【文章內(nèi)容簡(jiǎn)介】 如一臺(tái)則無(wú)法實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)備份 及負(fù)載分配），兩臺(tái) UIAS Server 的 硬件和軟件配置 完全一致 并建立相同的數(shù)據(jù)庫(kù)結(jié)構(gòu) ，并同步初始數(shù)據(jù) 。 如果系統(tǒng)中配置兩臺(tái) UIAS Server，則兩臺(tái) 服務(wù)器 的 MySql數(shù)據(jù)庫(kù)數(shù)據(jù)通過(guò) 配置，以 數(shù)據(jù)庫(kù)復(fù)制的方式實(shí)現(xiàn)雙機(jī)數(shù)據(jù)的 實(shí)時(shí)互 同步鏡像。 應(yīng)用戶要求，系統(tǒng)也可采用外聯(lián) 數(shù)據(jù)庫(kù)服務(wù)器的方式， 不使用 UIAS Server上自帶的 MySql 數(shù)據(jù)庫(kù)，而 通過(guò) JDBC連接不同種類的 用戶 數(shù)據(jù)庫(kù)系統(tǒng)，如 Oracle、 SqlServer、 DB Sybase， Informix 等 等 。 如果采用外聯(lián) 數(shù)據(jù)庫(kù) 系統(tǒng) ，則無(wú)需 配置數(shù)據(jù)庫(kù)的 鏡像功能，數(shù)據(jù)的安全性和完整性由用戶通過(guò)原有手段完成 。 兩臺(tái)服務(wù)器由于具備同樣的數(shù)據(jù)和執(zhí)行功能，因此除了具備數(shù)據(jù)的相互實(shí)時(shí)備份外，通過(guò)對(duì)調(diào)用端的訪問(wèn)順序配置，可以實(shí)現(xiàn)負(fù)載平衡的效果。 UIAS 的典型應(yīng)用（單點(diǎn)登錄） 單點(diǎn)登錄系統(tǒng)作為 UIAS Server 的一種典型應(yīng)用，其應(yīng)用結(jié)構(gòu)圖如下圖所示： L I N U X + T o m c a t + M y S q lL I N U X + T o m c a t + M y S q l企 業(yè) 應(yīng) 用 系 統(tǒng)U I A S S e r v e rU I A S S e r v e r 管 理 P C （ 瀏 覽 器 ）HTTP/HTTPS用 戶 信 息 管 理 A P P 單 點(diǎn) 登 錄 A P PHTTP/HTTPS瀏 覽 器 （ B / S 方 式 ）HTTP/HTTPS客 戶 端 程 序 （ C / S 方 式 ）身 份 認(rèn) 證 接 口SOAP/HESSIAN普 通 用 戶 P C （ 瀏 覽 器 ）單 點(diǎn) 登 錄 a p p 圖 三 統(tǒng)一身份認(rèn)證 應(yīng)用（單點(diǎn)登錄）邏輯圖 在 UIAS SERVER的 Tomcat應(yīng)用服務(wù)器上，部署單點(diǎn)登錄系統(tǒng)服務(wù)端軟件。其中，用戶信息管理 APP模塊提供給前端管理員使用瀏覽器方式進(jìn)行用戶信息的設(shè)置和管理（比如人員信息的 錄入 及指紋的 采集 等等）。 身份認(rèn)證 接口用 WebService/hessian的方式提供，提供給后端的企業(yè)應(yīng)用系統(tǒng)調(diào)用，完成 用戶 身份的驗(yàn)證。 