新一代身份认证平台建设方案.docx

新一代身份认证平台建设方案一、项目概况4二、建设清单6三、建设内容63.1 总体设计73.2 新一代身份认证平台主要功能83.2.1身份认证方式83.2.2组织管理103.2.3用户数字身份管理113.3.4角色管理163.2.5权限管理173.2.6认证开放193.2.7应用统一接入服务203.2.8个人自助服务223.2.9数据维护和备份233.2.10日志管理及审计243.2.11系统监控243.3 个人门户管理系统功能253. 3.1个人主页254. 3.2角色管理255. 3.3服务管理266. 3.4系统管理297. 3.5日志管理298. 3.6系统监控309. 3.7其他常用功能303.4 消息服务总线313.4.1缓存管理313.4.2权限管理323.4.3日志管理323.4.4系统监控333.4.5消息管理333.4.6应用管理343.4.7消息模板343.4.8第三方配置管理343.4.9接口调试工具343.4.10消息发布和查询353.4.11消息提醒353.4.12统计分析353.4.13高可用性353.5系统集成服务363.5.1应用系统集成363.5.2系统集成内容383.6 业务系统集成迁建服务393.7 安全体系413. 7.1主机安全414. 7.2平台安全425. 7.3数据安全436. 7.4安全运维要求436.8 性能及部署要求436.9 售后服务44一、项目概况本项目是学院2021年度“双高”建设任务九提升信息化水平的建设任务，为2021年度省财政“双高信息化”专项项目。学院现建有统一身份认证系统，使用已近8年，实现办事大厅、办公网、人事系统、教务系统、学工系统、科研系统、产学研系统等系统的统一认证、单点登录、统一门户等功能，有效支撑学院的信息化发展。随着互联网技术的不断发展、师生对门户的新要求和网络安全的新要求，现有的统一身份认证平台存在以下主要问题：(1)技术框架陈旧，浏览器兼容性不佳，无法满足跨终端访问需要，如缺少手机自适应的H5门户，用户体验差；(2)认证方式单一，仅支持账密的简单认证方式，不支持手机号码、邮箱、二维码、短信动态验证码等其他认证方式；(3)认证开放能力不足，不支持与互联网应用的互认互信，如QQ、微信、钉钉等；(4)身份管理能力不足，用户数字身份的全生命周期管理能力缺乏；(5)接入运维成本高，需要运维人员与应用接入方联合调试；(6)用户自助能力薄弱，运维人员在重置密码等方面花费了大量的时间，未能强制绑定用户手机、邮箱等信息，造成找回密码功能未能真正落地。(7)系统性能低，在教务系统开展选课等大并发活动的情况下,平台无法提供稳定可靠的认证服务；(8)个性化服务能力不足，针对不同身份用户，无法提供个性化门户服务，如退休职工、在职职工的个性化页面。(9)密码安全性较差，不能对用户设置的密码采取强制性措施,确保密码符合相关文件要求。上述问题已无法通过现有认证平台升级得到解决，需重新部署新一代身份认证平台。本项目主要是建立全校统一的开放的高性能的新一代身份认证与门户管理平台，主要实现以下目标：1、具备多种身份强认证方式，如账号密码、手机动态验证码、二维码扫描、互联网认证(如微信、钉钉等)、人脸识别、移动校园、一通等；2、支持并发用户数2000以上，同时在线用户数5000以上；3、形成应用系统单点接入标准，实现应用接入的自助在线调试;4、实现各类角色用户的个性化门户服务定制；5、构建用户账密自助找回的一件事闭环服务。6、形成符合上级要求的密码设置机制，能强制用户设置符合要求的密码。7、实现数字身份的全周期闭环管理。8、实现H5页面服务的全周期闭环管理。二、建设清单序号建设内容数量备注1新一代身份认证平台1套2个人门户管理系统1套3消息服务总线1套4业务系统集成及迁建服务1套三、建设内容本项目的建设主体为：个人门户管理系统、统一身份认证平台和消息服务总线。通过新一代身份认证平台建设，建立全面的身份认证安全体系，实现学校各类人员身份认证、单点登录，以及身份管理及授权管理等,为校园应用提供面向过程和策略的安全通路。同时梳理并整合校内外服务资源，实现服务的集中管理，为全校师生提供统一的一站式服务。服务内容覆盖各类用户生命周期中涉及的教学、科研、生活等所有方面。