1 概述
系統(tǒng)現(xiàn)狀
某集團公司擁有多個下屬公司，均進行了卓有成效的信息化建設(shè)，但由于開展時間較早，也沒有統(tǒng)一規(guī)劃，目前處于應(yīng)用各自獨立建設(shè)、獨立維護的狀態(tài)。
需求分析
為了發(fā)揮信息應(yīng)用系統(tǒng)在服務(wù)決策、促進溝通、交流經(jīng)驗、推動工作等方面的作用，加強高效工作的信息化支撐力度，提高總部、下屬單位的工作效率，需要改變現(xiàn)有各應(yīng)用系統(tǒng)用戶管理分散、認證分散的現(xiàn)狀，構(gòu)建企業(yè)用戶的統(tǒng)一管理，打造企業(yè)綜合信息平臺。
建設(shè)目標(biāo)
“某集團公司”統(tǒng)一用戶管理平臺由統(tǒng)一用戶管理服務(wù)、統(tǒng)一認證服務(wù)、單點登錄服務(wù)組成，形成對總部和集團公司應(yīng)用系統(tǒng)的安全支撐，促進信息系統(tǒng)的應(yīng)用和發(fā)展。
“某集團公司”統(tǒng)一用戶管理平臺具體建設(shè)目標(biāo)如下：
（1）建設(shè)企業(yè)統(tǒng)一目錄
編制企業(yè)目錄規(guī)范，并按照規(guī)范建立統(tǒng)一目錄系統(tǒng)，按照規(guī)范要求存儲用戶信息各項屬性和組織機構(gòu)信息各項屬性，并提供數(shù)據(jù)同步接口。
（2）建設(shè)統(tǒng)一用戶管理平臺
建立統(tǒng)一用戶管理系統(tǒng)，統(tǒng)一管理全公司用戶信息和組織機構(gòu)信息，并負責(zé)向各應(yīng)用系統(tǒng)提供標(biāo)準(zhǔn)可用的數(shù)據(jù)，同時完成各應(yīng)用的用戶帳號統(tǒng)一管理、用戶授權(quán)集中管理與安全策略集中設(shè)置。
（3）建設(shè)統(tǒng)一認證平臺
建立統(tǒng)一認證平臺，實現(xiàn)對應(yīng)用系統(tǒng)的集中認證和單點登錄。
統(tǒng)一認證平臺根據(jù)統(tǒng)一用戶管理系統(tǒng)提供的授權(quán)信息進行用戶應(yīng)用系統(tǒng)訪問控制。

2 解決方案總體設(shè)計
部署方式設(shè)計

圖1 部署方式設(shè)計圖

“某集團公司”統(tǒng)一用戶管理平臺依據(jù)“分級部署、分級管理”的原則，采用分布式部署，中心節(jié)點建設(shè)在總部，分中心建設(shè)在各集團公司。
部署方式示意圖如下：
 