前端管理員可以輸入 UIAS Server1 或者 UIAS Server2 的 URL 地址，進(jìn)行用戶信息的設(shè)置和系統(tǒng)管理方面的操作； 用戶在使 用企業(yè)應(yīng)用系統(tǒng)前， 可以輸入 UIAS Server1 或者 UIAS Server2 單點(diǎn)登錄系統(tǒng) APP的 URL地址 。 用 戶登錄單點(diǎn)登錄系統(tǒng)時(shí)，通過(guò)單點(diǎn)登錄系統(tǒng)用戶表中的字段 來(lái)驗(yàn)證用戶身份，登錄后 得到 其被授權(quán)使用的各種企業(yè)應(yīng)用系統(tǒng) 的信息。用戶可在顯示的各種應(yīng)用系統(tǒng) 賬戶 圖標(biāo)上，進(jìn)入需使用的應(yīng)用系統(tǒng)而無(wú)需再次 單獨(dú)登錄。 在對(duì)某應(yīng)用系統(tǒng)實(shí)現(xiàn)自動(dòng)登錄的功能前， 用戶需要設(shè)置各個(gè)系統(tǒng)到該系統(tǒng)用戶的映射關(guān)系， 以保證自動(dòng)登錄功能得以實(shí)現(xiàn)： 數(shù)據(jù) 加密保存在 UIAS SERVER的數(shù)據(jù)庫(kù)中。 2 系統(tǒng)總體設(shè)計(jì) 統(tǒng)一身份認(rèn)證 服務(wù)平臺(tái) ，將用戶 信息、應(yīng)用資源信息以及用戶對(duì)網(wǎng)絡(luò)應(yīng)用資源的訪問(wèn)權(quán)限等在關(guān)系型數(shù)據(jù)庫(kù)進(jìn)行 存儲(chǔ)，并在此基礎(chǔ)上提出一套統(tǒng)一身份認(rèn)證、單點(diǎn)登錄、集中鑒權(quán)以及網(wǎng)絡(luò)應(yīng)用資源的統(tǒng)一管理、有效解 決了用戶重復(fù)登錄和多點(diǎn)帳號(hào)管理的問(wèn)題。 ? 方案 1：對(duì) 第三方業(yè)務(wù) 系統(tǒng)基本不作任何改變，用戶通過(guò) UIAS 認(rèn)證后，配置 業(yè)務(wù)系統(tǒng)帳號(hào) /密碼，隨后用戶訪問(wèn) 業(yè)務(wù) 系統(tǒng)時(shí)，由 UIAS向 業(yè)務(wù) 系統(tǒng)提交認(rèn)證， 業(yè)務(wù) 系統(tǒng)完成認(rèn)證和授權(quán)。 ? 方案 2： 第三方業(yè)務(wù) 系統(tǒng)需進(jìn)行代碼修改和配置，支持統(tǒng)一認(rèn)證，分布授權(quán)。即統(tǒng)一身份認(rèn)證系統(tǒng)實(shí)現(xiàn)用戶身份認(rèn)證，而授權(quán)等操作則由老系統(tǒng)完成。 系統(tǒng)設(shè)計(jì)方案比較表： 方案名稱 介紹 B/S WEB系統(tǒng) 單點(diǎn)登錄 實(shí)現(xiàn) C/S桌面系統(tǒng) 單點(diǎn)登錄 實(shí)現(xiàn) 方案 1 ? 對(duì)業(yè)務(wù)系統(tǒng)基本不做任何改變 ? 實(shí)施和維護(hù)相對(duì)簡(jiǎn)單 ? 一旦出 現(xiàn)故障，系統(tǒng)復(fù)原相對(duì)簡(jiǎn)單 ? 