《第一章技术要求.docx》由会员分享,可在线阅读,更多相关《第一章技术要求.docx(28页珍藏版)》请在第一文库网上搜索。
1、第一章技术要求1.1 项目背景XXXX学院早期建设的单点登录系统、技术架构已不能满足现有用户的需求,主要体现在系统稳定性、系统并发处理能力、用户身份认证方式、后台管理能力等方面。通过本次项目建设,将实现校内统一的用户管理、统一角色和授权管理、安全的单点登录,并支持第三方系统的认证服务。建立完善的操作审计管理机制,实现用户的一点登录、多点漫游,建设成我校的身份识别与访问控制平台。此外,在身份认证的基础上进一步完善、规范、标准学校的人员机构数据,为其他平台提供更可靠、更权威的基础人员信息。1.2 项目建设目标为师生提供全方位、主动式、精准化、个性化的高效便捷的用户中台服务,解决用户信息(账号)数据
2、建设带来的信息威胁、信息孤岛和责权不清等难题,解决原有的分散的独立认证、独立授权、独立账号管理的问题。提供统一的认证技术和规范,统一的账号管理,降低重复低效率的管理导致的高成本。构建一个完整统一、高效稳定、安全可靠的集中身份管理和身份认证平台,并且与学校各应用系统进行集成,实现一号通行校园各系统。1.3 技术参数要求用户中台作为人员信息的存储、管理、利用、分析的基础平台,在实现校方人员信息的统一调配、集中管理、合理流通和一体化运作,提高人员信息整合水平和利用能力的建设中具有举足轻重的地位,系统应达到如下技术要求:1 .系统支持不限数量的应用接入;2 .不限用户数,至少支持20000用户同时在线
3、,最大用户并发数不少于2000;3 .为保障系统稳定高效运行,系统应采用D。Cker容器云技术进行部署安装,并通过管理控制台实现系统的统一部署、编排、监控等运维管理,并提供可视化运维管理界面,方便运维人员操作。4 .平台需基于B/S架构,支持多种浏览器,包括但不限于正9及以上、Edge、FirefoxxChromexSafari等;平台均可运行于1inuxxUnix、Windows等高安全性操作系统。5 .基于微服务架构运行引擎,采用容器技术和虚拟目录转发机制,实现系统之间动态组件的相互隔离,尽量减少各子系统在技术上的相互依赖性(软件对平台、软件对数据、软件对软件、平台对平台等),使任一子系统
4、未来的减少、增加和变更,不影响到其它子系统和总系统,最大限度地保护既有的投资,减少对系统的维护和未来开发的投入。6 .基于B/S/D三层结构,应在技术体系上选用J2EE技术,采用B/S/D三层结构进行应用系统的开发。7 .要求基于成熟的J2EE应用平台,提供分布式、高可靠性、先进的解决方案。8 .基于目录存取协议,实现统一用户管理、统一身份认证要求基于目录存取协议,分布式系统和服务中所要求的中央化信息存贮和管理提供一个可扩展的结构。同时目录服务要求能够提供统一用户管理、统一认证管理,同时方便业务应用系统进行集成。应用平台应提供与智慧校园所有平台之间数据的交互。开放数据库结构,开放标准接口,提供
5、集成的二次开发环境和接口标准,支持基于平台上架第三方的办事应用。采用智慧校园平台的统一身份认证,采集数据共享共用,支持与智慧校园平台的其他系统进行数据交换、数据同步。项目质保期内,学校任何系统新建与更新,如涉及和本系统的接入和数据交换等问题,开发方均应免费解决,不再收取开发、部署、中间库、数据交互、调试、维护、人工、差旅、培训等费用。第二章功能参数要求14首页1.4.1 应用对接系统在运行过程中,支持和其他业务系统进行对接,实现单点登录、访问授权和功能授权等功能。首页支持查看系统对接业务系统的数量以及变化情况,方便系统管理员进行配置。1.4.2 系统消息系统在运行过程中,通过审计日志、系统监控
