应用系统认证集成开发方案.docx
- 文档编号:23458922
- 上传时间:2023-05-17
- 格式:DOCX
- 页数:12
- 大小:770.65KB
应用系统认证集成开发方案.docx
《应用系统认证集成开发方案.docx》由会员分享,可在线阅读,更多相关《应用系统认证集成开发方案.docx(12页珍藏版)》请在冰豆网上搜索。
应用系统认证集成开发方案
应用系统认证集成开发要求
A.1目标要求
以人力资源管理信息系统(HR系统)的组织和人员基本信息为源头,统一各应用系统的组织和用户信息,并实现各应用系统组织和用户信息的自动获取,保证各应用系统用户信息准确、一致,避免权限异常造成的信息安全问题。
以此为基础,在院本部域环境下,建立统一的CA和Windows域认证模式,实现桌面与应用系统的单点登录,为用户提供方便、快捷的网络工作环境。
1)统一应用系统组织结构,应用系统定期通过本地AD服务器获取组织结构信息,并更新系统组织结构。
2)统一应用系统用户帐号,应用系统定期通过本地AD服务器获取人员账号信息与相关属性信息,并更新系统。
3)统一应用系统认证模式,应用系统具备包括CA认证、域认证、自主认证在内的三种认证模式,以及配置管理功能,管理员可以根据需要配置管理认证模式。
4)规范认证过程,应用系统按照规范的认证过程实现认证,实现单点登录与二次认证要求,其中单点登录是指:
从桌面到应用系统的单点登录以及多应用系统的单点登录。
5)自主授权管理,应用系统根据自身需求,建立授权管理模型,利用统一的用户帐号进行系统资源的授权分配与管理。
A.2组织结构与用户帐号数据获取
院本部AD服务器按照院人力资源部发布的组织单元及人员信息代码标准提供相应的组织结构与人员信息属性,如表1、表2所示。
表1.组织属性字段说明
序号
中文名称
说明
备注
1
组织单元大类
组织单元大类
1:
部门2:
虚拟部门0:
公司
2
组织单元类型
组织单元类型
0:
五院1:
院本级2:
部、厂、所
3:
处室4:
班组
3
组织单元名称
组织单元名称
4
组织单元代码
组织单元代码
参见《组织单元说明.xls》,不能重复
5
根组织单元
是否为根组织单元
6
上级组织单元代码
上级组织单元代码
参见《组织单元说明.xls》,不能重复
7
组织单元状态
组织单元状态
1:
有效0:
无效
表2.人员属性字段说明
序号
中文名称
说明
备注
1
员工状态
常数代码
0:
未入职1:
试用期
2:
正式3:
离职
4:
离退休5:
内退
7:
待岗
2
工号
员工在五院的工号
唯一标识
3
姓名
不允许有空格
4
用户名
一般为用户姓名的全拼(即LastName+FirstName),如果出现全拼重复,则在其后顺序添加数字
不允许重复
5
性别
常数代码
0:
未知1:
男
2:
女9:
未说明
6
FirstName
名的汉语拼音,首字母大写
7
LastName
姓氏的汉语拼音,首字母大写
8
用工形式
常数代码
0:
正式1:
外聘
还需要进一步补充
9
员工身份
常数代码
1:
干部2:
工人
3:
学生4:
干部
5:
国家公务员6:
现役军人
7:
无业人员9:
其它
10
涉密等级
常数代码:
EMPsecret
1:
绝密2:
机密
3:
秘密4:
无
11
电子邮件
工作电子邮件地址
12
单位
员工所在单位的代码或名称
13
部门
员工所在部门的代码或名称
注:
如果以上信息未覆盖应用系统所需的人员信息属性,可以协调补充。
各应用系统需建立与AD服务器的数据同步接口:
●定期读取本地域(AD服务器)组织结构信息与人员属性信息,并实现应用系统相关信息的自动刷新;
●通过域信任关系获取其他域组织结构与用户信息;
●如果应用系统需要保留院本部之外的组织和人员信息,需要单独设立组织单元进行管理,并具备管理界面自行维护,保持更新。
A.3认证模式与认证过程要求
身份认证所用到的凭证分为三种:
(1)CAKey所携带的证书,该证书默认为锁定状态,在正确输入了PIN码之后被解锁,证书内容可以被读取;
(2)域认证令牌,用户登录个人计算机时输入了正确的域账户名/密码之后,由域服务器生成;
(3)用户名/密码,各个应用系统内部用于登录认证的信息。
身份认证分为两个步骤:
(1)登录个人计算机时的桌面认证;
(2)登录应用系统时的应用系统认证。
单点登录应实现从桌面到应用系统的单点登录以及多应用系统的单点登录。
院本部应用系统认证模式包括CA证书认证、域认证和自身认证三种,各应用系统应按照三种模式下的认证过程进行开发,以满足单点登录要求。
●CA认证
用户使用身份认证卡(USBKey)登录桌面计算机,访问应用系统时,系统能够自动获取用户认证凭证进行认证,通过后用户可以直接进入信息系统;此模式下,用户应必须使用USBKey。
为实现CA模式的单点登录,应用系统可以有两种实现方式:
●方式一:
与CA系统直接进行认证集成,AVIDM与OA系统采用此方式;
