【正文】 ：一對多關(guān)系，一個機構(gòu)可以包含多個組，一個組只能被一個機構(gòu)包含。部門和部門的關(guān)系：一對多關(guān)系，一個部門可以包含多個子部門，一個子部門只能被一個部門包含。部門和人員的關(guān)系：一對多關(guān)系，一個部門可以包含多個人員，一個人員只能被一個部門包含。部門和角色的關(guān)系：一對多關(guān)系，一個部門可以包含多個角色，一個角色只能被一個部門包含。部門和崗位的關(guān)系：一對多關(guān)系，一個部門可以包含多個崗位，一個崗位只能被一個部門包含。部門和組的關(guān)系：一對多關(guān)系，一個部門可以包含多個組，一個組只能被一個部門包含。組和人員的關(guān)系：多對多關(guān)系，一個組可以包含多個人，一個人也可以被多個組包含。崗位和人員的關(guān)系：多對多關(guān)系，一個崗位可以由多個人員擔(dān)任，一個人員也可以擔(dān)任多個崗位。角色和人員的關(guān)系：多對多關(guān)系，一個人員可以擔(dān)當(dāng)多種角色,一個角色也以由多個人員擔(dān)當(dāng)。l 實現(xiàn)要求1. 實體屬性的擴展由于各個實體在不同環(huán)境下的抽象會有不同，所以本部分規(guī)定了對每個實體的屬性的擴展方法，所有的實體都包含一個properties屬性，它是一個鍵、值對應(yīng)的數(shù)據(jù)結(jié)構(gòu)，里面的鍵代表屬性名，值代表屬性值。如人員實體中，若properties中有一組值為（“英文名”，“jiem”），則表明這個人員實體對象具有一個“英文名”屬性，其屬性值為“jiem”。2. 實體生命周期信息的體現(xiàn)由于應(yīng)用系統(tǒng)的特殊要求，對于一些實體必須保證它的整個生命周期的信息具有可跟蹤性。基于此需求，本部分規(guī)定了機構(gòu)、部門、人員三個實體對象必須具有版本號（version）屬性，版本號屬性請參考“3 術(shù)語和定義”。版本號屬性的具體值體現(xiàn)了實體生命周期的狀態(tài)，據(jù)此能做出對實體生命周期的管理及相關(guān)業(yè)務(wù)邏輯的設(shè)計。. 單點登錄服務(wù)接口規(guī)范. 范圍本部分規(guī)定了單點登錄服務(wù)接口，定義了單點登錄票據(jù)的模式。本部分主要用于濰坊市國土資源各級部門的信息系統(tǒng)規(guī)劃與建設(shè)，以及信息系統(tǒng)建設(shè)的系統(tǒng)集成商、軟件開發(fā)商和監(jiān)理單位進行信息化規(guī)劃、建設(shè)。適用于需做單點登錄整合的應(yīng)用系統(tǒng)，也適用于應(yīng)用系統(tǒng)間實現(xiàn)基于票據(jù)傳遞的單點登錄整合。用于指導(dǎo)開發(fā)商對應(yīng)用系統(tǒng)進行單點登錄整合，約束應(yīng)用系統(tǒng)單點登錄接入的實現(xiàn)。. 術(shù)語和定義票據(jù)：用戶在通過單點登錄驗證后獲得，包含用戶的基本信息，如唯一標(biāo)識、登錄名、票據(jù)的有效期等。票據(jù)標(biāo)識：用戶在通過單點登錄驗證后獲得票據(jù)的唯一標(biāo)識。. 作用通過單點登錄服務(wù)讓用戶在一次輸入用戶名密碼驗證登錄后，訪問所有應(yīng)用系統(tǒng)而不需要再輸入用戶名和密碼進行驗證；用戶在一次注銷后，即可在所有應(yīng)用系統(tǒng)實現(xiàn)注銷。單點登錄服務(wù)以組織身份模型為數(shù)據(jù)基礎(chǔ)，以組織身份服務(wù)為運行支撐。實現(xiàn)單點登錄服務(wù)的前提是，各應(yīng)用系統(tǒng)采用統(tǒng)一的組織身份數(shù)據(jù)模型。單點登錄服務(wù)中的認證及獲取用戶信息均應(yīng)調(diào)用組織身份服務(wù)接口。. 單點登錄服務(wù)邏輯l 服務(wù)代理為用戶提供單點登錄認證，認證成功后為該用戶頒發(fā)對應(yīng)的票據(jù)。將票據(jù)和票據(jù)標(biāo)識保存在服務(wù)器上，同時將票據(jù)的標(biāo)識保存在用戶的客戶端。在用戶請求注銷時，負責(zé)通知各應(yīng)用系統(tǒng)注銷該用戶。l 訪問攔截組件攔截用戶對應(yīng)用系統(tǒng)的訪問請求，根據(jù)保存在客戶端的用戶票據(jù)標(biāo)識，向單點登錄代理服務(wù)器請求用戶的票據(jù)，如果正確地得到了用戶的票據(jù)，則調(diào)用應(yīng)用系統(tǒng)二次認證接口。