guī)定了統(tǒng)一權(quán)限平臺提供的統(tǒng)一認證、統(tǒng)一身份權(quán)限和統(tǒng)一審計的接口服務(wù)與相關(guān)技術(shù)

要求。

本標準適用于與統(tǒng)一權(quán)限平臺集成的已建業(yè)務(wù)系統(tǒng)和新建業(yè)務(wù)系統(tǒng)。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T29262面向服務(wù)的體系結(jié)構(gòu)（SOA）術(shù)語

GB/T29798基于Web服務(wù)的IT資源管理規(guī)范

Q/GDW594國家電網(wǎng)公司信息化“SG186工程”安全防護總體方案

Q/GDW597國家電網(wǎng)公司應(yīng)用軟件通用安全要求

3術(shù)語和定義

GB/T29262確立的以及下列術(shù)語和定義適用于本文件。

3.1

統(tǒng)一權(quán)限平臺IdentitySecurityControlPlatform（ISC-Platform）

屬于國家電網(wǎng)公司一體化信息平臺的重要組成部分，實現(xiàn)各業(yè)務(wù)系統(tǒng)的用戶、組織、角色、權(quán)限信

息統(tǒng)一集中管理的信息技術(shù)平臺。

3.2

代表性狀態(tài)傳輸representationalstatetransfer（REST）

一種用于針對網(wǎng)絡(luò)應(yīng)用的設(shè)計和開發(fā)方式，強調(diào)對資源狀態(tài)的描述以及導(dǎo)致資源狀態(tài)遷移的一

組操作。

3.3

瀏覽器/服務(wù)器架構(gòu)Browser/ServerArchitecture（B/S架構(gòu)）

一種信息系統(tǒng)體系架構(gòu)，主要業(yè)務(wù)邏輯在服務(wù)器端實現(xiàn)，用戶通過瀏覽器進行人機交互。

3.4

客戶端/服務(wù)器架構(gòu)Client/Serverarchitecture（C/S架構(gòu)）

一種信息系統(tǒng)體系架構(gòu)，主要業(yè)務(wù)邏輯在客戶端實現(xiàn)，用戶通過專用的客戶端軟件進行人機交互。

3.5

單點登錄singlesignOn（SSO）

用戶僅需登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)

3.6

統(tǒng)一認證服務(wù)unifiedauthenticationservice

為業(yè)務(wù)系統(tǒng)提供統(tǒng)一的用戶認證和管理服務(wù)，實現(xiàn)業(yè)務(wù)系統(tǒng)單點登錄功能，提供業(yè)務(wù)系統(tǒng)信息資源

的統(tǒng)一保護。統(tǒng)一認證服務(wù)是統(tǒng)一權(quán)限平臺服務(wù)的重要組成部分。

1

Q/GDW11417—2015

3.7

服務(wù)票據(jù)serviceticket(ST)

認證服務(wù)器為用戶簽發(fā)的用于訪問業(yè)務(wù)服務(wù)的票據(jù)。用戶訪問業(yè)務(wù)服務(wù)時會對用戶提交的服務(wù)票據(jù)

進行有效性校驗，校驗成功后才會允許用戶訪問該服務(wù)，校驗失敗則將禁止用戶訪問服務(wù)。

3.8

認證憑證緩存ticket-grantingcookie(TGC)

在瀏覽器和認證服務(wù)間通訊時使用基于安全通道傳輸（HTTPS）的緩存憑證，為認證服務(wù)明確用戶

身份的憑證。

3.9

登錄票據(jù)ticketgrangtingticket（TGT）

在用戶第一次成功登錄認證服務(wù)器時臨時生成的一次性票據(jù)。登錄票據(jù)被業(yè)務(wù)系統(tǒng)用于校驗用戶的

認證狀態(tài)是否正確，是實現(xiàn)單點登錄的重要數(shù)據(jù)交換載體。

3.10

基于角色訪問控制Role-BasedAccessControl（RBAC）

基于角色訪問控制模型引入“角色”的概念，并通過建立“用戶-角色-資源”的映射關(guān)系，來靈活

地表示用戶和資源之間訪問與被訪問關(guān)系。根據(jù)安全的需要定義各種角色并設(shè)置合理的訪問權(quán)限，通過

訪問權(quán)限和角色相關(guān)聯(lián)，角色與用戶關(guān)聯(lián)，從而實現(xiàn)訪問權(quán)限的邏輯分離。

3.11

系統(tǒng)日志協(xié)議SyslogProtocol

一種用來在互聯(lián)網(wǎng)協(xié)定（TCP/IP）的網(wǎng)絡(luò)中傳遞系統(tǒng)記錄訊息的標準,通常Syslog協(xié)議能被用來將

