序号

指标项

指标要求

1.  

总体要求

实现身份数据的统一存储、统一管理，实现全校各类应用的单点登陆，以及各类访问与操作安全审计。同时，还须提供便利的工具，便于系统的维护和管理。

2.

身份认证服务

*提供平台的身份认证基础服务，实现SSO单点登录功能。包括对用户身份的识别验证和对用户单点登录会话的管理和维护。支持用户登录后在不同系统之间漫游而不需要再次输入密码。平台应支持B/S模式的单点登录以及基于C/S结构下的账户统一认证，包括，Java、.Net、PHP等。平台需能同时支持学校移动应用客户端的统一身份认证集成，需能支持短信动态验证码的验证方式。需提供密码变动短信通知功能。对安全级别要求较高的系统，需提供特殊系统二次登录设置功能。

3. 

身份自助服务

包括个人资料编辑、密码修改、认证日志、个人设置、密码找回、当前登录等功能。身份自助服务主要面向高校内的最终用户，包括所有学生、教师和工作人员。身份自助服务可满足用户对自己帐号信息和密码信息的维护需求，同时用户还可以查询到自己的帐号的使用信息和维护信息。

4. 

反向代理服务

基于nginx的反向代理集成方式，集成接入方式简单，接入系统可以直接从标准的Header中获取登录人员的相关信息，适用不同的开发语言。

5.

身份管理控制台要求

1)系统概况

概况提供系统运行状态的总览，使管理员对当前系统的运行状态一目了然，便于管理员及时发现问题和异常。管理员可以查看帐号概况、认证概况、服务器状态和系统结构概况等。

2)帐号管理

帐号功能帮助管理员完成全校身份帐号数据的查询、增加、删除、修改、过期设置、锁定/解锁和加入组操作；需提供基于Excel文件的帐号批量操作功能；提供基于差异视图的帐号同步功能；提供平台内帐号操作行为的统计功能。

3)认证管理

认证功能提供对全校身份认证相关数据的管理功能，包括对认证集成应用的管理和全校用户认证行为记录的查询和统计。

4)授权管理

提供校内身份类型组的管理功能，用于区分用户的身份类型，为校内应用提供资源级授权。

同时应提供身份帐号入组和出组的管理功能，可基于Excel文件实现批量操作；提供授权管理行为的统计功能。

5)系统管理

需提供一些对平台运行起支撑作用的数据管理和功能设置，包括操作日志管理、历史日志、管理员管理和配置管理功能。

操作日志管理：能够对对用户在平台内的所有操作记录进行查询，同时需支持配置日志迁移任务，把时间过久的日志迁移到历史日志中，以加快最常用的最近操作统计速度。

配置管理：对指整个系统运行需要的参数进行设置，包括密码策略定义、账户登录策略、系统参数信息等。

6.

身份数据存储

按照学校特点和应用现状设计用户、组、权限模型，并按照模型设计完成数据存储。所有的用户信息应分别存放在LDAP目录服务和数据库中，通过可靠的机制完成两者的同步，用户身份信息在目录服务中以层次结构，面向对象的数据库的方式集中存储管理，从而保证身份数据的一致性和完整性，为校园各类应用提供一致的用户信息访问。

支持设置用户容器，方便平台和硬件平台、应用系统等通过LDAP接口的方式实现身份集成。

7.  

对外服务集成接口

为实现统一认证和单点登录提供接口和通道，可以支持跨平台和各种开发语言的应用系统接入平台，如目前学校各类应用系统所使用的asp、.net、JAVA、PHP等多种开发语言；支持CAS4.0、SAML1.1协议，能将各类应用纳入认证范围，真正实现集中统一的认证。身份、授权、认证功能相互独立，可以灵活的与第三方产品对接。支持底层多种通用结构的认证技术协议，至少包括LADP等。

8.

兼容性要求

1)标准化

 必须采用基于LDAP标准的目录服务器存储身份数据，并提供身份认证。

 平台需基于J2EE标准架构。

2)可集成性

 提供多种认证接口的异构支持，包括代理认证和LDAP目录服务接口。

 支持多种语言的接口方式，包括Nginx反向代理、Java、.Net、PHP等。

 支持Unix、Linux、Windows多种平台，完全支持跨平台的部署。

3)可扩展性

身份、授权、认证功能相对独立，可以灵活的与第三方产品对接。

可实现用户名/口令认证模式，手机号绑定认证，支持动态口令认证接口。

提供大并发访问下的高可用性，支持集群工作模式，具备多机热备和负载均衡的能力。

支持同一个域内的多个应用系统间的单点登录，具有开放的跨平台SSO实现技术。支持学校移动app客户端的统一身份认证集成，并能支持网页端、移动端同时登录。

4)安全性

要求系统对用户登录信息进行加密传输，保证数据能在客户端与单点登录服务器之间、WEB代理与单点登录服务器之间进行安全通信，保证数据传输的安全性。

系统需提供用户密码加密功能，支持扩展SSHA、MD5、SHA、RC4等多种密码加密算法，加密算法不可逆，加密后数据不可被复制猜测；并可以快速扩展用户属性信息。

基于非共享Cookie的CAS认证方式，集成应用不能读到CAS域名下的安全令牌。

对用户的操作行为进行日志记录，以追溯用户的行为过失，确保数据安全。

系统支持帐号恶意登录的锁定功能，并可通过短信提醒用户，确保帐号安全。

系统支持帐号单点登录设置，确保同一时刻帐号只在一个终端登录。

需能支持二次登录的设置及异动提醒功能。

5)高性能

可为数百个应用提供统一身份认证服务的同时保证亚秒级的认证操作时间。

支持10万级的用户注册；常用服务器配置下，单机部署时应能支持最大800人的并发用户数，双机负载均衡部署时支持1500人的并发用户数。投标方需写明该负载情况的测试服务器配置，并能提供第三方测试机构信息安全测试报告。

对资源池连接数、滞后时间的调整（滞后时间是指在线用户多少时间不活动，此用户的资源连接就应该释放）。

6)高效同步

提供灵活的同步策略配置，并通过小工具将权威数据源中新建和变更的用户身份数据同步至统一身份认证与管理平台。

7)可管理性

集中的身份数据管理，不仅提供用户帐号的维护，还能提供便捷的批量导入等功能。平台应提供相关服务器的软硬件环境的监视。平台应提供历史事件的查询和认证会话的相关操作，建立完善的事后追溯机制。