一汽大众用户认证管理平台投标书（方案建议书）.doc

一汽大众用户认证管理平台投 标 书（方案建议书）投标人：北京新锐互动商业网络有限公司二OO八年五月目录第1部分摘要5第2部分导言7第3部分系统的功能需求分析93.1需求概述93.1.1背景93.1.2目标93.2系统用户分析103.3系统业务需求范围113.3.1用户帐号整合113.3.2统一认证123.4系统相关技术标准需求13第4部分系统整体技术方案144.1设计原则144.2整体系统架构154.3用户帐户整合的解决方案154.3.1统一用户管理系统的实现目标154.3.2统一用户管理系统的设计原则及方法164.3.3用户数据整合和同步164.3.4用户管理的实现184.4统一认证解决方案204.4.1统一认证系统设计目标204.4.2单点登录（SSO）系统实现技术概述214.4.3TAM单点登录解决方案22第5部分项目实施规划275.1项目管理制度和策略275.2项目组织结构275.3项目组主要角色说明285.4项目资源需求315.4.1软、硬件资源需求315.4.2协同配合人员需求325.5项目预估时间表335.6项目提交件清单345.7项目成功的关键因素34第6部分培训计划356.1用户使用培训356.2系统管理培训366.3目录改造规范培训366.4用户培训方法376.5培训完成标准37第7部分附录397.1项目管理397.1.1项目组织管理397.1.2项目质量管理407.1.3项目计划制定457.1.4项目计划跟踪和控制477.1.5项目需求变更管理497.1.6项目配置管理517.1.7项目测试管理537.1.8其他管理方法57第1部分 摘要新锐互动很荣幸地能够利用我们以往为20多家在其领域内具有领导地位的客户建设电子商务系统时所遵循的理念、方法、先进成熟的技术和项目管理经验，为一汽大众建设一个能够满足目前的业务实际需要与长期发展相结合的一汽大众用户认证管理平台 。本技术建议书主要阐述了一汽大众用户认证管理平台的技术规划和实施规划，它包括六个主要部分：Ø 摘要：本章总结并突出本技术建议书的主要观点，包括：主体、范围、目的、方法和预计将取得的效果，以及我们的主要建议和结论。Ø 导言：本章主要说明我们对一汽大众用户认证管理平台项目的理解，以及如何利用新锐互动的优势、经验和技术实施和保障能力，来建设一汽大众用户认证管理平台项目。Ø 系统功能需求分析：本章主要根据我们对一汽大众用户认证管理平台需求的理解，并结合我们的理解和以往的项目实施经验，系统地阐述了一汽大众用户认证管理平台用户和功能。Ø 系统整体技术规划：本章根据系统业务、技术需求，从应用系统架构层面对于系统建设的整体搭建进行详细说明，剖析系统的应用逻辑分布Ø 项目实施规划：本章中根据竞系统前端项目的特点，提出了新锐互动的项目实施方法和项目管理流程。从项目组织、项目质量管理、项目计划制定、项目计划变更和控制、项目需求变更管理、项目配置管理、项目测试管理等方面讲述了项目管理过程中将遵循的方法，同时还详细说明了项目计划制定的原理以及项目启动、需求分析、系统设计、编码和单元测试、集成测试、系统上线、用户培训等阶段的相互关系以及所需要做的工作。另外，针对系统前端项目的具体要求，我们从项目组织结构、项目资源需求、项目提交件清单以及项目时间计划等方面提出了我们的建议方案。Ø 培训计划：一个项目的最后成功取决于各方面的条件，如专业的项目管理，完善的需求分析，优秀的系统设计及开发。而全面的培训也是一个项目上线投运后能够顺利运行并不断适应业务需求的重要条件。新锐互动根据自身的系统上线和运营经验，专门为一汽大众制定了培训计划，主要面向一汽大众三类人员：业务人员、系统管理员、HelpDesk（即将来负责培训一汽大众内其他系统用户的人员）Ø 附录： 新锐互动项目管理理念介绍请一汽大众的领导审阅！