统一认证与单点登录系统产品需求规格新版说明书

机构图标统一认证与单点登录系统产品需求规格阐明书文献状态：[√]草稿[]正式发布[]正在修改文献标记：BUPT-SSO-RD-PRS当前版本：0.1作者：完毕日期：-06-02北京邮电大学版本历史版本/状态作者参加者起止日期备注0.1刘润峰-05-31-06-04目录TOC\o"1-3"\h\zHYPERLINK\l"_Toc"0文档简介PAGEREF_Toc\h5HYPERLINK\l"_Toc"0.1文档目PAGEREF_Toc\h5HYPERLINK\l"_Toc"0.2文档范畴PAGEREF_Toc\h5HYPERLINK\l"_Toc"0.3读者对象PAGEREF_Toc\h5HYPERLINK\l"_Toc"0.4参照文档PAGEREF_Toc\h5HYPERLINK\l"_Toc"0.5术语与缩写解释PAGEREF_Toc\h5HYPERLINK\l"_Toc"1产品简介PAGEREF_Toc\h7HYPERLINK\l"_Toc"2产品面向顾客群体PAGEREF_Toc\h7HYPERLINK\l"_Toc"3产品应当遵循原则或规范PAGEREF_Toc\h7HYPERLINK\l"_Toc"4产品范畴PAGEREF_Toc\h7HYPERLINK\l"_Toc"5产品中角色PAGEREF_Toc\h7HYPERLINK\l"_Toc"6产品功能性需求PAGEREF_Toc\h8HYPERLINK\l"_Toc"6.0功能性需求分类PAGEREF_Toc\h8HYPERLINK\l"_Toc"6.0.1产品形态PAGEREF_Toc\h8HYPERLINK\l"_Toc"6.1外部系统管理PAGEREF_Toc\h9HYPERLINK\l"_Toc"6.1.1外部系统注册PAGEREF_Toc\h9HYPERLINK\l"_Toc"6.1.2外部系统集成配备PAGEREF_Toc\h11HYPERLINK\l"_Toc"6.2顾客管理PAGEREF_Toc\h11HYPERLINK\l"_Toc"6.2.1顾客管理控制台PAGEREF_Toc\h11HYPERLINK\l"_Toc"6.2.2顾客自助服务PAGEREF_Toc\h13HYPERLINK\l"_Toc"6.2.3统一顾客管理PAGEREF_Toc\h13HYPERLINK\l"_Toc"6.3组织构造管理PAGEREF_Toc\h14HYPERLINK\l"_Toc"6.4权限管理PAGEREF_Toc\h15HYPERLINK\l"_Toc"6.4.1统一角色管理PAGEREF_Toc\h18HYPERLINK\l"_Toc"6.5单点登录PAGEREF_Toc\h18HYPERLINK\l"_Toc"6.5.1基于Httpheader单点登录PAGEREF_Toc\h19HYPERLINK\l"_Toc"6.5.2基于表单代填方式单点登录PAGEREF_Toc\h20HYPERLINK\l"_Toc"6.5.3基于CAS单点登录PAGEREF_Toc\h20HYPERLINK\l"_Toc"6.5.4总结PAGEREF_Toc\h23HYPERLINK\l"_Toc"7产品非功能性需求PAGEREF_Toc\h24HYPERLINK\l"_Toc"7.1.1性能需求PAGEREF_Toc\h24HYPERLINK\l"_Toc"7.1.2接口需求PAGEREF_Toc\h24HYPERLINK\l"_Toc"8附录B：需求确认PAGEREF_Toc\h25文档简介文档目此文档用于描述统一认证与单点登录系统产品需求，用于指引 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 与开发人员进行系统设计与实现。