【文章內(nèi)容簡介】 執(zhí)行邏輯，引入應(yīng)用策略判定接口，對統(tǒng)一授權(quán)管理的策略判定接口進(jìn)行封裝，對原始策略判定結(jié)果作進(jìn)一步加工與處理。 統(tǒng)一授權(quán)管理支持通過策略 主體 SPI（ 服務(wù)提供者接口 ） 、策略條件 SPI、策略推薦 SPI與資源名稱 SPI進(jìn)行擴(kuò)展。策略的存貯結(jié)構(gòu)通過 LDAP 中的對象類與屬性類型加以定義；策略存貯在目錄服務(wù)器中。 18 . 策略模型 統(tǒng)一授權(quán)管理的策略服務(wù)建立在通用、靈活和可擴(kuò)展的模型上。正是該策略模型使其能在基礎(chǔ)設(shè)施層以一種應(yīng)用無關(guān)的方式提供強(qiáng)大的策略服務(wù)。一般而言，作為訪問控制規(guī)則的策略描述了“誰在何種情況下針對指定服務(wù)對何種資源可執(zhí)行怎樣的操作”。在這里，“誰”是策略的 主體 ；“情況”是策略適用的條件；“服務(wù)”是策略的上下文，“資源”與“操作”都是與該服務(wù)相關(guān)的；“資源”是策略的對象；“執(zhí)行怎樣的操作”可以表示為 一系列“動作”及與之對應(yīng)的“值”?；趩吸c(diǎn)登錄系統(tǒng)的策略模型提供了充分的表達(dá)能力，允許準(zhǔn)確描述如上的通用策略。 統(tǒng)一授權(quán)管理的策略 采用 XML來 描述。為簡明起見，在此以半形式化的方式描述策略模型如下： 常規(guī)策略 ::= 主體 集 + 條件集 + 規(guī)則集 主體 集 ::= {主體 } 條件集 ::= {條件 } 規(guī)則集 ::= {規(guī)則 } 主體 ::= Access Manager 角色集 | LDAP 組集 | LDAP 角色集 | LDAP 用戶集|LDAP 組織集 條件 ::= 認(rèn)證級別 |認(rèn)證方式 |客戶 IP |時間 規(guī)則 ::= 服務(wù) + 資源名稱 + 動作類型 值對集 資源名稱 ::= 字符串 動作類型 值對集 ::= {動作類型 值對 } 動作類型 值對 ::= 動作類型 + 值 備注： 統(tǒng)一授權(quán)管理的策略包括推薦策略與常規(guī)策略。由于推薦策略只是將策略推薦給對等組織或子組織進(jìn)行判定，而不涉及策略的具體判定，因此此處不對推薦策略進(jìn)行詳細(xì)描述。 統(tǒng)一授權(quán)管理提供的 主體 插件 SPI、條件插件 SPI 和資源名稱插件 SPI允許擴(kuò)展 主體 、條件與資源名的表達(dá)能力，上述描述中 主體 、條件與資源名稱只是由系統(tǒng)提供的標(biāo)準(zhǔn)實(shí)現(xiàn)。 19 . 策略編程接口 應(yīng)用系統(tǒng)訪問身份認(rèn)證平臺可以使用 Java API 接口，也可以使用XML/HTTP 接口。如果是遠(yuǎn)程訪問，則 Java API 接口本身也是對 XML/HTTP 接口的一種封裝。 遠(yuǎn)程客戶端調(diào)用策略驗(yàn)證接口時的處理流程如下： (1) 應(yīng)用系統(tǒng)調(diào)用 Java API 請求策略驗(yàn)證； (2) Java API 根據(jù)策略驗(yàn)證請求生成一個 XML 策略驗(yàn)證請求； (3) Java API 將 XML 策略驗(yàn)證 請求 通過 HTTP 協(xié)議發(fā)送給系統(tǒng)的 Policy 服務(wù)： % (4) 系統(tǒng)處理策略驗(yàn)證 XML請求，并創(chuàng)建一個策略決策 XML文檔作為應(yīng)答返回給客戶端； (5) 客戶端 Java API 接收并解釋策略決策 XML 文檔； (6) 應(yīng)用系統(tǒng)通過 Java API 獲取策略決策信息。 