统一身份认证系统建设内容（统一身份认证系统是什么）

我们作为专业的信息安全服务提供商，开发了具有自主知识产权的IPG系统。系统由帐户、认证、授权、审计及应用五个模块组成：统一账户管理系统、统一认证管理系统、统一授权管理系统、统一审计管理系统、统一应用管理系统，同时现已具备单点登录（SSO），API令牌服务（STS）、多因素认证（MFA）、扫描登录（QR）、密码控件（SM2）模块，根据用户的需求场景提供现有的功能模块使用。

产品架构如下：

产品架构图

1.1.1 产品功能

我们的产品具备应用管控(APPs)， 统一认证(SSO)，统一账户（UD）， 集中授权（PS）， 透明审计（Audit）等5A模块。

Ø 统一账户管理系统（UD）

提供UI图形界面的操作，提供完整的API给开发者及合作伙伴使用。

借鉴了AD目录服务，可控用户管理扩展到教职工、学生等人员，在创建用户或从组中加入/移除用户时，都可通过API实现。

数据同步支持从UD推送（Push) 到业务应用中去和从业务系统中拽（Pull）用户两种方式。

Ø 统一认证管理系统（IDP）

支持跨应用域和跨不同认证域的认证和访问控制，并解决了票据在传输过程中被冒用、拦截、篡改、伪造或重放的安全风险。同时，支持SAML联邦认证标准。

Ø 统一授权管理系统（PS）

基于RBAC(Role Based Access Control) 设计，现了灵活的权限模型：

满足粗细粒度授权：支持门户级授权一级授权，也支持业务系统细粒度权限的二级授权；

灵活的定义：业务系统的权限资源，通过一个树状结构，可以实现比如“订单”列表的增删改查等。其中对一个资源的操作都有自己的权限UUID，可以在业务应用中灵活的调用。所有的权限可以赋予一个角色，方便将来实现用户组和用户的授权。

灵活的安全组：除了可以选择从我们的UD(User Directory)中将部门组同步过来外，还可以选择自己创建更多的安全组。一个安全组中可以嵌套一个部门组，横向为安全组，纵向为部门组，一横一竖，既可以按组织架构控制，也可以按业务逻辑控制，可以完美的实现人员的灵活组合。

通过PS模块，全公司使用同样的权限逻辑来控制业务权限，确保不会有越权和遗漏的问题发生。如果效率需要，还可以通过业务应用的缓存机制来实现本地查询，从而保证业务的不间断运行。

Ø 统一审计管理系统（Audit）

记录系统范围内的安全和系统审计信息，有效地分析整个系统的日常操作与安全事件数据，通过归类、合并、关联、优化、直观呈现等方法，使管理员轻松识别应用系统环境中潜在的恶意威胁活动，可帮助学校/用户明显地降低受到来自外界和内部的恶意侵袭的风险。在积累了一定的数据后，采用大数据平台，更可以形成一定的规则，直接封IP、限流量、限时等，并可以在认证的时候实现主动防御，瞬间互动。这样可以有效的防止刷单等操作。

产品审计图

Ø 统一应用管理系统（Application）

随着云和移动化的发展，校园应用逐渐由私有云向公有云、PC端向移动端迁移，学校IT需要管控的不仅仅是PC上的B/S应用，还有公有云中的SaaS、移动端的APP、对外的第三方接口，以及IOT物联网设备等，统一应用管理系统为提供了身份管理与应用管控能力，构建校园应用商店！

总之， 在传统的针对运维的堡垒机基础上， 我们有针对教职工及学生的管控。 真正对学校达到认证即服务的目的。

1.1.2 产品特点

采用最先进的认证技术：目前集中在2010年以后的技术。如：FIDO、OIDC、OAuth2等。兼容传统认证技术，如：传统的Basic/CAS/SAML。

丰富的应用整合集成经验：实施过央企、大中小型企事业单位在内多个成功案例，互联网公司腾讯、阿里都进行过集成合作。

安全策略管理：基于三权分立理念实现管理员角色管理，支持根据不同的安全需求对认证等级、口令强度、授权粒度等实行安全策略配置。

灵活可控授权管理模式：支持矩阵式灵活的售前模式，维度除了横向按照组织架构定义外，还可以纵向岗位角色定义，一横一竖，形成矩阵，实现角色的灵活组合；颗粒度不仅可以实现一级授权，即哪些人可以访问哪些应用，还可以实现二级授权，即通过接口查询，哪些用户可以访问某些业务应用下的菜单、按钮等资源。

