【文章內(nèi)容簡介】 系統(tǒng)、數(shù)據(jù)中心的對外數(shù)據(jù)接口，經(jīng)過授權(quán)的應(yīng)用可以對數(shù)據(jù)中心數(shù)據(jù)進(jìn)行數(shù)據(jù)訪問操作：1. ★提供統(tǒng)一數(shù)據(jù)訪問服務(wù)層，所有對數(shù)據(jù)中心數(shù)據(jù)的訪問操作和業(yè)務(wù)數(shù)據(jù)庫系統(tǒng)之間的數(shù)據(jù)交互都可以通過此服務(wù)層進(jìn)行；，以服務(wù)的方式提供數(shù)據(jù)的訪問交互，服務(wù)可進(jìn)行配置和管理；，采用標(biāo)準(zhǔn)的數(shù)據(jù)交換標(biāo)準(zhǔn)格式，比如XML格式，以便于跨平臺或語言環(huán)境；，以滿足和支持新技術(shù)和未來業(yè)務(wù)的發(fā)展；，以保證業(yè)務(wù)的良好穩(wěn)定進(jìn)行；，以保證數(shù)據(jù)的安全性要求，只允許擁有相關(guān)權(quán)限的訪問操作；，以便于隨時跟蹤和掌握數(shù)據(jù)訪問服務(wù)層的運(yùn)行狀態(tài)，發(fā)現(xiàn)問題及時進(jìn)行處理；，發(fā)生異常時，及時恢復(fù)或者通過設(shè)定的方式通知管理員，并記錄異常日志。六、學(xué)生學(xué)籍?dāng)?shù)據(jù)收集和管理1．項(xiàng)目背景由于目前學(xué)?；拘畔?、班級數(shù)據(jù)、辦學(xué)條件、招生業(yè)務(wù)、學(xué)生學(xué)籍信息維護(hù)都是在廣州市學(xué)籍系統(tǒng)進(jìn)行，為了減輕教師重新上報的工作，天河區(qū)區(qū)數(shù)據(jù)中心與廣州市學(xué)籍系統(tǒng)通過數(shù)據(jù)庫對接方式，由廣州市學(xué)籍系統(tǒng)把本區(qū)學(xué)校和本區(qū)學(xué)生相關(guān)的數(shù)據(jù)推送到天河區(qū)數(shù)據(jù)中心。數(shù)據(jù)中心把這些數(shù)據(jù)提供給其他系統(tǒng)使用，達(dá)到一處產(chǎn)生數(shù)據(jù)，多處共享使用的目的。2．建設(shè)目標(biāo)實(shí)現(xiàn)廣州市學(xué)籍系統(tǒng)與天河區(qū)數(shù)據(jù)中心對接，并實(shí)現(xiàn)接口字段信息維護(hù)和接口狀態(tài)日常監(jiān)控。對接的接口字段包括以下部分：1）學(xué)校信息：學(xué)?；拘畔?、學(xué)校校區(qū)信息、學(xué)校年級信息、學(xué)校班級數(shù)據(jù)；2）學(xué)生信息：學(xué)生基本信息、學(xué)生家庭成員信息、學(xué)生異動信息、學(xué)生聯(lián)系人信息、政治面貌信息、獎勵信息、處罰信息、學(xué)習(xí)簡歷、軍訓(xùn)情況、畢業(yè)信息、學(xué)生注冊信息。3．建設(shè)內(nèi)容建立市學(xué)籍系統(tǒng)與區(qū)數(shù)據(jù)中心的學(xué)校信息的數(shù)據(jù)共享接口，市學(xué)籍系統(tǒng)把學(xué)?；拘畔ⅰW(xué)校校區(qū)信息、學(xué)校年級信息、學(xué)校班級數(shù)據(jù)以中間表方式同步到數(shù)據(jù)中心。接口字段如下所示：1）學(xué)?