【正文】 CIF 實(shí)現(xiàn)規(guī)范也定義了基于 XML 標(biāo)準(zhǔn) 的 CIF 數(shù)據(jù)模型 ， 支持 小學(xué)數(shù)據(jù)對(duì)象 在應(yīng)用系統(tǒng) 間 的 共享。 通過(guò)“教師”對(duì)象產(chǎn)生的數(shù)據(jù)實(shí)體主要有教案、作業(yè)、教學(xué)成績(jī)、教學(xué)計(jì)劃等一系列和教師教育教學(xué)活動(dòng)相關(guān)的數(shù)據(jù) ； 通過(guò)“學(xué)生 ”對(duì)象產(chǎn)生的數(shù)據(jù)實(shí)體主要有考試成績(jī)、課堂表現(xiàn)、獲獎(jiǎng)、畢業(yè)去向等一系列 和 學(xué)生 學(xué)習(xí)成長(zhǎng) 相關(guān)的數(shù)據(jù)。具體數(shù)據(jù)模型框架如下圖所示： 8 4. 基礎(chǔ)支撐平臺(tái) . 統(tǒng)一身份認(rèn)證 系統(tǒng) 應(yīng)用 系統(tǒng) 如果 采用 各自獨(dú)立的身份認(rèn)證 機(jī)制 ， 用戶(hù) 就要 記憶 不同 系統(tǒng) 中 的賬號(hào) /密碼 。 統(tǒng)一身份認(rèn)證以 IDM/IM（身份認(rèn)證管理）為基礎(chǔ) 提供安全的用戶(hù)身份管理功能 ，并配合 Access Manager 基于代理架構(gòu) 的訪(fǎng)問(wèn)控制 ，提供 Web 應(yīng)用的單點(diǎn)登錄和 Web 應(yīng)用 保護(hù)。 統(tǒng)一身份認(rèn)證實(shí)現(xiàn)的功能如下： —— 統(tǒng)一身份數(shù)據(jù)中心，對(duì) 各應(yīng)用 系統(tǒng) 的 所有用戶(hù)提供集中和統(tǒng)一 的 管理，同時(shí)根據(jù)各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的認(rèn)證方式的不同提供靈活的認(rèn)證機(jī)制； 集中身份庫(kù)的基礎(chǔ)上， 在滿(mǎn)足數(shù)字校園管理平臺(tái)信息系統(tǒng)內(nèi)部業(yè)務(wù)流程規(guī)則 的 前提下 ， 通過(guò)身份管理技術(shù)實(shí)現(xiàn)身份庫(kù)與各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng) (門(mén)戶(hù)、 OA、教學(xué)、教務(wù)等系統(tǒng) )用戶(hù)身份信息的自動(dòng)同步處理功能； 的 基礎(chǔ)上，提供單點(diǎn)登 錄 (SSO)功能 ，用戶(hù)只需要通過(guò)一次身份認(rèn)證就可以訪(fǎng)問(wèn)具有權(quán)限的所有資源。 . 設(shè)計(jì)要點(diǎn) ? 支持 用戶(hù)數(shù)據(jù) 的 集成 ， 適應(yīng) 中小學(xué)用戶(hù)數(shù)據(jù)分散管理的 現(xiàn)狀 ? 支持 用戶(hù)數(shù)據(jù)存儲(chǔ)模式 ， 適 應(yīng) 中小學(xué)教職工多重身份的 現(xiàn)狀 ? 支持多種 認(rèn)證方式， 確保異構(gòu) 業(yè)務(wù)系統(tǒng) 能夠 集成，讓用戶(hù)獲得完整的單點(diǎn)登錄體驗(yàn) ? 滿(mǎn)足不同用戶(hù)或系統(tǒng)的認(rèn)證安全需求 ? 保證身份認(rèn)證平臺(tái)的高可靠性和 高 性能 9 前三個(gè)需求是身份認(rèn)證平臺(tái)發(fā)揮作用的基礎(chǔ)，而隨著應(yīng)用集成的力度和廣度的加大，后兩個(gè) 將是身份認(rèn)證平臺(tái)必須妥善處理的問(wèn)題。