支持联邦认证：支持多种国际标准，跨应用域或跨认证域的认证和访问控制，并解决了票据在传输过程中被冒用、拦截、篡改、伪造或重放的安全风险。

集成快、认证快、效率高： 系统提供了各种开发者服务， 如JWT的有Ruby，Python，PHP，JAVA，C#等各种各样的SDK库， 让集成更加方便。

跨平台部署：支持 Windows，CentOS 等操作系统和tomcat、weblogic、websphere 等多种应用中间件。

支持集群和负载均衡部署：可满足企业级用户的认证和管理需求，支持集群和负载均衡部署。

1.1.3 用户管理

1.1.3.1 账户及组

账户及组是为校园提供一个统一管理内部账户的入口，通过该入口学校很轻松地管理学校账户的生命周期。

账户及组中可以增、删、改、查单位或部门、组、账户。

1.1.3.2 单位或部门管理

单位或部门下可包含：单位或部门、组、账户，下一级单位或部门仍可以包含：单位或部门、组、账户。

1.1.3.3 组织目录树

组织目录树上只显示单位或部门，根节点默认是当前公司。点击根节点时，右侧页面可以查看该公司所有成员列表，包括单位或部门、组、账户，如图：

账户及组

在任一节点上可以新增单位或部门、组、账户。点击任一单位或部门，右侧页面可以看到该节点下所有成员列表。

在组织目录树中的任一节点下，可以做如下操作：

【新增】可以新建单位或部门、组、账户，并添加到当前单位或部门中；

组织目录

当新增单位或部门时，会生成一个对应的默认组。

默认组不能编辑、删除、查看；不可添加到其它单位或部门下，但可添加到其它组中。

默认组的成员包括该单位或部门下所有单位或部门、组、账户的集合。

【删除】可以删除当前单位或部门；

删除当前单位或部门时，同时将其对应的默认组删除掉。

如果当前单位或部门下，有除默认组外的其它成员，会提示单位或部门非空，不能删除。

【移动】可以将当前单位或部门迁移到其它单位或部门下；

移动后，当前单位或部门下的所有成员，将一起移动到新的单位或部门下。

【属性】可以查看该单位或部门的相关信息；

在属性界面，可以修改该单位或部门名称、管理者、外部ID、描述等信息。

1.1.3.4 单位或部门成员列表

点击某一单位或部门，右侧页面显示该单位或部门的成员列表，如图：

单位或部门成员列表

在任一单位或部门的成员列表界面，可以做如下操作：

：可以编辑单位或部门的名称、管理者、外部ID、描述信息；

【新建并添加成员】可以新建单位或部门、组、账户，并添加到当前单位或部门中；

【添加成员】可以选择现有的单位或部门、组、账户，添加到当前单位或部门中；

【批量移除】可以批量移除成员；

【修改】可以查看并修改成员信息；

【移除】可以单个移除成员；

【同步到SP】可以将该账户同步到已被授权的其它业务系统中；

【同步记录】可以记录用户同步操作。

1.1.3.5 组

组下可以包含：组和账户，下一级组仍可以包含：组，账户；

组下可以添加成员，也可单个移除成员，批量移除成员，修改成员属性；

单位或部门和组在原则上可以无限进行嵌套，不做限制。

在单位或部门下，点击【新建组】编辑相关信息即可新建一个自建组，如图：

新建组

点击组名称，进入组属性页面，如图：

组常规属性

在组的【常规】标签界面，可以做如下操作：

可以修改组的名称、管理者、外部ID和描述信息；

【返回所属单位或部门】可以返回到创建该组的单位或部门页面；

组成员

在组的【成员（子）】标签界面，可以做如下操作：

【添加成员】可以在现有的组、单位或部门，账户中选择，添加到当前组中；

【批量移除】可以批量移除成员；

【修改】可以查看成员属性并修改；

【移除】可以单个移除成员；

组隶属于父

在组的【隶属于（父）】标签界面，可以做如下操作：

【添加成员】可以在现有的组中选择，将其作为当前组的父成员；

【移除】可以单个移除父成员；

【批量移除】可以批量移除父成员；

1.1.3.6 账户

账户的管理包括：新建账户，查看并修改账户信息，删除账户。

在单位或部门下，点击【新建账户】编辑相应信息，即可新建一个账户，如图：

新建账户

在组中可通过【添加成员】进行账户的添加；

账户在单位或部门和组中作为其成员存在，对成员的操作同样适用于对账户的操作；

1.1.4 账户管理

1.1.4.1 账户列表

在账户管理处，可以删除该账户，查看账户绑定的设备信息，重置密码等操作。

账户管理

学校管理员可以通过列表的操作功能进行管理和维护：

【设备】可以查看该账户绑定的设备信息；

【报表】可以生成并查看该账户审计日志报表；

【禁用】可以禁用账户，账户不再可用；

【重置】可以重置账户密码；

【删除】可以删除账户；

：当二次认证状态为【已启用】时，可以点击关闭二次认证；

