广州大学松田学院数字化校园建设方案
通过该技术方案的实施,将为数字化校园信息系统的建设,特别是数字化校园信息系统安全控制与管理打下良好的基础,利用管理信息系统集中身份库与门户系统的统一,从而为整个网络平台提供集中的管理、安全认证机制,从而保证各个平台的统一。
3.2.2 功能实现
3.2.2.1 系统架构
统一身份认证平台包含如下的组件:
1、数据库和Directory Server目录服务:用户数据库和目录服务器同时存储用户集中身份库,并且数据库的用户身份数据与目录服务器的用户身份数据保持同步,必要时可以通过简单的配置来选择数据库还是目录服务器;
2、IM Driver 实现异构系统的帐号整合;
3、基于中心认证服务CAS(Central Authentication Service )或代理架构的Access Manager(用于WEB SSO和WEB资源保护,也可作为用户认证的policy服务器);
4、面向师生的用户WEB服务。
3.2.2.2 目录服务
3.2.2.2.1 用户数据模型
用户数据模型的设计要求满足由于学校工作人员调动、调级、调职等,或者学校发生
第 36 页 共 86 页
广州大学松田学院数字化校园建设方案
了体制改革、组织机构变动,引起了户的身份和权限变动,,用户的身份和权限在各系统之间应该协调同步,减少应用系统的开发和维护成本,并且变更情况能够实时反映在认证系统中,从而在各个应用系统的认证中体现出来。
用户数据模型的设计要满足学校灵活的授权需求。 统一身份认证管理系统中的数据模型包括: ? 用户帐号:各部门用户的帐户信息; ? 资源:IM所管理的应用系统;
? 资源组:按一定顺序组织资源,IM将根据这一顺序在应用系统中创建和删除用户
信息;
? 组织:一个管理一组用户、资源和其它对象的逻辑容器;
? 角色:用户的工作角色,代表其职能性质,据此在资源中设置用户的属性; ? 管理帐户:对统一身份管理系统具有管理员的功能,可以进行分级管理; ? 能力:一些特殊的权利授予给管理员,使其可以执行哪些功能,如口令管理员,
只能管理用户的口令。 统一身份认证平台要求做到:
? 管理用户访问一个或多个资源的权限; ? 管理用户在这些资源上的帐户数据;
? 赋予一个或多个角色,设置他们访问各种资源的权利; ? 管理组织,决定用户帐户由谁和怎样被管理。 3.2.2.2.2 用户身份数据库LDAP
管理信息系统需要构建能够用于整个系统的目录服务,作为用户身份管理的基础架构。此处的目录变成了身份管理中心,其中集成并同步多个系统的身份信息和内容。如下图:
第 37 页 共 86 页
广州大学松田学院数字化校园建设方案
以Directory Server目录服务为基础,构建用户集中身份库,在此基础上利用身份管理技术,实现将原有采用“非目录化”的应用系统与现有用户集中身份库进行自动的双向交互,该方案可以在不改变现有系统的框架基础上进行实施,利用这样的方案实现身份库与现有应用系统的无缝结合。 3.2.2.2.3 统一身份库实名制管理
应实行全校统一身份库实名制管理,建议建立两套(即两棵目录树)目录系统,其中一套目录系统作为用户认证服务用于支持Policy服务器(即: Access Manager认证服务器),对用户进行认证并获取用户对内部访问资源的权限。这套目录的设计不同于集中身份库,它是平面设计的,为的是提高用户认证的效率,提高系统性能;另一套目录系统是构建整个管理信息系统的用户身份库。通过构建用户集中身份库,集成门户、教学、教务、科研、办公自动化、信息发布等应用中的用户,实现用户帐号在各系统间的实时同步。两套目录间的同步是使用实现无缝的对接。
3.2.2.3 组织及用户管理