项目建设内容主要包括新一代身份认证平台、个人门户管理系统和消息服务总线。3.1总体设计项目服务器部署示意图示例如下:1、新一代身份认证平台基于J2EE标准规范，JAVA开发语言，采用面向服务架构（SOA）设计理念，以身份仓库为身份数据中心，协同实现账号生命周期管理、多样的认证服务及复杂的授权管理等。在满足业务数据处理的同时，技术上支持多数据源，性能上支持高并发，功能上实现身份认证平台集中认证和授权，支持CAS、OAUth2.0、SAML2.0等主流应用对接协议及RestfulAPI等辅助接口对接。2、个人门户管理系统基于J2EE标准规范，JAVA开发语言，采用面向服务架构（SOA）设计理念，以“数据共享、业务整合、一站式服务”为指导思想，建设“以人为本”的服务型信息门户平台，为学院各类用户提供个性化应用服务，实现互动交流、知识分享、协同办公，并以服务为导向为用户提供跨部门一站式服务，为用户带来全新的应用体验。以“不同用户”为视角，梳理并展现面向不同角色的应用服务，满足个性化的需求，并可通过服务门户进行一站式的访问和使用。3、消息服务总线规定各类业务系统在发送消息时须按照规范，调用统一接口发送消息，当有新消息接入时，业务系统无需二次开发,即可发送对应类型的消息，同时对业务系统发送的消息进行权限监管。3.2新一代身份认证平台主要功能3.2.1身份认证方式由于学校用户的多样化，用户习惯的认证方式不同。平台具备多种身份强认证方式，如账号密码、手机动态验证码、二维码扫描认证（微信、钉钉等）、人脸识别认证等。而学校应用系统及软硬件设备的多样化,要求平台具备基于CAS、0uth2.0.SAML2.0等主流应用对接协议的资源授权能力，以及具备LDAP、RestfulAPl等辅助接口对接的能力。用户认证需采用集中统一方式，支持用户名/口令、动态口令、邮箱、别名、二维码、互联网应用账号（如钉钉、微信）、802.IX、标准的X.509数字证书、RF卡（校园一卡通）和智能USbkey等多种认证方式，同时支持第三方认证方式和代理认证机制。能够根据业务的不同安全等级合理使用凭证。具体分类如下：1、系统自身的认证功能。包括用户名/口令、动态口令、邮箱、别名、二维码、LDAP等。其中，重点构建生命体的动态二维码身份标识，也就是系统需具备生成人员动态二维码的机制，用于在某个时间点下唯一标识师生身份,为门禁、会议考勤等应用场景提供身份的统一认证服务。2、第三方认证源接入(1)微信、钉钉、QQ的扫码认证认证平台通过微信、QQ、钉钉等平台生成的二维码，调用对应平台的扫描工具接口，用对应的工具(微信、QQ、钉钉等)扫码实现登录并做好相应的授权管理。如用户未绑定微信、QQ或钉钉，则用对应工具扫码时需提示用户到一站式录入平台录入个人手机号、微信、QQ等个人信息。用户在一站式录入平台录入后，通过调用认证平台提供的API接口将相应数据推送给认证平台进行绑定。(2)集中人脸识别认证在质保期内，若学校建成了人脸集中识别系统或证照库系统，则新一代身份认证平台需实现与该系统对接，将该系统的能力纳入统一管理，确保校内第三方应用要开展人脸识别认证，都调用本平台统一的标准化认证服务，不能直接去调用人脸集中识别系统的认证服务。也就是说，当第三方应用系统需要人脸识别认证身份时，可通过新一代身份认证系统调用人脸识别系统的身份识别API,人脸识别系统通过人脸模型进行匹配，匹配成功后由新一代身份认证平台返回此用户的基础信息（包括姓名、数字身份账号、手机号码、身份证号等），来提升通过人脸识别场景带来的身份验证的便捷性和安全性。（3）一卡通刷卡识别学校现有门禁系统，均通过集成一卡通系统的识别能力。需要将一卡通系统的刷卡身份认证能力集成到本平台，通过本平台的接口，提供门禁等第三方系统的刷卡身份识别（不用于消费场所，仅用于门禁）。该第三方认证源接入，仅作为创新性的试点应用，仅对本项目验收通过后学校新购的门禁系统进行试点实施，学校现有的门禁系统维持直接对接一卡通系统模式。3.2.2组织管理新一代身份认证平台支持学校组织机构管理，实现与学校组织机构数据权威源同步。实现多组织架构管理，可根据各业务系统需要对应的组织架构。支持组织、部门等基础信息的维护和浏览功能。目前学校组织机构权威源在校内的“一站式录入平台”。