；拘畔ⅲ簩W(xué)校代碼、學(xué)校名稱、學(xué)校英文名稱、學(xué)校地址、學(xué)校郵政編碼、行政區(qū)劃碼、建校年月、學(xué)校辦學(xué)類型、校長姓名、聯(lián)系電話、小學(xué)學(xué)制、小學(xué)入學(xué)年齡、初中學(xué)制、初中入學(xué)年齡、主教學(xué)語言碼等；2）校區(qū)基本信息：學(xué)校代碼、校區(qū)名稱、校區(qū)地址、校區(qū)郵政編碼、校區(qū)聯(lián)系電話、校區(qū)傳真電話3）學(xué)校年級信息：學(xué)校代碼、年級名稱、學(xué)段碼4）學(xué)校班級信息：學(xué)校代碼、班號、班級名稱、建班日期、所屬年級、班長學(xué)校、學(xué)制、班級類型、文理類型、畢業(yè)日期、學(xué)段碼、入學(xué)學(xué)年、畢業(yè)標(biāo)示等。建立市學(xué)籍系統(tǒng)與區(qū)數(shù)據(jù)中心的學(xué)生信息的數(shù)據(jù)共享接口，市學(xué)籍系統(tǒng)把學(xué)生基本信息、學(xué)生家庭成員信息、學(xué)生異動信息、學(xué)生聯(lián)系人信息、政治面貌信息、獎勵信息、處罰信息、學(xué)習(xí)簡歷、軍訓(xùn)情況、畢業(yè)信息、學(xué)生注冊信息以中間表方式同步到數(shù)據(jù)中心。接口字段如下所示：1）學(xué)生基本信息：學(xué)籍號、姓名、證件號、出生日期、出生地、曾用名、性別、學(xué)校名稱、班級、現(xiàn)地址、戶口所在地、是否流動人口、特長、當(dāng)前狀態(tài)、聯(lián)系電話、通信地址、郵政編碼、是否本地生源、是否已離校、政治面貌、入學(xué)年月等；2）學(xué)生家庭成員信息：學(xué)號、關(guān)系碼、成員姓名、出生日期、民族、成員工作單位、職務(wù)、電話、是否監(jiān)護(hù)人、性別、聯(lián)系地址等；3）學(xué)生異動信息：學(xué)號、異動類別、異動日期、異動原因、異動來源學(xué)校、異動去向?qū)W校、原班級名稱、現(xiàn)班級名稱等；4）學(xué)生聯(lián)系人信息：學(xué)號、關(guān)系、聯(lián)系人姓名、郵政編碼、通信地址、電話、電子郵箱；5）政治面貌信息：學(xué)號、政治面貌、參加日期；6）獎勵信息：學(xué)校、獎勵名稱、獎勵級別、獎勵類別、獎勵原因、獎勵金額、獎勵文號、獎勵學(xué)年、獎勵單位7）處罰信息：學(xué)號、處分名稱、處分原因、處分日期、處分文號、處分撤銷日期、處分撤銷文號8）學(xué)習(xí)簡歷：學(xué)號、學(xué)習(xí)起始日期、學(xué)習(xí)終止日期、學(xué)習(xí)單位、專業(yè)；9）軍訓(xùn)情況：學(xué)號、軍訓(xùn)起始日期、軍訓(xùn)終止日期、軍訓(xùn)部隊、軍訓(xùn)成績10）畢業(yè)信息：學(xué)號、畢業(yè)學(xué)校、畢業(yè)年月、畢業(yè)評語、畢業(yè)去向、畢業(yè)證書號11）學(xué)生注冊信息：學(xué)號、注冊狀態(tài)、注冊學(xué)校代碼、注冊班號、實(shí)際注冊日期、未按時注冊原因?！锿稑?biāo)方負(fù)責(zé)廣州市學(xué)籍接口的協(xié)調(diào)、對接、日常運(yùn)維，保證天河區(qū)數(shù)據(jù)中心得到的學(xué)籍?dāng)?shù)據(jù)準(zhǔn)確、及時。七、教師數(shù)據(jù)收集和管理目標(biāo)建立全平臺人事基礎(chǔ)信息數(shù)據(jù)庫，在平臺內(nèi)實(shí)現(xiàn)人事信息數(shù)據(jù)的共享，為整個平臺和其他應(yīng)用系統(tǒng)的運(yùn)轉(zhuǎn)提供支撐系統(tǒng)功能1）人事信息管理完成人事基本信息的登記、修改、刪除、查詢、統(tǒng)計功能。