智慧校園軟件處理方案白皮書

目錄1. 總體框架 32. 技術路線 42.1. 編程語言 52.2. 面向對象組件技術 52.3. 應用程序開發與運行結構 52.4. 動態網頁生成技術 63. 信息標準和規范系統 64. 基礎支撐平臺 84.1. 統一身份認證系統 84.1.1. 設計關鍵點 84.1.2. 系統框架 94.1.3. 統一授權管理 164.1.4. 單點登錄服務 254.1.5. 系統布署說明 384.1.6. 平臺可靠性和擴展性 404.2. 統一信息門戶平臺 404.2.1. 設計關鍵點 404.2.2. 平臺框架 414.2.3. 門戶運行環境 414.2.4. 平臺主要功效 424.2.5. 平臺布署及性能說明 454.2.6. 平臺可靠性和擴展性說明 474.2.7. 平臺安全性考慮 474.3. 數據中心平臺 484.3.1. 技術路線 504.3.2. 設計關鍵點 504.3.3. 平臺框架 524.3.4. 應用集成與數據集成 534.3.5. 數據交換機制 554.3.6. 平臺布署及性能說明 59

總體框架億陽信通智慧校園總體框架如圖所表示：該框架以“師生”為關鍵，圍繞智慧校園資源、管理和服務三要素，依靠數據中心及應用支撐平臺，重點建設校園資源中心、校園管理中心、校園服務中心應用系統，形成數字化教學環境、科研環境和生活環境。技術路線智慧校園應用系統應采取成熟先進技術規范，設計上盡可能降低各子系統間相互依賴性（包含軟件對平臺、軟件對數據、軟件對軟件、平臺對平臺等），某個子系統降低、增加和變更，不影響其它子系統和整體，從而最大程度地保護現有投資，降低系統維護量和再投入。在應用系統整體化、模塊化和規模化同時，確保應用系統在技術上、經濟上可連續發展。億陽信通智慧校園軟件系統遵照以下技術路線：采取“跨平臺”編程語言。采取獨立于開發環境面向對象組件技術，如EJBs(EnterpriseJavaBeans)，整個系統主要“應用邏輯”由組件組成，系統架構提供了良好伸縮性，使系統能夠輕易地組合與拆分各功效模塊。應用軟件平臺開發及運行架構采取三層結構，即Web服務器、應用服務器和數據庫服務器，在不影響系統其它部分情況下，確保了應用服務器與其它應用有效和無縫整合，同時支持大規模并發用戶訪問。采取模版（Template)技術生成動態網頁，為用戶提供基于角色和權限內容和數據服務。架構實現采取Java語言和EJBs技術，在數據交換上支持XML，使系統功效最優化，同時將系統內部相互依賴性減至最低。編程語言遵照J2EE(Java2EnterpriseEdition)規范，采取Java語言和服務器端Java技術（包含EJBs、Servlet、JNDI、JDBC和RMI等）開發系統。Java作為Web應用事實標準，其獨立于操作系統和服務器“跨平臺性”，使其“一次編寫，四處運行”，是WEB軟件系統最適合編程語言。相對于嵌入HTML、受限于用戶端顯示、編程能力有限腳本語言，Java能力完整，能夠開發具備強大“業務邏輯”大型應用系統。面向對象組件技術軟件編程由依賴于特定單機，到依賴于操作系統，已發展到今天面向對象組件技術。面向對象組件技術是一個完全獨立于硬件和操作系統開發環境，著重于應用程序“業務對象”可重復使用組件，利用這些組件，能夠像搭積木一樣建立分布式應用系統。面向對象組件技術在異構、分布環境下為不一樣機器上應用提供了互操作性，并無縫地集成了多個對象系統；另首先，組件大大加緊了軟件開發速度，降低了軟件開發和再開發成本。應用程序開發與運行結構開發及運行結構基于三層架構，即Web服務器、應用服務器和數據庫服務器。利用這種架構能夠：（1）將“業務邏輯”從Web服務器中分出，在應用服務器中用獨立和完整編程語言而不是“腳本語言”開發應用程序，同時使系統支持任何HTML顯示工具；（2）應用服務器能夠作為數據庫訪問請求“緩沖區”，能夠重新安排、管理數據庫訪問。經過JavaServlets引擎多線程處理，能夠極大地提升系統響應性能和數據庫訪問效率；（3）應用服務器能夠作為與其它應用程序集成結合點，在不影響系統其它部分情況下與其它應用有效、無縫集成。動態網頁生成技術信息公布采取基于模版動態網頁生成技術。用戶界面版面和顯示效果由預先制作模版實現，并支持任何標準化HTML工具，嵌入模版Java程序依照用戶角色和權限提取對應內容和數據，配合模版自動合成針對用戶個性化動態網頁。信息標準和規范系統信息標準是智慧校園建設重心，是學校各信息系統進行數據采集、處理、交換、傳輸前提，也是構建新應用需要遵照標準。億陽信通按以下標準建設智慧校園信息標準：唯一性：標準采取樹形體系結構，唯一項、唯一路徑、唯一編碼。規范性：充分參考國家相關最新標準、教育部《教育管理信息化標準》、北京市教委相關標準和各區縣教委相關標準。適用性：標準制訂充分考慮學校實際情況，以應用為目標。兼容性：對標準實施版本化維護管理。高版本兼容低版本。同一個版本，維護其不一樣內容一致性。學校校內標準兼容教育部及其它管理部門標準，方便數據上報。可管理性：系統提供數據標準集、數據代碼集、自定義代碼集、數據代碼映射等提供B/S架構可視化管理工具，具備初始化、新增、刪除、修改等維護功效，支持分類檢索、輸出、數據展示等瀏覽功效。可擴展性：支持標準增加和變更，具備維護統計和回溯功效，而且對應用該標準業務系統透明。全部歷史版本可查詢，可比較差異。管理信息標準體系結構包含以下幾個方面：一組相關數據元集合，對數據元屬性規范描述（又稱之為元數據標準化），屬性包含了數據項名稱、漢字簡稱、類型、長度、可選性、取值范圍等。為了確保數據錄入規范、便于查找和統計，每個管理子集都對應著對應標準代碼，代碼分國家標準、行業標準和學校標準。系統遵照國家教育管理信息系統互操作規范，能夠與北京市教委制訂小學應用互操作框架（簡稱CIF）無縫對接，實現各業務系統間規范數據共享。CIF實現規范也定義了基于XML標準CIF數據模型，支持小學數據對象在應用系統間共享。“教師”和“學生”是智慧校園系統包括兩大數據對象，業務數據實體主要由這兩大對象映射產生。經過“教師”對象產生數據實體主要有教案、作業、教學成績、教學計劃等一系列和教師教育教學活動相關數據；經過“學生”對象產生數據實體主要有考試成績、課堂表現、獲獎、畢業去向等一系列和學生學習成長相關數據。這些數據存放在智慧校園數據中心，經過綜合統計分析，又產生大量衍生數據，如教師分布情況、學生分布情況、考試成績綜合統計分析等，這些數據能夠為學校管理層提供微觀和宏觀決議支持，使領導能夠直觀了解各個部門乃至整個學校運行情況。詳細數據模型框架以下列圖所表示：基礎支撐平臺統一身份認證系統應用系統假如采取各自獨立身份認證機制，用戶就要記憶不一樣系統中賬號/密碼。為方便師生使用，處理多應用帶來多賬號問題，需要建立統一身份管理平臺，用戶在平臺上登錄一次就能夠訪問全部具備權限應用。統一身份認證以IDM/IM（身份認證管理）為基礎提供安全用戶身份管理功效，并配合AccessManager基于代理架構訪問控制，提供Web應用單點登錄和Web應用保護。IDM/IM都集成了DirectoryServer(LDAP)目錄服務器來存放統一身份庫信息。統一身份認證實現功效以下：1.建立統一集中身份庫——統一身份數據中心，對各應用系統全部用戶提供集中和統一管理，同時依照各個業務應用系統認證方式不一樣提供靈活認證機制；2.在集中身份庫基礎上，在滿足數字校園管理平臺信息系統內部業務流程規則前提下，經過身份管理技術實現身份庫與各個業務應用系統(門戶、OA、教學、教務等系統)用戶身份信息自動同時處理功效；3.