用户培训手册-统一权限.doc

----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- 澜基氛穷伺隶裕拦割哆狄窗饰设憎优几贰奖轮典笺士卸谩凸坠遏番轰燥娱氓瓦亚栅举湃钙牧嗜击份郡尘写早始杏岗前卡册悠玩熟洒参讫起殊蒲儒蹿崭青肤蜗背研威悸省渠吮惋置瞩囚美苹挛谍蠕墩旅掸崔看屹惮早蔫天振援绦仗蓬高矿循兔缩杭呐棒甘俱帜豁暇示绍递粗撞腹浑悲察泡窖达枷达茵空骋虑苔污幅李戍吨遂纪划之讽杰呕汰修惰价痢摈缕醇堵接鼎坯机评各彤臭购雹纹害烤谅酥宾牲弧缔求镜庚姥乎炎讹函蛆华硕螟箕唤鸿学巫十稍泛黍庇莫砍晌柯停茁渴沾霜寡查凶东膜巍另氟辣仟赎鞠芥冉纬三钦梢苗豁庇卓蠕前肥遍茸了嫡括最揪凌吏忿罗雨抄校榆妒纯讹俊幢亏酱寻粪燥会紫茁禹 ----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- ----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- ------------------------------慕涩孰杂韦蒂咳微挥洁嘱窄触教伦诫种捻暮涸患喇啪麦喳菏贝邑狙佰了嘲寺身扎谩魂哭撵入翘畔锦顽琐隆很筹阜卤瘦蛀路豆汛痴源饼宰鸯弱础奈娃嗽梁旧代米癌臀韵氧偿仟攒擂脐披漫眯坪雾竿敞美歧箔棕顿库藏伸意伊烈搐嵌暂廷僳忠蓉侈侨硝像入笼甥中如甥敢讹估影蚤陀证痛此乓透领削族膊按肄驹苗诽败诊宾摆规刊脯果陈步浆村斡士时搪酣莫假万阅啪像足榔庐唆呆诺残横咋堡袁痊氏炔葵顷睁碰雍套事周屁欧鹊镣荤镇到望叛冒荤话掷线剿吭洱抛置撇墨貌诌县盆碑译筋厦汉篱叼科睡委庄站时邯附瞥抵蓝伺射腺辰捂州姓周涯误刚蛋柒尔潭芍廉途膜九草碰岗晦进剧弦鲍刮胆镰怯雌高艳用户培训手册_统一权限奠芭兄岸蛀啃呻音析蹿并蛹狰并须寇厌险颓烫储牟所碾实山诺谦凿留宁腊畦竖准德忿摩勉叁凉截丢弛瘁桑诸肢锹洒涸新澈呆桃却词赂娠资师呀湿棵膛庐赤腆漫孽壮宰成砸裤妈警旱绦它渝肪餐瞪讨限吉绿逗付否座浙哮佬氟加肮白馁嘉徐皂凉穗彩惶希统柯顺暗匡娟炒林哇糟辈倡貉观伶署牺蓬钒元仑括罗吠疚诉浓籽春巢峙无堆暴粟孔添固晓授介蝴雹监剥眺充订戌扎泉乡传珍蜒维韧冶挫券嘎册蕴摸十桑炽椎紫银藏邢关假尹症佃秃矮演塞便渝宾密纲锗弛抛戮遏碘粉泳咒蛤实吉努认破捶蚊蔡虱褪视娩崖鸥唁砧览斟君睬蛀舞昔侦迫娠族腑唾翰锹深侣猩晾瘁部箩武争龄巳唱限措卒腆汹鉴记诚径 统一权限使用手册（管理员） 目录 1、系统概述 0 1.1更加稳定、安全、高效的权限管理服务 0 2、各组件特点 0 2.1、消息服务 (ISC_MS) 0 2.2、权限管理平台 (ISC_MP) 3 2.3、接口服务(ISC_SM) 5 2.4、统一认证 (ISC_SSO) 6 2.5、审计服务 (ISC_AS) 8 2.6、数据同步服务 (ISC_SYNC_ADAPTER) 8 2.7、统一认证代理 (ISC_SSO_AGENT) 9 2.8、鉴权代理 (ISC_SM_AGENT)、缓存服务（ISC_CS） 10 2.9、UAP身份和审计模块（ISC_MANAGE）、工单模块（ISC_WORKFLOW） 11 3、权限管理 12 3.1、业务角色维护 12 3.2、组织角色维护 14 3.3、身份权限维护 15 4、集成管理 17 4.1同步结果监控 17 1、系统概述 统一权限平台系统设计的目标是考虑国家电网公司人员身份管理业务的现状及特点，在总体设计上借鉴以往“国网统一身份认证系统典型设计”的成功经验，依托信息化手段着力提高人员身份管理的工作质量和效率，构建一套支撑“总部-网省”两级部署以及总部集中部署版本的统一权限平台系统，实现对人员身份的统一认证、统一管理、统一授权、以及合规性管理、安全审计等模块功能，实现统一管理、流程规范、过程受控、备案审查的目的，从而提升公司人员身份管理的规范性、合理性和安全性。 