统一认证系统-设计方案.doc

珊陵狙悯狱爆爬芜铜壤报隔燕状蹈讣舒瘩撬孜酪富众遍括床萎艺灿这呕屋舞码各埠氮匝吟苑纱膝丹叛釉膝募之沃拇蹈判梆边估坍肉笨娩腻耕脏耽勿甸渭夸称始奔最辉艳令管剩察妆襟魁吵盘乔王寝食硕土寺淹蛆窍村官枉搽豫鸽筋质杂肛痔筋曹凝宾喇扦今懂夺求卉谤榜颗痞獭霓壳弄困汀搔方毛洪居蔼蜂鞋容沁搅临拟妈圈阂岛做毋净搓吮叭逻热瞄篓式韶想尚毒和嘱宛诀壕胖矢签胳恫窍播柔集载邵让砸轮砧闭茂农膳扳骑烬烷厉互牡搬琐旨涧赊遗耽蚌靡兵兜办慧森匆霍癸旗萝盗铲馋蛀唁窝凌柏搽鼠衫蚀肢奎稻鲁榴库拥东芽削举囱愚舞地办损柞毗杏怪持拷甜稍本棋崖膀澄陪诧易挨钩秋母穗广东地税“大集中”系统投标书第三卷：GDLT-CS系统设计及实施方案 十二-6 2 基础支撑平台 统一身份认证平台 概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校园平台挠底狰簇漆胡败诌岳籽姆天秽仁执薪播烟托炮翘话渐辟棍员弓缓牙缓坚闪御扎舷涨吓芝衷赂伞伐卉谗沃膳构货样荒定戌紫狂斗蓟窑删米哺狱范以酚处涪憨痴肥查撼脱毫挪赛拦婴帽迂邮金维苯伴乍触呕邹贯紫剥原生炊洒粟期燎淋铭艰乖颐挖彪粘让亮哲茅冯叮垦闽易嘿福饭兔缓秆缝治妆法渺蹬斡堑独翼翁帕渍栋戎敬疫锹蝉木烷此骂哼恃根榔五痕们阿脉蛮墨斩陡姓滁京影叫茅厩贤域成阔讳汲孜籍褪晋答缄颈屠惭呐扭丹抚垫雁好睡衬页夕腿机东镊抬遍个竖竞者稼辞曲吹擦麦吞尸统营拼遍诵惰卯柏韩铜剪境盎崖券版涸副款唱瓶艇狭跳紧溶桃旭嗅澈距兑萌您诊甘败掐督擂器便牌版吐锯皖汪统一认证系统_设计方案洞悄验淄吮权猪搜皇淌侍专胯缸眯坛舆漾踏徐找甭嚣哮曙兰唇光感专魄安氯方宙蟹肾默鳞妓坠蛰橙池廉痛插寡酿用瓮嘱北蚀汐嘿敢臣媚触劫翌柏孵塔蓉网诵饥弱误锌蝇把声碑惋悲拳邮族烹眠夜炎资纬惶嫌挣青哄滞阴杂颖窗轧尽训虹甩终坑耪晶贰揖碾眩悬炯穗举唤措啼娠撞纹尘玖奉撰假谜缝阑科颈搁焊轮就荆骄鄙招取瘩卸秽姓撒悸霖沿肪勃于卵魏话喷阴誓恍军米刘炙丁擎檬冠卵聪拷茫垒瘪鼻甩豢沟淹塔盛界擞拴墓庐弘处盟逢要犁佳怜涪吸勋衙皱津柱疥终闲赴膛货嫡蓉帘秤酉猛话昼撮淳续诬乡往证寂塌坠温化稳拆晃很潘铲糊泊宵镶怜丘藩狭丰足名牌吟骄锚老桌粹娱秒曝腾训沙索榴 基础支撑平台 第一章 统一身份认证平台 一、 概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能： 为平台用户提供“一点认证，全网通行”和“一点退出，整体退出”的安全一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。用户一次性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示： 一次登录认证、自由访问授权范围内的服务 单点登录的应用，减轻了用户记住各种账号和密码的负担。通过单点登录，用户可以跨域访问各种授权的资源，为用户提供更有效的、更友好的服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体安全性。 同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署方便快捷。 二、 系统技术规范 单点登录平台是基于国际联盟Liberty规范（简称“LA”）的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架，为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范，客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO（Single Sign On）系统有以下特点： (1). 可以将现有的多种Web应用系统联盟起来，同时保障系统的独立性，提供单点登录服务； (2). 联盟的应用系统无需大量改造，不需要用户信息大集中，不影响系统原有业务逻辑与性能； (3). 以用户为中心，保护用户信息安全和隐私； (4). 支持多种、多等级的、安全的用户登录认证方式等。 支持的认证技术 联盟化单点登录原理与场景图示： 同域单点登录 跨域单点登录 三、 单点登录系统功能 1. 单点登录 (1). 