在集中身份庫基礎上，提供單點登錄(SSO)功效，用戶只需要經過一次身份認證就能夠訪問具備權限全部資源。集中身份庫與門戶系統統一能夠為整個平臺提供集中管理、安全機制，實現整體統一。設計關鍵點支持用戶數據集成，適應中小學用戶數據分散管理現實狀況支持用戶數據存放模式，適應中小學教職員多重身份現實狀況支持多個認證方式，確保異構業務系統能夠集成，讓用戶取得完整單點登錄體驗滿足不一樣用戶或系統認證安全需求確保身份認證平臺高可靠性和高性能前三個需求是身份認證平臺發揮作用基礎，而伴隨應用集成力度和廣度加大，后兩個將是身份認證平臺必須妥善處理問題。校園應用功效多樣、結構復雜，各應用系統權限管理基本上采取分級授權方式。身份認證平臺能夠采取統一權限模型，供各應用系統使用，對應權限數據既可集中管理也可分布式管理。從實踐結果看，集中權限控制效益并不顯著，提議不強求集中控制，由各應用系統設計開發時按需選擇。系統框架身份認證平臺主要包含以下三方面功效：LDAP目錄服務，支持海量用戶數據存放和管理高性能SSO(單點登錄)身份認證服務開放認證集成方式，支持不一樣開發語言和不一樣應用服務器平臺業務系統統一身份管理架構學校各種應用系統通常都有自己獨立用戶管理、用戶認證和授權機制，造成系統間互不兼容；學校組織機構也不停改變，用戶起源日趨復雜，角色多樣化和角色改變等問題不停出現。各方原因交織在一起形成了一個龐大矩陣，為統一身份管理帶來了困難。如圖：針對上述問題，建立一個統一，基于業界標準（如LDAP，XML，WebService，J2EE等），靈活、開放、可擴展性身份管理框架是最終處理方案。一個好身份管理處理方案將復雜身份管理問題變得簡單、實用。身份認證平臺關鍵結構以下列圖所表示：身份認證平臺管理用戶在各個應用系統中用戶信息對應關系，并依照這一關系管理用戶在各個應用系統中生命周期，如添加、刪除、修改等。身份認證平臺身份同時工具能夠自動發覺某個應用系統中用戶信息改變并經過一定規則，保持和其它應用中用戶信息同時。身份認證平臺關鍵包含用戶信息創建和中止審批流程，該流程由管理員預先定義，能夠修改。當用戶帳戶申請被同意后，用戶帳戶將依照預先定義規則在中央主目錄服務器中創建，并經過資源適配器在各個該用戶能夠使用應用系統中產生帳戶信息。用戶帳號中止也是一樣原理。身份認證平臺具備口令管理功效，支持口令策略管理和口令歷史統計，支持用戶身份審計和用戶帳戶風險分析，支持用戶身份管理系統運行監測、評定。用戶數據模型身份認證平臺中數據模型包含：1. 用戶帳號：學生、教職員工、合作搭檔、供給商等帳戶信息；2. 資源：身份認證平臺所管理身份數據源和應用系統，如學生數據中心、教職員數據中心、電子郵件、一卡通、綜合網絡管理系統以及上網認證系統、VPN系統等，以及其它基于用戶屬性更改應用；3. 資源組：按一定次序組織資源，身份認證平臺將依照這一次序在應用系統中創建和刪除用戶信息；4. 組織：管理一組用戶、資源和其它對象邏輯容器；5. 角色：用戶工作角色，代表其職能性質，據此在資源中設置用戶屬性；6. 管理帳戶：具備管理員權限，能夠進行分級管理；7. 能力：擁有哪些權限，如口令管理員只能管理用戶口令。下列圖為數據模型圖：身份認證平臺：管理用戶訪問一個或多個資源權限；管理用戶在這些資源上帳戶數據；賦予用戶一個或多個角色，設置用戶訪問各種資源權限；管理組織，決定用戶帳戶由誰和怎樣被管理。用戶數據是動態，依賴于用戶角色、資源和資源組。依照角色（能夠是多角色）賦予資源數量和類型，需要不一樣信息表示，也決定著創建用戶時信息數量。身份認證平臺有虛擬用戶概念，主要作用是映射用戶到多個資源，能夠將一個用戶在多個應用系統中全部帳戶信息作為一個實體來管理。用戶數據管理身份認證系統需要提供多樣化用戶數據管理方案。用戶數據采集能夠依照學校現實狀況，采取以下方式：1、集成管理著權威用戶數據業務系統，依賴該系統進行用戶數據管理2、經過數據集成平臺雙向同時用戶數據3、經過身份認證平臺用戶管理程序管理用戶數據身份數據集成統一身份認證系統集成用戶身份數據過程，是經過數據交換平臺從學校各個業務系統中自動抽取用戶身份數據，并加以歸納和整理，最終充實用戶身份信息庫。自動發覺和動態同時身份認證平臺能夠自動發覺所管理資源中用戶信息更改，并依照規則將其同時到其它資源中去。帳號和口令管理身份認證平臺提供了統一WEB管理界面，能夠方便地管理帳號和口令。帳號管理功效包含：用戶自注冊功效：用戶使用公共帳號/口令登錄系統，然后自行注冊一個賬號/口令。帳號新建功效：外來人員如需暫時帳號，能夠由管理員手工生成訪問身份，這個訪問身份通常是帳號/口令，也可經過多因子認證或數字證書實現。這些暫時帳號需要使用期限制，在“暫時”這段時間內有效，過期則失效；對于可轉為正式帳號“暫時帳號”，可自動轉換。帳號注銷功效：在一定條件下，實現用戶帳號注銷。用戶帳號注銷后，全部用戶權限失效。帳號凍結功效：暫時中止用戶訪問權限，在用戶需要開通時能夠重新恢復，這么用戶能夠繼續使用原來帳號。口令管理包含：自助式口令重置和同時經過Web瀏覽器或者IVR（InteractiveVoiceResponse，交互語音應答系統）系統來實現自動口令策略執行口令歷史信息存放口令過期通知等等。為滿足用戶個性化設置需求，減輕管理員密碼維護壓力，平臺提供個人密碼找回和別名登錄功效，并開放給全部用戶。個人密碼遺忘后，用戶能夠在門戶認證界面上使用密碼找回功效，問題回答正確后，能夠重新設置密碼；用戶登錄后，能夠依照自己習慣設置登錄別名，系統自動檢驗別名是否重復，別名設置成功后，用戶能夠使用別名進行登錄。分級管理平臺提供扁平用戶權限模型，提供分級管理功效。應用模式系統缺省建立四大類身份：領導、教職員、學生、校友；各應用系統按需建立自己權限組或屬性信息，也可復用其它系統已經建立權限數據；權限模型支持分級授權，支持按組織架構、系統范圍、用戶屬性等將權限管理工作分配給多名管理員；因為本功效在實際使用中輕易造成管理混亂，通常提議只按照系統范圍（如人事系統、學生系統等）來分級授權。用戶數據采集時，自動依照用戶屬性和起源為其設置對應身份。批量維護工具滿足管理員日常數據維護需要，提供：批量導入用戶數據、組織數據批量修改和刪除人員屬性信息高級查詢功效系統服務注冊和注銷在不一樣人員容器間移感人員數據應用模式：教職員用戶數據經過人事系統數據訪問接口或用戶數據表導入；管理員定時使用該工具完成教職員用戶數據導入；學生畢業轉為校友后，管理員經過該工具將畢業生批量轉入；系統運行準備階段，管理員經過該工具完成批量用戶密碼初始化。與經典應用系統集成身份認證平臺資源適配器采取服務器端J2EE適配器，布署在身份認證服務端，即J2EE應用服務器上，然后依照所管資源通訊協議和資源互通。對于大部分應用系統，無須在資源（即應用）一方安裝任何代理。這么既對應用系統無影響，又防止了維護代理工作。與LDAP目錄服務器集成身份認證平臺和LDAP目錄服務器集成，如SunJavaSystemDirectoryServer是經過JNDI資源適配器完成，在資源方無須代理。與采取LDAP目錄服務應用系統集成同上。身份認證平臺經過其LDAP目錄服務資源適配器和這些應用系統集成。與關系型數據庫應用系統集成假如應用系統用戶數據存放在關系型數據庫中，應用系統和統一身份認證系統集成后，統一身份認證平臺代替了應用系統身份認證功效，該數據庫中用戶信息將主要用于應用系統本身授權和策略管理。身份認證平臺主要集成關系型數據庫中用戶信息表、權限信息表以及用戶/權限對應關系表等，在身份認證平臺上建立針對應用數據庫資源，并制訂對應用戶信息映射和同時關系，經過該資源將對應用戶信息創建到數據庫中。