【正文】 ：一對多關系，一個機構可以包含多個組，一個組只能被一個機構包含。部門和部門的關系：一對多關系，一個部門可以包含多個子部門，一個子部門只能被一個部門包含。部門和人員的關系：一對多關系，一個部門可以包含多個人員，一個人員只能被一個部門包含。部門和角色的關系：一對多關系，一個部門可以包含多個角色，一個角色只能被一個部門包含。部門和崗位的關系：一對多關系，一個部門可以包含多個崗位，一個崗位只能被一個部門包含。部門和組的關系：一對多關系，一個部門可以包含多個組，一個組只能被一個部門包含。組和人員的關系：多對多關系，一個組可以包含多個人，一個人也可以被多個組包含。崗位和人員的關系：多對多關系，一個崗位可以由多個人員擔任，一個人員也可以擔任多個崗位。角色和人員的關系：多對多關系，一個人員可以擔當多種角色,一個角色也以由多個人員擔當。l 實現(xiàn)要求1. 實體屬性的擴展由于各個實體在不同環(huán)境下的抽象會有不同，所以本部分規(guī)定了對每個實體的屬性的擴展方法，所有的實體都包含一個properties屬性，它是一個鍵、值對應的數(shù)據(jù)結構，里面的鍵代表屬性名，值代表屬性值。如人員實體中，若properties中有一組值為（“英文名”，“jiem”），則表明這個人員實體對象具有一個“英文名”屬性，其屬性值為“jiem”。2. 實體生命周期信息的體現(xiàn)由于應用系統(tǒng)的特殊要求，對于一些實體必須保證它的整個生命周期的信息具有可跟蹤性?；诖诵枨螅静糠忠?guī)定了機構、部門、人員三個實體對象必須具有版本號（version）屬性，版本號屬性請參考“3 術語和定義”。版本號屬性的具體值體現(xiàn)了實體生命周期的狀態(tài)，據(jù)此能做出對實體生命周期的管理及相關業(yè)務邏輯的設計。. 單點登錄服務接口規(guī)范. 范圍本部分規(guī)定了單點登錄服務接口，定義了單點登錄票據(jù)的模式。本部分主要用于濰坊市國土資源各級部門的信息系統(tǒng)規(guī)劃與建設，以及信息系統(tǒng)建設的系統(tǒng)集成商、軟件開發(fā)商和監(jiān)理單位進行信息化規(guī)劃、建設。適用于需做單點登錄整合的應用系統(tǒng)，也適用于應用系統(tǒng)間實現(xiàn)基于票據(jù)傳遞的單點登錄整合。用于指導開發(fā)商對應用系統(tǒng)進行單點登錄整合，約束應用系統(tǒng)單點登錄接入的實現(xiàn)。. 術語和定義票據(jù)：用戶在通過單點登錄驗證后獲得，包含用戶的基本信息，如唯一標識、登錄名、票據(jù)的有效期等。票據(jù)標識：用戶在通過單點登錄驗證后獲得票據(jù)的唯一標識。. 作用通過單點登錄服務讓用戶在一次輸入用戶名密碼驗證登錄后，訪問所有應用系統(tǒng)而不需要再輸入用戶名和密碼進行驗證；用戶在一次注銷后，即可在所有應用系統(tǒng)實現(xiàn)注銷。單點登錄服務以組織身份模型為數(shù)據(jù)基礎，以組織身份服務為運行支撐。實現(xiàn)單點登錄服務的前提是，各應用系統(tǒng)采用統(tǒng)一的組織身份數(shù)據(jù)模型。單點登錄服務中的認證及獲取用戶信息均應調(diào)用組織身份服務接口。. 單點登錄服務邏輯l 服務代理為用戶提供單點登錄認證，認證成功后為該用戶頒發(fā)對應的票據(jù)。將票據(jù)和票據(jù)標識保存在服務器上，同時將票據(jù)的標識保存在用戶的客戶端。在用戶請求注銷時，負責通知各應用系統(tǒng)注銷該用戶。l 訪問攔截組件攔截用戶對應用系統(tǒng)的訪問請求，根據(jù)保存在客戶端的用戶票據(jù)標識，向單點登錄代理服務器請求用戶的票據(jù)，如果正確地得到了用戶的票據(jù)，則調(diào)用應用系統(tǒng)二次認證接口。