第2部分 导言新锐互动商业网络有限公司(GEONG Business Networks Ltd.)是始终致力于提供专业化的电子商务解决方案及咨询和实施服务的数字咨询专家(Digital Consultant)。自1997年开始为IBM大中国区建设电子商务系统以来，一直活跃在中国电子商务高端应用平台建设的最前沿。本方案说明书根据一汽大众在招标书中所提出的需求以及我们对其的理解，从系统的功能需求分析、系统整体技术规划、项目实施规划、系统培训等各主要方面进行了全面的阐述。本方案的主要特点如下：一、先进的技术架构，支持一汽大众业务的不断发展IBM TIM/TAM的技术架构二、具备符合一汽大众规范要求的项目实施经验新锐互动已经为一汽大众成功实施了高质量的项目。三、丰富的项目实施经验和完善的项目管理，保证项目成功实施近年来，新锐互动凭借自身成熟的解决方案、领先的技术优势和在电子商务平台建设方面丰富的行业经验，成功地为诸多大型客户设计并实施了电子商务系统。并且成功地创造出多个行业第一：汽车业：参与了全国汽车交易量最大的汽车销售服务管理系统 作为国内人均利润率最高的汽车制造商，上海通用与IBM合作的DMS项目中，新锐互动承担了其SGM端系统的建设任务，整个系统的建设分为三个阶段，从新车的销售到汽车的后期维护、从客户接待到客户管理（此部分正在进行中），覆盖汽车销售的整个生命周期，把全国超过200家上海通用特约经销商严格控制管理在上海通用销售管理之下。历时两年的系统建设，帮助上海通用达到全国汽车月销售量首位，支撑汽车维护业务交易量翻番，同时削减整体管理部门规模，减少成本。新锐互动还承接了上海通用门户等项目，并成功实施完成。银行业：完成了全国交易量位居第一的网上银行和“全球最佳银行网站”- 作为中国工商银行总行网上银行项目的建设者，我们帮助客户分阶段整合并实施了全国网上银行综合服务体系，该系统可以覆盖工行全国所有的业务运作中心。我们为工商银行网站设计的信息结构全面合理；用户经历设计方便快捷；内容丰富准确，管理方便，使用户可以更方便查的找到所有信息。因此工商银行网站（证券业：完成了网上交易量位居第一的证券网上交易系统和全国最有商业价值的证券网站 -作为银河证券网上交易系统和网站项目的建设者，我们仅用了半年时间，就和银河证券一起建立了连接全国172家营业部的网上交易系统。以及基于企业级信息资讯整合平台的网站系统。该系统投产当年的网上交易量即越升至全国首位，并在2003年被评为“全国最有商业价值的证券网站”。在这里,新锐互动愿与一汽大众分享在这些领域所遵循的理念和方法及先进的技术，希望能够通过我们共同的努力，与一汽大众共同建设一个能够满足目前的业务实际需要与长期发展的系统。我们十分感谢您在百忙之中拿出时间来审阅我们的方案建议书。我们期待与您进一步讨论与交流。第3部分 系统的功能需求分析新锐互动始终致力于以先进的电子商务解决方案、深入的行业理解、创新的商业思维和专业的电子商务服务，为企业提供整合电子商务应用系统服务。本方案建议书试图为上一汽大众用户认证管理平台的一套完整的解决方案 ，以下为我们对于一汽大众用户认证管理平台建设需求的理解。3.1 需求概述3.1.1 背景一汽大众IT有各种技术类型的应用（SAP，微软，IBM，其它 (德国系统等 )）和门户网站（WPS，SPS，SAP-EP），用户管理系统各异，用户信息来源各不相同，在其IT架构内有AD和LDAP两套认证，帐号分散于AD，IDS和各自应用的数据库中；应用系统各自的安全保障各异，有基于域帐户，智能卡，证书，WEBFORM，LTPA等各种方式，随着一汽大众业务的快速发展，使用人员，应用和网站的数量都在不断的增加，在新的形势下，为使IT系统达到更高的稳定性和安全性，为用户提供安全、便捷的访问方式，建议改造目前的安全认证体系，改造由-信息技术部统一管理、维护，各应用采用统一的用户认证和授权架构3.1.2 目标随着 IT 系统所支撑的业务系统的增加，用户和系统管理者都面对同一个日益复杂的，进行功能操作的界面。