1、随着教育信息化的普及,学校建立了或者即将建立多套系统,用来实现对行政管理、教学管理、人员管理等学校内部各方事务的信息化服务。但是,由于各个系统分管的部门不同,应用对象不同,对学校影响的紧迫程度不同,各个系统是分步建立的。各个系统的建立时间不同,系统的厂商也不同,从而导致各个系统之间大都相对独立存在,使用者需记忆不同的登录账号,登录不同系统进行操作。这无疑加大了用户日常使用过程中的不便性,降低了工作效率。而学校的系统管理员在对多套系统的用户管理时,无法进行统一的账号及权限管理,这也增加了系统管理人员的管理负担,造成用户管理的不规范,对于信息安全存在一定的安全隐患。统一身份认证系统就是解决上述问题
2、行之有效的工具。统一身份认证系统作为平台的安全认证及授权中心,主要为各应用系统提供集中的身份认证与授权服务。用户通过统一信息门户实现单点登录,提高信息化管理应用系统的安全性。通过指定相应的集中认证技术规范,提供统一的应用系统用户管理接口,最终实现学校(教育局)所有系统用户认证的集中统一管理,大幅简化用户登录过程,显著提高工作效率。同时也减轻系统管理员的用户管理工作,统一用户管理。系统提供一系列全面的认证、授权控制和管理工具,对数据的访问和使用进行全方位多层次的许可、控制和管理,并保护数据拥有者和使用者的数据安全。对于数据库中的同一数据不同用户根据其拥有的权限集的不同定义对该数据对象的操作能力,
3、包括创建、增加、修改元数据的索引属性,创建、增加、修改数据对象以及对数据注释信息进行操作等功能,从而实现对数据的安全保护,提升学校(教育局)的信息安全水平。单点登录统一认证、授权和单点登录系统是和门户系统紧密集成的一套基于策略的访问控制平台,采用开放的架构,支持可插接的用户认证模块,能够支持当前主流安全架构,可供 Java、.net、ASP、PHP 等开发平台调用实现统一认证。其基于 LDAP 目录服务器,实现用户的身份认证、应用资源的访问控制、策略管理与服务。提供包括传统的用户密码认证、数字证书认证、CA 证书认证、动态短信认证等多种认证手段,实现“一次鉴权(认证和授权) ”单点登录,提供基
4、于 Web 的多种应用程序,即通过浏览器实现对多个 B/S 架构应用的统一账户认证。实现了用户只需认证一次,就可以无须再次登录地访问其做授权可以访问的业务系统。身份管理建立基于目录服务的统一身份管理机制,建设全校(局)统一的用户身份库,实现用户信息的集中存储和管理,用户信息规范命名、统一存储,用户 ID 全校(局)唯一,并提供标准接口,实现不同应用系统的用户身份的同步,支持海量的基于 LDAP 目录服务器的用户数据存储和管理功能。认证管理用户认证采用集中统一方式,身份认证支持多种方法认证,支持用户名/口令、数字证书、CA 证书和短信动态口令等认证方式,能够根据业务的不同安全等级合理使用凭证。认
5、证的全过程数据加密。授权管理对于能集中到统一授权的系统,通过数据集成方法(Web Service)把用户的授权功能代码、读写权、数据范围、读写字段等权限管理数据集中到统一身份认证、权限管理平台上,可以集中授权。统一授权策略将基于统一资源访问控制,基于 SOA 架构的技术标准,对任何一个功能都按 WEB Service、URL 资源功能服务 、WEB 剪辑集成服务、 Iframe 集成服务 、RSS集成服务、API 集成服务 、Portlets 集成服务等提供服务,能够提供细粒度的资源访问控制,包括对网页、文件、数据范围、数据库字段级的访问控制。审计管理安全审计服务应能提供多层次的按照用户、时间
6、、终端等多种组合的全方位的数据操作审计,通过审计信息,管理员可以追踪对所有数据操作记录。保证系统的安全可靠(消除安全导致的系统性能瓶颈) ,在此基础上,建立应用的授权机制,建立统一用户管理、授权管理和身份认证,进行分级授权和集中身份认证,提高应用系统的安全性和用户使用的方便性,实现全部应用的单点登录,集中管理应用系统内的用户,实现每一个用户在访问各个应用系统时更加方便可靠。功能特点1用户的名称、属性等能够支持目录服务器 LDAP。2SSO 单点登录:用户只需登录一次就可访问其所有有权访问的系统。当用户持有的身份和密码通过统一认证平台的认证后,即可访问其有权限的所有应用系统,用户无需再输入原有系统的登录密码,后台的各应用系统上的用户名和密码可以不相同。3拥有相关完整的接口方案,接口通信方式采用 Web service 方法。4系统支持用户名、姓名、手机号、邮箱号、身份证号等多种方式登录。用户忘记密码,通过手机短信或邮箱自助找回密码。5接口开放:开放性支持不同开发语言、不同应用服务器平台实现的应用系统的认证集成方式,保证以后应用系统能方便纳入统一身份认证及授权中心。