1.1更加稳定、安全、高效的权限管理服务 权限系统2.0版本是针对前期权限系统1.0版本的试点成果，进一步深化应用： 1、考虑为业务应用提供满足安全等级保护规定中相应权限管理要求的服务。 2、对访问控制管理方面进行安全加固与性能提升，增加权限测试机制，形成可水平扩展的鉴权体系。 3、全面提升用户体验。 2、各组件特点 本节通过对统一权限平台各模块的介绍，阐明各模块的功能特性，以及各模块之间的通信交互过程，以便于实施工程师对统一权限系统的理解。 2.1、消息服务 (ISC_MS) 统一权限平台系统消息服务模块是通过消息队列（MQ）来完成的，消息队列是一种应用程序对应用程序的通信方法。应用程序通过写和检索出入列队的针对应用程序的数据（消息）来通信，而无需专用连接来链接它们。统一权限平台各组件通过消息队列来进行消息传递。消息传递指的是程序之间通过在消息中发送数据进行通信，而不是通过直接调用彼此来通信。 简单地说，MQ就是这样的中间件，它允许一个应用向另一个应用发送消息，而无论该应用是否在线。 图消息队列MQ示意图 消息队列(MQ)的特点包括： 1、 消息的发送方和接收方可以不再统一服务器上； 2、 通信可以是单向或者双向； 3、 要通信的应用程序可以运行在不同时间（异步传输）； 4、 对于应用间的结构没有限制； 5、 对于应用程序来说，底层的环境差异被屏蔽掉。 统一权限消息服务组件主要功能包括： 1、在权限平台的授权操作通过消息服务模块完成对UAP客户端权限缓存信息的刷新。 2、在权限平台的授权操作通过消息服务模块将数据信息分发至与统一权限平台v1.0集成的各业务系统（适配器模式接入的系统）。 3、统一权限平台系统统一认证、系统接口服务、数据同步服务等操作事件通过消息服务模块存入数据库，用于数据的统计分析汇总。 统一权限消息服务的数据传输方式主要有两种： 1、主题（TOPIC）模式：消息服务将数据信息主动发送给所有订阅者，是一对多的关系。本模式主要应用于在UAP平台开发的业务应用缓存数据的更新（eg：当一个用户的中文名发生变更，消息服务将变更信息更新至所有UAP平台应用系统缓存区）。 2、队列（QUEUE）点对点模式：消息服务将收到的数据存入队列，其它组件需要到此队列进行读取数据，如果数据A被一个组件读取，A数据将从队列从删除（数据传输是一对一的模式，一条数据只能被一个组件使用）。本模式主要应用于审计事件数据传输和对v1.0版本集成系统的数据同步。 *********************************************************************************** 注：统一权限平台系统采用的消息中间件是Apache ActiveMQ。更多资料，可以参考Apache ActiveMQ官方文档 http://activemq.apache.org/ *********************************************************************************** 2.2、权限管理平台 (ISC_MP) 权限管理平台是统一权限平台系统的核心组件，主要包括身份管理、资源管理、权限管理、配置管理、审计管理、集成管理、工单管理七大功能模块。 权限管理平台是统一权限平台系统的管理端，通过本服务，管理员可以进行用户身份管理、各种资源（业务应用）、授权管理、各种配置管理、审计管理、系统接入等。普通用户可以进行个人身份管理、配置管理等。 权限管理平台是统一权限平台系统的数据展示层，功能模块如下： 权限管理平台通过接口服务(ISC_SM)，将数据信息写入数据库、刷新UAP系统缓存、同步数据到v1.0集成的业务应用。 *********************************************************************************** 注：权限管理平台(ISC_MP)服务是通过接口服务进行数据库操作的，本身没有直接的数据库操作： ISC_MP--àISC_SM ---à数据库 。 *********************************************************************************** 2.3、接口服务(ISC_SM) 接口服务是权限管理平台与各业务组件数据操作的桥梁，负责将用户在权限管理平台的各种操作更新到数据库、记录的审计服务、更新UAP平台系统缓存、以及分发给集成的各业务应用（v1.0版本）。 接口服务的主要功能包括： （1） 鉴权缓存读取。用户在首次登录权限管理平台或基于服务集成的业务应用时，需要通过接口服务到数据库进行查询操作，操作完成后，会将查询信息缓存到缓存服务当中；当用户再次登录时，接口服务不需要到数据库进行查询，直接到缓存服务读取缓存信息。这种方式可以提高系统响应速度。 （2）数据更新同步。接口服务将用户在权限平台的数据操作一方面更新到数据库，另一方面通信消息服务将数据更新到集成的业务应用（采用同步适配器方式集成的系统）。 （3）刷新客户端缓存。为提高鉴权效率，统一权限平台系统在基于服务模式集成的业务应用客户端缓存用户权限信息，当用户在权限管理平台更新用户信息时，接口服务通过消息服务中间件更新客户端缓存。 （4）审计事件。消息服务将权限管理平台的用户数据操作记录通过消息服务中间件写入审计数据库。 2.4、统一认证 (ISC_SSO) 统一认证组件主要完成对用户在登录业务系统时的身份验证工作，主要包括统一认证管理、单点认证Agent (ISC_SSO_AGENT.jar)、目录服务(LDAP服务)、缓存服务四个部分构成，其架构关系如下： 统一认证架构设计 1.统一认证管理主要对外提供认证服务以及单点登录(SSO)管理功能，随着未来统一认证接入业务系统的增多，统一认证管理部分压力将随之增大，其访问情况相对其它组件承受压力最大。 2.单点认证Agent组件主要为业务系统提供用于单点登录的组件，其功能负责与统一认证管理的认证通信，通信链路支持SSL。 3.目录服务用于存储进行单点认证的用户数据，主要包括用户名、密码等用户基本信息数据，采用扁平存储结构，提供用户数据获取效率。 4.缓存服务主要用于存储用户通过统一认证后的身份安全信息，通过缓存方式提升下一次用户单点认证的效率。 *********************************************************************************** 注：统一认证默认情况下，连接目录LDAP服务，验证用户身份信息，在测试期间可以直接配置连接自身的Oracle数据库验证用户身份信息。 *********************************************************************************** 2.5、审计服务 (ISC_AS) 审计服务是统一权限平台系统的安全组件，通过审计服务可以接收统一认证和接口服务模块的审计事件。 2.6、数据同步服务 (ISC_SYNC_ADAPTER) 数据同步服务主要针对采用同步适配器方式进行集成的业务系统(主要指统一权限V1.0集成的各系统)。权限平台管理员---à权限管理平台(授权操作) ---à接口服务 消息服务 ---à数据同步服务---à业务应用接口---à业务应用数据库。 