统一身份认证及单点登录系统建设方案

福建省公安公众服务平台

统一身份认证及单点登录系统建设方案

福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一；目前平台目前已经涵盖了公安厅公安门户网站及网站群、涵盖了5+N服务大厅、政民互动等子系统；按照规划，平台还必须进一步拓展便民服务大厅增加服务项目，电子监察、微博监管等系统功能，实现集信息公开、网上办事、互动交流、监督评议功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多，如每个子系统都用自己的身份认证模块，将给用户带来极大的不便；为了使平台更加方便易用，解决各子系统彼此孤立的问题，平台必须增加统一身份认证、统一权限管理及单点登录功能。

一、建设目标

通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题，为用户提供平台的统一入口及功能菜单；使平台更加简便易用，实现“一处登录、全网漫游”。同时，加强平台的用户资料、授权控制、安全审计方面的管理，确保用户实名注册使用，避免给群众带来安全风险；实现平台各子系统之间资源共享、业务协同、互联互通、上下联动；达到全省公安机关在线服务集成化、专业化的目标。

二、规划建议

统一身份认证及单点登录系统是福建公安公众服务平台的核心基础系统；它将统一平台的以下服务功能：统一用户管理、统一身份认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统将通过标准接口（WebService接口或客户端jar包或dll动态链接库）向各子系统提供上述各类服务；各业务子系统只要参照说明文档，做适当集成改造，即可与系统对接，实现统一身份认证及单点登录，实现用户资源的共享，简化用户的操作。

（一）系统功能划分

根据需要，统一身份认证及单点登录系统主要可由以下3部分组成：

1、统一身份认证及授权管理系统（IDS Manager）

统一身份认证及授权管理系统主要提供给平台系统管理员及各业务系统管理员，统一管理用户组织机构、系统角色及各类用户资料、账户信息；同时还提供统一系统功能管理、授权管理、应用系统对接管理、安全审计等功能。

2、统一身份认证及单点登录服务系统（IDS Server）

统一身份认证及单点登录服务系统主要向各业务系统提供身份认证及单点登录服务等功能；各业务系统通过调用系统提供的接口，实现统一身份认证、权限校验及单点登录。

3、统一身份认证及单点登录系统客户端

为了便于各应用系统与本系统的对接，降低改造工作量。系统还提供面向各类语言的客户端组件（如：jar包、dll动态链接库等），各类语言应用系统可根据自身的需要选用相应的客户端组件，对业务系统进行快速改造。

（二）系统安装部署

系统将分为公安网（内网）和互联网（外网）两大部分，各部分可按如下结构部署：

公安网

1、统一身份认证及授权管理系统,作为核心管理工具，主要向公安网内的管理人员提供服务，因此将部署于公安网内。

2、统一身份认证及单点登录服务系统，将分别部署于公安网内和互联网中，分别与公安网内的业务应用系统和互联网上的业务应用系统进行对接。

3、统一身份认证及单点登录系统客户端将作为业务应用系统的

组件，集成于业务应用系统中；各业务系统可根据自身的需要选用不同语言种类的IDS Client版本。

如下图，系统在硬件上要求：

1、在公安内网中提供一台独立的服务器，用于安装部署统一身份及授权管理服务系统；提供一台独立服务器用于安装部署系统数据库；提供一台独立服务器用于安装部署统一身份认证及单点登录服务系统。

2、在互联网一侧，提供一台独立服务器，用于安装部署统一身份认证及单点登录服务系统。

系统软件，JavaEE中间件统一使用WebSphere7以上版本，数据库统一使用Oracle9i以上版本；Jdk使用Jdk1.5以上版本。

（三）业务应用系统整合改造方法

如下图所示，系统将分别在公安网和互联网中与现有的5+N各服务大厅进行整合。原有业务系统，可以直接调用系统提供的IDS Client接口对系统进行适当改造即可。对于新开发的系统或业务模块则可直接按照系统规范及标准接口进行开发。

公安网

三、系统功能设计

（一）管理系统

统一身份认证及授权管理系统它负责提供后端管理，主要应具备如下功能：

1）统一身份信息管理，包括公安内部组织机构、系统角色及民警用户的管理、企业、个人用户及其基本资料的管理。

2）应用系统对接及功能管理，系统需要与各应用系统对接，能够导入、并维护各应用系统的系统功能模块及功能菜单。

3）应用系统用户映射管理，为了保证各业务系统已有账号能够继续使用，在平台上实现统一身份认证及单点登录，已有业务系统的账号必须与本系统用户之间建立一一对应关系；账户信息相互转换。

4）统一授权管理，系统管理员可通过本系统对各业务系统的功能统一授权管理。

5）安全审计，系统可统一记录用户的登录、操作日志，对用户的使用情况进行监控。

（二）服务系统

统一身份认证及单点登录服务系统为各业务系统提供如下服务功能：

1）统一注册（开户）服务：系统提供统一注册界面或接口，企业用户或个人用户在网站上填写注册资料后，调用本接口进行验证登记注册。各业务系统如需为民警开设或注销用户，也使用本接口实现。

2）统一身份认证服务：当用户输入账号、密码登录时，调用本服务接口作身份认证。如果用户使用原业务系统账号登录，通过映射机制实现登录验证。

3）统一权限验证服务：系统如需检测用户是否具有使用指定功能或数据的权限，可调用本接口进行验证。也可通过调用本接口列出指定用户的功能菜单。

4）单点登录服务：“一处登录、全网漫游”是本系统核心实现的功能之一，各应用系统通过集成本服务接口即可实现该功能。

5）日志登记服务：应用系统如要求记录用户的操作过程，可通过调用本接口对用户的操作进行登记，以便实现统一的安全审计。（三）客户端组件

为简化各业务系统厂商的改造工作量，系统不仅提供详细的服务端接口使用，改造方案等文档；还针对不同的开发语言提供开发包组件，各厂商只需将对应开发语言的客户端组件集成到系统中，并调用对应的接口，即可快速完成系统的改造工作。

四、建设分工

（一）统一身份认证及单点登录系统厂商制定接口规范及提供技术咨询

统一身份认证及单点登录系统开发商必须制定详实的接口使用说明书及其开发规范。接口应该尽可能简单、易用；为各业务系统厂商提供系统使用培训和技术咨询服务；避免给应用系统厂商带来不必要的麻烦。

（二）各相关业务部门负责协调原系统开发单位按照标准规范进行升级改造。