DB36∕T 1097-2018 政务服务统一身份认证系统接入要求

ICS35.080L07DB36江西省地方标准DB36/T1097—2018政务服务统一身份认证系统接入要求Accessrequirementsofunifiedidentityauthenticationsystemforgovernmentservices2018-12-29发布2019-07-01实施江西省市场监督管理局发布DB36/T1097—2018I目次前言................................................................................II引言...............................................................................III1范围..............................................................................12规范性引用文件....................................................................13术语和定义........................................................................14统一身份认证系统..................................................................25统一身份认证业务流程..............................................................36应用系统接入流程..................................................................77管理与安全要求...................................................................10附录A（规范性附录）身份核验类接口示例及说明......................................12附录B（规范性附录）单点登录类接口示例及说明......................................13附录C（规范性附录）服务接口调用类接口示例及说明..................................15附录D（规范性附录）eID服务接口示例及说明.........................................29附录E（规范性附录）用户表信息及状态码列表........................................31DB36/T1097—2018II前言本标准按照GB/T1.1-2009给出的规则编写。本标准由江西省发展和改革委员会提出并归口。本标准主要起草单位：江西省信息中心。本标准主要起草人：金俊平、吴俐、孙杨、李新华、黄振、侯文刚、王云翔、胡坚勇、龚松、占晓华、蔡斌、王建、李美全。DB36/T1097—2018III引言本标准规定了政务服务统一身份认证系统接入要求，各级政府部门政务服务系统的身份认证通过调用政务服务统一身份认证系统提供的功能服务，实现网上政务服务“一次注册、全网通行”。DB36/T1097—20181政务服务统一身份认证系统接入要求1范围本标准规定了政务服务统一身份认证系统（以下简称统一身份认证系统）的业务流程、接入要求、管理与安全要求。本标准适用于全省各级政府部门政务服务系统（以下简称政务服务系统）。2规范性引用文件下列文件对于本文件的应用是必不可少的。分时注明日期的引用文件，仅注明日期的版本适用于本文件。凡是不注明日期的引用文件，其最新版本适用于本文件。《“互联网+政务服务”技术体系建设指南》(国办函〔2016〕108号)3术语和定义下列术语和定义适用于本文件。3.1政务服务系统各级政府部门建设的面向社会公众提供政务服务的门户和业务系统。3.2统一模式政务服务系统通过调用政务服务统一身份认证系统提供的功能服务，完成用户注册和登录认证的方式。3.3协同模式政务服务系统仅通过用户注册调用政务服务统一身份认证系统的实名认证接口，完成实名核验。3.4JS对象简谱JavaScriptObjectNotation（简称JSON），一种轻量级的数据交换格式。它基于ECMAScript(w3c制定的js规范)的一个子集，采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得JSON成为理想的数据交换语言。易于人阅读和编写，同时也易于机器解析和生成，并有效地提升网络传输效率。3.5DB36/T1097—20182UrlEncode一个函数，可将字符串以URL编码，用于编码处理。URL编码(URLencoding)，也称作百分号编码(Percent-encoding)，是特定上下文的统一资源定位符(URL)的编码机制。适用于统一资源标识符(URI)的编码，也用于为application/x-准备数据，因为它用于通过HTTP的请求操作(request)提交HTML表单数据。3.6eID以密码技术为基础、以智能安全芯片为载体、由“公安部公民网络身份识别系统”签发给公民的网络身份标识，能够在不泄露身份信息的前提下在线远程识别身份。4统一身份认证系统4.1统一身份认证系统总体接入构架统一身份认证系统总体接入构架示意图见图1。图1总体接入架构示意图4.2统一身份认证系统功能定位4.2.1统一身份认证系统认证服务，由认证服务子系统、信任传递子系统、实名验证服务子系统等组成。4.2.2统一身份认证系统支持统一模式和协同模式两种对接方式与政务服务系统进行对接。