統(tǒng)一身份管理系統(tǒng)的建設(shè)分析范文
本站小編為你精心準(zhǔn)備了統(tǒng)一身份管理系統(tǒng)的建設(shè)分析參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
摘要:
該文以高職院校為立腳點,對高職院校的統(tǒng)一身份管理平臺進(jìn)行建設(shè)分析和技術(shù)探討。并從建設(shè)者的角度從基礎(chǔ)服務(wù)、集成接口、身份管理控制臺三個方面進(jìn)行了深入分析。從技術(shù)層面,對標(biāo)準(zhǔn)化、可擴展、集成化、開放性、安全性等方面進(jìn)行了深入闡述。文章最后提出了進(jìn)行統(tǒng)一身份認(rèn)證的必要性。
關(guān)鍵詞:
高職院校;統(tǒng)一身份管理;建設(shè)分析;技術(shù)探討
1概述
據(jù)不完全統(tǒng)計,在高職院校,絕大多數(shù)職能部門都自己獨立的資源系統(tǒng)或者平臺。教務(wù)處為了方便教學(xué)管理和教務(wù)管理,搭建了教務(wù)系統(tǒng)和排課系統(tǒng),為了方便開展畢業(yè)生論文答辯,搭建了畢業(yè)論文管理系統(tǒng),為了方便頂崗實訓(xùn),又搭建了頂崗實訓(xùn)系統(tǒng);學(xué)生工作處為了方便學(xué)生的管理和宿舍的檢查,搭建了學(xué)生管理平臺和宿舍管理平臺;科技處為了統(tǒng)計教師每年的課題和科研工作量,搭建了自己的科技量統(tǒng)計平臺;人事處為了隨時能夠了解教職工的學(xué)歷提升情況、師資建設(shè)情況,搭建了自己的人事管理系統(tǒng);有些高職院校,為迎接各種示范建設(shè)或者骨干建設(shè),還成立了示范建設(shè)辦公室,這個辦公室為了能夠快速收齊相關(guān)的資料,也會搭建自己的平臺。
每個職能部門,自己搭建的平臺都是相對獨立的,完全不共享,是孤立的,獨立存在的,數(shù)據(jù)不是共享的。這樣會導(dǎo)致很多不良的后果,比如:同一個高職院校的同一名教師,手里面可能有數(shù)十個由各個系統(tǒng)分配過來的賬戶和密碼,不便于管理;再比如,因為各職能部門的系統(tǒng)是完全獨立,數(shù)據(jù)沒有得到共享,如果教師在教務(wù)系統(tǒng)里面填制了一次個人信息,到人事系統(tǒng)、畢業(yè)系統(tǒng)、頂崗實訓(xùn)系統(tǒng)、科研系統(tǒng)、學(xué)工系統(tǒng)等其他系統(tǒng)里面又要重新填制一次甚至數(shù)十次的個人信息,看似為了提高工作效率的的系統(tǒng),到了真正實施起來的時候,卻變成了累贅、雞肋。再比如,各個職能部門的系統(tǒng)分別由不同的廠家開發(fā),研發(fā)的標(biāo)準(zhǔn)是完全不一樣的,在沒有形成統(tǒng)一的身份認(rèn)證之前,系統(tǒng)之間都是不通氣的,會形成大面積的資源浪費。為了解決以上這些繁瑣的問題,我們提出了針對高職院校的統(tǒng)一身份管理系統(tǒng)建設(shè)。
2建設(shè)分析
統(tǒng)一身份管理平臺,在設(shè)計之初,就應(yīng)該充分考慮高職院校信息化建設(shè)的應(yīng)用需求和未來發(fā)展,同時要降低系統(tǒng)的總體擁有成本。在系統(tǒng)設(shè)計、新系統(tǒng)開發(fā)和業(yè)務(wù)系統(tǒng)集成整個流程中,盡量減少身份管理平臺對其他應(yīng)用系統(tǒng)在技術(shù)上的依賴,確保身份管理平臺(或功能模塊)在未來發(fā)生變化(減少、增加和變更)時,能夠快速方便地進(jìn)行功能模塊組合或修改(二次開發(fā)),以適應(yīng)學(xué)校管理的新變化,將整個系統(tǒng)內(nèi)部在技術(shù)上的相互依賴性減至最低,同時,不影響其他應(yīng)用系統(tǒng)和整個信息化校園基礎(chǔ)平臺的運行。