组织一个学校的用户,从而使其管理更为有效?我们认为应该将按照学校本身的组织结构进行分层管理。统一身份认证平台中可以按照的组织结构进行用户管理的组织结构构建,组织包括了组织单元(也就是通常所说的部门)、区域(也就是通常所说的外地分支机构),以及可以实现管理权限相对独立的安全管理域。
管理创建学校多级组织机构、部门信息;管理系统用户信息、限制用户登录权限;机构管理员、机构负责人、办公室主任配置。
第 38 页 共 86 页
广州大学松田学院数字化校园建设方案
3.2.2.4 角色管理
统一身份认证平台中可以定义用户角色,用户角色直接决定了该用户可以享有哪些服务。用户和角色之间的关系是不断维护的,每种角色都有各自的权限定义,如果一个用户被赋予一个角色之后,那么这个用户就拥有了那个角色所定义的权限;当这个角色的权限定义更改之后,所有被赋予这个角色的用户也会自动拥有这个角色更改之后的权限。
这种功能可以大大地简化系统管理员对用户权限的管理工作。所有的权限定义都只需要针对数量非常有限的角色,而不必针对数目巨大的一般用户,从而显著地减少了系统管理人员对用户访问权限维护的工作量。
3.2.2.5 身份同步管理
统一身份同步管理系统将结合目录服务器统一地管理用户帐户的主数据。统一身份管理系统将通过组织、组、角色、用户等几层管理用户身份,另外通过委托管理员,实现分级管理。
统一身份管理系统管理用户在各个应用系统中的用户信息的对应关系,并根据这一关系管理用户在各个应用系统中的生命周期,如添加、删除、修改等。统一身份管理系统的身份同步工具可以自动发现某个应用系统中用户信息的变化而通过一定规则,保持和其它相应应用中用户信息同步。
统一的用户身份库就如同网络中的HUB,它一方面作为广州大学松田学院数字化校园信息系统统一身份资料库;另一方面还可负责与已有系统中的身份信息实现同步。
统一身份同步管理系统和各应用系统的用户身份集成通过用户管理系统(Identity Manager)提供的资源适配器实现。Identity Manager中提供了广泛的资源适配器,如关系型数据库表适配器、LDAP适配器等。由适配器实现集中地管理用户信息和各应用系统中用户信息的一对一或一对多的映射关系。然后根据映射关系同步用户信息。比如,某一业务系统添加新用户,系统将根据广州大学松田学院数字化校园信息系统对用户管理所定制的业务规则,在统一身份库中同步用户信息。同时,根据规则更新到其他相关子系统中。
也可以采用数据中心平台的数据交换功能,实现用户权威数据源到中央身份库的用户同步,从中央身份库到业务系统的数据同步。
第 39 页 共 86 页
广州大学松田学院数字化校园建设方案
3.2.2.6 认证方法及负载均衡
3.2.2.6.1 认证方法
广州大学松田学院的身份认证支持多种方法认证,支持用户名/口令、动态口令、802.1X、标准的X.509数字证书、RF卡(校园一卡通)和智能usb key等认证方式,同时支持第三方认证方式。能够根据业务的不同安全等级合理使用凭证。
统一身份认证的逻辑图如下:
根据学校的实际情况,支持以下的多种认证方式:
1、LDAP:门户系统利用外部的目录服务系统作为本身的认证机制,如果用户通过了外部目录服务的认证,门户系统则认为此用户认证通过,允许进入门户系统。这种认证的好处是充分利用已有的认证系统,投资较小。
2、RADIUS:门户系统利用外部的拨号认证系统作为本身的认证机制,如果用户通过了外部拨号认证系统的认证,门户系统则认为此用户认证通过,允许进入门户系统。这种认证的好处是充分利用已有的认证系统,投资较小。
3、UNIX:门户系统利用门户所安装UNIX环境的认证系统作为本身的认证机制,如果用户通过了UNIX认证系统的认证,门户系统则认为此用户认证通过,允许进入门户系统。这种认证的好处是充分利用已有的认证系统,投资较小。
第 40 页 共 86 页