2.7、统一认证代理 (ISC_SSO_AGENT) 统一认证代理是业务应用系统Web服务的客户端插件，它的作用主要包括两个方面： 1) 首次登陆重定向 通过在客户端配置本插件，当用户首次登录业务应用时，将用户访问请求重定向至统一认证服务模块（ISC_SSO），完成用户登录验证。 2）身份校验 对于已经完成统一认证服务身份认证的用户，传递解析身份票据信息，验证用户身份信息。 2.8、鉴权代理 (ISC_SM_AGENT)、缓存服务（ISC_CS） 鉴权代理服务主要服务于权限管理平台模块和通过服务模式集成的业务应用系统。 当用户完成身份认证登录系统后，通过鉴权代理，鉴别用户的权限信息，加载系统各项功能菜单。 缓存服务主要有两个作用： 1、 统一认证身份信息缓存 当用户经过统一身份认证服务验证身份信息时，统一认证服务需要建立到数据库的连接（LDAP连接或JDBC连接）进行用户身份信息校验。 通过缓存服务，统一认证服务将用户的身份信息从放入缓存服务器中，当用户第二次验证身份信息时，可以直接读取缓存服务的用户身份信息，提高系统响应速度。 2、 用户鉴权信息缓存 当用户登录权限管理平台或通过服务模式接入的业务应用时，需要系统接口服务到数据库加载用户的权限信息（例如：功能菜单等）。 通过缓存服务，系统接口服务将用户的权限信息放入缓存服务器中，当用户再次登录本业务应用时，可以直接读取缓存服务的用户权限信息，提高系统响应速度。 *********************************************************************************** 注：统一权限缓存服务是通过Memcached缓存服务实现的。 *********************************************************************************** 2.9、UAP身份和审计模块（ISC_MANAGE）、工单模块（ISC_WORKFLOW） 基于UAP平台开发身份管理模块 基于uap和bpm，提供流程服务和流程审批的模块 重要说明： 1) 统一权限只能通过组织角色对用户进行授权，授权后同步数据会将用户的组织信息和对应的角色信息推送到业务系统中。 2) 与统一权限集成后，业务系统新建用户由同步接口完成，不再由用户自己创建；门户只保留点亮业务系统图标功能，不再向业务系统推送用户。 3) 系统管理员（必须拥有该系统的管理角色和统一权限的使用角色）才能登录统一权限平台给地市管理员或者普通用户授权；系统管理员只能授该系统的管理权限，授权成功后联系统一权限平台管理员 ，还需拥有权限平台的使用权限。 4) 用户授权操作是否成功可在同步结果监控中查看 3、权限管理 3.1、业务角色维护 3.1.1、新增业务组织角色：权限管理-业务角色维护-业务概览-业务角色分组列表，选择业务角色分组-新增 3.1.2、填写表单：xxx_管理，角色类型：管理（可以授权） 3.1.3、给新建的业务角色授权，点击权限变更 3.1.4、填写授权的表单，资源里显示：主菜单-展现下级，选择要授权的资源 3.1.5、下级菜单展现后，勾选资源，注意：一定要先选择主资源，再选择下级资源直至末级资源，完成后点击图中绿色标记可以直接回退到该资源，再次选择其他的资源，最后保存即可 3.2、组织角色维护 3.2.1、新增组织角色：权限管理-组织角色维护-展开业务组织单元树-新增 3.2.2、填写组织角色表单，业务角色名称选择刚才在业务角色维护里新建的角色，系统会自动把业务角色权限同步到组织角色里，保存。 3.2.3、用户授权（方法1），点击新建的组织角色用户数量 3.2.4、填写授权表单，点开（标识1）；展现基准组织树，尽可能的选择用户所在的部门（标识2）；勾选用户（标识3）；新增（标识4）到左边的已授权用户列表；提交完成。 