總體技術框架
CAS 協議
CAS 協議
CAS 協議
系統應用框架
學
生
認
證
資
源
接
口
系
統
功
能
存
儲
設計理念
統一身(shen)(shen)份(fen)認(ren)證服務平(ping)臺 ZFIAM 目的(de)(de)為(wei)建立(li)統一的(de)(de)用(yong)(yong)戶(hu)(hu)管(guan)理、身(shen)(shen)份(fen)配(pei)給和身(shen)(shen)份(fen)認(ren)證體系(xi),實現(xian)全部(bu)應(ying)用(yong)(yong)的(de)(de)單(dan)點登錄(lu),實現(xian)用(yong)(yong)戶(hu)(hu)身(shen)(shen)份(fen)和權限(xian)的(de)(de)動態同步(bu),加強(qiang)信息安全預警和審計,提高(gao)系(xi)統可用(yong)(yong)性(xing)(xing)、安全性(xing)(xing)和用(yong)(yong)戶(hu)(hu)使用(yong)(yong)的(de)(de)方便性(xing)(xing)。
建設基于(yu) PKI/CA 技術為(wei)基礎架構的(de)統(tong)一(yi)身份(fen)認證(zheng)服務平臺,通過集(ji)(ji)(ji)中證(zheng)書管(guan)理(li)、集(ji)(ji)(ji)中賬戶(hu)管(guan)理(li)、集(ji)(ji)(ji)中授權(quan)管(guan)理(li)、集(ji)(ji)(ji)中認證(zheng)管(guan)理(li)和(he)集(ji)(ji)(ji)中審(shen)計管(guan)理(li)等應用模塊實(shi)現所提出(chu)的(de)員工(gong)賬戶(hu)統(tong)一(yi),系統(tong)資源整合、應用數(shu)據(ju)共享和(he)全面(mian)集(ji)(ji)(ji)中管(guan)控的(de)核心目標。
統一認(ren)證平(ping)臺以(yi)(yi)身(shen)(shen)份倉庫(ku)為身(shen)(shen)份數據中心,協(xie)同實現(xian)多樣的(de)認(ren)證服務(wu)(wu)(wu),復雜的(de)授權管理(li)以(yi)(yi)及(ji)機構信息管理(li);在滿足業務(wu)(wu)(wu)視角(jiao)數據處理(li)同時,技(ji)術上支持多數據源,例如(ru)目錄服務(wu)(wu)(wu)、關(guan)系(xi)(xi)(xi)式數據庫(ku)以(yi)(yi)及(ji)第三方身(shen)(shen)份數據獲取(qu)接(jie)口。平(ping)臺服務(wu)(wu)(wu)供給與公(gong)共(gong)業務(wu)(wu)(wu)系(xi)(xi)(xi)統群以(yi)(yi)及(ji)專屬業務(wu)(wu)(wu)系(xi)(xi)(xi)統群,及(ji)一套(tao)技(ji)術體(ti)系(xi)(xi)(xi),支持多系(xi)(xi)(xi)統應用。
服務組件
支(zhi)持(chi)用戶角色權(quan)(quan)(quan)限、組織權(quan)(quan)(quan)限等多種資源(yuan)授權(quan)(quan)(quan)體(ti)系,支(zhi)持(chi)橫向(xiang)、縱向(xiang)數據授權(quan)(quan)(quan)模式。
用戶名口(kou)令認(ren)(ren)證(zheng)、LDAP認(ren)(ren)證(zheng)、PKI(USB-KEY)認(ren)(ren)證(zheng)、二維碼認(ren)(ren)證(zheng)、OTP(動態口(kou)令)認(ren)(ren)證(zheng)、互聯網(wang)認(ren)(ren)證(zheng)(QQ/微(wei)信)、第(di)三方(fang)認(ren)(ren)證(zheng)。
密碼安(an)全服(fu)務,第(di)三方登錄綁定與(yu)維護,個人(ren)信息(xi)自助服(fu)務。
在線集成(cheng)指引在線接入(ru)文檔(dang)、在線接入(ru)、在線調試(shi)等,服(fu)務(wu)(應用(yong))單(dan)點(dian)集成(cheng),支持(chi)CAS CLIENT、OAUTH2.0、SAML2.0、RESTFUL API、FORMBASE等。