身份認(rèn)證平臺(tái) 可以采用 統(tǒng)一的權(quán)限模型，供各應(yīng)用系統(tǒng)使用，相應(yīng)的權(quán)限數(shù)據(jù)既可集中 管理 也可分布式管理。 . 系統(tǒng)框架 身份認(rèn)證平臺(tái)主要包括 以下三 方面功能 ： ? LDAP 目錄服務(wù) ，支持 海量 用戶(hù) 數(shù)據(jù) 的 存儲(chǔ)和管理 ? 高性能 SSO(單點(diǎn)登錄 )身份 認(rèn)證服務(wù) ? 開(kāi)放 的 認(rèn)證集成方式 ， 支持不同開(kāi)發(fā)語(yǔ)言 和 不同應(yīng)用服務(wù)器平臺(tái)的業(yè)務(wù)系統(tǒng) . 統(tǒng)一身 份管理架構(gòu) 學(xué)校 的各種 應(yīng)用系統(tǒng) 通常 都有 自己獨(dú)立 的用戶(hù)管理 、 用戶(hù)認(rèn)證和授權(quán)機(jī)制， 導(dǎo)致系統(tǒng) 間 互不兼容 ； 學(xué)校的 組織機(jī)構(gòu)也不斷 變化 ，用戶(hù)來(lái)源 日趨 復(fù)雜，角色多樣化和角色變化等 問(wèn)題不斷出現(xiàn) 。如圖： 10 針對(duì) 上述 問(wèn)題，建立一個(gè)統(tǒng)一的，基于業(yè)界標(biāo)準(zhǔn)（如 LDAP， XML， Web Service， J2EE 等）的 ， 靈活、開(kāi)放、可擴(kuò)展性的身份管理框架是最終的解決方案。身份認(rèn)證平臺(tái)核心結(jié)構(gòu)如下圖所示： 身份認(rèn)證平臺(tái)管理用戶(hù)在各個(gè)應(yīng)用系統(tǒng)中的用戶(hù)信息的對(duì)應(yīng)關(guān)系，并根據(jù)11 這一關(guān)系管理用戶(hù)在各個(gè)應(yīng)用系統(tǒng)中的生命周期，如添加、刪除、修改等。 身份認(rèn)證平臺(tái)的核心包括用戶(hù)信息創(chuàng)建 和 中止的審批流程，該流程由管理員預(yù)先定義，可以修改。用戶(hù)帳號(hào)的中止也是同樣原理。 . 用戶(hù)數(shù)據(jù)模型 身份認(rèn)證平臺(tái)中的數(shù)據(jù)模型包括： 1. 用戶(hù)帳號(hào)：學(xué)生、教職員工、合作伙伴、供應(yīng)商等帳戶(hù)信息； 2. 資源：身份認(rèn)證平臺(tái)所管理的身份數(shù)據(jù)源和應(yīng)用系統(tǒng)，如學(xué)生數(shù)據(jù)中心、教職工數(shù)據(jù)中心、電子郵件、一卡通、綜合網(wǎng)絡(luò)管理系統(tǒng)以及上網(wǎng)認(rèn)證系統(tǒng)、 VPN 系統(tǒng)等，以及其它基于用戶(hù)屬性更改的應(yīng)用； 3. 資源組：按一定順序組織 的 資源，身份認(rèn)證平臺(tái)將根據(jù)這一順序在應(yīng)用系統(tǒng)中創(chuàng)建和刪除 用戶(hù)信息； 4. 組織：管理一組用戶(hù)、資源和其它對(duì)象的邏輯容器； 5. 角色：用戶(hù)的工作角色，代表其職能性質(zhì)，據(jù)此在資源中設(shè)置用戶(hù)的屬性； 6. 管理帳戶(hù)：具有管理員 權(quán)限 ，可以進(jìn)行分級(jí)管理； 7. 能力： 擁有 哪些 權(quán)限 ，如口令管理員只能管理用戶(hù)的口令。 用戶(hù)數(shù)據(jù)是動(dòng)態(tài)的， 依賴(lài)于用戶(hù)的角色、資源和資源組 。 