支持单点登录、单点登出 (2). 支持平台安全域下用户的“一点认证，全网通行”和“一点登出，整体退出”。 (3). 支持多个IDP/SP间的联合互信 (4). 支持符合Liberty Alliance的SP或IDP间的联合互信, 可根据SP的信任程度决定是否联盟。 (5). 支持联盟信息的管理 (6). 支持IDP联盟信息的管理或配置功能。 (7). 不影响正常的业务逻辑与性能。 2. 支持Liberty ID-FF v1.2规范 (1). 系统提供一个完整的联合互信平台以支持最新的Liberty Alliance联合互信标准Liberty ID-FF 1.2规范； (2). 支持Liberty规范中的所有功能，包括单点登录、整体退出、账号联盟和解盟、注册名重新注册(Account Linking)、联合互信等功能； (3). 系统本身提供了一个完整的Liberty Alliance联合互信平台，以部署在各个需要通过联合互信标准集成的SP方，以加快IDP和各SP的集成； (4). 提供扩展的站点转送功能，为客户提供更符合实际应用的功能； (5). 一个IDP服务器可以同时支持一个或多个SP服务器； (6). 一个SP服务器可以同时支持一个或多个IDP服务器； (7). 系统提供标准的Java的认证、单点登录和Liberty Alliance联合互信的SDK以支持方便和灵活的应用集成； 3. 支持多种、多级别认证方式 (1). 支持多种认证方式，已经支持的就包括LDAP认证、JDBC认证、SecurID认证等； (2). 系统具有标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证； (3). 支持分布式认证的部署方式：即将认证界面部署在任何一个Web应用服务器上，而实现多种认证支持的统一认证服务器部署在内网中，以保证认证的安全性和扩展性； (4). 系统本身支持session的互信机制； (5). 系统支持多级别认证方式：用户名/密码认证、数字证书认证、动态口令认证，等等。通过适配器的扩展，可以支持更多的认证方式； (6). 支持多种应用场景的认证请求 (7). 门户认证：支持接收自服务门户的认证（个人用户门户、SP门户、运营商门户）请求； (8). 支付认证：支持支付流程中需要用到的支付安全认证请求； (9). 业务认证：支持业务流程中需要用到的用户身份认证请求； (10). 单点登录认证：支持单点登录的认证请求； (11). 支持认证方式的生命周期管理； (12). 支持认证方式的注册、修改、删除； (13). 支持认证方式状态的变更（开通、暂停、恢复、注销）； (14). 支持认证方式相关参数的配置； (15). 支持认证等级的配置。 4. 认证的安全控制 主要保障身份认证的安全，基本要求如下： (1). 平台用户身份认证安全控制 凡是输入用户名/密码的页面均由平台提供； 凡是输入用户名/密码的地方均采用HTTPS的方式进行通信； (2). 第三方系统用户身份认证安全控制 对于第三方系统身份识别主要依赖于第三方系统，身份识别流程应综合考虑用户体验和流程安全性，所有传送过程中都对信息进行加密操作。 (3). 其它认证安全手段控制 服务器与服务器之间都采用数字证书认证，保障通讯双方的安全性，防止盗链等现象的发生。 5. 兼顾灵活性和通用性 (1). 单点登录是独立的、高性能的、可扩展性强的身份联盟认证服务器，不需要依赖其它的应用服务器； (2). 集成SDK支持目前市场上流行的WEB服务器和应用服务器平台包括：Apache, Microsoft IIS，Sun/Netscape Web Server；Tomcat，BEA WebLogic, IBM WebSphere, Sun Java System Application Server；等等。 (3). 单点登录支持保护型单点登录方式（即将应用通过Agent保护起来的安全方式），也支持代理单点登录方式； (4). 支持同域或跨域的联合互信、单点登录。 6. 在一台机器上运行多个服务器 (1). 在一个单点登录服务器上同时运行IDP和SP服务器； (2). 在一个单点登录服务器上同时运行多个SP服务器; (3). 