高校开放式统一身份认证平台实践与探索
来源:黄河科技学院现代教育技术中心 作者:董峰 王凌云 发表于:2016.03.30 1171浏览
一、引言
随着高校信息化建设的推进,各种管理信息系统如雨后春笋般被建设使用,学校利用信息技术进行教学和管理的手段也在不断更新。由于建设之初并没有考虑统一的数据共享和用户身份认证管理问题,结果是用户要面对不同系统的不同登录界面,记忆不同账号的信息,各信息系统内基础数据无法完全一致。因此,建立一个独立的、安全可靠的统一身份认证及权限管理系统的要求应运而生。
我校(黄河科技学院)在数字化校园建设中应用的统一身份认证平台,可自动从学校的人事、教务等系统同步基础数据,并为集成到该平台的信息系统提供共享数据支持,采用一站式登录模式,在建设初期为学校用户使用提供了便利,对信息化的建设起到了推动作用。
但向该平台集成信息系统时需要两端同时做修改且较复杂,寻求公司帮助需要收取一定费用,这阻碍了该平台的进一步应用。究其原因主要是该平台数据及技术开放程度较低,集成身份认证和共享数据较难引起。
互联网实践证明,适度开放的平台才会更具有活力和发展的潜力。腾讯、新浪、淘宝、百度等先后推出了第三方开放平台账号登录并通过权限管理开放接口实现数据的共享,在互联网中迅速获得广泛的应用。受这种模式的启发,我们开始探索和构想适合我校的开放式统一身份认证平台模式。
二、系统体系架构
开放式的统一身份认证平台将基于科学的数据标准管理机制,建立智能化数据规范检测与校验,实现自动化数据修正,提供强大的校园信息综合查询与统计分析,统一的校内外用户身份注册、组织机构身份注册、信息系统身份注册等服务,以及开放灵活的数据共享和接口服务,有效实现校园数据的“统一标准,统一服务”。平台总体架构如图1所示:
图1 统一身份认证平台总体架构
三、统一身份认证服务
综合学校信息化各方面的需求,统一身份认证平台将集成以下几方面的服务:
1.身份认证服务
身份认证服务有两种模式,即单点登录模式和单应用认证模式。单点登录模式是指在一个多应用系统共存的环境下,通过统一管理用户的认证过程和认证信息,使登录后的用户在接入统一身份认证系统的应用之间可以不需二次登录,直接相互漫游,即登录一次访问所有接入的应用。单应用认证模式是指仅为应用系统提供登录认证服务,用户使用统一身份认证系统的账号登录,但登录后无法漫游到其它应用系统。
身份认证服务的服务对象包括应用部门和全校所有信息化用户。面向应用部门提供应用系统接入服务,根据需求提供不同的接入解决方案;面向信息化用户提供统一认证和单点登录服务,这里的信息化用户指所有使用学校信息资源的用户,对于不是在职在编教职工和全日制学生,需要使用自注册与审批服务进行注册和审批之后方可使用身份认证服务。
2.身份信息服务
身份信息服务基于统一身份认证系统用户身份信息库面向全校各应用部门、信息化用户提供身份数据信息服务。身份信息的范围包括在编教职工、在校和毕业学生、离退休人员、其它注册用户的基本身份数据。通过提供查询接口的方式实现身份信息服务。
3.数字证书身份认证服务
数字证书服务是面向全校信息化用户提供的数字证书生命周期管理服务,包括数字证书的新领、变更、延期、挂失、解挂、注销、重发、解锁等。面向全校各应用部门提供基于数字证书的强身份认证、数据机密性完整性保护、行为不可否认性认证服务。
4.电子签章服务
电子签章利用数字证书的数字签名功能并结合电子印章,为用户提供word、excel、wps、pdf文档以及电子表单中的电子签章功能,保证数据的真实性和完整性。电子签章服务面向学校各应用部门提供电子印章应用环境,实现电子印章在学校应用系统中的使用。
电子印章分为电子公章和电子签名章,电子公章包括电子部门章和电子专用章。电子部门章是指由学校统一审批和发放的,在一定期限内用以证明校内部门机构身份的电子印章。电子专用章是指由学校统一审批和发放的,在印章上刊明的范围内使用的专用电子印章。电子签名章是指由学校统一审批和发放的,在一定期限内用以证明校内教职工身份的电子印章。
5.机构编码服务
(1)机构变更查询服务:该服务提供给想要知道机构变更信息且具有权限的用户。该服务用来查询全校范围内所有处级及科级机构的变更信息。它不仅仅包括机构调整信息,还包括机构基本信息的变更,如负责人、办公地址等基本信息的变更。
(2)机构编码同步服务:该服务主要提供给全校范围内所有使用学校标准机构编码的应用系统,包括已上线的系统和新建的系统,尤其对于新建的系统,必须利用该服务进行机构编码同步。
(3)机构编码和名称查询服务:该服务提供所有接入统一身份认证平台的应用系统的机构编码和名称查询服务。可根据机构的编码或名称查询出机构对应的其它信息。
6.权限分配及管理服务
应用系统中权限各自分离,由各应用系统自己管理,这样不仅重复建设,而且导致了用户权限管理上的混乱。权限管理系统旨在建立一个统一的授权中心,由该系统统一管理各个应用系统中的权限,实现所有应用系统的统一授权。
7.用户自注册与审批服务
学校各应用系统服务对象除了在编教职工和在校学生外,存在一些特殊用户,如外聘教师、继续教育学生等。但统一身份信息库中只能同步到在校学生和在编在册教职工身份数据,特殊用户无法使用统一身份认证系统。于是我们建立了统一身份认证平台注册审批子系统,通过此系统用户可注册后提交相关部门审批,审批通过后即可获得相应的访问权限。
四、结语
高校信息化建设是一个长期而复杂的工程,建立一个健壮的、扩展性强的统一身份认证平台是高校各种应用系统集成和整合的基础,是为学校教师和学生提供优质服务的保障。