文件编号:
统一用户及权限管理平台 解决方案及设计报告
版本号0.9
拟制人王应喜 审核人 ________ 批准人 ________
日期2006年6月 日期 ____________ 日期 ____________
目录
第一章 引言 ......................................................................................... 1 编写目的 ..................................................................................... 1 背景 ......................................................................................... 1 1.1 1.2 1.3 1.4
第二章
2.1 2.2 2.3
第三章
3.1 3.2 3.3 3.4 3.5 3.6 3.7
第四章
4.1 4.2
定义 ......................................................................................... 1 参考资料 ..................................................................................... 1 统一权限管理解决方案 ........................................................................ 2 需求分析 ..................................................................................... 2 系统架构 ..................................................................................... 3 系统技术路线 ................................................................................. 7 统一用户及授权管理系统设计 .................................................................. 7 组织机构管理 ................................................................................. 8 用户管理 .............................................................. 错误!未定义书签。 应用系统管理、应用系统权限配置管理 .......................................................... 9 角色管理 ..................................................................................... 8 角色权限分配 ................................................................................. 9 用户权限(角色)分配 ....................................................................... 9 用户登录日志管理功
....................................................................... 9
对外接口设计 ................................................................................ 10 概述 ........................................................................................ 10 接口详细描述 ................................................................................ 10
4.2.1 获取用户完整信息 ................................................................... 14 4.2.2 获取用户拥有的功能模块的完整信息 .................................................... 15 4.2.3 获取用户拥有的一级功能模块 .......................................................... 16 4.2.4 获取用户拥有的某一一级功能模块下的所有子功能模块
17
4.2.5 获取用户拥有的某一末级功能模块的操作列表 ............................................ 19 4.2.6
判断用户是否拥有的某一末级功能模块的某一操作权限 .................................... 20
4.2.7 428
获取某一功能模块的 ACL —尚需进一步研究 ............................................ 21 获取某一模块的数据级权限规划规则一尚需进一步研究