從上述流程可知，策略驗(yàn)證的結(jié)果是以策略決策的形式表現(xiàn)的。如果 使用XML/HTTP 接口，則策略決策是一個 XML 文檔 ； 如果 使用 Java API 接口，則策略決策是一個 Java 對象。 策略決策中包括一組動作決策 ， 動作決策是關(guān)于某個具體動作的決策，其中包括： （ 1）動作的值：與該動作相關(guān)的決策的值； （ 2） 有效時間（ TTL）：決策值在多久時間內(nèi)有效； （ 3）建議：該動作決策的描述信息。 動作的值可以是布爾類型的，表示是與否、允許或禁止等兩值類型的動作決策；動作的值也可以是復(fù)雜類型的，如字符串、數(shù)值等，可以用來表示動作的程度、范圍等決策概念，諸如郵箱配額、折扣率等。 可能有許多策略適用于一次策略請求，不同的策略可能相互沖突。比如，用戶擁有的角色允許他訪問某個 URL，而用戶所屬的組禁止他訪問某個 URL；再比如，用戶擁有的一個角色給予他 20M 的郵箱配額，而用戶擁有的另一個角色給予他 10M 的郵箱配額。這種不同策略同時 適用，而且決策值不同的情況稱為沖突。沖突的策略決策必須消解之后才能用于權(quán)限控制。系統(tǒng)是這樣消解策20 略決策沖突的： (1) 如果動作值的類型是布爾類型，則所有策略的決策值在執(zhí)行 AND 操作之后返回，返回的值是單值。也就是說，只要有一個策略的動作決策是 false，則動作的決策值就為 false； (2) 如果動作值的類型是復(fù)雜類型，則所有策略的決策值全部返回給應(yīng)用系統(tǒng)，由應(yīng)用系統(tǒng)對決策值進(jìn)行進(jìn)一步的沖突消解 。 策略的管理包括創(chuàng)建、刪除和修改策略。用戶可以通過系統(tǒng)的 WEB控制臺界面或命令行界面管理策略。如果在應(yīng)用系統(tǒng)中 需要對策略進(jìn)行管理，可以使用系統(tǒng)的策略管理 API。 . 應(yīng)用策略的設(shè)計(jì) 一個應(yīng)用系統(tǒng)是建立在多種平臺服務(wù)之上的，并且向用戶提供多種用戶服務(wù)；而一個平臺服務(wù)也應(yīng)該為多個應(yīng)用系統(tǒng)使用。因此應(yīng)用系統(tǒng)與服務(wù)之間是多對多的關(guān)系。 由于服務(wù)是應(yīng)用的組成元素，因此，授權(quán)應(yīng)該是針對服務(wù)的資源而不是應(yīng)用的資源來進(jìn)行的。不同的服務(wù)具有不同的資源 和 動作類型，因此，不同的服務(wù)有不同的策略模板，該 模板 稱為策略方案（ Policy Schema）。服務(wù)與策略方案之間的對應(yīng)關(guān)系應(yīng)該是一對一關(guān)系。配置策略 、 驗(yàn)證策略是通過指定服務(wù)來指定策略方案的 。 一條具體策略規(guī)定了一組主體在一組條件 下 的一組訪問控制規(guī)則。每條規(guī)則中均指明了一個服務(wù)、屬于該服務(wù) 的 資源以及一組動作與值對。每個策略方案也可以被多條策略使用。因此，策略與策略方案之間的對應(yīng)關(guān)系應(yīng)該是多對多關(guān)系。 由于服務(wù)與策略方案之間是一一對應(yīng)的，因此，定義策略方案是在定義服務(wù)的同時進(jìn)行的。