您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 信息化管理 > 用户培训手册_统一权限
0/20统一权限使用手册(管理员)目录1、系统概述..................................................................................................11.1更加稳定、安全、高效的权限管理服务......................................12、各组件特点..............................................................................................12.1、消息服务(ISC_MS)....................................................................12.2、权限管理平台(ISC_MP)............................................................32.3、接口服务(ISC_SM)......................................................................52.4、统一认证(ISC_SSO)..................................................................62.5、审计服务(ISC_AS).....................................................................82.6、数据同步服务(ISC_SYNC_ADAPTER)...................................82.7、统一认证代理(ISC_SSO_AGENT)...........................................92.8、鉴权代理(ISC_SM_AGENT)、缓存服务(ISC_CS).........102.9、UAP身份和审计模块(ISC_MANAGE)、工单模块(ISC_WORKFLOW)..............................................................................113、权限管理................................................................................................123.1、业务角色维护.............................................................................123.2、组织角色维护.............................................................................143.3、身份权限维护.............................................................................154、集成管理................................................................................................174.1同步结果监控................................................................................171/201、系统概述统一权限平台系统设计的目标是考虑国家电网公司人员身份管理业务的现状及特点,在总体设计上借鉴以往“国网统一身份认证系统典型设计”的成功经验,依托信息化手段着力提高人员身份管理的工作质量和效率,构建一套支撑“总部-网省”两级部署以及总部集中部署版本的统一权限平台系统,实现对人员身份的统一认证、统一管理、统一授权、以及合规性管理、安全审计等模块功能,实现统一管理、流程规范、过程受控、备案审查的目的,从而提升公司人员身份管理的规范性、合理性和安全性。1.1更加稳定、安全、高效的权限管理服务权限系统2.0版本是针对前期权限系统1.0版本的试点成果,进一步深化应用:1、考虑为业务应用提供满足安全等级保护规定中相应权限管理要求的服务。2、对访问控制管理方面进行安全加固与性能提升,增加权限测试机制,形成可水平扩展的鉴权体系。3、全面提升用户体验。2、各组件特点本节通过对统一权限平台各模块的介绍,阐明各模块的功能特性,以及各模块之间的通信交互过程,以便于实施工程师对统一权限系统的理解。2.1、消息服务(ISC_MS)统一权限平台系统消息服务模块是通过消息队列(MQ)来完成的,消息队列是一种应用程序对应用程序的通信方法。应用程序通过写和检索出入列队的针对2/20应用程序的数据(消息)来通信,而无需专用连接来链接它们。统一权限平台各组件通过消息队列来进行消息传递。消息传递指的是程序之间通过在消息中发送数据进行通信,而不是通过直接调用彼此来通信。简单地说,MQ就是这样的中间件,它允许一个应用向另一个应用发送消息,而无论该应用是否在线。图消息队列MQ示意图消息队列(MQ)的特点包括:1、消息的发送方和接收方可以不再统一服务器上;2、通信可以是单向或者双向;3、要通信的应用程序可以运行在不同时间(异步传输);4、对于应用间的结构没有限制;5、对于应用程序来说,底层的环境差异被屏蔽掉。统一权限消息服务组件主要功能包括:1、在权限平台的授权操作通过消息服务模块完成对UAP客户端权限缓存信息的刷新。2、在权限平台的授权操作通过消息服务模块将数据信息分发至与统一权限平台v1.0集成的各业务系统(适配器模式接入的系统)。