随着学校应用的迅速发展,各种业务系统和用户数量在不断增加,网络规模也逐日扩大,访问控制和信息安全问题愈见突出,原有分散的“独立认证、独立授权、独立帐号管理”的模式已经不能满足高校目前及未来发展的要求;因此,本期数字化校园项目的建设过程中将构建一个完整统一、高效稳定、安全可靠■的集中身份认证和管理平台。
统一〒身份认证平台应能实现身份数据的统一存储、统一管理,实现全校各类应用的单点登陆,以及各类访问与操作安全审计。同时,还提供◇便利的工具,便于系统的维护和管理。平台建设内容主要包括以下方面:
1、目录服务
目录服务是统一身份认证平台□ 的基础。目录服务以层次结构,面向对象的数据库的方式集中管理用户信息,保证数据的一致性和完整性,为数字化校园各类应用提供用∩户信息的共享。
目录服务需定义符合●学校特点的身份数据规范,实现用户信息规范命名、统一集▲中存储,用户ID全局唯一;支持X.509协议,利用多主复制的方々式实现不同服务器之间的数据同步。系统能够提供细粒度的资源访问控制,访问控制列表(ACL)存储在每个目录对象中,并可以与数据一起被复制。平台要提供外部权威数据源向统一身份认→证平台同步身份数据的功能,并可灵活的设置数据同步策略。
2、统一身份管理
统一身份管理要充分考虑高卐校业务中的需求,包含※身份管理、身份信息同步、身份状态的转变。平台需提供对学生入校↙到离校、教师职∮位变更、以及多重身份多重职务的等》应用现状的身份转换的支持;同时对组织机构的拆分和合并提供良好的支」持,为SSO提供一个方便的、集中的身份数据管理平台。
平台不仅要◤提供创建用户、用户组,查询、修╳改用户及用户组的详细信息,还要ξ提供批量操作(导入、导出、迁移)工具,如采用用户数据EXCEL的导入导出,以满ω足学校大量用户维护的需求。
平台还要包括对管理员的管理、用户类型管理、日志管理以及配置管理和修改密码①等功能;用户登录应用系统后对系统资源的所有访问都记入日志,以便事后对用户操作☉进行审计,建立完善的事后追溯机制。
3、统一认证
通过平台提供的统一◆认证服务,满足学校业务系统多元化特点,提供跨服务器及业务应用的身份认证服务及↑代理,确保跨业务系统身份认证识别。将众多的校园「应用纳入到信息门户平台之中,实现〖单点登录。
4、单点登录服务
在完成集成『工作的应用系统之间实现SSO,支持同域内多个应用系统间的单点登录,具有开放的跨平台SSO实现技术。
5、资源访问安全审计∑
用户登录应用系统后对系统资源的访问按需记入日志╲,具备完善的日志管理功☆能,能详细记录对所有信息的操作和变化情况,以便事后对用户操〒作进行审计,建立完善的事后追溯机制。