要求认证平台支持API及ODI的方式与一站式录入平台或数据中心对接，实现组织机构数据从一站式录入平台或数据中心推送至认证平台，完成认证平台学校组织机构的调整。采用API方式同步时，认证平台开放APl接口供一站式录入平台调用；采用ODl方式同步时，认证平台建立组织机构中间表，通过学校现有的ODl工具将组织机构信息从数据中心推送至认证平台的组织机构中间表。认证平台具备对全校组织机构的管理功能，包括组织机构的设定、机构分类、分级维护管理等。实现机构信息增加、机构信息修改、机构作废，及机构展现等功能。可按照教学院系、科研机构、行政机构、党务部门、公共服务、附属单位、后勤部门、校办产业、其他部门等多种分类，实现对学校部门、院系、所、室进行配置与管理，确定部门名称、上下级关系、排序、编制等信息。可根据实际情况对取消的部门进行废弃操作及部门人员的批量变动操作。3.2.3用户数字身份管理建立统一用户数字身份库，作为学校的统一数字身份信息权威源，实现信息系统用户数字身份信息的集中存储，提供用户数字身份账号从激活、启用、维护、锁定、注销的全生命周期管理，同一类用户（如教职工、学生）数字身份账号全局唯一。为避免认证平台在版本迭代升级时，对数字身份管理页面造成不必要的影响，数字身份管理图形化界面应与认证平台的标准化产品页面剥离开来。采用UUlD方式，作为标识生命体的唯一识别码，将身份证、数字校园账号等都作为属性值。（一）数字身份的闭环管理数字身份的闭环管理模块，以用户的UUid作为标识用户的唯一主数字身份，以账号等内容为辅身份，具体以学校实际需求为准（如采用账号为唯一的主数字身份）。为系统管理员提供统一的账号管理操作界面，实现用户数字身份（包括数字身份账号、人脸信息、身份二维码、一卡通等信息）的管理。用户数字身份的状态应包括：启用、未启用和停用等。数字身份账号的管理手段应包括激活、维护、锁定、注销的手动操作及用户数字身份账号批量导入和导出、增删改查及状态调整等操作，满足学校大量账号维护需求。用户数字身份同时应具备与学校数据权威源的自动同步功能，实现用户数字身份账号从激活、维护、锁定、注销的动态管理，各环节的要点如下：（1）用户数字身份账号同步目前学校用户数据权威源为一站式录入平台，人脸的数据权威源为人脸库，身份二维码和一卡通的数据权威源在一卡通系统。统一身份认证平台须通过包括API、ODI等至少两种方式实现与一站式录入平台的用户数据同步，包括用户教职工或学生身份、人员状态及教职工人员类别等，确保统一身份认证平台与一站式录入平台用户信息一致。教职工用户数据采用API和ODl两种方式进行数据同步，学生用户采用ODl方式进行数据同步。一站式录入平台生成数字身份账号后，采用APl方式数据同步时，统一身份认证平台开放APl接口供一站式录入平台调用，数字身份账号（未启用）同步到认证平台；采用ODl数据同步，统一身份认证平台创建的用户信息中间表，通过学校现有的ODl工具将用户数字身份信息(未启用)从一站式录入平台数据库推送至认证平台，并根据规则自动为教职工和学生用户授权数字身份权限。(2)用户数字身份账号激活用户的数字身份账号在创建时，初始设置所有用户数字身份账号为未启用状态。教职工用户根据不同的人员类别和人员状态，设置其数字身份账号是否允许自助激活，如人员类别为事业在编的在职教职工允许其自助激活数字身份账号，人员类别为临时用工的教职工不允许其自助激活数字身份账号，可由系统管理员在账号管理操作界面手动激活，并生成随机密码，通过手机短信方式下发。允许激活数字身份账号的教职工可利用进校时预留的手机号进行数字身份账号激活，激活时教职工须在激活页面设置数字身份账号密码，预留邮箱、微信、QQ、钉钉等信息。认证平台对教职工数字身份账号激活时，对教职工手机号进行匹配，匹配成功发送手机动态验证码至教职工手机，教职工输入验证码完成激活。激活成功后认证平台将教职工预留的邮箱、微信、QQ>钉钉等信息与数字身份账号绑定，后期教职工用户可通过手机号、邮箱找回密码，通过微信、QQ、钉钉等扫码登录。具体教职工人员类别和人员状态是否允许自助激活，可在认证平台账号管理操作界面维护。学生用户可利用学号、证件号进行数字身份账号激活，激活时学生须在激活页面设置数字身份账号密码，预留手机号（钉钉号）、邮箱、微信、QQ等信息。