1.1.5 授权管理

1.1.5.1 应用授权（应用系统）

平台为学校管理员提供集中授权的入口，学校管理员可以根据应用授权与组授权两种方式为账户授权，如图：

按应用授权

按账户组授权

1.1.5.2 证书管理（用户）

学校管理员可以查看所有账户的证书，当移动端成功下载证书后，学校管理员可以在列表中点击【详细】，查看当前账户已下载并绑定的证书详情。

学校管理员还可以点击【重置证书】，为账户重置证书，重置证书成功后，账户需要重新扫码绑定公司并在移动端登录后，可以自动重新下载并绑定证书。移动设备绑定证书后，用户可以在移动端进行免密码登录。

证书管理

1.1.6 权限系统（二级权限）

本平台支持开发人员在本平台中定义并开发一个应用， 来满足企业2B2E的需求（学校管理员管理的应用就是开发者要开发的，如OA），并可以进一步定义该应用的二级权限资源，如菜单、按钮等，然后定义角色把资源权限组织起来，再通过统一的界面将角色分配给组，从而将二级权限分配给组。这样开发者就不用每个应用都开发权限模块，集中在本平台中完成，可提高工作效率。

学校管理员可以在权限系统中看到本公司所有开发者添加的应用系统，并可对各个应用系统进行管理。

1.1.6.1 应用管理

应用管理用于管理集成进来的应用系统，如图：

应用管理

在应用管理页面可以做如下操作：

【新增】可以新增应用系统，新增后，应用系统默认是禁用状态；

【启用】/【禁用】可以启用或禁用当前应用系统；

【编辑】可以编辑应用系统相关信息；

【详细】可以查看当前应用系统的详细信息；

【删除】可以在确认操作后删除当前应用系统；

每一个应用系统下又分为角色管理，资源管理，成员管理：

应用管理功能

1.1.6.2 角色管理

角色可以理解为一定数量的权限的集合，权限的载体。

权限系统可以新增、编辑、删除系统角色，并为不同角色赋予不同的权限（即可访问的资源）。

在角色管理处，可以为账户/组赋予角色，通过角色将权限授予用账户/组。

角色与组/账户是多对多的关系。

在角色管理处，可以查看某一个角色下的所有账户/组。

角色管理

在角色管理页面可做如下操作：

【批量删除】可以勾选多个角色，批量删除角色，默认的角色不可被删除；

【编辑】可以修改角色的相关信息；

【删除】可以删除单个角色；

【指定单位或部门】可以为开发者角色指定其可以操作的单位或部门，用于第三方业务系统推送账户至身份管理平台功能；

【新增角色】可以新增一种角色，如图；

新建角色

【关联成员】可以添加账户或组成为其成员，如图：

关联成员

在“关联成员”界面，可做如下操作：

【添加关联】可以添加账户或组成为其成员；

【取消关联】可以取消账户或组与角色的关联；

【批量取消关联】可以勾选多个成员，批量取消账户或组与角色的关联；

【关联权限】可以为角色添加或取消权限，如图：

关联权限资源

可勾选或取消相关权限；

1.1.6.3 权限资源

权限资源用于管理相应的权限；并以树的形式显示权限资源，展示权限的等级结构，如图：

权限资源

在权限资源页面，可做如下操作：

【新增资源】可以在根目录下创建权限；

【新增】可以在该权限下创建新权限；

【删除】可以删除该权限资源；

【编辑】可以修改该权限的基本信息和进入关联角色界面；

编辑资源

在 “基本信息”页面可以编辑权限名称、权限值、URL和描述信息；

关联角色

在“关联角色”页面可做如下操作：

【添加关联】可以为权限添加角色关联；

【取消关联】可以单个取消角色关联；

【批量取消关联】可以批量取消角色关联；

1.1.6.4 成员管理

在成员管理（如图），成员既包括账户、用户，也包括组。

用户：可以同步用户，导入用户，新建用户；

组：可以同步组，新建组；

成员管理

在成员管理页面，可做如下操作：

【同步用户】可以从本平台【账户及组】中同步用户，同步过来的用户不可编辑，可以查看详情，重置密码，从当前业务系统删除（不影响本平台【账户及组】中的账户）；

同步用户

【导入用户】可以从本平台下载模板，按要求录入数据后，导入到权限系统中作为子账户；

导入用户

【新建用户】可以新建应用系统子账户，并与本平台【账户及组】中主账户进行关联；

导入用户

【详情】可以查看用户的详细信息，拥有的角色，拥有的权限；

用户信息

昆明统一消息系统

拥有角色

拥有权限

1.1.7 认证源管理

平台支持公司使用不同的外部认证源，可根据公司需要添加并使用不同的认证方式，如数据库、LDAP、钉钉、明道等；启用认证源后并配置完成后，平台会在公司用户登录时使用具体的认证源去认证用户账户，并通过外部ID(userId)与平台的账户关联，学校管理员不能使用外部认证；默认为启用系统默认认证。如图：

