1統(tǒng)一用戶管理平臺軟件開發(fā)

1.1實現(xiàn)目標

• 在東莞地鐵信息化平臺內(nèi)，統(tǒng)一為各業(yè)務系統(tǒng)提供身份認證服務。

1. 整合多業(yè)務系統(tǒng)認證功能，包括現(xiàn)有系統(tǒng)如OA、ERP、HR等
2. 遵循集中認證、分散鑒權的原則，認證后代表的身份及身份對應的權限遵循現(xiàn)有渠道接觸系統(tǒng)的業(yè)務規(guī)則。

• 在東莞地鐵公司內(nèi)實現(xiàn)開發(fā)數(shù)據(jù)同步
• 實現(xiàn)多層次的安全級別體系

1.2系統(tǒng)功能及架構

• 門戶系統(tǒng)（Portal ）：各業(yè)務系統(tǒng)信息資源的綜合展現(xiàn)；
• 平臺管理系統(tǒng) ：平臺用戶的注冊、授權、審計；各業(yè)務系統(tǒng)的配置；門戶管理；
• CA 系統(tǒng) ：平臺用戶的數(shù)字證書申請、簽發(fā)和管理；
• 用戶統(tǒng)一認證 ：用戶身份的 CA 數(shù)字證書認證、認證過程的 SSL 加密通道；
• 單點登錄（SSO）：業(yè)務系統(tǒng)關聯(lián)（ mapping ）、訪問控制、訪問業(yè)務系統(tǒng)時信息的加密簽名和 SSL 加密通道。

圖片 1基于 CA 認證的統(tǒng)一身份管理平臺架構

1.3系統(tǒng)的實現(xiàn)和安全機制

• 企業(yè)每一個用戶在平臺完成用戶注冊，得到自己的統(tǒng)一帳戶（ passport ）；
• 如果采用證書文件或 USB 智能卡認證方式，則 CA 系統(tǒng)自動為平臺用戶簽發(fā)數(shù)字證書，并與用戶的統(tǒng)一帳戶對應。
• 注冊的用戶可以由管理員進行分組，并根據(jù)分組設定相應的業(yè)務系統(tǒng)訪問權限。

• 安裝業(yè)務系統(tǒng)訪問前置并配置證書和私鑰，用以建立客戶端與業(yè)務系統(tǒng)之間的 SSL 加密通道，并接收處理平臺提供的加密簽名的用戶認證信息；
• 提供關聯(lián)（ mapping ）接口和訪問驗證接口，并在平臺進行配置。關聯(lián)信息主要是平臺統(tǒng)一帳戶與業(yè)務系統(tǒng)用戶信息（可能包括業(yè)務系統(tǒng)的用戶名和密碼）的對應關系。

1.4用戶統(tǒng)一認證

• 對于口令認證方式，認證服務器配置為單向 SSL 加密通道，客戶端不需要證書；
• 對于證書文件或 USB 智能卡認證方式，認證服務器配置為雙向 SSL 加密通道，客戶端必須提供用戶證書，并由認證服務器完成對用戶證書和用戶身份的校驗；

1.4.1用戶的業(yè)務系統(tǒng)關聯(lián)（ mapping ）

• 用戶輸入業(yè)務系統(tǒng)的用戶信息（可能包括業(yè)務系統(tǒng)用戶名和密碼）；
• 關聯(lián)信息連同時間戳被平臺的訪問控制服務器進行加密和簽名（業(yè)務系統(tǒng)證書加密，平臺私鑰簽名，時間戳用于防止重放攻擊）；
• 加密簽名的關聯(lián)信息通過 SSL 加密通道，傳遞至業(yè)務系統(tǒng)訪問前置，并由其進行解密驗證后交給業(yè)務系統(tǒng)驗證；
• 關聯(lián)信息驗證通過，則平臺將用戶統(tǒng)一帳戶與業(yè)務系統(tǒng)用戶信息建立對應關系，以備正常訪問業(yè)務系統(tǒng)時使用。

1.4.21.5用戶對業(yè)務系統(tǒng)的正常訪問

• 平臺根據(jù)要訪問的業(yè)務系統(tǒng) ID 和會話（ session ）中的用戶統(tǒng)一帳戶，查詢用戶的業(yè)務系統(tǒng)關聯(lián)信息；
•  將相應信息和時間戳由訪問控制服務器加密簽名并經(jīng)由客戶端，通過 SSL 加密通道，傳遞至業(yè)務系統(tǒng)訪問前置，并由其進行解密驗證后交給業(yè)務系統(tǒng)驗證；
• 業(yè)務系統(tǒng)驗證通過后，自動跳轉進入業(yè)務系統(tǒng)。