文档范畴本文档将对系统所有功能性需求进行消息描述，同步商定非功能性以及如何与第三方系统进行交互。读者对象本文档重要面向一下读者：系统设计人员系统开发与测试人员系统监管人员产品甲方管理人员参照文档《凯文斯信息技术有限公司单点登录及统一顾客技术 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 V1.0》术语与缩写解释缩写、术语解释SSO全称SingleSignOn，单点登录…产品简介产品全名《统一认证与单点登录系统》（如下简称系统），英文名称SSO。SSO是在各种应用系统中，顾客只需要登录一次就可以访问所有互相信任应用系统。它涉及可以将这次重要登录映射到其她应用中用于同一种顾客登录机制。它是当前比较流行公司业务整合解决方案之一。此系统是与“凯文斯信息技术有限公司”（如下简称凯文斯）进行合伙，由我方独立进行研发。产品面向顾客群体此系统重要面向企 事业单位 事业单位结构化面试题事业单位专业技术岗位财务人员各岗位职责公文事业单位考试事业单位管理基础知识 以及社会组织，最后实现软件系统将交由凯文斯方进行使用。产品应当遵循原则或规范无产品范畴系统最后包括统一顾客管理、统一认证、单点登录三个某些，最后应用到基于BS框架各种应用系统中。系统将采用BS方式进行实现。产品中角色角色名称 职责 岗位职责下载项目部各岗位职责下载项目部各岗位职责下载建筑公司岗位职责下载社工督导职责.docx 描述系统管理员负责配备和维护系统功能HR管理员负责管理顾客信息等普通顾客使用系统中提供顾客自助服务产品功能性需求功能性需求分类功能类别子功能外部系统管理外部系统信息管理外部系统集成配备顾客管理顾客管理控制台顾客自助管理统一顾客管理组织构造管理组织构造管理外部系统组织构造管理权限管理授权管理鉴权管理集成管理外部系统集成产品形态一级节点二级节点三级节点所属子系统备注外部系统外部系统管理外部系统配备顾客管理顾客信息管理注册申请管理组织构造统一组织构造管理外部系统组织构造权限管理顾客组管理角色管理角色授权外部系统管理外部系统管理用于对使用本系统外部系统进行统一管理，例如涉及外部系统注册、外部系统单点登录配备等，只有通过注册外部系统才可以使用本系统有关功能。外部系统注册提供外部系统基本信息管理，所有需要使用本系统外部系统都需要在本系统进行注册。外部系统对象参照如下：基本类信息外部系统编码作为外部系统唯一性标记使用外部系统名称可读文本构成，用于界面显示、顾客选取等外部系统描述用于对外部系统进行详细性描述业务类信息此类信息重要用于本系统对外部系统管控IP地址信息（可选）标记外部系统服务器地址，本系统将只针对从本地址祈求单点登录进行解决，其她状况将为非法祈求SSO标记用于实现单点登录服务标记，用于实现单点登录流程辅助类信息此类信息没有实际业务意义，但有助于管理员对外部系统进行管理从属组织存储外部系统运营维护组织联系人联系电话可以存在各种地址电子邮件其她信息测试标记位用于指定此外部系统与否是测试用外部系统，如果是，则不会提供实际业务，仅在测试环境下有效系统提供外部系统基本增、删、改、查功能，以及导出、导入等功能。外部系统集成配备外部系统集成配备用于针对外部系统各种集成功能进行相应配备，重要分为如下方面：统一顾客管理统一组织构造管理单点登录关于详细内容请参照背面有关某些功能集成描述。顾客管理顾客管理某些提供统一顾客管理系统。顾客管理控制台顾客信息管理顾客管理控制台功能为本系统管理员提供，对系统中所有顾客信息进行一体化管理，涉及如下功能：顾客添加顾客信息修改顾客删除顾客查询、检索顾客调动修改顾客从属组织构造顾客禁用顾客启用密码重置顾客注册申请审批针对通过顾客自助服务提交申请进行审批。