目录
1 业务概述 2
1.1 业务背景 2
1.2 业务目标 2
1.3 业务范围 2
1.4 专业术语说明 3
1.5 关联业务需求 3
1.6 整体计划 3
2 业务需求 4
2.1 统一认证 4
3 性能需求 5
3.1 系统响应时间 5
3.2 容量支持要求 5
根据公司建立统一认证系统的总体目标,针对现有工程系统和办公系统,和正在规划中的系统,做了充分的需求调研,最终确定了现阶段统一认证系统的具体要求,形成了本需求内容。
1.1 业务背景
现阶段,公司信息系统正处于快速建设系统的阶段,各应用系统都拥有各自的用户管理及权限管理,用户登录各系统时需切换不同的身份方可进入相应的系统,给用户带来极大的不便,也给IT运营维护带来极大的困扰。另外,随着公司各项业务的关联性不断增强,各应用系统之间的基于用户身份的数据集成因此受到阻碍。
为了解决这一问题,建立统一认证系统提上日程。统一认证管理系统,可提供可靠统一用户登陆、用户认证等功能,它可以在不改变现有基础结构的情况下,对现有的系统进行集成,也能适应各种未知系统的集成。
1.2 业务目标
建立统一认证系统是IT规划的总体目标之一,目的是为了使得现有系统的用户信息重复混乱、用户重复登录体验差的现状得以改变,也为新规划的系统建立统一的认证标准。
总体目标:
建立完善的统一认证系统,实现企业内系统的集成,提供可靠的、可管理的统一认证服务。
主要建设目标有:
✧ 建立统一认证系统,提供统一身份认证服务;
✧ 实现系统的统一认证集成;
1.3 业务范围
1
1.4 专业术语说明
1.5 关联业务需求
1.6 整体计划
2.1 统一认证
2.1.1 业务需求描述
2.1.1.1 总体目标
建立统一认证系统的目的就是使分布在一个企业内部的各个异构系统的认证工作集中在一起,通过一个公用的认证系统统一管理和验证用户的身份。在SSO Server上认证的用户将获得SSO颁发的一个证书,使用这个证书,用户可以在承认SSO证书的各个系统上自由穿梭访问,不需要再次的登录认证。 建立统一身份认证系统的愿景:
✧ 建立一个易用的、能跨不同Web应用的单点登录认证中心;
✧ 实现统一的用户身份和密钥管理,减少多套密码系统造成的管理成本和安全漏洞;
✧ 降低认证模块在IT系统设计中的耦合度,提供更好的SOA设计和更弹性的安全策略
2.1.1.2 总体要求
● 目前的现状:
目前公司内容系统主要分为工程系统和办公系统两大块,这些系统主要涉及技术平台分别为Java、.Net,大多数系统基于Active Directory域认证,一部分核心业务系统基于用户认证或混合认证。
● 系统设计总体要求
✧ 能够很好的支持Active Directory认证;
✧ 能够支持用户名、密码混合认证;
✧ 凭据要求符合一定标准, 如SAML,以便能够更好的支持一些基于Java平台的工程应用系统,如Oracle Primavera P6;
✧ SharePoint门户支持
改变SharePoint认证方式将会对会影响门户的功能,如Office集成功能,要求保持现有用户体验.
2.1.1.3 验证流程
2.1.1.4 功能描述
2.1.1.4.1 用户登录
● 统一用户登录
✧ 用户登录各集成单点登录的应用系统时,统一跳转到Web SSO Server登录窗口,登录完成后返回应用系统,并在客户端浏览器中生成凭据信息。
✧ 要求支持多语言:中文、英语
● 界面
2.1.1.4.2 用户管理
● 用户以域用户为主,支持AD用户同步和映射;
● 支持和公司现有工作流系统、组织结构系统用户同步(是从AD同步的)
现有用户和组织架构是以工作流平台为准的,工作流平台中的用户是从域中定时同步过来的。要求能够和工作流系统的用户信息集成或同步。
● 支持非域用户的用户名密码管理
临时用户或外来人员没有域帐号,只有工号或用户名,可以通过用户名或工号开特定系统的权限,需要能够对这部分用户管理起来。对于非域用户,能够单独设定密码,并能修改密码加密、过期策略.