认证平台对学生数字身份账号激活时，对学号和证件号进行匹配，匹配成功则发送手机动态验证码至学生预留的手机，学生输入验证码后完成激活。激活成功后认证平台将学生预留的手机号（钉钉号）、邮箱、微信、QQ等信息与数字身份账号绑定。后期学生用户可通过预留的手机号、邮箱找回密码，通过微信、QQ、钉钉等扫码登录。学生数字身份账号未启用状态在账号管理操作界面配置有效期，例如账号超过180天未启用，则账号自动变为锁定状态。用户或管理员在激活数字身份账号时，要求将用户预留钉钉、QQ、微信、邮箱等信息，并调用一站式录入平台提供的APl接口将钉钉、QQ微信、邮箱等信息推送到一站式录入平台。师生用户账号激活的流程和具体要求，根据学校实际需求而定。（3）用户数字身份账号维护与锁定用户的数字身份账号在日常维护中，根据一站式录入平台同步过来的用户人员类别或人员状态的调整，平台自动调整数字身份账号的启用或锁定状态。例如A为事业在编在职在岗教职工，其数字身份账号当前为启用状态，当A辞职后，一站式录入平台同步过来A的人员类别和人员状态由原来的事业在编在职在岗调整为事业在编辞职，则认证平台须将A的数字身份账号状态自动调整为锁定；如B为临时用工人员，其数字身份账号为锁定状态，当B转为事业在编在职时，其数字身份账号状态自动调整为启用。具体用户人员类别及人员状态调整与数字身份账号的启用或锁定状态调整对应关系，可在认证平台账号管理操作界面维护。(4)用户数字身份账号注销根据一站式录入平台同步过来的用户死亡、开除等人员状态的调整，认证平台自动调整数字身份账号的注销状态。具体用户人员状态调整与数字身份账号的注销状态调整对应关系，可在认证平台账号管理操作界面维护。(5)数字身份账号的追溯数字身份账号的创建(未启用)、启用、维护、锁定、注销都可追溯，明确是什么时间变成了什么状态。(6)用户状态适配数字身份状态的配置表一是建立数字身份的状态码，分别对应未启用、启用、维护、锁定、注销(也可以用这些动作按钮，代表数字身份的状态)二是建立图形化的对照码表。前面提及的一站式或数据中心同步至本系统的用户状态，对应的数字身份账号的未启用、启用、维护、锁定、注销状态，能用图形化配置的傻瓜化方式进行配置，避免用硬编码方式实施。如用户状态为在职，数字身份账号的状态能够匹配的范围是启用、锁定。(二)数字身份的集成和汇聚展示(1)用户同步策略配置和同步展示可以增删改查一站式或数据中心同步到本系统的用户的同步策略，包括名册、同步时间、是否自动激活账号、策略运行时间、数据同步参数（包括数据库类型、数据库名称、域名（IP）、端口、账密等）可以浏览同步本地的用户和用户状态等信息。（2）定制统计页面，提供全库（所有数字账号）、未启用、启用、维护、锁定、注销的人员统计总数和具体账号的清单，并支持查询、导出等功能。数字身份模块需要提供上述统计总数、各类用户清单的APl接口，用于学校在预警分析中，比对用户数和数字身份的一致性监控。（3）定制个人身份特征的汇聚页面。为系统管理员，提供一个页面，将能够用于认证个人的数字身份特征进行汇聚展示，包括但不限于UUlD、账号、手机、钉钉号、微信号、钉钉二维码、微信二维码、本系统生成的动态实时二维码（用于验证本系统二维码生成机制是否正常）、刷脸认证的照片、一卡通卡号等等（4）数字身份的审计对一站式系统或数据中心的用户（含退休等状态）和数字身份状态（注销、锁定等）进行普适性审计，如用户为死亡，但数字身份的状态为启用，应该给出预警的审计结果。3.3.4角色管理认证平台实现用户角色自定义。用户角色直接决定了该用户可以拥有哪些权限，用户和角色之间的关系是不断维护的，每种角色都有各自的权限定义。如果一个用户被赋予一个角色之后，那么这个用户就拥有了那个角色所定义的权限；当这个角色的权限定义更改之后，所有被赋予这个角色的用户也会自动拥有这个角色更改之后的权限。通过该模块可实现权限定义只需要针对数量非常有限的角色，而不必针对数目巨大的一般用户，从而显著地减少了系统管理人员对用户访问权限维护的工作量。角色管理需要根据用户人员类别与状态的调整，通过系统中人员状态、类别和用户角色之间的映射关系，实现用户角色的动态变更，例如A为事业在编在职在岗教职工，其当前为在职教职工角色，当A辞职后，一站式录入平台同步过来A的人员类别和人员状态由原来的事业在编在职在岗调整为事业在编辞职，则认证平台须将A的角色自动调整为辞职教职工角色。