身份管理平臺,要求采用B/S結(jié)構(gòu),可運行于Unix、Linux等高安全性操作系統(tǒng)。開發(fā)技術(shù)應(yīng)遵循J2EE標(biāo)準(zhǔn)、組件技術(shù)及在數(shù)據(jù)交換上對XML的支持,整體架構(gòu)采用SOA架構(gòu)來實現(xiàn),各個信息管理系統(tǒng)通過一個基于總線的核心基礎(chǔ)平臺有機的集成到SOA架構(gòu)中。所有的服務(wù)都能通過標(biāo)準(zhǔn)的Web服務(wù)提供,采用SOAP協(xié)議傳輸。所有的服務(wù)通過基礎(chǔ)平臺實現(xiàn)統(tǒng)一的注冊、、注銷、管理等,所有的應(yīng)用系統(tǒng)之間的整合都是通過調(diào)用基礎(chǔ)平臺的服務(wù)來實現(xiàn)統(tǒng)一的數(shù)據(jù)交換。各個應(yīng)用系統(tǒng)要充分利用現(xiàn)有先進(jìn)技術(shù)手段,盡可能采用相同的體系結(jié)構(gòu)和運行平臺,基于多層架構(gòu)和組件技術(shù)進(jìn)行構(gòu)建,做到系統(tǒng)結(jié)構(gòu)層次清晰合理。身份管理平臺應(yīng)能實現(xiàn)身份數(shù)據(jù)的統(tǒng)一存儲、統(tǒng)一管理,實現(xiàn)高職院校各類應(yīng)用的單點登陸,以及各類訪問與操作安全審計。平臺建設(shè)主要包括基礎(chǔ)服務(wù)、集成接口、身份管理控制臺三個方面。
2.1基礎(chǔ)服務(wù)1)SSO認(rèn)證服務(wù);2)身份數(shù)據(jù)存儲;3)賬號數(shù)據(jù)同步服務(wù);4)賬號初始化密碼服務(wù);5)采取分級授權(quán)。
2.2集成接口1)集成接口;2)目錄服務(wù);3)集成方案:提供blackboard、sharepoint等第三方產(chǎn)品的集成認(rèn)證方案;4)與中國移動網(wǎng)絡(luò)或者中國聯(lián)通無線網(wǎng)認(rèn)證集成。提供解決方案,并在后期完成于網(wǎng)絡(luò)認(rèn)證系統(tǒng)的對接,使得無線認(rèn)證通過與統(tǒng)一身份認(rèn)證進(jìn)行身份數(shù)據(jù)對接,身份數(shù)據(jù)用戶名密碼通過統(tǒng)一身份認(rèn)證平臺同步到無線網(wǎng)認(rèn)證數(shù)據(jù)庫中,當(dāng)用戶修改個人密碼,身份認(rèn)證管理員增加賬號等操作的時候,身份數(shù)據(jù)通過身份認(rèn)證的對外同步接口同步到無線網(wǎng)中,實現(xiàn)統(tǒng)一認(rèn)證。能夠?qū)崿F(xiàn)認(rèn)證平臺與學(xué)校各應(yīng)用系統(tǒng)的無縫對接。
2.3身份管理控制臺1)負(fù)載均衡;2)身份自助服務(wù);3)圖形展示;4)帳號管理;5)認(rèn)證管理;6)授權(quán)管理;7)審計管理;8)監(jiān)控管理:監(jiān)控內(nèi)容包括總體狀態(tài)、會話狀態(tài)、進(jìn)程狀態(tài)、服務(wù)器狀態(tài)和監(jiān)控配置功能;9)系統(tǒng)管理:包括操作日志管理、管理員管理和配置管理功能;10)對外服務(wù):提供對外的賬號同步和對外密碼同步插件,如果需要對外實行同步操作,通過開發(fā)并注冊相關(guān)的插件即可完成,插件的注冊和啟動支持熱拔插。另外,還為REST身份管理接口提供安全訪問和授權(quán)的管理功能,從而保證了REST接口的安全。