來自許多不同類型系統(tǒng)的日志記錄整合到集中的儲存庫中。

4縮略語

下列縮略語適用于本文件。

CSV：字符分隔值(Comma-SeparatedValues)

HTTPS：超文本傳輸安全協(xié)議（HyperTextTransferProtocoloverSecureSocketLayer）

JDBC：Java數(shù)據(jù)庫連接(JavaDataBaseConnectivity)

JSON：輕量級的數(shù)據(jù)交換文本格式（JavaScriptObjectNotation）

SFTP：安全文件傳輸協(xié)議（SecureFileTransferProtocol）

SOAP：簡單對象訪問協(xié)議（SimpleObjectAccessProtocol）

WSDL：Web服務(wù)描述語言（WebServiceDescriptionLanguage）

5總則

統(tǒng)一權(quán)限平臺為業(yè)務(wù)系統(tǒng)提供統(tǒng)一認證、統(tǒng)一身份權(quán)限和統(tǒng)一審計三類接口，分別實現(xiàn)身份鑒別、

身份權(quán)限數(shù)據(jù)管理及訪問、安全審計等服務(wù)，支撐業(yè)務(wù)系統(tǒng)與統(tǒng)一權(quán)限平臺的集成。

統(tǒng)一認證接口為業(yè)務(wù)系統(tǒng)提供統(tǒng)一認證服務(wù)，包括Filter認證接口和REST認證接口兩種方式?；?/p>

于B/S架構(gòu)的業(yè)務(wù)系統(tǒng)應(yīng)采用Filter認證接口實現(xiàn)集成，基于C/S架構(gòu)的業(yè)務(wù)系統(tǒng)應(yīng)采用REST認證接

口方式實現(xiàn)集成。

統(tǒng)一身份權(quán)限接口為業(yè)務(wù)系統(tǒng)提供集中的身份權(quán)限服務(wù)，包括數(shù)據(jù)同步接口和數(shù)據(jù)服務(wù)接口兩種方

式。已建業(yè)務(wù)系統(tǒng)（自身擁有身份權(quán)限管理功能）應(yīng)采用數(shù)據(jù)同步接口方式實現(xiàn)集成，新建業(yè)務(wù)系統(tǒng)（自

身無身份權(quán)限功能設(shè)計）應(yīng)采用數(shù)據(jù)服務(wù)接口方式實現(xiàn)集成。

統(tǒng)一審計接口提供統(tǒng)一權(quán)限平臺從業(yè)務(wù)系統(tǒng)采集業(yè)務(wù)操作日志的服務(wù)，包括Syslog審計接口、SFTP

審計接口和數(shù)據(jù)庫審計接口三種方式，業(yè)務(wù)系統(tǒng)應(yīng)根據(jù)不同的應(yīng)用場景選擇相應(yīng)的接口方式實現(xiàn)集成。

2

Q/GDW11417—2015

6統(tǒng)一認證接口

6.1Filter認證接口

6.1.1接口描述

Filter認證接口為基于B/S架構(gòu)的業(yè)務(wù)系統(tǒng)提供統(tǒng)一認證和單點登錄功能。

6.1.2應(yīng)用場景

圖1Filter認證接口應(yīng)用場景

Filter認證接口認證過程見圖1，應(yīng)用場景如下：

a）用戶通過瀏覽器訪問業(yè)務(wù)系統(tǒng)頁面（ServiceURL）。

b）業(yè)務(wù)系統(tǒng)（通過加載統(tǒng)一權(quán)限平臺的提供的代理程序?qū)崿F(xiàn)攔截、分析和跳轉(zhuǎn)功能）分析瀏覽器

的請求，若請求參數(shù)中包含ST，則跳轉(zhuǎn)到步驟e),否則將用戶重定向至統(tǒng)一認證服務(wù)，要求用

戶提供認證憑證。

a）用戶輸入認證憑證，請求統(tǒng)一認證服務(wù)進行身份驗證。

b）統(tǒng)一認證服務(wù)驗證用戶憑證，若驗證通過，產(chǎn)生一個隨機的ST，并發(fā)送一個TGC給用戶瀏覽

器，然后重定向到業(yè)務(wù)系統(tǒng)，否則跳轉(zhuǎn)到步驟c)。

c）業(yè)務(wù)系統(tǒng)接收到ST后，將ST發(fā)送至統(tǒng)一認證服務(wù)進行票據(jù)驗證。

d）統(tǒng)一認證服務(wù)對ST進行驗證，若驗證通過，則將包含ST的用戶信息用Json格式返回給業(yè)務(wù)