认证平台角色管理还可灵活定义角色之间的继承、相容和互斥关系，授权简单、便捷，并可以通过定义角色之间继承、相容、相斥等关系有效控制资源的继承性或阻止资源权限继承性，满足各种复杂的需求。3.2.5权限管理(1)权限管理认证平台权限管理包括系统功能定义，角色定义和角色分配。采用先进的基于角色的访问控制思想，在系统中根据资源访问情况定义了稳定的角色类别，然后根据用户的需要赋予相应的角色来完成资源的访问控制。平台提供统一的界面，实现对平台功能进行细颗粒度的二级授权及对学校各第三方接入认证平台的业务系统进行关联二级授权，也可根据用户数字身份账号及角色对平台功能和第三方业务系统进行自定义授权，以达到对业务系统权限的细颗粒度分配。例如A为人事系统管理员，认证平台可将人事系统的管理权限赋予A,由A来配置哪些角色或用户允许访问人事系统，认证平台也可直接配置哪些角色或用户允许访问人事系统。认证平台权限管理还具有多级的灵活角色定义及授权功能。实现依据学校各部门、各教学管理单位按照岗位职责进行角色及角色的级别（校级、院系级）定义，并依据岗位职责进行权限的分配，权限不仅控制认证平台的功能组件，还控制到功能下的操作按钮，保证用户在认证平台中的一切操作在授权范围内进行，当用户发生岗位调整或者岗位职责发生变化时系统可以灵活调整。认证平台还需结合学校实际需求，引入用户组授权概念，方便对用户的批量授权与管理。用户继承所属用户组的权限信息，并可在此基础上进行权限的进一步调整，最大化减轻系统维护人员工作量。（2）权限查询认证平台提供多角度的权限查询功能，可根据用户和角色查询其所拥有认证平台的功能权限（含功能下的操作按钮）或第三方应用访问的权限，也可根据认证平台功能（功能下的操作按钮）或第三方应用查询拥有权限的用户。同时提供权限统计展示功能，根据用户人员类别和当前状态，统计展示其所拥有第三方应用的访问权限，例如统计展示事业在编在职教职工可访问OA等10个应用系统、事业在编退休教职工可访问办事大厅等3个应用系统，外聘教师可访问教务系统等2个应用系统等。同时也能查询个人的权限统计，统计内容和上面一致。3.2.6认证开放(1)统一单点登录认证平台具有完善的单点登录体系，可安全地在应用系统之间传递或共享用户数字身份认证凭证，实现用户仅一次认证，就可以访问多个应用系统，即用户首先访问身份认证平台的认证页面，经过身份鉴别后，根据用户人员类别及状态或用户角色进入个人信息门户，然后按照配置的权限可单点登录到各个应用系统，也可在单点登录到某个应用系统后再单点登录到其他应用系统。平台可实现Java、.net、C#、ASP、PHP、PythOn等主流语言开发的应用系统单点登录。(2)软硬件设备认证认证平台具备软硬件设备认证对接能力，实现学校SSLVPN.webVPN堡垒机、上网实名认证系统(DRCOM、深蓝)、门禁系统等软硬件设备的认证对接。学校用户规模按20000用户计算，确保认证用户数、在线用户数及并发用户数满足学校学生选课等特殊时间段的认证需求。（3）互联网认证（根据学校实际需求实施）平台具有与第三方互联网应用对接能力，实现平台用户与第三方互联网应用用户的互相授权绑定与解绑。即学校认证用户与第三方互联网应用认证用户互认授权后，可实现学校用户数字身份账户直接登录第三方互联网应用系统。（4）刷脸认证（根据学校实际需求实施）在质保期内，若学校建成了人脸集中识别系统或证照库系统，平台在集成集中刷脸认证能力后，统一向校内的第三方系统提供集中刷脸认证接口，取消学校现有的边缘刷脸认证模式。（5）二维码认证（根据学校实际需求实施）系统提供能标识用户身份的动态二维码生成接口，用于开放给第三方应用系统。第三方系统只要添置二维码扫描盒，就能完成身份识别。（5）一卡通认证（根据学校实际需求实施）学校现有门禁系统，均通过集成一卡通系统的识别能力。需要将一卡通系统的刷卡身份认证能力集成到本平台，通过本平台的接口，提供门禁等第三方系统的刷卡身份识别（不用于消费场所，仅用于门禁）。