2.1.1.4.3 代理认证
● 托管个人用户凭据
对于不能实现凭据共享的系统,要能够从单点登录系统中获取密码,提交给该系统自己验证,如基于POP3的邮件帐户。可由用户设定,也可在第一次访问时存储。一些集成困难的应用系统,还可以采用此功能,用脚本注入用户名、密码,post提交登录,实现登录集成。
● 服务凭据托管
能够管理应用系统、服务之间集成访问的凭据。对于应用系统之间的数据集成验证要求,可以管理访问凭据,ESB平台将会使用到该功能。
2.1.1.4.4 服务管理与验证
● 需求描述
✧ 能够注册和管理受信任的需要集成SSO的应用系统;
✧ 能够注册和管理需要进行托管服务凭据的服务;
✧ 只有注册并开启验证功能的系统和服务才能通过验证;没有注册过的系统试图验证,跳转到指定错误页面或登录页面,并给相应提示,防止循环验证。
● 界面
2.1.1.4.5 系统管理
● 系统设置
✧ AD服务器地址配置
✧ 用户同步策略配置
✧ 能够对凭据的有效期进行设置
✧ 能够设置用户同步策略
✧ 能够设置用户密码策略、密码过期策略、错误重试次数
● 审计功能
✧ 用户登录日志查询
2.1.1.5 集成要求
● SSO-Server提供的三个验证服务接口(web服务URL):
✧ 用户登录URL,形如 https://casserver/cas/servlet/login
✧ 用户凭证校验URL,形如 https://casserver/cas/servlet/validate
✧ 用户登出URL,形如 https://casserver/cas/servlet/logout
● Java系统
✧ 提供基于Java Servlets的SSO Filter ,用来拦截用户请求
✧ 通用Java API Object,用来验证用户名、密码或票据
● .Net系统
✧ 提供SSO Http Module,用来拦截用户请求,便于应用集成
✧ 提供基于SSO 的Membership Provider,便于应用集成
✧ 提供.Net API ,用来验证用户名、密码或票据
2.1.2 重要规则及公式说明
统一认证系统集成要求:
注:
✧ 以上系统都有源代码
✧ 企业信息门户基于SharePoint,如果能够实现,请明确是否影响SharePoint功能的影响及影响的范围
2.1.3 权限定义
权限级别分为管理员和普通用户,管理员可以登录后台管理系统,进行日常维护与管理,普通用户可以修改个人用户信息和密码。 基于AD认证的用户密码仍然由AD统一管理。
2.1.4 使用频度
由于单点登录服务是平台性系统,大多数系统都基于该系统进行用户的身份验证,使用频度较高,尤其是每个工作日开始的时段。
2.1.5 优先级
请选择其一:□ / ■
注:高:监管、公司战略、新产品;
中:影响公司对客户服务、影响业务的正常开展;
低:其他。
2.1.6 非功能需求
● 性能要求
统一认证系统要求能够通过配置实现负载均衡群集或支持分布式部署,从而保证系统的可用性和性能。
✧ 负载均衡群集
由于未来大多数系统都将通过Web SSO系统验证身份,特别是上班高峰期间,要求能够满足至少两个节点的负载均衡群集。
✧ 数据缓存
各个应用系统在验证用户信息、权限信息时,数据库访问IO压力很大,为提高效率,应合理使用Cache,如Member Cache,App Fabric 等。
● 可靠性要求
实现了单点登录后, Web SSO出现故障将影响所有系统的登录,需通过群集或分布式技术确保该系统的可靠性。
● 兼容性要求
✧ 系统集成要兼顾java系统和.net系统;
✧ 界面要支持IE7.0及以上;
● 操作的便利性
✧ 在界面设计上应考虑操作的便利性和界面的友好性,便于用户对系统的理解和操作;
● 维护性
✧ 系统架构合理,便于系统的维护与扩充;
✧ 开发代码严格按照编程规约执行,提交代码的可读性;
● 安全要求
✧ 为了系统集成安全,统一认证系统返回凭据信息应加密传输;
✧ 在统一认证系统上注册过的系统才能获得统一认证支持;
✧ 统一认证系统能够支持SSL;
● 完整性和连续性需求
✧ 本系统须提供7*24小时的不间断服务,运行环境部署时要考虑双机热备方案。
1
1
3.1 系统响应时间
✧ 单一请求响应时间不超过5秒
✧ 批量处理业务执行时间要求不超过5分钟,数据量较大情况下,要求分拆成多个任务执行,避免内存、CPU消耗过大。
3.2 容量支持要求
各系统使用人数
¥29.8
¥9.9
¥59.8