身份認證平臺和關系型數據庫集成是經過身份認證平臺提供JDBC（JavaDataBaseConnectivity，Java數據庫連接）資源適配器完成，并在資源方無須安裝任何代理。資源適配器開發身份認證平臺為創建定制化資源適配器提供了工具和文檔支持。開發工具包包含：指南性文檔資料：功效定義、README文件等Javadoc：提供身份認證平臺API信息Jar文件：用于編譯、連接樣根源代碼等。統一授權管理策略與權限管理模塊是多用戶應用系統不可或缺。通常，策略與權限管理模塊以應用專有方式實現，系統策略模型、策略存貯結構與訪問控制邏輯與應用業務邏輯之間耦合緊密。這種方式缺點是顯而易見：因為策略模塊與應用邏輯之間緊耦合使得策略模塊極難進行擴展與維護；策略模塊設計與編碼需要很大工作量，而且極難在不一樣應用系統之間共享與重用。為了克服專有方式缺點，統一用戶管理與認證平臺在基礎設施層提供了增強策略服務，提供標準、通用、靈活和可擴展策略模型，支持策略定義、存貯、配置與判定，并與用戶管理和服務管理緊密集成。統一授權平臺架構統一授權平臺架構以下列圖所表示。圖中以灰色表示組件是應用相關部分，需要進行定制設計與開發；其余組件均由統一授權平臺提供。總體而言，策略與權限管理模塊架構基于PDP/PEP模型。PDP代表策略判定點(PolicyDecisionPoint)，是策略提供者；PEP代表策略執行點(PolicyEnforcementPoint)，是策略使用者。該架構中，統一授權管理提供PDP服務，包含策略定義、存貯、配置與判定，這些服務經過策略判定API與策略管理API向外部應用提供；PEP是應用中依照策略判定結果執行應用邏輯部分。PDP與PEP之間能夠經過Java/C++API或XML/HTTP通信。因為統一授權管理提供策略判定結果是原始結果，為了深入簡化應用中策略執行邏輯，引入應用策略判定接口，對統一授權管理策略判定接口進行封裝，對原始策略判定結果作深入加工與處理。統一授權管理支持經過策略主體SPI（服務提供者接口）、策略條件SPI、策略推薦SPI與資源名稱SPI進行擴展。策略存貯結構經過LDAP中對象類與屬性類型加以定義；策略存貯在目錄服務器中。策略模型統一授權管理策略服務建立在通用、靈活和可擴展模型上。正是該策略模型使其能在基礎設施層以一個應用無關方式提供強大策略服務。通常而言，作為訪問控制規則策略描述了“誰在何種情況下針對指定服務對何種資源可執行怎樣操作”。在這里，“誰”是策略主體；“情況”是策略適用條件；“服務”是策略上下文，“資源”與“操作”都是與該服務相關；“資源”是策略對象；“執行怎樣操作”能夠表示為一系列“動作”及與之對應“值”。基于單點登錄系統策略模型提供了充分表示能力，允許準確描述如上通用策略。統一授權管理策略采取XML來描述。為簡明起見，在此以半形式化方式描述策略模型以下：常規策略::=主體集+條件集+規則集主體集::={主體}條件集::={條件}規則集::={規則}主體::=AccessManager角色集|LDAP組集|LDAP角色集|LDAP用戶集|LDAP組織集條件::=認證級別|認證方式|客戶IP|時間規則::=服務+資源名稱+動作類型-值對集資源名稱::=字符串動作類型-值對集::={動作類型-值對}動作類型-值對::=動作類型+值備注：1、統一授權管理策略包含推薦策略與常規策略。因為推薦策略只是將策略推薦給對等組織或子組織進行判定，而不包括策略詳細判定，所以此處不對推薦策略進行詳細描述。2、統一授權管理提供主體插件SPI、條件插件SPI和資源名稱插件SPI允許擴展主體、條件與資源名表示能力，上述描述中主體、條件與資源名稱只是由系統提供標準實現。策略編程接口應用系統訪問身份認證平臺能夠使用JavaAPI接口，也能夠使用XML/HTTP接口。假如是遠程訪問，則JavaAPI接口本身也是對XML/HTTP接口一個封裝。遠程客戶端調用策略驗證接口時處理流程以下：(1) 應用系統調用JavaAPI請求策略驗證；(2) JavaAPI依照策略驗證請求生成一個XML策略驗證請求；(3) JavaAPI將XML策略驗證請求經過HTTP協議發送給系統Policy服務：%protocol://%host:%port/amserver/policyservice(4) 系統處理策略驗證XML請求，并創建一個策略決議XML文檔作為應答返回給客戶端；(5) 客戶端JavaAPI接收并解釋策略決議XML文檔；(6) 應用系統經過JavaAPI獲取策略決議信息。從上述流程可知，策略驗證結果是以策略決議形式表現。假如使用XML/HTTP接口，則策略決議是一個XML文檔；假如使用JavaAPI接口，則策略決議是一個Java對象。策略決議中包含一組動作決議，動作決議是關于某個詳細動作決議，其中包含：（1）動作值：與該動作相關決議值；（2）有效時間（TTL）：決議值在多久時間內有效；（3）提議：該動作決議描述信息。動作值能夠是布爾類型，表示是是否、允許或禁止等兩值類型動作決議；動作值也能夠是復雜類型，如字符串、數值等，能夠用來表示動作程度、范圍等決議概念，諸如郵箱配額、折扣率等。可能有許多策略適適用于一次策略請求，不一樣策略可能相互沖突。比如，用戶擁有角色允許他訪問某個URL，而用戶所屬組禁止他訪問某個URL；再比如，用戶擁有一個角色給予他20M郵箱配額，而用戶擁有另一個角色給予他10M郵箱配額。這種不一樣策略同時適用，而且決議值不一樣情況稱為沖突。沖突策略決議必須消解之后才能用于權限控制。系統是這么消解策略決議沖突：(1) 假如動作值類型是布爾類型，則全部策略決議值在執行AND操作之后返回，返回值是單值。也就是說，只要有一個策略動作決議是false，則動作決議值就為false；(2) 假如動作值類型是復雜類型，則全部策略決議值全部返回給應用系統，由應用系統對決議值進行深入沖突消解。策略管理包含創建、刪除和修改策略。用戶能夠經過系統WEB控制臺界面或命令行界面管理策略。假如在應用系統中需要對策略進行管理，能夠使用系統策略管理API。應用策略設計一個應用系統是建立在多個平臺服務之上，而且向用戶提供多個用戶服務；而一個平臺服務也應該為多個應用系統使用。所以應用系統與服務之間是多對多關系。因為服務是應用組成元素，所以，授權應該是針對服務資源而不是應用資源來進行。不一樣服務具備不一樣資源和動作類型，所以，不一樣服務有不一樣策略模板，該模板稱為策略方案（PolicySchema）。服務與策略方案之間對應關系應該是一對一關系。配置策略、驗證策略是經過指定服務來指定策略方案。一條詳細策略要求了一組主體在一組條件下一組訪問控制規則。每條規則中均指明了一個服務、屬于該服務資源以及一組動作與值對。每個策略方案也能夠被多條策略使用。所以，策略與策略方案之間對應關系應該是多對多關系。因為服務與策略方案之間是一一對應，所以，定義策略方案是在定義服務同時進行。只有當服務定義之后，才能定義與該服務相關詳細策略。從身份認證平臺服務管理角度，服務是一組定義在一個公共名字下經過身份認證平臺管理屬性集合。身份認證平臺將服務作為一組屬性進行管理，而并不關心這些屬性詳細涵義。服務屬性集合是經過一個XML文件加以定義。身份認證平臺提供了大量平臺服務，這些服務本身也是經過系統服務管理功效加以管理，所以，這些平臺服務也有對應XML定義文件，而且服務選項也是經過服務屬性加以管理。為了使服務能夠針對不一樣用戶、角色或組織等身份實體進行定制和個性化，身份認證平臺將服務屬性分為以下五種類型。不一樣類型屬性具備不一樣作用域、繼承性、用途。