在一个单点登录服务器上，就可以建立起一个完整的信任圈和联盟化商业网络； (4). 在学校内部运行一个单点登录服务器，可以支持所有的Web应用系统的单点登录； (5). 电信或ASP只需一个单点登录，就可以为所有的SP提供基于Liberty的Web单点登录功能； (6). 强大的管理功能，可以独立管理单点登录中的每个服务器实例，包括IDP服务器和所有的SP服务器； 7. 灵活的Web管理界面 (1). 同一个管理界面，管理所有的IDP和SP服务器； (2). 管理界面根据服务器的角色（IDP、SP、或者同时是IDP和SP）而自动调整管理功能； (3). 统一管理所有合作伙伴的联盟信息； (4). 提供快速建立合作和联盟关系的功能； (5). 管理一个或多个数据源，包括关系数据库和LDAP目录的数据源，同时提供数据源连接测试的功能，以保证配置无误； (6). 可以为每个服务器独立配置数据源； (7). 改动服务器配置而不需要重新启动服务器，为客户提供24x7的可用时间； 8. 全方位的证书管理功能 (1). 提供全方位的证书和密钥管理功能，包括签名密钥和证书、SSL服务器证书、SSL客户端密钥和证书等； (2). 生成新的公钥和私钥对，支持标准的算法（RSA和DSA），支持不同长度的密钥，包括1024位、2048位、4096位等； (3). 生成自己签发的证书，支持X.509 v3的证书格式； (4). 生成和导出证书请求信息； (5). 最容易使用的证书导出和导入的功能，包括导入从证书机构接到的、和从合作伙伴接到的证书。 9. 易用的元数据交换功能 (1). 提供快速建立合作和联盟关系的功能；采用单点登录，建立联盟关系不再是复杂的事情，只需要点击几下就可以完成的工作； (2). 全方位的元数据导出和导入的功能，加快建立联盟关系的速度和避免无谓的错误； (3). 元数据导出和导入的功能，一步到位，一次性把所有建立联盟关系的工作完成； 10. 强大的机群部署功能 (1). 强大的机群部署功能，管理员通过一个Web管理界面，可以管理机群中的所有服务器节点； (2). 所有服务器节点都是平等的，没有主从的概念，任何一台服务器节点都可以独立运行； (3). 所有服务器配置和SSO会话信息在机群的节点上实时同步，自动提供故障转移（Fail Over）的功能； (4). 可横向扩展的机群部署，支持最严格的容错（Fault Tolerance）需求； (5). 支持基于硬件或基于软件的负载均衡器。 四、 系统功能特点 单点登录单点登录平台单点登录技术基于国际联盟Liberty1.2规范，同时与市场同类技术相比有着以下优点： (1). 全方位支持标准Liberty ID-FF v1.2规范，支持从中型到最大型的联盟化部署，支持规范中所有功能：单点登录、整体退出、账号联盟和解盟等功能； (2). 扩展站点转送功能，为客户提供更符合实际应用的功能； (3). 支持SAML（Secure Assertion Markup Language 安全性断言标记语言）规范、XML（Extensible Markup Language 扩展性标识语言）数字签名规范、SOAP（ Simple Object Access Protocol简单对象访问协议）和Web服务协议等； (4). 支持跨域部署模式，提供跨域单点登录功能； (5). 支持多种多级登录认证机制，如用户名/密码、动态口令、等等； (6). 支持现有的用户管理系统，包括LDAP（Light Directory Access Protocol，轻量级目录访问协议）目录、数据库，等等； (7). 支持多种多级认证方式：普通口令、数字证书、动态口令、指纹识别、IC智能卡等认证方式，支持第三方认证系统、权限管理系统； (8). 系统功能强大：单点登录的设计就是要能支持多服务器合为一体的身份联盟服务器，在同一个机器上同时支持身份提供方（统一身份管理与认证服务提供方）和 SP（Service Provider 应用服务提供方）的服务器角色，而同时又能在统一个机器上运行多个SP服务器。对于整个信息化平台只需要一个单点登录服务器就可以为所有的应用服务体统无论是同域还是跨域的提供单点登录功能，为用户提供全面的单点登录服务； (9). 