3技術(shù)分析
在進(jìn)行統(tǒng)一身份管理平臺建設(shè)時,我們不能只是單純的去考慮系統(tǒng)的實用性或者價廉物美,更要從系統(tǒng)的長遠(yuǎn)入手,從系統(tǒng)本身的標(biāo)準(zhǔn)化、可集成性、可擴展性、開放性、安全性、高性能、可管理性、高效特性等方面,去考慮系統(tǒng)的后續(xù)維護(hù)性、持久性和先進(jìn)性。建設(shè)系統(tǒng)的目的,是讓系統(tǒng)能更好為學(xué)校服務(wù),而不能讓系統(tǒng)后期的建設(shè)和高額的維護(hù),限制了系統(tǒng)本身的發(fā)展。所以,在系統(tǒng)建設(shè)之初,規(guī)劃者就應(yīng)該把這些不必要的因素考慮進(jìn)去,做好技術(shù)分析,最好是能做好SWOT的全貌分析。本文著重對系統(tǒng)本身的技術(shù)層面進(jìn)行系統(tǒng)分析。
3.1標(biāo)準(zhǔn)化1)采用基于LDAP標(biāo)準(zhǔn)的目錄服務(wù)器存儲身份數(shù)據(jù),并提供身份認(rèn)證。2)平臺基于J2EE標(biāo)準(zhǔn)架構(gòu),要求在安全認(rèn)證方面基于JAAS技術(shù)。3)遵循CAS2.0協(xié)議規(guī)范。
3.2可集成性1)提供多種認(rèn)證接口的異構(gòu)支持,包括認(rèn)證和LDAP目錄服務(wù)接口。2)支持多種語言的接口方式,包括Java、.Net、PHP、C、C++等。3)單點登錄從實現(xiàn)技術(shù)上基于session、cookie、rewrite技術(shù)和采用portal等幾種方法,根據(jù)用戶的情況可以選用其中的任何一種。4)支持Unix、Linux、Windows多種平臺,完全支持跨平臺的部署。
3.3可擴展性1)身份、授權(quán)、認(rèn)證功能相對獨立,可以靈活的與第三方產(chǎn)品對接。2)可實現(xiàn)用戶名/口令認(rèn)證模式,支持動態(tài)口令認(rèn)證接口、CA證書認(rèn)證接口、智能卡認(rèn)證接口等認(rèn)證方式的平滑擴展。3)支持集群、熱備、負(fù)載均衡集成。4)支持同一個域內(nèi)的多個應(yīng)用系統(tǒng)間的單點登錄,具有開放的跨平臺SSO實現(xiàn)技術(shù)。
3.4開放性支持移動設(shè)備的無差別接入。包括通過移動設(shè)備訪問身份認(rèn)證系統(tǒng)。主流的移動端有三種系統(tǒng):蘋果系統(tǒng)、安卓系統(tǒng)、微軟系統(tǒng),針對這三種系統(tǒng),進(jìn)行重點開發(fā)。
3.5安全性1)系統(tǒng)需提供用戶密碼加密功能,支持?jǐn)U展MD5、SSHA、CRYPT、SHA、RC4等多種密碼加密算法,并可以快速擴展用戶屬性信息。2)對用戶的操作行為進(jìn)行日志記錄,以追溯用戶的行為過失,確保數(shù)據(jù)安全。3)用于單點登錄的cookie不能在子域中共享。4)賬號數(shù)據(jù)可進(jìn)行自動備份,確保數(shù)據(jù)不丟失。5)在服務(wù)器端設(shè)置相關(guān)檢測系統(tǒng),對客戶端的瀏覽端進(jìn)行木馬檢測,后門掃描。3.6高性能1)可為數(shù)百個應(yīng)用提供統(tǒng)一身份認(rèn)證服務(wù)的同時保證亞秒