用戶類(lei)型管理,人員(yuan)信息同步,賬號全生命周期管理,角色管理,權限管理,組織管理,賬號和密碼安全策(ce)略。
用戶管(guan)理(li)行為審(shen)計(ji)、用戶訪問(wen)行為審(shen)計(ji)、審(shen)計(ji)報表(biao)。
核心業務
完成(cheng)各(ge)系(xi)(xi)統的賬號信息整(zheng)合(he),實現(xian)用(yong)戶(hu)賬號生命周(zhou)期(qi)的集中統一管理(li)(li),并建(jian)立與各(ge)應用(yong)系(xi)(xi)統的同步(bu)機制(zhi),簡化用(yong)戶(hu)及賬號的管理(li)(li)復雜(za)度(du),降(jiang)低系(xi)(xi)統管理(li)(li)的安全(quan)風險(xian)。
實(shi)現(xian)多業務(wu)系(xi)(xi)統的(de)(de)統一認證(zheng)(zheng),支(zhi)持(chi)數字證(zheng)(zheng)書、動態口令、靜態口令等多種認證(zheng)(zheng)方(fang)式,為學校提供單點登(deng)錄服務(wu),用戶只需(xu)要登(deng)錄一次就(jiu)可以(yi)訪問所有相互信任的(de)(de)應(ying)用系(xi)(xi)統。
根據(ju)學校安全策略,采用(yong)基于角色(se)的(de)(de)訪問(wen)控制(zhi)技術,實現(xian)支(zhi)持多應(ying)用(yong)系統(tong)的(de)(de)集(ji)中、靈活(huo)的(de)(de)訪問(wen)控制(zhi)和(he)授權管理功能,提高管理效率,支(zhi)持集(ji)中授權和(he)分級授權機制(zhi)。
提供全方(fang)位的用戶管(guan)(guan)理(li)(li)、證(zheng)書管(guan)(guan)理(li)(li)、認證(zheng)管(guan)(guan)理(li)(li)和授權管(guan)(guan)理(li)(li)的審計信息(xi),支持應(ying)用系統、用戶登錄、管(guan)(guan)理(li)(li)操(cao)作等(deng)審計管(guan)(guan)理(li)(li)。
應用健(jian)(jian)康狀(zhuang)態監控(kong),將采用定時監控(kong)模式(shi),可根(gen)據(ju)需(xu)要設置檢查(cha)周(zhou)期,定期對接入統一(yi)身份認證的應用進行健(jian)(jian)康檢查(cha),對服(fu)務器運行進行監控(kong),及時監控(kong)服(fu)務內存、CPU、磁盤空間。當發(fa)現運行異(yi)(yi)常、單點異(yi)(yi)常時,通過短消息、郵件(jian)方式(shi)預(yu)警。
同時(shi)使(shi)用(yong)(yong)負(fu)載(zai)均衡和SESSION高可用(yong)(yong)的(de)(de)方(fang)案:用(yong)(yong)戶(hu)前端,采用(yong)(yong)硬件負(fu)載(zai)均衡器;后端部署(shu)多臺APPLICATION SERVER,并(bing)啟用(yong)(yong)APPLICATION SERVER的(de)(de)集群SESSION功能,保證(zheng)系統高并(bing)發性(xing)。
提供應用、服務接入(ru)的(de)功(gong)能,完整的(de)在線接入(ru)文檔、接入(ru)方式多樣化、接入(ru)測試(shi)等(deng)。
基于(yu)身份(fen)認(ren)證聯(lian)盟中心,支持(chi)跨域認(ren)證、移動認(ren)證、互(hu)聯(lian)網認(ren)證;實(shi)現(xian)用戶身份(fen)數據統(tong)一管理和(he)配給,強化(hua)用戶身份(fen)與授權管理,加強信息安(an)全監控和(he)審計(ji),提高系(xi)統(tong)穩(wen)定(ding)性(xing)、可用性(xing)、安(an)全性(xing)和(he)易用性(xing)。