统一身份管理系统单点登录和身份同步接入规范.doc

国网统一身份管理系统单点登录和身份同步接入规范 项目名称 <国网统一身份管理系统> 文档类别 <接口规范> 文档编号 <> 版 本 <> 密 级 <> 二〇二三年三月十八日 目 录 一、国网统一身份管理系统介绍 3 1.1 系统概述 3 1.2 单点登录流程 4 1.3 单点登录接入方式 5 二、国网应用系统单点登录集成 6 2.1国网应用系统集成分类 6 2.2应用系统权限管理模式 7 2.3单点登录集成规定 9 2.4 单点登录集成流程 12 三、身份同步规范 15 3.1用户身份数据流 15 3.2帐号管理流程 16 3.2.1帐号创建流程 16 3.2.2帐号更新流程 16 3.2.3帐号删除/禁用流程 16 3.3帐号的身份同步 17 3.4数据库改造 17 一、国网统一身份管理系统介绍 1.1 系统概述 由上图可见国家电网统一身份管理系统由单点登录和目录管理两部分构成。其中单点登录采用的是Novell的单点登录产品Access Manager，其单点登录通过Access Manager访问网关、单点登录认证管理模块、认证目录三部分协作实现。统一身份管理系统中的目录包含三类：认证目录、资源目录和身份目录。 认证目录是专用于Novell Access Manager做用户认证使用的目录，目录中包含所有登录总部门户的用户。用户核心属性是用户名、密码以及单点登录到应用系统的帐号和密码。 资源目录是国网总部部门数据以及应用权限数据的权威数据源。在该目录下管理用户所属的组织机构信息、各应用系统的信息、各应用系统的分组角色信息等。组织机构信息、应用系统信息、分组角色信息等可供各应用系统认证管理模块做权限管理。资源目录中的用户核心属性是用户名、OU。 身份目录是国网用户的权威数据源。所有国网总部的用户都从身份目录中开始创建、修改、删除。该目录下的用户具有最全面的用户信息，它实时向认证目录和资源目录中同步用户信息。 1.2 单点登录流程 对于Novell Access Manager产品实现的应用系统单点登录，其流程如下： 1、用户访问某个应用系统的单点登录url； 2、Novell访问网关截获该访问请求，展示统一的单点登录页面； 3、用户在统一的单点登录页面中输入统一的认证用户名和密码（即在认证目录中的用户名和密码）； 4、单点登录认证管理模块获取用户的录入信息，并与认证目录中的用户名和密码进行匹配验证，假如验证失败则返回：用户登录失败； 5、验证通过后，单点登录认证管理模块将用户请求的应用系统url与内部的访问控制管理策略匹配，假如发现用户排除在允许访问的策略之外则返回：用户对指定资源的访问遭到拒绝； 6、用户验证通过后，同时也被内部策略允许访问指定的资源，则单点登录认证管理模块从该用户的映射信息中提取出当前用户在指定应用系统的认证信息，提交给应用系统的认证管理模块； 7、应用系统的认证管理模块验证接受到的用户映射信息，不通过则返回给单点登录认证管理模块，然后由单点登录认证管理模块自动删除认证目录中记录的错误映射信息，并规定用户填写对的的映射信息； 8、应用系统的认证管理模块验证用户映射信息通过，则向用户展示已登录信息，表达用户通过统一的认证入口单点登录到指定的应用系统中； 9、假如用户在已登录的应用系统中链接访问其他应用系统，由于用户已经通过统一的认证入口，因此用户对其他应用系统的访问将依照第5步开始单点登录到任意授权访问的应用系统中。 由以上过程可知，单点登录过程要跨越两个认证过程：统一的认证入口和应用系统的认证管理模块。在认证完毕后，有两处可以控制用户的访问权限，分别是通过统一认证管理模块和应用系统认证管理模块来控制，其中应用系统认证管理模块可以进一步使用分组和角色的方式来管理用户的访问权限。统一认证管理模块只能在访问控制策略中根据认证目录中的用户属性来控制哪些用户被允许或者被拒绝访问哪些Web资源（即应用系统url集合）。 1.3 单点登录接入方式 根据Novell单点登录产品的特性，目前支持两种方式的单点登录接入方式：FormFill自动填表方式和身份注入。