系統(tǒng)，否則跳轉(zhuǎn)到步驟c)。

e）用戶重定向到業(yè)務(wù)系統(tǒng)頁面。

6.1.3應(yīng)用要求

業(yè)務(wù)系統(tǒng)應(yīng)在統(tǒng)一權(quán)限平臺注冊。

業(yè)務(wù)系統(tǒng)應(yīng)在自身web容器中配置過濾器，加載統(tǒng)一權(quán)限平臺提供的代理程序，實現(xiàn)認證攔

截，保護自身客戶端的頁面資源，具體實現(xiàn)邏輯參見附錄A.1。

用戶所用瀏覽器應(yīng)啟用Cookie功能。

3

Q/GDW11417—2015

6.2REST認證接口

6.2.1接口描述

REST認證接口為基于C/S架構(gòu)的業(yè)務(wù)系統(tǒng)提供統(tǒng)一認證和單點登錄功能，接口使用安全HTTPS

協(xié)議以REST方式發(fā)布，接口安全見Q/GDW594。

REST認證接口清單見表1。

表1REST認證接口清單

序號接口方法接口說明

1根據(jù)所提交的用戶賬號信息進行有效性驗證，驗證通過后返回用戶

getTicket

登錄票和基本信息。

2通過登錄票TGT獲取服務(wù)票(ST)，服務(wù)票用于訪問B/S結(jié)構(gòu)的業(yè)務(wù)

getServerTicket

系統(tǒng)

3tgtValidate通過用戶id和登錄票驗證是否有效

4getTgtByUserId已登錄情況下，通過用戶id獲取登錄票

5Logout在認證服務(wù)中注銷用戶的登錄狀態(tài)

6.2.2應(yīng)用場景

基于C/S架構(gòu)的業(yè)務(wù)系統(tǒng)應(yīng)通過REST認證接口發(fā)送規(guī)范的用戶憑證至統(tǒng)一認證服務(wù)，統(tǒng)一認證服

務(wù)根據(jù)用戶憑證進行有效性驗證，驗證通過將用戶登錄票和基本信息返回給業(yè)務(wù)系統(tǒng)，認證過程見圖2。

圖2REST認證接口應(yīng)用場景

6.2.3應(yīng)用要求

業(yè)務(wù)系統(tǒng)應(yīng)在統(tǒng)一權(quán)限平臺完成注冊。

業(yè)務(wù)系統(tǒng)端應(yīng)采用post請求實現(xiàn)認證,具體實現(xiàn)邏輯參見附錄A.2。

7統(tǒng)一身份權(quán)限接口

7.1數(shù)據(jù)同步接口

7.1.1接口描述

數(shù)據(jù)同步接口實現(xiàn)統(tǒng)一權(quán)限平臺到已建業(yè)務(wù)系統(tǒng)間的身份權(quán)限數(shù)據(jù)同步，數(shù)據(jù)的同步方向為單向。

以統(tǒng)一權(quán)限平臺管理的身份權(quán)限數(shù)據(jù)為數(shù)據(jù)源，向被集成的業(yè)務(wù)系統(tǒng)同步數(shù)據(jù)。業(yè)務(wù)系統(tǒng)應(yīng)遵照SOAP

協(xié)議開發(fā)對應(yīng)的接口，見GB/T29798。統(tǒng)一權(quán)限平臺應(yīng)依照業(yè)務(wù)系統(tǒng)需求配置同步策略。

4

Q/GDW11417—2015

數(shù)據(jù)同步接口清單見表2。

表2數(shù)據(jù)同步接口清單

序號接口方法接口說明

1syncUser用戶數(shù)據(jù)接口

2syncBizOrganization業(yè)務(wù)組織數(shù)據(jù)接口

3syncBizRoleGroup業(yè)務(wù)角色分組數(shù)據(jù)接口

4syncBizRole業(yè)務(wù)角色數(shù)據(jù)接口

5syncBizOrgRole業(yè)務(wù)組織角色數(shù)據(jù)接口

6syncResource權(quán)限對象數(shù)據(jù)接口

7syncFunction功能數(shù)據(jù)接口

8syncBizRoleOfUser用戶與業(yè)務(wù)角色關(guān)系數(shù)據(jù)接口

9syncBizOrgRoleOfUser用戶與業(yè)務(wù)組織角色關(guān)系數(shù)據(jù)接口

10syncFunctionOfBizRole業(yè)務(wù)角色與權(quán)限對象數(shù)據(jù)接口

11syncResOfBizRole業(yè)務(wù)角色與功能數(shù)據(jù)接口

12syncFunctionOfOrgRole組織角色與權(quán)限對象數(shù)據(jù)接口

13syncResOfOrgRole組織角色與功能數(shù)據(jù)接口

7.1.2應(yīng)用場景

已建業(yè)務(wù)系統(tǒng)的身份權(quán)限數(shù)據(jù)應(yīng)在統(tǒng)一權(quán)限平臺中維護。統(tǒng)一權(quán)限平臺的數(shù)據(jù)同步服務(wù)通過調(diào)用業(yè)