典型情况下，用户不得不在多个系统上进行登录，这将迫使同一个登录对话框多次出现，每个系统都调用不同的用户名和验证信息，用户需要面对多个帐号和多种用户认证方式。而系统管理者则面对越来越复杂的用户资源的权限管理，必须为每个系统管理用户帐号。单点登录（Single Sign On，简称SSO）系统就是为了解决这样的问题，作为一个独立于平台的，支持代理功能的软件系统，提供易于使用的单点登录方案。一汽大众确定该项目以下几个主要目标：Ø 建立用户认证管理的基础认证平台Ø 建立用户认证管理的基础企业目录Ø 建立用户认证管理的基础用户管理平台Ø 建立用户认证管理的基础IT管理标准Ø 建立用户认证管理的基础授权中心3.2 系统用户分析人员地理位置分布分析：用户帐户域分析：用户帐户分布于4个域中，存储方式各异；在一个人的帐户生命周期中牵涉到多个用户系统。3.3 系统业务需求范围3.3.1 用户帐号整合3.3.1.1 统一规划用户资料库Ø 规划IBM IDS中内部员工的结构，把内部员工帐号信息从AD中同步到IBM IDS中Ø 把DTMS系统的用户信息同步到IDS中3.3.1.2 完善一汽大众用户帐户的管理流程Ø 内部帐号的生命周期流程管理n SAP(HR) 用户信息的整合n 邮件 （EXCHANGE用户信息基于AD）n 其他应用系统 （其他各类用户信息基于IDS 或者DB）Ø 外部帐号的生命周期流程管理n 对于经销商，供货商的帐号变更（用户生命周期）有统一的管理流程3.3.1.3 用户友好性Ø 集中式的用户自维护界面的实现Ø 可以修改用户密码和相关信息；Ø 集成打印应用功能，可以管理打印和扫描3.3.2 统一认证3.3.2.1 单点登录要求实现单点登录的应用：Ø 微软的内部平台SPS到WPS的单点登陆；Ø Dealer Portal中经销商用户单点登录电子邮件；Ø Dealer Portal单点登录SRM(该系统为SAP)；Ø 出门证系统，DTMS，IDIS，打印管理系统加入WPS的单点登录功能；Ø 避免令牌卡和域帐号的2次登陆问题；Ø AD域认证以后可以直接登录WPS系统。3.3.2.2 安全性要求Ø 外部的安全访问策略n 应用可以根据自身的安全性要求选择https和非https两种访问方式n VPN 的选择Ø 对于内网的安全访问策略n 为应用划分安全级别，并且为各类安全级别提供安全保障n 令牌环认证方式n 在认证方式上提供可选的CA证书认证3.4 系统相关技术标准需求IBM TIM/TAM第4部分 系统整体技术方案4.1 设计原则鉴于一汽大众用户认证管理平台的重要性，系统设计必须既适应当前应用考虑，又面向未来发展需求。在设计技术方案时，遵循以下设计原则：Ø 充分考虑对现存的Oracle，AD和SAP用户数据库的整合能力Ø 充分考虑和现有应用系统中用户数据和属性的同步Ø 通过目录复制（LDAP Replication）和链接（LDAP Referral）方式，实现目录信息的复制和备份Ø 充分考虑到内外网和安全性的要求Ø 建议通过负载均衡方式或者LDAP双机备份方式实现负载均衡Ø 在目录服务器的设计方面建议采用联机备份方式，提高性能，防止单点失效，加强系统的永续服务能力4.2 整体系统架构4.3 用户帐户整合的解决方案4.3.1 统一用户管理系统的实现目标根据客户的要求，统一用户管理实现目标如下：Ø 通过目录服务，整合一汽大众现有信息系统中现存、主流应用的用户管理数据库，使大量存在于不同数据库中的用户数据信息，统一于以目录为核心的统一用户管理平台之中，为安全有效的实施统一认证、授权管理平台、安全审计、单点登录（Single Sign-On - SSO）等功能奠定坚实的基础Ø 建立内外网用户的生命周期维护流程Ø 通过LDAP目录服务，建立统一用户管理平台，实现用户管理体系，强化对用户身份的管理Ø 为管理员提供统一的、基于Web的用户、角色和策略管理界面Ø 为用户提供自服务系统，用户通过自服务系统可以修改信息和口令。