1 概述
系統(tǒng)現(xiàn)狀
某集團(tuán)公司擁有多個(gè)下屬公司，均進(jìn)行了卓有成效的信息化建設(shè)，但由于開(kāi)展時(shí)間較早，也沒(méi)有統(tǒng)一規(guī)劃，目前處于應(yīng)用各自獨(dú)立建設(shè)、獨(dú)立維護(hù)的狀態(tài)。
需求分析
為了發(fā)揮信息應(yīng)用系統(tǒng)在服務(wù)決策、促進(jìn)溝通、交流經(jīng)驗(yàn)、推動(dòng)工作等方面的作用，加強(qiáng)高效工作的信息化支撐力度，提高總部、下屬單位的工作效率，需要改變現(xiàn)有各應(yīng)用系統(tǒng)用戶管理分散、認(rèn)證分散的現(xiàn)狀，構(gòu)建企業(yè)用戶的統(tǒng)一管理，打造企業(yè)綜合信息平臺(tái)。
建設(shè)目標(biāo)
“某集團(tuán)公司”統(tǒng)一用戶管理平臺(tái)由統(tǒng)一用戶管理服務(wù)、統(tǒng)一認(rèn)證服務(wù)、單點(diǎn)登錄服務(wù)組成，形成對(duì)總部和集團(tuán)公司應(yīng)用系統(tǒng)的安全支撐，促進(jìn)信息系統(tǒng)的應(yīng)用和發(fā)展。
“某集團(tuán)公司”統(tǒng)一用戶管理平臺(tái)具體建設(shè)目標(biāo)如下：
（1）建設(shè)企業(yè)統(tǒng)一目錄
編制企業(yè)目錄規(guī)范，并按照規(guī)范建立統(tǒng)一目錄系統(tǒng)，按照規(guī)范要求存儲(chǔ)用戶信息各項(xiàng)屬性和組織機(jī)構(gòu)信息各項(xiàng)屬性，并提供數(shù)據(jù)同步接口。
（2）建設(shè)統(tǒng)一用戶管理平臺(tái)
建立統(tǒng)一用戶管理系統(tǒng)，統(tǒng)一管理全公司用戶信息和組織機(jī)構(gòu)信息，并負(fù)責(zé)向各應(yīng)用系統(tǒng)提供標(biāo)準(zhǔn)可用的數(shù)據(jù)，同時(shí)完成各應(yīng)用的用戶帳號(hào)統(tǒng)一管理、用戶授權(quán)集中管理與安全策略集中設(shè)置。
（3）建設(shè)統(tǒng)一認(rèn)證平臺(tái)
建立統(tǒng)一認(rèn)證平臺(tái)，實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的集中認(rèn)證和單點(diǎn)登錄。
統(tǒng)一認(rèn)證平臺(tái)根據(jù)統(tǒng)一用戶管理系統(tǒng)提供的授權(quán)信息進(jìn)行用戶應(yīng)用系統(tǒng)訪問(wèn)控制。

2 解決方案總體設(shè)計(jì)
部署方式設(shè)計(jì)

圖1 部署方式設(shè)計(jì)圖

“某集團(tuán)公司”統(tǒng)一用戶管理平臺(tái)依據(jù)“分級(jí)部署、分級(jí)管理”的原則，采用分布式部署，中心節(jié)點(diǎn)建設(shè)在總部，分中心建設(shè)在各集團(tuán)公司。
部署方式示意圖如下：
 