6、等功能,支持将异常情况通过首页的消息提醒功能,将异常情况及时反馈给管理员,以便管理员对异常情况尽快做出处理。同时,对于部门管理员新建人员、机构后,需要系统管理员审批通过,系统支持以系统消息的形式提示系统管理员尽快做出操作。1.4.3 人员数据用户中心支持管理学校内所有人员的信息,同时支持各类人员生命周期的管理,当人员的生命周期阶段发生变化时,系统会在人员数据模块中进行提醒。管理员会根据提示,对生命周期阶段发生变化的人员进行确认或其他操作,防止出现人员数据不正确的情况。1.5用户中心1.5.1 组织机构管理用户中台组织机构管理支持以下功能:1 .支持对于用户所在的组织机构信息进行维护管理,包括机
7、构的增加、修改、删除、移动、合并等。2 .支持自动同步用户组织机构到用户中台。针对同步过来的组织机构,其信息维护在用户中台维护后,以用户中台为主,并支持清除维护标记,恢复机构信息的同步。3 .对于自建机构,支持组织机构编码全局管控,保证其组织机构编码的唯一性。4 .支持对部门组织编码进行管理。可以对组织进行增加、删除、修改及组织管理员操作。5 .支持对部门类型进行管理:支持编号、类型名称、级别三种字段快速查询;对已有的部门类型进行统一管理,增加或者删除操作;同时支持修改部门类型信息,手动选择是否启用部门类型。6 .对机构进行管理:支持机构编号、机构名称两种字段进行快速查询;对已有的机构类型进行
8、统一管理,增加或者删除操作;同时支持修改机构信息,手动选择是否激活该机构以及手动选择是否为默认状态,对处于默认状态的机构可以选择其授权范围。支持对机构信息进行编辑管理,包括对机构信息的新增、修改、删除、移动、排序、模糊查询(能够通过机构编号、名称、类型),同时能够对机构信息的状态、分配用户、分配角色进行编辑,并对分配用户编辑操作包括新增、移除、查询、禁/启用。1.5.2人员管理人员管理支持以下功能:1支持对学校所有相关人员进行管理,包括并不限于在校师生,临时人员,校友,访客等。2、支持提供用户基础信息,包括工号、姓名、性别、证件类型、证件号码、单位、职务等的同步、导入、上传与修改功能。3、支持
9、用户的联系信息,包括安全手机,安全邮箱、办公室和办公电话等的同步、导入、上传与修改功能。4、支持用户的帐号信息,包含多种用户鉴权方式信息,包括帐号、证件、别名、密码、邮箱、二维码扫描、生物识别方式(人脸照片、FaceID.TouchID)、一卡通、NFC设备、微信(OPen1D)、支付宝、短信验证码方式等的同步、导入、上传与修改功能,以上多种验证方式统一于一个用户ID,显示这些信息的来源。5、支持生物特征数据(人脸照片,指纹等)批量采集、第三方应用对接数据采集,并且人像采集支持自助采集、照片合规性检测,人脸生物数据管理、人脸照片抓拍认证、酶流人脸认证等。6、支持协助学校建立统一的人脸照片库管理
10、,统一采集标准、接入标准、同步标准、认证标准。7、在授权许可前提下,支持为第三方系统提供具备人脸识别认证功能,并详细记录生物识别日志,如调用系统、调用时间、响应时间、认证次数等,做到全过程可追溯。8、支持一卡通数据的自动同步、批量导入、导出、修改等功能。支持以标准数据接口的模式,提供其他业务系统使用。支持用户中台自动审计一卡通数据,包括冗余的一卡通号,无法匹配的一卡通信息等。9、支持将用户信息生成二维码推送给用户。10、 密码管理:管理员与部门二级管理员对用户密码策略进行管理,包括认证方式、密码规则、二次认证、是否强制修改密码、认证时是否检查弱密码,是否检查初始密码等。11、 支持账号生命周期
11、管理,定期发生变更存续。包括管理员后台直接禁用终结账号、批量设置账号过期时间,实现账号的自动过期终结、根据教职工的在职状态和学生的在读状态,自动注销终结离校的学生或离职教职工的账号。以实现账号生命周期的自动化管理。A)支持教职工生命周期管理D用户中台支持将临时库教职工数据同步到正式库中,并额外增加标签属性整合。2)用户中台支持提供标准的API接口,以供各个业务系统按需获取教职工标准数据。3)部分不由人事部门管理的信息(用户联系方式、家庭住址等),支持在用户中台用户管理模块中维护。这部分数据可统一定义并清除维护标记,恢复权威源属性的同步工作。B)支持学生生命周期管理D用户中台将临时库学生数据同步
