设计理念
统一身份认证服务平台 ZFIAM 目的为建立统一的用户管理、身份配给和身份认证体系,实现全部应用的单点登录,实现用户身份和权限的动态同步,加强信息安全预警和审计,提高系统可用性、安全性和用户使用的方便性。
建设基于 PKI/CA 技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工账户统一,系统资源整合、应用数据共享和全面集中管控的核心目标。
统一认证平台以身份仓库为身份数据中心,协同实现多样的认证服务,复杂的授权管理以及机构信息管理;在满足业务视角数据处理同时,技术上支持多数据源,例如目录服务、关系式数据库以及第三方身份数据获取接口。平台服务供给与公共业务系统群以及专属业务系统群,及一套技术体系,支持多系统应用。
服务组件
统一认证服务
支持用户角色权限、组织权限等多种资源授权体系,支持横向、纵向数据授权模式。
统一权限管理
用户名口令认证、LDAP认证、PKI(USB-KEY)认证、二维码认证、OTP(动态口令)认证、互联网认证(QQ/微信)、第三方认证。
个人自助服务
密码安全服务,第三方登录绑定与维护,个人信息自助服务。
统一接入服务
在线集成指引在线接入文档、在线接入、在线调试等,服务(应用)单点集成,支持CAS CLIENT、OAUTH2.0、SAML2.0、RESTFUL API、FORMBASE等。
统一用户管理
用户类型管理,人员信息同步,账号全生命周期管理,角色管理,权限管理,组织管理,账号和密码安全策略。
安全监控与审计
用户管理行为审计、用户访问行为审计、审计报表。
核心业务
集中账号管理
完成各系统的账号信息整合,实现用户账号生命周期的集中统一管理,并建立与各应用系统的同步机制,简化用户及账号的管理复杂度,降低系统管理的安全风险。
集中认证管理
实现多业务系统的统一认证,支持数字证书、动态口令、静态口令等多种认证方式,为学校提供单点登录服务,用户只需要登录一次就可以访问所有相互信任的应用系统。
集中授权管理
根据学校安全策略,采用基于角色的访问控制技术,实现支持多应用系统的集中、灵活的访问控制和授权管理功能,提高管理效率,支持集中授权和分级授权机制。
集中审计管理
提供全方位的用户管理、证书管理、认证管理和授权管理的审计信息,支持应用系统、用户登录、管理操作等审计管理。
应用运行监控与预警
应用健康状态监控,将采用定时监控模式,可根据需要设置检查周期,定期对接入统一身份认证的应用进行健康检查,对服务器运行进行监控,及时监控服务内存、CPU、磁盘空间。当发现运行异常、单点异常时,通过短消息、邮件方式预警。
负载均衡、中间件集群实现
同时使用负载均衡和SESSION高可用的方案:用户前端,采用硬件负载均衡器;后端部署多台APPLICATION SERVER,并启用APPLICATION SERVER的集群SESSION功能,保证系统高并发性。
开放的接入平台
提供应用、服务接入的功能,完整的在线接入文档、接入方式多样化、接入测试等。
丰富的认证接入机制
基于身份认证联盟中心,支持跨域认证、移动认证、互联网认证;实现用户身份数据统一管理和配给,强化用户身份与授权管理,加强信息安全监控和审计,提高系统稳定性、可用性、安全性和易用性。