中心節(jié)點(diǎn)承擔(dān)總部統(tǒng)一用戶管理平臺(tái)數(shù)據(jù)負(fù)載，負(fù)責(zé)對(duì)總部應(yīng)用系統(tǒng)及全國(guó)應(yīng)用系統(tǒng)進(jìn)行用戶管理、認(rèn)證和單點(diǎn)登錄。
分中心承擔(dān)集團(tuán)公司統(tǒng)一用戶管理平臺(tái)數(shù)據(jù)負(fù)載，各分中心獨(dú)立運(yùn)行互不干擾，負(fù)責(zé)對(duì)集團(tuán)公司應(yīng)用系統(tǒng)進(jìn)行用戶管理、認(rèn)證和單點(diǎn)登錄。
中心節(jié)點(diǎn)和分中心分別從同級(jí)的HR系統(tǒng)同步用戶信息，由HR系統(tǒng)負(fù)責(zé)發(fā)起用戶管理操作，由統(tǒng)一用戶管理平臺(tái)進(jìn)行用戶信息分發(fā)。同時(shí)，兩級(jí)統(tǒng)一用戶管理平臺(tái)也實(shí)現(xiàn)了用戶同步，可在總部形成全集團(tuán)用戶信息視圖。
中心節(jié)點(diǎn)和分中心分別建立企業(yè)目錄，負(fù)責(zé)存儲(chǔ)本公司的用戶信息、組織機(jī)構(gòu)信息、角色信息等數(shù)據(jù)。
統(tǒng)一用戶管理平臺(tái)采用分級(jí)部署方式，為應(yīng)用系統(tǒng)提供本地化的用戶管理、認(rèn)證和單點(diǎn)登錄服務(wù)，確保了內(nèi)部網(wǎng)絡(luò)暢通，實(shí)現(xiàn)辦公現(xiàn)代化、信息電子化、傳輸網(wǎng)絡(luò)化和管理科學(xué)化提供高保障、高質(zhì)量的安全基礎(chǔ)平臺(tái)。
部署內(nèi)容設(shè)計(jì)
總部部署：總部部署兩臺(tái)統(tǒng)一用戶管理平臺(tái)服務(wù)器，構(gòu)成總部的統(tǒng)一用戶管理平臺(tái)，負(fù)責(zé)對(duì)總部或全集團(tuán)應(yīng)用系統(tǒng)提供用戶管理、認(rèn)證和單點(diǎn)登錄服務(wù)。
集團(tuán)公司部署：集團(tuán)部署兩臺(tái)統(tǒng)一用戶管理平臺(tái)服務(wù)器，構(gòu)成集團(tuán)的統(tǒng)一用戶管理平臺(tái)，負(fù)責(zé)對(duì)集團(tuán)應(yīng)用系統(tǒng)提供用戶管理、認(rèn)證和單點(diǎn)登錄服務(wù)。
系統(tǒng)接口設(shè)計(jì)
統(tǒng)一用戶管理平臺(tái)作為用戶信息的集中管理與整合的信息設(shè)施，涉及與各個(gè)業(yè)務(wù)系統(tǒng)的交互，系統(tǒng)必須具有良好、完善的接口，以滿足應(yīng)用系統(tǒng)在多種應(yīng)用場(chǎng)景下的使用需求。
認(rèn)證與單點(diǎn)登錄接口規(guī)范
統(tǒng)一用戶管理平臺(tái)產(chǎn)品提供應(yīng)用系統(tǒng)認(rèn)證與單點(diǎn)登錄接口規(guī)范，方便應(yīng)用系統(tǒng)進(jìn)行認(rèn)證和單點(diǎn)登錄接入。根據(jù)應(yīng)用系統(tǒng)的實(shí)際情況，可選擇HTTP協(xié)議或TCP協(xié)議。
HTTP協(xié)議接口規(guī)范：提供HTTP協(xié)議接口包及開(kāi)發(fā)規(guī)范，進(jìn)行應(yīng)用系統(tǒng)的單點(diǎn)登錄接入。
TCP協(xié)議接口規(guī)范：提供TCP協(xié)議接口包及開(kāi)發(fā)規(guī)范，進(jìn)行應(yīng)用系統(tǒng)的單點(diǎn)登錄接入。
組織機(jī)構(gòu)用戶數(shù)據(jù)同步接口
統(tǒng)一用戶管理平臺(tái)組織機(jī)構(gòu)、用戶數(shù)據(jù)同步接口分為兩類：從數(shù)據(jù)源接收數(shù)據(jù)同步和向應(yīng)用系統(tǒng)同步數(shù)據(jù)。
從數(shù)據(jù)源接收數(shù)據(jù)同步接口
在企業(yè)內(nèi)部已擁有組織機(jī)構(gòu)、用戶數(shù)據(jù)權(quán)威數(shù)據(jù)源的情況下，統(tǒng)一用戶管理平臺(tái)提供數(shù)據(jù)接收同步服務(wù)。在權(quán)威數(shù)據(jù)源的組織機(jī)構(gòu)、用戶數(shù)據(jù)發(fā)生變更時(shí)，可自動(dòng)同步到統(tǒng)一用戶管理平臺(tái)。
1）組織機(jī)構(gòu)操作接口：可接收組織機(jī)構(gòu)信息的增加、刪除、修改、啟用、停用、重命名、修改父級(jí)等變更信息；
2）用戶操作接口：可接收用戶信息的增加、刪除、修改、啟用、停用、重命名、修改父級(jí)、變更用戶組、變更角色等變更信息；
3）用戶組操作接口：可接收用戶組信息的增加、刪除、修改等變更信息；
4）角色操作接口：可接收角色信息的增加、刪除、修改等變更信息；
5）密碼操作接口：可接收管理員重置密碼、用戶自助修改密碼、用戶自助重置密碼的變更信息。
向應(yīng)用系統(tǒng)同步數(shù)據(jù)接口
在統(tǒng)一用戶管理平臺(tái)內(nèi)進(jìn)行企業(yè)內(nèi)部組織機(jī)構(gòu)、用戶數(shù)據(jù)的統(tǒng)一管理，或者接收到權(quán)威數(shù)據(jù)源的同步數(shù)據(jù)，產(chǎn)生增量變化數(shù)據(jù)后，統(tǒng)一用戶管理平臺(tái)提供數(shù)據(jù)同步分發(fā)服務(wù)，根據(jù)應(yīng)用系統(tǒng)的數(shù)據(jù)需求，進(jìn)行相應(yīng)數(shù)據(jù)的分發(fā)與同步。
1）同步接口：可同步組織機(jī)構(gòu)、用戶、用戶組、角色、密碼等信息的增加、刪除、修改、啟用、停用、重命名、修改父級(jí)等變更信息。
公共服務(wù)接口
統(tǒng)一用戶管理平臺(tái)作為企業(yè)內(nèi)部的IT基礎(chǔ)設(shè)施，集中存儲(chǔ)企業(yè)的組織機(jī)構(gòu)和用戶數(shù)據(jù)。統(tǒng)一用戶管理平臺(tái)提供公共服務(wù)，方便有需要的應(yīng)用系統(tǒng)進(jìn)行組織機(jī)構(gòu)和用戶數(shù)據(jù)的查詢。
組織機(jī)構(gòu)查詢接口
為應(yīng)用系統(tǒng)提供組織機(jī)構(gòu)查詢條件，可根據(jù)任意屬性、父級(jí)屬性查詢，查詢組織機(jī)構(gòu)的詳細(xì)信息，查詢結(jié)果支持分頁(yè)顯示。
用戶查詢接口
為應(yīng)用系統(tǒng)提供用戶信息查詢條件，可根據(jù)任意屬性、父級(jí)屬性查詢，查詢用戶的詳細(xì)信息，查詢結(jié)果支持分頁(yè)顯示。
用戶組查詢接口
為應(yīng)用系統(tǒng)提供用戶組信息查詢條件，可根據(jù)用戶組名稱、編碼查詢，查詢用戶組的詳細(xì)信息，查詢結(jié)果支持分頁(yè)顯示。
角色查詢接口
為應(yīng)用系統(tǒng)提供角色信息查詢條件，可根據(jù)角色名稱、編碼查詢，查詢角色的詳細(xì)信息，查詢結(jié)果支持分頁(yè)顯示。