只有當(dāng)服務(wù)定義之后，才能定義與該服務(wù)相關(guān)的具體策略。 從身份認(rèn)證平臺服務(wù)管理的角度，服務(wù)是一組定義在一個公共名字下通過身份認(rèn)證平臺管理的屬性的集合。身份認(rèn)證平臺將服務(wù)作為一組屬性進(jìn)行管理，而并不關(guān)心這些屬性的具體涵義。 服務(wù)的屬性集合是通過一個 XML文件加以定義的。 21 身份認(rèn)證平臺提供了大量的平臺服務(wù)，這些服務(wù)本身也是通過系統(tǒng)的服務(wù)管理功能加以管理的，因此，這些平臺服務(wù)也有對應(yīng)的 XML定義文件，并且服務(wù)的選項(xiàng)也是通過服務(wù)的屬性加以管理的。 為了使服務(wù)能夠針對不同的用戶、角色或組織等身份實(shí)體進(jìn)行定制和個性化，身份認(rèn)證平臺將服務(wù)的屬性分為以下五種類型。不同類型的屬性具有不同的作用域、繼承性、用途。 類型 作用域 繼承性 用途 全局 整個 統(tǒng)一授權(quán)系統(tǒng) 不可繼承 服務(wù)的全局配置 組織 應(yīng)用于組織 不可繼承 服務(wù)的組織級配置 動 態(tài) 應(yīng)用于角色、用戶 可繼承 服務(wù)的動態(tài)配置，配置給角色的屬性自動為所有具有該角色的用戶擁有，配置給組織的屬性自動為所有該組織下的用戶擁有。 策略 N/A N/A 與服務(wù)授權(quán)相關(guān)的配置 用戶 只應(yīng)用于用戶 不可繼承 服務(wù)針對于每個用戶的個性化配置。用戶類型的屬性只對個別用戶有意義。 . 角色與用戶組管理 角色是和用戶組的概念相似的目錄服務(wù)器對象管理機(jī)制。一個組有其成員；一個角色也有其成員。 在身份認(rèn)證平臺中，用戶角色的權(quán)限是通過為其設(shè)定 ACI（ Access Control Infromation）來控制的 。訪問控制指令可以控制對整個目錄、目錄子樹、目錄中特寫條目（包括定義配置任務(wù)的條目）或特 定 條目屬性 信息 的訪問 權(quán) ?？梢栽O(shè)置特定用戶、所有屬于特定組或角色的用戶或所有目錄用戶的權(quán)限。還可以定義對特定位置（例如 IP 地址或 DNS 名稱）的訪問權(quán)。 與條目屬性一樣 ， 訪問控制指令存儲在目錄中。 ACI 屬性是一種操作性屬性 ， 可用 于目錄的各個條目，而不管是否為該條目的對象類所定義。接收到客戶端 的 LDAP 請求時，目錄服務(wù)器使用該屬性來允許或拒絕 訪問 。如果有特別請求，則在 ldap search 操作中返回 ACI 屬性。 在平臺中可以定 義特定的角色，并利用 ACI 來控制其訪問權(quán)限。這樣做可以滿足一些特殊需求。 利用組織內(nèi)創(chuàng)建用戶時可以擁有默認(rèn)角色的機(jī)制，可以為不同的組織創(chuàng)建不同的默認(rèn)角色，這樣新建的用戶就自然擁有了這些角色所擁有的屬性和服務(wù)22 以及相應(yīng)的權(quán)限。 組代表了具有相同功能、屬性或者興趣愛好的用戶的集合。一般來說，組沒有自己的特權(quán)。組可以定義在組織機(jī)構(gòu)下，也可以定義在別的受管組（ Managed Group）內(nèi)作為子組。 身份認(rèn)證平臺提供了組的分級管理的能力。雖然組的成員缺省來自于整個用戶樹，但是對于權(quán)限有限的組管理員來說，當(dāng)他管理一個預(yù) 訂組的時候，他只能把他自己能管理的用戶添加到新創(chuàng)建的預(yù)訂組中。