............................................ 22
1引言
1.1编写目的
编写此文的目的从总体上描述企业统一用户及授权管理的解决方案以及统一用户及
授权管理系统的功能设计、对外接口设计、数据库设计,并为下一阶段的详细设计以及系 统编码、测试提供依据。
本文档读者对象:用户、项目经理、系统分析员、软件文档管理员、质量管理人员, 软件开发人员、软件测试人员等。
此文档和附加参考资料作为系统进行设计与测试的基础性文档。
1.2背景
随着信息化的发展,企业的应用不断的增加,而企业的应用行使多样化,既有传统
的C/S模式应用,又有基于in ternet的B/S应用;既有基于 Win dows平台的.net应用,又 有基于J2ee架构的应用。企业在进行信息化建设过程中,在没有实现同以用户及授权管 理之前,各个系统的用户,且用户授权不能集中管理,这给企业信息化的系统管理员 和操作用户带来很多不便。鉴于此,本文提出基于统一用户及授权管理解决方案。
1.3定义
列出本文件中用到的专门术语的定义和外文首字母组词的原词组 1、SSO: Single Sign On,单点登录
1.4参考资料
2统一用户及权限管理平台解决方案
2.1需求分析
统一用户权限管理主要解决的问题: 1、 提供用户注册
用户通过网上注册。
2、 提供统一的用户管理和授权管理(应用程序)
权限控制,只实现功能权限控制, 而不实现数据(范围)权限控制,主要由于各个 业务的数据访问规则很难归纳为标准的访问规则。而功能从权限的控制包括: 不做权限控制的功能,即不登陆就可操作,如:对外新闻、公告查询 公共功能:用户只要登陆就可操作的功能,如:内部新闻、内部公告查询 需权控制的功能:只有当用户拥有该功能的权限才能操作的功能
3、 提供统一的用户及权限认证接口
提供的统一的用户及权限认证接口同时满足 C/S和B/S应用的用户认证和权限控 制的需求;且对于B/S应用,既满足基于windows平台的.net应用,也满足与基于J2ee 架构的应用。 4、 提供统一的数据访问接口
统一用户及权限管理平台提供各类数据访问接口,如:获取操作人员的信息、获 取机构信息、获取系统功能信息等。 5、 系统具有较好的扩展性和灵活性
组织机构、用户的属性要求可以进行适当的增加, 以满足各个不同企业的统一权 限管理的需要。
统一权限管理,既满足与单个应用授权,也满足所有应用集中授权。 统一权限管理既满足一个机构集中授权,也满足多机构逐级受权。
在统一授权管理中,每个应用权限控制的粒度不一致,有的应用或模块控制得较 粗,有的控制得较精确,如:对于数据的维护只是一个“数据维护”权限粗的控制,
也可以控制到“数据新增”、“数据修改”和“数据删除”权限的精确控制上。 〃以下由沈伟补充
6、 系统的单点登录(包括跨系统的应用调用)
7、 权限模型配置(包括模块与部分可通用的数据权限;数据权限做到什么程度需思 考)。
对于第2点中细节描述部分,则形成需建成服务模式,而非源程序加载模式 此需求需讨论。建议:对 SSO项目进行继承。
2.2系统架构
应用系统
OA系统
应急指挥系统 邮件系统
认证、服务接口
统一用户、授权管理系统 认证、服务 应用系统 组织机构 用户注册 系 统 管 理 用户 管理 应用系统 管 理 身份认证接口 权限认证接口 数据访问接口 权限配置 角色权限 分 配 用户权限 角色分配 用户登陆 管 理 7\\
认证中心数据库
组织机构信息、用户信息、应用系统信息、应用系统权限
(功能)配置信息、角色信息、角色
(已分配)权限信息、用户(已分配)权限信息、用户登录日志信息
图:统一用户及权限管理平台架构
如图所示,统一用户及权限管理平台系统功能由四部分组成:
1、 用户注册系统
用户注册系统提供用户网上注册。 2、 统一用户及授权管理系用系统
该系统主要由应用系统的系统管人员使用。
系统提供组织机构管理、用户管理、应用系统管理、应用系统权限 理、角色管理、角色权限分配、用户权限(角色)分配、用户登录管理功能。 3、 认证与服务
认证服务提供应用系统身份认证接口、权限认证接口、数据访问接口。应用系统
同过调用身份认证接口实现用户身份认证;调用实现对用户权限认证;通过调用数据 接口读取如用户信息、组织机构信息等数据。 4、 认证中心数据库
认证中心数数据库负责存储统一用户及权限管理的数据。
(功能)配置管
2.2.1统一用户、权限管理数据流程图
统一用户、授权管理 (数据增、删、改维护) d i! |! J 邮件系统• 邮件帐户] __ 门户认证 信息 J k ■l.j k\" i 认证中心 其它系统 认证信息 数据库 一 J ___ > 图:统一用户、权限管理数据流程图
从以上图中可知,在进行统一用户、授权管理时,一方面对认证中心的用户信息、 权限分配数据进行维护,另一方面,根据需要,可以对门户系统(如Liferay Portal、IBM Websphere Portal)中的相关的用户、权限分配信息进行同步更新,以及对邮件系统中 的邮件帐户信息进行同步更新,以及对其它系统的认证信息进行同步更新。
通过以上方案,既满足了统一用户和授权管理,同时,又解决了门户系统、邮件
系统等的用户管理、授权和认证问题。避开了去了解甚至重新构造门户系统、由M牛系 统等中的用户认证、权限认证问题。
2.2.2新建应用、门户的身份认证、权限认证机制
门户权限的认证由门户服务器提供的认证服务完成。
新的应用系统建设,其用户、权限是基于统一的用户、权限管理平台建设, 用户身份认证、权限认证由我们提供的统一用户权限管理的认证服务完成。
2.2.3老的应用系统的认证机制
老的应用系统的用户认证、权限认证仍然由老系统完成。若老的应用系统整合到门户, 首先通过门户认证,然后再通过老的系统的用户、权限认证。具体如下:
2.2.4关于邮件系统的用户认证问题
邮件系统的用户认证仍然由邮件系统提供的认证服务完成,只是,若需要进行统邮件