級的認(rèn)證操作時間。2)支持20萬級的用戶容量;常用服務(wù)器配置下應(yīng)能,單機部署時支持最大1000人的并發(fā)用戶數(shù),雙機負(fù)載均衡部署時支持2000人的并發(fā)用戶數(shù)。3.7高效特性提供靈活的同步策略配置,并通過小工具將權(quán)威數(shù)據(jù)源中新建和變更的用戶身份數(shù)據(jù)同步至身份管理平臺。
3.8可管理性1)友好易用的界面,更符合國人的操作習(xí)慣。2)集中的身份數(shù)據(jù)管理,不僅提供用戶帳號的維護(hù),還能提供便捷的批量導(dǎo)入、批量遷移等功能。3)平臺應(yīng)提供相關(guān)服務(wù)器的軟硬件環(huán)境的監(jiān)視,發(fā)現(xiàn)異常自動發(fā)出告警,并通知責(zé)任人。4)平臺應(yīng)提供歷史事件的查詢和認(rèn)證會話的相關(guān)操作,建立完善的事后追溯機制。
4結(jié)束語
實現(xiàn)統(tǒng)一身份管理、單點登錄,這是高職院校進(jìn)行數(shù)字化校園建設(shè)、信息化校園建設(shè)、云平臺化建設(shè)的必經(jīng)之路,是為了學(xué)校更好發(fā)展、更快發(fā)展的良好鋪墊。統(tǒng)一身份的目的,是為了學(xué)校管理者、全體教師和學(xué)生能夠更方便的使用學(xué)校的數(shù)據(jù)資源,盤活學(xué)校的資產(chǎn),創(chuàng)建節(jié)約型數(shù)字化校園。但在真正的建設(shè)和實施的過程中,道路并不是那么平坦,每個學(xué)校的建設(shè)思路、建設(shè)技巧、建設(shè)出發(fā)點都可能完全不一樣,考慮的因素也就隨之發(fā)生變化。本文針對大部分高職院校針對統(tǒng)一身份認(rèn)證的通用做法,提出的通用的建設(shè)需求分析和技術(shù)分析,必然存在不足和瑕疵,這有待后期完善和補充。
參考文獻(xiàn):
[1]高大鵬.企業(yè)體系化統(tǒng)一身份管理平臺設(shè)計[J].信息安全與通信保密,2014(11):126-133.
[2]刑寶存.統(tǒng)一認(rèn)證與身份管理平臺建設(shè)方案[J].信息安全與通信保密,2015(10):52-55.
[3]艾飛.數(shù)字校園統(tǒng)一身份管理模型及關(guān)鍵技術(shù)[J].大連海事大學(xué)學(xué)報,2010(2):126-128.
[4]李石師.統(tǒng)一身份管理系統(tǒng)的設(shè)計與實現(xiàn)[J].中國新技術(shù)新產(chǎn)品,2015-08-10.
[5]劉冰張明揚,虞闖.基于目錄服務(wù)的數(shù)字化校園統(tǒng)一身份認(rèn)證[J].科技創(chuàng)新導(dǎo)報,2007-12-21.
[6]賈峰,王豐.淺析統(tǒng)一身份認(rèn)證系統(tǒng)的研究及實現(xiàn)[J].科技展望2014-12-10.
[7]陳培君.基于SOA的數(shù)字校園綜合信息服務(wù)平臺的研究與設(shè)計[D].電子科技大學(xué),2013.
[8]張智秀.基于URP理論的新一代數(shù)字化校園建設(shè)的研究[D].電子科技大學(xué),2012.
[9]王秋平,趙蘭庚,王新艷.高等院校數(shù)字化校園建設(shè)初探[J].河北工程技術(shù)高等專科學(xué)校學(xué)報,2013(6).
[10]邱鳴.加快數(shù)字校園建設(shè),提升學(xué)校核心競爭力[J].中國教育信息化,2008(5).
[11]石蘋.基于SOA的電力生產(chǎn)管理信息系統(tǒng)[D].電子科技大學(xué),2011.
作者:歐高林 單位:江蘇經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 信息技術(shù)學(xué)院
