深圳社会统一用户平台常见问题解答(FAQ)

社会统一用户平台常见问题解答

目录

1. 个人注册填写身份信息时提示证件已被使用 (2)

2. 个人注册填写验证信息时提示人员姓名或证件类型或证件号与银行登记不匹配 (2)

3. 个人注册填写验证信息时提示手机号与银行预留手机号不一致（网银OPT手机号不符） (2)

4. 个人注册填写的银行卡号是否必须是金融社保卡 (2)

5. 个人注册填写验证信息时出现的其他异常提示 (2)

6. 个人账号用户名密码都忘记，并且没有设置密保问题或者密保问题已经忘记，注册时使用的手机号也已经不再使用 (3)

7. 重置密码时提示“您输入的用户名、证件类型、证件号、手机号码与注册信息不一致，您的身份验证未通过。 (4)

8. 登陆时提示“用户名、密码验证未通过！1天内针对同一用户名输错5次密码，将锁定用户名1天。请谨慎输入！” (5)

9. 验证码图片无法显示或点击“下一步”按钮没有反应 (5)

10. 关于个人以及单位管理员修改用户名 (5)

11. 单位管理员已离职或者忘记谁是单位管理员或者管理员手机号已变更 (6)

12. 单位用户登陆提示“该用户已被注销，不允许登录” (7)

1.个人注册填写身份信息时提示证件已被使用？

答：有这个提示说明之前已经注册过统一用户基础平台账号了，可以通过登录页面的“忘记用户”和“忘记密码”找回用户名并重置密码。

找回用户名地址：

https://https://www.sodocs.net/doc/e014894090.html,/suum/goFindUserNameOneStep.do?method=goFindU serNameOneStep

找回密码地址：

https://https://www.sodocs.net/doc/e014894090.html,/suum/goFoundPwd.do?method=goFoundPwd

2.个人注册填写验证信息时提示人员姓名或证件类型或证件号与银

行登记不匹配？

答：首先要确认填写信息准确无误，若填写信息确实无误的情况下仍有这个提示，可到银行卡发卡行窗口核实或变更个人信息后再注册（需要注意，姓名、证件类型、证件号码必需与银行登记的完全一致）。

3.个人注册填写验证信息时提示手机号与银行预留手机号不一致

（网银OPT手机号不符）？

答：出现这种提示是由于填写的手机号与银行开卡时预留的手机号不一致造成的（注意，预留手机号并不一定就是接收短信的手机号），可到银行卡发卡行窗口核查是否预留手机号一栏没有填写号码或者填错号码了。

4.个人注册填写的银行卡号是否必须是金融社保卡？

答：不要求必须金融社保卡。可以用自己名下任意的一张银行（12家合作银行的卡）借记卡。

5.个人注册填写验证信息时出现的其他异常提示？

答：出现其他异常提示，建议可以更换自己名下的其他银行借记卡进行尝试，

最好是不同银行的卡。

备注：个人注册填写验证信息时出现的其他异常提示（不包括“人员姓名或证件类型或证件号与银行登记不匹配”和“手机号与银行预留手机号不一致”的提示）。

6.个人账号用户名密码都忘记，并且没有设置密保问题或者密保问

题已经忘记，注册时使用的手机号也已经不再使用？

答：第一步在登陆页面点击“忘记用户名”，如下图所示：

第二步验证手机校验码处，点击“手机号已停用”，如图所示：

第三步在验证身份页面，填写身份信息，点击按钮，如下图所示

第四步更换手机号页面填写相关资料即可更改手机号（需要银行那边预留手机号先改好），如下图所示：

最后再用新的手机号即可找回用户名重置密码。

7.重置密码时提示“您输入的用户名、证件类型、证件号、手机号

码与注册信息不一致，您的身份验证未通过”？

答：建议在重置密码前先找回用户名，重置密码要求输入的信息跟注册的一致，包括用户名和注册时用的手机号，如果可以找回用户名，说明手机号也是正确的，重置密码就不会有问题。（如果用户名包含大写i或者小写的L，需要注意这两个字母信息里看起来是一样的）。

