统一身份认证平台建设方案(20190420).pdf

标题提及的“统一身份认证平台建设方案”是一个旨在提升学校信息化系统安全性和便捷性的项目，主要针对当前“智慧校园—数字化信息平台”的局限性进行改进。这个平台建设的必要性在于，现有平台在身份认证手段、后台管理、安全审计等方面存在不足，不能满足现代教育信息化的需求。 当前平台的身份认证手段过于单一，仅支持“账号+密码”的方式，而现代认证技术已经发展到包括强身份认证（如生物识别、物理认证、数字认证）和弱身份认证（如用户名和口令）。为了提升用户体验和安全性，新平台需要提供多种登录方式，如微信、QQ授权登录，校园APP授权登录等。这种多样化身份认证机制能够适应不同业务场景，确保用户信息的安全。 原平台缺乏可视化后台管理功能，这使得管理员在管理用户、权限分配等方面的工作效率较低。新的统一身份认证平台需要包含用户管理、分级授权管理等功能，以实现更高效的系统管理。 此外，安全审计功能的缺失也是原平台的一大弱点。新平台应包括用户登录记录查询，既方便用户自查，也便于管理员监控系统安全。安全审计是保障业务系统安全的重要组成部分，对于预防和追踪潜在的安全风险至关重要。 考虑到未来可能有几十个系统需要对接统一身份认证平台，由于升级成本与重新建设相差不大，决定重建平台以实现更全面的规划和定制化开发。新平台将涵盖身份认证、单点登录SSO、身份管理、授权管理、认证管理和安全审计管理等功能，形成一个综合的安全体系。 在平台架构方面，分为数据层、认证服务管理层、接口层、服务层和认证接入层。数据层存储用户身份数据，通过目录服务器和关系数据库实现，支持与业务系统用户数据库的同步。认证服务管理层负责管理认证服务，包括用户身份、认证、授权和安全审计。接口层提供认证接口和其他服务，服务层则提供认证、授权和目录服务。认证接入层允许相关业务系统接入认证服务。 用户身份管理是平台的核心部分，通过目录服务实现用户信息的集中存储和管理，用户ID全局唯一，支持LDAP目录服务器的大量用户数据存储。用户数据模型包括用户账户、资源、资源组、组织、角色和管理账户，以适应人员变动和组织结构变化时的身份和权限同步。构建的统一身份库将作为身份管理的基础架构，实现实名制管理，并集成和同步多个系统的身份信息。 这个统一身份认证平台建设方案旨在提升学校信息化水平，通过增强认证方式、优化管理功能和加强安全审计，为校园应用提供更加安全、便捷的服务，降低维护成本，并适应未来信息化发展的需求。