如果二次認證通過，則允許用戶訪問該應用系統(tǒng)；如果票據(jù)標識不存在或者票據(jù)無效，則不允許用戶訪問該應用系統(tǒng)。l 對應用系統(tǒng)的約束1. 應用系統(tǒng)二次認證根據(jù)用戶的票據(jù)標識從單點登錄代理服務器中獲得用戶票據(jù)，從票據(jù)中獲得用戶的基本信息，再進行應用系統(tǒng)的本地認證。2. 應用系統(tǒng)本地注銷用戶在入口點注銷后，由單點登錄服務代理通知各應用系統(tǒng)，在所有的應用系統(tǒng)中注銷該用戶。. 接口定義單點登錄服務接口分為單點登錄認證接口、獲取單點登錄票據(jù)接口、單點登錄注銷接口、應用系統(tǒng)二次認證接口、應用系統(tǒng)本地注銷接口五大類. 訪問控制服務接口規(guī)范. 范圍本部分定義了權限管理模型，給出了訪問控制框架的組成部分和各部分的技術要求，規(guī)定了權限訪問接口、權限管理接口和數(shù)據(jù)集權限接口，提出了訪問控制技術要求。適用于應用系統(tǒng)的資源權限控制和數(shù)據(jù)權限控制。本部分適用于對應用系統(tǒng)的資源和數(shù)據(jù)進行授權、權限控制，提供權限管理服務。. 規(guī)范性引用文檔下列文件中的條款通過本部分的引用而成為本部分的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本部分，然而，鼓勵根據(jù)本部分達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本部分。山東省國土資源系統(tǒng)應用服務規(guī)范 ：組織身份模型數(shù)據(jù)規(guī)范山東省國土資源系統(tǒng)應用服務規(guī)范 ：組織身份服務接口規(guī)范ISO/IEC 9075: 1992Information TechnologyDatabase Language SQL. 權限管理模型l 概述訪問控制是針對越權使用資源的防御措施。基本目標是為了限制訪問主體（用戶、進程、服務等）對訪問客體（文件、系統(tǒng)等）的訪問權限，使計算機系統(tǒng)在合法的范圍內(nèi)使用，決定用戶能做什么，也決定代表用戶的程序能做什么。訪問控制決定了誰能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。訪問控制能夠阻止未經(jīng)允許的用戶有意或無意地越權獲取數(shù)據(jù)。l 訪問控制基本概念主體（Subject）：或稱為發(fā)起者(Initiator)，是可以訪問資源的實體，通常指用戶（包括用戶組、崗位、角色）或代表用戶執(zhí)行的程序。客體（Object）：是需要保護的資源，又稱作目標（target)。授權（Authorization)：是可以對資源執(zhí)行的動作，例如讀、寫、執(zhí)行或拒絕訪問。l 訪問控制服務原理通過建立統(tǒng)一的訪問控制模型，提供統(tǒng)一的權限訪問接口和管理接口，提供統(tǒng)計、日志、事件、審計、查詢等功能，實現(xiàn)應用系統(tǒng)權限管理的一致性、易管理和易維護。通過權限訪問接口，為各應用系統(tǒng)提供統(tǒng)一的訪問策略和權限控制。通過權限管理接口，使各應用系統(tǒng)能夠創(chuàng)建自己的訪問控制資源并進行權限分配。圖1 訪問控制模型示意圖l 權限管理模型根據(jù)信息系統(tǒng)對訪問控制的要求，訪問控制模型參考Constrained RBAC模型，并在此基礎上進行擴展，增加Actor對象，即用戶（User）和角色（Role）的集合；增加域（Domain）對象，即授權的作用范圍；增加用戶（User）和權限（Permission）的關系，即除對角色授權外，單個用戶（User）可以直接授權?