这两种方式都可以实现在统一认证完毕后，把特定信息（用户LDAP属性信息或者与应用系统用户的映射信息）传递给应用系统自身的认证模块来实现单点登录。 1.3.1 FormFill自动填表 通过表单进行登录的应用系统在登录时均有一个登录页面，可以对该登录页面上需要提交的表单项设立自动填表策略。 例如，在某个登录页面中，用于实现登录的表单的名称为：login，需要提交的用于表达用户名的变量名为：username,用于表达用户密码的变量名为password,那么填表策略就可以设立如下： 表单名称：login 提交的内容： 变量名称：username; 类型：text 变量名称：password; 类型：password 是否自动提交：是 　　该策略工作的方式：当用户访问到该页面时，假如该用户有权限访问该页面（由AM的保护资源设立决定），该策略一方面拟定该页面是否存在login这个表单，假如存在，就将策略里面定义的username,password填写到login表单相应项中（由AM的FormFill策略决定），并模拟用户自动提交表单。 应用系统接受到登录页面提交的用户信息后，应用系统认证模块验证用户名和密码，通过后返回登录成功的页面。也就是说，应用系统使用自身的认证模块来认证用户，AM实现单点登录的方式是模拟用户填写表单并提交。 统一认证系统只负责判断用户是否允许访问资源以及传递后台应用系统所需要的信息。 1.3.2 身份注入 除了通过表单提交来登录，此外一种比较常见的登录认证方式就是基本认证，简称基本认证。 　　该认证的自动登录可以使用身份注入策略实现。身份注入策略默认支持基本认证的方式。可以通过在认证目录中获取当前用户的属性信息，并自动将用户属性添加到基本认证头信息里面以实现与应用系统的交互。假如该用户合法，基本认证通过，用户就被允许登录应用系统。 　　同时，身份注入策略也可以提交自定义的头信息。也就是说假如应用系统需要其它用户信息也包含在头信息里面，可以通过身份注入策略自定义头信息来匹配应用系统所需要的其它信息。进一步方便了应用系统同统一认证系统的集成。 例如，一个应用，使用基本认证，同时它还需要在头信息里面传递用户的邮箱信息，身份注入策略可以如下定义： 使用身份注入策略方式：基本认证＋用户自定义头信息 基本认证：传递用户名和密码 用户自定义头信息：传递用户邮箱信息 通过该策略，当用户访问该登录页面时，身份注入策略将自动获取该用户的用户名和密码以及用户的邮箱传递给后台应用，通过基本协议实现自动登录应用系统。 二、国网应用系统单点登录集成 2.1国网应用系统集成分类 目前在国网统一身份管理系统中参与单点登录集成的应用系统可以分为如下四类： 1、应用系统认证模块（不涉及CA认证）可直接指向LDAP目录系统。 某些应用系统使用产品（例如Bea的门户产品）管理应用系统的认证和授权，而这些产品也许支持把用户认证直接指向LDAP目录。对于此种类型的应用系统，可以把用户认证直接指向总部的认证目录，用户的存储和管理由总部目录来统一实现。 目前国网总部的门户即是采用该种方式完毕门户系统的认证。 2、应用系统认证模块（不涉及CA认证）不可直接指向目录系统，但是应用系统的用户管理系统待建。 应用系统的用户管理系统待建，即应用系统还没有建设好自身的用户管理系统。对于此类型的应用系统，强烈推荐用户命名遵循国网总部认证目录命名规范。按照此规定建设的应用系统，在实现单点登录集成时，可直接通过用户名与总部的用户建立关联。应用系统的用户与总部目录的用户采用一致的命名规范，将来做一体化建设时应用系统的改造工作量最小化，用户体验感最佳。 3、应用系统认证模块（不涉及CA认证）已经建成，应用系统用户与国网总部目录中的用户不存在直接关联关系。 对于绝大多数已建系统，都属于此类型的应用系统。单点登录时必须初次激活方式建立总部认证目录用户与应用系统中用户的映射关系，该映射存储在认证目录用户的特定属性中。 4、应用系统采用或者拟采用CA认证。 