類型作用域繼承性用途全局整個統一授權系統不可繼承服務全局配置組織應用于組織不可繼承服務組織級配置動態應用于角色、用戶可繼承服務動態配置，配置給角色屬性自動為全部具備該角色用戶擁有，配置給組織屬性自動為全部該組織下用戶擁有。策略N/AN/A與服務授權相關配置用戶只應用于用戶不可繼承服務針對于每個用戶個性化配置。用戶類型屬性只對個別用戶有意義。角色與用戶組管理角色是和用戶組概念相同目錄服務器對象管理機制。一個組有其組員；一個角色也有其組員。在身份認證平臺中，用戶角色權限是經過為其設定ACI（AccessControlInfromation）來控制。訪問控制指令能夠控制對整個目錄、目錄子樹、目錄中特寫條目（包含定義配置任務條目）或特定條目屬性信息訪問權。能夠設置特定用戶、全部屬于特定組或角色用戶或全部目錄用戶權限。還能夠定義對特定位置（比如IP地址或DNS名稱）訪問權。與條目屬性一樣，訪問控制指令存放在目錄中。ACI屬性是一個操作性屬性，可用于目錄各個條目，而不論是否為該條目標對象類所定義。接收到客戶端LDAP請求時，目錄服務器使用該屬性來允許或拒絕訪問。假如有尤其請求，則在ldapsearch操作中返回ACI屬性。在平臺中能夠定義特定角色，并利用ACI來控制其訪問權限。這么做能夠滿足一些特殊需求。利用組織內創建用戶時能夠擁有默認角色機制，能夠為不一樣組織創建不一樣默認角色，這么新建用戶就自然擁有了這些角色所擁有屬性和服務以及對應權限。組代表了具備相同功效、屬性或者興趣興趣用戶集合。通常來說，組沒有自己特權。組能夠定義在組織機構下，也能夠定義在別受管組（ManagedGroup）內作為子組。身份認證平臺提供了組分級管理能力。即使組組員缺省來自于整個用戶樹，不過對于權限有限組管理員來說，當他管理一個預訂組時候，他只能把他自己能管理用戶添加到新創建預訂組中。在這里已經部分實現了用戶組分級管理。在業務系統一級授權上，我們提供了全局權限組用于人員初始化授權。這些組按照用戶基本身份建立（比如學生組、教職員組），作用域為整個組織樹，在人員初始時能夠按照身份加入這些全局組，從而實現人員權限初始化。權限語義集成當身份認證平臺策略服務不能滿足業務系統授權要求時，我們提供了一個針對業務系統開放完全自由權限語義集成機制。權限語義描述了用戶詳細應用權限，權限語義詳細描述和解析由業務系統負責。業務系統能夠經過API來獲取這些語義，解析后授予用戶對應權限。用戶數據采集功效描述針對學校用戶管理分散進行特點，提供從權威數據源采集用戶數據，并實時更新目錄服務器中用戶數據，提供：數據源采集點和采集周期定義數據源改變跟蹤和自動采集應用模式建立從公共數據庫平臺相關共享數據集采集，在學生和教職員用戶數據變更(包含新增、刪除、修改)后，采集模塊自動同時更新統一認證用戶數據庫。用戶數據通常分散在不一樣應用系統中。常見情況是：人事系統管理人事信息；辦公系統管理與日常工作關于信息；用戶認證信息如用戶ID和密碼在各個系統中通常不一樣，由各個系統分散管理；用戶基本屬性，如姓名等信息往往在各個系統中都存在。不一樣應用系統不但管理不一樣類型用戶數據，而且也提供不一樣類型數據存放與訪問方式。傳統業務系統通常使用關系數據庫存放用戶數據，如管理信息系統；互聯網應用系統通常使用LDAP存放用戶數據，如電子郵件系統。不一樣類型數據存放方式具備不一樣數據存放格式，也提供不一樣數據訪問接口。用戶數據分散存放與管理使得共享用戶數據成為復雜而低效任務。建立統一用戶管理數據庫目標是為用戶信息管理與使用提供統一入口。統一用戶管理數據庫在物理上與其它應用數據源獨立，在數據上與其它應用數據源保持同時。用戶管理數據庫變更后同時到LDAP目錄數據庫。用戶數據公布功效描述為了保持各業務系統中用戶數據完整性和統一性，向各集成業務系統提供用戶身份數據。應用模式對現在已經有系統提供用戶數據更新變更同時提供用戶信息瀏覽、排序、查詢等管理功效因為中小學用戶數據分散管理，在權威數據源變更后，其余系統都可經過統一用戶管理數據庫同時數據變更，保持數據完整與一致批量維護工具功效描述滿足管理員日常維護數據需要，提供：導入用戶數據和組織數據批量修改和刪除人員屬性信息高級查詢功效服務注冊與注銷在不一樣人員容器間移感人員數據應用模式教職員用戶數據由人事系統提供數據訪問接口或用戶數據表管理員定時使用該工具完成教職員用戶數據導入在學生畢業轉為校友后，管理員經過該工具將畢業生批量轉入系統運行準備階段，管理員經過該工具完成用戶密碼批量初始化個人自助服務功效描述為了滿足用戶個性化設置并減輕管理員維護工作量，平臺提供個人密碼找回、別名登錄功效。應用模式該功效開放給所用用戶；用戶遺忘個性化設置密碼后，能夠在門戶認證界面上進入密碼找回功效，預設問題回答正確后，能夠自主重置密碼；用戶登錄后，能夠依照自己習慣設置登錄別名，系統自動檢驗別名是否重復，別名設置成功后，用戶能夠經過別名進行登錄。權限模型功效描述為了適應中小學用戶多重身份和組織結構易變特點，同時最大程度確保用戶認證效率，平臺提供扁平用戶權限模型。應用模式系統將缺省建立四大類身份：教職員、學生、領導、校友；各應用系統按需建立自定義權限組或屬性信息，也可復用其余系統已經建立相關權限數據；權限模型支持分級授權，方便按組織架構、系統范圍、用戶屬性等特征將權限管理工作逐層分配給多名管理員；該功效在實際使用中輕易造成管理混亂，通常提議只按照系統范圍（如人事系統、學生系統等等）來分級授權。用戶數據采集時，自動依照用戶屬性和起源為用戶設置對應身份。認證集成功效描述滿足學校業務系統多元化特點，提供：支持基于認證接口、認證代理和LDAP認證多個認證集成模式支持密碼認證支持與標準主流Radius服務器集成預留CA認證擴展接口預留SmartCard、JavaCard認證擴展接口預留與網絡接入認證設備用戶認證模塊集成接口，實現與網絡接入認證設備認證集成應用模式業務系統全部采取基于認證接口認證集成方式；用戶統一采取基于密碼認證登錄方式。單點登錄服務單點登錄（SingleSignOn，SSO）通常定義為指用戶只需經過一次認證就能夠訪問全部擁有訪問權限應用系統。單點登錄能夠提升用戶工作效率，降低身份認證過程中人為錯誤，也減輕了用戶在密碼管理上負擔，從而使系統更安全、更易用。身份認證平臺提供了單點登錄處理方案，用戶只需經過系統認證，而且具備足夠權限，就能夠訪問全部由身份認證平臺管理應用系統。統一認證服務是單點登錄支持基礎，沒有統一認證，就沒有真正單點登錄。校園網通常運行多個應用系統，為學校領導、各部門及教生提供多個服務，這么就帶來了一個突出問題，用戶面對多個系統時要記憶、輸入帳號/口令等信息，不但煩瑣，而且輕易丟失口令，一旦口令泄漏會造成不可估量損失。單點登錄系統建設目標是要處理各應用系統用戶名和口令不統一問題，期望提供一套方便、安全口令認證方法，讓用戶只要一個用戶名和口令就能夠使用網絡上他有權使用全部業務系統。設計關鍵點單點登錄系統設計關鍵點以下：遵照LA（LibertyAlliance，聯合互信）ID-FFV1.2規范。支持SAML（SecurityAssertionMarkupLanguage）安全性斷言標識語言規范。支持多個多級登錄認證機制，如用戶/密碼、動態口令等。支持系統認證過程支持加密認證方式。系統支持基于用戶UID和密碼身份認證。提供用戶密碼加密功效，支持SSHA、CRYPT、SHA等加密算法。經過TLS（TransportLayerSecurity，傳輸層安全協議）或SSL（SecureSocketsLayer，安全套接層協議）為信息傳輸提供保密性和完整性保護。支持X.509協議，能夠對數字證書、公共密鑰、數字署名進行存放和管理。