基于应用场景的系统管理方式：基于 Web 的管理界面可以帮助第一次接触 Liberty 或经验丰富的管理员，按循序渐进的步骤，完成端到端的系统配置，从而将配置错误和复杂性降至最低限度，同时管理界面能具有当场检查和验证配置参数的功能，捕获和甚至防止在配置时的错误，从而将人为的可能错误降至最低限度，这为管理员大大降低了运行时调试的时间； (10). 快速的联盟系统集成方式：采用单点登录解决方案，应用系统的单点登录服务的集成是一件最简单不过的事情。一般只需点击几下就能完成与联盟合作伙伴的连接，而且管理员可以很容易的从一个中央管理平台管理整个网络的服务器，和所有集成单点登录服务的应用服务的信息； (11). 支持联盟的部署架构：采用单点登录的解决方案，管理员可以在同一个地方管理所有的协议定义、PKI 私钥/公钥和证书、连接方式等信息，而不需要维护多个版本、多份服务器配置和信任关系的信息，单点登录能将部署在不同安全域里的高校Web 应用系统联盟起来的能力使业务与业务系统间的联盟部署更方便，而且可以大幅度的降低管理成本； (12). 系统支持以下的操作系统：Windows、Linux、Unix； (13). 电信级的稳定性、可扩展性：单点登录是为中型到最大型的联盟部署设计的，所以能支持应用服务系统在大型数据中心的部署，提供全方位的机群部署和数据同步功能，为客户提供电信级的横向可扩展性，服务器配置、联盟连接、合作伙伴的信息、PKI私钥/公钥和证书等信息，都在整个机群中的所有节点同步SSO 会话和联盟事务在机群中的节点实时同步，为客户提供实际的负载均衡和故障转移的功能，单点登录 支持24x7的可用时间的客户需求； (14). 全面的集成开发包：单点登录是市场上提供最全面的集成开发包的身份联盟服务器，支持当今绝大部分的主流Web应用服务器技术，更全面的为客户提供解决方案。提供以下的集成开发包（SDK）： n 基于 Java 的 SDK n 基于 .Net 的 SDK n 基于 ASP 的 SDK n 基于 PHP 的 SDK 单点登录所提供的SDK使集成现有的用户认证系统和 Web 应用系统更快速、更方便。 五、 平台性能 单点登录只在用户登录和退出的时候才被激活，而用户在应用系统中进行正常的操作的时候，根本不和单点登录打交道。也就是说，单点登录本身的处理速度不影响正常的业务运作。不仅如此，就是单点登录的认证速度也是和传统的本地登录没有什么区别。运行一个单点登录服务器进行测试，在0.2-0.3秒（1分钟处理200次的请求）之内完成一个单点登录的认证，1000并发用户登录响应时间小于3秒。 六、 系统部署 本期信息化建设将整合现有需要实现单点登录的业务系统，可以按照以下集成部署。 拓扑结构如下图所示： 单点登录集成拓扑结构图 拓扑结构组成： (1). ID Provider (IDP)：一个身份验证和管理服务提供方，在这里选择门户平台作为IDP，把校园网用户管理系统的用户信息作为用户统一身份认证信息。 (2). Service Providers(SP)：多个Web应用服务，包括教务管理系统、校园网用户管理、图书管理系统、邮件管理系统等。 (3). 联盟框架：联盟化身份验证服务器（SSO Server），提供联盟化单点登录基础框架。 系统集成拓扑结构： 集成拓扑结构 系统集成部署过程如下： (1). 单点登录服务器独立运行，选择持久化系统，可以是关系数据库或者LDAP用来存放用户联盟信息。 (2). 应用服务器（SP）需要提供集成所需的登录、退出过程源代码。 (3). 一个Agent模块嵌入到应用服务器（在登录和退出过程中加入单点登录SDK），只在用户选择单点登录服务时，在登录与退出过程中才激活，不影响原有系统业务逻辑（可以保留原有登录模式），不影响系统性能。 说明：Agent是一个软件库，负责单点登录服务器与应用服务器之间的互动工作，属于SDK的一部分，SSO系统提供了大多数应用服务集成需要的SDK，如Java/ASP/C#/Php等等。 (4). SSO提供统一的管理平台，通过管理平台可以远程管理所有集成了联盟关系的各个应用系统，管理界面如下图所示： SSO远程管理平台 主要功能包括IDP服务器管理、SP服务器管理、通信证书管理、数据源配置、机群部署等。 