1.1 背景

集团各业务板块公司的信息系统相对独立，系统间数据未打通，不能实现数据共享。

当前集团信息化的主要问题

a、多通道访问

b、多个系统交叉访问

c、数据采集困难              

d、流程不能贯穿多组织多系统

e、权限划分不清

1.2 集团信息化建设规划

a、实现主要信息系统云部署，在阿里云上架设应用，提供稳定高效的系统支持服务；

b、面向全集团搭建业务系统，标准化各集团各公司业务流程；

c、实现单点登录，简化用户端操作，构建信息系统企业门户。

d、加强系统集成开发，实现统一门户分权展示，达到驾驶舱效果。

二、系统需求分析

针对目前状况，集团希望整合来自各个应用系统的用户数据，同时通过建立统一认证系统，为用户提供统一的信息资源认证访问入口，建立统一的、基于角色的个性化的信息访问、集成平台，使用户只需一次登录就可以根据相关的访问权限和策略设置规则去访问不同的应用系统，提高信息系统的易用性、安全性、稳定性；给用户提供简单方便、快捷有效的信息服务。其对应的具体需求如下：

1)单点登录：实现用户登录一次后，即可访问其它的应用系统。用户在门户进行登录后，即可以访问所有其它的应用系统，而无需再次输入用户名密码。

2)统一门户：提供统一的登录入口，用户登录后，提供简洁，美观大方的业务系统统一展示页面。界面只显示个人有权限访问的业务系统，用户通过点击界面图标，直接进入各系统而无需再次进行登录。并且展示待办信息，简单显示相关内容信息。

3)统一用户和组织架构同步：HRP系统作为数据源，通过webservice接口进行用户和组织架构同步。对于相关单点系统，无需进行用户添加，即可进行相关权限用户同步。

4)强身份认证：用户登录门户系统时，必须通过UKEY方式进行登录。保证电子身份的可信源。

三、建设原则

以“统一规划，统一标准，统一设计，分步实施”为指导思想。为集团搭建合理实用的统一身份认证登录平台。

技术先进性：

采用主流先进的单点登录技术和身份管理技术，能简便整合各种新老系统实现单点登录和用户身份的统一管理，统一设置身份认证安全策略。

可扩展性：

业务是不断发展和完善的，安全建设应能适应业务规模的发展和变化，从技术架构和实施部署以及规划上能够方便扩展。

认证系统应支持多种不同的认证管理方式。

安全可靠性：

安全产品以及采用的建设方案具有较高成熟性,保证在数据传输和应用中的安全。

系统具有良好的审计能力，对出现事故做到有据可查。并供管理人员跟踪分析。

标准性：

身份管理和访问控制平台应支持有关国际标准，如，LDAP、SSL、SNMP、PKCS等；能与各类第三方产品（包括各种目录服务器、数据库、Web服务器、应用服务器等）很好地集成。

易实施性：

对于单点登录，对老系统不进行改造的方式实现，以便不影响现有业务的正常运行。

易用易管理性

系统的设计简单性原则，即系统组织简单易懂。明晰，方便用户的使用、维护和管理。方便新建系统，以及不同种类的应用系统接入平台的易用性。

可控性

在保证项目质量的前提下，按计划进度执行，

保密性

调研和实施过程和结果应严格保密，未经公集团授权，对项目涉及的任何信息不得泄露。

四、总体架构设计

4.1项目总体架构

基于对现状的理解，采用三层架构搭建统一身份管理平台，分别为认证层、统一身份管理层、接口层。

认证层对用户的访问进行处理，检查用户会话、管理用户会话，对受管资源进行保护，确保没有授权、没有正确登录的用户不能访问受管资源。同时认证层提供各种类型认证接口，例如证书认证、USBKey认证等，支持对不同级别的受管资源进行不同级别的认证保护。

统一身份管理层为认证层的支撑层级管理层。在统一身份管理层完成各种安全配置、资源管理等。所有受管资源的注册、访问、权限管理、流程管理等均通过统一身份管理层进行管理和配置。

接口层和接入层，接口层为统一身份平台与后端受管资源的数据传输通道，主要负责将认证数据、身份数据、账号数据同步到后端受管资源。

4.2 物理架构设计

统一身份管理系统物理逻辑图如下图所示：
       

4.3整体的功能架构设计