4.3.2 统一用户管理系统的设计原则及方法统一用户管理系统的设计中遵循如下原则：Ø 充分考虑对现存的、Oracle用户数据库的整合能力Ø 充分考虑和现有应用系统中用户数据和属性的同步Ø 通过目录复制（LDAP Replication）和链接（LDAP Referral）方式，实现目录信息的复制和备份Ø 在目录服务器的设计方面采用联机备份方式，提高性能，防止单点失效，加强系统的永续服务能力Ø 通过分级授权管理方式实现用户信息的多级管理，便于各级分局和应用系统管理员进行用户信息和权限管理4.3.3 用户数据整合和同步目前一汽大众各应用系统中用户数据库主要有四种：Ø LDAP数据库；Ø Oracle数据库表；Ø AD数据库Ø SAP用户资料库在新的统一用户管理管理系统中，将以LDAP技术为主进行所有用户数据的整合。在进行用户数据整合之前，首先要进行用户属性的总体设计。4.3.3.1 统一用户管理属性设置统一用户管理平台中目录系统属性的定义是为应用开发提供规范，指导应用开发如何从目录系统中获取用户的基本信息、扩展信息和服务信息等。属性定义包括：用户属性、部门属性、组织属性和服务属性。属性的分类是围绕着企业统一用户管理平台管理的需求集中存储，统一管理，分类管理，分类授权等进行的。目录系统中用户属性的规划是必要的，规范的目录属性能够简化应用开发的周期，减少应用的开发成本。在标准的属性不能满足应用的需求时，可按照LDAP属性扩展规范对需要的属性进行扩展，如扩展用户必须扩展到person，organizationalPerson，inetOrgPerson对象类下。鉴于目前LDAP数据库中的用户数据量最大、用户属性最全面，因此统一用户管理系统将以LDAP数据库为基础进行属性设计。4.3.3.2 目录树的设计为了提供用户查询和检索的速度，便于用户分级管理的实现，必须进行目录树的设计，目录树设计的基本原则如下：Ø 有利于简化目录数据的管理；Ø 可以灵活的创建数据复制和访问策略；Ø 支持应用系统对目录数据的访问要求；4.3.3.3 用户数据整合和同步实现了统一用户管理数据库的属性扩展和目录树结构设计后，就可以进行各应用系统用户数据的整合和同步设置。目前，用户数据整合和同步主要通过各厂商元目录服务来实现。元目录功能允许快速、简洁的与企业现存基础结构进行集成。目前 IBM公司Identity Manager产品都提供元目录服务，其实现方法也类似，主要是通过提供各种数据源Adapter/Agent来实现和各应用系统用户数据的整合和同步。目前， IBM公司Identity Manager能够提供针对LDAP、Oracle数据库表提供数据整合接口和服务。在进行用户数据整合和同步时，需要实施以下工作：Ø 安装数据整合Adapter/Agent；Ø 进行数据整合资源定义（数据源IP地址、服务端口等）；Ø 进行数据整合和同步规则设置（在统一用户管理数据库和数据源之间建立对应关系，进行数据转换和同步规则设置）；Ø 进行用户数据同步和初始化操作。在完成了用户数据的整合和初始化后，用户数据同步通过设定的同步规则来保证。4.3.3.4 用户密码的同步问题鉴于密码采用加密方式进行存储，而且加密内容不可逆，因此存在各应用系统无法同步到统一用户管理数据库中的问题。建议通过密码初始化方法解决以上问题，即重新设置所有用户的初始化密码。在用户使用统一用户管理平台时，重新输入初始化密码，并进行密码更改。在统一用户管理系统中进行密码和用户属性同步的设置和应用开发，保持统一用户管理到各应用系统之间的单向同步。通过统一用户管理平台可以管理分部在各个系统中的用户帐号信息和密码。