人事信息的數(shù)據(jù)格式和內(nèi)容需要滿足國家、省市相關(guān)標(biāo)準(zhǔn)。統(tǒng)計功能需要可以從多緯度、多層次進(jìn)行統(tǒng)計。要求提供教師自主填報、學(xué)校審批、教育局審批的三層管理架構(gòu)，保證教師信息管理和使用的準(zhǔn)確、方便。填寫的教師信息自動生成平臺賬號信息?！锾峁┙鉀Q教師實(shí)際工作、編制、借調(diào)等不同情況下的人事管理難題的方案。2）專業(yè)技術(shù)職務(wù)管理完成人員有關(guān)的專業(yè)技術(shù)職務(wù)信息的增加、修改、刪除、查看、統(tǒng)計功能。統(tǒng)計功能要求能夠從多緯度、多層次進(jìn)行統(tǒng)計。3）人事變更管理對于人事日常的調(diào)動、退休等變更進(jìn)行維護(hù)。并與平臺的統(tǒng)一身份認(rèn)證賬號的注銷和修改自動關(guān)聯(lián)。實(shí)施工作投標(biāo)方負(fù)責(zé)根據(jù)用戶方需求開發(fā)人事采集和管理功能，并維護(hù)系統(tǒng)日常運(yùn)轉(zhuǎn)。 統(tǒng)一身份認(rèn)證平臺統(tǒng)一認(rèn)證平臺以實(shí)現(xiàn)身份管理、單點(diǎn)登錄、統(tǒng)一授權(quán)、安全審計、人性化定制等諸核心功能為終極目標(biāo)；著眼于提供統(tǒng)一的訪問入口，確保訪問的無縫性；提供統(tǒng)一、集中的身份信息管理,確保身份信息的完整性，一致性。統(tǒng)一身份認(rèn)證平臺由統(tǒng)一身份管理和統(tǒng)一認(rèn)證平臺兩大部分構(gòu)成。統(tǒng)一身份管理平臺建設(shè)需求需要建設(shè)一套統(tǒng)一身份管理系統(tǒng)，以保證后期新建的、現(xiàn)有的應(yīng)用系統(tǒng)的帳號建立自動的映射和同步機(jī)制，確保統(tǒng)一身份認(rèn)證效果的實(shí)現(xiàn)。建設(shè)以目錄服務(wù)和認(rèn)證服務(wù)為基礎(chǔ)的統(tǒng)一用戶管理、授權(quán)管理和身份認(rèn)證體系，將組織信息、用戶信息統(tǒng)一存儲，進(jìn)行分級授權(quán)和集中身份認(rèn)證，規(guī)范應(yīng)用系統(tǒng)的用戶認(rèn)證方式。提高應(yīng)用系統(tǒng)的安全性和用戶使用的方便性，實(shí)現(xiàn)全部應(yīng)用真正意義上的單點(diǎn)登錄。用戶經(jīng)統(tǒng)一信息門戶登錄后，在不同的系統(tǒng)模塊間進(jìn)行功能切換，系統(tǒng)平臺依據(jù)用戶的角色與權(quán)限，完成對用戶的一次性身份認(rèn)證，提供該用戶相應(yīng)的信息資源訪問權(quán)限，以及基于其權(quán)限的功能模塊和工具。在工作人員進(jìn)行了調(diào)動、調(diào)級、調(diào)職等變更后，或者體制改革、組織機(jī)構(gòu)變動后，用戶的身份加密密碼和權(quán)限在各系統(tǒng)之間必須協(xié)調(diào)同步，減少各個應(yīng)用系統(tǒng)的更改和維護(hù)工作量。