；靖拍疃x：操作者（Actor）：執(zhí)行者、參與者。包含用戶（User）和角色（Role）的集合總稱，可以是應用系統(tǒng)的代理（agent），或其它任何能夠發(fā)起請求的對象?？梢苑聪虬陨?，即樹狀結構。本部分的角色是廣義的角色，與《組織身份模型數(shù)據(jù)規(guī)范》的角色概念并不一樣，詳見下面的角色定義。接口中引用的actorUID泛指用戶（User）對象、角色（Role）對象和代理對象（agent）的UID值。用戶（User） 發(fā)起請求的主體，對應組織機構中得Person對象，或者一個應用代理程序（agent）?？梢酝ㄟ^授權管理對用戶直接進行授權。角色（Role）一組具有相同屬性或者業(yè)務需求的人員集合，是授權的主體，可以是組織模型中的機構、部門、用戶組、角色、崗位等。組織機構類型《組織身份模型數(shù)據(jù)規(guī)范》。資源（Resource）：對象（Object）。資源或?qū)ο?，被授權對象?？梢苑聪虬陨?，即樹狀結構。操作（Operation）：權限類型。是訪問控制可以執(zhí)行的最小功能項，被Actor調(diào)用或執(zhí)行。許可（Permission）：同義詞：Privilege。是一個許可，對在一個或多個Resource上執(zhí)行的Operation的許可。會話（Session）：每個Session是一個用戶到多個Role的映像，當一個Actor啟動它所有角色的一個子集的時候，建立了一個Session。每個Session和單個的Actor關聯(lián)，并且Actor可以關聯(lián)到一個或多個Session。域（Domain）：描述作用范圍，也叫作用域。通過分配不同的對象（Actor、Resource、Operation），生成授權范圍，授權是在域的范圍內(nèi)進行。l 訪問控制規(guī)則1． 授權方式正向授權，開始時假定主體沒有任何權限，然后根據(jù)需要授予權限。2． 權限繼承權限的繼承通過對象的父子關聯(lián)實現(xiàn)，如果設置為可繼承，則操作者子對象自動繼承父對象的權限，子資源自動繼承父資源的權限。3． 權限過濾通過設置相應的權限過濾規(guī)則，控制資源的權限繼承，過濾當前資源節(jié)點從父節(jié)點繼承獲得的訪問權限。4． 再授權再授權是指權限擁有者將自己擁有的權限再分配給其他用戶，這個授權過程稱之為再授權過程。再授權與管理員授權類似，只是再授權中的權限具有包含關系，即只能授予自己擁有的權限。5． 權限回收權限回收是指系統(tǒng)回收已經(jīng)分配給用戶的權限。根據(jù)不同的情況，通過權限繼承得到的權限，如果父權限被回收，子權限必定被回收；通過再授權得到的權限，根據(jù)設置不同規(guī)則，可規(guī)定父權限被回收，保留或回收子權限。6． 權限排斥權限的排斥主要是指當用戶擁有權限A時，則不能同時再擁有權限B。通過定義權限排斥規(guī)則，通過靜態(tài)方式或者動態(tài)方式計算權限排斥。7． 負權限負權限是指操作者不應該擁有的權限。負權限通過權限計算疊加完成，計算時負權限優(yōu)先計算。8． 權限等效權限等效是指如果設置用戶B等效于用戶A，則用戶B擁有用戶A的所有權限。A稱為被權限等效對象，B稱為權限等效對象。權限等效具有時效性。. 訪問控制接口訪問控制接口分為權限訪問接口、管理接口、數(shù)據(jù)權限接口三類。. 訪問控制要求l 日志要求能夠記錄用戶訪問日志，包括用戶登陸、用戶操作等；授權日志，包括權限的授予、權限變更等；系統(tǒng)日志，包括訪問異常、權限操作異常等?？