中心節(jié)點承擔(dān)總部統(tǒng)一用戶管理平臺數(shù)據(jù)負載，負責(zé)對總部應(yīng)用系統(tǒng)及全國應(yīng)用系統(tǒng)進行用戶管理、認證和單點登錄。
分中心承擔(dān)集團公司統(tǒng)一用戶管理平臺數(shù)據(jù)負載，各分中心獨立運行互不干擾，負責(zé)對集團公司應(yīng)用系統(tǒng)進行用戶管理、認證和單點登錄。
中心節(jié)點和分中心分別從同級的HR系統(tǒng)同步用戶信息，由HR系統(tǒng)負責(zé)發(fā)起用戶管理操作，由統(tǒng)一用戶管理平臺進行用戶信息分發(fā)。同時，兩級統(tǒng)一用戶管理平臺也實現(xiàn)了用戶同步，可在總部形成全集團用戶信息視圖。
中心節(jié)點和分中心分別建立企業(yè)目錄，負責(zé)存儲本公司的用戶信息、組織機構(gòu)信息、角色信息等數(shù)據(jù)。
統(tǒng)一用戶管理平臺采用分級部署方式，為應(yīng)用系統(tǒng)提供本地化的用戶管理、認證和單點登錄服務(wù)，確保了內(nèi)部網(wǎng)絡(luò)暢通，實現(xiàn)辦公現(xiàn)代化、信息電子化、傳輸網(wǎng)絡(luò)化和管理科學(xué)化提供高保障、高質(zhì)量的安全基礎(chǔ)平臺。
部署內(nèi)容設(shè)計
總部部署：總部部署兩臺統(tǒng)一用戶管理平臺服務(wù)器，構(gòu)成總部的統(tǒng)一用戶管理平臺，負責(zé)對總部或全集團應(yīng)用系統(tǒng)提供用戶管理、認證和單點登錄服務(wù)。
集團公司部署：集團部署兩臺統(tǒng)一用戶管理平臺服務(wù)器，構(gòu)成集團的統(tǒng)一用戶管理平臺，負責(zé)對集團應(yīng)用系統(tǒng)提供用戶管理、認證和單點登錄服務(wù)。
系統(tǒng)接口設(shè)計
統(tǒng)一用戶管理平臺作為用戶信息的集中管理與整合的信息設(shè)施，涉及與各個業(yè)務(wù)系統(tǒng)的交互，系統(tǒng)必須具有良好、完善的接口，以滿足應(yīng)用系統(tǒng)在多種應(yīng)用場景下的使用需求。
認證與單點登錄接口規(guī)范
統(tǒng)一用戶管理平臺產(chǎn)品提供應(yīng)用系統(tǒng)認證與單點登錄接口規(guī)范，方便應(yīng)用系統(tǒng)進行認證和單點登錄接入。根據(jù)應(yīng)用系統(tǒng)的實際情況，可選擇HTTP協(xié)議或TCP協(xié)議。
HTTP協(xié)議接口規(guī)范：提供HTTP協(xié)議接口包及開發(fā)規(guī)范，進行應(yīng)用系統(tǒng)的單點登錄接入。
TCP協(xié)議接口規(guī)范：提供TCP協(xié)議接口包及開發(fā)規(guī)范，進行應(yīng)用系統(tǒng)的單點登錄接入。
組織機構(gòu)用戶數(shù)據(jù)同步接口
統(tǒng)一用戶管理平臺組織機構(gòu)、用戶數(shù)據(jù)同步接口分為兩類：從數(shù)據(jù)源接收數(shù)據(jù)同步和向應(yīng)用系統(tǒng)同步數(shù)據(jù)。
從數(shù)據(jù)源接收數(shù)據(jù)同步接口
在企業(yè)內(nèi)部已擁有組織機構(gòu)、用戶數(shù)據(jù)權(quán)威數(shù)據(jù)源的情況下，統(tǒng)一用戶管理平臺提供數(shù)據(jù)接收同步服務(wù)。在權(quán)威數(shù)據(jù)源的組織機構(gòu)、用戶數(shù)據(jù)發(fā)生變更時，可自動同步到統(tǒng)一用戶管理平臺。
1）組織機構(gòu)操作接口：可接收組織機構(gòu)信息的增加、刪除、修改、啟用、停用、重命名、修改父級等變更信息；
2）用戶操作接口：可接收用戶信息的增加、刪除、修改、啟用、停用、重命名、修改父級、變更用戶組、變更角色等變更信息；
3）用戶組操作接口：可接收用戶組信息的增加、刪除、修改等變更信息；
4）角色操作接口：可接收角色信息的增加、刪除、修改等變更信息；
5）密碼操作接口：可接收管理員重置密碼、用戶自助修改密碼、用戶自助重置密碼的變更信息。
向應(yīng)用系統(tǒng)同步數(shù)據(jù)接口
在統(tǒng)一用戶管理平臺內(nèi)進行企業(yè)內(nèi)部組織機構(gòu)、用戶數(shù)據(jù)的統(tǒng)一管理，或者接收到權(quán)威數(shù)據(jù)源的同步數(shù)據(jù)，產(chǎn)生增量變化數(shù)據(jù)后，統(tǒng)一用戶管理平臺提供數(shù)據(jù)同步分發(fā)服務(wù)，根據(jù)應(yīng)用系統(tǒng)的數(shù)據(jù)需求，進行相應(yīng)數(shù)據(jù)的分發(fā)與同步。
1）同步接口：可同步組織機構(gòu)、用戶、用戶組、角色、密碼等信息的增加、刪除、修改、啟用、停用、重命名、修改父級等變更信息。
公共服務(wù)接口
統(tǒng)一用戶管理平臺作為企業(yè)內(nèi)部的IT基礎(chǔ)設(shè)施，集中存儲企業(yè)的組織機構(gòu)和用戶數(shù)據(jù)。統(tǒng)一用戶管理平臺提供公共服務(wù)，方便有需要的應(yīng)用系統(tǒng)進行組織機構(gòu)和用戶數(shù)據(jù)的查詢。
組織機構(gòu)查詢接口
為應(yīng)用系統(tǒng)提供組織機構(gòu)查詢條件，可根據(jù)任意屬性、父級屬性查詢，查詢組織機構(gòu)的詳細信息，查詢結(jié)果支持分頁顯示。
用戶查詢接口
為應(yīng)用系統(tǒng)提供用戶信息查詢條件，可根據(jù)任意屬性、父級屬性查詢，查詢用戶的詳細信息，查詢結(jié)果支持分頁顯示。
用戶組查詢接口
為應(yīng)用系統(tǒng)提供用戶組信息查詢條件，可根據(jù)用戶組名稱、編碼查詢，查詢用戶組的詳細信息，查詢結(jié)果支持分頁顯示。
角色查詢接口
為應(yīng)用系統(tǒng)提供角色信息查詢條件，可根據(jù)角色名稱、編碼查詢，查詢角色的詳細信息，查詢結(jié)果支持分頁顯示。