如果二次認證通過，則允許用戶訪問該應(yīng)用系統(tǒng)；如果票據(jù)標(biāo)識不存在或者票據(jù)無效，則不允許用戶訪問該應(yīng)用系統(tǒng)。l 對應(yīng)用系統(tǒng)的約束1. 應(yīng)用系統(tǒng)二次認證根據(jù)用戶的票據(jù)標(biāo)識從單點登錄代理服務(wù)器中獲得用戶票據(jù)，從票據(jù)中獲得用戶的基本信息，再進行應(yīng)用系統(tǒng)的本地認證。2. 應(yīng)用系統(tǒng)本地注銷用戶在入口點注銷后，由單點登錄服務(wù)代理通知各應(yīng)用系統(tǒng)，在所有的應(yīng)用系統(tǒng)中注銷該用戶。. 接口定義單點登錄服務(wù)接口分為單點登錄認證接口、獲取單點登錄票據(jù)接口、單點登錄注銷接口、應(yīng)用系統(tǒng)二次認證接口、應(yīng)用系統(tǒng)本地注銷接口五大類. 訪問控制服務(wù)接口規(guī)范. 范圍本部分定義了權(quán)限管理模型，給出了訪問控制框架的組成部分和各部分的技術(shù)要求，規(guī)定了權(quán)限訪問接口、權(quán)限管理接口和數(shù)據(jù)集權(quán)限接口，提出了訪問控制技術(shù)要求。適用于應(yīng)用系統(tǒng)的資源權(quán)限控制和數(shù)據(jù)權(quán)限控制。本部分適用于對應(yīng)用系統(tǒng)的資源和數(shù)據(jù)進行授權(quán)、權(quán)限控制，提供權(quán)限管理服務(wù)。. 規(guī)范性引用文檔下列文件中的條款通過本部分的引用而成為本部分的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本部分，然而，鼓勵根據(jù)本部分達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本部分。山東省國土資源系統(tǒng)應(yīng)用服務(wù)規(guī)范 ：組織身份模型數(shù)據(jù)規(guī)范山東省國土資源系統(tǒng)應(yīng)用服務(wù)規(guī)范 ：組織身份服務(wù)接口規(guī)范ISO/IEC 9075: 1992Information TechnologyDatabase Language SQL. 權(quán)限管理模型l 概述訪問控制是針對越權(quán)使用資源的防御措施。基本目標(biāo)是為了限制訪問主體（用戶、進程、服務(wù)等）對訪問客體（文件、系統(tǒng)等）的訪問權(quán)限，使計算機系統(tǒng)在合法的范圍內(nèi)使用，決定用戶能做什么，也決定代表用戶的程序能做什么。訪問控制決定了誰能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。訪問控制能夠阻止未經(jīng)允許的用戶有意或無意地越權(quán)獲取數(shù)據(jù)。l 訪問控制基本概念主體（Subject）：或稱為發(fā)起者(Initiator)，是可以訪問資源的實體，通常指用戶（包括用戶組、崗位、角色）或代表用戶執(zhí)行的程序。客體（Object）：是需要保護的資源，又稱作目標(biāo)（target)。授權(quán)（Authorization)：是可以對資源執(zhí)行的動作，例如讀、寫、執(zhí)行或拒絕訪問。l 訪問控制服務(wù)原理通過建立統(tǒng)一的訪問控制模型，提供統(tǒng)一的權(quán)限訪問接口和管理接口，提供統(tǒng)計、日志、事件、審計、查詢等功能，實現(xiàn)應(yīng)用系統(tǒng)權(quán)限管理的一致性、易管理和易維護。通過權(quán)限訪問接口，為各應(yīng)用系統(tǒng)提供統(tǒng)一的訪問策略和權(quán)限控制。通過權(quán)限管理接口，使各應(yīng)用系統(tǒng)能夠創(chuàng)建自己的訪問控制資源并進行權(quán)限分配。圖1 訪問控制模型示意圖l 權(quán)限管理模型根據(jù)信息系統(tǒng)對訪問控制的要求，訪問控制模型參考Constrained RBAC模型，并在此基礎(chǔ)上進行擴展，增加Actor對象，即用戶（User）和角色（Role）的集合；增加域（Domain）對象，即授權(quán)的作用范圍；增加用戶（User）和權(quán)限（Permission）的關(guān)系，即除對角色授權(quán)外，單個用戶（User）可以直接授權(quán)?