1、文件编号:统一用户及权限管理平台解决方案及设计报告版本号 0.9拟制人 王应喜 日期 2006 年 6 月 审核人_ 日期_批准人_ 日期_统一用户及权限管理设计报告重庆南华中天信息技术有限公司 第 1 页 2019-3-3目录第一章 引言 .11.1 编写目的 .11.2 背景 .11.3 定义 .11.4 参考资料 .1第二章 统一权限管理解决方案 .22.1 需求分析 .22.2 系统架构 .22.3 系统技术路线 .4第三章 统一用户及授权管理系统设计 .43.1 组织机构管理 .43.2 用户管理 .43.3 应用系统管理、应用系统权限配置管理 .43.4 角色管理 .43.5 角色
2、权限分配 .43.6 用户权限(角色)分配 .43.7 用户登录日志管理功 .4第四章 对外接口设计 .54.1 概述 .54.2 接口详细描述 .54.2.1 获取用户完整信息 .54.2.2 获取用户拥有的功能模块的完整信息 .64.2.3 获取用户拥有的一级功能模块 .74.2.4 获取用户拥有的某一一级功能模块下的所有子功能模块 .84.2.5 获取用户拥有的某一末级功能模块的操作列表 .94.2.6 判断用户是否拥有的某一末级功能模块的某一操作权限 .104.2.7 获取某一功能模块的 ACL尚需进一步研究 .10统一用户及权限管理设计报告重庆南华中天信息技术有限公司 第 2 页 2
3、019-3-34.2.8 获取某一模块的数据级权限规划规则 尚需进一步研究 .11统一用户及权限管理解决方案重庆南华中天信息技术有限公司 第 1 页 共 38 页 2019-3-31 引言1.1 编写目的编写此文的目的从总体上描述企业统一用户及授权管理的解决方案以及统一用户及授权管理系统的功能设计、对外接口设计、数据库设计,并为下一阶段的详细设计以及系统编码、测试提供依据。本文档读者对象:用户、项目经理、系统分析员、软件文档管理员、质量管理人员,软件开发人员、软件测试人员等。此文档和附加参考资料作为系统进行设计与测试的基础性文档。1.2 背景随着信息化的发展,企业的应用不断的增加,而企业的应用
4、行使多样化,既有传统的C/S 模式应用,又有基于 internet 的 B/S 应用;既有基于 Windows 平台的.net 应用,又有基于 J2ee 架构的应用。企业在进行信息化建设过程中,在没有实现同以用户及授权管理之前,各个系统的用户独立,且用户授权不能集中管理,这给企业信息化的系统管理员和操作用户带来很多不便。鉴于此,本文提出基于统一用户及授权管理解决方案。1.3 定义列出本文件中用到的专门术语的定义和外文首字母组词的原词组。1、SSO:Single Sign On,单点登录1.4 参考资料统一用户及权限管理解决方案重庆南华中天信息技术有限公司 第 2 页 共 38 页 2019-3
5、-32 统一用户及权限管理平台解决方案2.1 需求分析统一用户权限管理主要解决的问题:1、 提供用户注册用户通过网上注册。2、 提供统一的用户管理和授权管理(应用程序)权限控制,只实现功能权限控制,而不实现数据(范围)权限控制,主要由于各个业务的数据访问规则很难归纳为标准的访问规则。而功能从权限的控制包括: 不做权限控制的功能,即不登陆就可操作,如:对外新闻、公告查询 公共功能:用户只要登陆就可操作的功能,如:内部新闻、内部公告查询 需权控制的功能:只有当用户拥有该功能的权限才能操作的功能3、 提供统一的用户及权限认证接口提供的统一的用户及权限认证接口同时满足 C/S 和 B/S 应用的用户认
6、证和权限控制的需求;且对于 B/S 应用,既满足基于 windows 平台的.net 应用,也满足与基于J2ee 架构的应用。4、 提供统一的数据访问接口统一用户及权限管理平台提供各类数据访问接口,如:获取操作人员的信息、获取机构信息、获取系统功能信息等。5、 系统具有较好的扩展性和灵活性组织机构、用户的属性要求可以进行适当的增加,以满足各个不同企业的统一权限管理的需要。统一权限管理,既满足与单个应用授权,也满足所有应用集中授权。统一权限管理既满足一个机构集中授权,也满足多机构逐级受权。在统一授权管理中,每个应用权限控制的粒度不一致,有的应用或模块控制得较粗,有的控制得较精确,如:对于数据的维