身份認(rèn)證平臺(tái)有虛擬用戶(hù)的概念，主要作用是映射用戶(hù)到多個(gè)資源， 可以將一個(gè)用戶(hù)在多個(gè)應(yīng)用系統(tǒng)中的全部帳戶(hù)信息作為一個(gè)實(shí)體來(lái)管理。用戶(hù)數(shù)據(jù)采集可以根據(jù)學(xué)?，F(xiàn) 狀 ， 采用以下方式： 集成 管理 著 權(quán)威用戶(hù)數(shù)據(jù)的業(yè)務(wù)系統(tǒng)，依賴(lài) 該 系統(tǒng)進(jìn)行 用戶(hù)數(shù)據(jù) 管理 通過(guò)數(shù)據(jù)集成平臺(tái)雙向 同步 用戶(hù) 數(shù)據(jù) 通過(guò)身份認(rèn)證平臺(tái) 的 用戶(hù)管理程序 管理 用戶(hù)數(shù) 據(jù) . 身份數(shù)據(jù)集成 統(tǒng)一身份認(rèn)證系統(tǒng)集成用戶(hù)身份數(shù)據(jù)的過(guò)程 ，是通過(guò) 數(shù)據(jù)交換平臺(tái)從學(xué)校的各個(gè)業(yè)務(wù)系統(tǒng) 中 自動(dòng)抽取用戶(hù)身份數(shù)據(jù) ， 并加以歸納和整理， 最終 充實(shí)用戶(hù)身份信息庫(kù)。 . 帳號(hào)和口令管理 身份認(rèn)證平臺(tái)提供了統(tǒng)一的 WEB管理界面，可以方便地管理帳號(hào)和口令。 2. 帳號(hào)新建功能：外來(lái)人員 如 需臨時(shí)帳號(hào)，可以 由 管理員手工生成訪(fǎng) 問(wèn)身份，這個(gè)訪(fǎng)問(wèn)身份 通常 是帳號(hào) /口令，也可通過(guò)多因子認(rèn)證或數(shù)字證書(shū)實(shí)現(xiàn)。 3. 帳號(hào)注銷(xiāo)功能：在 一定 條件下，實(shí)現(xiàn)用戶(hù)帳號(hào)的注銷(xiāo) 。 14 4. 帳號(hào)凍結(jié)功能： 暫時(shí) 中 止 用戶(hù) 的訪(fǎng)問(wèn) 權(quán)限，在用戶(hù)需要開(kāi)通時(shí) 可以重新恢復(fù)， 這 樣 用戶(hù)可 以繼續(xù) 使用 原來(lái)的 帳號(hào)。 為滿(mǎn)足用戶(hù)個(gè)性化設(shè)置 的需求， 減輕管理員密碼 維護(hù) 的壓力，平臺(tái)提供個(gè)人密碼找回 和 別名登錄功能 ，并 開(kāi)放給所 有 用戶(hù) 。 . 分級(jí)管理 平臺(tái)提供扁平的用戶(hù)權(quán)限模型，提供分級(jí)管理功能。 ? 用戶(hù)數(shù)據(jù)采集時(shí)，自動(dòng)根據(jù)用戶(hù)的屬性和來(lái)源為 其 設(shè)置相應(yīng)的身份。 . 與典型應(yīng)用系統(tǒng)的集成 身份認(rèn)證平臺(tái)的資源適配器 采用 服務(wù)器端的 J2EE 適配器，部署在身份認(rèn)證服務(wù) 端，即 J2EE 應(yīng)用服務(wù)器上，然后根據(jù)所管資源的通訊協(xié)議和資源互通 。這樣 既 對(duì)應(yīng)用系統(tǒng)無(wú)影響， 又 避免了維護(hù)代理的工作。 . 與采用 LDAP目錄服務(wù)的應(yīng)用系統(tǒng)集成 同上 。 16 . 