统一身份管理系统的建设分析范文

摘要：

该文以高职院校为立脚点，对高职院校的统一身份管理平台进行建设分析和技术探讨。并从建设者的角度从基础服务、集成接口、身份管理控制台三个方面进行了深入分析。从技术层面，对标准化、可扩展、集成化、开放性、安全性等方面进行了深入阐述。文章最后提出了进行统一身份认证的必要性。

关键词：

高职院校；统一身份管理；建设分析；技术探讨

1概述

据不完全统计，在高职院校，绝大多数职能部门都自己独立的资源系统或者平台。教务处为了方便教学管理和教务管理，搭建了教务系统和排课系统，为了方便开展毕业生论文答辩，搭建了毕业论文管理系统，为了方便顶岗实训，又搭建了顶岗实训系统；学生工作处为了方便学生的管理和宿舍的检查，搭建了学生管理平台和宿舍管理平台；科技处为了统计教师每年的课题和科研工作量，搭建了自己的科技量统计平台；人事处为了随时能够了解教职工的学历提升情况、师资建设情况，搭建了自己的人事管理系统；有些高职院校，为迎接各种示范建设或者骨干建设，还成立了示范建设办公室，这个办公室为了能够快速收齐相关的资料，也会搭建自己的平台。

每个职能部门，自己搭建的平台都是相对独立的，完全不共享，是孤立的，独立存在的，数据不是共享的。这样会导致很多不良的后果，比如：同一个高职院校的同一名教师，手里面可能有数十个由各个系统分配过来的账户和密码，不便于管理；再比如，因为各职能部门的系统是完全独立，数据没有得到共享，如果教师在教务系统里面填制了一次个人信息，到人事系统、毕业系统、顶岗实训系统、科研系统、学工系统等其他系统里面又要重新填制一次甚至数十次的个人信息，看似为了提高工作效率的的系统，到了真正实施起来的时候，却变成了累赘、鸡肋。再比如，各个职能部门的系统分别由不同的厂家开发，研发的标准是完全不一样的，在没有形成统一的身份认证之前，系统之间都是不通气的，会形成大面积的资源浪费。为了解决以上这些繁琐的问题，我们提出了针对高职院校的统一身份管理系统建设。

2建设分析

统一身份管理平台，在设计之初，就应该充分考虑高职院校信息化建设的应用需求和未来发展，同时要降低系统的总体拥有成本。在系统设计、新系统开发和业务系统集成整个流程中，尽量减少身份管理平台对其他应用系统在技术上的依赖，确保身份管理平台(或功能模块)在未来发生变化(减少、增加和变更)时，能够快速方便地进行功能模块组合或修改(二次开发)，以适应学校管理的新变化，将整个系统内部在技术上的相互依赖性减至最低，同时，不影响其他应用系统和整个信息化校园基础平台的运行。身份管理平台，要求采用B/S结构，可运行于Unix、Linux等高安全性操作系统。开发技术应遵循J2EE标准、组件技术及在数据交换上对XML的支持，整体架构采用SOA架构来实现，各个信息管理系统通过一个基于总线的核心基础平台有机的集成到SOA架构中。所有的服务都能通过标准的Web服务提供，采用SOAP协议传输。所有的服务通过基础平台实现统一的注册、、注销、管理等，所有的应用系统之间的整合都是通过调用基础平台的服务来实现统一的数据交换。各个应用系统要充分利用现有先进技术手段，尽可能采用相同的体系结构和运行平台，基于多层架构和组件技术进行构建，做到系统结构层次清晰合理。身份管理平台应能实现身份数据的统一存储、统一管理，实现高职院校各类应用的单点登陆，以及各类访问与操作安全审计。平台建设主要包括基础服务、集成接口、身份管理控制台三个方面。

2.1基础服务1）SSO认证服务；2）身份数据存储；3）账号数据同步服务；4）账号初始化密码服务；5）采取分级授权。

2.2集成接口1）集成接口；2）目录服务；3）集成方案：提供blackboard、sharepoint等第三方产品的集成认证方案；4）与中国移动网络或者中国联通无线网认证集成。提供解决方案，并在后期完成于网络认证系统的对接，使得无线认证通过与统一身份认证进行身份数据对接，身份数据用户名密码通过统一身份认证平台同步到无线网认证数据库中，当用户修改个人密码，身份认证管理员增加账号等操作的时候，身份数据通过身份认证的对外同步接口同步到无线网中，实现统一认证。能够实现认证平台与学校各应用系统的无缝对接。

2.3身份管理控制台1）负载均衡；2）身份自助服务；3）图形展示；4）帐号管理；5）认证管理；6）授权管理；7）审计管理；8）监控管理：监控内容包括总体状态、会话状态、进程状态、服务器状态和监控配置功能；9）系统管理：包括操作日志管理、管理员管理和配置管理功能；10）对外服务：提供对外的账号同步和对外密码同步插件，如果需要对外实行同步操作，通过开发并注册相关的插件即可完成，插件的注册和启动支持热拔插。另外，还为REST身份管理接口提供安全访问和授权的管理功能，从而保证了REST接口的安全。