3 統(tǒng)一用戶管理平臺(tái)設(shè)計(jì)
根據(jù)部署方式設(shè)計(jì)圖所示，統(tǒng)一用戶管理平臺(tái)分級(jí)部署在總部和集團(tuán)公司，分別為總部應(yīng)用系統(tǒng)和集團(tuán)公司應(yīng)用系統(tǒng)提供身份認(rèn)證、單點(diǎn)登錄、用戶管理服務(wù)。
總部統(tǒng)一用戶管理平臺(tái)除了承擔(dān)本公司應(yīng)用的用戶認(rèn)證功能外，還為集中部署的應(yīng)用系統(tǒng)提供下屬集團(tuán)公司用戶認(rèn)證功能，即支持總部集中部署，總部、集團(tuán)公司分級(jí)使用的全國(guó)應(yīng)用系統(tǒng)用戶認(rèn)證。總部統(tǒng)一用戶管理平臺(tái)所制定的安全策略針對(duì)全部應(yīng)用系統(tǒng)生效。
集團(tuán)公司統(tǒng)一用戶管理平臺(tái)承擔(dān)本公司應(yīng)用的用戶認(rèn)證功能，應(yīng)用可以是統(tǒng)一建設(shè)部署的，也可以是本集團(tuán)自行建設(shè)的應(yīng)用系統(tǒng)。集團(tuán)公司統(tǒng)一用戶管理平臺(tái)繼承總部統(tǒng)一用戶管理平臺(tái)安全策略，并可針對(duì)本集團(tuán)特定應(yīng)用或本地應(yīng)用制定單獨(dú)的安全策略。
設(shè)計(jì)依據(jù)
統(tǒng)一用戶管理平臺(tái)采用分級(jí)部署、分級(jí)管理的設(shè)計(jì)方式，其主要優(yōu)點(diǎn)有：
（1）適應(yīng)不同部署形式的應(yīng)用系統(tǒng)，更好地貼近應(yīng)用系統(tǒng)實(shí)際安全需要；
（2）集團(tuán)公司有自建應(yīng)用系統(tǒng)，也需要統(tǒng)一用戶管理，本地的統(tǒng)一用戶管理平臺(tái)提供了實(shí)現(xiàn)手段；
（3）分級(jí)部署提供了本地認(rèn)證能力，減少了對(duì)網(wǎng)絡(luò)的依賴，提高了系統(tǒng)可靠性；
（4）分級(jí)部署為本地提供了應(yīng)用管理能力，可為本地建設(shè)的單獨(dú)應(yīng)用系統(tǒng)提供單點(diǎn)登錄；
（5）總部統(tǒng)一用戶管理平臺(tái)可靈活使用，既為總部服務(wù)又可為全國(guó)應(yīng)用服務(wù)，還具有認(rèn)證托管能力，可為人數(shù)較少的集團(tuán)公司直接提供認(rèn)證服務(wù)。
統(tǒng)一用戶管理功能
用戶管理
用戶管理是指各級(jí)用戶管理員通過(guò)統(tǒng)一用戶管理平臺(tái)提供的頁(yè)面，在其管理范圍內(nèi)完成對(duì)用戶的新增、查詢、修改、刪除和應(yīng)用分配等操作。
用戶類別可分為：內(nèi)部用戶、外部用戶、臨時(shí)用戶等多種類型。
臨時(shí)用戶在申請(qǐng)統(tǒng)一用戶管理平臺(tái)帳號(hào)需要進(jìn)行層級(jí)審批。
用戶主帳號(hào)管理：新增一個(gè)用戶，主要填寫包括用戶姓名、身份證號(hào)、選擇所在公司和部門等信息，創(chuàng)建用戶信息的同時(shí)為用戶分配員工編碼，才能生效。
員工編號(hào)必須在全公司范圍內(nèi)唯一。
用戶主帳號(hào)修改功能中的口令修改能夠自動(dòng)同步到各子帳號(hào)中，使用戶口令保持一致。
用戶主帳號(hào)中的信息修改，如果信息在子帳號(hào)中也存在，需要自動(dòng)的更新到子帳號(hào)中，使得用戶信息保持一致。
用戶刪除時(shí)，用戶的權(quán)限等信息也將隨之刪除。
用戶從帳號(hào)管理：用戶管理員通過(guò)統(tǒng)一用戶管理平臺(tái)頁(yè)面可以對(duì)用戶從帳號(hào)進(jìn)行創(chuàng)建、修改、刪除等操作，創(chuàng)建的從帳號(hào)通過(guò)管理接口同步到各個(gè)應(yīng)用系統(tǒng)中。
從帳號(hào)與主帳號(hào)自動(dòng)進(jìn)行關(guān)聯(lián)，通過(guò)主帳號(hào)視圖可以看到和子帳號(hào)的關(guān)聯(lián)關(guān)系。
如果修改的信息是用戶主帳號(hào)包括的基本信息，應(yīng)當(dāng)修改主帳號(hào)信息，由主帳號(hào)自動(dòng)同步到從帳號(hào)，是信息保持一致。
用戶管理員通過(guò)統(tǒng)一用戶管理平臺(tái)頁(yè)面可以對(duì)用戶從帳號(hào)進(jìn)行刪除，刪除操作通過(guò)接口同步到各個(gè)應(yīng)用系統(tǒng)。
用戶帳號(hào)的修改：用戶管理員通過(guò)統(tǒng)一用戶管理平臺(tái)WEB UI界面可以對(duì)用戶信息進(jìn)行修改，用戶帳號(hào)修改功能中的口令修改應(yīng)當(dāng)能夠自動(dòng)同步到各子帳號(hào)中，使其用戶口令保持一致。
用戶帳號(hào)中的信息修改，如果信息在子帳號(hào)中也存在，需要自動(dòng)的更新到子帳號(hào)中，使得用戶信息保持一致。
用戶帳號(hào)的刪除：用戶管理員通過(guò)統(tǒng)一用戶管理平臺(tái)WEB UI界面可以刪除用戶。
用戶帳號(hào)的刪除應(yīng)當(dāng)在生命周期管理中通過(guò)離職等流程完成，盡量避免直接刪除用戶。
用戶刪除時(shí)，此時(shí)用戶的權(quán)限等信息也將隨之刪除。
用戶帳號(hào)的啟用：用戶管理員通過(guò)統(tǒng)一用戶管理平臺(tái)WEB UI界面可以對(duì)用戶進(jìn)行啟用，啟用后用戶的主帳號(hào)狀態(tài)變成“正常”，但用戶所關(guān)聯(lián)的子帳號(hào)，需要管理員手工的進(jìn)行啟用管理。
用戶帳號(hào)的禁用：用戶管理員通過(guò)統(tǒng)一用戶管理平臺(tái)WEB UI界面可以禁用用戶帳號(hào)，禁用后，用戶帳號(hào)所關(guān)聯(lián)的子帳號(hào)應(yīng)自動(dòng)禁用。
用戶帳號(hào)的轉(zhuǎn)移：用戶管理員通過(guò)統(tǒng)一用戶管理平臺(tái)WEB UI界面可以對(duì)用戶帳號(hào)進(jìn)行轉(zhuǎn)移，該轉(zhuǎn)移是轉(zhuǎn)移用戶所在組織節(jié)點(diǎn)，轉(zhuǎn)移后用戶屬性中組織信息需要自動(dòng)的進(jìn)行變更，與轉(zhuǎn)移后的組織信息保持一致。
組織機(jī)構(gòu)管理
統(tǒng)一用戶管理平臺(tái)提供組織機(jī)構(gòu)管理頁(yè)面，在頁(yè)面中提供添加，查詢，注銷，刪除等功能。
組織機(jī)構(gòu)管理圖形化，已經(jīng)添加在統(tǒng)一用戶管理平臺(tái)中的組織機(jī)構(gòu)，系統(tǒng)將現(xiàn)有的組織機(jī)構(gòu)已樹(shù)狀形式顯示。此管理頁(yè)面能夠被維護(hù)并實(shí)時(shí)更新。
組織結(jié)構(gòu)信息能夠?qū)С龀蓤D片、Excel數(shù)據(jù)，能夠形成XML格式數(shù)據(jù)提供接口被其他系統(tǒng)實(shí)時(shí)引用。
組織機(jī)構(gòu)的創(chuàng)建：新增一個(gè)組組機(jī)構(gòu)，主要填寫包括組織機(jī)構(gòu)的名稱、編碼、類型（部門或公司）等信息，并指定其上級(jí)組織機(jī)構(gòu)。
組織機(jī)構(gòu)的編碼必須在全局范圍內(nèi)唯一，其編碼規(guī)則在企業(yè)目錄規(guī)范中統(tǒng)一規(guī)定。
組織機(jī)構(gòu)的查詢：統(tǒng)一用戶管理平臺(tái)既提供查詢組織機(jī)構(gòu)的WEB UI界面，也提供基于Web Service規(guī)范的組織機(jī)構(gòu)查詢接口。后者主要便于應(yīng)用系統(tǒng)在其應(yīng)用中嵌入企業(yè)組織目錄樹(shù)。
支持通過(guò)組織機(jī)構(gòu)名稱、編碼、類型等屬性進(jìn)行組織機(jī)構(gòu)的精確查詢、模糊查詢、組合查詢。
組織機(jī)構(gòu)的修改：用戶管理員通過(guò)統(tǒng)一用戶管理平臺(tái)WEB UI界面可以對(duì)組織機(jī)構(gòu)的名稱、編碼、類型進(jìn)行修改。
支持對(duì)組織機(jī)構(gòu)的合并和轉(zhuǎn)移。
在修改組織機(jī)構(gòu)后，用戶信息中組織的信息將自動(dòng)變更。
組織機(jī)構(gòu)的刪除：用戶管理員通過(guò)統(tǒng)一用戶管理平臺(tái)WEB UI界面可以刪除組織機(jī)構(gòu)。
在刪除組織機(jī)構(gòu)時(shí)，必須先對(duì)該組織機(jī)構(gòu)下的所有用戶進(jìn)行調(diào)離或刪除處理，否則不能刪除組織機(jī)構(gòu)。
在刪除組織機(jī)構(gòu)時(shí)，必須先對(duì)該組織機(jī)構(gòu)的下級(jí)組織機(jī)構(gòu)進(jìn)行轉(zhuǎn)移或刪除處理，否則不能刪除組織機(jī)構(gòu)。
從數(shù)據(jù)安全性考慮，嚴(yán)禁通過(guò)遞歸方式直接刪除組織機(jī)構(gòu)。
 