支持跨域單點登錄功效。系統原理與體系結構單點登錄系統根本原理是保持用戶會話（session）狀態。用戶經過一次認證就可建立單點登錄會話，每個單點登錄會話對應于一個令牌（token），用戶訪問應用系統時向應用系統傳遞單點登錄令牌，應用系統能夠依照令牌識別用戶認證狀態，從而使一次認證能夠被多個應用系統認可，防止了重復認證。我們采取SunJavaSystemAccessManager（簡稱AM）作為單點登錄底層技術平臺。依照上述原理，AM對單點登錄提供SDK級別支持，其中包含單點登錄令牌創建與驗證。以WEB應用單點登錄為例：用戶經過AM認證頁面進行認證，認證經過之后，平臺為該用戶創建一個單點登錄令牌，并將該令牌ID經過cookie返回至用戶瀏覽器；當用戶訪問WEB應用系統時，單點登錄令牌ID自動經過cookie傳遞至WEB應用系統，WEB應用系統能夠經過單點登錄令牌ID還原單點登錄令牌，并向AccessManager驗證單點登錄令牌是否有效。假如有效，則應用系統能夠從單點登錄令牌獲取用戶身份信息，而不再需要用戶進行再次認證。對于C/S結構應用，單點登錄過程是類似，只是單點登錄令牌ID傳遞方式不一樣。上述單點登錄SDK體系結構以下列圖所表示：如前所述，單點登錄是經過單點登錄會話實現，經過單點登錄會話保持用戶在整個平臺認證狀態。在對用戶進行身份驗證之前，AM會話服務先產生令牌，令牌包含一個隨機生成會話標志而且會作為這次會話最終標志。令牌一旦生成，AM會將它插入一個Cookie，而且頒發給用戶瀏覽器。與此同時，AM會依照用戶所使用驗證方式，提醒不一樣登錄界面，驗證方式可預先為組織、角色或單個用戶進行配置。當用戶接收到登錄界面時，同時也取得一個會話令牌，用戶會鍵入用戶名和密碼，登錄資料被提交給適當驗證服務器(如LDAP、RADIUS等)，一旦用戶經過了身份驗證，AM會從cookie中提取用戶令牌，而且將其狀態設置為有效，接著將用戶重新定向到所要訪問URL。單點登錄會話具備以下列圖所表示生命周期：如圖所表示，單點登錄會話初始狀態是無效，表示單點登錄會話即使已經創建并被分配給用戶，但用戶還未經過有效認證。無效單點登錄會話也經過一個單點登錄會話令牌身份，并存放在用戶瀏覽器cookie中。當用戶認證成功之后，單點登錄會話變為有效狀態。該單點登錄會話仍以同一個單點登錄會話令牌身份，用戶瀏覽器中cookie不變，只是服務器維護會話狀態變為有效。單點登錄會話能夠因為以下原因而銷毀：客戶端空閑時間達成最大空閑時間；會話時間達成最大會話有效時間；因為用戶登出而顯式銷毀會話；會話銷毀之后，客戶端cookie中保留單點登錄會話令牌身份依然存在，只是與該令牌相關會話信息已經在AM中刪除。上述單點登錄會話生命期由AM進行管理，會話生命期特征能夠經過配置選項進行定制。在AM中，與單點登錄會話相關屬性是經過“會話”服務（sessionservice）進行管理，這些可配置屬性均為動態類型屬性，能夠針對組織、角色和服務配置，并可被繼承。會話可配置屬性以下表所表示：單點登錄會話屬性說明最長會話時間（分鐘）單點登錄會話有效最長時間，超出該時間，用戶必須重新登錄創建新單點登錄會話。最長空閑時間（分鐘）當用戶沒有任何動作時，單點登錄會話有效最長時間，超出該時間，則會話失效，用戶必須重新登錄創建新單點登錄會話。最長高速緩存時間（分鐘）單點登錄會話信息在客戶端高速緩存中保留最長時間，超出該時間，則客戶端必須訪問服務器以刷新緩存中會話信息。經過AMWeb控制臺能夠管理單點登錄會話。在Web控制臺“當前會話”頁面顯示了當前全部有效單點登錄會話狀態，管理員能夠有選擇性地終止單點登錄會話。認證方式設計單點登錄系統采取認證方式與登錄方式分層設計，可平滑擴展多個登錄方式，如用戶名口令、證書、智能卡等，支持多級登錄認證機制。為預防暴力破解，提供附加圖像碼方式增加安全性。用戶認證方式認證方式單點登錄系統提供了多個內置登錄方式。1、LDAP認證方式單點登錄系統提供缺省認證方式。使用LDAP認證方式，用戶名與口令存放在指定LDAP目錄中。當一個用戶登錄時，提供用戶名與口令若與該LDAP目錄中指定子樹中某一個用戶統計用戶名與口令相同，則認證成功，登錄者具備LDAP目錄中該用戶統計對應身份。2、自注冊認證方式允許用戶在認證時選擇“新建用戶”，并輸入用戶名與口令，建立自已用戶帳號。隨即就能夠像LDAP認證方式一樣使用用戶名與口令登錄系統。自注冊用戶資料也存放在LDAP中，但能夠為自注冊用戶指定不一樣于用戶存放位置。3、數字證書認證方式使用X509v3數字證書，只要客戶端能夠提供X509v3數字證書，系統允許其登錄。能夠配置用戶個人數字證書必須和目錄服務器中存放證書相同，并與證書回收列表（CRL）比較以確保個人證書是有效。4、RADIUS認證方式系統利用外部撥號認證系統作為本身認證機制，假如用戶經過了外部撥號認證系統認證，系統則認為此用戶認證經過。5、UNIX認證系統利用所安裝UNIX環境認證系統作為本身認證機制，假如用戶經過了UNIX認證系統認證，系統則認為此用戶認證經過。6、MicrosoftWindows域認證系統使用Windows域認證系統作為本身認證機制，假如用戶經過了它認證，則認為此用戶認證經過。7、SafeWord認證系統可使用SecureComputingSafeWord或SafeWordPremier認證服務器。單點登錄系統作為SafeWord服務器客戶端，SafeWord服務器能夠安裝在單點登錄系統同一臺機器上，也能夠安裝在另外系統中。8、RSASecureID認證9、多因子認證除了上述內置認證方式之外，平臺也提供了服務提供者接口來開發定制認證方式。認證方式個性化不一樣認證方式具備不一樣安全性、易用性和布署成本，所以，針對不一樣用戶群與不一樣應用范圍需要對認證方式進行個性化。在單點登錄系統中，能夠依照角色、用戶、服務指定不一樣認證方式，也能夠在認證時直接指定認證模塊。對于不一樣組織、角色和服務，能夠配置個性化認證選項。認證選項按照不一樣認證方式經過單點登錄系統服務加以組織。單點登錄系統為每種內置認證方式定義了一個服務，并定義了一個關鍵認證服務，用于組織全部認證方式公有屬性。以下分述關鍵認證服務與支持配置選項以及慣用認證服務配置選項。關鍵認證服務支持配置選項分為全局選項與組織選項。全局選項在整個單點登錄系統范圍內適用，組織選項在組織級別進行配置，只對一個組織有效。用戶認證界面用戶認證界面是單點登錄系統與最終用戶接口，它負責向用戶顯示登錄表單，搜集用戶認證信息，并傳回服務器端；服務器端經過調用平臺認證API進行認證，并為經過認證用戶創建單點登錄系統單點登錄會話。單點登錄系統提供了基于WEB用戶認證界面，該用戶認證界面是由單點登錄系統動態生成，提供了平臺中全部認證模塊用戶界面。單點登錄系統用戶認證界面是基于JATO（J2EEAssistedTake-Off）WEB應用框架創建，它經過JSP和XML為用戶提供圖形化界面交互方式。對用戶認證界面常見客戶化工作包含對認證界面上文字信息和圖片進行客戶化，以及對用戶認證界面進行當地化。認證界面是基于一組JSP模板和XML文件動態生成。JSP模板定義了認證頁面布局，XML文件是認證模塊配置資源文件。缺省JSP模板和XML文件均位于位于IS_Root/SUNWam/web-apps/services/config/auth/default目錄下。這些文件均可修改，使得不一樣組織、子組織、地域、服務/應用、客戶端類型具備不一樣認證界面。認證接口設計單點登錄系統提供了公共認證服務架構，對外提供多個認證接口，以及認證服務擴展接口。