2.2.1
统一用户、授权管理
（数据增、删、改维护）
图：统一用户、权限管理数据流程图
从以上图中可知，在进行统一用户、授权管理时，一方面对认证中心的用户信息、 权限分配数据进行维护，另一方面，根据需要，可以对门户系统（如Liferay Portal、IBM Websphere Portal）中的相关的用户、权限分配信息进行同步更新，以及对邮件系统中 的邮件帐户信息进行同步更新，以及对其它系统的认证信息进行同步更新。
1.3
列出本文件中用到的专门术语的定义和外文首字母组词的原词组
1、SSO: Single Sign On,单点登录
1.4
2
2.1
统一用户权限管理主要解决的问题：
1、提供用户注册
用户通过网上注册。
2、提供统一的用户管理和授权管理（应用程序）
权限控制，只实现功能权限控制， 而不实现数据（范围）权限控制，主要由于各个 业务的数据访问规则很难归纳为标准的访问规则。而功能从权限的控制包括：
的C/S模式应用，又有基于in ternet的B/S应用；既有基于Win dows平台的.net应用，又
有基于J2ee架构的应用。企业在进行信息化建设过程中，在没有实现同以用户及授权管 理之前，各个系统的用户独立，且用户授权不能集中管理，这给企业信息化的系统管理员 和操作用户带来很多不便。鉴于此，本文提出基于统一用户及授权管理解决方案。
授权管理系统的功能设计、对外接口设计、数据库设计，并为下一阶段的详细设计以及系 统编码、测试提供依据。
本文档读者对象：用户、项目经理、系统分析员、软件文档管理员、质量管理人员， 软件开发人员、软件测试人员等。
此文档和附加参考资料作为系统进行设计与测试的基础性文档。
1.2
随着信息化的发展，企业的应用不断的增加，而企业的应用行使多样化，既有传统
4、提供统一的数据访问接口
统一用户及权限管理平台提供各类数据访问接口，如：获取操作人员的信息、获
取机构信息、获取系统功能信息等。
5、系统具有较好的扩展性和灵活性
组织机构、用户的属性要求可以进行适当的增加， 以满足各个不同企业的统一权
限管理的需要。
统一权限管理，既满足与单个应用授权，也满足所有应用集中授权。
223
老的应用系统的用户认证、权限认证仍然由老系统完成。若老的应用系统整合到门户, 首先通过门户认证，然后再通过老的系统的用户、权限认证。具体如下：
3.2用户管理错误!未定义书签。
3.3应用系统管理、应用系统权限配置管理9
3.4角色管理8
3.5角色权限分配9
3.6用户权限（角色）分配9
3.7用户登录日志管理功9
第四章对外接口设计10
4.1概述10
4.2接口详细描述10
4.2.1获取用户完整信息14
4.2.2获取用户拥有的功能模块的完整信息15
4.2.3获取用户拥有的一级功能模块16
不做权限控制的功能，即不登陆就可操作，如：对外新闻、公告查询 公共功能：用户只要登陆就可操作的功能，如：内部新闻、内部公告查询 需权控制的功能：只有当用户拥有该功能的权限才能操作的功能
3、提供统一的用户及权限认证接口
提供的统一的用户及权限认证接口同时满足C/S和B/S应用的用户认证和权限控 制的需求；且对于B/S应用，既满足基于windows平台的.net应用，也满足与基于J2ee架构的应用。
统一权限管理既满足一个机构集中授权，也满足多机构逐级受权。
在统一授权管理中，每个应用权限控制的粒度不一致，有的应用或模块控制得较 粗，有的控制得较精确，如：对于数据的维护只是一个“数据维护”权限粗的控制，
也可以控制到“数据新增”、“数据修改”和“数据删除”权限的精确控制上。
〃以下由沈伟补充
6、系统的单点登录（包括跨系统的应用调用）
通过以上方案，既满足了统一用户和授权管理，同时，又解决了门户系统、邮件
系统等的用户管理、授权和认证问题。避开了去了解甚至重新构造门户系统、由M牛系 统等中的用户认证、权限认证问题。
门户权限的认证由门户服务器提供的认证服务完成。
新的应用系统建设，其用户、权限是基于统一的用户、权限管理平台建设,
用户身份认证、权限认证由我们提供的统一用户权限管理的认证服务完成。
4.2.4获取用户拥有的某一一级功能模块下的所有子功能模块17
4.2.5获取用户拥有的某一末级功能模块的操作列表19
4.2.6判断用户是否拥有的某一末级功能模块的某一操作权限20
4.2.7获取某一功能模块的ACL—尚需进一步研究21
428获取某一模块的数据级权限规划规则一尚需进一步研究
1
1.1
编写此文的目的从总体上描述企业统一用户及授权管理的解决方案以及统一用户及
7、权限模型配置（包括模块与部分可通用的数据权限；数据权限做到什么程度需思 考）。
对于第2点中细节描述部分，则形成需建成独立服务模式，而非源程序加载模式 此需求需讨论。建议：对SSO项目进行继承。
2.2
应用系统
认证、服务接口
组织机构信息、用户信息、应用系统信息、应用系统权限（功能）配置信息、角色信息、角色
理、角色管理、角色权限分配、用户权限（角色）分配、用户登录管理功能。
3、认证与服务
认证服务提供应用系统身份认证接口、权限认证接口、数据访问接口。应用系统
同过调用身份认证接口实现用户身份认证；调用实现对用户权限认证；通过调用数据 接口读取如用户信息、组织机构信息等数据。
4、认证中心数据库
认证中心数数据库负责存储统一用户及权限管理的数据。
（已分配）权限信息、用户（已分配）权限信息、用户登录日志信息
图：统一用户及权限管理平台架构
如图所示，统一用户及权限管理平台系统功能由四部分组成:
1、用户注册系统
用户注册系统提供用户网上注册。
2、统一用户及授权管理系用系统
该系统主要由应用系统的系统管人员使用。
系统提供组织机构管理、用户管理、应用系统管理、应用系统权限（功能）配置管
文件编号:
制人王应喜日期2006年6月
审核人日期
批准人日期
第一章引言1
1.1编写目的1
1.2背景1
1.3定义1
1.4参考资料1
第二章统一权限管理解决方案2
2.1需求分析2
2.2系统架构3
2.3系统技术路线7
第三章统一用户及授权管理系统设计7
3.1组织机构管理8