組織機(jī)構(gòu)的合并：用戶管理員通過(guò)統(tǒng)一用戶管理平臺(tái)WEB UI界面可以對(duì)組織機(jī)構(gòu)進(jìn)行合并，合并支持兩種方式：
1) A，B合并到A或B；
2) A，B合并到C；
合并時(shí)，系統(tǒng)需要提示組織下的組織和人員將會(huì)合并到新的組織下。
組織機(jī)構(gòu)的刪除：用戶管理員通過(guò)統(tǒng)一用戶管理平臺(tái)WEB UI界面可以對(duì)組織機(jī)構(gòu)進(jìn)行刪除，系統(tǒng)需要檢查當(dāng)前組織下是否還包含子組織和人員，如果存在，提示管理員不能刪除該組織，需要先轉(zhuǎn)移該組織下的子組織和人員。
群組管理
群組管理是指各級(jí)用戶管理員通過(guò)統(tǒng)一用戶管理平臺(tái)提供的頁(yè)面，在其管理范圍內(nèi)完成對(duì)群組的新增、修改、刪除、群組人員分配和群組人員轉(zhuǎn)移等操作。
群組的編碼在全公司范圍內(nèi)唯一。群組用于將擁有同類權(quán)限的用戶進(jìn)行匯總，以便于批量用戶的授權(quán)。
群組包括靜態(tài)組和動(dòng)態(tài)組，靜態(tài)組提供對(duì)組的成員管理，管理員可以通過(guò)查找用戶的方式，把用戶添加到改組。
動(dòng)態(tài)組通過(guò)LDAP表達(dá)式實(shí)現(xiàn)，系統(tǒng)應(yīng)提供LDAP表達(dá)式輸入的區(qū)域，和對(duì)LDAP表達(dá)式檢查的結(jié)果顯示，方便管理員設(shè)置。
管理員通過(guò)統(tǒng)一用戶管理平臺(tái)頁(yè)面可以向群組中添加人員、去除人員，群組中人員的添加/去除操作只影響用戶的權(quán)限。
群組刪除時(shí)，該群組與應(yīng)用系統(tǒng)的關(guān)聯(lián)關(guān)系，群組與人員的關(guān)系將一并刪除。
權(quán)限與角色管理
可以擴(kuò)展提供基于角色的訪問(wèn)控制能力。用戶和角色之間的關(guān)系是不斷維護(hù)的，每種角色都有各自的權(quán)限定義，如果一個(gè)用戶被賦予一個(gè)角色之后，那么這個(gè)用戶就擁有了那個(gè)角色所定義的權(quán)限；當(dāng)這個(gè)角色的權(quán)限定義更改之后，所有被賦予這個(gè)角色的用戶也會(huì)自動(dòng)擁有這個(gè)角色更改之后的權(quán)限。
平臺(tái)負(fù)責(zé)目錄中角色的維護(hù)，包括角色的添加、修改、刪除、角色人員分配和角色人員轉(zhuǎn)移等功能。
應(yīng)用管理
管理員通過(guò)統(tǒng)一用戶管理平臺(tái)提供的頁(yè)面，完成對(duì)應(yīng)用系統(tǒng)的注冊(cè)、修改、刪除等操作。
可以指定應(yīng)用系統(tǒng)的同步內(nèi)容，包括帳號(hào)、組織、群組和角色。
支持應(yīng)用的批量開(kāi)通。
用戶信息導(dǎo)入
統(tǒng)一用戶管理平臺(tái)提供了數(shù)據(jù)初始化工具，可從單數(shù)據(jù)源或多數(shù)據(jù)源導(dǎo)入用戶信息。用戶信息導(dǎo)入步驟如下：
（1）選擇一個(gè)或多個(gè)應(yīng)用系統(tǒng)數(shù)據(jù)源作為用戶信息導(dǎo)入源；
（2）按照事先定義好的Web Service接口，導(dǎo)入用戶信息；
（3）統(tǒng)一用戶管理平臺(tái)會(huì)根據(jù)事先定義好的字段設(shè)置，將用戶信息完整的建立起來(lái)，管理員可在此基礎(chǔ)上對(duì)用戶進(jìn)行分組或自動(dòng)分組，便于進(jìn)行單點(diǎn)登錄授權(quán)。
帳號(hào)有效期管理
如果用戶類型是臨時(shí)用戶，則賬戶有效期屬于必填項(xiàng)。
為了滿足對(duì)用戶生命周期管理的需要，需實(shí)現(xiàn)如下功能：
（1）面向全體用戶，定義統(tǒng)一用戶管理平臺(tái)用戶身份有效期審核管理措施；
（2）當(dāng)用戶信息接近有效期時(shí)告警；
（3）當(dāng)用戶有效期到期禁用用戶、停止訪問(wèn)權(quán)限。
用戶密碼管理
對(duì)于用戶名密碼認(rèn)證，統(tǒng)一用戶管理平臺(tái)支持用戶密碼的安全策略管理和密碼同步管理。
密碼安全策略管理：對(duì)于密碼安全策略，系統(tǒng)支持如下要求：
（1）可定義口令的復(fù)雜度策略：包括口令的長(zhǎng)度、口令的組成、定義非重復(fù)口令、禁用的字符短語(yǔ)等；
（2）可定義口令的過(guò)期策略，使用戶在一定周期過(guò)后就強(qiáng)制要求修改密碼；
（3）可針對(duì)不同崗位和角色應(yīng)用不同的口令安全策略；
（4）支持口令加密存儲(chǔ)及口令重置。
對(duì)于需要采用口令同步的系統(tǒng)，系統(tǒng)支持用戶口令的同步，當(dāng)在統(tǒng)一用戶管理平臺(tái)修改口令后，系統(tǒng)將用戶口令同步到后臺(tái)各應(yīng)用系統(tǒng)中。
初始密碼修改：統(tǒng)一用戶管理平臺(tái)提供設(shè)置初始密碼功能，此功能能夠提供初始密碼設(shè)置。
在統(tǒng)一用戶管理平臺(tái)注冊(cè)新用戶后，統(tǒng)一用戶管理平臺(tái)會(huì)自動(dòng)為用戶設(shè)置初始密碼。當(dāng)用戶在初始登錄時(shí)，使用初始密碼登錄。統(tǒng)一用戶管理平臺(tái)檢查登錄密碼，如果檢測(cè)登錄密碼為初始密碼系統(tǒng)則彈出提示信息（如：“不能使用初始密碼登錄”）并導(dǎo)入頁(yè)面密碼修改頁(yè)面，讓用戶自行修改密碼。