认证

点击【添加认证源】如图：

添加认证源

提供七种认证源，点击【钉钉扫码登录】通过钉钉后台管理端提供的appId、AppSecret、CorpID和CorpSecret进行认证：

添加钉钉扫码登录认证源

选择【Database】方式认证，需要提供登录某个应用的jdbc信息，支持多种不同的数据库：

添加Database认证源

选择【LADP】认证方式：

添加LDAP认证源

选择【明道认证】如图：

添加明道认证认证源

选择【GitHub】认证，如图：

添加GitHub认证源

选择【微信扫码登录】，如图：

添加微信扫码登录认证源

选择【码云】认证，如图：

码云认证

1.1.8 审计

1.1.8.1 操作日志

统一审计是将账户所有的操作日志集中记录管理和分析，不仅可以对账户行为进行监控，并且可以通过集中的审计数据进行数据挖掘，以便于事后的安全事故责任的认定。所有通过该平台操作的行为都有归档，学校管理员可以通过该信息查看到某个学校的某人干什么什么事情，依次打开菜单【审计】-【操作日志】如图：

操作日志

1.1.8.2 登录/退出日志

学校管理员依次点击【审计】-【登录/退出日志】，查看所有的用户登录/退出的信息。如图：

登录/退出日志

1.1.9 设置

1.1.9.1 公司信息设置

学校管理员有权限更改所在的学校信息，依次点击【设置】-【学校信息】。如图：

公司信息

1.1.9.2 邀请注册

学校管理员可以邀请多个账户加入到本平台中，输入邮箱或手机号， 系统会发送邀请链接到用户邮箱或手机中， 用户点击链接填写注册信息， 注册成功后即可加入公司。

邀请注册

1.1.9.3 公告管理

Ø 发布公告

学校管理员可以通过【发布公告】来对学校内部的账户发布公告信息。

学校管理员可以点击右上角【发布公告】，进入公告发布页面，编辑公告相关内容后，保存，即可发布。

发布公告

Ø 查看公告

学校管理员点击公告列表【查看】按钮，即可查看该条公告详情。如图：

查看公告

Ø 删除公告

点击公告列表【删除】按钮，确认删除后，即可删除该条公告。

1.1.9.4 移动端绑定配置

为移动端配置提供便捷的通道，移动端可以能过扫一扫绑定当前公司信息。如图：

移动端绑定配置

1.1.9.5 统一二次认证

学校管理员有权设置是否开启统一二次认证，如果开启，所有账户在登录时都需要进行手机端二次认证。如图：

统一二次认证

1.1.9.6 登录验证码设置

学校管理员可以设置登录验证码是数字还是图片，选择数字验证后公司所有账户登录时将会使用数字验证，否则为图片验证码验证。

登录验证码设置

1.1.9.7 数据加密

出于安全考虑，平台为每个公司的敏感数据提供加密保护(如用户密码、认证源中的数据库密码)，且每个公司的加密KEY唯一长度为16位。

1.1.9.8 邮件提醒

学校管理员可以设置是否开启邮件提醒账户关联通知，如果开启，有需要管理员审批的账户关联，学校管理员会收到邮件通知。

1.1.9.9 SCIM配置

用于实现一个身份认证平台平台作为服务端，向另外一个身份认证平台平台同步账户的信息配置页面。

1.1.10 用户自助服务

Ø 角色切换

如果学校管理员有其它角色，比如开发者，用户，可以在自助服务里切换相应界面。如图：

角色切换

Ø 我的日志

学校管理员查看自己的日志信息，对自己账户行为进行监控，以便及时发现非法盗用的风险。如图：

我的日志

Ø 我的消息

学校管理员可以查看平台发出的消息信息，比如：通知、公告等。如图：

我的消息

Ø 修改密码

学校管理员可以自行修改密码。如图：

修改密码

Ø 忘记密码

学校管理员可以根据邮箱/手机号通过忘记密码功能找回密码。如图：

忘记密码

Ø 最后登录时间

学校管理员可以查看自己最后登录系统的时间。如图：

最后登录时间

Ø 退出

点击退出，可以退出系统登录。如图：

图：退出