務(wù)系統(tǒng)端的數(shù)據(jù)同步接口向業(yè)務(wù)系統(tǒng)發(fā)送身份權(quán)限數(shù)據(jù)，業(yè)務(wù)系統(tǒng)接收同步數(shù)據(jù)并返回同步結(jié)果。應(yīng)用

場景見圖3。

圖3數(shù)據(jù)同步接口應(yīng)用場景

7.1.3應(yīng)用要求

業(yè)務(wù)系統(tǒng)權(quán)限模型應(yīng)符合RBAC授權(quán)模型。

業(yè)務(wù)系統(tǒng)應(yīng)在統(tǒng)一權(quán)限平臺完成注冊。

業(yè)務(wù)系統(tǒng)的身份權(quán)限數(shù)據(jù)應(yīng)在統(tǒng)一權(quán)限平臺進行管理。

業(yè)務(wù)系統(tǒng)應(yīng)依照統(tǒng)一權(quán)限平臺提供的WSDL數(shù)據(jù)格式完成自身數(shù)據(jù)同步接口的開發(fā)，接口開

發(fā)參見附錄B.1。

5

Q/GDW11417—2015

業(yè)務(wù)系統(tǒng)宜使用中間表的方式實現(xiàn)同步操作，接口數(shù)據(jù)解析后先存入中間表，經(jīng)轉(zhuǎn)換后保存

到業(yè)務(wù)系統(tǒng)原數(shù)據(jù)表。

業(yè)務(wù)系統(tǒng)數(shù)據(jù)接收接口的平均響應(yīng)時間應(yīng)<=100ms/條，最高響應(yīng)時間應(yīng)<=200ms/條。

7.2數(shù)據(jù)服務(wù)接口

7.2.1接口描述

新建業(yè)務(wù)系統(tǒng)不具備獨立的身份權(quán)限管理能力，自身不存儲身份權(quán)限數(shù)據(jù)，通過調(diào)用數(shù)據(jù)服務(wù)接口

主動從統(tǒng)一權(quán)限平臺獲取自身的身份權(quán)限數(shù)據(jù)。數(shù)據(jù)服務(wù)接口采用REST方式發(fā)布給業(yè)務(wù)系統(tǒng)使用，接

口清單見表3。

表3數(shù)據(jù)服務(wù)接口清單

序號接口分類接口名稱接口描述

根據(jù)基準組織ID、基準組織屬性獲取當前基準組織

1部門管理getSubDepartment下一級基準組織的信息（部門信息/單位信息/全部信

息）

根據(jù)基準組織ID查詢基準組織所在的單位（及與

2部門管理getDepartmentById

該基準組織最近的單位）

根據(jù)業(yè)務(wù)組織ID查詢業(yè)務(wù)組織關(guān)聯(lián)的基準組織信

3部門管理getRelationDepartmentByOrgId

息（會有多個基準組織）

根據(jù)業(yè)務(wù)組織ID查詢業(yè)務(wù)組織引用的基準組織信

4部門管理getQuoteDepartmentByOrgId

息（只有一個基準組織）

getQuoteDepartments

5部門管理基準組織動態(tài)查詢接口

ByConditionAndOrderBy

6用戶管理getUserByIds根據(jù)用戶ID集合批量獲取用戶信息

7用戶管理getUsersByName根據(jù)用戶姓名獲取用戶信息(模糊匹配)

根據(jù)用戶登錄名獲取用戶信息（登錄名在系統(tǒng)中是

8用戶管理getUsersByLoginCode

唯一的）

根據(jù)業(yè)務(wù)組織ID及用戶過濾條件獲取當前業(yè)務(wù)組

9用戶管理getUsersByOrg

織的用戶信息

根據(jù)業(yè)務(wù)組織角色標識及用戶過濾條件獲取業(yè)務(wù)

10用戶管理getUsersByOrgRole

組織角色下的用戶信息

根據(jù)用戶Id獲取在指定的業(yè)務(wù)應(yīng)用下的業(yè)務(wù)組織

11用戶管理getUserOrgPathByUserId

路徑

根據(jù)業(yè)務(wù)應(yīng)用ID及用戶過濾條件分頁查詢用戶信

12用戶管理getUsers

息

13用戶管理userLoginAuth根據(jù)用戶名與密碼取得用戶

14用戶管理userLoginAuth根據(jù)網(wǎng)省ID用戶名與密碼驗證用戶登錄

根據(jù)業(yè)務(wù)組織ID及用戶過濾條件分頁查詢當前業(yè)