帳號(hào)密碼強(qiáng)度檢測(cè)：統(tǒng)一用戶管理平臺(tái)提供密碼強(qiáng)度檢測(cè)功能，即用戶在修改密碼時(shí)，用戶設(shè)置的密碼沒(méi)有達(dá)到指定的強(qiáng)度時(shí)，系統(tǒng)會(huì)提示用戶設(shè)置的密碼沒(méi)有達(dá)到指定的強(qiáng)度，請(qǐng)用戶重新設(shè)置。
自助申請(qǐng)帳號(hào)
提供頁(yè)面為提供臨時(shí)用戶帳號(hào)自助申請(qǐng)，臨時(shí)帳號(hào)需要進(jìn)行審批后才能使用，并且在審批時(shí)設(shè)定帳號(hào)有效期。
用戶自服務(wù)管理
用戶自服務(wù)管理是指用戶管理員通過(guò)用戶管理系統(tǒng)的UI界面，對(duì)允許用戶進(jìn)行自助服務(wù)的個(gè)人信息進(jìn)行范圍設(shè)定。
用戶自服務(wù)管理系統(tǒng)必須能夠保障用戶的自助編輯服務(wù)范圍是限制在用戶個(gè)人基本信息中，不能超出這個(gè)設(shè)定范圍，且必須符合目錄存儲(chǔ)規(guī)范中對(duì)用戶各項(xiàng)信息屬性類型的要求。
用戶自助服務(wù)系統(tǒng)必須保證用戶只能查看和編輯自身的用戶信息。
用戶個(gè)人信息自助服務(wù)
用戶個(gè)人信息自助服務(wù)是指用戶自身通過(guò)用戶管理系統(tǒng)的UI界面（通常為Web UI界面），對(duì)其自身的個(gè)人基本信息進(jìn)行登記和編輯等操作。
用戶可以通過(guò)自助服務(wù)查看本人的身份信息和授權(quán)，并能夠?qū)ζ渲械膫�(gè)人基本信息進(jìn)行編輯，例如：用戶手機(jī)號(hào)碼這種個(gè)人信息允許用戶自助編輯，而用戶的公司信息，包括用戶ID、用戶工號(hào)、用戶組織等信息是不允許用戶編輯，以保證用戶信息的合法性。
領(lǐng)導(dǎo)可以自行指定一個(gè)代理人來(lái)處理用戶的事務(wù)。
用戶自助服務(wù)UI界面應(yīng)能夠?qū)⒂脩粜畔⒅械膫�(gè)人信息和公司信息，可自助服務(wù)信息和非自助服務(wù)信息，以及必選信息和可選信息清晰區(qū)分開(kāi)來(lái)；
用戶管理系統(tǒng)必須能夠保障用戶的自助服務(wù)范圍是滿足用戶管理員設(shè)定范圍。
用戶通過(guò)自服務(wù)系統(tǒng)能夠修改授權(quán)用戶修改的個(gè)人信息，包括密碼信息。
被集成的應(yīng)用系統(tǒng)應(yīng)該調(diào)用統(tǒng)一用戶管理平臺(tái)的自服務(wù)管理模塊，不再使用原有的自服務(wù)模塊。
系統(tǒng)管理
統(tǒng)一用戶管理平臺(tái)的管理服務(wù)功能包括：數(shù)據(jù)字典設(shè)置、菜單管理設(shè)置、角色管理、數(shù)據(jù)導(dǎo)入、同步訂閱。
系統(tǒng)提供分級(jí)管理功能，系統(tǒng)管理員可以定義為總部、下屬公司兩級(jí)或更多級(jí)，分別對(duì)能管理的用戶、角色等信息進(jìn)行管理。
安全審計(jì)與日志報(bào)表
系統(tǒng)提供一個(gè)集中的存儲(chǔ)中心以日志的形式記錄用戶所作的所有操作。審計(jì)人員、安全管理人員可以隨時(shí)察看這些記錄用戶、系統(tǒng)和應(yīng)用的日志信息。并為所有系統(tǒng)和用戶提供一個(gè)基于關(guān)系型數(shù)據(jù)庫(kù)的準(zhǔn)確而且安全的日志記錄方式。
管理人員可以根據(jù)日志中記錄的信息，進(jìn)行靈活地日志查詢和報(bào)表功能。
單點(diǎn)登錄功能實(shí)現(xiàn)
單點(diǎn)登錄的實(shí)現(xiàn)原理：統(tǒng)一用戶管理平臺(tái)的用戶信息數(shù)據(jù)獨(dú)立于各應(yīng)用系統(tǒng)，形成統(tǒng)一的用戶唯一ID，并將其作為統(tǒng)一認(rèn)證平臺(tái)用戶的主帳號(hào)。
（1）在通過(guò)統(tǒng)一用戶管理平臺(tái)統(tǒng)一認(rèn)證后，可以從登錄認(rèn)證結(jié)果中獲取統(tǒng)一用戶管理平臺(tái)用戶唯一ID（主帳號(hào)）；
（2）再由其關(guān)聯(lián)不同應(yīng)用系統(tǒng)的用戶帳號(hào)（從帳號(hào)）；
（3）最后用關(guān)聯(lián)后的帳號(hào)訪問(wèn)相應(yīng)的應(yīng)用系統(tǒng)。
當(dāng)增加一個(gè)應(yīng)用系統(tǒng)時(shí)，只需要增加統(tǒng)一用戶管理平臺(tái)用戶唯一ID（主帳號(hào)）與該應(yīng)用系統(tǒng)帳號(hào)（從帳號(hào)）的一個(gè)關(guān)聯(lián)信息即可，不會(huì)對(duì)其它應(yīng)用系統(tǒng)產(chǎn)生任何影響，從而解決登錄認(rèn)證時(shí)不同應(yīng)用系統(tǒng)之間用戶交叉和用戶帳號(hào)不同的問(wèn)題。單點(diǎn)登錄過(guò)程均通過(guò)安全通道來(lái)保證數(shù)據(jù)傳輸?shù)陌踩��?br />  
B/S結(jié)構(gòu)應(yīng)用系統(tǒng)的接入與認(rèn)證：B/S結(jié)構(gòu)應(yīng)用系統(tǒng)用戶均采用瀏覽器登錄和訪問(wèn)應(yīng)用系統(tǒng)，因此使用瀏覽器訪問(wèn)統(tǒng)一用戶管理平臺(tái)，在統(tǒng)一用戶管理平臺(tái)登錄認(rèn)證成功后，再訪問(wèn)具體B/S應(yīng)用應(yīng)用系統(tǒng)。B/S應(yīng)用系統(tǒng)接入統(tǒng)一用戶管理平臺(tái)的架構(gòu)如下圖所示：


