1、 0 / 20统一权限使用手册(管理员)目录1、系统概述 01.1 更加稳定、安全、高效的权限管理服务 02、各组件特点 02.1、消息服务 (ISC_MS) 02.2、权限管理平台 (ISC_MP) 32.3、接口服务(ISC_SM) 52.4、统一认证 (ISC_SSO).62.5、审计服务 (ISC_AS).82.6、数据同步服务 (ISC_SYNC_ADAPTER).82.7、统一认证代理 (ISC_SSO_AGENT) .92.8、鉴权代理 (ISC_SM_AGENT)、缓存服务(ISC_CS) .102.9、UAP 身份和审计模块(ISC_MANAGE) 、工单模块(ISC_WOR
2、KFLOW) 113、权限管理 123.1、业务角色维护 .123.2、组织角色维护 .143.3、身份权限维护 .154、集成管理 174.1 同步结果监控 171 / 201、系统概述统一权限平台系统设计的目标是考虑国家电网公司人员身份管理业务的现状及特点,在总体设计上借鉴以往“国网统一身份认证系统典型设计”的成功经验,依托信息化手段着力提高人员身份管理的工作质量和效率,构建一套支撑“总部-网省”两级部署以及总部集中部署版本的统一权限平台系统,实现对人员身份的统一认证、统一管理、统一授权、以及合规性管理、安全审计等模块功能,实现统一管理、流程规范、过程受控、备案审查的目的,从而提升公司人员
3、身份管理的规范性、合理性和安全性。1.1 更加稳定、安全、高效的权限管理服务权限系统 2.0 版本是针对前期权限系统 1.0 版本的试点成果,进一步深化应用:1、考虑为业务应用提供满足安全等级保护规定中相应权限管理要求的服务。2、对访问控制管理方面进行安全加固与性能提升,增加权限测试机制,形成可水平扩展的鉴权体系。3、全面提升用户体验。2、各组件特点本节通过对统一权限平台各模块的介绍,阐明各模块的功能特性,以及各模块之间的通信交互过程,以便于实施工程师对统一权限系统的理解。2.1、消息服务 (ISC_MS)统一权限平台系统消息服务模块是通过消息队列(MQ)来完成的,消息队2 / 20列是一种应
4、用程序对应用程序的通信方法。应用程序通过写和检索出入列队的针对应用程序的数据(消息)来通信,而无需专用连接来链接它们。统一权限平台各组件通过消息队列来进行消息传递。消息传递指的是程序之间通过在消息中发送数据进行通信,而不是通过直接调用彼此来通信。简单地说,MQ 就是这样的中间件,它允许一个应用向另一个应用发送消息,而无论该应用是否在线。 平 台 A消 息 队 列子 系 统 A应 用 ”放 入 “消 息 平 台 B消 息 队 列子 系 统 B应 用 B” 获 取 “消 息消 息 队 列 MQ图消息队列 MQ 示意图消息队列(MQ)的特点包括:1、 消息的发送方和接收方可以不再统一服务器上;2、
5、通信可以是单向或者双向;3、 要通信的应用程序可以运行在不同时间(异步传输);4、 对于应用间的结构没有限制;5、 对于应用程序来说,底层的环境差异被屏蔽掉。统一权限消息服务组件主要功能包括:1、在权限平台的授权操作通过消息服务模块完成对 UAP 客户端权限缓存信息的刷新。2、在权限平台的授权操作通过消息服务模块将数据信息分发至与统一权限平台 v1.0 集成的各业务系统(适配器模式接入的系统) 。3 / 203、统一权限平台系统统一认证、系统接口服务、数据同步服务等操作事件通过消息服务模块存入数据库,用于数据的统计分析汇总。消 息 服 务 ( I S C _ M S )数 据 同 步V 1 .