3 統(tǒng)一用戶管理平臺設(shè)計
根據(jù)部署方式設(shè)計圖所示，統(tǒng)一用戶管理平臺分級部署在總部和集團公司，分別為總部應(yīng)用系統(tǒng)和集團公司應(yīng)用系統(tǒng)提供身份認證、單點登錄、用戶管理服務(wù)。
總部統(tǒng)一用戶管理平臺除了承擔(dān)本公司應(yīng)用的用戶認證功能外，還為集中部署的應(yīng)用系統(tǒng)提供下屬集團公司用戶認證功能，即支持總部集中部署，總部、集團公司分級使用的全國應(yīng)用系統(tǒng)用戶認證�？偛拷y(tǒng)一用戶管理平臺所制定的安全策略針對全部應(yīng)用系統(tǒng)生效。
集團公司統(tǒng)一用戶管理平臺承擔(dān)本公司應(yīng)用的用戶認證功能，應(yīng)用可以是統(tǒng)一建設(shè)部署的，也可以是本集團自行建設(shè)的應(yīng)用系統(tǒng)。集團公司統(tǒng)一用戶管理平臺繼承總部統(tǒng)一用戶管理平臺安全策略，并可針對本集團特定應(yīng)用或本地應(yīng)用制定單獨的安全策略。
設(shè)計依據(jù)
統(tǒng)一用戶管理平臺采用分級部署、分級管理的設(shè)計方式，其主要優(yōu)點有：
（1）適應(yīng)不同部署形式的應(yīng)用系統(tǒng)，更好地貼近應(yīng)用系統(tǒng)實際安全需要；
（2）集團公司有自建應(yīng)用系統(tǒng)，也需要統(tǒng)一用戶管理，本地的統(tǒng)一用戶管理平臺提供了實現(xiàn)手段；
（3）分級部署提供了本地認證能力，減少了對網(wǎng)絡(luò)的依賴，提高了系統(tǒng)可靠性；
（4）分級部署為本地提供了應(yīng)用管理能力，可為本地建設(shè)的單獨應(yīng)用系統(tǒng)提供單點登錄；
（5）總部統(tǒng)一用戶管理平臺可靈活使用，既為總部服務(wù)又可為全國應(yīng)用服務(wù)，還具有認證托管能力，可為人數(shù)較少的集團公司直接提供認證服務(wù)。
統(tǒng)一用戶管理功能
用戶管理
用戶管理是指各級用戶管理員通過統(tǒng)一用戶管理平臺提供的頁面，在其管理范圍內(nèi)完成對用戶的新增、查詢、修改、刪除和應(yīng)用分配等操作。
用戶類別可分為：內(nèi)部用戶、外部用戶、臨時用戶等多種類型。
臨時用戶在申請統(tǒng)一用戶管理平臺帳號需要進行層級審批。
用戶主帳號管理：新增一個用戶，主要填寫包括用戶姓名、身份證號、選擇所在公司和部門等信息，創(chuàng)建用戶信息的同時為用戶分配員工編碼，才能生效。
員工編號必須在全公司范圍內(nèi)唯一。
用戶主帳號修改功能中的口令修改能夠自動同步到各子帳號中，使用戶口令保持一致。
用戶主帳號中的信息修改，如果信息在子帳號中也存在，需要自動的更新到子帳號中，使得用戶信息保持一致。
用戶刪除時，用戶的權(quán)限等信息也將隨之刪除。
用戶從帳號管理：用戶管理員通過統(tǒng)一用戶管理平臺頁面可以對用戶從帳號進行創(chuàng)建、修改、刪除等操作，創(chuàng)建的從帳號通過管理接口同步到各個應(yīng)用系統(tǒng)中。
從帳號與主帳號自動進行關(guān)聯(lián)，通過主帳號視圖可以看到和子帳號的關(guān)聯(lián)關(guān)系。
如果修改的信息是用戶主帳號包括的基本信息，應(yīng)當(dāng)修改主帳號信息，由主帳號自動同步到從帳號，是信息保持一致。
用戶管理員通過統(tǒng)一用戶管理平臺頁面可以對用戶從帳號進行刪除，刪除操作通過接口同步到各個應(yīng)用系統(tǒng)。
用戶帳號的修改：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對用戶信息進行修改，用戶帳號修改功能中的口令修改應(yīng)當(dāng)能夠自動同步到各子帳號中，使其用戶口令保持一致。
用戶帳號中的信息修改，如果信息在子帳號中也存在，需要自動的更新到子帳號中，使得用戶信息保持一致。
用戶帳號的刪除：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以刪除用戶。
用戶帳號的刪除應(yīng)當(dāng)在生命周期管理中通過離職等流程完成，盡量避免直接刪除用戶。
用戶刪除時，此時用戶的權(quán)限等信息也將隨之刪除。
用戶帳號的啟用：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對用戶進行啟用，啟用后用戶的主帳號狀態(tài)變成“正常”，但用戶所關(guān)聯(lián)的子帳號，需要管理員手工的進行啟用管理。
用戶帳號的禁用：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以禁用用戶帳號，禁用后，用戶帳號所關(guān)聯(lián)的子帳號應(yīng)自動禁用。
用戶帳號的轉(zhuǎn)移：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對用戶帳號進行轉(zhuǎn)移，該轉(zhuǎn)移是轉(zhuǎn)移用戶所在組織節(jié)點，轉(zhuǎn)移后用戶屬性中組織信息需要自動的進行變更，與轉(zhuǎn)移后的組織信息保持一致。
組織機構(gòu)管理
統(tǒng)一用戶管理平臺提供組織機構(gòu)管理頁面，在頁面中提供添加，查詢，注銷，刪除等功能。
組織機構(gòu)管理圖形化，已經(jīng)添加在統(tǒng)一用戶管理平臺中的組織機構(gòu)，系統(tǒng)將現(xiàn)有的組織機構(gòu)已樹狀形式顯示。此管理頁面能夠被維護并實時更新。
組織結(jié)構(gòu)信息能夠?qū)С龀蓤D片、Excel數(shù)據(jù)，能夠形成XML格式數(shù)據(jù)提供接口被其他系統(tǒng)實時引用。
組織機構(gòu)的創(chuàng)建：新增一個組組機構(gòu)，主要填寫包括組織機構(gòu)的名稱、編碼、類型（部門或公司）等信息，并指定其上級組織機構(gòu)。
組織機構(gòu)的編碼必須在全局范圍內(nèi)唯一，其編碼規(guī)則在企業(yè)目錄規(guī)范中統(tǒng)一規(guī)定。
組織機構(gòu)的查詢：統(tǒng)一用戶管理平臺既提供查詢組織機構(gòu)的WEB UI界面，也提供基于Web Service規(guī)范的組織機構(gòu)查詢接口。后者主要便于應(yīng)用系統(tǒng)在其應(yīng)用中嵌入企業(yè)組織目錄樹。
支持通過組織機構(gòu)名稱、編碼、類型等屬性進行組織機構(gòu)的精確查詢、模糊查詢、組合查詢。
組織機構(gòu)的修改：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對組織機構(gòu)的名稱、編碼、類型進行修改。
支持對組織機構(gòu)的合并和轉(zhuǎn)移。
在修改組織機構(gòu)后，用戶信息中組織的信息將自動變更。
組織機構(gòu)的刪除：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以刪除組織機構(gòu)。
在刪除組織機構(gòu)時，必須先對該組織機構(gòu)下的所有用戶進行調(diào)離或刪除處理，否則不能刪除組織機構(gòu)。
在刪除組織機構(gòu)時，必須先對該組織機構(gòu)的下級組織機構(gòu)進行轉(zhuǎn)移或刪除處理，否則不能刪除組織機構(gòu)。
從數(shù)據(jù)安全性考慮，嚴禁通過遞歸方式直接刪除組織機構(gòu)。
 
