1、统一身份认证平台一、 主要功能1. 统一身份识别;2. 要求开放性接口,提供源代码,扩展性强,便于后期与其他系统对接;3. 支持移动终端应用(兼容 IOS 系统、安卓系统;手机端、 PAD 端;)4. 教师基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现)5. 学生基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现)二、 系统说明2.1 单点登录:用户只需登录一次,即可通过单点登录系统(SSO )访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和 口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 2.2
2、即插即用:通过简单的配置,无须用户修改任何现有 B/S、即可使用。解决了当前其他 SSO 解决方案实施困难的难题。2.3 多样的身份认证机制:同时支持基于 PKI/CA 数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。2.4 基于角色访问控制:根据用户的角色和 URL 实现访问控制功能。基于 Web 界面管理:系统所有管理功能都通过 Web 方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使 用 HTTPS 安全地进行管理。三、 系统设计要求3.1 业务功能架构通过实施单点登录功能,使用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提
3、高信息系统的易用性、安全性、稳定性;在此 基础上进一步实现用户在异构系统(不同平台上建立不同应用服务器的业务系统) ,高速协同办公和企业知识管理功能。单点登录系统能够与统一权限管理系统实现无缝结合,签发合法用户的权限票据,从而能够使合法用户进入其权限范围内的各应用系统,并完成符合其权限的操作。单点登录系统同时可以采用基于数字证书的加密和数字签名技术,对用户实行集中统一的管理和身份认证,并作为各应用系统的统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用,不仅规避密码安全风险,还简化用户认证的相关应用操作。说明:CA 安全基础设施可以采用自建方式,也可以选择第三方 CA。 3
4、.2 具体包含以下主要功能模块: 身份认证中心 存储用户目录:完成对用户身份、角色等信息的统一管理; 授权和访问管理系统 :用户的授权、角色分配;访问策略的定制和管理;用户授权信息的自动同步; 用户访问的实时监控、安全审计; 身份认证服务:身份认证前置为应用系统提供安全认证服务接口,中转认证和访问请求;身份认证服务完成对用户身份的认证和角色的转换; 访问控制服务:应用系统插件从应用系统获取单点登录所需的用户信息; 用户单点登录过程中,生成访问业务系统的请求,对敏感信息加密签名; CA 中心及数字证书网上受理系统: 用户身份认证和单点登录过程中所需证书的签发;四、 技术要求4.1 技术原理基于数
5、字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。其原理如下:1) 每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保证和系统服务之间的安全通信。2) 用户登录中心后,根据用户提供的数字证书确认用户的身份。 3) 访问一个具体的信息资源时,系统服务用访问代理对应的数字证书,把用户的身份信息机密后以数字信封的形式传递给相应的信息资源服务器。 4) 信息资源服务器在接受到数字信封后,通过访问代理,进行解密验证,得到用户身份。根据用户身份,进行内
6、部权限的认证。4.2 统一身份认证4.2.1.用户认证统一身份管理及访问控制系统用户数据独立于各应用系统,对于数字证书的用户来说,用户证书的序列号平台中是唯一的,对于非证书用户来说,平台用户 ID(passport)是唯一的,由其作为平台用户的统一标识4.2.2 统一身份认证1)用户认证 统一身份管理及访问控制系统用户数据独立于各应用系统,对于数字证书的用户来说,用户证书的序列号平台中是唯一的,对于非证书用户来说,平台用户 ID(passport)是唯一的,由其作为平台用户的统一标识。2)系统提供两种应用系统接入方式,以快速实现单点登录: (1)反向代理(Reverse Proxy)方式;3)
7、应用系统无需开发、无需改动。对于不能作改动或没有原厂商配合的应用系统,可以使用该方式接入统一用户管理平台;4)反向代理技术:实现方式为松耦合,采用反向代理模块和单点登录(SSO )认证服务进行交互验证用户信息,完成应用系统单点登录。(5)Plug-in 方式Plug-in:实现方式为紧耦合,采用集成插件的方式与单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。4.3 技术要求兼容性跨系统(Windows/ linux 等) 、跨平台(PC 、移动端) 、跨技术语言(JAVA/.NET 等) 、跨数据库(SQL、Oracle )4.4 技术细节登录信息:唯一索引 ID(识别唯
8、一身份) ;账号(规则、字符、位数、长度控制) ,密码(密码规则、位数、长度、字符控制) ;姓名(实名制) ;验证码(开关控制,随机);身份证(验证身份证有效性,身份证可作为不唯一索引识别,后台可以开关) ;输入要求(大写状态提示、软键盘功能)五、 系统功能模块5.1 账号生成统一从登录系统添加平台用户的帐号和密码,可以注册,也可以从后台添加。会员登录系统后,系统分配标准的 session 值,把用户的登录信息写入 session 中,子系统按这个标准进行判断用户是否登录。5.2 注册管理用户邮箱激活(可注册) ,手机绑定,手机验证码注册(可注册) 。5.3 密码管理1) 登录记住密码;2)