業(yè)務(wù)系統(tǒng)需進(jìn)行身份認(rèn)證、授權(quán) 統(tǒng)一平臺(tái)用戶注冊(cè) 平臺(tái)用戶與業(yè)務(wù)系統(tǒng)賬號(hào)關(guān)聯(lián) 統(tǒng)一平臺(tái)配置 B/S系統(tǒng)參數(shù) 使用 IE控件 往 B/S系統(tǒng)推送賬號(hào) /密碼 等相關(guān)參數(shù) ，進(jìn)行登錄 （登錄時(shí)需要驗(yàn)證碼校驗(yàn)的第三方業(yè)務(wù)系統(tǒng)要單獨(dú)進(jìn)行處理， IE控件對(duì)校驗(yàn)碼圖片進(jìn)行分析 (隨機(jī)英文字母 、 隨機(jī)數(shù)字 、 隨機(jī)顏色 、 隨機(jī)位置 、 隨機(jī)長(zhǎng)度 等參數(shù) ） 統(tǒng)一平臺(tái)用戶注冊(cè) 平臺(tái)用戶與業(yè)務(wù)系統(tǒng)賬號(hào)關(guān)聯(lián) 在統(tǒng)一平臺(tái)設(shè)置 C/S系統(tǒng)基本參數(shù) 使用客戶端工具，在 每個(gè) 用戶客戶端 都需初始化 C/S系統(tǒng)的 相關(guān)參數(shù) 使用 IE控件往 C/S系統(tǒng)推送賬號(hào) /密碼 等相關(guān)參數(shù) ，進(jìn)行登錄 方案 2 ? 每個(gè) 業(yè)務(wù) 系統(tǒng)需 代碼修改和配置 ，與統(tǒng)一身份認(rèn)證平臺(tái)進(jìn)行聯(lián)調(diào) ? 由 統(tǒng)一身份認(rèn)證平臺(tái) 實(shí)現(xiàn)統(tǒng)一的身份認(rèn)證功能，業(yè)務(wù) 系統(tǒng)只負(fù)責(zé)對(duì)用戶授權(quán) ? 一旦出現(xiàn)故障，系統(tǒng)復(fù)原相對(duì)復(fù)雜 ? 實(shí)施和維護(hù)相對(duì)復(fù)雜 統(tǒng)一平臺(tái)用戶注冊(cè) 平臺(tái)用戶與業(yè)務(wù)系統(tǒng)賬號(hào)關(guān)聯(lián) 統(tǒng)一平臺(tái)配置 B/S系統(tǒng)參數(shù) 統(tǒng)一平臺(tái)與第三方業(yè)務(wù)系統(tǒng)單點(diǎn)登錄接口調(diào)用 ? 同上 建議 老系統(tǒng)整合，使用方案 1。 新系統(tǒng)接入，采用方案 2。 系統(tǒng)體系結(jié)構(gòu) 統(tǒng)一身份認(rèn)證 服務(wù)平臺(tái) 主要包括 資源層、目錄服務(wù)系統(tǒng)和客戶端三部分。 資源層是系統(tǒng)的核心，包含 關(guān)系型業(yè)務(wù) 數(shù)據(jù)庫(kù)和關(guān)系型審計(jì)數(shù)據(jù)庫(kù)， 關(guān)系型業(yè)務(wù) 數(shù)據(jù)庫(kù)用于存儲(chǔ)用戶數(shù)據(jù)，關(guān)系型 審計(jì) 數(shù)據(jù)庫(kù)用于存儲(chǔ)用戶訪問(wèn)日志； 認(rèn)證 服務(wù)系統(tǒng)用于提供基于 Web 方式的用戶管理、身份認(rèn)證、服務(wù)授權(quán)、審計(jì)管理和外部訪問(wèn)接口； 客戶端由若干應(yīng)用系統(tǒng)和普通用戶組成 。 認(rèn)證服務(wù)系統(tǒng)S S O 單 點(diǎn) 登 錄統(tǒng) 一 身 份 管 理B / S 系 統(tǒng) 單 點(diǎn) 登 錄 C / S 系 統(tǒng) 單 點(diǎn) 登 錄多 種 身 份 認(rèn) 證 統(tǒng) 一 身 份 認(rèn) 證統(tǒng) 一 用 戶 身 份 管 理統(tǒng) 一 授 權(quán) 管 理訪 問(wèn) 資 源 管 理 訪 問(wèn) 策 略 管 理分 級(jí) 授 權(quán) 管 理統(tǒng) 一 審 