1)标准化
必须采用基于LDAP标准的目录服务器存储身份数据,并提供身份认证。
平台需基于J2EE标准架构。
2)可集成性
提供多种认证接口的异构支持,包括代理认证和LDAP目录服务接口。
支持多种语言的接口方式,包括Nginx反向代理、Java、.Net、PHP等。
支持Unix、Linux、Windows多种平台,完全支持跨平台的部署。
3)可扩展性
身份、授权、认证功能相对独立,可以灵活的与第三方产品对接。
可实现用户名/口令认证模式,手机号绑定认证,支持动态口令认证接口。
提供大并发访问下的高可用性,支持集群工作模式,具备多机热备和负载均衡的能力。
支持同一个域内的多个应用系统间的单点登录,具有开放的跨平台SSO实现技术。支持学校移动app客户端的统一身份认证集成,并能支持网页端、移动端同时登录。
4)安全性
要求系统对用户登录信息进行加密传输,保证数据能在客户端与单点登录服务器之间、WEB代理与单点登录服务器之间进行安全通信,保证数据传输的安全性。
系统需提供用户密码加密功能,支持扩展SSHA、MD5、SHA、RC4等多种密码加密算法,加密算法不可逆,加密后数据不可被复制猜测;并可以快速扩展用户属性信息。
基于非共享Cookie的CAS认证方式,集成应用不能读到CAS域名下的安全令牌。
对用户的操作行为进行日志记录,以追溯用户的行为过失,确保数据安全。
系统支持帐号恶意登录的锁定功能,并可通过短信提醒用户,确保帐号安全。
系统支持帐号单点登录设置,确保同一时刻帐号只在一个终端登录。
需能支持二次登录的设置及异动提醒功能。
5)高性能
可为数百个应用提供统一身份认证服务的同时保证亚秒级的认证操作时间。
支持10万级的用户注册;常用服务器配置下,单机部署时应能支持最大800人的并发用户数,双机负载均衡部署时支持1500人的并发用户数。投标方需写明该负载情况的测试服务器配置,并能提供第三方测试机构信息安全测试报告。
对资源池连接数、滞后时间的调整(滞后时间是指在线用户多少时间不活动,此用户的资源连接就应该释放)。
6)高效同步
提供灵活的同步策略配置,并通过小工具将权威数据源中新建和变更的用户身份数据同步至统一身份认证与管理平台。
7)可管理性
集中的身份数据管理,不仅提供用户帐号的维护,还能提供便捷的批量导入等功能。平台应提供相关服务器的软硬件环境的监视。平台应提供历史事件的查询和认证会话的相关操作,建立完善的事后追溯机制。
|