在這里已經(jīng)部分實(shí)現(xiàn)了用戶組的分級管理。 在業(yè)務(wù)系統(tǒng)一級授權(quán)上，我們提供了全局權(quán)限組用于人員的初始化授權(quán)。這些組按照用戶基本身份建立（比如學(xué)生組、教職工組），作用域?yàn)檎麄€組織樹，在人員的初始時可以按照身份加入這些全局組，從而實(shí)現(xiàn)人員權(quán)限的初始化。 . 權(quán)限語義集成 當(dāng)身份認(rèn)證平臺的策略服務(wù)不能滿足業(yè)務(wù)系統(tǒng)授權(quán)要求時，我們提供了一種針對業(yè)務(wù)系統(tǒng)開放的完全自由的權(quán)限語義集成機(jī)制。權(quán)限語義描述了用戶的具體 應(yīng)用 權(quán)限，權(quán)限語義的具體描述和解析由業(yè)務(wù)系統(tǒng)負(fù)責(zé)。業(yè)務(wù) 系統(tǒng)可以通過 API 來獲取這些語義，解析后授予用戶相應(yīng)的權(quán)限。 . 用戶數(shù)據(jù)采集 功能描述 針對 學(xué)校用戶管理分散 進(jìn)行 的特點(diǎn)，提供從權(quán)威數(shù)據(jù) 源 采集用戶數(shù)據(jù)，并實(shí)時更新目錄服務(wù)器中的用戶數(shù)據(jù)，提供： ? 數(shù)據(jù)源采集點(diǎn)和采集周期定義 ? 數(shù)據(jù)源變化跟蹤和自動采集 應(yīng)用模式 建立從公共數(shù)據(jù)庫平臺相關(guān)的共享數(shù)據(jù)集采集，在學(xué)生和教職工用戶數(shù)據(jù)變更 (包括新增、刪除、修改 )后，采集模塊自動同步更新統(tǒng)一認(rèn)證用戶數(shù)據(jù)23 庫。 用戶數(shù)據(jù) 通常 分散在不同的應(yīng)用系統(tǒng)中。常見的情況是：人事系統(tǒng)管理人事信息；辦公系統(tǒng)管理 與 日常工作有關(guān)的信息；用戶的認(rèn)證信息 如用戶 ID 和密碼在各個系統(tǒng)中一般不同，由各個系統(tǒng) 分散 管理；用戶的基本屬性，如姓名等信息往往在各個系統(tǒng)中都存在。不同應(yīng)用系統(tǒng)不但管理不同類型的用戶數(shù)據(jù)，而且也提供不同類型的數(shù)據(jù)存儲與訪問方式。傳統(tǒng)的業(yè)務(wù)系統(tǒng)一般使用關(guān)系數(shù)據(jù)庫存放用戶數(shù)據(jù)，如 管理信息 系統(tǒng)； 互聯(lián)網(wǎng) 應(yīng)用系統(tǒng)一般使用 LDAP 存放用戶數(shù)據(jù)，如 電子郵件 系統(tǒng) 。不同類型的數(shù)據(jù)存儲方式具有不同的數(shù)據(jù)存儲格式，也提供不同的數(shù)據(jù)訪問接口。用戶數(shù)據(jù)的分散存儲與管理使得共享用戶數(shù)據(jù)成為復(fù)雜而低效的任務(wù)。 建立統(tǒng)一用戶管理 數(shù)據(jù)庫 的目的是為用戶信息的管理與使用提供統(tǒng)一的入口。統(tǒng)一用戶管理 數(shù)據(jù)庫 在物理上與其它應(yīng)用數(shù)據(jù)源獨(dú)立，在數(shù)據(jù)上與其它應(yīng)用數(shù)據(jù)源保持同步。 用戶管理數(shù)據(jù)庫變更后同步 到 LDAP 目錄 數(shù)據(jù)庫。 . 