校园统一身份认证系统建设方案

背景及意义

随着学校信息化工作的深入开展，建设了众多的面向教师和学生的服务系统，如数据中心、目录服务、邮件系统、网络接入系统、管理信息系统等。每一个服务系统都对应一个特定的用户群体，所以服务系统都储存了自身的用户信息，包括认证信息（如用户id及口令）、授权信息和用户基本信息（如姓名、身份、所在机构、邮箱地址、联系电话等）。对不同服务系统，用户信息的存储和管理往往没有标准，存储的方式包括数据库、目录或者文件，认证的方式有口令校验、令牌等，授权策略的实现方式也多种多样。

服务系统间用户信息相互孤立引发了大量问题，首先导致服务系统不能建立面向用户的统一视图，相互之间信息共享困难。身份信息需要分别由人工维护，人员信息的新建、调整或调离都需要人工调整各个服务系统的用户数据。其次随着管理复杂性的提高，很难或几乎不可能得到全部人员整体身份信息的全貌，同一用户在不同服务系统的信息之间也出现了冲突，同时也带来一些安全漏洞，如当人员变动时，访问权限不能被及时调整，操作流程中的人为错误也会留下安全漏洞。另外，运行过程中，高昂的维护成本也不容忽视，耗费了大量的人工去操作用户信息变更，并且每次变更用户都往往需要等待很长时间。

统一身份认证系统是学校信息化建设的重要基础，而不是简单的解决用户名口令问题，作为学校信息化建设的基础性工作已越来越受到重视。通过建设开发基于角色分类的统一身份认证与用户管理，有助于改变目前各信息化服务系统松散、孤立的管理方式，创建统一并可重用的用户认证与管理体系，逐步使之成为学校信息化建设中重要的基础性构件。

建设方案

一个完整的统一身份认证系统应该由用户身份数据中心、身份管理系统（IM Identity Manager）、访问控制系统（AM Access Manager）组成。用户身份数据中心包括目录服务器（主要存储用户认证信息及权限信息）和数据库（存储用户身份属性信息）。身份管理系统（IM）用来实现用户的身份信息的维护，包括用户管理、身份配给、自动发现、口令管理、权限管理等内容。访问控制系统（AM）主要实现统一认证及单点登录，与门户系统形成统一身份认证系统的展现层。基于访问控制系统，开发各类通用接口，以适应各类应用的接入，在最上层以门户的方式来展现统一身份认证。