組織機構(gòu)的合并：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對組織機構(gòu)進行合并，合并支持兩種方式：
1) A，B合并到A或B；
2) A，B合并到C；
合并時，系統(tǒng)需要提示組織下的組織和人員將會合并到新的組織下。
組織機構(gòu)的刪除：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對組織機構(gòu)進行刪除，系統(tǒng)需要檢查當(dāng)前組織下是否還包含子組織和人員，如果存在，提示管理員不能刪除該組織，需要先轉(zhuǎn)移該組織下的子組織和人員。
群組管理
群組管理是指各級用戶管理員通過統(tǒng)一用戶管理平臺提供的頁面，在其管理范圍內(nèi)完成對群組的新增、修改、刪除、群組人員分配和群組人員轉(zhuǎn)移等操作。
群組的編碼在全公司范圍內(nèi)唯一。群組用于將擁有同類權(quán)限的用戶進行匯總，以便于批量用戶的授權(quán)。
群組包括靜態(tài)組和動態(tài)組，靜態(tài)組提供對組的成員管理，管理員可以通過查找用戶的方式，把用戶添加到改組。
動態(tài)組通過LDAP表達式實現(xiàn)，系統(tǒng)應(yīng)提供LDAP表達式輸入的區(qū)域，和對LDAP表達式檢查的結(jié)果顯示，方便管理員設(shè)置。
管理員通過統(tǒng)一用戶管理平臺頁面可以向群組中添加人員、去除人員，群組中人員的添加/去除操作只影響用戶的權(quán)限。
群組刪除時，該群組與應(yīng)用系統(tǒng)的關(guān)聯(lián)關(guān)系，群組與人員的關(guān)系將一并刪除。
權(quán)限與角色管理
可以擴展提供基于角色的訪問控制能力。用戶和角色之間的關(guān)系是不斷維護的，每種角色都有各自的權(quán)限定義，如果一個用戶被賦予一個角色之后，那么這個用戶就擁有了那個角色所定義的權(quán)限；當(dāng)這個角色的權(quán)限定義更改之后，所有被賦予這個角色的用戶也會自動擁有這個角色更改之后的權(quán)限。
平臺負責(zé)目錄中角色的維護，包括角色的添加、修改、刪除、角色人員分配和角色人員轉(zhuǎn)移等功能。
應(yīng)用管理
管理員通過統(tǒng)一用戶管理平臺提供的頁面，完成對應(yīng)用系統(tǒng)的注冊、修改、刪除等操作。
可以指定應(yīng)用系統(tǒng)的同步內(nèi)容，包括帳號、組織、群組和角色。
支持應(yīng)用的批量開通。
用戶信息導(dǎo)入
統(tǒng)一用戶管理平臺提供了數(shù)據(jù)初始化工具，可從單數(shù)據(jù)源或多數(shù)據(jù)源導(dǎo)入用戶信息。用戶信息導(dǎo)入步驟如下：
（1）選擇一個或多個應(yīng)用系統(tǒng)數(shù)據(jù)源作為用戶信息導(dǎo)入源；
（2）按照事先定義好的Web Service接口，導(dǎo)入用戶信息；
（3）統(tǒng)一用戶管理平臺會根據(jù)事先定義好的字段設(shè)置，將用戶信息完整的建立起來，管理員可在此基礎(chǔ)上對用戶進行分組或自動分組，便于進行單點登錄授權(quán)。
帳號有效期管理
如果用戶類型是臨時用戶，則賬戶有效期屬于必填項。
為了滿足對用戶生命周期管理的需要，需實現(xiàn)如下功能：
（1）面向全體用戶，定義統(tǒng)一用戶管理平臺用戶身份有效期審核管理措施；
（2）當(dāng)用戶信息接近有效期時告警；
（3）當(dāng)用戶有效期到期禁用用戶、停止訪問權(quán)限。
用戶密碼管理
對于用戶名密碼認證，統(tǒng)一用戶管理平臺支持用戶密碼的安全策略管理和密碼同步管理。
密碼安全策略管理：對于密碼安全策略，系統(tǒng)支持如下要求：
（1）可定義口令的復(fù)雜度策略：包括口令的長度、口令的組成、定義非重復(fù)口令、禁用的字符短語等；
（2）可定義口令的過期策略，使用戶在一定周期過后就強制要求修改密碼；
（3）可針對不同崗位和角色應(yīng)用不同的口令安全策略；
（4）支持口令加密存儲及口令重置。
對于需要采用口令同步的系統(tǒng)，系統(tǒng)支持用戶口令的同步，當(dāng)在統(tǒng)一用戶管理平臺修改口令后，系統(tǒng)將用戶口令同步到后臺各應(yīng)用系統(tǒng)中。
初始密碼修改：統(tǒng)一用戶管理平臺提供設(shè)置初始密碼功能，此功能能夠提供初始密碼設(shè)置。
在統(tǒng)一用戶管理平臺注冊新用戶后，統(tǒng)一用戶管理平臺會自動為用戶設(shè)置初始密碼。當(dāng)用戶在初始登錄時，使用初始密碼登錄。統(tǒng)一用戶管理平臺檢查登錄密碼，如果檢測登錄密碼為初始密碼系統(tǒng)則彈出提示信息（如：“不能使用初始密碼登錄”）并導(dǎo)入頁面密碼修改頁面，讓用戶自行修改密碼。