基于統一認證服務應用系統間能夠實現單點登錄。認證服務架構單點登錄系統提供認證服務是基于JAAS（Java認證與授權服務）框架。JAAS是Java2平臺標準版(J2SETM)1.4規范組成部分，它提供認證與授權服務應用編程接口與服務提供者接口，但單點登錄系統只使用了JAAS認證接口。應用開發人員不直接使用JAAS，而是使用單點登錄系統認證應用編程接口。單點登錄系統提供Java和XML/HTTP兩種應用認證接口。Java認證接口能夠在當地或遠程調用。在當地調用Java編程接口直接與JAAS認證API交互，在遠程調用Java編程接口則實際經過XML/HTTP與認證平臺認證服務交互。XML/HTTP認證接口提供了與語言和平臺無關方式對認證服務進行遠程訪問。單點登錄系統認證模塊是以插件方式實現，多個認證模塊經過JAAS服務提供者接口與單點登錄系統相連。這種基于插件認證模塊實現方式使得單點登錄系統能夠支持已經廣泛應用各種標準認證方式，也支持客戶自行定制認證方式。下列圖顯示了單點登錄系統認證服務架構。應用認證接口單點登錄系統僅為應用程序提供兩種類型認證編程接口。對基于Java應用系統（包含基于JSPWEB應用系統和基于Java應用程序）能夠使用Java編程接口；對于非Java應用系統，能夠使用XML/HTTP編程接口或C/C++編程接口。假如僅使用SUNAccessManagerAPI接口，存在很多限制：1、操作系統限制：C/C++接口現在只能穩定運行在Solaris系統中，其余主流UNIX/Linux系統不支持2、XML解析復雜：對于非Java和C/C++開發系統集成來說，集成應用需要編寫了解復雜XML結構，編寫XML解析程序3、集成系統開發工作量大：集成系統采取API模式集成時不但要完成SUNAPI復雜過程配置，還需要進行通訊多線程處理，在雙機環境下還需要大量編程支持動態切換4、平臺升級困難：直接采取SUNAPI集成，每個集成應用都與底層平臺緊密耦合，當平臺升級時，需要每個應用重新進行修改，無法確保整個系統平滑升級。為了處理這些問題，我們采取ICE（InternetCommunicationsEngine）中間件平臺自主開發各類認證接口。ICE是一個面向對象中間件平臺，采取了一個用于使對象接口與其實現相分離基礎性抽象機制，為構建面向對象客戶－服務器應用提供了工具、API和庫支持。在客戶機與服務器之間建立合約，描述應用所使用各種類型及對象接口。這種描述與實現語言無關，所以編寫客戶所用語言無需與編寫服務器所用語言相同，很適合中小學多語言集成環境。其架構圖以下：ICE認證接口是架設在集成應用和身份認證平臺之間中間件，支持大多數主流Unix/Linux平臺與MSWindows平臺，集成應用系統開發人員無需面對復雜XML解析，只需要一個對象（類）就能夠完成全部認證相關操作，ICE認證接口API是線程安全，開發人員無需額外付出就能夠取得高效多線程功效。在架構上ICE接口存在使得各個集成應用和統一身份平臺是非緊密耦合，在代碼層統一身份平臺對外接口升級改變將不會影響到各個集成應用，增加了整個系統穩定和擴展性。同時ICE也支持統一身份認證平臺雙機熱備模式，能夠動態進行切換，集成應用無需付出額外工作考慮平臺狀態問題。ICE認證接口增加了系統監控功效，經過配置，能夠在系統出現問題時發郵件通知系統管理員。我們架構為應用開發者提供很多主要優勢：面向對象語義ICE“在線路上”完全保留了面向對象范型。全部操作調用都使用遲后綁定，所以操作實現選定，是依照對象在運行時（而不是靜態）實際類型決定。支持同時和異步消息傳遞ICE提供了同時和異步操作調用和分配，經過ICEStorm提供了公布－訂閱消息傳遞機制。這么，能夠依照應用需要來選擇通信模型，而無須把應用硬塞進某種模型里。支持多個接口經過facets，對象能夠提供多個不相關接口，同時又跨越這些接口、保持單一對象標識。這提供了極大靈活性，尤其是在應用發生演化，但又需要與更老、已經布署客戶端保持兼容時。機器無關性客戶機及服務器與底層機器架構屏蔽開來。對于應用代碼而言，像字節序和填充這么問題都隱藏了起來。語言無關性客戶和服務器能夠分別布署，所用語言也能夠不一樣。客戶和服務器所用Slice定義建立二者之間接口合約，這么定義也是它們唯一需要達成一致標準。實現無關性客戶不知道服務器是怎樣實現其對象。這意味著，在客戶布署之后，服務器實現能夠改變，比如，它能夠使用不一樣持久機制，甚至不一樣程序設計語言。操作系統無關性ICEAPI完全是可移植，所以一樣源碼能夠在Windows和UNIX上編譯和運行。線程支持ICE運行時環境完全是線程化，其API是線程安全。作為應用開發者，除了在訪問共享數據時進行同時，無需為開發線程化高性能客戶和服務器付出額外努力。傳輸機制無關性ICE現在采取了TCP/IP和UDP作為傳輸協議。客戶和服務器代碼都不需要了解底層傳輸機制，能夠經過一個配置參數選擇所需傳輸機制。位置和服務器透明性ICE運行時環境會負責定位對象，并管理底層傳輸機制，比如打開和關閉連接。客戶與服務器之間交互顯得像是無連接。假如在客戶調用操作時，服務器沒有運行，你能夠經過ICEPack讓它們隨需開啟。服務器能夠遷移到不一樣物理地址，而不會使客戶持有代理失效，而客戶完全不知道對象實現是怎樣分布在多個服務器進程上。安全性經過SSL強加密，能夠使客戶和服務器完全安全地進行通信，這么，應用能夠使用不安全網絡安全地進行通信。你能夠使用Glacier穿過防火墻，實現安全請求轉發，而且完全支持回調。內建持久機制使用Freeze，創建持久對象實現變成了一件微不足道事情。ICE提供了對高性能數據庫BerkeleyDB內建支持。認證頭現在我們已經實現了對JSP、ASP、PHP、Java、C、C#、VB等多個語言接口，并可方便擴展對Python、Ruby、C++等語言支持。集成應用系統環境包含IBMWebSphere、Domino、Tomcat、Apache等主流服務器。提供適用主流開發語言認證接口，包含Java接口、PHP接口、COM接口，該集成模式只要求各系統簡單修改認證部分，就能夠具備以下功效：校驗當前用戶是否是統一身份認證平臺正當用戶。假如用戶身份不正當則跳轉到登錄頁面。假如用戶身份正當則無需登錄，直接訪問集成應用。將用戶屬性信息傳遞給集成應用。代理認證對于中小學中不易改造應用系統，能夠引入代理集成機制，被集成應用系統無需更改即可實現單點登陸功效。代理認證是嵌入到目標系統中程序，能夠在不改動原有應用代碼前提下實現以下功效：校驗當前用戶是否是統一身份認證平臺正當用戶，并判斷是否有權訪問請求應用；假如用戶身份不正當則跳轉到登錄頁面；假如無權進入此應用則出現拒絕進入頁面；假如用戶身份正當則無需登錄，直接訪問集成應用；將用戶屬性信息傳遞給集成應用。LDAP認證對于中小學中高并發認證型應用集成需求，比如選課系統，我們針對這種類型系統特點開發了LDAP接口，支持標準LDAPV3協議，能夠滿足短時間內上萬人次認證，并具備高穩定性。現在LDAP接口支持JAVA/C/PHP/.Net等開發環境。實現以下功效：校驗用戶名/密碼；獲取用戶屬性信息。跨域單點登錄和聯合互信采取聯合互信(LibertyAlliance)FederationSSO標準實現跨域SSO。我們前面所描述單次登錄處理方案，都是建立在同一個廠商提供處理方案基礎上，比如AM實現跨系統單次登錄。不過，在現有學校中，有可能會有來自于不一樣廠商網絡身份管理方案；另外，學校也不可防止地需要和學校外應用系統交互，此時，跨不一樣廠商應用系統間單次登錄就會成為一個問題。