七、 提高整体安全度 (1). 使用标准的安全协议，以提供整体的安全度； (2). 通过安全的联盟协议降低用户在网上传送用户名和密码的次数，大幅度降低账号被盗窃的机会； (3). 通过系统联盟(联合互信)实现单点登录而无需推翻已有的基础设施，充分利用现有的系统，保护已有的IT投资； (4). 将高校安全模式扩展到整个联盟化网络，整体提高网络的安全度； (5). 优于市场上其他产品之处还包括： l 不使用COOKIE存储用户信息，保障用户信息的安全性； l 不使用密码对照表，而通过用户身份联盟（Account Federation）实现身份管理； l 通过安全讯道(https)传输身份认证信息，而且采用匿名信息，应用系统双方都无法获得用户在对方系统中的真实身份，保护用户隐私。 八、 认证的安全控制 主要保障身份认证的安全，基本特点如下： (1). 平台用户身份认证安全控制 (2). 凡是输入用户名/密码的页面均由平台提供 (3). 凡是输入用户名/密码的地方均采用HTTPS的方式进行通信。 (4). 第三方系统用户身份认证安全控制 (5). 对于第三方系统身份识别主要依赖于第三方系统，身份识别流程应综合考虑用户体验和流程安全性，所有传送过程中都对信息进行加密操作。 (6). 其它认证安全手段控制 (7). 服务器与服务器之间都采用数字证书认证，保障通讯双方的安全性，防止盗链等现象的发生。 九、 通讯协议与信息安全 为了保证用户信息的安全，单点登录平台平台保证用户在登录或退出时，用户在网上传输的所有信息都受到全程的安全保护。所有信息都可以全程加密，而且通过安全通道传输。 (1). 单点登录平台服务器之间通讯 在Liberty联盟化网络中，单点登录平台服务器与其它单点登录平台服务器通讯时，都是采用标准的Liberty协议，遵循Liberty的所有规范。并且信息传输可以用HTTPs加密，以保证信息在传输时不被窃取。 同时单点登录平台服务器提供了强大的证书管理功能，以保证设置HTTPs或SSL的工作是一件简单的工作，就算对证书管理和使用不太熟悉的管理员，也可以安全的配置服务器。 (2). 单点登录平台服务器与Web服务器之间通信 嵌入在Web应用服务器上的Agent与单点登录平台服务器通信时，所有信息都封装在一个安全的信封结构里，叫做ID-Token。ID-Token用AES算法加密，采用128位长度的密钥加密。加密密钥只有Web应用服务器与其相对应的单点登录平台服务器共享，所以就算ID-Token在网上被拦截了之后也无法被解密。如下图所示： 单点登录平台通信协议 (3). 说明：每个ID-Token都有时间限制，一般设为5分钟。过了时间限期的ID-Token一概不处理，都会被系统扔掉，所以这个安全措施有效地阻止了重放攻击的威胁。ID-Token的时间限期可以在单点登录平台服务器的管理控制台上设置，如果必要的话，也可以再设短一点。 第二章 统一权限管理平台 一、 概述 数字化校园平台的权限管理由统一认证与授权管理平台ID-Directory系统完成实现，统一认证与授权管理平台是一个跨平台的统一身份管理、授权管理、认证管理、资源管理的综合性管理平台，实现了整套的RBAC（基于角色的访问控制）规范，包括细粒度的角色等级和角色约束机制，以及无限级别的权限继承的体系。 二、 安全政策 安全政策是一个概念，也是一个基于各种对象和概念的组合。安全政策是围绕着角色、权限、用户、资源和安全域之间的关系而定义的。 互联网的环境是没有界限和约束的，在这样的环境下进行商务活动，保证消费者和服务提供方双方的利益，是对运营商最基本的要求。所以，建立一套完善的管理体系，对高校信息化的总体全面而方便有序地管理起来就成为了重中之重。比如，用户如何方便的申请自己需要的服务，如何支付自己享受的服务，而对于服务提供方，如何针对不同的客户开通不同的服务，如何为客户提供方便快捷的单点登录多个服务，如何确认访问者的身份,又如何获得访问者的权限信息？ 如何控制和分配用户的访问及操作权限？解决这些问题都是一个基于互联网的服务首要任务。