15用戶管理getUsersByOrg

務(wù)組織及其所有下級業(yè)務(wù)組織的用戶信息

16用戶管理getUsersByConditionAndOrderBy用戶動態(tài)查詢接口

根據(jù)業(yè)務(wù)組織ID和單元性質(zhì)編碼獲取用戶并分頁

17用戶管理getUsersByOrg

顯示

18角色管理getRoleGroupByRole根據(jù)業(yè)務(wù)角色分組ID獲取業(yè)務(wù)角色分組信息

19角色管理getRoleGroup根據(jù)業(yè)務(wù)應(yīng)用ID獲取業(yè)務(wù)角色分組信息

6

Q/GDW11417—2015

表3（續(xù)）

序號接口分類接口名稱接口描述

20角色管理getRoleByRoleId根據(jù)業(yè)務(wù)角色ID獲取業(yè)務(wù)角色信息。

21角色管理getRolesByRoleName根據(jù)業(yè)務(wù)角色名稱獲取業(yè)務(wù)角色信息

22角色管理getRolesByRoleGroupID根據(jù)業(yè)務(wù)角色分組ID獲取業(yè)務(wù)角色信息。

23角色管理getOrgRolesByIds根據(jù)業(yè)務(wù)組織角色ID集合獲取業(yè)務(wù)組織角色信息。

24角色管理getOrgRolesByName根據(jù)業(yè)務(wù)組織角色名稱獲取業(yè)務(wù)組織角色信息。

根據(jù)用戶ID及業(yè)務(wù)組織角色信息獲取業(yè)務(wù)組織角

25角色管理getOrgRolesByUserId

色信息，用戶的角色放置第一個。

根據(jù)業(yè)務(wù)組織單元ID及業(yè)務(wù)組織角色信息獲取業(yè)

26角色管理getOrgRolesByBusiOrgId

務(wù)組織角色信息。

27角色管理getOrgRolesByRoleId根據(jù)業(yè)務(wù)角色ID獲取業(yè)務(wù)組織角色信息。

28角色管理getOrgRolePathByOrgRoleId根據(jù)業(yè)務(wù)組織角色ID獲取業(yè)務(wù)組織角色的路徑。

29角色管理getOrgRoles根據(jù)業(yè)務(wù)應(yīng)用ID分頁查詢業(yè)務(wù)組織角色集合

分頁查詢業(yè)務(wù)組織標識（當前業(yè)務(wù)組織及其所有子

30角色管理getOrgRolesByOrgId

業(yè)務(wù)組織）下業(yè)務(wù)組織角色集合。

31角色管理getOrgRolesByResIdAndUserId根據(jù)業(yè)務(wù)組織角色ID集合獲取業(yè)務(wù)組織角色信息。

根據(jù)用戶ID，功能ID及權(quán)限業(yè)務(wù)編碼判斷當前用

戶是否擁有指定功能節(jié)點下指定權(quán)限對象業(yè)務(wù)編碼

32資源管理hasFuncNodePerm

的使用權(quán)限，返回true表示用戶擁有使用權(quán)限，返回

false表示用戶沒有使用權(quán)限

33資源管理getPermissionObjectsByfuncId根據(jù)功能ID獲取指定功能下包含的權(quán)限對象列表

34資源管理hasPermitUserFuncId用戶訪問功能權(quán)限鑒別

根據(jù)業(yè)務(wù)應(yīng)用ID、功能業(yè)務(wù)編碼獲取用戶訪問功能

35資源管理hasPermitUserFuncCode

鑒別

36資源管理getFuncTree遞歸獲取當前用戶在指定業(yè)務(wù)應(yīng)用下的功能子樹

37資源管理getFuncTreeByFuncId遞歸地獲取當前用戶在指定功能下的功能子樹

38資源管理getFuncsByFuncCode根據(jù)功能業(yè)務(wù)編碼獲取功能集合

39資源管理getFuncsByOrgRoleId根據(jù)業(yè)務(wù)組織角色標識獲取功能集合

40資源管理getFuncsByRoleId根據(jù)業(yè)務(wù)角色標識獲取功能集合

41資源管理getFuncsByFuncName根據(jù)功能名稱匹配功能

42資源管理getFuncs根據(jù)業(yè)務(wù)應(yīng)用ID分頁查詢功能集合

43資源管理getSubFuncsByFuncId分頁查詢當前功能下的子功能集合

44資源管理getFuncsBySystemIDAndURL獲取功能鏈接在指定業(yè)務(wù)應(yīng)用下的功能節(jié)點集合

45資源管理hasPermitURLObj判斷當前用戶是否擁有訪問權(quán)限

46資源管理getFuncsByIds根據(jù)功能標識集合批量獲取功能集合

獲取當前用戶在指定業(yè)務(wù)應(yīng)用和功能分類下的功

47資源管理getUserPermitFuncs

能集合

48資源管理getFuncsByParentId獲取用戶有權(quán)限訪問的子功能集合

7

Q/GDW11417—2015

表3（續(xù)）

序號接口分類接口名稱接口描述

49資源管理getDeployUrlByFuncId根據(jù)功能ID查詢業(yè)務(wù)應(yīng)用的部署地址(URL)