；靖拍疃x：操作者（Actor）：執(zhí)行者、參與者。包含用戶（User）和角色（Role）的集合總稱，可以是應(yīng)用系統(tǒng)的代理（agent），或其它任何能夠發(fā)起請求的對象?？梢苑聪虬陨恚礃錉罱Y(jié)構(gòu)。本部分的角色是廣義的角色，與《組織身份模型數(shù)據(jù)規(guī)范》的角色概念并不一樣，詳見下面的角色定義。接口中引用的actorUID泛指用戶（User）對象、角色（Role）對象和代理對象（agent）的UID值。用戶（User） 發(fā)起請求的主體，對應(yīng)組織機構(gòu)中得Person對象，或者一個應(yīng)用代理程序（agent）?？梢酝ㄟ^授權(quán)管理對用戶直接進行授權(quán)。角色（Role）一組具有相同屬性或者業(yè)務(wù)需求的人員集合，是授權(quán)的主體，可以是組織模型中的機構(gòu)、部門、用戶組、角色、崗位等。組織機構(gòu)類型《組織身份模型數(shù)據(jù)規(guī)范》。資源（Resource）：對象（Object）。資源或?qū)ο?，被授?quán)對象?？梢苑聪虬陨恚礃錉罱Y(jié)構(gòu)。操作（Operation）：權(quán)限類型。是訪問控制可以執(zhí)行的最小功能項，被Actor調(diào)用或執(zhí)行。許可（Permission）：同義詞：Privilege。是一個許可，對在一個或多個Resource上執(zhí)行的Operation的許可。會話（Session）：每個Session是一個用戶到多個Role的映像，當(dāng)一個Actor啟動它所有角色的一個子集的時候，建立了一個Session。每個Session和單個的Actor關(guān)聯(lián)，并且Actor可以關(guān)聯(lián)到一個或多個Session。域（Domain）：描述作用范圍，也叫作用域。通過分配不同的對象（Actor、Resource、Operation），生成授權(quán)范圍，授權(quán)是在域的范圍內(nèi)進行。l 訪問控制規(guī)則1． 授權(quán)方式正向授權(quán)，開始時假定主體沒有任何權(quán)限，然后根據(jù)需要授予權(quán)限。2． 權(quán)限繼承權(quán)限的繼承通過對象的父子關(guān)聯(lián)實現(xiàn)，如果設(shè)置為可繼承，則操作者子對象自動繼承父對象的權(quán)限，子資源自動繼承父資源的權(quán)限。3． 權(quán)限過濾通過設(shè)置相應(yīng)的權(quán)限過濾規(guī)則，控制資源的權(quán)限繼承，過濾當(dāng)前資源節(jié)點從父節(jié)點繼承獲得的訪問權(quán)限。4． 再授權(quán)再授權(quán)是指權(quán)限擁有者將自己擁有的權(quán)限再分配給其他用戶，這個授權(quán)過程稱之為再授權(quán)過程。再授權(quán)與管理員授權(quán)類似，只是再授權(quán)中的權(quán)限具有包含關(guān)系，即只能授予自己擁有的權(quán)限。5． 權(quán)限回收權(quán)限回收是指系統(tǒng)回收已經(jīng)分配給用戶的權(quán)限。根據(jù)不同的情況，通過權(quán)限繼承得到的權(quán)限，如果父權(quán)限被回收，子權(quán)限必定被回收；通過再授權(quán)得到的權(quán)限，根據(jù)設(shè)置不同規(guī)則，可規(guī)定父權(quán)限被回收，保留或回收子權(quán)限。6． 權(quán)限排斥權(quán)限的排斥主要是指當(dāng)用戶擁有權(quán)限A時，則不能同時再擁有權(quán)限B。通過定義權(quán)限排斥規(guī)則，通過靜態(tài)方式或者動態(tài)方式計算權(quán)限排斥。7． 負權(quán)限負權(quán)限是指操作者不應(yīng)該擁有的權(quán)限。負權(quán)限通過權(quán)限計算疊加完成，計算時負權(quán)限優(yōu)先計算。8． 權(quán)限等效權(quán)限等效是指如果設(shè)置用戶B等效于用戶A，則用戶B擁有用戶A的所有權(quán)限。A稱為被權(quán)限等效對象，B稱為權(quán)限等效對象。權(quán)限等效具有時效性。. 訪問控制接口訪問控制接口分為權(quán)限訪問接口、管理接口、數(shù)據(jù)權(quán)限接口三類。. 