广州大学松田学院数字化校园建设方案
集成服务、API集成服务 、Portlets集成服务等提供服务,能够提供细粒度的资源访问控制,包括对网页、文件、数据范围、数据库字段级的访问控制。
也可以分级授权,统一身份认证与授权中心可以授权用户可以访问的应用系统,由应用系统来具体授权用户的详细权限,如下图所示:对不同应用系统授予不同用户的权限,并根据需要可以进行身份转换。
对学校来时说可以采用统一授权与分级授权相结合的方式来实施。
3.2.2.9 安全审计与日志管理
管理员对资源访问可以进行安全审计配置,能根据不同的审记要求,详尽地记录用户的操作日志,便于将来的日志审计和排查安全隐患,保障系统在出现问题时能够回溯跟踪,保证系统本身运行的状况也处于被审计的状态,提高了系统的可靠性。
第 46 页 共 86 页
广州大学松田学院数字化校园建设方案
操作日志表记载了操作人、操作时间、操作的表名、操作的记录号(记录唯一性)、操作人的IP地址、操作人的MAC地址、操作表的数据项、操作原值、操作后的新值。
管理员可以对该日志进行查询、统计和审计。
3.2.2.10 数据维护及备份恢复
实现组织机构、角色、用户及权限等数据的批量导入、导出。提供相应的综合查询功能,能够完成批量用户密码初始化。
采用认证服务器群实现认证高可用性的集群,而且每台服务器的目录服务器是独立并保持同步,即任何一台认证服务器的目录数据发生变化都会同步到其他相关认证服务器的目录服务器。
若有单点故障问题,马上可以利用其他认证服务器的数据进行用户数据和认证的恢复。
3.2.3 应用系统的统一身份实现
3.2.3.1 用户身份库的管理及同步实现
广州大学松田学院目前有VPN网络身份认证、邮件系统、多个个业务系统。通过用户身份权威数据源的建设,建立起全校的中央身份库,教师最好用教师职工号作为统一身份ID,其权威数据源在人事管理系统;学生最好用学号作为统一身份ID,其权威数据源在教务处教务系统或学工处的学工系统。同时可以与一卡通的身份识别作映射,存放在目
第 47 页 共 86 页
广州大学松田学院数字化校园建设方案
录服务器中(Directory Server),并只允许权威数据源管理系统对用户相关数据项的增加、更改、删除。
对用户身份可以灵活的进行分组,如:Teacher、student、manager等
通过统一身份管理系统的关系型数据库表适配器、LDAP适配器或数据中心平台的数据交换功能建立用户身份权威数据源与用户身份数据库、目录服务器关联,捕捉用户身份的变化并同步到中央身份库,并触发到相关的业务系统来保证用户身份同步。
目录服务器用户数据权威数据库用户身份数据库相关业务系统
用户身份通过中央身份库实现集中管理,对于用户涉及到其他相关应用系统的注册处理,可以通过用户注册申请,应用系统管理部门批准,统一身份认证中心批准后授权可以
第 48 页 共 86 页
广州大学松田学院数字化校园建设方案
访问相关应用系统,便实现了用户对相关应用系统的身份同步;也可以由统一身份认证与授权平台直接授权用户可以访问相关的应用系统来实现用户对相关应用系统的身份注册。
对于现有的业务系统要实现统一身份认证,除了上面实现统一身份外,还要实现统一认证,即现有的业务系统必须对原有的认证加以改造,调用学校统一的认证系统,若通过学校的认证,则可以跳过业务系统自己的认证(当然还保留业务系统自己的认证,也可以从原来系统进入,学校可选),即用户可以从学校统一信息门户认证后不需要在认证便可以进入对该用户有权限的业务系统(SSO)。
对于实现统一身份认证的密码问题,因为不同的业务系统对密码采用不同加密算法,而且业务系统一般也不愿意公开他们的加密算法,所以密码是无法实现同步的,所以要实现真正的统一身份认证,更改密码的地方只保留在统一信息门户中,各业务系统把更改密码的功能屏蔽掉。
3.2.3.2 应用系统认证集成
统一身份认证平台把要集成的应用系统进行配置,包括序号、系统名称、简称、访问地址等。
3.3 统一信息门户平台
3.3.1 概述
统一信息门户位于广州大学松田学院数字化校园体系结构中的最上层,实现数字化校园各应用系统与用户的交互服务过程,是数字化校园的信息集中展示的窗口,是各应用系
第 49 页 共 86 页
广州大学松田学院数字化校园建设方案
统中各种应用服务集成和部署的平台,它把分立各个业务系统的不同功能有效地组织起来,为各类用户提供一个统一的信息服务入口。广州大学松田学院数字化校园信息系统门户提供学校门户布局定义、内容定义、二级门户网站模板自定义;师生个性化WEB桌面页面风格、布局、内容自定义;师生在各业务系统集成后的功能等方面的定制工具,快速完成后台应用构件基于规划的展现,同时为师生提供个性化信息服务。
3.3.1.1 建设目标
广州大学松田学院统一信息门户平台的建设将要实现如下的目标: ? 提供符合通用国际标准的、可持续升级的门户框架;
? 提供丰富的集成手段用于完成对现有不同应用系统的界面集成; ? 提供统一的信息发布模式,规范信息服务、提高发布效益;
? 提供全校性信息发布流程,为全校通知、公告、大事提供标准的信息发布体制; ? 构建基于校园网异构应用系统的综合信息门户; ? 对学校的信息资源、应用系统进行管理和整合;
? 为学校的用户提供集成的、无缝的、安全的、个性化的资源访问; ? 为学校用户提供访问校园网信息资源的统一入口;
? 建立学校的站群管理系统,可以平滑整合学校二级门户网站,并能在统一的信息
门户平台上构建其他分级门户网站,提供多套门户网站模版。
? 开发接口。提供丰富的开发接口,校方技术人员可根据开发接口对门户进行方便
的二次开发,包括数据库、网页、RSS 网站、XML文档、JSP、Servlet服务、JDBC数据源、办公自动化系统等的门户集成等。
3.3.1.2 建设原则
? 安全性
信息门户集成了校园网内所有的信息资源和应用系统,这要求综合信息门户系统要能够为用户提供安全的信息资源和业务数据的获取,保障信息传输的安全可靠、保障信息不被非法用户窃取、保障用户的合法身份不被盗用。
第 50 页 共 86 页