50資源管理getFirstLayerFuncs獲取在指定業(yè)務(wù)應(yīng)用下的第一層的功能

51資源管理getSubFuncs獲取在指定業(yè)務(wù)應(yīng)用下的第一層外的所有功能

52資源管理hasUrlByBusiId判定功能URL在業(yè)務(wù)應(yīng)用下是否注冊過

53資源管理getFuncsByParentId根據(jù)功能父節(jié)點標識獲取子功能集合

54資源管理getFuncsPath查詢功能到功能根節(jié)點的路徑

55資源管理getFuncTreeByRoleId根據(jù)業(yè)務(wù)角色ID獲取功能樹

56資源管理addFunc在指定功能節(jié)點下注冊功能節(jié)點

57資源管理addFuncs指定功能節(jié)點下注冊功能子樹

58資源管理delFuncByFuncId根據(jù)功能ID刪除指定的功能節(jié)點

59資源管理delFuncByFuncCode根據(jù)功能業(yè)務(wù)編碼刪除指定的功能節(jié)點

根據(jù)權(quán)限對象業(yè)務(wù)編碼集合查詢對應(yīng)權(quán)限對象集

60資源管理getPermObjectsByPerCodes

合

根據(jù)業(yè)務(wù)組織角色標識獲取功能節(jié)點及功能節(jié)點

61資源管理getFuncsObjByOrgRoleId

的權(quán)限對象

根據(jù)用戶ID、業(yè)務(wù)應(yīng)用ID、功能分類取得功能節(jié)

62資源管理getUserPermitionFuncs

點及功能節(jié)點的權(quán)限對象

根據(jù)用戶ID及功能ID取得當前功能節(jié)點的下一級

63資源管理getFuncContextByParentId

功能節(jié)點及下一級功能節(jié)點的權(quán)限對象

64資源管理getPermissionObjectsByPerObjId根據(jù)權(quán)限對象ID集合取得權(quán)限對象信息

65資源管理getPermissionObjectsByPerObjName根據(jù)權(quán)限對象名稱取得權(quán)限對象信息

66資源管理getPermissionObjects獲得用戶訪問功能下的權(quán)限對象

67資源管理hasPermitUserPerObject用戶訪問權(quán)限對象鑒別

getPermissionsBySysId根據(jù)功能id、業(yè)務(wù)角色id取得業(yè)務(wù)角色擁有的該功

68資源管理

AndRoleIdAndFuncId能id下的權(quán)限對象的集合

根據(jù)業(yè)務(wù)組織單元標識集合批量獲取業(yè)務(wù)組織單

69業(yè)務(wù)組織getBusiOrgsByIds

元信息

70業(yè)務(wù)組織getBusiOrgsByOrgName根據(jù)業(yè)務(wù)組織單元名稱獲取業(yè)務(wù)組織單元信息

根據(jù)業(yè)務(wù)組織ID獲取業(yè)務(wù)組織上級對口業(yè)務(wù)組織

72業(yè)務(wù)組織getSuperCorrespondOrg

信息

獲取業(yè)務(wù)應(yīng)用業(yè)務(wù)組織機構(gòu)樹的第一層組織單元

73業(yè)務(wù)組織getChildOrgsBySystemId

集合

根據(jù)業(yè)務(wù)組織名稱(全匹配)獲取指定業(yè)務(wù)應(yīng)用下匹

74業(yè)務(wù)組織getMatchedOrgsByOrgName

配的業(yè)務(wù)組織機構(gòu)樹（只檢索500條）

根據(jù)業(yè)務(wù)組織單元標識獲取下一層業(yè)務(wù)組織單元

75業(yè)務(wù)組織getChildBusiOrgsById

集合

根據(jù)業(yè)務(wù)組織單元標識遞歸地獲取下層業(yè)務(wù)組織

76業(yè)務(wù)組織getAllBusiOrgsById

單元集合（只檢索500條）

8

Q/GDW11417—2015

表3（續(xù)）

序號接口分類接口名稱接口描述

77業(yè)務(wù)組織getOrgPathByOrgId根據(jù)當前節(jié)點返回完整路徑的業(yè)務(wù)組織單元集合

78業(yè)務(wù)組織getBussOrgs根據(jù)業(yè)務(wù)應(yīng)用ID分頁查詢業(yè)務(wù)組織集合

根據(jù)業(yè)務(wù)組織信息分頁查詢當前業(yè)務(wù)組織下的所

79業(yè)務(wù)組織getSubBussOrgs

有子業(yè)務(wù)組織集合

根據(jù)業(yè)務(wù)組織名稱查詢在指定業(yè)務(wù)應(yīng)用下業(yè)務(wù)組

80業(yè)務(wù)組織getOrgsPathByOrgName

織的路徑

根據(jù)用戶ID和組織單元性質(zhì)取得用戶的上級業(yè)務(wù)