在国网统一身份管理系统中，用户单点登录时一方面需要通过统一的认证入口。目前统一认证入口正在建设CA认证，使单点登录认证模块接受CA认证。因此，对于应用系统自身已有的CA认证，建议更改整个应用系统的架构。改建后的应用系统应不包含CA认证。假如要保证应用系统与单点登录认证模块之间的通信安全，可以采用SSL加密传输。 单点登录认证模块已支持CA认证的情况下，假如应用系统保持自己的CA认证，则需要将应用系统中用户的私钥信息保存在总部认证目录中。这样做将存在严重的安全隐患： （1）只要是有权查看这些私钥的用户（比如管理员）均可以将这些私钥挪做它用，比如重新签发证书，伪造档案等等，这对用户来说是非常不安全的做法。 （2）假如都将用户的私钥存储在统一认证系统中，将会导致统一认证系统中的证书十分难以管理，特别是对于一个用户比较多的系统来说，将会严重影响整个系统的执行效率。 2.2应用系统权限管理模式 以上是根据单点登录方式的应用系统分类。应用系统单点登录成功后，还要进一步确认已登录用户的访问控制信息（即用户授权）。以下是分别相应以上四类应用系统可采用的授权方式： 1、应用系统认证模块（不涉及CA认证）可直接指向LDAP目录系统 这类应用系统的访问控制，直接由总部资源目录来控制。在总部资源目录相应的分支下存储应用系统的相关信息以及应用系统的角色分组信息。角色分组依照用户的属性和用户的组织机构信息设定。当用户通过认证后，应用系统按照如下环节实行访问控制： （1）应用系统认证管理模块访问总部资源目录，根据已认证的用户ID获取其角色和分组信息； （2）应用系统根据角色和分组信息实行应用系统资源的访问控制。 2、应用系统认证模块（不涉及CA认证）不可直接指向目录系统，但是应用系统的用户管理系统待建。 这类应用系统的访问控制，完全由应用系统自身来控制。实现过程如下： （1）应用系统的用户管理模块从总部身份目录同步用户信息到本地，保证用户的一致性； （2）应用系统为本地用户设定组和角色信息来控制用户的访问； （3）当通过统一认证的用户访问应用系统时，应用系统根据认证用户ID到本地用户中查找相同ID用户的组和角色信息，实行本地资源的访问控制。 3、应用系统认证模块（不涉及CA认证）已经建成，应用系统用户与国网总部目录中的用户不存在直接关联关系。 这类应用系统的访问控制，同样完全由应用系统自身来控制，但是环节更为复杂，实现过程如下： （1）应用系统的用户管理模块从总部身份目录同步用户到本地，由应用系统管理员建立总部用户与应用系统用户之间的关联关系； （2）应用系统为应用系统用户设定组和角色信息来控制用户的访问； （3）当通过统一认证的用户访问应用系统时，应用系统根据认证用户ID到关联表中查找在应用系统中的相应用户； （4）应用系统根据找到的相应用户来确认当前认证用户的组和角色信息，实行本地资源的访问控制。 4、应用系统采用或者拟采用CA认证。 如前所述，采用CA认证的应用系统需要通过系统框架改造才干接入统一身份管理系统。在改造完毕后，应用系统的框架将是以上三类中的一种，因此访问控制也将遵循相应的规则，因此不再反复介绍。 2.3单点登录集成规定 通过Novell单点登录产品可以相应用系统提供统一认证接口，也可以方便地与应用系统进行集成。同时，为了支持在多种情况下相应用系统进行集成，Novell单点登录产品还提供了多种方式相应用系统的登录环境进行支持，以提供对有特殊需求的应用系统的支持。 在应用系统中部署Novell单点登录产品后，部分应用系统现有的认证方式以及部分安全措施有也许导致和它集成比较困难。为了提供相应用系统比较通用的支持，同时，为了简化访问控制，以及便于监控和跟踪统一认证系统的事件，应用系统需要满足以下条件。 对于新建应用系统，必须严格遵循本接口规范的规定，以便规范和统一管理。 2.3.1 新建应用系统的集成规定 新建应用系统必须满足如下集成规定： （1）新建应用系统不须自行认证 新建应用系统必须接受从认证系统传递的用户名及其它必要的认证信息，传递方式可通过HTTP Header或Form Fill （2）新建应用系统进行自身内部功能模块的用户权限分派 根据不同的业务需要，各应用系统内部的角色与权限分派会有相称大的差异，现阶段还不便于统一、集中管理。