與關(guān)系型數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng) 的 集成 如果 應(yīng)用系統(tǒng)的用戶(hù)數(shù)據(jù)存儲(chǔ) 在 關(guān)系型數(shù)據(jù)庫(kù)中，應(yīng)用系統(tǒng)和統(tǒng)一身份認(rèn)證系統(tǒng)集成后， 統(tǒng)一身份認(rèn)證平臺(tái)替代了應(yīng)用系統(tǒng)的身份認(rèn)證功能，該 數(shù)據(jù)庫(kù)中的用戶(hù)信息 將 主要用于應(yīng)用系統(tǒng) 自身 的授權(quán)和策略管理。身份認(rèn)證平臺(tái)和關(guān)系型數(shù)據(jù)庫(kù)的集成是通過(guò)身份認(rèn)證平臺(tái)提供的 JDBC（ Java Data Base Connectivity， Java 數(shù)據(jù)庫(kù)連接 ） 資源適配器完成的，并在資源方無(wú)須安裝任何代理。 開(kāi)發(fā)工具包包括： 1. 指南性文檔資料：功能定義 、 README 文件等 2. Javadoc： 提供身份認(rèn)證平臺(tái)的 API 信息 3. Jar 文件 ： 用于編譯 、連接 4. 樣本源代碼 等。通常，策略與權(quán)限管理模塊以應(yīng)用專(zhuān)有的方式實(shí)現(xiàn)，系統(tǒng)的策略模型、策略存貯結(jié)構(gòu)與訪(fǎng)問(wèn)控制邏輯與應(yīng)用的業(yè)務(wù)邏輯之間耦合緊密。 為了克服專(zhuān)有方式的缺點(diǎn)，統(tǒng)一用戶(hù)管理與認(rèn)證平臺(tái) 在 基礎(chǔ)設(shè)施層提供 了增強(qiáng)的策略服務(wù) ， 提供標(biāo)準(zhǔn)、通用、靈活和可擴(kuò)展的策略模型，支持策略的定義、存貯、配置與判定，并與用戶(hù)管理和服務(wù)管理緊密集成。圖中以灰色表示的組件是應(yīng)用相關(guān)的部分，需要進(jìn)行定制設(shè)計(jì)與開(kāi)發(fā)；其余組件均由統(tǒng)一授權(quán)平臺(tái)提供。 PDP 代表策略判定點(diǎn) (Policy Decision Point)，是策略的提供者； PEP 代表策略執(zhí)行點(diǎn) (Policy Enforcement Point)，是策略的使用者。 PDP 與 PEP 之間 可以 通過(guò) Java/C++ API 或 XML/HTTP 通信。 統(tǒng)一授權(quán)管理支持通過(guò)策略 主體 SPI（ 服務(wù)提供者接口 ） 、策略條件 SPI、策略推薦 SPI與資源名稱(chēng) SPI進(jìn)行擴(kuò)展。 18 . 策略模型 統(tǒng)一授權(quán)管理的策略服務(wù)建立在通用、靈活和可擴(kuò)展的模型上。一般而言，作為訪(fǎng)問(wèn)控制規(guī)則的策略描述了“誰(shuí)在何種情況下針對(duì)指定服務(wù)對(duì)何種資源可執(zhí)行怎樣的操作”?；趩吸c(diǎn)登錄系統(tǒng)的策略模型提供了充分的表達(dá)能力，允許準(zhǔn)確描述如上的通用策略。為簡(jiǎn)明起見(jiàn)，在此以半形式化的方式描述策略模型如下： 常規(guī)策略 ::= 主體 集 + 條件集 + 規(guī)則集 主體 集 ::= {主體 } 條件集 ::= {條件 } 規(guī)則集 ::= {規(guī)則 } 主體 ::= Access Manager 角色集 | LDAP 組集 | LDAP 角色集 | LDAP 用戶(hù)集|LDAP 組織集 條件 ::= 認(rèn)證級(jí)別 |認(rèn)證方式 |客戶(hù) IP |時(shí)間 規(guī)則 ::= 服務(wù) + 資源名稱(chēng) + 動(dòng)作類(lèi)型 值對(duì)集 資源名稱(chēng) ::= 字符串 動(dòng)作類(lèi)型 值對(duì)集 ::= {動(dòng)作類(lèi)型 值對(duì) } 動(dòng)作類(lèi)型 值對(duì) ::= 動(dòng)作類(lèi)型 + 值 備注： 統(tǒng)一授權(quán)管理的策略包括推薦策略與常規(guī)策略。 