统一身份认证平台项目招标技术需求
2019年3月
1项目背景
近年来,我校高度重视信息化建设,针对公共数据共享以及数据决策支持进行了长期规划。本次项目,将在原有信息化建设基础之上,完善和升级统一身份认证平台,通过本次项目的完善和升级,实现校内统一的用户管理、统一的授权管理、安全的单点登录,并支持第三方系统的认证服务。针对全局业务系统,提供统一的信息采集、安全审计以及统计分析功能。采用集中统一的用户管理模式、统一认证和授权管理平台、实现用户的一点登录、多点漫游,并建立完善的操作审计管理机制。最终建设完成我校的身份识别与访问控制平台。
1.1项目建设原则
1) 标准化、规范性和开放性
全校范围的信息化建设是一个庞大的系统工程,其体系的设计、系统的实施等必须遵循一系列的规范、标准,确保各个分系统的有效协调,整个系统能安全地互联互通、信息共享。
2) 先进性、成熟性和使用性
系统设计既要采用先进技术和系统工程方法,又要注意技术的可行性和实用性,方法的正确性。实用性放在首位,先进性与成熟性并重,并符合未来的发展方向。
免费平台源码资源网3) 开放性与标准化原则
应用平台应是一个开放的且符合业界主流技术标准的系统平台,对网络的硬件环境,通信环境,软件环境,操作平台之间的依赖小。
4) 可靠性、稳定性和容错性
在考虑技术先进性和开放性的同时,还应从系统结构,技术措施,系统管理等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。
5) 可扩展性及易升级性
为适应应用不断拓展的需要,应用平台的软硬件环境必须有良好的平滑可扩
充性。要提供简便、规范、畅通的基础数据服务。
6) 安全性和保密性
在应用平台设计中,即要充分考虑信息资源的共享,更要注意信息资源的保护和隔离,应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括用户安全性、数据安全性、运行安全性等。要求对数据库提供灵活的备份和恢复机制,确保系统发生故障时,及时恢复,不会受到影响。
7) 可管理性和可维护性
平台是由多个部分组成的较为复杂的系统,为了便于系统的日常运行维护和管理,要求所选产品具有良好的可管理性和可维护性。另外可管理性和可维护性还包括对平台的自身。
1.2项目技术路线要求
标准性:采用最新的CAS协议,支持OAuth2.0、OpenID、SAML等标准协议,支持代理认证模式,提供标准的对接接口。
安全性:保证系统数据传输的安全性;用户密码采用不可逆的加密算法加密存储,支持密码强度配置,并在用户设置密码时进行检查;系统支持首次登录强制修改密码的设置;系统支持强密码策略设置功能,对用户的操作进行完整的日志记录,用户可查看用户的重要日志记录情况,提供统一的登录注销页面,并支持自定义返回页面;可开启账号恶意登陆锁定、一个账号只允许一个终端登录、多次登录失败后启用验证码、登录成功进行消息提醒等功能;
稳定可靠性:身份数据来源于学校统一建设的基础数据库,支持数据库和LDAP两种存储形式,数据库和LDAP实时进行数据同步。系统支持垂直和水平扩展,支持集、热备和负载均衡;系统能保证7*24小时对外服务。
可扩展性:支持多种对接开发语言(java、、php、asp等),对于不支持的语言,提供代理认证支持;支持多种对接形式(B/S、C/S、手机app、公众平台等);提供多种对接接口API及文档和DEMO,并制定具体的管理制度;提供认证、身份、授权层面的接口;提供手机、邮箱、动态口令、二维码、、QQ、手机APP的对接实现;有完善的使用和二次开发培训体系。
可管控性:管理员可监控认证系统各项功能服务的运行情况状态,并对部分
参数和功能进行一定的调配,例如监控各个对接系统的认证接入情况,如果出现异常可以通过管理端进行人工干预,停止相应系统的接入服务,也可以监控具体账户的登录情况,出现异常可以人工禁用;用户可获取用户自身数据相关情况,并实施一定的控制;对于部分特殊的事项可以通过短信平台直接反馈给管理员;
可配置性:通过后端对各项功能进行配置,包括功能是否启用、功能具体参数配置等,使管理员可以通过管理端完成大部分的配置功能,而不需要通过调整配置文件甚至修改代码来完成。用户和对接人员也可以通过web端完成各项配置工作。
易升级性:具备系统升级的完善计划和方案,避免频繁升级、打补丁。提供产品升级的现场服务,实现功能和数据的平滑升级。提供符合行业标准的二次开发接口,保证将来能够进行升级改造。
支持集、热备、负载均衡;系统使用oracle和MySQL主流关系数据库。
提供友好易用的界面,支持同步数据中心数据异动。
提供完善的监控功能,可对平台内的用户、应用、服务进程和服务器硬件资源进行实时监控,且可通过各类图表进行直观的结果展现。可对用户身份帐号的管理、授权以及用户的认证行为中可能存在的问题进行审计,所有操作均日志记录,能够对每个角管理员的操作行为、用户自助管理行为和用户登录访问行为进行记录。
支持5万级的用户注册,单机部署时应能支持最大500人的并发用户数,双机负载均衡部署时支持1000人的并发用户数。
2项目建设内容
2.1统一身份认证平台
2.1.1建设目标
随着应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统存在不同的身份认证方式,用户必须记忆不同的密码和身份。因此,要建设以目
录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系,将组织信息、用户信息统一存储,进行分级授权和集中身份认证,规范应用系统的用户认证方式。提高应用系统的安全性和用户使用的方便性,实现全部应用的单点登录。即用户经统一应用门户登录后,从一个功能进入到另一个功能时,系统平台依据用户的角与权限,完成对用户的一次性身份认证,提供该用户相应的活动“场所”、信息资源和基于其权限的功能模块和工具。
在数字校园建设中,要求采用以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系,将组织机构信息、用户身份信息统一管理,进行分级授权和集中身份认证,规范应用系统的用户认证方式。
2.1.2总体技术要求
1)平台基于J2EE体系结构,所有功能模块定义服务提供者接口(Service Provider Interface),可以支持第三方的服务提供者;
2)在身份认证系统设计中,为了适应当前以及今后系统的建设发展需要,采用的技术实现手段主要包括LDAP、PKI、SSO、SSL等等;
3)单点登录从实现技术上基于session、cookie、rewrite技术和采用portal等几种方法,根据用户的情况可以选用其中的任何一种。
4)平台的管理与维护采取分级模型支持多级的管理;
5)提供基于角的权限控制体系(RBAC),支持多种权限管理方式,如单独授权、按角授权和分级授权等,灵活的授权分配,满足学校未来应用授权需要。采取分级授权,可以根据业务的需要灵活制定安全策略控制授权;
6)采用灵活的基于角的权限管理模型,集中的权限控制的授权管理面向全局的用户和数据资源,覆盖了各种应用;
7)灵活定义角之间的继承、相容和互斥关系,授权简单、便捷;在访问控制策略上,用户可以定制不同粗细粒度的安全规则;
8)身份、授权、认证功能相对独立,可以灵活的与第三方产品对接。
2.1.3建设内容及功能要求
统一身份认证平台是一个集用户身份、认证与权限的支撑平台,从建设内容
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论