7、护只是一个“数据维护”权限粗的控制,统一用户及权限管理解决方案重庆南华中天信息技术有限公司 第 3 页 共 38 页 2019-3-3也可以控制到“数据新增” 、 “数据修改”和“数据删除”权限的精确控制上。/以下由沈伟补充6、 系统的单点登录(包括跨系统的应用调用)7、 权限模型配置(包括模块与部分可通用的数据权限;数据权限做到什么程度需思考) 。对于第 2 点中细节描述部分,则形成需建成独立服务模式,而非源程序加载模式。此需求需讨论。建议:对 SSO 项目进行继承。2.2 系统架构如图所示,统一用户及权限管理平台系统功能由四部分组成:组织机构管 理应用系统权限配置应用系统管 理用 户管 理
8、角 色管 理角色权限分 配用户权限角色分配统一用户、授权管理系统身份认证接口权限认证接口数据访问接口认证、服务组织机构信息、用户信息、应用系统信息、应用系统权限(功能) 配置信息、角色信息、角色(已分配) 权限信息、用户( 已分配) 权限信息、用户登录日志信息认证中心数据库用户登陆管 理OA 系统 。 。 。 。 。 。应急指挥系统 邮件系统应用系统认证、服务接口图:统一用户及权限管理平台架构用户注册系 统统一用户及权限管理解决方案重庆南华中天信息技术有限公司 第 4 页 共 38 页 2019-3-31、 用户注册系统用户注册系统提供用户网上注册。2、 统一用户及授权管理系用系统该系统主要由
9、应用系统的系统管人员使用。系统提供组织机构管理、用户管理、应用系统管理、应用系统权限(功能)配置管理、角色管理、角色权限分配、用户权限(角色)分配、用户登录管理功能。3、 认证与服务认证服务提供应用系统身份认证接口、权限认证接口、数据访问接口。应用系统同过调用身份认证接口实现用户身份认证;调用实现对用户权限认证;通过调用数据接口读取如用户信息、组织机构信息等数据。4、 认证中心数据库认证中心数数据库负责存储统一用户及权限管理的数据。2.2.1 统一用户、权限管理数据流程图从以上图中可知,在进行统一用户、授权管理时,一方面对认证中心的用户信息、权限分配数据进行维护,另一方面,根据需要,可以对门户
10、系统(如 Liferay Portal、 IBM Websphere Portal)中的相关的用户、权限分配信息进行同步更新,以及对邮件系统中的邮件帐户信息进行同步更新,以及对其它系统的认证信息进行同步更新。统一用户、授权管理(数据增、删、改维护)邮件系统邮件帐户信息门户认证信息认证中心数据库其它系统认证信息图:统一用户、权限管理数据流程图统一用户及权限管理解决方案重庆南华中天信息技术有限公司 第 5 页 共 38 页 2019-3-3通过以上方案,既满足了统一用户和授权管理,同时,又解决了门户系统、邮件系统等的用户管理、授权和认证问题。避开了去了解甚至重新构造门户系统、邮件系统等中的用户认证
11、、权限认证问题。2.2.2 新建应用、门户的身份认证、权限认证机制 门户权限的认证由门户服务器提供的认证服务完成。 新的应用系统建设,其用户、权限是基于统一的用户、权限管理平台建设,用户应用请求门户请求认证中心数据库门户认证信息门户单点登录认证中心统一用户信息数据库用户认证接口统一权限认证接口门户权限认证接口门户权限认证服务 统一用户权限管理认证服务统一用户及权限管理解决方案重庆南华中天信息技术有限公司 第 6 页 共 38 页 2019-3-3用户身份认证、权限认证由我们提供的统一用户权限管理的认证服务完成。2.2.3 老的应用系统的认证机制老的应用系统的用户认证、权限认证仍然由老系统完成。若老的应用系统整合到门户,首先通过门户认证,然后再通过老的系统的用户、权限认证。具体如下:2.2.4 关于邮件系统的用户认证问题邮件系统的用户认证仍然由邮件系统提供的认证服务完成,只是,若需要进行统邮件系统的账户时,在对认证中心的用户进行维护时,对邮件系统的帐户信息(主要是用户名用户从门户应用请求门户单点登录认证中心统一用户信息数据库统一用户认证接口原系统登录原系统认证信息原系统用户认证接口系统请求原系统权限认证接口认证中心与老系统认证映射据库图:老系统用户、权限认证机制
