1.1.1 用户集中管理
统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。
为所有的用户设置权限生效起止日期,即使不对用户做任何操作,在权限生效期外的用户也无法通过认证,保证了系统的安全性。
1.1.2 认证服务
认证服务是统一身份认证平台的核心服务,通过认证服务,可以实现如下功能:
Ø 为用户提供单点登录功能,实现“一次登录、处处登录”。
Ø 为业务系统登录提供统一的接入入口
Ø 新开发的系统不用再进行用户部分的开发,直接调用认证平台提供的认证服务即可完成系统认证。
1.2 授权服务
1.2.1 基于角色的权限控制
平台提供了基于角色的权限控制,通过每个业务系统的角色可以划分为系统角色和用户角色。系统角色拥有整个业务系统的控制权,用户角色拥有业务系统授权访问的控制权。
通过建立不同的用户组,聚合不同的角色,为用户划分权限。用户组的划分可以根据学校的实际情况划分学生组、教职工组等。
用户组的权限如果不能满足用户的需要,可以直接给用户分配需要的角色,不再局限于用户组,授权形式更加灵活。
通过用户分组操作,可以批量为用户分组,实现批量授权。
1.2.2 授权服务
平台提供了统一的授权服务,各业务系统通过调用平台提供的服务接口,无须重复开发业务系统中权限管理模块的功能,缩减了建设周期。
1.3 授权、认证接口
授权、认证接口为第三方应用系统接入统一身份认证平台提供了一个安全的通道,通过授权认证接口,可以获取用户身份认证、用户信息、单点登录、获取用户权限列表,接口特点如下:
Ø 认证接口支持多种接入形式:Webservice和API。
Ø 支持多种认证接入类型:应用系统、应用系统功能、应用系统操作。
Ø 支持多种开发工具(.NET、J2EE、DELPHI、PB、ASP、PHP、VB)。
1.4 审计服务
为了确保信息访问的安全性,系统提供了对用户在认证访问过程中所有的操作进行全程监控的功能。在这期间不管用户做什么操作都会被审计跟踪系统进行记录下来,一旦出现什么问题可根据记录的内容进行追溯。
1.5 信息发布服务
在统一身份认证建设和认证系统集成过程中,为了方便学生和老师及时掌握系统认证集成进度和登录方式,可通过信息发布管理系统把信息发布到统一身份认证的首页上。同时把平台使用的关键功能以帮助文档的形式发布出来,方便学生和老师使用平台功能。
1.6 集成服务
统一身份认证平台为业务系统接入提供集成管理服务,主要包括应用系统集成、应用系统功能集成、应用系统操作集成。
1.6.1 应用系统管理
业务系统接入统一身份认证,需要在认证平台中注册有关应用系统的信息:
1.6.2 应用系统功能管理
业务系统接入统一身份认证,需要在认证平台中注册有关应用系统功能的信息:
1.6.3 应用系统操作管理
统一身份认证平台的权限可以控制到应用系统某一功能的具体操作权限,前提是必须在平台中注册这些功能的操作.