顾客对象涉及如下属性：基本类信息顾客代码用于登录系统使用顾客名称顾客可读名称业务类信息顾客来源标记顾客来源，可以有两类来源：被系统注册、外部系统导入辅助类信息性别年龄固定电话移动电话证件类型证件号码联系地址……认证类信息顾客密码用于顾客登录系统最后登录地址最后登录时间其她信息顾客申请管理顾客申请管理针对顾客通过自助服务提交顾客注册申请进行管理，管理员可以在这里进行申请审批操作，详细涉及：申请查询与显示审批通过审批不通过顾客自助服务顾客自助服务是为系统顾客提供快捷服务，详细涉及如下功能：顾客信息修改顾客密码修改顾客注册顾客提交注册申请后，将由管理员在顾客管理控制台中进行申请审批统一顾客管理统一顾客管理是指将本系统与所有外部系统顾客信息进行一体化管理。顾客接口为实现统一顾客管理，本系统需要提供适当外部访问接口便于实现本系统与外部系统顾客信息交互。顾客交互操作如下：顾客访问接口此接口用于提供外部系统访问本系统内部顾客信息入口支持根据顾客代码、名称等信息过滤条件查询。顾客管理接口具备较高权限外部访问接口，仅会对某些重要外部系统开放顾客信息同步接口在本系统与外部系统之间进行顾客信息同步通信方式：基于中间件通信基于凯文斯既有中间件产品提供信息通信接口WebService基于WebService技术实现通信接口外部系统顾客接口此接口合用于外部系统存在独立顾客管理系统，并且不易将其改导致统一顾客管理情形下，此时本系统为其提供同一顾客与外部系统顾客关系管理，同步未提供单点登录也会外部系统登录顾客凭证管理。外部系统顾客接口构成与顾客接口类似，但其中需要对同一顾客与外部系统顾客中需要提供关系管理。组织构造管理本系统将提供两种方式组织构造管理，分别为：统一组织构造管理独立组织构造管理最后形成1+N方式组织构造管理模式。统一组织构造管理是指本系统与外部系统组织构造是一体，系统提供本系统与外部系统之间组织构造同步；独立组织构造管理是指本系统提供外部系统组织构造一种映像，对于每个外部系统都提供一种独立组织构造映像，本系统内普通仅提供查看功能，所有组织构造修改都由同步接口进行。对于每个外部系统都需要设立器组织构造管理模式，是统一还是对立。对于顾客与组织构造之间关系，拟定如下：顾客与每套组织构造中关系是独立顾客对于一套组织构造只可以从属于一种组织系统中提供两个功能节点用以实现不同组织构造管理。组织构造管理组织构造管理相应统一组织构造管理，即为管理模式中1。组织构造为多层不限层级树状管理模型。外部系统组织构造管理外部系统组织构造管理相应独立组织构造管理，管理模式为一方面在所有独立组织构造管理模式外部系统中选取一种，然后显示其组织构造组织构造同步接口两种管理模式下组织构造同步接口是一致，不同之处仅仅是在不同外部系统进行同步时，将根据外部系统设定组织构造管理模式不同相应本系统中统一组织构造数据还是独立组织构造数据。权限管理本系统权限管理仅限于本系统内部使用，不需要为外部系统提供统一授权管理。权限管理系统采用了典型RBAC权限模型，并在其基本上进行一定修改。图STYLEREF1\s6SEQ图\*ARABIC\s112权限管理模型在当前模型中，具备如下元素：顾客顾客组角色功能系统中功能涉及节点和节点内操作两种详细形式，其中节点是指每一种可以打开页面，操作是指节点内详细操作按键（如增长、修改、删除等）她们之间关系为：顾客与顾客组多对一关系，一种顾客只可以属于一种顾客组，一种顾客组中可以有各种顾客。顾客组与角色多对多关系角色与功能多对多关系图STYLEREF1\s6SEQ图\*ARABIC\s113权限管理系统-模块构成权限管理系统分为三大某些：顾客认证管理管理顾客认证有关内容，涉及顾客管理管理顾客信息顾客组管理管理顾客组信息认证过程实现顾客认证流程顾客授权管理管理预授权有关内容，涉及角色管理管理角色信息授权管理为角色收取功能权限鉴权过程实现顾客权限鉴别过程顾客审计记录顾客系统痕迹，涉及登录审计记录顾客登录系统、登出系统信息操作审计记录顾客系统中重要操作信息审计信息管理查看已记录顾客审计信息，涉及登陆审计信息与操作审计信息。