由各应用系统自身的授权模块，来进行内部的用户权限分派。 （3）新建应用系统应保存退出功能（用于终止应用系统用户会话） 用户退出应用系统时，需要终止应用系统的用户会话，以节约与回收资源。这就需要新建应用系统仍保存用户退出功能。 以上新建系统的三点集成规定，目的是为了使新建的应用系统成为第一类应用系统，即直接使用国网认证目录作为认证来源的应用系统。 2.3.2 FormFill方式接入集成规定 　当应用系统采用FormFill自动填表来实现单点登录时，必须满足如下集成规定： （1）登录表单页面尽量少用Javascript 在对登录页面采用Form Fill方式传递用户名和密码时，登录页面中尽也许少用Javascript。 AM提供了对页面中的Javascript动态执行的能力，即它可以动态的执行登录页面中的Javascript，并将执行的结果返回到需要提交的页面中，在登录的时候进行提交。 假如一个页面中在提交的时候需要执行大量的Javascript，或者Javascript比较复杂的时候，AM需要花费一定的系统事件以及系统资源来动态执行页面中的JavaScript，将在一定限度上加重AM的负载。AM自身就既要管理用户访问，同时还要进行页面缓存以及反向代理功能，负载已经较大，在可以减少其负载的情况下应当尽量减少其负载，以使得整个统一认证系统的执行效率保持在一个比较良好的状态。 （2）登录表单域的变量名必须是静态值 登录表单域（无论是显式定义的，还是隐藏变量）的变量名必须是静态的，也就是不能通过后台生成。 AM中，在对需要提交的表单中有一个对表单进行自动提交的策略，策略里面预先定义了需要提交的变量以及提交的方式。通过该策略，可以很方便的将当前页面上的内容进行自动提交。 由于策略里面需要预先定义提交的变量，也就说明，这些变量的名称应当是不变的，这样才干保证策略里面定义的变量可以唯一并且对的的相应到提交页面上的某个变量。 假如提交的变量的名称是自动变更的，或者是由后台动态生成的，在使用策略进行提交的时候，很有也许导致提交的变量不完整，或者提交的变量与系统所需的变量内容不相应。这种情况下，将严重影响AM和应用系统的集成。 （3）登录表单域的值不能动态创建 登录页面中，不使用由后台页面动态生成的参数，例如随机数，验证码，用于简化访问控制。和上面一点同样，AM中最佳不要涉及由后台动态生成的随机的，或者其它无法拟定其内容的变量。 其中，随机数和验证码只是为了保证应用系统的基本安全，和用户自身无关，这种情况下，AM的策略里面是无法找到与其相相应的属性进行提交。举例来说，验证码重要是为了防止恶意提交或者恶意刷新。但是其动态生成的内容是通过图片显示出来，并不能直接通过读取页面的编码内容来获得其具体的值，这种情况下，AM是无法获取到这个验证码的内容，当然也就无法提交该内容。也就是说，AM中提交的信息只需要可以直接从页面代码中直接获取并且有固定的值，其它随机生成的内容需要舍弃。 同时，验证码之类随机产生的信息重要是为了保证应用系统的安全，但是在目前的系统环境中，应用系统都是位于AM以及硬件防火墙之后，安全保证已经比较完善。这种防止恶意提交以及刷新在AM端已经可以阻断，后台应用系统没有必要再对这一部分做更多的操作。 （4）应用系统应提供登录表单的资源绝对URL 对于需要执行登录策略的资源，应当可以定位到具体的页面或者资源。登录策略需要绑定到某个具体的页面或者资源上才干执行，假如资源不拟定，或者是通过动态生成，并且名称会变动，将导致登录策略无法执行。 （5）应用系统登录/登录犯错/退出功能应使用不同的URL 　　在AM中，可设立对哪些具体的资源使用填表或者身份注入策略。这些策略可以在当用户访问到这些页面的时候自动执行以实现自动登录。 由于需要对登录页面设立自动登录的策略，也就是当用户访问到登录页面的时候，AM通过事先对该页面设立的策略，自动将该页面所需要的内容进行提交，用户就不用手工输入这些信息并进行登录。