6、 0 集成系统数据同步 审 计U A P 缓 存U A P 鉴权缓存刷新 各业务模块审计事件 执行 V 1 . 0 集成系统数据同步 ( 队列模式 )刷新 U A P 鉴权缓存 ( 主题模式 )审计事件写入数据库 ( 队列模式 )消 息 服 务 功 能 特 性统一权限消息服务的数据传输方式主要有两种:1、主题(TOPIC)模式:消息服务将数据信息主动发送给所有订阅者,是一对多的关系。本模式主要应用于在 UAP 平台开发的业务应用缓存数据的更新(eg:当一个用户的中文名发生变更,消息服务将变更信息更新至所有 UAP 平台应用系统缓存区)。2、队列(QUEUE)点对点模式:消息服务将收到的数据存入
7、队列,其它组件需要到此队列进行读取数据,如果数据 A 被一个组件读取,A 数据将从队列从删除(数据传输是一对一的模式,一条数据只能被一个组件使用)。本模式主要应用于审计事件数据传输和对 v1.0 版本集成系统的数据同步。*注:统一权限平台系统采用的消息中间件是 Apache ActiveMQ。更多资料,可以参考Apache ActiveMQ 官方文档 http:/activemq.apache.org/*2.2、权限管理平台 (ISC_MP)权限管理平台是统一权限平台系统的核心组件,主要包括身份管理、资源管理、权限管理、配置管理、审计管理、集成管理、工单管理七大功能模块。4 / 20权限管理平
8、台是统一权限平台系统的管理端,通过本服务,管理员可以进行用户身份管理、各种资源(业务应用)、授权管理、各种配置管理、审计管理、系统接入等。普通用户可以进行个人身份管理、配置管理等。权限管理平台是统一权限平台系统的数据展示层,功能模块如下:权限管理平台通过接口服务(ISC_SM),将数据信息写入数据库、刷新 UAP系统缓存、同步数据到 v1.0 集成的业务应用。5 / 20用 户用 户 操 作权 限 平 台 数 据 操 作 流 程数 据 库 操 作数 据 同 步U A P 缓 存权 限 管 理 平 台 ( I S C _ M P )系 统 接 口 服 务 ( I S C _ S M )*注:权限
9、管理平台(ISC_MP)服务是通过接口服务进行数据库操作的,本身没有直接的数据库操作:ISC_MP-ISC_SM -数据库 。*2.3、接口服务(ISC_SM)接口服务是权限管理平台与各业务组件数据操作的桥梁,负责将用户在权限管理平台的各种操作更新到数据库、记录的审计服务、更新 UAP 平台系统缓存、以及分发给集成的各业务应用(v1.0 版本)。6 / 20系 统 接 口 服 务 ( I S C _ S M )i s c _ s m . w a r数 据 库 鉴 权 、 更 新U A P 平 台 系 统 鉴 权 、 更 新 操 作读 取 鉴 权 缓 存权 限 平 台 鉴 权 、 更 新 操 作
10、同 步 适 配 器 模 式数 据 同 步( 点 对 点 )基 于 服 务 模 式 的数 据 同 步( 主 题 )审计事件 点对点接 口 服 务 功 能 示 意 图接口服务的主要功能包括:(1) 鉴权缓存读取。用户在首次登录权限管理平台或基于服务集成的业务应用时,需要通过接口服务到数据库进行查询操作,操作完成后,会将查询信息缓存到缓存服务当中;当用户再次登录时,接口服务不需要到数据库进行查询,直接到缓存服务读取缓存信息。这种方式可以提高系统响应速度。(2)数据更新同步。接口服务将用户在权限平台的数据操作一方面更新到数据库,另一方面通信消息服务将数据更新到集成的业务应用(采用同步适配器方式集成的系