圖2  應(yīng)用系統(tǒng)接入與認(rèn)證架構(gòu)

統(tǒng)一用戶管理平臺(tái)提供兩種B/S結(jié)構(gòu)應(yīng)用系統(tǒng)接入方式，以滿足不同應(yīng)用系統(tǒng)的需求，快速實(shí)現(xiàn)單點(diǎn)登錄：
 
反向代理方式：在完成客戶端與認(rèn)證服務(wù)器的交互認(rèn)證后，用戶先登錄進(jìn)入統(tǒng)一用戶管理平臺(tái)系統(tǒng)，然后利用反向代理技術(shù)完成服務(wù)器端代理用戶認(rèn)證，并將應(yīng)用系統(tǒng)信息推送給客戶端瀏覽器，從而實(shí)現(xiàn)用戶對(duì)該應(yīng)用系統(tǒng)的訪問(wèn)。
這種方式下應(yīng)用系統(tǒng)基本不需改動(dòng)和開(kāi)發(fā)，對(duì)于不能作改動(dòng)或沒(méi)有原廠商配合改動(dòng)的應(yīng)用系統(tǒng)，可以使用該方式接入統(tǒng)一用戶管理平臺(tái)。實(shí)現(xiàn)上，采用SSO認(rèn)證服務(wù)和SSO Agent進(jìn)行交互驗(yàn)證用戶信息，完成應(yīng)用系統(tǒng)單點(diǎn)登錄。


圖3 反向代理方式接入應(yīng)用系統(tǒng)

反向代理方式下通過(guò)統(tǒng)一用戶管理平臺(tái)訪問(wèn)應(yīng)用系統(tǒng)的流程如下：
（1）用戶在統(tǒng)一用戶管理平臺(tái)上點(diǎn)擊訪問(wèn)的應(yīng)用系統(tǒng)URL鏈接；
（2）由統(tǒng)一用戶管理平臺(tái)驗(yàn)證用戶權(quán)限，有權(quán)限則在統(tǒng)一用戶管理平臺(tái)數(shù)據(jù)庫(kù)中查詢用戶和應(yīng)用系統(tǒng)的關(guān)聯(lián)表，無(wú)權(quán)限則提示用戶無(wú)權(quán)訪問(wèn)；
（3）如關(guān)聯(lián)表中無(wú)相應(yīng)記錄，則瀏覽器彈出建立關(guān)聯(lián)的頁(yè)面；如關(guān)聯(lián)表中有相應(yīng)記錄，則統(tǒng)一用戶管理平臺(tái)服務(wù)器提取用戶和應(yīng)用系統(tǒng)的關(guān)聯(lián)信息，送至SSO服務(wù)加密簽名形成數(shù)字信封后，返還給統(tǒng)一用戶管理平臺(tái)；
（4）由統(tǒng)一用戶管理平臺(tái)將加密信息發(fā)送給應(yīng)用系統(tǒng)前端的SSO Agent；
（5）SSO Agent收到加密信息后進(jìn)行解密，并向應(yīng)用系統(tǒng)提交用戶關(guān)聯(lián)信息；
（6）應(yīng)用系統(tǒng)收到用戶關(guān)聯(lián)信息后進(jìn)行驗(yàn)證，驗(yàn)證成功則允許用戶訪問(wèn)應(yīng)用，失敗則提示用戶更新關(guān)聯(lián)信息。
 
插件方式：插件方式采用SSO認(rèn)證服務(wù)和集成插件（SSO API）的方式進(jìn)行交互驗(yàn)證用戶信息，完成應(yīng)用系統(tǒng)單點(diǎn)登錄。插件方式提供多種API，通過(guò)簡(jiǎn)單調(diào)用即可實(shí)現(xiàn)SSO。



通常情況下，對(duì)于有原廠商配合開(kāi)發(fā)的應(yīng)用系統(tǒng)，推薦使用該方式接入統(tǒng)一用戶管理平臺(tái)，以實(shí)現(xiàn)高效率高可靠的單點(diǎn)登錄。


圖4 插件方式接入應(yīng)用系統(tǒng)

（1）用戶在統(tǒng)一用戶管理平臺(tái)上點(diǎn)擊訪問(wèn)的應(yīng)用系統(tǒng)URL鏈接；
（2）由統(tǒng)一用戶管理平臺(tái)驗(yàn)證用戶權(quán)限，有權(quán)限則在統(tǒng)一用戶管理平臺(tái)數(shù)據(jù)庫(kù)中查詢用戶和應(yīng)用系統(tǒng)的關(guān)聯(lián)表，無(wú)權(quán)限則提示用戶無(wú)權(quán)訪問(wèn)；
（3）如關(guān)聯(lián)表中無(wú)相應(yīng)記錄，則該用戶未授權(quán)，不允許訪問(wèn)；如關(guān)聯(lián)表中有相應(yīng)記錄，則統(tǒng)一用戶管理平臺(tái)服務(wù)器提取用戶在該應(yīng)用系統(tǒng)中的身份信息，送至SSO服務(wù)加密簽名形成數(shù)字信封后，返還給統(tǒng)一用戶管理平臺(tái)；
（4）由統(tǒng)一用戶管理平臺(tái)將加密信息發(fā)送給相應(yīng)的應(yīng)用系統(tǒng)；
（5）應(yīng)用系統(tǒng)調(diào)用SSO API，對(duì)加密信息進(jìn)行解密，得到用戶身份信息并返回給應(yīng)用系統(tǒng)；
（6）應(yīng)用系統(tǒng)收到用戶身份信息后通過(guò)信任機(jī)制允許用戶訪問(wèn)應(yīng)用系統(tǒng)。
 