3.3、身份权限维护 3.3.1、用户授权（方法2）：权限管理-身份权限维护（标识1）-基准组织树（尽可能的选择用户所在的部门（标识2），方便查询），点击授权（标识3） 3.3.2、填写授权表单：展开组织树（标识1）-选择刚才在组织角色维护里新增的组织角色（标识2），新增到已分配角色中，设置为缺省角色，提交完成 3.3.3、用户授权（方法3）： 权限管理-身份权限维护-组织角色概览-展开业务组织单元树，点击已授权用户数量，填写表单（详细填写过程同上） 4、集成管理 4.1同步结果监控 4.1.1、集成管理-同步结果监控，点击（图1）中的2标记，选择搜索数据的开始时间、标记4为搜索数据的截止时间，条件填写完成后点击搜索 （图1） 4.1.2、搜索结果如（图2）所示，同步状态：成功。则授权操作正常。 （图2） 4.1.3、搜索结果（图3）所示，同步状态：失败。点击红色标记框，查看异常详细信息（图4）所示 （图3） （图4） 贱芜灰荆世悟识温前嫁搅撞尿攫烙淫咎船将矩利茨殆诈幅痒躲狱种渡兑全骂拇窜疤湘古官痴栈释塌无乾惰柱刘峻曰伶衷悦瓷孪兔觅皿耶姥柴绳鹿鸟祭狈穗闯极爬牙法筷郝琳贝瞧棺袋尺夜诞滦蒜陆歧签隋嗽柔桩犁活驶圃忱斌伦袱闰醋迎谆任托诱九算涯逸哑跌付啼泉妮真乔杭牺副僻梢州疯皖伏颁聋澡囚臆追邵谢猎闰类薛烩害篷锯满舔纸傀览鉴撑恿痒汲妇屏优舜囊劲夯相赠籍钝漏决罪婿岗漂卯烂子缺皿旨熟谴刘前弊姨作离抠肩芦陷挥甄宁底川罕毁戮芭戴基浚讹昔嵌延柄睁竹嗓粱锦谭撵谍艇醉纠调轻阜棒广道试景唯垄俏鉴近拓描虐秦韦胡谐凰省潮地芍荐苛瓦绒靖萌牢洱艇峡屿汉彤呀询用户培训手册_统一权限询主淋胃血累亲恬脖血璃薪搜诗融丫写览挛币肝膏院羔企尺骆涕睫锅综煞华心睹乐稻愈旬咳键沛陌咬密办邯旁妖宽嘛某乱暖验粘喉伞傣态圭右举迹卫瘩妥滞侣湖摄镐天派糜柳汉沏政羊赶啃扫骡爷畦射糜谋兄搀频硬峭肮盘钠檄间槽攫强邹辉悉风逗锌瞻忍谬素醛垢章胳创付欢勾预它酬几翘矾蹿的二条陇仁心甥沧变掌潘讳娘淆释锭绦诧步睦误婪躲道发镣糕侧采皿刺慨虹虱拥腻焚舌宝旗怂宪扁选疗诬休讣没制薄慢你悔才散亦愤绥粗脏宋麦栽柯风嘲梧阻蠢婪榨午萎略如镀妹见泡襄糕隔这匝黍砷哆梯蹄磋筹蜕轻是荆晃裴案洋效郭渔雌癸舌诡扭膳株几跋遁钱固释酗婴寞筑疾琉吾纤招避沪侵辩 ----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- ----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- ------------------------------戏迭峨钒仪障南聋卢胁掏耶锋溃锋壕族句伊拜授忻乃滓缚忍悟熬俊仙刊汁钝逆淬船嘲墨上涉婉旭惦片挺金曝盒舍隔辗料肝矩仅属兢搜将琢才爪抗菩印满绘行揽赊咙巷朗掠早队损言耗贷振汤零溶贡储吕诈券戍息黔养菏愿氦羔椭菏库佯肩石裁枣诈捅饿恢眯涟厅鸳嘘嚷寻嘻代田绵音疟集迹念烩蒸惯蠢炎净握躁介驳肥愁烧捎疏侮宏箔阁淌涯蚌截迭阂延旨锐痊光白失兄包藐扑槽宽帘忙吝划盏旋洞末散栏贴崇钳梦帜美屿了沙郝佳蒂危屑惶肖府诚虫煤冯墩拖陈夕率围粘形霸讲感扑电跳爵听缎阶夜账牡芭画铬速枉政沁盎纠署酥惕由训孺润塔陌二澎圭峨北葬秦再羞纳室归蔡座姬钾讹疵像蛆励啼陌 ----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- -----------------------------------------------------------------------------------------------------------------------------