考虑到现有个别系统中的用户密码采用加密机制进行存放，我们在进行这部分集成的时候，需要用户密码的加密算法，并且以Java接口的方式提供（我们提供的平台可以直接使用这些Java接口对密码进行加密后，存储到数据库中）；或者提供应用层面的用户密码管理接口，统一用户管理平台只需要调用这些用户密码管理接口，并且提供明文的密码就可以了，应用的接口负责对密码的加密和存储等工作。4.3.4 用户管理的实现在统一用户管理系统中，提供对所有用户属性的集中修改和管理功能。为了便于各分局对所属用户的管理，系统提供分级管理功能。并允许用户对自己的部分属性进行更改，如用户密码等。4.3.4.1 内外用户生命周期管理TIM提供了一个功能全面的、图形化的、工作流程的管理环境。管理人员可以在这个环境中非常容易地创建和维护复杂的工作流程。通过这个管理环境，管理人员可以配置工作流程中每个步骤的审批条件和审批人员、升级条件及人员以及额外信息的输入条件和输入人员。ü 拖放式的工作流程设计器TIM提供了非常直观的拖放式的工作流程设计器。工作流程的设计人员可以通过简单的拖放，很容易地把整个工作流程制作出来。工作流程中的每一个环节都可以通过这个图形化的工作流程设计器来完成，例如：请求的审批、用户额外信息的输入、升级以及子工作流程等。ü 支持数据收集进程TIM为管理人员提供了在整个工作流程中可以输入用户额外信息的能力，例如：需要人事部输入用户的员工号和部门信息；需要财务部输入用户的账号信息等。ü 工作流程的重用在TIM中定义的工作流程可以用于一个或者多个ID部署策略，因此每个工作流程都可以重用在多个不同的被管理资源上（例如：操作系统、数据库和邮件系统）。ü 动态地决定审批人员TIM提供了增强的授权管理能力，工作流程的审批者可以赋予某个角色，而不是某个固定的用户。因此当有新的用户添加到审批角色之后，这个用户就会自动地拥有这个特定工作流程的审批权限。4.3.4.2 用户自管理服务LDAP本身提供用户自管理服务，建议在统一用户管理平台上进行二次开发来实现用户自管理服务，允许用户对密码等属性进行管理。4.3.4.3 各应用系统用户的管理各应用系统用户的管理通过设置应用系统用户管理员来实现。所有的应用系统管理员允许对各自应用系统相对应的用户属性进行修改和管理。例如对应于应用系统中的用户名、密码、用户角色等属性。允许所有应用系统创建新用户，新用户useid必须按照统一的规则来确定。以保证在统一用户认证管理系统中不会存在多个用户id。4.4 统一认证解决方案4.4.1 统一认证系统设计目标为了满足系统建设提出的各种需求，xx客户单点登录系统需要实现以下功能：Ø 支持现有应用系统的各种认证方式，包括“用户名、口令”、证书、windows域帐户等；Ø 在统一用户管理的基础上实现单点登录功能；Ø 不更改现有应用系统的授权管理模式；Ø 实现同一用户帐号在多个地点登录的控制；Ø 为内外网用户认证提供指导4.4.2 单点登录（SSO）系统实现技术概述4.4.2.1 基于proxy技术的SSO我们建议使用proxy方式来实现SSO。实现方法：Ø 建立SSO proxy；Ø 建立SSO proxy统一用户管理数据库，将所有应用系统中的用户数据集成到统一用户管理数据库中；Ø 在SSO proxy上为每一个子应用系统设置登陆配置文件，非常简单；优点：Ø 完全实现单点登录功能，用户只需要面对一个登录系统；Ø 对后台应用系统的修改很少；Ø 为后台应用系统的访问提供了一个统一的接入层，使整体架构更为安全；Ø 实现统一用户管理和认证，新应用系统的开发在用户管理和用户认证方面可以减少工作量；缺点：Ø 最好结合统一用户管理平台来实现统一用户管理。