計(jì) 管 理訪 問(wèn) 行 為 審 計(jì)審 計(jì) 信 息 分 析 統(tǒng) 計(jì)審 計(jì) 信 息 查 詢資源層業(yè) 務(wù) 數(shù) 據(jù) 庫(kù)審 計(jì) 數(shù) 據(jù) 庫(kù)客戶端C / S 系 統(tǒng)用 戶B / S 系 統(tǒng)外 部 訪 問(wèn) 接 口應(yīng) 用 訪 問(wèn) 接 口 用 戶 認(rèn) 證 接 口 系統(tǒng)功能特點(diǎn) ? 實(shí)現(xiàn)用戶單點(diǎn)登錄 對(duì)于 B/S 結(jié)構(gòu)應(yīng)用系統(tǒng)，用戶只需通過(guò)瀏覽器界面登錄一次，即可通過(guò)統(tǒng)一身份認(rèn)證系統(tǒng)訪問(wèn)后臺(tái)的多個(gè)用戶權(quán)限內(nèi)的 Web 應(yīng)用系統(tǒng)，無(wú)需逐一輸入用戶名、密碼登錄。對(duì)于 C/S結(jié)構(gòu)應(yīng)用系統(tǒng)，通過(guò) Active 控件或客戶端 Plugin 來(lái)實(shí)現(xiàn)對(duì) C/S 系統(tǒng)客戶端的單點(diǎn)登錄，用戶輸入一次用戶名、密碼，即可訪問(wèn)所有被授權(quán)的 C/S 系統(tǒng)資源。 ? 統(tǒng)一用戶身份管理 用戶注冊(cè)：用戶在 UIAS 中心注冊(cè)帳號(hào)，該帳號(hào)可用于所有使用 UIAS 的應(yīng)用系統(tǒng)中； 帳號(hào)關(guān)聯(lián)：對(duì)于用戶在相關(guān)應(yīng)用中已建立的帳號(hào)，可與 UIAS 的帳號(hào)進(jìn)行關(guān)聯(lián)，以便在不改變?cè)袔ぬ?hào)的情況下仍能訪問(wèn)應(yīng)用系統(tǒng)。 ? 統(tǒng)一身份認(rèn)證 UIAS 系統(tǒng)提供開(kāi)發(fā)接口給新建系統(tǒng)，可為后續(xù)新的應(yīng)用系統(tǒng)開(kāi)發(fā)提供了統(tǒng) 一的身份認(rèn)證 接口 和標(biāo)準(zhǔn)。 ? 多種身份認(rèn)證方式 UIAS 支持多種身份認(rèn)證方式，如 指紋認(rèn)證 ，同時(shí)也保留了傳統(tǒng)的靜態(tài)口令認(rèn)證，并且為其他認(rèn)證方式如短信，數(shù)字證書， USB Key，動(dòng)態(tài)口令身份認(rèn)證等認(rèn)證方式預(yù)留接口，以適應(yīng)企業(yè)對(duì)認(rèn)證方式擴(kuò)展的需求。 ? 日志和審計(jì)報(bào)告 UIAS 依靠記錄最終用戶和管理人員的訪問(wèn)過(guò)程，建立一套全面的、有效的回溯和追查機(jī)制。同時(shí)系統(tǒng)管理員可以實(shí)時(shí)監(jiān)測(cè)用戶對(duì)企業(yè)各應(yīng)用系統(tǒng)的訪問(wèn)狀態(tài)，及時(shí)發(fā)現(xiàn)非法訪問(wèn)事件，對(duì)出現(xiàn)的問(wèn)題進(jìn)行事后追溯和責(zé)任追究提供實(shí)證。通過(guò)對(duì)系統(tǒng)運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)控審計(jì)，還增強(qiáng)了系統(tǒng) 的可維護(hù)性。主要完成訪問(wèn)行為審計(jì)、審計(jì)信息查詢、審計(jì)信息防竄改等幾大功能。 ? 系統(tǒng)集中管理 UIAS 提供管理功能，實(shí)現(xiàn)對(duì)用戶身份信息，權(quán)限，應(yīng)用系統(tǒng)，審計(jì)信息的集中管理。系統(tǒng)管理員通過(guò)這個(gè)管理中心可對(duì)用戶，資源，權(quán)限及審計(jì)信息進(jìn)行統(tǒng)一的管理，并對(duì) UIAS 系統(tǒng)本身進(jìn)行維護(hù)管理。同時(shí)系統(tǒng)支持分級(jí)授權(quán)管理功能，支持總部授權(quán)下屬單位管理自身的用戶，并對(duì)其授權(quán)，減少總部管理員的負(fù)擔(dān)。 系統(tǒng)環(huán)境 ? 客戶端支持的瀏覽器： 單點(diǎn)登錄、指紋采集等頁(yè)面使用 ocx 控件，僅支持 IE，其它頁(yè)面支持 firefox 等主流瀏覽器 ? 客戶端支持的操作系統(tǒng)： Windows ? 服務(wù)器端支持的操作系統(tǒng)： Windows、 Unix、 Linux ? 數(shù)據(jù)庫(kù)： Oracle、 SQL Server 或 My SQL 等關(guān)系型數(shù)據(jù)庫(kù) ? 中間件： Tomcat、 Weblogic 等開(kāi)源或商用中間件 體系架構(gòu)示意圖 從邏輯架構(gòu)上，統(tǒng)一身份認(rèn)證平臺(tái)由三層組成：客戶端、服務(wù)層和數(shù)據(jù)庫(kù)層。 客戶端也稱為系統(tǒng)接入層，它可以使用 API接口或者瀏覽器。 服務(wù)層由應(yīng)用服務(wù)器構(gòu)成，實(shí)際是由“應(yīng)用中間件” +“ WEB 應(yīng)用”形成的 B/S 系統(tǒng)中的服務(wù)端系統(tǒng)。 數(shù)據(jù)庫(kù)層由數(shù)據(jù)庫(kù) 服務(wù)器組成，為整個(gè)指紋認(rèn)證系統(tǒng)提供數(shù)據(jù)庫(kù)支持。數(shù)據(jù)庫(kù)服務(wù)器采用 PPRC雙備的策略，保證數(shù)據(jù)的安全性、可靠性和高可用性。 體系架構(gòu)說(shuō)明： 統(tǒng)一身份認(rèn)證平臺(tái)部署在核心業(yè)務(wù)區(qū)。建立有技術(shù)接口規(guī)范的統(tǒng)一身份認(rèn)證平臺(tái)，可以保證網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)谋Ｃ苄?、可認(rèn)證性、完整性及不可抵賴性。實(shí)現(xiàn)與第三方業(yè)務(wù)系統(tǒng)的對(duì)接，以此為基礎(chǔ)可以將更高安全性需求的業(yè)務(wù)操作建設(shè)在互聯(lián)網(wǎng)之上，并且使這一操作得到更高效、更安全、更便捷的執(zhí)行。 統(tǒng)一身份認(rèn)證平臺(tái)架構(gòu)圖： U I A S S E R V E R接 入 層服 務(wù) 層數(shù) 據(jù) 層機(jī) 房 2機(jī) 房 1U I A S S E R V E R數(shù) 據(jù) 庫(kù) （ 主 ）X 3 9 5 04 C o r e / 1 6 GE H R 人 力 資源 管 理 系 統(tǒng)C B S 系 統(tǒng)網(wǎng) 站 系 統(tǒng)。 。 。 。