具體功能需求如下：提供Web管理方式，所有身份管理工作都可以通過Web Console輕松地完成；提供工具進(jìn)行被管理資源的配置、定制和開發(fā)，管理人員或開發(fā)人員可以進(jìn)行用戶/組織等的模板定義以及信息字段的擴(kuò)展，進(jìn)行密碼策略、帳號同步等的定義，查看用戶供應(yīng)或同步過程中的事件進(jìn)行查看；產(chǎn)品架構(gòu)和運(yùn)行環(huán)境支持開放標(biāo)準(zhǔn)和J2EE平臺，可以運(yùn)行在JBoss、Oracle Application Server、WebSphere Application Server以及Weblogic等J2EE平臺之上，支持LDAP、Oracle、Microsoft SQL Server等關(guān)系數(shù)據(jù)庫作為后臺存儲用戶和身份信息的數(shù)據(jù)庫；提供了智能的連接器用以連接被管理的目標(biāo)系統(tǒng)，例如數(shù)據(jù)庫、目錄服務(wù)器、企業(yè)應(yīng)用等，采用無代理（Agentless）的連接器實(shí)現(xiàn)方式，給管理員的維護(hù)工作帶來便利；為大量用戶提供高效的管理功能，實(shí)現(xiàn)集中的用戶帳號管理；提供真正的基于角色的訪問控制能力。每種角色都有各自的權(quán)限定義，而用戶可以擁有一個或多個不同的角色；提供功能強(qiáng)大的身份同步引擎，具有身份信息導(dǎo)入、帳號信息同步以及孤子帳號發(fā)現(xiàn)等功能；支持密碼策略設(shè)置?？啥x密碼策略并應(yīng)用于不同的被管理系統(tǒng)，對被管理系統(tǒng)賬號密碼的強(qiáng)度、更改周期、密碼字典等進(jìn)行設(shè)置；提供了完善的工作流支持，包括用于審批流程的工作流以及帳號供應(yīng)的工作流；允許管理人員靈活地定義系統(tǒng)中管理員以及普通用戶的訪問權(quán)限（Assign Permissions）；管理人員可以無限量地定義系統(tǒng)角色，并且可以把每個角色的權(quán)限定義得非常詳細(xì)；提供完整的報告和審計的功能。提供的報告包括歷史報告和即時報告。系統(tǒng)會自動的采集所有必須的數(shù)據(jù)，并集中的存放在后臺的關(guān)系數(shù)據(jù)庫中，以日志的形式記錄用戶所作的所有操作；在報告和審計的基礎(chǔ)上，提供了整套流程來支持完整的證明（Attestation）過程；采用Java、XML、SQL等業(yè)界標(biāo)準(zhǔn)和技術(shù)，提供非常靈活的擴(kuò)展性和定制功能。統(tǒng)一認(rèn)證平臺建設(shè)需求統(tǒng)一認(rèn)證需要解決的就是統(tǒng)一認(rèn)證問題，具體可分為以下3部分：(一) 統(tǒng)一認(rèn)證接口提供統(tǒng)一的認(rèn)證模式或接口供各個系統(tǒng)接入，我們可以對接口進(jìn)行定制擴(kuò)展及接口信息維護(hù)等。各個系統(tǒng)可以統(tǒng)一調(diào)用統(tǒng)一的單點(diǎn)登錄的登錄界面，也可以根據(jù)各個接入系統(tǒng)（已接入統(tǒng)一身份認(rèn)證系統(tǒng)的應(yīng)用系統(tǒng)）的實(shí)際情況，定制特殊的登錄界面。實(shí)現(xiàn)用戶只需登錄一次就可訪問其所有有權(quán)訪問的系統(tǒng)，支持B/S 架構(gòu)應(yīng)用系統(tǒng)點(diǎn)對點(diǎn)接入，用戶輸入一次用戶名、密碼后，即可訪問所有被授權(quán)的應(yīng)用系統(tǒng)資源。 (二) 認(rèn)證信息推送/提取實(shí)現(xiàn)統(tǒng)一認(rèn)證后，必須需要實(shí)現(xiàn)認(rèn)證信息的共享才能實(shí)現(xiàn)單點(diǎn)登錄，此時就需要我們從認(rèn)證信息推送，認(rèn)證信息提取入手，從而實(shí)現(xiàn)認(rèn)證信息在諸系統(tǒng)中一致，共享公用，從而實(shí)現(xiàn)系統(tǒng)之間的互聯(lián)互通，無縫穿行。