梢愿鶕?jù)訪問者的權限提供日志的查詢、刪除功能，日志紀錄可以是log文件、數(shù)據(jù)庫、xml等。l 審計通過對用戶訪問日志和權限日志進行分析，檢查某一時間順序的用戶訪問過程和授權過程，對其中出現(xiàn)的資源訪問、權限授予、權限變更、權限策略等進行檢查，形成審計結果。l 統(tǒng)計對指定條件下的訪問紀錄或者權限紀錄進行統(tǒng)計，獲得統(tǒng)計信息，如獲得訪問者對指定資源對象的訪問次數(shù)；訪問者的對指定資源的權限變更紀錄等?？梢酝ㄟ^列表方式或者圖表方式進行展示。. 組織身份服務接口規(guī)范. 范圍本部分規(guī)定了應用系統(tǒng)中組織身份各種實體的操作接口、實體間關系的操作接口和實體查詢接口，規(guī)定了組織身份服務的服務注冊接口、同其它系統(tǒng)的數(shù)據(jù)同步接口。本部分適用于依據(jù)本規(guī)范中《組織身份模型數(shù)據(jù)規(guī)范》建立的組織模型基礎上，對組織身份管理接口、信息接口和同步接口的開發(fā)過程進行規(guī)范性指導。本部分也適用于指導基于組織模型構建的各類應用系統(tǒng)對組織模型相關接口的調(diào)用，實現(xiàn)組織身份統(tǒng)一管理。. 規(guī)范性引用文件下列文件中的條款通過本部分的引用而成為本部分的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本部分，然而，鼓勵根據(jù)本部分達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本部分。濰坊市國土資源系統(tǒng)應用服務規(guī)范 ：組織身份模型數(shù)據(jù)規(guī)范ISO/IEC 9075: 1992Information TechnologyDatabase Language SQL. 作用規(guī)范組織身份服務的管理接口、信息接口和同步接口，使應用系統(tǒng)以統(tǒng)一的方式獲取組織身份信息。應用系統(tǒng)只需關注業(yè)務流程及業(yè)務邏輯的設計，認證、組織身份信息均可以由組織身份服務接口獲得。組織身份服務以組織身份模型為數(shù)據(jù)來源，為訪問控制服務、單點登錄服務等提供運行支撐。. 接口定義組織身份服務接口分為身份認證接口、組織身份管理接口、組織身份信息接口、身份同步接口四大類。. 組織身份命名規(guī)范規(guī)定信息系統(tǒng)中組織身份命名涉及的機構、部門、人員等實體的命名。. 姓名以中文來表示的層次命名。命名規(guī)則：中文名例如：張三、李四. 登錄帳號用于登錄平臺和業(yè)務系統(tǒng)的帳號。命名規(guī)則：行政區(qū)劃代碼+個人登錄名l 個人登錄名1. 原則216。 統(tǒng)一制定規(guī)則；216。 在全市范圍內(nèi)唯一；216。 以字母為主，必要時可以使用數(shù)字；216。 不能影響到其他應用系統(tǒng)的使用。2. 使用漢語拼音縮寫216。 拼寫順序：姓在前，名在后；216。 兩字名：姓名的全拼；例如：濰坊市 張三——3701_zhangsan 216。 三字名：姓的全拼，名的首字母；例如：濰坊市 李龍大——3701_lild 216。 四字以上（含四字）名：姓名的首字母。例如：濰坊市 歐陽小國——3701_oyxg 3. 如本地市存在重名問題，按下列方案解決216。 在上述帳號后加兩位數(shù)字；216。 添加數(shù)字的順序：由01開始順序；例如：3701_zhangsan03701_zhangsan02. 其他信息組織身份其他信息根據(jù)實際情況如實填寫?；谌薪y(tǒng)一組織身份的要求及CA的建設要求，身份證號字段請如實填寫并不可為空。48 / 48