但是，假如将登出的页面和登录的页面设立为同一页面，当用户在登出系统后，页面又转回登录页面，当转回登录页面时，由于在AM中有对该页面的自动登录策略，该用户又会被该策略自动的登录进应用系统。这种情况下用户将不能登出系统。同样，假如将登录犯错页面和登录的页面设立为同一页面，当用户在登录系统失败后，页面又转回登录页面，当转回登录页面时，由于在AM中有对该页面的自动登录策略，该用户又会被该策略自动填表登录应用系统，导致死循环。 在AM中，可以通过判断一个具体的页面中某个表单的名字来区别不同的表单以实现在同一页面区别不同的操作。也可以辨认某个表单里面是否具有一个固定的字符串来拟定唯一的符合条件的表单。通过这两种方式，也可以解决上述问题。但是假如使用这两种方式，AM会在每次访问该页面时对整个页面进行解决，这样会严重减少AM的解决能力以及速度。所以，不推荐使用这两种方法来解决以上问题。最佳是将登录、登录犯错以及登出的页面区别开来。 （6）登录应用系统用户名为空时，不要弹出“用户名为空”对话框 有些应用系统在用户名或密码输错时会转入登录失败界面，但用户名为空则会弹出“用户名为空”对话框，这会使在单点登录时无法继续下去，应用系统应做相应改造，使用户名为空时也转入登录失败页面。 2.3.3 身份注入方式集成规定 当应用系统采用身份注入方式来实现单点登录时需满足一下规定： （1）应用系统应尽量避免在Header中需要密码 由于在Header中传递密码是非常危险的操作。假如应用系统规定必须要有密码信息，则必须建立应用系统与AM网关之间的SSL加密通道。 （2）应用系统使用Header中的信息来认证时需要的Header信息必须是国网总部认证目录中用户已有的属性或者由这些属性衍生的角色信息或者常量信息 目前国网认证目录中包含的用户属性有：用户在LDAP目录中的基本属性和密码、用户的部门信息、用户与各个应用系统用户的映射信息（映射的用户名和密码）。 假如应用系统需要根据用户的以上信息拟定角色并在Header头部中获取相应的角色信息，则需要由应用系统具体罗列这方面需求。 假如应用系统的Header认证还包含传递某些常量信息，同样需要在做单点登录前列出需求。 假如应用系统采用Header认证时，需要的信息包含在以上三类信息之外，则必须改造Header认证方式，使认证需求控制在以上三种范围内。 2.4 单点登录集成流程 1、应用系统单点登录改造。 改造的工作量决定于应用系统采用的单点登录接入方式以及应用系统采用的认证管理模式。 （1）假如应用系统是B/S结构，并且采用FormFill表单进行认证，则需要改造登录页面使之满足2.3.2节中的页面需求。假如是建设的新系统，还需要满足2.3.1中的建设需求。 （2）假如应用系统是B/S结构，并且采用身份注入方式进行认证，则需要保证Header认证信息的需求在2.3.3指明的范围内，并做相应的材料提供。 （3）假如应用系统按照2.3.1或者2.3.2改造困难，可以考虑在集成时采用2.3.2节中最后部分介绍的方式，改造登录、登出和登错页面，使页面包具有固定特殊字符，然后由AM产品遍历查找方式来匹配页面。这是非常影响单点登录效率的一种改造方案，需谨慎使用。 应用系统改造完毕后，需与单点登录集成方确认改造后的系统是可被集成的。 2、认证需求确认 在应用系统改造完毕后，应用系统根据自身认证方式提供《应用系统认证说明文档》。该文档指明应用系统独立运营时的访问控制流程、用户管理方式、权限管理方式，并指明应用系统拟采用的单点登录接入方式。 假如是采用FormFill方式接入，则提供登录、登出、登错页面的静态url地址以及登录页面中需提交的Form表单名称、表单项名称列表、表单项取值范围。 假如是采用Header方式接入，则提供在Header中应包含的项的名称以及取值特点，假如Header中需要传递用户的角色信息还需要提供角色名称列表以及角色定义规范。 