推送/提取的信息至少包含登錄賬號，一般默認(rèn)的信息有姓名、所屬機(jī)構(gòu)、角色、電子郵件等等。可根據(jù)實(shí)際情況，定制不同的推送/提取信息。認(rèn)證信息推送：訪問接入系統(tǒng)（已接入統(tǒng)一身份認(rèn)證系統(tǒng)的應(yīng)用系統(tǒng)）的用戶經(jīng)統(tǒng)一認(rèn)證模塊后，用戶認(rèn)證信息必須要推送到接入系統(tǒng)方（通過session實(shí)現(xiàn)），以便將來接入系統(tǒng)能直接從session得到認(rèn)證信息識別訪問用戶或得到訪問用戶的推送/提取信息。認(rèn)證信息提?。航尤胂到y(tǒng)得到認(rèn)證信息（原始認(rèn)證信息均是按照一定數(shù)據(jù)格式進(jìn)行加密處理）后，必須要按照預(yù)定的格式或方法提取識別用戶，只有識別用戶后，才能對該用戶授權(quán)訪問該系統(tǒng)，從而實(shí)現(xiàn)單點(diǎn)登錄過程。提取方式包括從session提取或者調(diào)用webService。(三) 單點(diǎn)注銷模塊采用統(tǒng)一的方式讓用戶安全注銷系統(tǒng)，清空會話信息，cookie信息等。一旦注銷，用戶將不能訪問任何需要登錄才能訪問的資源。調(diào)用注銷方法非常簡單，比如下面的代碼將創(chuàng)建一個注銷的超鏈接：a href=://sso/logout?service= 注銷/a。其中service參數(shù)表示注銷成功后將要跳轉(zhuǎn)到的頁面。個性化定制登錄首頁定制根據(jù)客戶實(shí)際需求，提供定制的開發(fā)統(tǒng)一認(rèn)證的登錄頁面，使其作為所有系統(tǒng)的統(tǒng)一入口。LDAP 接口可以提供LDAP接口，使個別舊系統(tǒng)在改造難度大，有性能瓶頸的情況下，可以通過LDAP認(rèn)證接口，從而實(shí)現(xiàn)高速統(tǒng)一認(rèn)證。、微信等登錄接口★需要支持面向OAuth的接口方式，實(shí)現(xiàn)面向、微信等社交平臺的登錄接口實(shí)現(xiàn)，方便用戶使用。性能需求：★能夠支持天河教育師生約10萬人的訪問和用戶身份管理。支持負(fù)載均衡，提高系統(tǒng)響應(yīng)和性能。 統(tǒng)一權(quán)限管理平臺通過建立系統(tǒng)、組織、角色、用戶的四級權(quán)限模型，搭建全平臺的統(tǒng)一權(quán)限管理系統(tǒng)。★統(tǒng)一權(quán)限系統(tǒng)必須提供基于SOA的權(quán)限服務(wù)，使得平臺下所有應(yīng)用系統(tǒng)都能利用統(tǒng)一權(quán)限管理系統(tǒng)進(jìn)行統(tǒng)一權(quán)限分配。一、設(shè)計要求權(quán)限體系分為四級控制：第一級是系統(tǒng)級，第二級是組織級，第三級是角色級，第四級是用戶級。每一級都是從相鄰上級繼承權(quán)限，如組織繼承自系統(tǒng)，角色繼承自組織，用戶繼承自角色。系統(tǒng)每一個（系統(tǒng)）權(quán)限表現(xiàn)為一個URL（或者其他唯一性標(biāo)識），或者說，每一個URL都可能是一個權(quán)限，這些URL（權(quán)限）可以控制到頁面，也可以控制到按鈕。每個系統(tǒng)有多個URL，這些URL組成一個系統(tǒng)功能集。組織組織是一個樹狀層級結(jié)構(gòu)，體現(xiàn)上下級關(guān)系。凡是一個系統(tǒng)應(yīng)用在不同單位（或叫機(jī)構(gòu)，或叫部門，等等）的，這些單位（機(jī)構(gòu)或部門）只要存在著上下級關(guān)系，都可以抽象為組織。