總體技術(shù)框架
CAS 協(xié)議
CAS 協(xié)議
CAS 協(xié)議
系統(tǒng)應(yīng)用框架
學(xué)
生
認(rèn)
證
資
源
接
口
系
統(tǒng)
功
能
存
儲
設(shè)計理念
統(tǒng)一身份認(rèn)證服務(wù)平臺 ZFIAM 目的為建立統(tǒng)一的用戶管理、身份配給和身份認(rèn)證體系,實(shí)現(xiàn)全部應(yīng)用的單點(diǎn)登錄,實(shí)現(xiàn)用戶身份和權(quán)限的動態(tài)同步,加強(qiáng)信息安全預(yù)警和審計,提高系統(tǒng)可用性、安全性和用戶使用的方便性。
建設(shè)基于 PKI/CA 技術(shù)為基礎(chǔ)架構(gòu)的統(tǒng)一身份認(rèn)證服務(wù)平臺,通過集中證書管理、集中賬戶管理、集中授權(quán)管理、集中認(rèn)證管理和集中審計管理等應(yīng)用模塊實(shí)現(xiàn)所提出的員工賬戶統(tǒng)一,系統(tǒng)資源整合、應(yīng)用數(shù)據(jù)共享和全面集中管控的核心目標(biāo)。
統(tǒng)一認(rèn)證平臺以身份倉庫為身份數(shù)據(jù)中心,協(xié)同實(shí)現(xiàn)多樣的認(rèn)證服務(wù),復(fù)雜的授權(quán)管理以及機(jī)構(gòu)信息管理;在滿足業(yè)務(wù)視角數(shù)據(jù)處理同時,技術(shù)上支持多數(shù)據(jù)源,例如目錄服務(wù)、關(guān)系式數(shù)據(jù)庫以及第三方身份數(shù)據(jù)獲取接口。平臺服務(wù)供給與公共業(yè)務(wù)系統(tǒng)群以及專屬業(yè)務(wù)系統(tǒng)群,及一套技術(shù)體系,支持多系統(tǒng)應(yīng)用。
服務(wù)組件
支持用戶角色權(quán)限、組織權(quán)限等多種資源授權(quán)體系,支持橫向、縱向數(shù)據(jù)授權(quán)模式。
用戶名口令認(rèn)證、LDAP認(rèn)證、PKI(USB-KEY)認(rèn)證、二維碼認(rèn)證、OTP(動態(tài)口令)認(rèn)證、互聯(lián)網(wǎng)認(rèn)證(QQ/微信)、第三方認(rèn)證。
密碼安全服務(wù),第三方登錄綁定與維護(hù),個人信息自助服務(wù)。
在線集成指引在線接入文檔、在線接入、在線調(diào)試等,服務(wù)(應(yīng)用)單點(diǎn)集成,支持CAS CLIENT、OAUTH2.0、SAML2.0、RESTFUL API、FORMBASE等。
用戶類型管理,人員信息同步,賬號全生命周期管理,角色管理,權(quán)限管理,組織管理,賬號和密碼安全策略。
用戶管理行為審計、用戶訪問行為審計、審計報表。
核心業(yè)務(wù)
完成各系統(tǒng)的賬號信息整合,實(shí)現(xiàn)用戶賬號生命周期的集中統(tǒng)一管理,并建立與各應(yīng)用系統(tǒng)的同步機(jī)制,簡化用戶及賬號的管理復(fù)雜度,降低系統(tǒng)管理的安全風(fēng)險。
實(shí)現(xiàn)多業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)證,支持?jǐn)?shù)字證書、動態(tài)口令、靜態(tài)口令等多種認(rèn)證方式,為學(xué)校提供單點(diǎn)登錄服務(wù),用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。
根據(jù)學(xué)校安全策略,采用基于角色的訪問控制技術(shù),實(shí)現(xiàn)支持多應(yīng)用系統(tǒng)的集中、靈活的訪問控制和授權(quán)管理功能,提高管理效率,支持集中授權(quán)和分級授權(quán)機(jī)制。
提供全方位的用戶管理、證書管理、認(rèn)證管理和授權(quán)管理的審計信息,支持應(yīng)用系統(tǒng)、用戶登錄、管理操作等審計管理。
應(yīng)用健康狀態(tài)監(jiān)控,將采用定時監(jiān)控模式,可根據(jù)需要設(shè)置檢查周期,定期對接入統(tǒng)一身份認(rèn)證的應(yīng)用進(jìn)行健康檢查,對服務(wù)器運(yùn)行進(jìn)行監(jiān)控,及時監(jiān)控服務(wù)內(nèi)存、CPU、磁盤空間。當(dāng)發(fā)現(xiàn)運(yùn)行異常、單點(diǎn)異常時,通過短消息、郵件方式預(yù)警。
同時使用負(fù)載均衡和SESSION高可用的方案:用戶前端,采用硬件負(fù)載均衡器;后端部署多臺APPLICATION SERVER,并啟用APPLICATION SERVER的集群SESSION功能,保證系統(tǒng)高并發(fā)性。
提供應(yīng)用、服務(wù)接入的功能,完整的在線接入文檔、接入方式多樣化、接入測試等。
基于身份認(rèn)證聯(lián)盟中心,支持跨域認(rèn)證、移動認(rèn)證、互聯(lián)網(wǎng)認(rèn)證;實(shí)現(xiàn)用戶身份數(shù)據(jù)統(tǒng)一管理和配給,強(qiáng)化用戶身份與授權(quán)管理,加強(qiáng)信息安全監(jiān)控和審計,提高系統(tǒng)穩(wěn)定性、可用性、安全性和易用性。