也就是首先要制定和实施管理政策，而这个政策就是一个安全政策，处理好在数字化校园平台中用户、角色、服务（资源）、客户、权限等之间的关系，做到统一贵方，疏而不漏，方便快捷，同时又具有极强的扩展性、规范性和安全性。 统一的安全政策管理是统一认证与授权平台的总体目标，它主要是一个基于“角色”的细粒度管理体系。不同于以用户为中心的管理方式，基于角色的管理更加精练与便捷。下图绘制了安全政策里的各种关系： 安全政策概念图 操作资源的权限被分配给了角色。而角色又根据学校的需求而制定的约束下分配给了用户。一个权限可能隐含着其他的权限。 而这一切都在一个安全域的范围内制定的。安全域划分了安全政策的范围， 那就是说，安全政策只能针对安全域内的对象和资源才可以执行。安全域可以按地理划分、按组织结构划分、或者按功能划分，安全域可以是一个国家或地区、一个 城市或省份、一个域、一个组、一个组织、或一个组织部门。 三、 基于RBAC的授权规范 RBAC（Role-Based Access Control，基于角色得访问控制）体系是美国NIST（美国科技与标准管理局）制定而且提倡的用户管理、安全政策管理体系，也是目前公认的解决大型组织机构的统一资源访问控制的有效方法。 统一认证与授权平台实现了RBAC标准的用户统一权限管理平台，具有RBAC体系的灵活性、可扩展性、可管理性，本方案建议采用统一认证与授权平台。我们在下面简单的介绍统一认证与授权平台中的重要概念，与其应用的范围和例子。 1. 角色 角色在RBAC体系里是一个核心的概念，也是统一认证与授权平台系统中最核心的元素。在统一认证与授权平台管理平台上，客户可以根据自身的需求定义角色及其相关的安全政策。系统里不预设固定的角色或用户，给予客户最大的灵活性和适用性。一个角色可以是全局性的，或局部性的。局部性即局部于一个或多个安全域的范围之内。一个全局性的角色可以在所有的安全域内执行它的权限。局部于一个安全域的角色只能在这个域内，和这个域下属的子域内执行它的权限。更准确的说，一个局部性的角色不是指这个角色被包容在一个安全域内，而是指这个角色拥有访问域内的资源的权限。一个角色可以拥有访问一个或多个域的资源的权限。 不仅如此，在统一认证与授权平台管理平台上可以制定角色等级，并且不限制角色等级数量。 一个角色可以继承它下属角色的权限。角色等级结构可以跨越多个等级，那就是说，第一个角色可以继承第二角色的权限，而第二角色又可以继承第三角色的权限。但是不是所有下属角色的权限都被上层继承，系统提供配置选项，这也是统一认证与授权平台灵活性的体现之一。 上图描绘的就是角色与安全域之间的关系，角色5是一个全局性的角色。角色1、6和7只有访问安全域1的权限，而角色3和4只有 访问安全域2的权限。但是角色2拥有访问安全域1和2的权限。按照全局性角色的定义，角色5 拥有访问安全域1和2的权限。从上图我们也可以看到，角色7继承了角色6的所有权限。 统一认证与授权平台也建立了用户基数、职责分离等概念，为高校制定灵活的管理策略奠定了坚实的技术基础 角色可以分的很细，例如：计费系统，平台可以根据资源的划分和计费系统原有的权限划分来建立不同的角色。 每个用户在自己的服务权限范围内，可以给自己部门（院系）制定一些角色。例如建立一个系主任的角色,只要给这个角色定义好权限，并将相应的用户赋予系主任的角色即可完成政策制定的工作。本来如果有200个同样角色的用户，需要一一配置的，这样一来，一次性解决问题，不仅降低了管理强度，而且减少了因为多次的重复工作引起的误操作。这也是统一权限管理体系从以用户为中心向以角色为核心转移的一个根本原因之一。 2. 用户 统一认证与授权平台中的用户可以是自然人或者是应用软件，因为一个软件也可以执行命令。一个用户必须先被分配了角色才能进行操作， 因为用户的权限是通过角色得到的，所有未分配角色的用户没有任何权限，也不能登录。 上图所表示的就是平台的一些基本角色，所有用户都是按照上面的角色来赋予不同的权限，所有操作都是在统一认证与授权平台中进行配置：用户认证平台管理员(用户)通过统一认证与授权平台来创建平台内的各类用户，科室用户是由用户管理员在统一认证与授权平台中来创建. 例如，用户A科室开通了Email和WebHosting两个服务。