統一身份認證服务平台ZFIAM
統一身份認證服务平台(ZFIAM)目的为建立統一的用戶管理、身份配给和身份認證体系,实现全部应用的單點登錄,实现用戶身份和权限的动态同步,加强信息安全预警和审计,提高系統可用性、安全性和用戶使用的方便性。

總體技術框架

用戶

認證 Clients
Apache App
Java App
Google Apps

CAS 协议

CAS 协议

CAS 协议

認證 Server
Spring MVCWebflow
Ticketing
用戶認證及鉴权
ALDAP服務器
關系型數據庫
非關系型數據庫

系統應用框架

教職工
學生
校友
管理員
联盟用戶
其他人員
教務管理系統
人事管理系統
科研管理系統
資産管理系統
財務管理系統
學工管理系統
後勤管理系統
圖書館系統
網絡教學系統
OA系統
校友管理系統
一卡通系統
短信服務系統
郵件系統
……
教務管理系統
人事管理系統
科研管理系統
資産管理系統
財務管理系統
統一接入和認證
用戶和权限管理
個人自助服務
安全監控和審計
  • 統一認證
  • 單點登錄
  • 應用接入
  • 開放授權
  • 聯盟認證
  • 互聯網認證
  • 用戶信息管理
  • 角色權限管理
  • 分級審批管理
  • 身份數據配合
  • 賬號數據同步
  • 用戶統计与分析
  • 自助注冊
  • 信息更新
  • 密碼找回
  • 應用訪問申請
  • 個人信息查詢
  • 系統日志
  • 應用監控
  • 系統運行監控
  • 安全策略管理
  • 日志分析與審計
  • 統一接入和認證
    用戶和权限管理










    設計理念

    統一身份認證服务平台 ZFIAM 目的为建立統一的用戶管理、身份配给和身份認證体系,实现全部应用的單點登錄,实现用戶身份和权限的动态同步,加强信息安全预警和审计,提高系統可用性、安全性和用戶使用的方便性。

    建设基于 PKI/CA 技术为基础架构的統一身份認證服务平台,通过集中證书管理、集中账户管理、集中授權管理、集中認證管理和集中審計管理等应用模块实现所提出的员工账户統一,系統資源整合、应用数据共享和全面集中管控的核心目标。

    統一認證平台以身份仓库为身份数据中心,协同实现多样的認證服务,复杂的授权管理以及机构信息管理;在满足业务视角数据处理同时,技术上支持多数据源,例如目录服务、关系式数据库以及第三方身份数据获取接口。平台服务供给与公共业务系統群以及专属业务系統群,及一套技术体系,支持多系統应用。

    服務組件

    支持用戶角色权限、组织权限等多种資源授权体系,支持横向、纵向数据授权模式。

    用戶名口令認證、LDAP認證、PKI(USB-KEY)認證、二维码認證、OTP(动态口令)認證、互聯網認證(QQ/微信)、第三方認證。

    密碼安全服務,第三方登錄綁定與維護,個人信息自助服務。

    在线集成指引在线接入文档、在线接入、在线调试等,服务(应用)单点集成,支持CAS CLIENT、OAUTH2.0、SAML2.0、RESTFUL API、FORMBASE等。

    用戶类型管理,人员信息同步,账号全生命周期管理,角色管理,权限管理,组织管理,账号和密码安全策略。

    用戶管理行为审计、用戶访问行为审计、审计报表。

    核心業務

    集中賬號管理

    完成各系統的账号信息整合,实现用戶账号生命周期的集中統一管理,并建立与各应用系統的同步机制,简化用戶及账号的管理复杂度,降低系統管理的安全风险。

    集中認證管理

    实现多业务系統的統一認證,支持数字證书、动态口令、静态口令等多种認證方式,为學校提供單點登錄服务,用戶只需要登录一次就可以访问所有相互信任的应用系統。

    集中授權管理

    根据學校安全策略,采用基于角色的访问控制技术,实现支持多应用系統的集中、灵活的访问控制和授权管理功能,提高管理效率,支持集中授权和分级授权机制。

    集中審計管理

    提供全方位的用戶管理、證书管理、認證管理和授权管理的审计信息,支持应用系統、用戶登录、管理操作等审计管理。

    應用運行監控與預警

    应用健康状态监控,将采用定时监控模式,可根据需要设置检查周期,定期对接入統一身份認證的应用进行健康检查,对服务器运行进行监控,及时监控服务内存、CPU、磁盘空间。当发现运行异常、单点异常时,通过短消息、邮件方式预警。

    負載均衡、中間件集群實現

    同时使用负载均衡和SESSION高可用的方案:用戶前端,采用硬件负载均衡器;后端部署多台APPLICATION SERVER,并启用APPLICATION SERVER的集群SESSION功能,保證系統高并发性。

    開放的接入平台

    提供應用、服務接入的功能,完整的在線接入文檔、接入方式多樣化、接入測試等。

    丰富的認證接入机制

    基于身份認證联盟中心,支持跨域認證、移动認證、互聯網認證;实现用戶身份数据統一管理和配给,强化用戶身份与授权管理,加强信息安全監控和審計,提高系統稳定性、可用性、安全性和易用性。