統(tǒng)一授權(quán)管理提供的 主體 插件 SPI、條件插件 SPI 和資源名稱(chēng)插件 SPI允許擴(kuò)展 主體 、條件與資源名的表達(dá)能力，上述描述中 主體 、條件與資源名稱(chēng)只是由系統(tǒng)提供的標(biāo)準(zhǔn)實(shí)現(xiàn)。如果是遠(yuǎn)程訪(fǎng)問(wèn)，則 Java API 接口本身也是對(duì) XML/HTTP 接口的一種封裝。 從上述流程可知，策略驗(yàn)證的結(jié)果是以策略決策的形式表現(xiàn)的。 策略決策中包括一組動(dòng)作決策 ， 動(dòng)作決策是關(guān)于某個(gè)具體動(dòng)作的決策，其中包括： （ 1）動(dòng)作的值：與該動(dòng)作相關(guān)的決策的值； （ 2） 有效時(shí)間（ TTL）：決策值在多久時(shí)間內(nèi)有效； （ 3）建議：該動(dòng)作決策的描述信息。 可能有許多策略適用于一次策略請(qǐng)求，不同的策略可能相互沖突。這種不同策略同時(shí) 適用，而且決策值不同的情況稱(chēng)為沖突。系統(tǒng)是這樣消解策20 略決策沖突的： (1) 如果動(dòng)作值的類(lèi)型是布爾類(lèi)型，則所有策略的決策值在執(zhí)行 AND 操作之后返回，返回的值是單值。 策略的管理包括創(chuàng)建、刪除和修改策略。如果在應(yīng)用系統(tǒng)中 需要對(duì)策略進(jìn)行管理，可以使用系統(tǒng)的策略管理 API。因此應(yīng)用系統(tǒng)與服務(wù)之間是多對(duì)多的關(guān)系。不同的服務(wù)具有不同的資源 和 動(dòng)作類(lèi)型，因此，不同的服務(wù)有不同的策略模板，該 模板 稱(chēng)為策略方案（ Policy Schema）。配置策略 、 驗(yàn)證策略是通過(guò)指定服務(wù)來(lái)指定策略方案的 。每條規(guī)則中均指明了一個(gè)服務(wù)、屬于該服務(wù) 的 資源以及一組動(dòng)作與值對(duì)。因此，策略與策略方案之間的對(duì)應(yīng)關(guān)系應(yīng)該是多對(duì)多關(guān)系。只有當(dāng)服務(wù)定義之后，才能定義與該服務(wù)相關(guān)的具體策略。身份認(rèn)證平臺(tái)將服務(wù)作為一組屬性進(jìn)行管理，而并不關(guān)心這些屬性的具體涵義。 21 身份認(rèn)證平臺(tái)提供了大量的平臺(tái)服務(wù)，這些服務(wù)本身也是通過(guò)系統(tǒng)的服務(wù)管理功能加以管理的，因此，這些平臺(tái)服務(wù)也有對(duì)應(yīng)的 XML定義文件，并且服務(wù)的選項(xiàng)也是通過(guò)服務(wù)的屬性加以管理的。不同類(lèi)型的屬性具有不同的作用域、繼承性、用途。 策略 N/A N/A 與服務(wù)授權(quán)相關(guān)的配置 用戶(hù) 只應(yīng)用于用戶(hù) 不可繼承 服務(wù)針對(duì)于每個(gè)用戶(hù)的個(gè)性化配置。 . 角色與用戶(hù)組管理 角色是和用戶(hù)組的概念相似的目錄服務(wù)器對(duì)象管理機(jī)制。 在身份認(rèn)證平臺(tái)中，用戶(hù)角色的權(quán)限是通過(guò)為其設(shè)定 ACI（ Access Control Infromation）來(lái)控制的 。