81業(yè)務(wù)組織getUpperOrgBySystemIdAndUserId

組織單元

82業(yè)務(wù)組織getOrgByUnifiedCode根據(jù)業(yè)務(wù)組織“統(tǒng)一編碼”獲取業(yè)務(wù)組織實體

83業(yè)務(wù)組織getDimensionality根據(jù)業(yè)務(wù)應(yīng)用ID獲取系統(tǒng)維度信息

84業(yè)務(wù)組織getOrgProperty根據(jù)性質(zhì)ID獲取業(yè)務(wù)組織單元性質(zhì)信息

根據(jù)業(yè)務(wù)應(yīng)用ID及性質(zhì)信息獲取業(yè)務(wù)組織單元性

85業(yè)務(wù)組織getOrgProperty

質(zhì)信息

根據(jù)業(yè)務(wù)組織自定義性質(zhì)ID獲取業(yè)務(wù)組織自定義

86業(yè)務(wù)組織getOrgExtenProperty

性質(zhì)信息

根據(jù)業(yè)務(wù)應(yīng)用ID與性質(zhì)信息取得業(yè)務(wù)組織自定義

87業(yè)務(wù)組織getOrgExtenProperty

性質(zhì)信息

88業(yè)務(wù)應(yīng)用getBusinessApplication根據(jù)業(yè)務(wù)系統(tǒng)信息獲取業(yè)務(wù)應(yīng)用信息

89業(yè)務(wù)應(yīng)用getBusinessApplication獲取所有的業(yè)務(wù)應(yīng)用信息

90業(yè)務(wù)應(yīng)用getBusiAppByUserId根據(jù)用戶ID獲得對應(yīng)的業(yè)務(wù)應(yīng)用信息

根據(jù)業(yè)務(wù)角色編碼、用戶id獲取當前用戶擁有的業(yè)

91業(yè)務(wù)應(yīng)用getBusiAppByUserIdAndRoleCode

務(wù)應(yīng)用列表

通用擴展

92callService通用擴展接口

接口

通用擴展

93getPermissionInfoByUserId根據(jù)用戶ID查詢所有系統(tǒng)的權(quán)限數(shù)據(jù)

接口

通用擴展根據(jù)系統(tǒng)ID和角色分組ID查詢角色分組下所有用

94getUsersByRoleGroupId

接口戶

通用擴展根據(jù)系統(tǒng)ID和業(yè)務(wù)角色ID查詢業(yè)務(wù)角色下所有用

95getUsersByRoleGroupId

接口戶

通用擴展根據(jù)系統(tǒng)ID和業(yè)務(wù)組織ID查詢業(yè)務(wù)組織和所有下

96getUsersByOrgId

接口級組織下的所有用戶

通用擴展根據(jù)用戶指定的業(yè)務(wù)組織ID查詢業(yè)務(wù)組織和所有

97getDefUsersByorgId

接口下級業(yè)務(wù)組織

通用擴展

98getObjectsByUserId根據(jù)用戶ID查詢和用戶關(guān)聯(lián)的所有組織角色信息

接口

通用擴展根據(jù)用戶ID，查詢所在系統(tǒng)下的所有對應(yīng)組織角色

99getBusiOrgsByUserId

接口所在的組織單元信息

通用擴展根據(jù)資源ID和用戶ID,查詢指定資源和所關(guān)聯(lián)的

100getOrgRolesByResIdAndUserId

接口業(yè)務(wù)組織角色

9

Q/GDW11417—2015

7.2.2應(yīng)用場景

新建業(yè)務(wù)系統(tǒng)的身份權(quán)限數(shù)據(jù)應(yīng)在統(tǒng)一權(quán)限平臺中維護。用戶訪問業(yè)務(wù)系統(tǒng)頁面時，業(yè)務(wù)系統(tǒng)應(yīng)通

過調(diào)用數(shù)據(jù)服務(wù)接口對用戶請求的資源進行權(quán)限校驗（應(yīng)用示例參見附錄B.2），依照數(shù)據(jù)服務(wù)接口返回

的權(quán)限資源信息實現(xiàn)自身業(yè)務(wù)邏輯，應(yīng)用場景見圖4。

圖4數(shù)據(jù)服務(wù)接口應(yīng)用場景

7.2.3應(yīng)用要求

業(yè)務(wù)系統(tǒng)權(quán)限模型應(yīng)符合RBAC授權(quán)模型。

業(yè)務(wù)系統(tǒng)應(yīng)在統(tǒng)一權(quán)限平臺完成注冊。

業(yè)務(wù)系統(tǒng)的身份權(quán)限數(shù)據(jù)應(yīng)在統(tǒng)一權(quán)限平臺進行管理且不在業(yè)務(wù)系統(tǒng)端保存。