訪問控制要求l 日志要求能夠記錄用戶訪問日志，包括用戶登陸、用戶操作等；授權(quán)日志，包括權(quán)限的授予、權(quán)限變更等；系統(tǒng)日志，包括訪問異常、權(quán)限操作異常等。可以根據(jù)訪問者的權(quán)限提供日志的查詢、刪除功能，日志紀(jì)錄可以是log文件、數(shù)據(jù)庫、xml等。l 審計通過對用戶訪問日志和權(quán)限日志進行分析，檢查某一時間順序的用戶訪問過程和授權(quán)過程，對其中出現(xiàn)的資源訪問、權(quán)限授予、權(quán)限變更、權(quán)限策略等進行檢查，形成審計結(jié)果。l 統(tǒng)計對指定條件下的訪問紀(jì)錄或者權(quán)限紀(jì)錄進行統(tǒng)計，獲得統(tǒng)計信息，如獲得訪問者對指定資源對象的訪問次數(shù)；訪問者的對指定資源的權(quán)限變更紀(jì)錄等?？梢酝ㄟ^列表方式或者圖表方式進行展示。. 組織身份服務(wù)接口規(guī)范. 范圍本部分規(guī)定了應(yīng)用系統(tǒng)中組織身份各種實體的操作接口、實體間關(guān)系的操作接口和實體查詢接口，規(guī)定了組織身份服務(wù)的服務(wù)注冊接口、同其它系統(tǒng)的數(shù)據(jù)同步接口。本部分適用于依據(jù)本規(guī)范中《組織身份模型數(shù)據(jù)規(guī)范》建立的組織模型基礎(chǔ)上，對組織身份管理接口、信息接口和同步接口的開發(fā)過程進行規(guī)范性指導(dǎo)。本部分也適用于指導(dǎo)基于組織模型構(gòu)建的各類應(yīng)用系統(tǒng)對組織模型相關(guān)接口的調(diào)用，實現(xiàn)組織身份統(tǒng)一管理。. 規(guī)范性引用文件下列文件中的條款通過本部分的引用而成為本部分的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本部分，然而，鼓勵根據(jù)本部分達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本部分。濰坊市國土資源系統(tǒng)應(yīng)用服務(wù)規(guī)范 ：組織身份模型數(shù)據(jù)規(guī)范ISO/IEC 9075: 1992Information TechnologyDatabase Language SQL. 作用規(guī)范組織身份服務(wù)的管理接口、信息接口和同步接口，使應(yīng)用系統(tǒng)以統(tǒng)一的方式獲取組織身份信息。應(yīng)用系統(tǒng)只需關(guān)注業(yè)務(wù)流程及業(yè)務(wù)邏輯的設(shè)計，認證、組織身份信息均可以由組織身份服務(wù)接口獲得。組織身份服務(wù)以組織身份模型為數(shù)據(jù)來源，為訪問控制服務(wù)、單點登錄服務(wù)等提供運行支撐。. 接口定義組織身份服務(wù)接口分為身份認證接口、組織身份管理接口、組織身份信息接口、身份同步接口四大類。. 組織身份命名規(guī)范規(guī)定信息系統(tǒng)中組織身份命名涉及的機構(gòu)、部門、人員等實體的命名。. 姓名以中文來表示的層次命名。命名規(guī)則：中文名例如：張三、李四. 登錄帳號用于登錄平臺和業(yè)務(wù)系統(tǒng)的帳號。命名規(guī)則：行政區(qū)劃代碼+個人登錄名l 個人登錄名1. 原則216。 統(tǒng)一制定規(guī)則；216。 在全市范圍內(nèi)唯一；216。 以字母為主，必要時可以使用數(shù)字；216。 不能影響到其他應(yīng)用系統(tǒng)的使用。2. 使用漢語拼音縮寫216。 拼寫順序：姓在前，名在后；216。 兩字名：姓名的全拼；例如：濰坊市 張三——3701_zhangsan 216。 三字名：姓的全拼，名的首字母；例如：濰坊市 李龍大——3701_lild 216。 四字以上（含四字）名：姓名的首字母。例如：濰坊市 歐陽小國——3701_oyxg 3. 如本地市存在重名問題，按下列方案解決216。 在上述帳號后加兩位數(shù)字；216。 添加數(shù)字的順序：由01開始順序；例如：3701_zhangsan03701_zhangsan02. 其他信息組織身份其他信息根據(jù)實際情況如實填寫。基于全市統(tǒng)一組織身份的要求及CA的建設(shè)要求，身份證號字段請如實填寫并不可為空。48 / 48