4.4.2.2 基于Agent技术的SSO实现方法：Ø 建立系统安全策略服务器Policy Server；Ø 在各应用系统上部署用户认证Agent；Ø 建立统一用户管理系统；优点：Ø 完全实现单点登录功能，用户只需要面对一个登录系统；Ø 实现统一用户管理和认证，新应用系统的开发在用户管理和用户认证方面可以减少工作量；缺点：Ø 需要在每一个应用系统上部署Agent，而且对于不同的应用系统会有不同的Agent，应用软件的升级会受到Agent的限制，因为Agent对应用软件的版本会有要求，因此对Agent的维护和管理的工作量比较大；Ø Agent的运行不存在负载均衡和防止单点故障的能力，因此Agent会出现单点故障；Ø 需要修改每个web应用的认证模块，有一定的工作量；Ø 要求在单点登录平台上实现统一用户管理，有难度；4.4.3 TAM单点登录解决方案我们将就不同应用提出不同的单点登录的集成方式4.4.3.1 TAM单点登录功能的实现流程Ø 建立WebSEAL反向代理服务器；Ø 在WebSEAL中进行逻辑web名称空间和节点应用定义；Ø 用户访问某一节点应用；Ø WebSEAL作为反向代理首先进行用户身份认证（GSO ID/GSO Password）;Ø 认证成功后，WebSEAL生成基于Access Manager userid的用户身份凭证（user credential）;用户身份凭证信息在Access Manger上进行缓存。Ø WebSEAL将用户身份凭证和用户请求一起发给后台应用服务器，代替用户进行身份认证；Ø 应用系统自动根据用户身份凭证进行访问控制。4.4.3.2 WPS的集成实现WPS系统都将使用和这两个产品集成最为简单的方式就是基于LTPA，其实现步骤为：（1）WPS生成LTPA cookie。（2）TAM创建到WPS的Smart Junction，认证方式选择LTPA cookie，引入之前生成的LTPA cookie。在使用TAMeb后，访问的URL变化情况：Smart Junction原先URL现在URLWPS/wpshttp:/server/myportalhttp:/server/wps/myportal4.4.3.3 SRM（SAP系统）的单店登录集成实现TAMeb针对SAP EP的集成提供了两种实现方式，一种是基于WebSEAL的方式，还有一种是基于TAMeb plug-in for SAP EP，这是TAMeb进行应用集成的标准实现方式。IBM一般建议采用方法一，即基于WebSEAL的集成方式，这种集成方式实现较为简单，其体系结构如下：4.4.3.4 WINDOWS域帐户的单点登录集成实现通过特别配制windows域服务器可以实现在IE中域的单点登录。如图：并需将WEBSeal服务器加入到IE的可信站点中。4.4.3.5 基于Forms“用户名/密码”认证方式的web应用系统单点登录实施方法单点登录要求：Ø 不对应用系统进行修改；Ø 不取消原有应用系统的用户认证；Ø 不能直接信任其他应用或者是WebSEAL的认证结果；Ø 访问控制在原有应用系统中实现。实现方法：首先，在WebSEAL和web应用之间创建SSO-aware的节点应用（junctions）；用户访问web应用时，由WebSEAL截获访问请求，要求用户提交GSO用户名和密码（该用户名、密码是实现统一用户管理后的GSO用户名和密码）。认证通过后，WebSEAL生成用户身份凭证，根据GSO用户名获取对应web应用的用户名称和相关认证信息，代用户提交认证表单信息，从而实现在对应web应用系统中的自动登录。登录完成后，保存http cookie；整个单点登录实现的流程如下图所示：以上单点登录功能的实现对web应用有以下要求：Ø 后台应用的login page必须唯一可识别；Ø 允许客户端使用脚本语言进行输入信息校验；第5部分 项目实施规划5.1 项目预估时间表项目时间表如下：项目周期4个月，预计在9月上线。第6部分 培训计划第7部分 附录