3.2.7应用统一接入服务应用统一接入服务实现两个方面的需求，一是接受各类应用系统的在线单点登录接入申请，提供在线的接入业务办理和接入技术支持，二是提供对所有单点接入应用的统一管理功能。(1)单点应用接入各类应用系统原则上采用CAS认证单点接入方式。身份认证平台提供统一的应用系统单点接入接口标准，能够接受各类应用系统的单点接入申请，提供在线的接入业务办理和接入技术支持，提供对所有单点接入应用的统一管理功能。应用统一单点接入服务为我校其他应用系统提供在线申请应用接入服务，用户需填写接入方的信息及应用系统基本信息、接入配置信息(比如用OAUth2.0、CASRestFulAPI、SAML2.0、单点漫游等方式接入、选择辅助接口比如修改密码、获取用户信息、同步数据等)后，接受认证平台管理员审核，审核通过后就可进行自助接入调试，调试通过后由认证平台管理员分配权限供授权师生访问。(2)单点接入应用管理统一管理身份认证平台单点接入的应用，并且可对应用进行查看、审核、停用/启用管理。(3)单点接入进度查询用户可实时查看单点接入申请的审核进度，审核通过后会将应用接入信息发送给接入方(站内消息、短信、邮箱等)，通过后即可进行应用与身份认证平台对接。(4)接入在线调试单点接入应用审核通过后，平台自动将应用接入的相关参数信息发送给接入方，接入方可通过这些参数进行在线调试，验证接入系统的认证接口和参数设置是否正常。（5）单点接入在线文档认证平台向通过在线申请单点接入的应用系统提供统一的单点接入接口标准文档，包括详细的接入说明及接口全局返回码等，使应用系统单点接入更加清晰。3.2.8个人自助服务实现所有用户均具有密码修改、密码找回、信息查询、设置密保手机、设置密保邮箱、日志查询等个人自助服务，减轻平台管理员的工作压力，给全校用户提供更方便快捷的服务。（1）信息查询实现在用户登录后，可以查询自己所归属的角色、有权限访问的应用及有权限访问的管理中心模块及个人登录日志等。（2）安全中心实现为用户提供个人安全自助服务，包含密保工具、密码管理、别名登录和数字身份账号管理等。安全中心只展示用户的手机（钉钉）、QQ、微信、邮箱等信息，若用户需要修改相关信息，则认证平台需提示用户到一站式录入平台进行维护。当用户在一站式录入平台对手机（钉钉）、QQ、微信、邮箱等信息进行维护后，一站式录入平台调用认证平台提供的API接口将相应数据推送给认证平台，对认证平台安全中心相应数据进行更新。安全中心需提供用户的数字身份信息与互联网应用(钉钉、QQ、微信、邮箱)的绑定与解绑功能。修改密码：在用户登录后，可进入安全中心修改密码界面，首先输入原密码，然后进行新密码设置，校验成功后通过手机验证码核验,核验通过后，修改密码生效。口志查询：保留用户的所有操作痕迹，方便用户查询及为审计提供数据支撑。别名登录：用户设置好别名后，可使用别名代替数字身份账号进行登录。(3)找回密码实现用户第一次登入认证平台时，强制用户使用密保手机号或邮箱等进行动态验证码确认。当用户在使用过程中，忘记登录密码，可使用找回密码功能进行密码找回。用户在使用找回密码功能时，可输入数字身份账号信息，平台提供绑定的手机、邮箱、微信、QQ等方式帮助用户自助找回密码。3.2.9数据维护和备份实现用户数字身份账号、角色、组和权限数据的批量导入、导出功能。提供相应的综合查询功能，能够完成批量数字身份账号启用、停用、密码初始化，提供用户数字身份账号数据的一键备份和恢复功能。3.2.10日志管理及审计(1)日志管理认证平台将用户对平台的所有操作记录进行统一保存和管理，可通过操作类型、操作日期或其它关键字来对操作记录进行精确查询。(2)日志审计认证平台可对用户的异常行为进行审计，如僵尸用户、高频访问操作等(3)统计分析认证平台提供认证用户IP地址区域分布图及用户使用终端类型分析、用户认证行为分析等，实现各类第三方应用单点认证情况、认证访问占比、分布趋势等统计分析，具体包括应用分类、应用分布趋势、应用访问量统计分析等。可以按指定时间进行统计，具有根据单点登录的系统(如门户上点人事系统)、人员等关键字进行查询的功能，并完成以下统计要点：统计通过VPN登录、内网登录的人员、登录时间、IP等内容。统计OAUth2.0、CAS>RestFulAPI、SAML2.0、单点漫游等方式的第三方应用清单。3. 