●方式二:
与域进行认证集成,利用CA与域的集成,实现CA模式的单点登录,其他应用系统采用此方式。
1)AVIDM与OA系统
AVIDM与OA系统已经实现与CA系统的直接认证集成,采用方式一实现单点登录,认证过程(如图1所示)主要包括以下步骤:
●应用系统接收用户访问请求;
●应用系统检查用户是否通过域登录计算机。
如果否,提示用户插入身份认证卡(USBKey)以域身份登录计算机,并退出系统界面;
●如果用户通过域登录计算机,检查是否插入身份认证卡(USBKey),未插入,等待插入;
●身份认证卡(USBKey)已插入,检查CA证书凭证是否存在,不存在,调用CA系统接口程序,弹出“输入PIN码”提示,接受PIN码;
●CA证书凭证存在,验证是否通过认证,如果通过进入系统,如果否退出系统。
图1AVIDM/OA系统CA证书认证流程
2)其他应用系统
其他应用系统采用方式二实现单点登录,认证过程(如图2所示)主要包括以下步骤:
●应用系统接收用户访问请求;
●应用系统检查用户是否通过域登录计算机。
如果否,提示用户插入身份认证卡(USBKey)以域身份登录计算机,并退出系统界面;
●如果用户通过域登录计算机,检查是否插入身份认证卡(USBKey),未插入,提示用户插入身份认证卡(USBKey)以域身份登录计算机,并退出系统界面;
●身份认证卡(USBKey)已插入,检查域认证令牌是否通过认证,如果通过进入系统,否则退出系统。
图2其他应用系统CA证书认证流程
●域认证
用户使用域帐号登录桌面计算机,访问应用系统时,系统能够自动获取用户的域登录信息进行认证,通过后用户可以直接进入信息系统;此模式适用于域环境,不强制使用身份认证卡(USBKey);由于域认证为计算机桌面系统的登录方式,因此,应用系统与域认证的集成可以实现从桌面到应用系统的单点登录。
AVIDM/OA系统目前未实现与域的集成,所以不具备此认证模式。
其他应用系统认证过程如图3所示。
图3.域认证流程
●自身认证
考虑到安全因素,各应用系统还需保留一套自身认证功能,即各应用系统必须维护一套与用户名相对应的本地认证的密码,密码由各系统管理员自行设置与维护。
正常状况下此认证模式是禁用的。
当域认证/CA认证失效时,系统管理员可以配置开启此认证模式。
认证流程如图4。
图4.自身认证步骤
●认证模式管理要求
AVIDM与OA须具备CA认证与自主认证模式;其他在建、新建系统须具备以上三种认证模式,已建成系统通过改造也须具备三种认证模式。
基于以上认证模式,应用系统应具备管理功能,管理员可以根据应用情况选择配置认证模式,特别是在CA或域认证失效时,能尽快通过配置选择自主认证方式,保证系统正常应用。
●认证身份切换
桌面计算机和应用系统在不做任何绑定情况下是允许认证的身份切换。
但是,出于对保密安全的考虑,五院规定了个人计算机仅允许该计算机的所有者使用,因此基于域的桌面登录不存在“更改为其它用户”的情况。
在基于域登录的前提下,当应用系统被访问时,默认先从用户计算机上查找已知的认证凭证,如果改凭证所关联的用户是系统的合法用户,则直接进入系统。
如果没有查找到有效的认证凭证,则弹出认证窗口,等待用户手工输入认证信息。
为了解决部分应用系统需要以当前登录桌面的用户之外的其它用户身份登录系统的需求,各应用系统还必须开发二次认证功能,并在用户使用界面上提供“注销当前用户,以其它身份登录”的接口,临时允许再次的CA和/或域认证,具体的认证步骤如图5所示。
图5.二次认证步骤
二次认证可以是CA证书认证也可以是域认证,应用系统自身认证模式下已经支持二次认证。
●与门户集成认证模式
门户是综合展现企业应用与数据的信息管理平台,应用系统与门户认证集成的方式如下:
方式一:
针对用户应用集成需求,利用门户系统的开发接口,开发独立的门户集成部件控制展现模式,部件可以获取认证凭证与认证结果;利用SOA技术体系,在应用系统中开发SOA服务,根据认证结果,控制所有的业务逻辑、用户授权。
在门户系统中直接导入门户部件集成展现,实现单点登录。
如图6所示。
图6基于门户部件的集成方式
方式二:
利用门户系统身份认证信息映射技术,在门户系统数据库中保存了门户用户身份与应用系统用户身份信息的映射关系。
开发单点登录程序,接收客户端的认证请求后,根据映射表构造对应用系统的访问请求,自动重定向到应用系统,由系统接管用户的请求,予以响应,从而在门户中实现与系统单点登录集成。
如图7所示。
图7基于门户信息映射技术的集成方式
●授权管理
无论应用系统是否在系统内保存组织结构与用户信息,各应用系统均须根据自身的功能需求建立授权模型,权限分配应基于角色,角色应与用户属性信息相对应关联。
如果授权时需要用户特殊的属性信息,需要尽快提出以补充更新AD服务器数据。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 应用 系统 认证 集成 开发 方案