3、统一权限平台系统统一认证、系统接口服务、数据同步服务等操作事件通过消息服务模块存入数据库,用于数据的统计分析汇总。平台A消息队列子系统A应用A”放入“消息平台B消息队列子系统B应用B”获取“消息消息队列MQ3/20消消消消消ISC_MS消消消消消V1.0消消消消消消消消消消UAP消消UAP消消消消消消消消消消消消消消消消消V1.0消消消消消消消消消消消消消消消消UAP消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消统一权限消息服务的数据传输方式主要有两种:1、主题(TOPIC)模式:消息服务将数据信息主动发送给所有订阅者,是一对多的关系。本模式主要应用于在UAP平台开发的业务应用缓存数据的更新(eg:当一个用户的中文名发生变更,消息服务将变更信息更新至所有UAP平台应用系统缓存区)。2、队列(QUEUE)点对点模式:消息服务将收到的数据存入队列,其它组件需要到此队列进行读取数据,如果数据A被一个组件读取,A数据将从队列从删除(数据传输是一对一的模式,一条数据只能被一个组件使用)。本模式主要应用于审计事件数据传输和对v1.0版本集成系统的数据同步。***********************************************************************************注:统一权限平台系统采用的消息中间件是ApacheActiveMQ。更多资料,可以参考ApacheActiveMQ官方文档***********************************************************************************2.2、权限管理平台(ISC_MP)权限管理平台是统一权限平台系统的核心组件,主要包括身份管理、资源管理、权限管理、配置管理、审计管理、集成管理、工单管理七大功能模块。4/20权限管理平台是统一权限平台系统的管理端,通过本服务,管理员可以进行用户身份管理、各种资源(业务应用)、授权管理、各种配置管理、审计管理、系统接入等。普通用户可以进行个人身份管理、配置管理等。权限管理平台是统一权限平台系统的数据展示层,功能模块如下:权限管理平台通过接口服务(ISC_SM),将数据信息写入数据库、刷新UAP系统缓存、同步数据到v1.0集成的业务应用。5/20消消消消消消消消消消消消消消消消消消消消消消消消消UAP消消消消消消消消消ISC_MP消消消消消消消消ISC_SM消***********************************************************************************注:权限管理平台(ISC_MP)服务是通过接口服务进行数据库操作的,本身没有直接的数据库操作:ISC_MP--ISC_SM---数据库。***********************************************************************************2.3、接口服务(ISC_SM)接口服务是权限管理平台与各业务组件数据操作的桥梁,负责将用户在权限管理平台的各种操作更新到数据库、记录的审计服务、更新UAP平台系统缓存、以及分发给集成的各业务应用(v1.0版本)。6/20消消消消消消消ISC_SM消isc_sm.war消消消消消消消消UAP消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消消接口服务的主要功能包括:(1)鉴权缓存读取。用户在首次登录权限管理平台或基于服务集成的业务应用时,需要通过接口服务到数据库进行查询操作,操作完成后,会将查询信息缓存到缓存服务当中;当用户再次登录时,接口服务不需要到数据库进行查询,直接到缓存服务读取缓存信息。这种方式可以提高系统响应速度。(2)数据更新同步。接口服务将用户在权限平台的数据操作一方面更新到数据库,另一方面通信消息服务将数据更新到集成的业务应用(采用同步适配器方式集成的系统)。(3)刷新客户端缓存。为提高鉴权效率,统一权限平台系统在基于服务模式集成的业务应用客户端缓存用户权限信息,当用户在权限管理平台更新用户信息时,接口服务通过消息服务中间件更新客户端缓存。(4)审计事件。消息服务将权限管理平台的用户数据操作记录通过消息服务中间件写入审计数据库。2.4、统一认证(ISC_SSO)统一认证组件主要完成对用户在登录业务系统时的身份验证工作,主要包括统一认证管理、单点认证Agent(ISC_SSO_AGENT.jar)、目录服务(LDAP服务)、缓存服务四个部分构成,其架构关系如下:7/20统一认证架构设计1.统一认证管理主要对外提供认证服务以及单点登录(SSO)管理功能,随着未来统一认证接入业务系统的增多,统一认证管理部分压力将随之增大,其访问情况相对其它组件承受压力最大。2.单点认证Agent组件主要为业务系统提供用于单点登录的组件,其功能负责与统一认证管理的认证通信,通信链路支持SSL。3.目录服务用于存储进行单点认证的用户数据,主要包括用户名、密码等用户基本信息数据,采用扁平存储结构,提供用户数据获取效率。4.缓存服务主要用于存储用户通过统一认证后的身份安全信息,通过缓存方式提升下一次用户单点认证的效率。***********************************************************************************注:统一认证默认情况下,连接目录LDAP服务,验证用户身份信息,在测试期间可以直接配置连接自身的Oracle数据库验证用户身份信息。8/20*************************************************************************
本文标题:用户培训手册_统一权限
链接地址:https://www.777doc.com/doc-5192595 .html