2.11系统监控为用户提供完善的监控分析体系，实时监测服务器运行状态、运行负载及实时并发用户趋势、实时并发会话趋势等，实时监测系统数据库的连接情况，包括SQL执行响应时间、连接数等信息。提供jvm环境监控功能，用以实时监控服务器使用情况。3.3个人门户管理系统功能3.3.1个人主页个人主页根据学校要求进行个性化定制(最终以学校实际需求为主)，包括PC门户主页及移动门户主页，提供多语言版个人主页，并实现不同人员类别不同状态的个人主页定制。个人主页为用户个人提供综合服务，根据登录用户身份类别、角色、状态等信息不同进入不同个人主页，如在职教职工、离退休教职工、外聘教师、访客等各类教职员工页面及录取新生、在校学生、校友等各类学生页面。个人主页主要展示与“我”有关的数据和“我”收藏的应用，方便用户及时并且直观地关注和“我”有关的数据及事务流程。个人主页须建立主动刷新机制，也就是服务器主动推送技术。例如张三的个人门户有3条消息提醒或待办事项，张三查看或办理其中1条后，门户的消息提醒或待办事项就自动将3条变为2条。3.3.2角色管理(1)用户账号管理管理个人门户管理系统的用户账号，实现与学校数据权威源的同步，并根据身份认证平台对用户账号的不同分组进行不同授权。(2)角色管理个人门户管理系统实现用户角色自定义。不同用户角色对应不同的个人主页，即用户角色直接决定了该用户可以访问的个人主页。角色和个人主页的对应关系可进行配置。用户和角色之间的关系是不断维护的，每种角色都有各自的权限定义。如果一个用户被赋予一个角色之后，那么这个用户就拥有了那个角色所定义的权限；当这个角色的权限定义更改之后，所有被赋予这个角色的用户也会自动拥有这个角色更改之后的权限。通过该模块可实现权限定义只需要针对数量非常有限的角色，而不必针对数目巨大的一般用户，从而显著地减少了系统管理人员对用户权限维护的工作量。角色管理需要根据用户人员类别与状态的调整，实现用户角色的动态变更，例如A为事业在编在职在岗教职工，其当前为在职教职工角色，当A辞职后，一站式录入平台同步过来A的人员类别和人员状态由原来的事业在编在职在岗调整为事业在编辞职，则认证平台须将A的角色自动调整为辞职教职工角色。3.3.3服务管理(1)服务管理提供服务管理功能作为整个服务管理模块的基础，实现对学校提供的服务在门户系统展现，并实现增删改查功能，服务的具体参数数据调用服务基础数据维护中的内容。支持服务在平台中的服务注册、发布、统计、设置、授权、调度、监控和预警管控。实现如下场景：教务系统的H5应用要发布到钉钉或者APP,首先在服务管理中进行注册，审核通过后，将它的URL地址根据管理规则转换成标准化URL地址（例如增加ID编号等），然后发布到移动平台（钉钉或者APP平台）。服务注册：注册信息包括服务图标、启动入口、版本、作者、业务分类等信息。服务申请使用人在办事大厅发起注册申请，录入服务相关信息，审核通过后将信息同步至门户备案。服务发布：支持应用服务的批量发布。支持发布应用服务时，同步推送应用发布消息到相应的平台，包括PC门户和移动平台。支持将应用服务发布到指定的平台，包括钉钉、微信等。支持启用应用服务发布审核机制：服务申请部门管理员在办事大厅发起发布和上架流程，审核通过后，由门户管理员最终发布至各个平台中。服务统计：管理人员可查看第三方应用的各项使用数据指标，并根据不同角色用户的使用情况，为服务分发的运营决策提供参考，包括服务调用统计分析、接口调用分析、访问记录。服务授权：提供应用服务授权管理与维护功能，可维护应用上架的标准，应用对接必须按照学校统一身份认证标准接口对接，应用服务上架需要达到标准后才能得到授权上架。服务调度：主要包括APl事务配置、服务调试、SDK功能等。服务监控：可通过对接口访问记录进行汇总分析，了解接口平均耗时、接口调用正常数/总数、接口状态，查看访问记录分析失败的原因。支持通过调用统计分析各业务系统的接口热度、接口执行效率等。服务预警：支持配置应用服务黑名单、白名单。支持配置应用服务防卸载名单，防止管理员误操作卸载相应应用服务。具备正向和反向移动应用预警，支持对纳入平台管理的移动应用进行服务合规性预警。(2)服务评价管理为深入调研学校用户对各项服务的评价及意见，提供服务评价管理功能，直观显示当前启用/禁用的各项服务在用户中的满意度比，具体满意度数据可来源于信息管理的意见反馈和调查问卷手机的数据信息。