用戶數(shù)據(jù)發(fā)布 功能描述 為了保持各業(yè)務(wù)系統(tǒng)中用戶數(shù)據(jù)的完整性和統(tǒng)一 性 ，向各集成業(yè)務(wù)系統(tǒng)提供用戶身份數(shù)據(jù)。 應(yīng)用模式 ? 對目前已有系統(tǒng)提供用戶數(shù)據(jù)更新變更同步 ? 提供用戶信息的瀏覽、排序、查詢等管理功能 ? 由于中小學(xué)用戶數(shù)據(jù)分散管理，在權(quán)威數(shù)據(jù)源變更后，其他系統(tǒng)都可通過統(tǒng)一用戶管理數(shù)據(jù)庫同步數(shù)據(jù)變更，保持?jǐn)?shù)據(jù) 的 完整與一致 . 批量維護(hù)工具 功能描述 滿足管理員日常維護(hù)數(shù)據(jù)的需要，提供： ? 導(dǎo)入用戶數(shù)據(jù)和組織數(shù)據(jù) 24 ? 批量修改和刪除人員屬性信息 ? 高級查詢功能 ? 服務(wù)注冊 與 注銷 ? 在不同的人員容器間移動人員數(shù)據(jù) 應(yīng)用模式 ? 教職工用戶數(shù)據(jù)由人事系統(tǒng) 提供 數(shù)據(jù)訪問接口或用戶數(shù)據(jù)表 ? 管理員定期使用該工具完成教職工用戶數(shù)據(jù)導(dǎo)入 ? 在學(xué)生畢業(yè)轉(zhuǎn)為校友后，管理員通過該工具將畢業(yè)生批量轉(zhuǎn)入 ? 系統(tǒng)運(yùn)行準(zhǔn)備階段，管理員通過該工具完成用戶密碼 的 批量 初始化 . 個人自助服務(wù) 功能描述 為了滿足用戶個性化設(shè)置 并 減輕管理員的 維護(hù)工作量 ，平臺提供個人密碼找回、別名登錄功能。 應(yīng)用模式 ? 該功能開放給所用用戶； ? 用戶 遺忘 個性化設(shè)置的 密碼 后，可 以在門戶認(rèn)證界面上進(jìn)入密碼找回功能， 預(yù)設(shè) 問題回答正確后，可以自主重置密碼； ? 用戶登錄后，可以根據(jù)自己的習(xí)慣設(shè)置登錄別名，系統(tǒng)自動檢查別名是否 重復(fù)，別名設(shè)置成功后，用戶可以通過別名進(jìn)行登錄。 . 權(quán)限模型 功能描述 為了適應(yīng)中小學(xué)用戶多重身份和組織結(jié)構(gòu)易變的特點(diǎn)，同時最大限度的保證用戶認(rèn)證效率，平臺提供扁平的用戶權(quán)限模型。 應(yīng)用模式 ? 系統(tǒng)將缺省建立四大類身份：教職工、學(xué)生、領(lǐng)導(dǎo)、校友； ? 各應(yīng)用系統(tǒng)按需建立自定義的權(quán)限組或?qū)傩孕畔?，也可?fù)用其他系統(tǒng)25 已經(jīng)建立的相關(guān)權(quán)限數(shù)據(jù)； ? 權(quán)限模型支持分級授權(quán)，方便按組織架構(gòu)、系統(tǒng) 范圍、用戶屬性等特征將權(quán)限管理工作逐級分派給多名管理員； 該 功能在實(shí)際使用中容易導(dǎo)致管理混亂，一般建議只按照系統(tǒng)范圍（如人事系統(tǒng)、學(xué)生系統(tǒng)等等）來分級授權(quán)。 ? 用戶數(shù)據(jù)采集時，自動根據(jù)用戶的屬性和來源為用戶設(shè)置相應(yīng)的身份。 . 認(rèn)證集成 功能描述 滿足學(xué)校業(yè)務(wù)系統(tǒng)多元化特點(diǎn)，提供： ? 支持基于認(rèn)證接口、認(rèn)證代理和 LDAP 認(rèn)證的多種認(rèn)證集成模式 ? 支持密碼認(rèn)證 ? 支持與標(biāo)準(zhǔn)的主流 Radius 服務(wù)器