智慧校园基础支撑平台建设方案
1.1. 统一身份认证系统
应用系统如果采用各自独立的身份认证机制，用户就要记忆不同系统中的账号/密码。

为方便师生使用，解决多应用带来的多账号问题，需要建立统一的身份管理平台，用户在平台上登录一次就可以访问所有具有权限的应用。

统一身份认证以IDM/IM（身份认证管理）为基础提供安全的用户身份管理功能，并配合Access Manager 基于代理架构的访问控制，提供Web应用的单点登录和Web应用保护。

IDM/IM都集成了Directory Server(LDAP)目录服务器来存储统一身份库信息。

统一身份认证实现的功能如下：
1.建立统一的集中身份库——统一身份数据中心，对各应用系统的所有用户提供集中和统一的管理，同时根据各个业务应用系统的认证方式的不同提供灵活的认证机制；
2.在集中身份库的基础上，在满足数字校园管理平台信息系统内部业务流程规则的前提下，通过身份管理技术实现身份库与各个业务应用系统(门户、OA、教学、教务等系统)用户身份信息的自动同步处理功能；
3.在集中身份库的基础上，提供单点登录(SSO)功能，用户只需要通过一次身份认证就可以访问具有权限的所有资
源。

集中身份库与门户系统的统一可以为整个平台提供集中的管理、安全机制，实现整体的统一。

4.1.1.设计要点
●支持用户数据的集成，适应中小学用户数据分散管理
的现状
●支持用户数据存储模式，适应中小学教职工多重身份
的现状
●支持多种认证方式，确保异构业务系统能够集成，让
用户获得完整的单点登录体验
●满足不同用户或系统的认证安全需求
●保证身份认证平台的高可靠性和高性能
前三个需求是身份认证平台发挥作用的基础，而随着应用集成的力度和广度的加大，后两个将是身份认证平台必须妥善处理的问题。

校园应用功能多样、结构复杂，各应用系统的权限管理基本上采用分级授权的方式。

身份认证平台可以采用统一的权限模型，供各应用系统使用，相应的权限数据既可集中管理也可分布式管理。

从实践结果看，集中权限控制的效益并不明显，建议不强求集中控制，由各应用系统设计开发时按需选择。

4.1.2.系统框架
身份认证平台主要包括以下三方面功能：
●LDAP目录服务，支持海量用户数据的存储和管理
●高性能SSO(单点登录)身份认证服务
●开放的认证集成方式，支持不同开发语言和不同应用
服务器平台的业务系统
4.1.2.1. 统一身份管理架构
学校的各种应用系统通常都有自己独立的用户管理、用户认证和授权机制，导致系统间互不兼容；学校的组织机构也不断变化，用户来源日趋复杂，角色多样化和角色变化等问题不断出现。

各方因素交织在一起形成了一个庞大的矩阵，为统一的身份管理带来了困难。

如图：
针对上述问题，建立一个统一的，基于业界标准（如LDAP，XML，Web Service，J2EE等）的，灵活、开放、可扩展性的身份管理框架是最终的解决方案。

一个好的身份管理解决方案将复杂的身份管理问题变得简单、实用。

身份认证平台核心结构如下图所示：
身份认证平台管理用户在各个应用系统中的用户信息的对应关系，并根据这一关系管理用户在各个应用系统中的生命周期，如添加、删除、修改等。

身份认证平台的身份同步工具可以自动发现某个应用系统中用户信息的变化并通过一定规则，保持和其它应用中的用户信息同步。

身份认证平台的核心包括用户信息创建和中止的审批流程，该流程由管理员预先定义，可以修改。

当用户帐户的申请被批准后，用户帐户将根据预先定义
的规则在中央主目录服务器中创建，并通过资源适配器在各个该用户可以使用的应用系统中产生帐户信息。

用户帐号的中止也是同样原理。

身份认证平台具有口令管理功能，支持口令策略管理和口令历史记录，支持用户身份审计和用户帐户风险分析，支持用户身份管理系统运行的监测、评估。

4.1.2.2. 用户数据模型
身份认证平台中的数据模型包括：
1. 用户帐号：学生、教职员工、合作伙伴、供应商等帐户信息；
2. 资源：身份认证平台所管理的身份数据源和应用系统，如学生数据中心、教职工数据中心、电子邮件、一卡通、综合网络管理系统以及上网认证系统、VPN系统等，以及其它基于用户属性更改的应用；
3. 资源组：按一定顺序组织的资源，身份认证平台将根据这一顺序在应用系统中创建和删除用户信息；
4. 组织：管理一组用户、资源和其它对象的逻辑容器；
5. 角色：用户的工作角色，代表其职能性质，据此在资源中设置用户的属性；
6. 管理帐户：具有管理员权限，可以进行分级管理；
7. 能力：拥有哪些权限，如口令管理员只能管理用户
的口令。

下图为数据模型图：
身份认证平台：
1.管理用户访问一个或多个资源的权限；
2.管理用户在这些资源上的帐户数据；
3.赋予用户一个或多个角色，设置用户访问各种资源的
权限；
4.管理组织，决定用户帐户由谁和怎样被管理。

用户数据是动态的，依赖于用户的角色、资源和资源组。

根据角色（可以是多角色）赋予的资源的数量和类型，需要不同的信息表示，也决定着创建用户时的信息数量。

身份认证平台有虚拟用户的概念，主要作用是映射用户到多个资源，可以将一个用户在多个应用系统中的全部帐户信息作为一个实体来管理。

4.1.2.3. 用户数据管理
身份认证系统需要提供多样化的用户数据管理方案。

用户数据采集可以根据学校现状，采用以下方式：
1、集成管理着权威用户数据的业务系统，依赖该系统进行用户数据管理
2、通过数据集成平台双向同步用户数据
3、通过身份认证平台的用户管理程序管理用户数据
4.1.2.4. 身份数据集成
统一身份认证系统集成用户身份数据的过程，是通过数据交换平台从学校的各个业务系统中自动抽取用户身份数据，并加以归纳和整理，最终充实用户身份信息库。

4.1.2.
5. 自动发现和动态同步
身份认证平台可以自动发现所管理资源中用户信息的
更改，并根据规则将其同步到其它资源中去。

4.1.2.6. 帐号和口令管理
身份认证平台提供了统一的WEB管理界面，可以方便地管理帐号和口令。

帐号管理功能包括：
1.用户自注册功能：用户使用公共的帐号/口令登录系统，
然后自行注册一个账号/口令。

2.帐号新建功能：外来人员如需临时帐号，可以由管理员手
工生成访问身份，这个访问身份通常是帐号/口令，也可通过多因子认证或数字证书实现。

这些临时帐号需要有效期限制，在“临时”的这段时间内有效，过期则失效；对于可转为正式帐号的“临时帐号”，可自动转换。

3.帐号注销功能：在一定条件下，实现用户帐号的注销。

用
户帐号注销后，所有的用户权限失效。

4.帐号冻结功能：暂时中止用户的访问权限，在用户需要开
通时可以重新恢复，这样用户可以继续使用原来的帐号。

口令管理包括：
1.自助式口令重置和同步
2.通过Web浏览器或者IVR（Interactive V oice Response，交
互语音应答系统）系统来实现
3.自动口令策略执行
4.口令历史信息存储。