帳號密碼強度檢測：統(tǒng)一用戶管理平臺提供密碼強度檢測功能，即用戶在修改密碼時，用戶設(shè)置的密碼沒有達到指定的強度時，系統(tǒng)會提示用戶設(shè)置的密碼沒有達到指定的強度，請用戶重新設(shè)置。
自助申請帳號
提供頁面為提供臨時用戶帳號自助申請，臨時帳號需要進行審批后才能使用，并且在審批時設(shè)定帳號有效期。
用戶自服務(wù)管理
用戶自服務(wù)管理是指用戶管理員通過用戶管理系統(tǒng)的UI界面，對允許用戶進行自助服務(wù)的個人信息進行范圍設(shè)定。
用戶自服務(wù)管理系統(tǒng)必須能夠保障用戶的自助編輯服務(wù)范圍是限制在用戶個人基本信息中，不能超出這個設(shè)定范圍，且必須符合目錄存儲規(guī)范中對用戶各項信息屬性類型的要求。
用戶自助服務(wù)系統(tǒng)必須保證用戶只能查看和編輯自身的用戶信息。
用戶個人信息自助服務(wù)
用戶個人信息自助服務(wù)是指用戶自身通過用戶管理系統(tǒng)的UI界面（通常為Web UI界面），對其自身的個人基本信息進行登記和編輯等操作。
用戶可以通過自助服務(wù)查看本人的身份信息和授權(quán)，并能夠?qū)ζ渲械膫�人基本信息進行編輯，例如：用戶手機號碼這種個人信息允許用戶自助編輯，而用戶的公司信息，包括用戶ID、用戶工號、用戶組織等信息是不允許用戶編輯，以保證用戶信息的合法性。
領(lǐng)導(dǎo)可以自行指定一個代理人來處理用戶的事務(wù)。
用戶自助服務(wù)UI界面應(yīng)能夠?qū)⒂脩粜畔⒅械膫�人信息和公司信息，可自助服務(wù)信息和非自助服務(wù)信息，以及必選信息和可選信息清晰區(qū)分開來；
用戶管理系統(tǒng)必須能夠保障用戶的自助服務(wù)范圍是滿足用戶管理員設(shè)定范圍。
用戶通過自服務(wù)系統(tǒng)能夠修改授權(quán)用戶修改的個人信息，包括密碼信息。
被集成的應(yīng)用系統(tǒng)應(yīng)該調(diào)用統(tǒng)一用戶管理平臺的自服務(wù)管理模塊，不再使用原有的自服務(wù)模塊。
系統(tǒng)管理
統(tǒng)一用戶管理平臺的管理服務(wù)功能包括：數(shù)據(jù)字典設(shè)置、菜單管理設(shè)置、角色管理、數(shù)據(jù)導(dǎo)入、同步訂閱。
系統(tǒng)提供分級管理功能，系統(tǒng)管理員可以定義為總部、下屬公司兩級或更多級，分別對能管理的用戶、角色等信息進行管理。
安全審計與日志報表
系統(tǒng)提供一個集中的存儲中心以日志的形式記錄用戶所作的所有操作。審計人員、安全管理人員可以隨時察看這些記錄用戶、系統(tǒng)和應(yīng)用的日志信息。并為所有系統(tǒng)和用戶提供一個基于關(guān)系型數(shù)據(jù)庫的準(zhǔn)確而且安全的日志記錄方式。
管理人員可以根據(jù)日志中記錄的信息，進行靈活地日志查詢和報表功能。
單點登錄功能實現(xiàn)
單點登錄的實現(xiàn)原理：統(tǒng)一用戶管理平臺的用戶信息數(shù)據(jù)獨立于各應(yīng)用系統(tǒng)，形成統(tǒng)一的用戶唯一ID，并將其作為統(tǒng)一認證平臺用戶的主帳號。
（1）在通過統(tǒng)一用戶管理平臺統(tǒng)一認證后，可以從登錄認證結(jié)果中獲取統(tǒng)一用戶管理平臺用戶唯一ID（主帳號）；
（2）再由其關(guān)聯(lián)不同應(yīng)用系統(tǒng)的用戶帳號（從帳號）；
（3）最后用關(guān)聯(lián)后的帳號訪問相應(yīng)的應(yīng)用系統(tǒng)。
當(dāng)增加一個應(yīng)用系統(tǒng)時，只需要增加統(tǒng)一用戶管理平臺用戶唯一ID（主帳號）與該應(yīng)用系統(tǒng)帳號（從帳號）的一個關(guān)聯(lián)信息即可，不會對其它應(yīng)用系統(tǒng)產(chǎn)生任何影響，從而解決登錄認證時不同應(yīng)用系統(tǒng)之間用戶交叉和用戶帳號不同的問題。單點登錄過程均通過安全通道來保證數(shù)據(jù)傳輸?shù)陌踩��?br />  
B/S結(jié)構(gòu)應(yīng)用系統(tǒng)的接入與認證：B/S結(jié)構(gòu)應(yīng)用系統(tǒng)用戶均采用瀏覽器登錄和訪問應(yīng)用系統(tǒng)，因此使用瀏覽器訪問統(tǒng)一用戶管理平臺，在統(tǒng)一用戶管理平臺登錄認證成功后，再訪問具體B/S應(yīng)用應(yīng)用系統(tǒng)。B/S應(yīng)用系統(tǒng)接入統(tǒng)一用戶管理平臺的架構(gòu)如下圖所示：