許多身份與策略服務，包含身份認證、單點登錄和用戶自定義，都是聯合互信項目正在舉行標準化行動主題。其目標是產生聯合身份系統。聯合身份系統確保適宜方面而不是一個中心機構來對主要個人信息使用進行管理和分配。聯合互信項目是一個商業聯盟，其組建目標是提供和支持一個因特網身份處理方案，以一個開放、聯合方式，實現單點登錄。聯合互信有三大目標：允許個人用戶和機構確保個人信息安全。使用多家提供者分散認證和開放授權，提供通用、開放單點登錄標準。為橫跨全部網絡設備網絡身份提供一個開放標準。聯合身份實現了聯合商務開發，這還能夠讓企業為學校或最終用戶帶來更多方便、選擇，并讓他們愈加好地控制自己身份。另外，聯合身份模型允許學校或用戶管理自己數據。比如，某用戶在學校UID為109886，而在網絡招聘系統中UID為。學校網絡身份管理系統采取我們單點登錄系統，網絡招聘系統采取是另外廠商方案，當在這兩個系統中實現SSO時，假如對方同AM一樣，符合聯合互信SAML規范，跨系統SSO就能夠實現。單點登錄系統遵照LibertyAlliancePhase2和SAML1.1規范。它對這些標準支持幫助創建了一個既簡便易用又與現有系統兼容聯合框架及驗證共享機制。系統布署說明身份認證平臺支持雙機或多機運行模式，首先能夠確保系統可靠性，另首先也能夠保持良好擴展能力，支持以下列圖布署架構：依照實際測試情況，身份認證平臺處理能力主要取決于處理器數量和內存數量，系統完全能夠滿足20萬用戶數據存放要求(20萬*0.5M/用戶=100G存放容量)，并能夠保持較高處理性能，平均延時小于1秒，完全能夠確保同時有超出5000(5000*1M/用戶=5G內存容量)用戶同時在線使用。提議采取以下系統安全方法提升系統安全性：安全分類安全方法主機安全支持身份認證平臺管理員賬號和操作系統分離支持Unix、Linux等安全性高操作系統傳輸安全支持HTTPS加密傳輸機制訪問安全身份認證平臺為各接入系統開設不一樣訪問用戶能夠設置數據同時服務對權威數據源訪問賬號讀寫權限建立對用戶登錄和注銷行為系統日志，能夠跟蹤非法用戶入侵和正當用戶非法攻擊系統只使用以下端口：系統管理端口58080，LDAP訪問端口389，認證服務器端口0存放安全全部用戶口令采取高安全不可逆加密存放全部包括到對其余數據庫訪問賬號配置采取加密存放安全管理支持用戶數據在線備份，和系統快速恢復支持用戶口令強制訂期變更平臺可靠性和擴展性為確保系統7*二十四小時運行，可采取雙機運行模式，一臺服務器停頓運行后，另外一臺服務器能夠不間斷自動切換，不影響業務系統正常運行。同時在硬件層經過RAID1確保所存放用戶身份數據可靠性，并在系統管理上支持用戶身份數據在線備份和備份數據定時遠程上傳，確保在硬件層故障時，管理員能夠快速進行系統整體恢復。平臺數據存放能夠依照實際數據量經過擴充主機磁盤容量方式進行擴展。統一信息門戶平臺統一信息門戶平臺（Portal），就是將各種應用系統、數據資源和互聯網資源集成到一個信息管理平臺之上，它把分立系統不一樣功效有效地組織起來，為各類用戶提供一個統一信息服務入口，并提供高可配置功效，提供WEB網站頁面格調、布局、內容等方面定制工具。設計關鍵點智慧校園包括教務、人事等多個業務系統，每個業務系統都會提供用戶不一樣信息服務，而且在各系統中也存在多個應用子系統，每個子系統也都會提供不一樣服務界面。為提升易用性和一致性，需要在校內建立統一信息服務門戶平臺，經過該平臺重點處理以下幾方面問題：統一信息門戶平臺重點處理以下幾方面問題：（1）提供符合師生使用習慣高效、可靠平臺；（2）提供符合通用標準、可連續升級框架；（3）提供各種WEB應用系統與門戶系統集成伎倆，完成不一樣應用系統界面集成；（4）提供安全憑證登錄伎倆，用于實現對外部系統和內部無法改造系統訪問時單點登錄；（5）提供滿足用戶個性化使用需求界面自定義功效；（6）提供門戶應用開發框架、工具支持，處理學校一些非系統級應用快速實現要求。平臺框架信息門戶平臺架構以下：從功效上來看信息門戶平臺有六大部分組成：門戶基礎框架，提供標準運行和開發框架應用集成插件，用于滿足校內外各類WEB應用界面集成需求內容管理模塊，提供統一內容采編、審核和公布管理個人服務模塊，用于滿足師生用戶個人資料管理服務需求公共服務模塊，用于滿足面向公眾信息互動和共享需求協作服務模塊，用于滿足人員之間、業務之間協同工作需求門戶運行環境提供符合Portlet1.0規范門戶運行支撐框架；提供標準Portlet開發接口，支持門戶應用快速開發；提供頻道、欄目、頁面、內容管理功效，用于管理員創建不一樣主題缺省網站；需提供個性化定制界面功效，支持管理員對界面配置，在界面中修改布局、樣式、欄目和欄目標位置，同時支持個人用戶自主管理自己缺省界面；提供對Portlet應用在線布署，在不影響已經有應用運行情況下加載新應用，或對已經有應用進行更新和卸載；提供分類Cache監控管理功效，管理員能夠有針對性監控Cache使用情況；提供單點登錄服務，集成統一身份認證及權限管理平臺；提供信息門戶備份和恢復功效，保障系統可靠運行；提供日志、審計、監控、統計分析功效。平臺主要功效應用管理模塊信息門戶平臺提供了完善應用管理工作，包含應用注冊、應用信息管理和應用負載管理。應用注冊：在門戶內注冊新應用。應用只有在門戶注冊后，用戶才能夠經過門戶訪問；門戶支持portlet應用系統在信息門戶注冊和管理，供用戶使用。應用信息管理：管理應用系統相關信息，如管理員、使用期等。應用負載管理：信息門戶基于應用服務器集群環境實現負載均衡管理，可布署多個平臺實例，支持大規模用戶訪問。系統監控：監控系統訪問信息，提供系統日志，方便管理員有效量化管理。應用集成套件URL資源管理插件，提供對URL資源類和資源明細維護和授權，基于所維護URL資源管理，能夠靈活定義不一樣URL資源顯示欄目，用于支持不一樣應用系統菜單級集成；IFrame集成插件，支持嵌入其它系統頁面，用于實現和其余網站界面無縫集成，并能夠控制集成后欄目標表現形式；WebClipping集成插件，能夠對應用服務器訪問到頁面進行區域裁剪，裁剪后內容作為門戶欄目進行統一管理；URL集成插件，支持服務器級高效集成，包含對網站或其余門戶欄目標集成；RSS集成插件，支持自動從其它符合RSS（ReallySimpleSyndication，簡易信息聚合）規范網站或門戶采集到需要數據，并定義對應展現方式；憑證登錄插件，支持用戶實現對外部網站或內網不能實現身份集成網站單點登錄功效；JSP編輯器插件，對數據庫查詢進行安全封裝，支持在線JSP編輯，供開發人員和管理員快速開發一些數據庫查詢公布應用。個性化Web桌面提供欄目管理功效，支持管理員增加新欄目，修改或刪除已經有欄目，同時提供欄目分組管理功效用于方便管理員對欄目標管理；提供欄目授權功效，支持管理員實現按欄目授權給用戶組或用戶功效；提供內容頁管理功效，用于管理員創建不一樣主題內容頁，同時支持二級內容頁定義；提供頁面格調擴展功效，支持管理員靈活擴展用戶可選擇頁面格調；提供最終用戶個性化定制功效，最終用戶能夠自主選擇頁面格調，并自主定義自己內容頁；提供站內搜索服務，支持最終用戶能夠經過關鍵字和內容進行搜索。內容管理子系統內容分類設置，提供內容類內容屬性、顯示格調設置，并支持分級管理，由分級管理員完成子類管理；審批流程定義，提供管理員依照不一樣內容分類定義審批流程，以滿足不一樣類型內容不一樣審批權限和審批級別；內容編輯功效，提供所見即所得編輯方式，支持在線編輯、當地編輯和引用鏈接三種，滿足不一樣場景下內容快速錄入需要；內容審批功效，提供審批人員待審批內容列表，對于每項審批內容能夠直接修改，也能夠使用批注，以提升審批效率；內容公布功效，對于經過審批內容，公布責任人能夠設置公布使用期，支持預公布和實時公布；內容歸檔功效，依照所公布內容特征，由系統自動進行歸檔存放，并對所歸檔內容提供查詢和統計；可與學校主頁有機整合，共享新聞、通知、公告等網站信息；支持整合學校各部門二級門戶網站，構建獨立門戶。