4.2.3统一身份认证系统应承担以下功能和服务：a)提供统一身份信息管理，包括用户注册、用户信息查询修改、用户找回等。其中用户注册包括用户直接在统一身份认证系统上注册或在政务服务系统上注册后上传到统一身份认证系统的；DB36/T1097—20183b)提供权威的、统一的身份认证服务，完成用户的登录认证建立登录令牌，并接收政务服务系统登录会话查询与验证，以实现“一次认证、全网通办”；c)提供统一退出服务；d)提供信任传递服务，完成跨系统身份认证和单点登录。4.3身份认证方式4.3.1个人统一身份认证系统中个人身份认证是通过与公安部可信身份平台及第三方等权威机构进行核验，具体方式有支付宝认证、eID认证和身份信息认证。4.3.2法人统一身份认证系统法人身份认证是通过与省工商部门、省民政部门和省编办等权威机构共享数据进行核验。5统一身份认证业务流程5.1用户注册5.1.1统一身份认证系统注册5.1.1.1采用统一模式对接中单点登录方式的政务服务系统，用户使用PC端在省统一身份认证系统注册时，具体流程见图2。图2统一身份认证系统登录注册流程示意图5.1.1.2采用统一模式对接中调用接口方式的政务服务系统，用户使用PC端在在政务服务系统的注册页面注册时，具体流程见图3。DB36/T1097—20184图3统一身份认证系统调用接口注册流程示意图5.1.2政务服务系统注册采用协同模式建设，用户在政务服务系统的注册页面注册，具体流程见图4。图4政务服务系统的注册流程示意图5.2登录认证5.2.1统一身份认证系统登录认证用户在统一身份认证系统登录界面上，或在统一身份认证系统页面入口或通过登录接口进行登录认证时，具体流程见图5。DB36/T1097—20185图5统一身份认证系统登录认证流程示意图5.3信任传递5.3.1从统一身份认证系统到政务服务系统从统一身份认证系统到政务服务系统的信任传递时，具体流程见图6。图6从统一身份认证系统到政务服务系统信任传递流程示意图5.3.2政务服务系统A到政务服务系统B用户在政务服务系统A登录后，从浏览器中通过收藏夹或直接输入地址访问政务服务系统B时，具体流程见图7。DB36/T1097—20186图7从政务服务系统A到政务服务系统B信任传递流程示意图5.4统一退出5.4.1在统一身份认证系统退出用户在统一身份认证系统退出时，具体流程见图8。图8从统一身份认证系统退出流程示意图5.4.2政务服务系统退出用户在政务服务系统退出时，具体流程见图9。DB36/T1097—20187图9政务服务系统退出流程示意图6应用系统接入流程6.1政务服务系统申请接入统一身份认证系统时，具体流程见图10。DB36/T1097—20188图10政务服务系统接入流程示意图6.2接入准备申请系统应按以下要求进行准备：DB36/T1097—20189a)政务服务系统应明确本地域名规划和认证服务系统域名规划，明确IP地址，制定部署方案，明确地方和部门系统部署位置，确保服务器部署在安全区域内；b)制定接入方案，描述对接环境和应用系统，描述接口调用方案，描述IP网络拓扑和IP地址、域名，描述安全防护方案。云平台、负载均衡设备、CDN服务应单独详细描述；c)若政务服务系统有本地用户体系，应保证用户信息应以脱敏方式保存在互联网区、不得使用可逆加密算法保存用户信息。6.3接入申请政务服务系统可向统一身份认证系统正式申请接入。申请时应须提交以下材料：a）接入方案；b）第三方应用接入申请表。同时，应包含以下要素：a）申请单位；b）申请时间；c）应用名称；d）应用名称简称；e）应用类型；f）应用域名URL；g）授权回调URL；h）应用退出URL；i）应用Logo；j）应用描述。6.4接入核准主管部门对申请应用系统提供的信息和接入方案进行评测后，核准是否接入，核准以后统一身份认证系统建立以下接入要素：a)建立申请系统的应用名称、应用名称简称、应用类型，应用域名、回调和退出URL等信息列表；b)配置授权ID，授权返回的用户信息，共三种方式，分别是不提供、提供和脱敏提供；c)申请方通过接入规范文档读取服务地址获取包括登录认证服务、票据服务、令牌服务、注册服务、用户信息查询、登出服务消息订阅服务等地址；d)建立其它必须的信息。6.5接入改造应遵从《统一身份认证系统接入要求》对本政务服务系统中身份认证相关业务进行需求梳理，明确认证流程，进行系统建设或改造。申请应用系统应选定统一模式或协同模式之中的一种。6.5.1协同模式建设改造要求政务服务系统仅通过用户注册调用政务服务统一身份认证系统实名认证接口完成实名核验，具体参照附录A。6.5.2统一模式建设改造要求DB36/T1097—2018106.5.2.1统一模式下的单点登录方式，用户注册、登录认证、用户管理等功能都由统一身份认证系统完成，政务服务系统通过对接统一身份认证系统完成本地用户注册、登录认证和跨系统信任传递，具体参照附录B，应符合下列要求：a)注册、登录、登出和用户找回链接指向到统一身份认证系统；b)新增获取登录新令牌模块和处理统一退出功能。6.5.2.2统一模式下的调用接口方式，政务服务系统用户注册、登录认证、用户管理等功能页面由各系统自己开发，通过接口方式对接统一身份认证系统完成本地用户注册、登录认证和跨系统信任传递，具体参照附录C，应符合下列要求：a）完成本系统用户注册、登录认证、用户认证、用户管理的功能的页面开发；b）通过接口对接统一身份认证系统完成各系统的注册、认证和登录等功能。改造中涉及eID服务接口，具体参照附录D,涉及用户表信息及状态码列表，具体参照附录E。6.5接入联调接入联调分存量数据上传和功能对接两个步骤。6.5.1存量数据上传6.5.1.1申请应用系统若有本地用户数据，应按以下流程将现有用户数据上传到统一身份认证系统：a)申请系统按《统一身份认证系统数据接口规范》中自然人身份信息模型和法人身份信息模型的数据规范，将本系统的存量用户数据进行梳理和打包；b)存量数据包通过等安全通道将存量数据上传给主管部门；c)