圖2  應(yīng)用系統(tǒng)接入與認證架構(gòu)

統(tǒng)一用戶管理平臺提供兩種B/S結(jié)構(gòu)應(yīng)用系統(tǒng)接入方式，以滿足不同應(yīng)用系統(tǒng)的需求，快速實現(xiàn)單點登錄：
 
反向代理方式：在完成客戶端與認證服務(wù)器的交互認證后，用戶先登錄進入統(tǒng)一用戶管理平臺系統(tǒng)，然后利用反向代理技術(shù)完成服務(wù)器端代理用戶認證，并將應(yīng)用系統(tǒng)信息推送給客戶端瀏覽器，從而實現(xiàn)用戶對該應(yīng)用系統(tǒng)的訪問。
這種方式下應(yīng)用系統(tǒng)基本不需改動和開發(fā)，對于不能作改動或沒有原廠商配合改動的應(yīng)用系統(tǒng)，可以使用該方式接入統(tǒng)一用戶管理平臺。實現(xiàn)上，采用SSO認證服務(wù)和SSO Agent進行交互驗證用戶信息，完成應(yīng)用系統(tǒng)單點登錄。


圖3 反向代理方式接入應(yīng)用系統(tǒng)

反向代理方式下通過統(tǒng)一用戶管理平臺訪問應(yīng)用系統(tǒng)的流程如下：
（1）用戶在統(tǒng)一用戶管理平臺上點擊訪問的應(yīng)用系統(tǒng)URL鏈接；
（2）由統(tǒng)一用戶管理平臺驗證用戶權(quán)限，有權(quán)限則在統(tǒng)一用戶管理平臺數(shù)據(jù)庫中查詢用戶和應(yīng)用系統(tǒng)的關(guān)聯(lián)表，無權(quán)限則提示用戶無權(quán)訪問；
（3）如關(guān)聯(lián)表中無相應(yīng)記錄，則瀏覽器彈出建立關(guān)聯(lián)的頁面；如關(guān)聯(lián)表中有相應(yīng)記錄，則統(tǒng)一用戶管理平臺服務(wù)器提取用戶和應(yīng)用系統(tǒng)的關(guān)聯(lián)信息，送至SSO服務(wù)加密簽名形成數(shù)字信封后，返還給統(tǒng)一用戶管理平臺；
（4）由統(tǒng)一用戶管理平臺將加密信息發(fā)送給應(yīng)用系統(tǒng)前端的SSO Agent；
（5）SSO Agent收到加密信息后進行解密，并向應(yīng)用系統(tǒng)提交用戶關(guān)聯(lián)信息；
（6）應(yīng)用系統(tǒng)收到用戶關(guān)聯(lián)信息后進行驗證，驗證成功則允許用戶訪問應(yīng)用，失敗則提示用戶更新關(guān)聯(lián)信息。
 
插件方式：插件方式采用SSO認證服務(wù)和集成插件（SSO API）的方式進行交互驗證用戶信息，完成應(yīng)用系統(tǒng)單點登錄。插件方式提供多種API，通過簡單調(diào)用即可實現(xiàn)SSO。



通常情況下，對于有原廠商配合開發(fā)的應(yīng)用系統(tǒng)，推薦使用該方式接入統(tǒng)一用戶管理平臺，以實現(xiàn)高效率高可靠的單點登錄。


圖4 插件方式接入應(yīng)用系統(tǒng)

（1）用戶在統(tǒng)一用戶管理平臺上點擊訪問的應(yīng)用系統(tǒng)URL鏈接；
（2）由統(tǒng)一用戶管理平臺驗證用戶權(quán)限，有權(quán)限則在統(tǒng)一用戶管理平臺數(shù)據(jù)庫中查詢用戶和應(yīng)用系統(tǒng)的關(guān)聯(lián)表，無權(quán)限則提示用戶無權(quán)訪問；
（3）如關(guān)聯(lián)表中無相應(yīng)記錄，則該用戶未授權(quán)，不允許訪問；如關(guān)聯(lián)表中有相應(yīng)記錄，則統(tǒng)一用戶管理平臺服務(wù)器提取用戶在該應(yīng)用系統(tǒng)中的身份信息，送至SSO服務(wù)加密簽名形成數(shù)字信封后，返還給統(tǒng)一用戶管理平臺；
（4）由統(tǒng)一用戶管理平臺將加密信息發(fā)送給相應(yīng)的應(yīng)用系統(tǒng)；
（5）應(yīng)用系統(tǒng)調(diào)用SSO API，對加密信息進行解密，得到用戶身份信息并返回給應(yīng)用系統(tǒng)；
（6）應(yīng)用系統(tǒng)收到用戶身份信息后通過信任機制允許用戶訪問應(yīng)用系統(tǒng)。
 