系统的账户时,在对认证中心的用户进行维护时,对邮件系统的帐户信息 和口令)进行同步更新。
(主要是用户名
2.3主要技术路线
统一用户和权限管理系统
该系统采用 jsp+struts+hibernate的J2ee架构。J2ee WEB 中间件采用 TOMCAT。 认证接口
提供给应用系统的接口以 javabea n 实现。
数据库
在本方案中,数据库系统采用 mysql数据库。
webservice方式提供,实现方法采用一般的
3用户注册系统设计
此部分主要是想用户网上注册功能。
4统一用户及授权管理系统设计
统一用户及授权管理系统主要实现的功能包括:
组织机构及用户管理 应用系统及功能管理 角色管理 角色权限分配 用户权限分配 用户登录日志管理
系统主界面如下:
4.1组织机构及用户管理
1、 功能描述
采用树形结构对机构及人员进行维护管理。具体包括: 1) 机构的维护
机构新增 机构删除 机构修改
2) 人员的维护
人员新增 人员删除 人员修改 人员口令修改 注册用户审查 帐户开通/停止
3) 用户授权
用户角色授权
4) 用户权限查询
用户拥有的角色查询 用户拥有的权限查询
2、 界面样式
4.2角色管理
对角色的维护管理,包括角色的新增、修改、删除
4.3角色权限分配
4.4用户权限(角色)分配 4.5登录(在线)用户管理
提供在线用户查询和注销在线用户功能。
4.6辅助功能
4.6.1系统操作管理
实现操作日志的查询和导出。
4.6.2用户登录日志管理
实现对用户历史登录日志的查询和导出。
4.6.3系统代码表管理
代码类别维护 代码维护
4.7应用系统及功能管理
此部分功能一般只提供给开发应用开发上维护。能维护。
主要实现应用系统目录维护和系统功
5认证与服务接口设计
5.1概述
企业的信息化建设通常是要建设多个应用系统,多个应用系统共用一套组织机构及权 限管理子系统。组织机构中包括不同业务部门、 不同行政级别的人员,不仅组织机构非常 庞大,并且各个组织单元之间的关系错综复杂。 为方便组织机构管理工作和授权管理工作 的顺利进行,在组织机构及权限管理部分实行 “逐级授权”的策略,将组织机构及权限管 理子系统建设成为一个的 Web应用,各个行政级别的系统系统管理员都可以登录到 Web服务器上,进行组织机构和权限的管理和维护工作。
由于这是一个多应用系统,各个业务系统对权限分配的结果都有各自不同的展现方 式,为使各个应用系统能够将组织机构管理和权限分配的结果实实在在的应用到各个业务 系统中,组织机构及权限管理子系统向各个业务系统提供了统一的应用程序接口。 WEBSERVICE形式提供,为方便各个业务系统操作,接口的返回值以
接口以
XML格式为主。
各个业务系统根据权限管理子系统的返回值可以自行决定如何展现权限分配的结果。
5.2接口详细描述
统一用户及权限管理平台以 下:
WEBSERVICE形式提供对外接口,返回信息以 XML形式提供,接口如
5.2.1判断用户是否合法
类名称 OrgMa nager 函数名称 功能描述: 根据用户登录名、口令判断用户是否为合法用户 调用语法: 参数描述: 参数标识 参数名称 用户ID号 数据类型 输入/输出 输入 userID Stri ng 返回值说明:
备注:
5.2.2用户注销
类名称 OrgMa nager 函数名称 功能描述: 根据用户登录名注销登录用户 调用语法: 参数描述: 参数标识 参数名称 用户ID号 数据类型 输入/输出 输入 userID String 返回值说明: 备注: 5.2.3用户修改密码
类名称 OrgMa nager 函数名称 功能描述: 用户修登录名注销登录用户 调用语法: 参数描述: 参数标识 参数名称 用户ID号 数据类型 输入/输出 输入 userID String 返回值说明: 备注: 5.2.4获取用户登录信息
类名称 OrgMa nager 函数名称 功能描述: 根据用户登录名或用户 调用语法: ID号获取用户登录信息 参数描述: 参数标识 参数名称 用户ID号 数据类型 输入/输出 输入 userID Stri ng 返回值说明:
备注:
5.2.5获取组织机构信息
类名称 OrgMa nager 函数名称 功能描述: 根据用户登录名或用户 调用语法: ID号获取用户登录信息 参数描述: 参数标识 参数名称 用户ID号 数据类型 输入/输出 输入 userID String 返回值说明: 备注: 5.2.6获取用户完整信息
类名称 函数名称 功能描述: 根据用户ID号获取用户完整信息 OrgMa nager getUserI nfo 调用语法: Stri ng getUserl nfo (Stri ng userID) throws AppExcepti on ,RemoteExcepti on 参数描述: 参数标识 参数名称 用户ID号 数据类型 输入/输出 输入 userID String 返回值说明: 存在相应的结果信息时,返回值格式如下: <--人员标识--> xxxx<--用户姓名--> xxxx <--管理级另U --> < ownerd_unit>xxxx<--设立机构--> xxxx xxxx xxxx xxxx xxxx<--USB <--咅部门--> <--行政区戈U --> <--办公电话--> 发放状态-->
5.2.7获取用户拥有的功能模块的完整信息
类名称 函数名称 功能描述: 根据用户ID号获取用户拥有的功能模块的完整信息 调用语法: PrivilegeMa nager getModulesOfUser Stri ng getModulesOfUser (Stri ng userID) throws AppExcepti on ,RemoteExcepti on 参数描述: 参数标识 参数名称 用户ID号 数据类型 输入/输出 输入 userID String 返回值: 存在相应的结果信息时,返回值格式如下: <--应用。返回值中包含 1 个以上应用-->
