国 网 统 一 身 份 管 理 系 统 单 点 登
录 和 身 份 同 步 接 入 规 范
项目名称 <国网统一身份管理系统>
文档类别 <接口规范>
文档编号 <>
版 本 <>
密 级 <>
二〇〇九年七月八日
第 2 页 共 17 页
目 录
一、国网统一身份管理系统介绍.......................................................................................................3
1.1
系统概述
...................................................................................................................................3
1.2
单点登录流程
...........................................................................................................................4
1.3
单点登录接入方式
...................................................................................................................5
二、国网应用系统单点登录集成.......................................................................................................6
2.1
国网应用系统集成分类
............................................................................................................6
2.2
应用系统权限管理模式
............................................................................................................7
2.3
单点登录集成要求
....................................................................................................................9
2.4
单点登录集成流程
.................................................................................................................12
三、身份同步规范.............................................................................................................................15
3.1 用户身份数据流...........................................................................................................................15
3.2 帐号管理流程...............................................................................................................................16
3.2.1
帐号创建流程
.......................................................................................................................16
3.2.2
帐号更新流程
.......................................................................................................................16
3.2.3
帐号删除
/
禁用流程
..............................................................................................................16
3.3 帐号的身份同步...........................................................................................................................17
3.4 数据库改造...................................................................................................................................17
第 3 页 共 17 页
一、国网统一身份管理系统介绍
1.1 系统概述
单点登录
目录系统
国网公司
总部
用户用户
用户
应用组
应用
角色组
角色
应用组
应用
角色组
角色
Sgcc
国网总部 省
本部 地市
部 处
处 科
用户 用户
部
处
服务
应用组
用户
中心
处
用户
应用
角色组
角色
国网公司
总部 山东
用户
用户 用户 用户
湖南
用户 用户
四川
用户 用户
……
同步用户
同步
同步
获取权限
管理信息
访问网关
单点登录认证
管理模块
认证目录
资源目录
(部门/应用权威数据源)
身份目录
(用户权威数据源)
应用系统认
证管理模块
应用系统
门户系统
由上图可见国家电网统一身份管理系统由单点登录和目录管理两部分构成。其中单点登
录采用的是 Novell 的单点登录产品 Access Manager,其单点登录通过 Access Manager 访问
网关、单点登录认证管理模块、认证目录三部分协作实现。统一身份管理系统中的目录包含
三类:认证目录、资源目录和身份目录。
认证目录是专用于 Novell Access Manager 做用户认证使用的目录,目录中包含所有登
录总部门户的用户。用户核心属性是用户名、密码以及单点登录到应用系统的帐号和密码。
资源目录是国网总部部门数据以及应用权限数据的权威数据源。在该目录下管理用户所
属的组织机构信息、各应用系统的信息、各应用系统的分组角色信息等。组织机构信息、应
用系统信息、分组角色信息等可供各应用系统认证管理模块做权限管理。资源目录中的用户
核心属性是用户名、OU。
身份目录是国网用户的权威数据源。所有国网总部的用户都从身份目录中开始创建、修
改、删除。该目录下的用户具有最全面的用户信息,它实时向认证目录和资源目录中同步用
户信息。
第 4 页 共 17 页
1.2 单点登录流程
对于 Novell Access Manager 产品实现的应用系统单点登录,其流程如下:
1、用户访问某个应用系统的单点登录 url;
2、Novell 访问网关截获该访问请求,展示统一的单点登录页面;
3、用户在统一的单点登录页面中输入统一的认证用户名和密码(即在认证目录中的用户名
和密码);
4、单点登录认证管理模块获取用户的录入信息,并与认证目录中的用户名和密码进行匹配
验证,如果验证失败则返回:用户登录失败;
5、验证通过后,单点登录认证管理模块将用户请求的应用系统 url 与内部的访问控制管理
策略匹配,如果发现用户排除在允许访问的策略之外则返回:用户对指定资源的访问遭到拒
绝;
6、用户验证通过后,同时也被内部策略允许访问指定的资源,则单点登录认证管理模块从
该用户的映射信息中提取出当前用户在指定应用系统的认证信息,提交给应用系统的认证管
理模块;
7、应用系统的认证管理模块验证接收到的用户映射信息,不通过则返回给单点登录认证管
理模块,然后由单点登录认证管理模块自动删除认证目录中记录的错误映射信息,并要求用
户填写正确的映射信息;
8、应用系统的认证管理模块验证用户映射信息通过,则向用户展示已登录信息,表示用户
通过统一的认证入口单点登录到指定的应用系统中;
9、如果用户在已登录的应用系统中链接访问其他应用系统,由于用户已经通过统一的认证
入口,因此用户对其他应用系统的访问将依照第 5 步开始单点登录到任意授权访问的应用系
统中。
由以上过程可知,单点登录过程要跨越两个认证过程:统一的认证入口和应用系统的认
证管理模块。在认证完成后,有两处可以控制用户的访问权限,分别是通过统一认证管理模
块和应用系统认证管理模块来控制,其中应用系统认证管理模块可以进一步使用分组和角色
的方式来管理用户的访问权限。统一认证管理模块只能在访问控制策略中根据认证目录中的
用户属性来控制哪些用户被允许或者被拒绝访问哪些 Web 资源(即应用系统 url 集合)。
第 5 页 共 17 页
1.3 单点登录接入方式
根据 Novell 单点登录产品的特性,目前支持两种方式的单点登录接入方式:FormFill 自
动填表方式和身份注入。这两种方式都可以实现在统一认证完毕后,把特定信息(用户 LDAP
属性信息或者与应用系统用户的映射信息)传递给应用系统自身的认证模块来实现单点登
录。
1.3.1 FormFill 自动填表
通过表单进行登录的应用系统在登录时均有一个登录页面,可以对该登录页面上需要提
交的表单项设置自动填表策略。
例如,在某个登录页面中,用于实现登录的表单的名称为:login,需要提交的用于表
示用户名的变量名为:username,用于表示用户密码的变量名为 password,那么填表策略就可
以设置如下:
该策略工作的方式:当用户访问到该页面时,如果该用户有权限访问该页面(由 AM
的保护资源设置决定),该策略首先确定该页面是否存在 login 这个表单,如果存在,就将
策略里面定义的 username,password 填写到 login 表单对应项中(由 AM 的
FormFill 策略决定),并模拟用户自动提交表单。
应用系统接收到登录页面提交的用户信息后,应用系统认证模块验证用户名和密码,通
过后返回登录成功的页面。也就是说,应用系统使用自身的认证模块来认证用户,AM 实现
单点登录的方式是模拟用户填写表单并提交。
统一认证系统只负责判断用户是否允许访问资源以及传递后台应用系统所需要的信息。
表单名称:login
提交的内容:
变量名称:username; 类型:text
变量名称:password; 类型:password
是否自动提交:是