C/S結(jié)構(gòu)應(yīng)用系統(tǒng)的接入與認(rèn)證：對(duì)于C/S架構(gòu)的應(yīng)用系統(tǒng)，統(tǒng)一用戶管理平臺(tái)采用Windows消息機(jī)制方式，自動(dòng)地向客戶端傳遞認(rèn)證參數(shù)，從而實(shí)現(xiàn)單點(diǎn)登錄。其具體認(rèn)證過(guò)程如下：
（1）在統(tǒng)一用戶管理平臺(tái)上啟用CS Agent，由管理員配置好CS Agent所需要的客戶端用戶認(rèn)證參數(shù)；
（2）用戶登錄統(tǒng)一用戶管理平臺(tái)；
（3）用戶點(diǎn)擊C/S應(yīng)用鏈接；
（4）CS Agent啟動(dòng)客戶端，并通過(guò)Windows消息機(jī)制向客戶端傳遞用戶認(rèn)證參數(shù)；
（5）客戶端接收到認(rèn)證參數(shù)，按照自身的認(rèn)證方式通過(guò)用戶驗(yàn)證，進(jìn)入系統(tǒng)；
（6）用戶使用客戶端而無(wú)需進(jìn)行其他操作。
應(yīng)用支撐體系
統(tǒng)一用戶管理平臺(tái)建設(shè)采用分級(jí)部署方式，可靈活支持多種部署形式的應(yīng)用系統(tǒng)，分別詳述如下：
集中部署應(yīng)用的認(rèn)證與單點(diǎn)登錄
對(duì)于集中部署、分級(jí)使用的應(yīng)用系統(tǒng)，由總部統(tǒng)一用戶管理平臺(tái)提供用戶管理、認(rèn)證與單點(diǎn)登錄服務(wù)，應(yīng)用系統(tǒng)為集團(tuán)公司用戶提供訪問(wèn)鏈接，該訪問(wèn)鏈接可集成在集團(tuán)公司門戶中。
總部統(tǒng)一用戶管理平臺(tái)具有全國(guó)用戶信息庫(kù)，因此，可以為集中部署方式的應(yīng)用系統(tǒng)提供支持。當(dāng)集團(tuán)公司用戶訪問(wèn)應(yīng)用時(shí)，認(rèn)證請(qǐng)求被發(fā)送到總部統(tǒng)一用戶管理平臺(tái)，由平臺(tái)校驗(yàn)用戶認(rèn)證憑證，校驗(yàn)成功則檢查用戶權(quán)限信息和應(yīng)用訪問(wèn)控制信息，根據(jù)上述信息單點(diǎn)登錄到應(yīng)用中。
分級(jí)部署應(yīng)用的認(rèn)證與單點(diǎn)登錄
對(duì)于分級(jí)中部署、分級(jí)使用的應(yīng)用系統(tǒng)，由總部和集團(tuán)公司統(tǒng)一用戶管理平臺(tái)分別提供用戶管理、認(rèn)證與單點(diǎn)登錄服務(wù)，應(yīng)用系統(tǒng)分別為總部和集團(tuán)公司用戶提供訪問(wèn)鏈接，該訪問(wèn)鏈接可分別集成在總部和集團(tuán)公司門戶中。
總部和集團(tuán)公司統(tǒng)一用戶管理平臺(tái)分別具有本公司范圍內(nèi)的用戶信息庫(kù)，因此，可以為分級(jí)部署方式的應(yīng)用系統(tǒng)提供支持。當(dāng)集團(tuán)公司用戶訪問(wèn)應(yīng)用時(shí)，認(rèn)證請(qǐng)求被發(fā)送到集團(tuán)公司統(tǒng)一用戶管理平臺(tái)，由平臺(tái)校驗(yàn)用戶認(rèn)證憑證，校驗(yàn)成功則檢查用戶權(quán)限信息和應(yīng)用訪問(wèn)控制信息，根據(jù)上述信息單點(diǎn)登錄到應(yīng)用中；當(dāng)總部用戶訪問(wèn)應(yīng)用時(shí)，認(rèn)證請(qǐng)求被發(fā)送到總部統(tǒng)一用戶管理平臺(tái)，由平臺(tái)校驗(yàn)用戶認(rèn)證憑證，校驗(yàn)成功則檢查用戶權(quán)限信息和應(yīng)用訪問(wèn)控制信息，根據(jù)上述信息單點(diǎn)登錄到應(yīng)用中。
直接使用總部統(tǒng)一用戶管理平臺(tái)的設(shè)計(jì)
對(duì)于部分人數(shù)較少的集團(tuán)公司，可以采用直接使用總部統(tǒng)一用戶管理平臺(tái)提供的用戶管理、認(rèn)證與單點(diǎn)登錄服務(wù)，即采用認(rèn)證托管模式建設(shè)本集團(tuán)公司統(tǒng)一用戶管理平臺(tái)，有效節(jié)省投資成本。
在認(rèn)證托管模式下，集團(tuán)公司在本地不存在物理上的統(tǒng)一用戶管理平臺(tái)，而是由總部統(tǒng)一用戶管理平臺(tái)在邏輯上形成一個(gè)只針對(duì)該集團(tuán)公司的統(tǒng)一用戶管理平臺(tái)，由該集團(tuán)公司管理員維護(hù)與管理。邏輯上的統(tǒng)一用戶管理平臺(tái)，具有和其他集團(tuán)公司所建的統(tǒng)一用戶管理平臺(tái)一致的功能，也可以進(jìn)行本集團(tuán)范圍內(nèi)的分級(jí)管理授權(quán)，功能獨(dú)立運(yùn)用，不受總部統(tǒng)一用戶管理平臺(tái)的影響。
授權(quán)管理體系
統(tǒng)一用戶管理平臺(tái)采用了分級(jí)部署、分級(jí)管理的實(shí)現(xiàn)方式，授權(quán)管理也相應(yīng)的采用了分級(jí)授權(quán)管理體系�？偛抗芾韱T負(fù)責(zé)管理總部應(yīng)用和全集團(tuán)應(yīng)用，管理總部角色信息，實(shí)現(xiàn)用戶基于角色或個(gè)人的授權(quán)。集團(tuán)公司管理員負(fù)責(zé)管理集團(tuán)公司應(yīng)用應(yīng)用，管理集團(tuán)公司角色信息，實(shí)現(xiàn)用戶基于角色或個(gè)人的授權(quán)。
對(duì)于每個(gè)公司的授權(quán)，采用了集中授權(quán)管理機(jī)制，能夠集中的對(duì)用戶與被管資源中的權(quán)限進(jìn)行分配。
把權(quán)限（資源）賦予用戶的過(guò)程中，應(yīng)該有完善的授權(quán)生命周期管理：授予權(quán)限、修改授權(quán)、解除授權(quán)。同時(shí)存在輔助管理功能，例如：查找、定位、報(bào)表等。
為了方便授權(quán)動(dòng)作，可以將一組相同或相近類型的權(quán)限（資源）定義為角色。同理，如果把一個(gè)角色授予一個(gè)用戶，即把角色包含的權(quán)限（資源）全部授予用戶。
現(xiàn)階段實(shí)現(xiàn)粗粒度實(shí)體級(jí)授權(quán)，也就是完成用戶到資源的訪問(wèn)層面。而應(yīng)用等內(nèi)部的授權(quán)由系統(tǒng)自身完成。
資源管理
資源管理是指對(duì)被管理資源進(jìn)行錄入、編輯、刪除、查詢、報(bào)表等一系列維護(hù)管理操作。為了方便管理員管理，資源按照多種類型進(jìn)行分類管理，提供給管理員的UI界面，進(jìn)行友好的管理維護(hù)與展現(xiàn)。
資源管理支持以下功能：
創(chuàng)建資源：管理員能夠通過(guò)文件導(dǎo)入或者人工添加的方式，增加新的資源信息；
修改資源：管理員能夠?qū)ζ涔芾矸秶鷥?nèi)的資源信息進(jìn)行編輯；
查詢資源：管理員能夠通過(guò)設(shè)定查詢條件（包括精確、模糊和組合等方式）對(duì)其管理范圍內(nèi)的資源信息進(jìn)行查詢；
刪除資源：管理員能夠在其管理范圍內(nèi)刪除某個(gè)或某些資源的信息；
角色管理
角色是一系列權(quán)限（資源）的集合。通過(guò)角色的定義，可以簡(jiǎn)化授權(quán)操作，降低用戶與權(quán)限之間的耦合程度，提高授權(quán)的靈活性。
授權(quán)管理
授權(quán)管理就是把相應(yīng)的權(quán)限（資源）或角色授予用戶或用戶組的一系列維護(hù)管理操作。對(duì)用戶授權(quán)后，用戶即擁有訪問(wèn)目標(biāo)資源的權(quán)限。
使用流程
單點(diǎn)登錄流程
單點(diǎn)登錄流程詳細(xì)如下：
（1）用戶在登錄后頁(yè)面中顯示的應(yīng)用程序訪問(wèn)列表中點(diǎn)擊需要訪問(wèn)的應(yīng)用程序鏈接；
（2）應(yīng)用系統(tǒng)接受用戶的訪問(wèn)請(qǐng)求，并將訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)到統(tǒng)一用戶管理平臺(tái)的單點(diǎn)登錄服務(wù)器；
（3）單點(diǎn)登錄服務(wù)器解析用戶訪問(wèn)請(qǐng)求信息，并校驗(yàn)用戶訪問(wèn)權(quán)限，向應(yīng)用系統(tǒng)返回用戶信息；
（4）應(yīng)用系統(tǒng)獲得單點(diǎn)登錄服務(wù)器信息，用戶登錄成功，正常使用應(yīng)用系統(tǒng)。
單點(diǎn)登錄安全性說(shuō)明
對(duì)于單點(diǎn)登錄系統(tǒng)來(lái)說(shuō)，由于各個(gè)應(yīng)用系統(tǒng)是根據(jù)從單點(diǎn)登錄系統(tǒng)獲得的票據(jù)來(lái)獲取登錄人員身份的，因此票據(jù)的安全性是單點(diǎn)登錄系統(tǒng)的關(guān)鍵要素。為了保證票據(jù)的安全，采取了以下措施：
 