12、到正式库中,支持额外增加标签属性整合。2)用户中台支持提供标准的AP1接口,以供各个业务系统按需获取教职工标准数据。3)部分不由教务、学工等部门管理的信息(学生联系方式、家庭住址等),支持直接在用户中台用户管理模块中维护。这部分数据可统一定义并清除维护标记,恢复权威源属性的同步工作。4)针对学生数据,每年6月毕业季,人员周期性离校、大量学生账户需要注销。针对这种固定且明确的生命周期的数据,用户中台支持根据人员身份属性进行判断,自动注销无效的账号,转为校友身份。C)自建用户生命周期管理D针对学校访客、部分校友、后勤人员、临时账户等,用户中台支持自建用户功能,系统管理员通过权限管理模块把人员的维护
13、权限下放到各部门。2)由部门管理员支持管理本部门的临时人员,并对临时人员的账户使用周期做限制,部门管理员可以通过机构人员管理功能维护人员的账户、姓名、性别、联系方式等。3)支持针对临时人员的创建提供流程审核机制,每步流程系统提供消息推送功能,实现通过短信、邮件、微信、移动Push等方式推送消息提醒。针对消息内容、提醒方式等,系统提供消息模板维护,管理员可以对通知消息的标题、模板内容进行管理维护,支持设置消息的推送方式,并可以统一开启/关闭对应功能模块的消息提醒服务。人员维护支持分级授权管理,管理权限可以下发到各部门,同时临时人员工号编码规则可以全局管控,保证其全局唯一。4)用户中台支持提供标准
14、的API接口,以供各个业务系统按需获取教职工标准数据。5)临时人员数据产生变动时,支持在用户中台进行人员数据的管理维护。6)用户中台支持临时人员账户有效期管理,并且可以通过Exce1导入或人工录入账户的有效期。到期后账户自动禁用或标记删除,以实现自建临时人员的自动化管理。1.5.3群组/岗位管理支持提供岗位、岗位集、人员组统一管理维护,其他业务系统可以通过数据同步或者接口调用方式获取数据。支持标签化”方案,在人员中心为机构和岗位打上标签,具体功能包括:1 .支持对用户进行分组管理,同一用户可以在多个用户组中。可以对用户组进行增加、删除、修改、查询等操作。2 .支持对岗位进行管理:包括对用户岗位
15、进行模糊查询、新增、删除、启用/禁用的操作,同时能够查看岗位名称、岗位编号、备注、所属应用、机构及操作信息,同时操作能够对岗位信息进行修改、删除、分配用户、分配角色。3 .支持对岗位集进行管理:包括对岗位集进行模糊查询、新增、删除、启用/禁用的操作,同时能够查看岗位集代码、名称、备注,可以设置岗位集下岗位成员。4 .支持对用户组进行管理:能够通过用户组名称、所属应用进行查询,支持对用户组信息进行新增、修改、删除的操作,同时能够查看用户组名称、编号、分类及操作信息,支持用户组成员的导入导出功能,支持动态组的管理维护,可以依据人员的身份、状态、分类等条件创建动态组,满足条件的人员自动加入组中。同时
16、操作能够对用户组信息进行修改、删除、分配用户、分配角色。1.5.4用户属性权限支持提供清除维护标记功能,支持恢复同步(以数据源为主)。1.6认证中心1 .支持API方式获取认证服务中用户数据采用访问和调用用户管理服务,接管业务系统、微服务系统的认证后,支持以统一的方式提供统一的、多样的认证服务形式,有效提升用户体验。2 .系统支持CAS协议,基于HTTP的身份认证接口。支持1DAP访问接口。支持通过身份认证开放OAUth2.0认证授权的能力。3 .支持Web应用SSO单点登录D系统支持多种开发平台的web业务系统进行安全单点登录。2)用户登录过程中,业务系统不能获得用户名/口令等用户凭证,但能通过安全的协议及接口获得已登录用户的基本信息。4