11、统)。(3)刷新客户端缓存。为提高鉴权效率,统一权限平台系统在基于服务模式集成的业务应用客户端缓存用户权限信息,当用户在权限管理平台更新用户信息时,接口服务通过消息服务中间件更新客户端缓存。(4)审计事件。消息服务将权限管理平台的用户数据操作记录通过消息服务中间件写入审计数据库。2.4、统一认证 (ISC_SSO)统一认证组件主要完成对用户在登录业务系统时的身份验证工作,主要包括统一认证管理、单点认证 Agent (ISC_SSO_AGENT.jar)、目录服务(LDAP 服务)、缓存服务四个部分构成,其架构关系如下:7 / 20统一认证架构设计1.统一认证管理主要对外提供认证服务以及单点登录
12、(SSO)管理功能,随着未来统一认证接入业务系统的增多,统一认证管理部分压力将随之增大,其访问情况相对其它组件承受压力最大。2.单点认证 Agent 组件主要为业务系统提供用于单点登录的组件,其功能负责与统一认证管理的认证通信,通信链路支持 SSL。3.目录服务用于存储进行单点认证的用户数据,主要包括用户名、密码等用户基本信息数据,采用扁平存储结构,提供用户数据获取效率。4.缓存服务主要用于存储用户通过统一认证后的身份安全信息,通过缓存方式提升下一次用户单点认证的效率。*注:统一认证默认情况下,连接目录 LDAP 服务,验证用户身份信息,在测试期间可以直接配置连接自身的 Oracle 数据库验
13、证用户身份信息。8 / 20*2.5、审计服务 (ISC_AS)审计服务是统一权限平台系统的安全组件,通过审计服务可以接收统一认证和接口服务模块的审计事件。消 息 服 务 ( I S C _ M S )审 计 服 务 ( I S C _ S A S )I S C _ S A S审 计 队 列数 据 库 服 务O r a c l e审 计 事 件 数 据 传 输接口服务审计事件读取 ( 队列模式 )统 一 认 证数 据 库 写 入2.6、数据同步服务 (ISC_SYNC_ADAPTER)数据同步服务主要针对采用同步适配器方式进行集成的业务系统(主要指统一权限 V1.0 集成的各系统)。权限平台管
14、理员-权限管理平台(授权操作) -9 / 20-接口服务 消息服务 -数据同步服务-业务应用接口-业务应用数据库。用 户权 限 管 理 平 台 ( I S C _ M P )系 统 接 口 服 务 ( I S C _ S M )i s c _ s m . w a r消 息 服 务 ( I S C _ M S )数 据 同 步V 1 . 0 集 成 应 用 系 统数据库应用系统同步接口( 应用系统厂商开发 )授 权数 据 同 步 服 务 ( I S C _ D M )i s c _ d m . w a r数 据 同 步 列 模 式数 据 同 步 队 列 模 式操 作W e b 应 用 服 务数
15、据 同 步 服 务 模 块 工 作 机 制i s c _ m p . w a ri s c _ m s . w a r数 据 同 步2.7、统一认证代理 (ISC_SSO_AGENT)统一认证代理是业务应用系统 Web 服务的客户端插件,它的作用主要包括两个方面:1) 首次登陆重定向通过在客户端配置本插件,当用户首次登录业务应用时,将用户访问请求重定向至统一认证服务模块(ISC_SSO),完成用户登录验证。 2)身份校验10 / 20对于已经完成统一认证服务身份认证的用户,传递解析身份票据信息,验证用户身份信息。2.8、鉴权代理 (ISC_SM_AGENT)、缓存服务(ISC_CS)鉴权代理服
16、务主要服务于权限管理平台模块和通过服务模式集成的业务应用系统。当用户完成身份认证登录系统后,通过鉴权代理,鉴别用户的权限信息,加载系统各项功能菜单。缓存服务主要有两个作用:1、 统一认证身份信息缓存当用户经过统一身份认证服务验证身份信息时,统一认证服务需要建立到数据库的连接(LDAP 连接或 JDBC 连接)进行用户身份信息校验。通过缓存服务,统一认证服务将用户的身份信息从放入缓存服务器中,当用户第二次验证身份信息时,可以直接读取缓存服务的用户身份信息,提高系统响应速度。2、 用户鉴权信息缓存当用户登录权限管理平台或通过服务模式接入的业务应用时,需要系统接口服务到数据库加载用户的权限信息(例如