(3)服务基础数据维护通过类似数据字典的方式，以服务的多项基础数据来对学校服务进行定义，将各项服务通过办事方式、服务对象、服务类别和受理部门这些基础项目进行区分和归类，也方便用户对指定服务内容的查询。管理员用户可在基础数据管理功能页面下完成基础数据的增删改查操作，并可对基础数据的使用状态(启用/禁用)进行调整。支持自定义创建和管理服务分类，如办公服务、公众服务等；可将服务进行分类管理；支持按照服务分类、服务类型或服务发布的平台统计展示服务分布情况。可查询当前学校许可的各类H5页面数目等数据，进行分类统计并展示;具备应用服务统计能力，包括统计接口调用的次数、调用的系统等功能。3.3.4系统管理(1)参数设置提供参数设置功能，用于维护系统基础的参数数据，如皮肤颜色、底部文字说明等。可通过参数设置，预置将来某一天或某一段时间相应的皮肤颜色，如预置全国哀悼日为灰白的皮肤颜色，预置国庆、春节等法定节假日为喜庆的皮肤颜色。(2)缓存管理建立缓存管理机制，支持多服务器间的缓存共享。提供界面化的缓存管理功能，管理员可随时查看平台自身缓存情况，并可根据实际情况进行缓存处理。3.3.5日志管理(1)业务日志管理向管理员用户提供业务日志管理和审计用户提供日志审计功能。为提高对操作日志的检索效率，可根据操作关键字、执行人、操作模块、业务名称及操作时间段等来对需要查询的业务日志进行精确查找，查询结果包括业务日志的操作名称、操作日期、host、操作人、操作模块、业务名称、remote(远程)以及操作类型等信息。(2)用户日志管理系统对全体用户的个人门户访问记录进行统一保存和管理，通过访问的应用名称、业务名称及访问时间段来对访问记录进行精确查询。(3)统计分析为用户提供完善的访问监控分析体系，实时监测个人门户管理系统中各应用的访问占比、分布趋势等数据。具体分析内容包括应用分类、应用分布趋势、应用访问量、业务访问占比/分布趋势图、业务分布趋势、业务访问量统计分析及最近5天、10天在线用户统计等。其他日志审计要求以学校实际情况为准。3.3.6系统监控系统提供软硬件环境监控功能，用以实时监控服务器使用情况。为保证系统能持久稳定的运行，提供系统的运行数据如：服务器资源使用情况、在线用户数、实时并发用户趋势、实时并发会话趋势、缓存状态，系统资源建设情况，系统最高峰时段统计情况等，系统需提供多种统计图形的方式，多角度来呈现用户所需要的信息。3.3.7其他常用功能(1)常用链接系统将存储用户在日常工作中使用的若干个常用链接，由管理员用户进行常用链接的增删改查的维护。(2)通讯录个人门户管理系统为学校用户提供本校人员的通讯录查询功能。实现系统管理员在门户管理系统后台进行通讯录维护，也可由一站式录入平台通过调用个人门户管理系统提供的API接口进行本校人员通讯录数据同步，确保实时更新并保证准确度。（3）问卷调查（投票）提供调查问卷（投票）设置与调查题库的管理及调查问卷（投票）统计查询功能。管理人员新建调查问卷（投票），设定调查（投票）主题、有效时间、调查（投票）范围以及调查（投票）结果是否对外公开等信息。实现用户查看自己发布的问卷（投票）当前所处状态，并做出调整。（4）信息发布统一信息管理，授权用户可以直接在个人门户发布各项通知公告信息O（5）用户资料管理系统将用户所需的资料统一放在资料下载页面中进行管理。3.4消息服务总线通过消息服务总线建设，建立全校统一的MQ机制，实现全校统一的消息发送规范，实现校内跨系统的消息传递。同时对应用系统发送的消息进行权限监管和数据统计。3.4.1缓存管理基于RecliS缓存管理机制，支持多服务器间的缓存共享。提供界面化的缓存管理功能，管理员可随时查看平台自身缓存情况，并可根据实际情况进行缓存处理。主要信息包括缓存名称、内存大小、是否使用磁盘、是否永久有效、最大磁盘容量、驱逐策略等。3.4.2权限管理(1)用户管理涉及到学校教职工、学生等用户数据，实现与学校用户权威源数据的同步，实现根据身份认证平台对用户数字身份账号的不同分组进行不同授权。其中组织机构和教职工用户数据通过API的方式与一站式录入平台进行数据同步，学生用户数据通过ODI的方式与一站式录入平台或数据中心进行数据同步