C/S結(jié)構(gòu)應(yīng)用系統(tǒng)的接入與認證：對于C/S架構(gòu)的應(yīng)用系統(tǒng)，統(tǒng)一用戶管理平臺采用Windows消息機制方式，自動地向客戶端傳遞認證參數(shù)，從而實現(xiàn)單點登錄。其具體認證過程如下：
（1）在統(tǒng)一用戶管理平臺上啟用CS Agent，由管理員配置好CS Agent所需要的客戶端用戶認證參數(shù)；
（2）用戶登錄統(tǒng)一用戶管理平臺；
（3）用戶點擊C/S應(yīng)用鏈接；
（4）CS Agent啟動客戶端，并通過Windows消息機制向客戶端傳遞用戶認證參數(shù)；
（5）客戶端接收到認證參數(shù)，按照自身的認證方式通過用戶驗證，進入系統(tǒng)；
（6）用戶使用客戶端而無需進行其他操作。
應(yīng)用支撐體系
統(tǒng)一用戶管理平臺建設(shè)采用分級部署方式，可靈活支持多種部署形式的應(yīng)用系統(tǒng)，分別詳述如下：
集中部署應(yīng)用的認證與單點登錄
對于集中部署、分級使用的應(yīng)用系統(tǒng)，由總部統(tǒng)一用戶管理平臺提供用戶管理、認證與單點登錄服務(wù)，應(yīng)用系統(tǒng)為集團公司用戶提供訪問鏈接，該訪問鏈接可集成在集團公司門戶中。
總部統(tǒng)一用戶管理平臺具有全國用戶信息庫，因此，可以為集中部署方式的應(yīng)用系統(tǒng)提供支持。當(dāng)集團公司用戶訪問應(yīng)用時，認證請求被發(fā)送到總部統(tǒng)一用戶管理平臺，由平臺校驗用戶認證憑證，校驗成功則檢查用戶權(quán)限信息和應(yīng)用訪問控制信息，根據(jù)上述信息單點登錄到應(yīng)用中。
分級部署應(yīng)用的認證與單點登錄
對于分級中部署、分級使用的應(yīng)用系統(tǒng)，由總部和集團公司統(tǒng)一用戶管理平臺分別提供用戶管理、認證與單點登錄服務(wù)，應(yīng)用系統(tǒng)分別為總部和集團公司用戶提供訪問鏈接，該訪問鏈接可分別集成在總部和集團公司門戶中。
總部和集團公司統(tǒng)一用戶管理平臺分別具有本公司范圍內(nèi)的用戶信息庫，因此，可以為分級部署方式的應(yīng)用系統(tǒng)提供支持。當(dāng)集團公司用戶訪問應(yīng)用時，認證請求被發(fā)送到集團公司統(tǒng)一用戶管理平臺，由平臺校驗用戶認證憑證，校驗成功則檢查用戶權(quán)限信息和應(yīng)用訪問控制信息，根據(jù)上述信息單點登錄到應(yīng)用中；當(dāng)總部用戶訪問應(yīng)用時，認證請求被發(fā)送到總部統(tǒng)一用戶管理平臺，由平臺校驗用戶認證憑證，校驗成功則檢查用戶權(quán)限信息和應(yīng)用訪問控制信息，根據(jù)上述信息單點登錄到應(yīng)用中。
直接使用總部統(tǒng)一用戶管理平臺的設(shè)計
對于部分人數(shù)較少的集團公司，可以采用直接使用總部統(tǒng)一用戶管理平臺提供的用戶管理、認證與單點登錄服務(wù)，即采用認證托管模式建設(shè)本集團公司統(tǒng)一用戶管理平臺，有效節(jié)省投資成本。
在認證托管模式下，集團公司在本地不存在物理上的統(tǒng)一用戶管理平臺，而是由總部統(tǒng)一用戶管理平臺在邏輯上形成一個只針對該集團公司的統(tǒng)一用戶管理平臺，由該集團公司管理員維護與管理。邏輯上的統(tǒng)一用戶管理平臺，具有和其他集團公司所建的統(tǒng)一用戶管理平臺一致的功能，也可以進行本集團范圍內(nèi)的分級管理授權(quán)，功能獨立運用，不受總部統(tǒng)一用戶管理平臺的影響。
授權(quán)管理體系
統(tǒng)一用戶管理平臺采用了分級部署、分級管理的實現(xiàn)方式，授權(quán)管理也相應(yīng)的采用了分級授權(quán)管理體系�？偛抗芾韱T負責(zé)管理總部應(yīng)用和全集團應(yīng)用，管理總部角色信息，實現(xiàn)用戶基于角色或個人的授權(quán)。集團公司管理員負責(zé)管理集團公司應(yīng)用應(yīng)用，管理集團公司角色信息，實現(xiàn)用戶基于角色或個人的授權(quán)。
對于每個公司的授權(quán)，采用了集中授權(quán)管理機制，能夠集中的對用戶與被管資源中的權(quán)限進行分配。
把權(quán)限（資源）賦予用戶的過程中，應(yīng)該有完善的授權(quán)生命周期管理：授予權(quán)限、修改授權(quán)、解除授權(quán)。同時存在輔助管理功能，例如：查找、定位、報表等。
為了方便授權(quán)動作，可以將一組相同或相近類型的權(quán)限（資源）定義為角色。同理，如果把一個角色授予一個用戶，即把角色包含的權(quán)限（資源）全部授予用戶。
現(xiàn)階段實現(xiàn)粗粒度實體級授權(quán)，也就是完成用戶到資源的訪問層面。而應(yīng)用等內(nèi)部的授權(quán)由系統(tǒng)自身完成。
資源管理
資源管理是指對被管理資源進行錄入、編輯、刪除、查詢、報表等一系列維護管理操作。為了方便管理員管理，資源按照多種類型進行分類管理，提供給管理員的UI界面，進行友好的管理維護與展現(xiàn)。
資源管理支持以下功能：
創(chuàng)建資源：管理員能夠通過文件導(dǎo)入或者人工添加的方式，增加新的資源信息；
修改資源：管理員能夠?qū)ζ涔芾矸秶鷥?nèi)的資源信息進行編輯；
查詢資源：管理員能夠通過設(shè)定查詢條件（包括精確、模糊和組合等方式）對其管理范圍內(nèi)的資源信息進行查詢；
刪除資源：管理員能夠在其管理范圍內(nèi)刪除某個或某些資源的信息；
角色管理
角色是一系列權(quán)限（資源）的集合。通過角色的定義，可以簡化授權(quán)操作，降低用戶與權(quán)限之間的耦合程度，提高授權(quán)的靈活性。
授權(quán)管理
授權(quán)管理就是把相應(yīng)的權(quán)限（資源）或角色授予用戶或用戶組的一系列維護管理操作。對用戶授權(quán)后，用戶即擁有訪問目標(biāo)資源的權(quán)限。
使用流程
單點登錄流程
單點登錄流程詳細如下：
（1）用戶在登錄后頁面中顯示的應(yīng)用程序訪問列表中點擊需要訪問的應(yīng)用程序鏈接；
（2）應(yīng)用系統(tǒng)接受用戶的訪問請求，并將訪問請求轉(zhuǎn)發(fā)到統(tǒng)一用戶管理平臺的單點登錄服務(wù)器；
（3）單點登錄服務(wù)器解析用戶訪問請求信息，并校驗用戶訪問權(quán)限，向應(yīng)用系統(tǒng)返回用戶信息；
（4）應(yīng)用系統(tǒng)獲得單點登錄服務(wù)器信息，用戶登錄成功，正常使用應(yīng)用系統(tǒng)。
單點登錄安全性說明
對于單點登錄系統(tǒng)來說，由于各個應(yīng)用系統(tǒng)是根據(jù)從單點登錄系統(tǒng)獲得的票據(jù)來獲取登錄人員身份的，因此票據(jù)的安全性是單點登錄系統(tǒng)的關(guān)鍵要素。為了保證票據(jù)的安全，采取了以下措施：
 