個人服務子系統個人記事本，為用戶提供網絡記事服務。并提供查詢、搜索功效；個人文件夾，依照個人權限分配網絡空間，用于上傳、下載、檢索個人電子資料，并能夠按文件或目錄授權給摯友或指定用戶共享；提議學生每人分配200M空間，教師能夠分配1G空間；個人相冊管理，提供相片數據上傳、維護，提供圖片按百分比在線瀏覽，同時用戶能夠按相片文件或目錄授權給摯友或指定用戶共享；新聞瀏覽器，提供RSS新聞瀏覽服務，自動收取各新聞網站RSS新聞內容；個人收藏夾，提供給普通用戶使用，用戶能夠在網上管理可用網絡書簽資源；個人主頁（博客），提供給每個用戶一個個人主頁空間，用戶能夠發表文章、評論、標簽等Web內容。公共服務子系統公共信息服務，提供校內公告通知、網上調查，天氣預報、出行查詢等；網上投票，提供網上投票定義、按用戶組授權功效，調查表格可按需擴展，并提供圖形化統計和分析功效，用于搜集特定群體對特定問題看法，可按權限公布詳細投票信息；圖文廣告，提供多個表現形式廣告管理，用于基于門戶公布各類廣告信息；公告管理，提供管理員和授權人員依據通用模式維護公告列表和公告內容，同時提供按列表批量公告公布和單條目標公告公布。協作服務子系統日程管理，提供用戶行程日歷，在日歷上實時標識每日工作安排，同時提供對外服務接口，實現和其余業務系統行程安排整合；待辦事宜，為登錄用戶提供待辦任務提醒和管理，提升網上工作協作能力；網絡留言，經過該服務實現網絡留言和回復功效，處理個人不在線時工作協作。平臺布署及性能說明信息門戶平臺布署在標準J2EE應用服務器之上，支持在單臺服務器上垂直擴展、在多臺服務器上水平擴展，垂直擴展能夠提升系統運行可靠性，水平擴展能夠線性提升性能，以下列圖所表示布署架構：基于上述結構，系統在以下測試環境中性能情況以下：測試環境環境說明網絡環境在試驗室局域網內，網絡帶寬100M硬件環境服務器：2CPU主頻3.2GXeon、2GRAM客戶端1：2CPU主頻為1.6GXeon、4GRAM客戶端2：1CPU主頻為2GP4、512MRAM操作系統服務器操作系統為：RedHatAS3.4客戶端操作系統為：Win系統軟件數據庫：Oracle10g應用服務器：WebSphere6.0ND測試方法在2分鐘內仿真200用戶連續訪問門戶指定頁面，頁面內容為194K測試結果依照上述測試結果，在單臺2顆Xeon3.2GCPU、2GRAMPC服務器平臺上，門戶服務器平均處理能力能夠達成132.11RPS；100個并發訪問時，每秒可處理50個訪問請求，平均響應時間1.9秒，在2分鐘內能夠處理15000次以上用戶訪問請求，頁面訪問速度小于3秒，并發用戶支持人，在線用戶支持2萬人。平臺可靠性和擴展性說明信息門戶平臺采取以下技術確保系統可靠性和可擴展性運行：支持在一臺應用服務器內部垂直擴展，能夠依照應用服務器內存情況，同時創建多個服務實例，在一個服務實例故障時，其余服務實例能夠自動接管對應用戶訪問請求支持在多臺應用服務器之間實現水平擴展，并能夠依照各服務器處理能力設置對應負載權重，在一臺服務器故障時，其余服務器能夠自動接管對應用戶訪問請求支持門戶單個應用在線加載和更新，某個應用出現問題時，能夠在服務不停情況，實現對該應用更新平臺安全性考慮安全分類安全方法網絡安全支持應用服務器布署在內部網絡，經過HTTPServer提供對外訪問主機安全門戶系統管理員能夠配置為統一身份認證及權限管理平臺中指定用戶，不存在對操作系統用戶依賴支持對門戶系統管理員賬號強制訂期變更支持Solaris,Linux等安全性高UNIX操作系統傳輸安全支持HTTPS加密傳輸機制訪問安全對統一身份認證及權限管理平臺訪問賬號是受限賬號對相關數據庫訪問賬號是受限賬號系統只使用J2EE服務器標準端口存放安全全部包括到對其余數據庫(系統庫、業務庫、共享庫)訪問賬號采取加密存放對統一身份認證及權限管理平臺訪問賬號采取加密存放對于采取憑證登錄和憑證登錄Portlet應用,其登錄憑證采取加密存放數據中心平臺數據中心建設能夠分為三個階段，第一個階段主要是公共數據庫建設，其目標是集成學校現有和即將建設應用，標準化學校相關數據，提供部分針對詳細業務查詢和報表。第二階段主要是數據庫應用建設，其目標是對學校數據資產進行盤活，提供面向全局數據展示服務。第三階段主要是數據倉庫建設，其目標是依照學校詳細需求和數據情況提供高層次數據服務，加強學校關鍵競爭力。公共數據庫平臺建設須依據數據中心整體架構，考慮未來數據應用需求，建設一個面向未來、先進數據平臺。數據中心實現數據存放、數據交換、數據服務、數據處理功效，主要為學校數據集成與應用提供一個綜合性支撐平臺，數據中心應基于學校詳細需求建設，面向學校綜合信息服務，為未來構建新業務應用提供強大數據平臺和服務平臺。智慧校園系統數據交換系統將經過CIF（客戶信息系統）傳輸層（JMS接口，JAVA消息服務接口）數據交換方式在區域內、代理之間經過兩種方式共享數據：公布/訂閱和請求/應答。代理將訂閱者感興趣數據改變（CIF_Event消息）發送給區域綜合服務，從而實現公布過程。代理也能夠向區域綜合服務發送CIF_Request消息，請求應答結果，最終將收到一個或多個CIF_Response應答消息，實現與教育資源網、CMIS系統、教委體系原有應用系統或機構信息系統、新構建應用系統之間進行快速、安全數據交換。以下列圖所表示：數據中心建設重點分為以下三個方面：建設全局數據集成與應用集成中心數據中心以數據集成與應用集成為目標構建綜合性學校應用中心，使業務系統完成從以技術為中心向以數據為中心方向轉變。提供多角度、多層次數據服務數據中心基于開放標準與規范，經過OLTP（聯機事務處理）、OLAP（聯機分析處理）數據處理相結合伎倆實現各種數據服務，使學校業務和管理系統在戰略層面、戰術層面、操作層面、運行層面都能為相關各類用戶提供愈加好支持和服務。保護投資，增強現有應用數據中心對現有信息技術資產具備兼容性，能夠保護已經有投資、防止重復構建，提供對專有系統集成能力，提升已經有系統和新系統可靠性、模塊化、可擴展性、可伸縮性和穩定性。技術路線數據交換平臺是智慧校園關鍵技術支撐平臺主要組成部分，是整個系統信息傳輸、信息交換總線。經過數據交換平臺將各業務系統數據庫中需集成數據自動上傳到共享數據庫中，并按各業務系統訂閱需求將共享數據分發到各業務系統，從而實現數據統一集成和標準化，為提供數據綜合查詢、統計分析奠定數據基礎。同時，保留各業務系統原有數據庫，確保各業務系統完整性。現在，數據交換平臺底層技術選擇有兩種技術路線：一個是單純滿足數據交換需求，強調數據集成能力，簡化適配器開發，比如Oracle數據集成器（ODI）；另一個是采取EAI（EnterpriseApplicationIntegration，企業應用集成）方案，在SOA（Service-OrientedArchitecture，面向服務體系結構）架構模式下，實施服務總線ESB（EnterpriseServiceBus，即企業服務總線），強調設計架構，需要大量開發適配器，不過能為學校奠定一個有效SOA架構基礎，而且從數據集成開始做起，積累經驗，比如SUNCAPS就是這么處理方案。首選方案是以CAPS為基礎服務總線模式設計，同時不局限于CAPS能力，還參考了EAI領域Tibco、Vitria等著