统一角色管理系统可选地提供统一角色管理。统一角色管理是指在各种系统中进行角色同步。用于暂时此方面需求不是很明确，因此本系统中仅提供单层角色管理模型。单点登录单点登录存在各种实现形式，为了提供更高兼容性，本系统将以各种方式提供单点登录模式。基于Httpheader单点登录场景：顾客在不同应用系统中拥有相似顾客名，通过平台登录后，平台会携带着顾客顾客名信息或者信任凭据登录后段应用系统。应用系统通过改造获取祈求中携带顾客名信息或者信任凭据并直接登录应用系统顾客通过平台访问应用顾客祈求被平台拦截，并 规定 关于下班后关闭电源的规定党章中关于入党时间的规定公务员考核规定下载规定办法文件下载宁波关于闷顶的规定 认证认证通过后平台将顾客信息或者信任凭据放入httpheader中并向后端应用提交后端应用自动解析凭据或顾客信息并直接进入登录系统，不需要再次认证应用系统改造逻辑：顾客登录后，应用先看祈求与否存在认证凭据（顾客信息或者信任凭据），如果有则读取凭证进行认证逻辑，如果没有则返回登录页面规定重新登录基于表单代填方式单点登录场景：顾客在不同应用系统中有不同顾客名（账号）和密码。通过统一顾客平台和数据同步把这些账号和密码同步到认证平台中顾客映射表中，该表记录了顾客和账号相应关系和密码。当顾客登录通过平台登录后端应用时，平台将该顾客相应得账号名和密码带填并提交实现单点登录。顾客通过平台访问应用顾客祈求被平台拦截，并规定认证认证通过后平台到映射表中查找顾客要访问系统顾客名和密码平台自动提交顾客名和密码单点登录应用系统基于CAS单点登录CAS构成从构造体系看，CAS包括两某些：CASServerCASServer负责完毕对顾客认证工作，CASServer需要独立布置，有不止一种CASServer实现，YaleCASServer和ESUPCASServer都是很不错选取。CASServer会解决顾客名/密码等凭证(Credentials)，它也许会到数据库检索一条顾客帐号信息，也也许在XML文献中检索顾客密码，对这种方式，CAS均提供一种灵活但统一接口/实现分离方式，CAS究竟是用何种认证方式，跟CAS合同是分离，也就是，这个认证明现细节可以自己定制和扩展。CASClientCASClient负责布置在客户端（注意，我是指Web应用）。原则上，CASClient布置意味着，当有对本地Web应用受保护资源访问祈求，并且需要对祈求方进行身份认证，Web应用不再接受任何顾客名密码等类似Credentials，而是重定向到CASServer进行认证。当前，CASClient支持非常多客户端，涉及Java、Net、ISAPI、Php、Perl、uPortal、Acegi、Ruby、VBScript等客户端，几乎可以这样说，CAS合同可以适合任何语言编写客户端应用。CAS合同CAS是通过TGT(TicketGrantingTicket)来获取ST(ServiceTicket)，通过ST来访问服务，而CAS也有相应TGT，ST实体，并且她们在保护TGT办法上虽然有所区别，但是，最后都可以实现这样一种目——免除多次登录麻烦。下面，咱们看看CAS基本合同框架：图STYLEREF1\s6SEQ图\*ARABIC\s114CAS基本合同框架上图是一种最基本CAS合同，CASClient以Filter方式保护Web应用受保护资源，过滤从客户端过来每一种Web祈求；同步，CASClient会分析HTTP祈求中与否包祈求ServiceTicket(上图中Ticket)，如果没有，则阐明该顾客是没有通过认证；于是，CASClient会重定向顾客祈求到CASServer（Step2）。