票據(jù)生成的唯一性和時效性：為了保證用戶登錄應(yīng)用系統(tǒng)的安全性，由單點登錄系統(tǒng)生成票據(jù)作為用戶登錄應(yīng)用系統(tǒng)的憑據(jù)。生成的票據(jù)由單點登錄系統(tǒng)存儲，并記錄該票據(jù)是發(fā)給哪個用戶登錄哪個應(yīng)用系統(tǒng)的。票據(jù)是一串加密的隨機數(shù)，且該串隨機數(shù)一次有效并具有一定的時效性（一般為60秒）。當(dāng)用戶單點登錄成功時，該票據(jù)被刪除；當(dāng)超過票據(jù)有效時間時，該票據(jù)被刪除。通過這些措施可以阻止其他用戶利用中間人截獲的方式登錄應(yīng)用系統(tǒng)，也可以阻止其他應(yīng)用服務(wù)器模擬合法用戶登錄到其他應(yīng)用服務(wù)器。
票據(jù)驗證還可以配合IP地址綁定等方式，通過增加客戶端可識別信息進一步加強單點登錄的安全性。
 
票據(jù)傳輸過程安全性：在票據(jù)傳送過程中，由單點登錄系統(tǒng)對票據(jù)進行簽名然后才發(fā)送到應(yīng)用系統(tǒng)。任何對認證信息的修改都會導(dǎo)致簽名驗證的失敗，從而阻止其他客戶端對認證請求的偽造，也可以驗證客戶端的唯一性。
在應(yīng)用系統(tǒng)接收到票據(jù)后，會將票據(jù)傳送到單點登錄系統(tǒng)進行驗證，傳送的過程中，將由單點登錄系統(tǒng)部署于業(yè)務(wù)系統(tǒng)上的組件對傳輸內(nèi)容進行簽名，這樣就保證了目標(biāo)業(yè)務(wù)系統(tǒng)的不可抵賴性。
 
用戶信息的安全性：在驗證票據(jù)后，單點登錄系統(tǒng)會將用戶的登錄信息傳送給業(yè)務(wù)系統(tǒng)，同時，此次傳輸?shù)挠脩粜畔⑹怯蓡吸c登錄系統(tǒng)進行加密后傳輸，因此，在此傳輸過程中保證了用戶登錄信息的安全性。
 
關(guān)于時代億信
北京時代億信科技有限公司是一家致力于企業(yè)應(yīng)用整合及信息安全整體解決方案的專業(yè)技術(shù)服務(wù)公司。公司依托首都科技產(chǎn)業(yè)優(yōu)勢，專注于數(shù)字證書應(yīng)用、企業(yè)應(yīng)用安全、企業(yè)應(yīng)用整合及相關(guān)領(lǐng)域的軟件研發(fā)與技術(shù)服務(wù)，為客戶提供整體的應(yīng)用安全解決方案。憑借團隊優(yōu)勢和綜合技術(shù)能力，公司相繼獨立完成了身份認證、統(tǒng)一身份管理與訪問控制、文檔安全保護、SSLVPN等一系列創(chuàng)新產(chǎn)品的研發(fā)和推廣，積累了豐厚的專業(yè)技術(shù)實力和成熟的客戶服務(wù)經(jīng)驗，經(jīng)過不斷努力，已經(jīng)成為企業(yè)應(yīng)用安全及整合領(lǐng)域領(lǐng)先的解決方案提供商。