可以設(shè)置特定用戶(hù)、所有屬于特定組或角色的用戶(hù)或所有目錄用戶(hù)的權(quán)限。 與條目屬性一樣 ， 訪(fǎng)問(wèn)控制指令存儲(chǔ)在目錄中。接收到客戶(hù)端 的 LDAP 請(qǐng)求時(shí)，目錄服務(wù)器使用該屬性來(lái)允許或拒絕 訪(fǎng)問(wèn) 。 在平臺(tái)中可以定 義特定的角色，并利用 ACI 來(lái)控制其訪(fǎng)問(wèn)權(quán)限。 利用組織內(nèi)創(chuàng)建用戶(hù)時(shí)可以擁有默認(rèn)角色的機(jī)制，可以為不同的組織創(chuàng)建不同的默認(rèn)角色，這樣新建的用戶(hù)就自然擁有了這些角色所擁有的屬性和服務(wù)22 以及相應(yīng)的權(quán)限。一般來(lái)說(shuō)，組沒(méi)有自己的特權(quán)。 身份認(rèn)證平臺(tái)提供了組的分級(jí)管理的能力。在這里已經(jīng)部分實(shí)現(xiàn)了用戶(hù)組的分級(jí)管理。這些組按照用戶(hù)基本身份建立（比如學(xué)生組、教職工組），作用域?yàn)檎麄€(gè)組織樹(shù)，在人員的初始時(shí)可以按照身份加入這些全局組，從而實(shí)現(xiàn)人員權(quán)限的初始化。權(quán)限語(yǔ)義描述了用戶(hù)的具體 應(yīng)用 權(quán)限，權(quán)限語(yǔ)義的具體描述和解析由業(yè)務(wù)系統(tǒng)負(fù)責(zé)。 . 用戶(hù)數(shù)據(jù)采集 功能描述 針對(duì) 學(xué)校用戶(hù)管理分散 進(jìn)行 的特點(diǎn)，提供從權(quán)威數(shù)據(jù) 源 采集用戶(hù)數(shù)據(jù)，并實(shí)時(shí)更新目錄服務(wù)器中的用戶(hù)數(shù)據(jù)，提供： ? 數(shù)據(jù)源采集點(diǎn)和采集周期定義 ? 數(shù)據(jù)源變化跟蹤和自動(dòng)采集 應(yīng)用模式 建立從公共數(shù)據(jù)庫(kù)平臺(tái)相關(guān)的共享數(shù)據(jù)集采集，在學(xué)生和教職工用戶(hù)數(shù)據(jù)變更 (包括新增、刪除、修改 )后，采集模塊自動(dòng)同步更新統(tǒng)一認(rèn)證用戶(hù)數(shù)據(jù)23 庫(kù)。常見(jiàn)的情況是：人事系統(tǒng)管理人事信息；辦公系統(tǒng)管理 與 日常工作有關(guān)的信息；用戶(hù)的認(rèn)證信息 如用戶(hù) ID 和密碼在各個(gè)系統(tǒng)中一般不同，由各個(gè)系統(tǒng) 分散 管理；用戶(hù)的基本屬性，如姓名等信息往往在各個(gè)系統(tǒng)中都存在。傳統(tǒng)的業(yè)務(wù)系統(tǒng)一般使用關(guān)系數(shù)據(jù)庫(kù)存放用戶(hù)數(shù)據(jù)，如 管理信息 系統(tǒng)； 互聯(lián)網(wǎng) 應(yīng)用系統(tǒng)一般使用 LDAP 存放用戶(hù)數(shù)據(jù)，如 電子郵件 系統(tǒng) 。用戶(hù)數(shù)據(jù)的分散存儲(chǔ)與管理使得共享用戶(hù)數(shù)據(jù)成為復(fù)雜而低效的任務(wù)。統(tǒng)一用戶(hù)管理 數(shù)據(jù)庫(kù) 在物理上與其它應(yīng)用數(shù)據(jù)源獨(dú)立，在數(shù)據(jù)上與其它應(yīng)用數(shù)據(jù)源保持同步。 . 用戶(hù)數(shù)據(jù)發(fā)布 功能描述 為了保持各業(yè)務(wù)系統(tǒng)中用戶(hù)數(shù)據(jù)的完整性和