3技术分析

在进行统一身份管理平台建设时，我们不能只是单纯的去考虑系统的实用性或者价廉物美，更要从系统的长远入手，从系统本身的标准化、可集成性、可扩展性、开放性、安全性、高性能、可管理性、高效特性等方面，去考虑系统的后续维护性、持久性和先进性。建设系统的目的，是让系统能更好为学校服务，而不能让系统后期的建设和高额的维护，限制了系统本身的发展。所以，在系统建设之初，规划者就应该把这些不必要的因素考虑进去，做好技术分析，最好是能做好SWOT的全貌分析。本文着重对系统本身的技术层面进行系统分析。

3.1标准化1)采用基于LDAP标准的目录服务器存储身份数据，并提供身份认证。2)平台基于J2EE标准架构，要求在安全认证方面基于JAAS技术。3)遵循CAS2.0协议规范。

3.2可集成性1)提供多种认证接口的异构支持，包括认证和LDAP目录服务接口。2)支持多种语言的接口方式，包括Java、.Net、PHP、C、C++等。3)单点登录从实现技术上基于session、cookie、rewrite技术和采用portal等几种方法，根据用户的情况可以选用其中的任何一种。4)支持Unix、Linux、Windows多种平台，完全支持跨平台的部署。

3.3可扩展性1)身份、授权、认证功能相对独立，可以灵活的与第三方产品对接。2)可实现用户名/口令认证模式，支持动态口令认证接口、CA证书认证接口、智能卡认证接口等认证方式的平滑扩展。3)支持集群、热备、负载均衡集成。4)支持同一个域内的多个应用系统间的单点登录，具有开放的跨平台SSO实现技术。

3.4开放性支持移动设备的无差别接入。包括通过移动设备访问身份认证系统。主流的移动端有三种系统：苹果系统、安卓系统、微软系统，针对这三种系统，进行重点开发。

3.5安全性1)系统需提供用户密码加密功能，支持扩展MD5、SSHA、CRYPT、SHA、RC4等多种密码加密算法，并可以快速扩展用户属性信息。2)对用户的操作行为进行日志记录，以追溯用户的行为过失，确保数据安全。3)用于单点登录的cookie不能在子域中共享。4)账号数据可进行自动备份，确保数据不丢失。5)在服务器端设置相关检测系统，对客户端的浏览端进行木马检测，后门扫描。3.6高性能1)可为数百个应用提供统一身份认证服务的同时保证亚秒

级的认证操作时间。2)支持20万级的用户容量；常用服务器配置下应能，单机部署时支持最大1000人的并发用户数，双机负载均衡部署时支持2000人的并发用户数。3.7高效特性提供灵活的同步策略配置，并通过小工具将权威数据源中新建和变更的用户身份数据同步至身份管理平台。

3.8可管理性1)友好易用的界面，更符合国人的操作习惯。2)集中的身份数据管理，不仅提供用户帐号的维护，还能提供便捷的批量导入、批量迁移等功能。3)平台应提供相关服务器的软硬件环境的监视，发现异常自动发出告警，并通知责任人。4)平台应提供历史事件的查询和认证会话的相关操作，建立完善的事后追溯机制。

4结束语

实现统一身份管理、单点登录，这是高职院校进行数字化校园建设、信息化校园建设、云平台化建设的必经之路，是为了学校更好发展、更快发展的良好铺垫。统一身份的目的，是为了学校管理者、全体教师和学生能够更方便的使用学校的数据资源，盘活学校的资产，创建节约型数字化校园。但在真正的建设和实施的过程中，道路并不是那么平坦，每个学校的建设思路、建设技巧、建设出发点都可能完全不一样，考虑的因素也就随之发生变化。本文针对大部分高职院校针对统一身份认证的通用做法，提出的通用的建设需求分析和技术分析，必然存在不足和瑕疵，这有待后期完善和补充。

参考文献：

[1]高大鹏.企业体系化统一身份管理平台设计[J].信息安全与通信保密,2014(11):126-133.

[2]刑宝存.统一认证与身份管理平台建设方案[J].信息安全与通信保密,2015(10):52-55.

[3]艾飞.数字校园统一身份管理模型及关键技术[J].大连海事大学学报,2010(2):126-128.

[4]李石师.统一身份管理系统的设计与实现[J].中国新技术新产品,2015-08-10.

[5]刘冰张明扬,虞闯.基于目录服务的数字化校园统一身份认证[J].科技创新导报,2007-12-21.

[6]贾峰,王丰.浅析统一身份认证系统的研究及实现[J].科技展望2014-12-10.

[7]陈培君.基于SOA的数字校园综合信息服务平台的研究与设计[D].电子科技大学,2013.

[8]张智秀.基于URP理论的新一代数字化校园建设的研究[D].电子科技大学,2012.

[9]王秋平,赵兰庚,王新艳.高等院校数字化校园建设初探[J].河北工程技术高等专科学校学报,2013(6).

[10]邱鸣.加快数字校园建设,提升学校核心竞争力[J].中国教育信息化,2008(5).

[11]石苹.基于SOA的电力生产管理信息系统[D].电子科技大学,2011.

作者：欧高林 单位：江苏经贸职业技术学院 信息技术学院