统一身份认证系统需求
- 格式:doc
- 大小:449.04 KB
- 文档页数:15
目录
1业务概述 (2)
1.1业务背景 (2)
1.2业务目标 (2)
1.3业务范围 (3)
1.4专业术语说明 (3)
1.5关联业务需求 (4)
1.6整体计划 (4)
2业务需求 (4)
2.1统一认证 (4)
3性能需求 (15)
3.1系统响应时间 (15)
3.2容量支持要求 (15)
1业务概述
根据公司建立统一认证系统的总体目标,针对现有工程系统和办公系统,和正在规划中的系统,做了充分的需求调研,最终确定了现阶段统一认证系统的具体要求,形成了本需求内容。
1.1业务背景
现阶段,公司信息系统正处于快速建设系统的阶段,各应用系统都拥有各自的用户管理及权限管理,用户登录各系统时需切换不同的身份方可进入相应的系统,给用户带来极大的不便,也给IT运营维护带来极大的困扰。另外,随着公司各项业务的关联性不断增强,各应用系统之间的基于用户身份的数据集成因此受到阻碍。
为了解决这一问题,建立统一认证系统提上日程。统一认证管理系统,可提供可靠统一用户登陆、用户认证等功能,它可以在不改变现有基础结构的情况下,对现有的系统进行集成,也能适应各种未知系统的集成。
1.2业务目标
建立统一认证系统是IT规划的总体目标之一,目的是为了使得现有系统的用户信息重复混乱、用户重复登录体验差的现状得以改变,也为新规划的系统建立统一的认证标准。
总体目标:
建立完善的统一认证系统,实现企业内系统的集成,提供可靠的、可管理的统一认证服务。
主要建设目标有:
✧建立统一认证系统,提供统一身份认证服务;
✧实现系统的统一认证集成;
1.3业务范围
1.4专业术语说明
1.5关联业务需求
1.6整体计划
2业务需求
2.1统一认证
2.1.1业务需求描述2.1.1.1总体目标
建立统一认证系统的目的就是使分布在一个企业内部的各个异构系统的认证工作集中在一起,通过一个公用的认证系统统一管理和验证用户的身份。在SSO Server上认证的用户将获得SSO颁发的一个证书,使用这个证书,用户可以在承认SSO证书的各个系统上自由穿梭访问,不需要再次的登录认证。建立统一身份认证系统的愿景:
✧建立一个易用的、能跨不同Web应用的单点登录认证中心;
✧实现统一的用户身份和密钥管理,减少多套密码系统造成的管理成本和安全漏洞;
✧降低认证模块在IT系统设计中的耦合度,提供更好的SOA设计和更弹性的安全策略
2.1.1.2总体要求
●目前的现状:
目前公司内容系统主要分为工程系统和办公系统两大块,这些系统主要涉及技术平台分别为Java、.Net,大多数系统基于Active Directory域认证,一部分核心业务系统基于用户认证或混合认证。
●系统设计总体要求
✧能够很好的支持Active Directory认证;
✧能够支持用户名、密码混合认证;
✧凭据要求符合一定标准,如SAML,以便能够更好的支持一些基于Java平台的工程应用
系统,如Oracle Primavera P6;
✧SharePoint门户支持
改变SharePoint认证方式将会对会影响门户的功能,如Office集成功能,要求保持现有用户体验.
2.1.1.3验证流程
2.1.1.4功能描述
2.1.1.4.1用户登录
●统一用户登录
✧用户登录各集成单点登录的应用系统时,统一跳转到Web SSO Server登录窗口,登录
完成后返回应用系统,并在客户端浏览器中生成凭据信息。
✧要求支持多语言:中文、英语
●界面
2.1.1.4.2用户管理
●用户以域用户为主,支持AD用户同步和映射;
●支持和公司现有工作流系统、组织结构系统用户同步(是从AD同步的)
现有用户和组织架构是以工作流平台为准的,工作流平台中的用户是从域中定时同步过来的。
要求能够和工作流系统的用户信息集成或同步。
●支持非域用户的用户名密码管理
临时用户或外来人员没有域帐号,只有工号或用户名,可以通过用户名或工号开特定系统的权限,需要能够对这部分用户管理起来。对于非域用户,能够单独设定密码,并能修改密码加密、过期策略.
2.1.1.4.3代理认证
●托管个人用户凭据
对于不能实现凭据共享的系统,要能够从单点登录系统中获取密码,提交给该系统自己验证,如基于POP3的邮件帐户。可由用户设定,也可在第一次访问时存储。一些集成困难的应用系
统,还可以采用此功能,用脚本注入用户名、密码,post提交登录,实现登录集成。
●服务凭据托管
能够管理应用系统、服务之间集成访问的凭据。对于应用系统之间的数据集成验证要求,可以管理访问凭据,ESB平台将会使用到该功能。
2.1.1.4.4服务管理与验证
●需求描述
✧能够注册和管理受信任的需要集成SSO的应用系统;
✧能够注册和管理需要进行托管服务凭据的服务;
✧只有注册并开启验证功能的系统和服务才能通过验证;没有注册过的系统试图验证,跳转
到指定错误页面或登录页面,并给相应提示,防止循环验证。
●界面
2.1.1.4.5系统管理
●系统设置
✧AD服务器地址配置
✧用户同步策略配置
✧能够对凭据的有效期进行设置
✧能够设置用户同步策略
✧能够设置用户密码策略、密码过期策略、错误重试次数
●审计功能
✧用户登录日志查询