3、设计应用系统单点登录集成后的权限管理方式，交由应用系统确认并做相应改造 （1）假如应用系统的认证信息直接指向总部认证目录并且拟采用FormFill方式接入，则需要在总部资源目录中建立该应用系统的相关组、角色信息管理机制。同时，应用系统需按照以下方式改造访问控制流程：应用系统单点登录时，到总部认证目录中匹配用户名和密码；应用系统权限管理时，到总部资源目录中获取用户的角色和分组信息，然后根据角色分组信息实行访问控制。假如应用系统要改变分组或者角色，需同步修改总部资源目录中的应用系统信息。 （2）假如应用系统的认证信息信息直接指向总部认证目录并且拟采用Header注入方式接入，则需要在AM中预配置应用系统的角色机制。同时，应用系统需按照以下方式改造访问控制流程：应用系统单点登录时，接受总部认证目录中用户的属性信息注入；应用系统权限管理时，接受Header中传递的用户角色，然后根据角色分组信息实行访问控制。假如应用系统修改角色，需同步修改AM中的角色配置策略。 （3）假如应用系统的认证信息存储在本地且用户命名遵循国网总部目录用户命名规范，则应用系统的权限由应用系统自身来管理和控制，流程遵照2.2节中第二类应用系统权限管理模式。 （4）假如应用系统的认证信息存储在本地且用户命名不遵照国网总部目录用户命名规范，应用系统的权限同样由应用系统自身来管理和控制，流程遵照2.3节中第三类应用系统权限管理模式。 4、确认与总部门户集成时的单点登录访问控制模式 由于某些应用系统只允许国网总部认证目录中的部分用户（某些部门分支下或者属性具有特定值的用户）访问，因此在单点登录集成后必须在总部门户上为应用系统的这种需求设立单点登录访问控制管理。 国网总部与应用系统共同确立总部认证目录中被允许从总部门户单点登录到应用系统的用户列表以及允许规则（即被允许的用户具有的特性），生成《从门户单点登录到应用系统访问控制说明文档》。 单点登录集成方根据该文档协调总部门户选择以下两种方式中的一种实现从门户单点登录应用系统时的访问控制管理： （1）总部资源目录管理建立门户应用分支，并在门户下按照单点登录的应用系统建立分组。各个应用系统允许访问的用户相应添加到分组中。当用户通过统一认证后进入门户时，门户系统访问总部资源目录中门户应用分支下的分组信息，确认当前用户具有的应用系统访问url列表，并在门户界面上显示。 该方式的特点是用户的单点登录权限在总部资源目录中统一设定，符合一体化平台建设方针。同时，分组也可以改成按照角色来分派，可批量设立用户的权限。 （2）门户的授权系统同步认证目录中的所有用户到本地，为每个用户单独设立在门户中可见的功能模块，这些功能模块中就包含被允许访问的单点登录应用系统。 该方式的特点是用户的单点登录权限由门户管理员来分派。用户必须从身份目录同步到门户系统，然后由门户的管理员为用户设定可访问的单点登录应用系统列表。 5、单点登录配置 单点登录集成方根据《应用系统认证说明文档》设计在AM上配置单点登录的策略，并向国网总部以及应用系统方提供《应用系统单点登录集成实行方案》。各方确认后按照最终实行方案实行单点登录配置，使应用系统的资源成为AM的保护资源。 6、应用系统单点登录后期改造 在AM中为应用系统配置了单点登录后，需要应用系统根据配置的保护资源参数改造应用系统的登出逻辑。目前登录有两种需求： （1）总部门户系统登出。该种情况下，当用户点击登出时，需要关闭统一认证代理上的会话。使用户退出单点登录系统，即到其他应用系统的会话也同时断开。 采用关闭代理睬话方式登出时，需要在登出时调用AM的登出命令完毕。 （2）其他应用系统的登出。该种情况下，当用户点击登出时，需要关闭当前打开的应用系统窗口。而位于统一认证代理上的会话将继续保持，直到用户通过总部门户登出。在总部门户未登出的情况下，用户可随时重新登录到应用系统中而无需再次认证。 采用关闭窗口方式登出时，需要使应用系统登出时仅关闭当前窗口（不允许回到应用系统的登录页面，否则会重新单点登录导致一直保持进入系统的状态）。 