9、忘记密码:邮箱找回,手机找回,问题提示(个人关键信息:姓名、身份证、学籍号、教工号等)找回;密码复位;3) 密码初始化(管理员可批量恢复用户默认密码) ;4) 默认密码管理(修改默认密码值)5.4 帐号管理:登录账户管理、添加、停用、注销、删除;1) 注销账号:对于不再使用的用户,管理员可以选将其注销,注销操作是不可恢复的。已注销的用户,在查询时选择状态为“注销”即可查询到。2) 账号停用:对于暂时不使用的用户,可以选将其停用,与注销操作不同的是,停用的用户是可以通过启用来恢复使用的。如果用户管理中创建或修改账号时,指定了账号的有效期,超过有效期后,该账号也会自动被停用。已停用的用户,在查询时
10、选择状态为“停用”即可查询到。3) 账号启用:要恢复停用的账号,只需在列表中将其检索出来后,选中,然后点击“启用”按钮,确认后即可。对于因为超过有效期而停用的账号,除了要将其状态改为启用外,还需要修改用户信息,为其重新指定有效的使用时间才能恢复使用。5.5 系统接入管理:接入外部系统的添加、编辑、删除;添加、停用、删除;5.5 身份验证:身份证、学号、教工号验证身份信息;5.6 权限管理:分角色对系统功能进行权限分配,也可对单人权限分配;角色管理自定义(学生、学生会、社团、班干部、科代表等;普通教师、年段长、教研组长、中层干部、三处一室、副校长、校长书记等)5.7 用户管理1) 用户初始化:导
11、入用户信息;2) 用户管理包括用户的增,删,改,密码管理,用户状态管理即账户注销,账户停用,账户启用。3) 管理员管理辖内人员信息,可以增加、删除和修改人员信息,可以重置人员密码。系统增加或者删除一个人员则相应的增加或者删除一个用户的账户,每新增一个人员账户,赋予该账户一个初始化密码。4) 用户检索:用户可以按部门查询人员信息,查询输入条件主要包括:姓名、学籍号、教师工号、身份证号、邮箱号、手机号和账号状态等5.8 系统管理1) 登录日志管理(记录所有用户登录登出系统情况)2) 系统检索(通过系统检索查找用户;用户名、手机、身份证号、学籍号、教师工号、邮箱)5.9 系统界面要求用户登录后界面,
12、选择自己要用的系统,进行权限申请;应用系统选择界面参考六、 学生基础数据库平台1) 定制化开发;2) 根据中华人民共和国教育行业标准 JY/T,教育管理基础代码标准、教育管理基础信息标准、普通中小学校管理信息标准、教育统计信息标准;结合学校需求进行设计开发;3) 数据导入,数据备份,学生可单独维护数据;4) 学生管理类代码子集 :安全教学形式代码 ;毕业去向代码 ;处分名称代码 ;残疾人类型代码;附加分类别代码;分流方向代码;攻读类型代码 高考科目代码;高校毕业去向代码;工作岗位性质代码;获得学历方式代码;获奖类型代码;户口迁出状况代码;就读方式代码;奖励方式代码;奖励资助资金来源代码;缴纳学
13、费状况代码;竞赛级别代码;家庭类别代码;奖学金类型代码;来华留学生经费来源代码;来华留学生类别代码;来华留学生收费类别代码;来华留学生重点关注类别代码;录取类别代码;培养层次代码;培养方式代码;勤工类别代码;入学方式代码;社会实践等级代码;社会实践类型代码;三助类别代码;体检项目类别代码;违纪类别代码;学籍异动类别代码;学籍异动原因代码;学生变动代码;学生当前状态代码;学生获奖类别代码;学生类别代码;学生来源代码;学生年龄代码;学生收费调整方式代码;学生体质达标代码;休退学原因代码;严重不良行为代码;中小学学生来源代码;七、 教师基础数据库平台教职工管理类代码子集;编制类别代码;编制异动代码;
14、辞去社会兼职或学术团体职务原因代码;导师类别代码;辅导员年龄代码;岗位类别代码;岗位职业代码;高校教职工源代码;工作年限代码;行业工种类别代码;教师变动代码;教师获奖类别代码;教师流动类别代码;教师年龄代码;教职工当前状态代码;教职工类别代码;教职工来源代码;离岗原因代码;离校离职原因代码;聘任情况代码;聘用性质代码;任课角色代码;任课课程类别代码;任课学段代码;任课状况代码;外籍专家来华渠道代码;外籍专家证类型代码;委员会任职代码;专家类别代码;职务类别代码;通用人员管理类代码子集;出国目的代码;港澳台侨外代码;国(境)外协作单位类型代码;汉语水平考试成绩代码;级别代码;奖励等级代码;来访代
15、表团成员身份代码;来访访问类别代码;普通话水平等级代码;是否标志代码;身份证件类型代码;社会单位性质代码;世界各洲名称代码;血型代码;科研管理类代码子集;出版社级别代码;成果获奖类别代码;成果类型代码;活动类型代码;会议举办形式代码;合作形式代码;鉴定结论代码;机构职能类型代码;计划完成情况代码;角色代码;刊物级别代码;论文报告形式代码;论著类别代码;社会经济效益代码;受让方类型代码;完成形式代码;学科门类(科技)代码;项目经费来源代码;项目类型代码;项目来源代码;项目执行状态代码;学术会议等级代码;学术交流类型代码;学术团体级别代码;协作单位类型代码;专利法律状态代码;专利类型代码;专利批准形式代码;八、 单位组织架构基础数据库平台1) 定制化开发;2) 根据中华人民共和国教育行业标准 JY/T,教育管理基础代码标准、教育管理基础信息标准、普通中小学校管理信息标准、教育统计信息标准;结合学校需求进行设计开发;3) 数据导入导出,备份,管理员维护;4) 学校管理类代码子集: 办学类型代码 单位办别代码; 单位类别代码 所在地城乡类型代码 所在地区经济属性代码 学校办别代码 学校变更代码 学校单位层次代码 学校(教育机构)举办者代码 学校性质代码5)人员基本数据子类表