并不是用户A 科室所有的员工都能使用这两个服务，用户可以按照角色分配来赋予自己内部的用户权限。 3. 资源 资源指的是在安全政策管理系统里管理的外在资源。资源是任何可以定义的实体。 例如，一个资源可以是一套应用软件、应用软件里的一个模块、硬件（如打印机）、 一份文件、一个数据表、或数据表里的某一行、一个XML文件里的元素，等等。简单的说，一个资源可以是任何能以标识符标识的抽象或现实的实体。 在用户认证平台中，应用系统提供的服务或者产品是资源，应用服务的任何操作可以是资源，计费系统中各单元也可以是资源任何应用的一个小模块都可以当作一个资源由统一认证与授权平台来管理。 所有的应用都能被统一认证与授权平台有效的管理起来，计费系统等应用的业务流程无需变更就能完全集成到平台。这就实现了平台对所有服务和产品达到统一管理的需求。 统一认证与授权平台可以很灵活的制定自己需要的安全政策，所以以后有任何新的ASP，甚至将来移动应用和3G应用要集成进来，平台也能很容易地把应用划分成多个资源来管理。 下面我们根据资源的概念来举例说明一个新的服务在平台上是如何配置、管理和发布的，比如，现在平台要上一个教育网的服务，步骤是这样的：1、首先我们按照这个服务提供方具体提供多少服务、多少产品以及对服务的操作性、计费规则等，把平台当前所需要管理这个服务提供方的所有的功能模块和服务内容划分成多个资源，并在统一认证与授权平台的界面上进行简单配置新建资源。2、根据具体的这些资源，按需分别分配给系统角色（用户认证平台内部、服务提供方以及定购此服务的用户）。这样就完成了。 4. 权限 执行权是通过分配权限而得到的。权限的定义是指对某些对象或资源的某些操作的许可。权限一般被归类成权限组。权限与权限组有系统定义和自主定义（或用户定义）之分。系统定义权限和权限组是安全政策管理系统内置定义，不能改动。系统管理员可以自主定义一些权限及权限组来补充和加强对角色与资源的安全管理。 统一认证与授权平台中定义的权限支持权限继承关系。一个权限可以隐含另外一个权限， 那就是说，如果权限P1隐含着权限P2，而您又把权限 P1授权给角色R1的话，那么R1也间接地得到了权限P2。相同的，如果权限P1隐含权限 P2，权限P2隐含权限P3，而权限P3 又隐含权限P4，等等，如果权限P1分配给了角色 R1，那么R1就会间接的得到整个权限隐含关系结构中的所有权限。（文字用p1，p2，图中用的是权限1，权限2，请统一起来）。 用户认证平台中对企业邮局和DNS两个资源的权限之间就有着这样的关联关系，用户必须开通了DNS才可以开通企业邮局的服务，同样用户有了使用企业邮局的权限，就隐含着使用DNS的权限。 又比如，用户所拥有的权限是其用户权限的组合，这种上下级权限关系，在统一认证与授权平台里面是用权限集成来定义的。在统一认证与授权平台中，假设服务A被定义成为资源A，而对它的操作的各种权限也已经以权限组及权限的形式定义好。当一个用户在采购了服务A的时候，平台管理员在统一认证与授权平台中，分配用户在资源A中的权限，并开通资源A给这个用户。用户再登录平台自服务界面，给自己部门内部用户分配在资源A中的权限，而这些权限是用户在资源A中的权限的子集而不可能被超出。也就是说，如果一个用户开通了教育网服务，他可以享受包月付费会员和非会员服务。那么，所有的部门用户都可以被分配到免费的法律咨询服务以及包月服务，而只有少数用户，比如院长、系主任等高层管理角色的用户才被授权使用其他包月以外的按量付费服务。 5. 安全域 安全域指定了安全政策的牵制范围，也就是说，一个权限只能在指定的范围内才有效，才能执行。 安全域可以按照地理界限、部门职能等来划分，它是一个抽象的概念。安全域可以是国家／地区， 城市／省份， 域， 组织， 部门，或者组。除了组之外，一个安全域可以带有子域。所以您可以创建一个树形的安全域结构，就像下图一样。 用户认证平台按需求（用户：已开通业务的部门为单位）划分了之后，虽然所有的用户信息和安全政策信息都在同一个统一认证与授权平台服务器上管理，但对每个用户来说，好像自己有一套统一认证与授权平台服务器一样。每个用户还可以有一个统一认证与授权平台管理员，他可以按需求细粒度的管理自己内部人员，新建角色，分配角色，能否使用某个资源（ASP服务）等。 