角色用戶是某個組織下的用戶，一個組織有多個用戶，是1對多關(guān)系?？梢园岩粋€角色分配給多個用戶，也可以為一個用戶分配多個角色，角色和用戶是多對多關(guān)系。由于角色擁有一組權(quán)限，則屬于該角色的用戶就擁有這個角色所擁有的權(quán)限。統(tǒng)一權(quán)限管理系統(tǒng)的功能集來自具體各業(yè)務(wù)系統(tǒng)，各業(yè)務(wù)系統(tǒng)按照統(tǒng)一標(biāo)準(zhǔn)進(jìn)行組織提供各自的系統(tǒng)功能集，并按照一定的數(shù)據(jù)標(biāo)準(zhǔn)和服務(wù)標(biāo)準(zhǔn)從統(tǒng)一權(quán)限管理系統(tǒng)獲取具體用戶的功能權(quán)限集合。系統(tǒng)需要支持基于角色的個人工作空間的管理，后臺能夠根據(jù)用戶角色分配服務(wù)功能，各種軟件針對用戶提供的服務(wù)功能集成在個人工作空間中。二、系統(tǒng)功能要求組織/角色管理包括組織機(jī)構(gòu)管理，角色管理的基本操作，如新增、編輯、刪除組織/角色信息。建立組織機(jī)構(gòu)和角色的關(guān)系管理。用戶信息建立數(shù)據(jù)中心、統(tǒng)一用戶管理的同步，不再建設(shè)單獨(dú)的用戶管理，而是使用實(shí)現(xiàn)統(tǒng)一的用戶信息。權(quán)限注冊提供面向多個系統(tǒng)源的權(quán)限注冊功能，提供權(quán)限的注冊、調(diào)用，實(shí)現(xiàn)不同系統(tǒng)源對于權(quán)限的隔離和管理。每一個（系統(tǒng)）權(quán)限表現(xiàn)為一個URL，或者說，每一個URL都可能是一個權(quán)限，這些URL（權(quán)限）可以控制到頁面，也可以控制到按鈕。每個系統(tǒng)有多個URL，這些URL組成一個系統(tǒng)權(quán)限集。這些權(quán)限是一個樹狀層級結(jié)構(gòu)。權(quán)限與系統(tǒng)源密不可分，每一個系統(tǒng)源都擁有屬于它自己本身的一棵權(quán)限樹。權(quán)限管理模塊的功能有：添加、修改、刪除、查看和導(dǎo)入功能角色授權(quán)可獨(dú)立為每一個系統(tǒng)源進(jìn)行角色綁定權(quán)限的管理操作，包括授權(quán)、取消授權(quán)、批量授權(quán)等。用戶授權(quán)可獨(dú)立為每一個系統(tǒng)源進(jìn)行用戶綁定角色的管理操作。用戶授權(quán)管理需要提供：關(guān)鍵字查詢、高級查詢、關(guān)聯(lián)系統(tǒng)源和保存授權(quán)信息等功能。為了提供系統(tǒng)安全性，只有用戶關(guān)聯(lián)系統(tǒng)源后該用戶才有權(quán)限對該系統(tǒng)源進(jìn)行權(quán)限關(guān)聯(lián)操作，即關(guān)聯(lián)后再登陸該用戶賬號，才可在左邊菜單欄顯示所指定的第三方系統(tǒng)源，所有的第三方系統(tǒng)源都是默認(rèn)不可見的。權(quán)限組合功能★將不同的系統(tǒng)源的權(quán)限抽取組合定義成為一個集成系統(tǒng)，并為第三方系統(tǒng)提供集成多個系統(tǒng)權(quán)限的菜單服務(wù)。權(quán)限組合是權(quán)限系統(tǒng)拓展功能模塊，旨在為其它系統(tǒng)提供一個根據(jù)系統(tǒng)源和權(quán)限自由組合的菜單服務(wù)。每一個權(quán)限組合可作為一個集成系統(tǒng)的定義。權(quán)限