8統(tǒng)一審計接口

8.1Syslog審計接口

8.1.1接口描述

Syslog審計接口基于Syslog協(xié)議實現(xiàn)對業(yè)務(wù)系統(tǒng)審計日志的采集,統(tǒng)一權(quán)限平臺提供Syslog服務(wù)器

接收業(yè)務(wù)系統(tǒng)發(fā)送的審計日志。

8.1.2應(yīng)用場景

Syslog審計接口適用于審計數(shù)據(jù)傳輸實時性要求較高的業(yè)務(wù)系統(tǒng)。業(yè)務(wù)系統(tǒng)通過Syslog審計接口向

統(tǒng)一權(quán)限平臺發(fā)送審計日志，應(yīng)用場景見圖5。

圖5Syslog審計接口應(yīng)用場景

10

Q/GDW11417—2015

8.1.3應(yīng)用要求

業(yè)務(wù)系統(tǒng)應(yīng)遵照統(tǒng)一審計接口的公共要求,見8.4。

業(yè)務(wù)系統(tǒng)應(yīng)使用csv格式傳輸審計日志文件,參見附錄C。

8.2SFTP審計接口

8.2.1接口描述

SFTP審計接口基于SFTP協(xié)議實現(xiàn)對業(yè)務(wù)系統(tǒng)審計日志的采集。業(yè)務(wù)系統(tǒng)將審計日志文件上傳到

統(tǒng)一權(quán)限平臺指定的SFTP服務(wù)器上，統(tǒng)一權(quán)限平臺定期從SFTP服務(wù)器上讀取業(yè)務(wù)系統(tǒng)的審計日志

文件。

8.2.2應(yīng)用場景

SFTP審計接口適用于審計數(shù)據(jù)量大但實時性要求不高的業(yè)務(wù)系統(tǒng)。業(yè)務(wù)系統(tǒng)將審計日志文件發(fā)送

到SFTP服務(wù)器上,統(tǒng)一權(quán)限平臺定期從SFTP服務(wù)器上讀取審計日志文件，應(yīng)用場景見圖6。

業(yè)務(wù)系統(tǒng)SFTP統(tǒng)一權(quán)限平臺

發(fā)送審計日志信息

讀取審計日志信息

圖6SFTP審計接口應(yīng)用場景

8.2.3應(yīng)用要求

業(yè)務(wù)系統(tǒng)應(yīng)遵照統(tǒng)一審計接口的公共要求,見8.4。

業(yè)務(wù)系統(tǒng)應(yīng)使用csv格式上傳審計日志文件,參見附錄C。

上傳文件名應(yīng)使用標準表達方式，命名規(guī)則為“F_”+業(yè)務(wù)系統(tǒng)名字+“_optlog_”+日期，例

如F_PMIS_optlog_20150601。

業(yè)務(wù)系統(tǒng)宜批量傳輸審計日志。

8.3數(shù)據(jù)庫審計接口

8.3.1接口描述

統(tǒng)一權(quán)限平臺通過數(shù)據(jù)庫審計接口定期讀取業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中存儲的審計日志信息。

8.3.2應(yīng)用場景

數(shù)據(jù)庫審計接口適用于審計數(shù)據(jù)量不大且實時性要求不高的業(yè)務(wù)系統(tǒng)。統(tǒng)一權(quán)限平臺通過數(shù)據(jù)庫接

口從業(yè)務(wù)系統(tǒng)提供的數(shù)據(jù)庫表中讀取審計日志信息，應(yīng)用場景見圖7。

8.3.3應(yīng)用要求

業(yè)務(wù)系統(tǒng)應(yīng)遵照統(tǒng)一審計接口的公共要求,見8.4。

業(yè)務(wù)系統(tǒng)應(yīng)開放數(shù)據(jù)庫表或視圖的讀取權(quán)限。

業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫表或視圖的名稱應(yīng)使用標準表達方式，命名規(guī)則為“T_”+業(yè)務(wù)系統(tǒng)英文名稱

+“_optlog”，例如T_PMIS_optlog

業(yè)務(wù)系統(tǒng)宜批量傳輸審計日志。

11

Q/GDW11417—2015

業(yè)務(wù)系統(tǒng)統(tǒng)一權(quán)限平臺

讀取審計日志信息

圖7數(shù)據(jù)庫審計接口應(yīng)用場景

8.4統(tǒng)一審計接口公共要求

8.4.1數(shù)據(jù)內(nèi)容要求

審計日志的內(nèi)容應(yīng)包括業(yè)務(wù)系統(tǒng)端的所有業(yè)務(wù)操作行為與結(jié)果，如資源、菜