17、:功能菜单等)。通过缓存服务,系统接口服务将用户的权限信息放入缓存服务器中,当用户再次登录本业务应用时,可以直接读取缓存服务的用户权限信息,提高系统响应速度。11 / 20数 据 库 服 务统 一 认 证 服 务 ( I S C _ S S O )i s c _ s s o . w a r系 统 接 口 服 务 ( I S C _ S M )i s c _ s m . w a rO r a c l e目录 L D A P缓 存 服 务 ( I S C _ C S )统一认证用户缓存鉴权缓存鉴 权 、 更 新读 取 鉴 权 缓 存缓存读取缓 存 服 务 工 作 机 制*注:统一权限缓存服务是通过
18、 Memcached 缓存服务实现的。*2.9、UAP 身份和审计模块(ISC_MANAGE) 、工单模块(ISC_WORKFLOW)基于 UAP 平台开发身份管理模块基于 uap 和 bpm,提供流程服务和流程审批的模块重要说明:1) 统一权限只能通过组织角色对用户进行授权,授权后同步数据会将用户的组织信息和对应的角色信息推送到业务系统中。2) 与统一权限集成后,业务系统新建用户由同步接口完成,不再由用户自己12 / 20创建;门户只保留点亮业务系统图标功能,不再向业务系统推送用户。3) 系统管理员(必须拥有该系统的管理角色和统一权限的使用角色)才能登录统一权限平台给地市管理员或者普通用户授
19、权;系统管理员只能授该系统的管理权限,授权成功后联系统一权限平台管理员 ,还需拥有权限平台的使用权限。4) 用户授权操作是否成功可在同步结果监控中查看3、权限管理3.1、业务角色维护3.1.1、新增业务组织角色:权限管理-业务角色维护-业务概览-业务角色分组列表,选择业务角色分组-新增 3.1.2、填写表单:xxx_管理,角色类型:管理(可以授权)13 / 203.1.3、给新建的业务角色授权,点击权限变更3.1.4、填写授权的表单,资源里显示:主菜单-展现下级,选择要授权的资源3.1.5、下级菜单展现后,勾选资源,注意:一定要先选择主资源,再选择下级资源直至末级资源,完成后点击图中绿色标记可
20、以直接回退到该资源,再次选14 / 20择其他的资源,最后保存即可3.2、组织角色维护3.2.1、新增组织角色:权限管理-组织角色维护-展开业务组织单元树-新增3.2.2、填写组织角色表单,业务角色名称选择刚才在业务角色维护里新建的角色,系统会自动把业务角色权限同步到组织角色里,保存。15 / 203.2.3、用户授权(方法 1) ,点击新建的组织角色用户数量3.2.4、填写授权表单,点开(标识 1) ;展现基准组织树,尽可能的选择用户所在的部门(标识 2) ;勾选用户(标识 3) ;新增(标识 4)到左边的已授权用户列表;提交完成。3.3、身份权限维护16 / 203.3.1、用户授权(方法
21、 2):权限管理-身份权限维护(标识 1)-基准组织树(尽可能的选择用户所在的部门(标识 2) ,方便查询) ,点击授权(标识 3)3.3.2、填写授权表单:展开组织树(标识 1)-选择刚才在组织角色维护里新增的组织角色(标识 2) ,新增到已分配角色中,设置为缺省角色,提交完成3.3.3、用户授权(方法 3):权限管理-身份权限维护- 组织角色概览-展开业务组织单元树,点击已授权用户数量,填写表单(详细填写过程同上)17 / 204、集成管理4.1 同步结果监控4.1.1、集成管理-同步结果监控,点击(图 1)中的 2 标记,选择搜索数据的开始时间、标记 4 为搜索数据的截止时间,条件填写完成后点击搜索(图 1)4.1.2、搜索结果如(图 2)所示,同步状态:成功。则授权操作正常。18 / 20(图 2)4.1.3、搜索结果(图 3)所示,同步状态:失败。点击红色标记框,查看异常详细信息(图 4)所示(图 3)(图 4)19 / 20