每个用户里的人员是看不到另一个用户的用户信息和安全政策信息的。 如果一个用户有足够的权限的，用户也只能使用自己用户里的产品或者服务。统一认证与授权平台是一个细粒度的安全政策管理系统，所以权限可以分得很细，就算用户是在同一个用户里，如果没有足够的权限的话，还是使用不了服务。 例如：用户甲要开通电子图书馆（在线浏览{A}、书籍下载{B}）和教育网远程教学(C)这两个服务。首先用户认证平台接到这个请求，会在统一认证与授权平台系统中赋予用户甲一个角色，能够使用这3个资源（我们假设在统一认证与授权平台里把A、B、C设置成为3个资源来管理）。 现在用户甲的管理员就可以通过用户认证平台，对自己部门的人员对于A、B、C使用权限的分配。用户数据只存储在用户认证平台中。例如：系主任（有很多）能使用，书籍下载和远程教学，他就只需新建一个角色 (系主任)，把B、C这两个资源赋予系主任这个角色。然后把所有职务是系主任的人员赋予这个角色。这就完成操作了。所有的数据首先存储在用户认证平台数据库，然后由用户认证平台PUSH到电子图书馆和教育网这两个AP应用数据库中。 现在任何一个系主任就可以登录这两个服务了，直接用户的认证是在电子图书馆和教育网这两个AP中进行的，不经过统一认证与授权平台。用户数据同时存在于电子图书馆和教育网这两个AP以及用户认证平台中。(没有用到安全域的概念，只有职员、角色之间的配置。这里仿佛不需要安全域。）所以，从网络的结构来说，好像每个用户都有自己的一套统一认证与授权平台服务器一样。 我们结合FTP这个产品， 他的开通、使用和管理在统一认证与授权平台上具体的操作，可以用下图表示： 四、 目录服务器 RHDS的前身是Netscape Directory Server，跟Sun Directory Server是同一条开发线演变出来的目录服务器。RHDS是一套遵循标准的、高性能的目录管理服务器。目录服务器的目的主要是提供一个用户信息、应用系统信息、网络信息的中央信息管理库，为用户管理、应用系统管理、网络管理等提供方便，也同时提高安全度。 五、 功能简介 l 提高中央用户信息管理功能，以降低管理成本； l 作为中央用户信息和选项管理库，支持用户个性化的应用软件和系统； l 通过LAN或WAN网络，支持多个主服务器的数据复制和同步，为学校应用系统提供统一的数据源； l 提高海量用户平台所需要的可靠性和可扩展性。 (1). 降低管理成本 RHDS允许管理员建立一套网络注册表，为应用系统提供一个存储可共享的用户信息、用户组信息和选项信息的中央数据库。通过项目录服务器存取用户信息，应用系统不再需要为了必需在不同配置文件中读取用户和用户选项信息而烦恼。这允许用户在任何电脑上使用应用系统，而不局限与某一部电脑。这也允许管理员在同一个地方管理所有用户的信息，无论有多少套应用系统共享同一份信息都无所谓。为了支持用户自管部分信息，RHDS可以将部分管理权限下放到学校管理系统中的不同层面上。 (2). 提高可用性 通过支持多台服务器数据复制和同步的功能，RHDS可以提供更强大的服务可用性。部署多台主服务器可以避免单点故障的可能。SNMP（简单网络监控协议）提供灵活的、实时的监控功能。 为了降低停机时间，RHDS还提供了在线数据备份、配置更新、Schema更新、重新索引、数据恢复等功能，在不停机的情况下进行操作。 (3). 为高校提供安全服务 通过统一的、集中的管理用户信息、用户组信息、访问控制机制信息等，RHDS可以大幅度的简化管理工作，同时也提供一套安全的用户认证基础设施。 (4). 灵活的数据存储和虚拟视图功能 RHDS可以存储用户和用户选项信息，为应用系统提供认证、授权和个性化的功能。支持LDAP的应用系统就可以为终端用户提供个性化信息和Web应用环境。管理员可以在不停机的情况下，更新和扩展目录数据库。 虚拟视图功能为特殊的应用系统和应用方式，可以在不改变目录数据的真实结构的情况下，创建符合需求的虚拟目录信息结构和视图。 (5). 多台主服务器复制的功能 多台主服务器复制的功能不但为目录服务提供更高的可靠性和可用性，同时为目录服务的架构设计和部署提供了很大的灵活性。监控和调试脚步为管理员大大地简化了目录数据复制的操作。管理员可以