票據(jù)生成的唯一性和時(shí)效性：為了保證用戶登錄應(yīng)用系統(tǒng)的安全性，由單點(diǎn)登錄系統(tǒng)生成票據(jù)作為用戶登錄應(yīng)用系統(tǒng)的憑據(jù)。生成的票據(jù)由單點(diǎn)登錄系統(tǒng)存儲(chǔ)，并記錄該票據(jù)是發(fā)給哪個(gè)用戶登錄哪個(gè)應(yīng)用系統(tǒng)的。票據(jù)是一串加密的隨機(jī)數(shù)，且該串隨機(jī)數(shù)一次有效并具有一定的時(shí)效性（一般為60秒）。當(dāng)用戶單點(diǎn)登錄成功時(shí)，該票據(jù)被刪除；當(dāng)超過(guò)票據(jù)有效時(shí)間時(shí)，該票據(jù)被刪除。通過(guò)這些措施可以阻止其他用戶利用中間人截獲的方式登錄應(yīng)用系統(tǒng)，也可以阻止其他應(yīng)用服務(wù)器模擬合法用戶登錄到其他應(yīng)用服務(wù)器。
票據(jù)驗(yàn)證還可以配合IP地址綁定等方式，通過(guò)增加客戶端可識(shí)別信息進(jìn)一步加強(qiáng)單點(diǎn)登錄的安全性。
 
票據(jù)傳輸過(guò)程安全性：在票據(jù)傳送過(guò)程中，由單點(diǎn)登錄系統(tǒng)對(duì)票據(jù)進(jìn)行簽名然后才發(fā)送到應(yīng)用系統(tǒng)。任何對(duì)認(rèn)證信息的修改都會(huì)導(dǎo)致簽名驗(yàn)證的失敗，從而阻止其他客戶端對(duì)認(rèn)證請(qǐng)求的偽造，也可以驗(yàn)證客戶端的唯一性。
在應(yīng)用系統(tǒng)接收到票據(jù)后，會(huì)將票據(jù)傳送到單點(diǎn)登錄系統(tǒng)進(jìn)行驗(yàn)證，傳送的過(guò)程中，將由單點(diǎn)登錄系統(tǒng)部署于業(yè)務(wù)系統(tǒng)上的組件對(duì)傳輸內(nèi)容進(jìn)行簽名，這樣就保證了目標(biāo)業(yè)務(wù)系統(tǒng)的不可抵賴性。
 
用戶信息的安全性：在驗(yàn)證票據(jù)后，單點(diǎn)登錄系統(tǒng)會(huì)將用戶的登錄信息傳送給業(yè)務(wù)系統(tǒng)，同時(shí)，此次傳輸?shù)挠脩粜畔⑹怯蓡吸c(diǎn)登錄系統(tǒng)進(jìn)行加密后傳輸，因此，在此傳輸過(guò)程中保證了用戶登錄信息的安全性。
 
關(guān)于時(shí)代億信
北京時(shí)代億信科技有限公司是一家致力于企業(yè)應(yīng)用整合及信息安全整體解決方案的專業(yè)技術(shù)服務(wù)公司。公司依托首都科技產(chǎn)業(yè)優(yōu)勢(shì)，專注于數(shù)字證書(shū)應(yīng)用、企業(yè)應(yīng)用安全、企業(yè)應(yīng)用整合及相關(guān)領(lǐng)域的軟件研發(fā)與技術(shù)服務(wù)，為客戶提供整體的應(yīng)用安全解決方案。憑借團(tuán)隊(duì)優(yōu)勢(shì)和綜合技術(shù)能力，公司相繼獨(dú)立完成了身份認(rèn)證、統(tǒng)一身份管理與訪問(wèn)控制、文檔安全保護(hù)、SSLVPN等一系列創(chuàng)新產(chǎn)品的研發(fā)和推廣，積累了豐厚的專業(yè)技術(shù)實(shí)力和成熟的客戶服務(wù)經(jīng)驗(yàn)，經(jīng)過(guò)不斷努力，已經(jīng)成為企業(yè)應(yīng)用安全及整合領(lǐng)域領(lǐng)先的解決方案提供商。