Step3是顾客认证过程，如果顾客提供了对的Credentials，CASServer会产生一种随机ServiceTicket；然后，缓存该Ticket，并且重定向顾客到CASClient（附带刚才产生ServiceTicket，ServiceTicket是不可以伪造）；最后，Step5和Step6是CASClient和CASServer之间完毕了一种对顾客身份核算，用Ticket查到Username，由于Ticket是CASServer产生，因而，因此CASServer判断是毋庸置疑。该合同完毕了一种很简朴任务，就是User(david.turing)打开IE，直接访问helloservice应用，它被及时重定向到CASServer进行认证，User也许感觉到浏览器在helloservcie和casserver之间重定向，但User是看不到，CASClient和CASServer互相间ServiceTicket核算(Validation)过程。当CASServer告知CASClient顾客ServiceTicket相应确凿身份，CASClient才会对当前Request顾客进行服务。CAS实现SSO当咱们Web时代还处在初级阶段时候，SSO是通过共享cookies来实现。例如，下面三个域名要做SSO：HYPERLINK""HYPERLINK""HYPERLINK""如果通过CAS来集成这三个应用，那么，这三个域名都要做某些域名映射，HYPERLINK""HYPERLINK""HYPERLINK""由于是同一种域，因此每个站点都可以共享基于cas.orgcookies。这种办法原始，不灵活并且有不少安全隐患，已经被抛弃了。CAS可以很简朴实现跨域SSO，由于，单点被控制在CASServer，顾客最有价值TGC-Cookie只是跟CASServer有关，CASServer就只有一种，因而，解决了cookies不能跨域问题。回到CAS基本合同图，当Step3完毕之后，CASServer会向User发送一种Ticketgrantingcookie(TGC)给User浏览器，这个Cookie就类似KerberosTGT，下次当顾客被Helloservice2重定向到CASServer时候，CASServer会积极Get到这个TGCcookie，然后做下面事情：如果User持有TGC且其还没失效，那么就走基本合同图Step4，达到了SSO总结对于使用何种单点登录方式，需要对外部系统进行调研，采用何种方式比较适当。由于集成环境比较复杂，因此对于不同外部系统可以设计使用何种单点登录方式。对于表单代填方式进行集成外部系统，需要针对外部系统提供顾客信息映射，详细将在顾客管理中提供。产品非功能性需求性能需求1、系统设计支撑顾客数：员工数*1.32、高峰时支持最大重要单功能点并发顾客数：员工数*15%3、支持同步在线顾客数（按照50％估算）：员工数*50%4、浮现登陆页面时间：不超过2秒钟5、输入顾客以及口令登陆系统时间：平均时间不超过5秒钟接口需求该系统与外界系统系统进行交互合同必要是业界比较通用合同。如ODBC/JDBC，LDAP，XML等。附录B：需求确认提示：需求确认规程请参见SPP-PROC-RM，重要分两步：（1）需求评审，（2）需求承诺。对需求评审应当采用“正式技术评审方式”，将产生一份“需求评审报告”，规程请参见SPP-PROC-TR。在获取负责人（Stakeholders）对需求承诺之前，该《产品需求规格阐明书》必要先通过需求评审。需求评审报告摘要需求文档输入名称，标记符，版本，作者，完毕日期，…需求评审报告输入名称，标记符，评审日期，…评审结论[]工作成果合格，“无需修改”或者“需要轻微修改但不必再审核”。[√]工作成果基本合格，需要作少量修改，之后通过审核即可。[]工作成果不合格，需要作比较大修改，之后必要重新对其评审。评审意见评审小构成员输入评审小构成员需求承诺需求文档输入名称，标记符，版本，作者，完毕日期客户承诺承诺…签字，日期项目经理承诺承诺…签字，日期