三、身份同步规范 身份同步指通过目录系统，将应用系统与公司门户的用户信息进行同步，使用户在登录公司门户系统后，修改用户信息（如密码等）后，目录系统将用户修改信息同步到应用系统应中，用户不需要在应用系统中再次修改密码，就可以通过身份认证，实现单点登录。 3.1用户身份数据流 如图3-1所示，身份目录与应用系统数据库是单向同步关系，身份管理系统通过同步通道（目录至数据库）将身份目录中的用户帐号、中文全名、状态、密码、禁用标志等属性同步到应用系统。 图3-1 身份目录与应用系统用户身份同步数据流 需要应用系统方提供如下形式的数据库信息，说明具体需要同步的属性对照值 目录属性 中间表字段 应用系统 （用户表） 字段类型及大小 描述 sgccAppAccount ACCOUNT USER_ID VARCHAR2(30) 用户登录名 nspmDistributionPassword PASSWORD PASSWORD VARCHAR2(128) 用户密码 sgccAppLoginEnable APPCLOGINENABLE ACCOUNT_STATUS NUMBER(1) 针相应用系统登录权限 Login Disabled LOGINDISABLED ACCOUNT_STATUS NUMBER(1) 针对整个目录系统登录权限 Full Name USERNAME USER_NAME VARCHAR2(30) 用户名字 …… …… …… …… …… 3.2帐号管理流程 身份管理系统建成后，应用系统中用户创建、同步信息的更新、帐号的删除/禁用都由身份目录中用户身份数据的变化决定，由身份管理系统将数据的变化同步到中间表中，再通过同步触发器同步到应用系统内部用户表及相关表中，再由应用系统管理员对此用户进行相应授权等操作，即做了身份同步以后，应用系统帐号的增删改由门户管理员来操作，而对用户的授权由应用系统管理员来完毕。 3.2.1帐号创建流程 应用系统应取消或严禁使用新帐号创建功能，用户身份在身份目录中被创建后，当用户被授予使用应用系统的权限后，身份管理系统自动在中间表中创建与该用户相应的用户身份记录，再由同步触发器在应用系统的内部用户及相关表中创建用户帐号。 3.2.2帐号更新流程 应用系统可以取消或严禁使用对用户帐号、密码、电子邮件等帐号信息的更新功能，用户在目录中与这些信息相应的属性更新时，身份管理系统自动将信息的变化同步到中加表中，再由同步触发器在应用系统的内部用户及相关表中更新用户帐号信息。 3.2.3帐号删除/禁用流程 应用系统应取消或严禁使用帐号禁用功能，当用户身份在身份目录中被禁用或用户使用应用系统的权限被严禁后，身份管理系统自动在中间表中更新该用户的禁用标志字段为真，再由同步触发器在应用系统的内部用户及相关表中禁用帐号。当目录系统将用户删除后，中间表中的该用户帐号信息也会被删除，再通过触发器触发到用户表中，然后将用户表中该用户信息删除。 3.3帐号的身份同步 身份同步可以有如下几种方式，具体采用哪一种方式需要根据应用系统具体情况进行进一步沟通后拟定 a) 应用系统的帐号由门户帐号创建时自动生成与门户帐号相同的帐号 如用户在门户的帐号为zhangsan，则在门户上创建帐号时，自动为此用户在应用系统中创建帐号zhangsan b) 应用系统的帐号由门户帐号创建时自动生成应用系统的帐号，但与门户帐号不同 如系统在门户的帐号为zhangsan，则在门户上创建帐号时，自动为此用户在应用系统中创建帐号app_zhangsan c) 应用系统的帐号在门户帐号创建后，手动输入其在应用系统中的帐号 如系统在门户的帐号为zhangsan，则可以在此用户的门户帐号创建时或需要为此门户用户开通应用系统帐号时，为此用户创建其在应用系统中的帐号，帐号可认为zhangsan，sanzhang，也可认为其他标记 一般情况下，a和b两种情况合用于新上线的系统，c合用于已经在上线运营的系统。 3.4数据库改造 应用系统需在数据库上添加中间表，同时添加同步触发器，在目录系统上配置好目录和数据库的驱动后，在目录中对用户进行操作时，中间表用户数据会同步变化，同时触发器被触发，进而相应用系统的“内部用户表”等相关业务表进行相应操作。