數(shù) 據(jù) 庫(kù) （ 備 ）X 3 9 5 04 C o r e / 1 6 GP P R C 數(shù) 據(jù) 級(jí) 備 份 （系統(tǒng)架構(gòu)圖） 系統(tǒng)備用策略部署模式 接入和應(yīng)用服務(wù)層： 統(tǒng)一身份認(rèn)證平臺(tái)采用雙中心雙活方式部署，兩個(gè)數(shù)據(jù)中心各部署一套系統(tǒng)同時(shí)對(duì)外提供服務(wù)，當(dāng)其中一套系統(tǒng)故障時(shí)，另一套系統(tǒng)保持對(duì)外服務(wù)。 數(shù)據(jù)庫(kù)和存儲(chǔ)： 統(tǒng)一身份認(rèn)證平臺(tái)數(shù)據(jù)庫(kù)使用部署在 X3950服務(wù)器上的 4core/16G和 DS8100存儲(chǔ) 700G。 主數(shù)據(jù)中心和備數(shù)據(jù)中心的數(shù)據(jù)庫(kù)自動(dòng)進(jìn)行存儲(chǔ)級(jí)別的數(shù)據(jù)同步（ PPRC方式）。 平臺(tái) 故障的應(yīng)急處理 如遇平臺(tái)故障，無(wú)法在短時(shí)內(nèi)有效修復(fù)，為保證業(yè)務(wù)的正常運(yùn)行，人力資源系統(tǒng)、 CBS系統(tǒng)、網(wǎng)站系統(tǒng) 等對(duì)接類系統(tǒng)，可以通過(guò)前臺(tái)調(diào)整參數(shù)，將各自系統(tǒng)設(shè)置為不通過(guò) 統(tǒng)一身份認(rèn)證平臺(tái) 的方式繞行。 如遇用戶個(gè)人由于手指受傷或者其它特殊原因?qū)е轮讣y無(wú)法識(shí)別，可通過(guò)前臺(tái)，將該用戶設(shè)置為不啟用指紋認(rèn)證的方式繞行。 設(shè)備配置選擇 設(shè)備配置滿足“雙中心雙活”要求，且服務(wù)器部署滿足平臺(tái)的設(shè)計(jì)指標(biāo)：總注冊(cè)用戶數(shù) 1萬(wàn)，同時(shí) 1000用戶 在線 ，應(yīng)答在 4秒以內(nèi)到達(dá)客戶端。 數(shù)據(jù)庫(kù)服務(wù)器 平臺(tái)數(shù)據(jù)庫(kù)使用部署在核心業(yè)務(wù)區(qū) X3950服務(wù)器（虛機(jī) 4core/16G）上，存儲(chǔ)使用 DS8100（ 700G）。 統(tǒng)一 身份認(rèn)證服務(wù)器 每個(gè)數(shù)據(jù)中心配置 1 臺(tái) 2CPU/4G/146G 4 R01 的機(jī)架式服務(wù)器，安裝 Linux 操作系統(tǒng)和 Tomcat軟件，支持雙中心雙活，部署在核心業(yè)務(wù)區(qū)的 S1區(qū)。 設(shè)備部署方案 統(tǒng)一身份認(rèn)證 平臺(tái)在方案設(shè)計(jì)上采用雙中心雙活方案部署。 如下圖所示的部署方案： 機(jī) 房 2機(jī) 房 1S 1 區(qū)統(tǒng) 一 身 份 認(rèn) 證 平 臺(tái) 服 務(wù) 器 L i n u x R e d h a t A S 4T o m c a tK 1 區(qū)S 1 區(qū)統(tǒng) 一 身 份 認(rèn) 證 平 臺(tái) 服 務(wù) 器 L i n u x R e d h a t A S 4T o m c a tK 1 區(qū)數(shù) 據(jù) 庫(kù) ( 備 )X 3 9 5 0L i n u x R e d h a t A S 4O r a c l e 1 0 g數(shù) 據(jù) 庫(kù) ( 主 )X 3 9 5 0L i n u x R e