8.登陆时提示“用户名、密码验证未通过！1天内针对同一用户名

输错5次密码，将锁定用户名1天。请谨慎输入！”？

答：出现这个提示说明用户名或者密码输入错误。并不是说用户名已被锁定（用户名被锁定的提示“您已经连续5次输错密码，您的账户已被暂时锁定，请您第二天再试！”）。如果记不起用户名密码（或者记错用户名密码），可通过登陆页面的“忘记用户名”和“忘记密码”找回用户名并重置密码，当然，如果用户名已被锁定，除了等第二天0点之后再尝试登陆之外，也可以通过重置密码解锁。

9.验证码图片无法显示或点击“下一步”按钮没有反应？

答：可以尝试切换浏览器，清除浏览器缓存，IE设置兼容性视图，重置IE 浏览器等方法，如果问题依然存在，可以更换电脑尝试。

备注：（1）如果注册时遇到这个问题，还可以使用手机进行操作。

（2）IE设置兼容性视图：

10.关于个人以及单位管理员修改用户名？

答：登陆系统后，选择“安全中心”→“修改用户名”可以更换用户名。（其中单位经办人账号只能修改密码无法更改其他信息）。

个人登录系统后：

单位管理员登录系统后：

11.单位管理员已离职或者忘记谁是单位管理员或者管理员手机号已

变更？

答：在登陆页面点击“忘记用户名”

第二步验证管理员身份页面，点击“重置管理员”，

根据单位实际情况选择合适的方法重置管理员。重置成功即可返回登陆页面找回用户名密码。

12.单位经办人用户登陆提示“该用户已被注销，不允许登录”？

答：登陆的是经办人账号，并且账号已被管理员注销，可以找登陆管理员账号新增经办人。

统一认证系统_设计方案

基础支撑平台

第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能： 为平台用户提供“一点认证，全网通行”和“一点退出，整体退出”的安全一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。用户一次性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示：

一次登录认证、自由访问授权范围内的服务 单点登录的应用，减轻了用户记住各种账号和密码的负担。通过单点登录，用户可以跨域访问各种授权的资源，为用户提供更有效的、更友好的服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体安全性。 同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范（简称“LA”）的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架，为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范，客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO（Single Sign On）系统有以下特点： (1). 可以将现有的多种Web应用系统联盟起来，同时保障系统的独立性，提供单点 登录服务；

统一认证平台的设计方案(XXXX互联网接入平台建设方案)

XXXX互联网接入平台建设方案为落实公司业务互联网化的发展规划，推动实现公司办公、管理等相关业务的互联网化和移动化，我部拟开展互联网接入平台系统的建设，建立互联网和公司内部网络的唯一通道，在安全风险可监、可控、可承受的前提下，为公司员工提供更加顺畅、更为便捷的互联网接入服务，满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。 一、需求分析 （一）覆盖范围 员工通过PC、移动终端等客户端能够访问公司办公网及交易网内的相关业务系统。 （二）接入终端需求 1、PC终端 员工能够使用PC、笔记本电脑等终端访问公司内网系统，并确保员工PC终端自身的安全性不会影响到公司内网的信息系统。 2、移动终端 员工能够使用基于Android系统和iOS系统的移动终端，以企业APP的方式访问公司内网系统，访问期间，移动终端系统的其他程序无法获取相关数据等信息。互联网接入平台能够对移动终端的安全性进行检测和管理，不符合安全策的移动终端不允许接入内部网络。 （三）多运营商接入需求

公司员工通过联通、电信、移动等多个运营商接入互联网访问公司内部业务系统，因此互联网接入平台需支持上述各运营商，并能够选取最优访问路径以保障访问速度。 （四）身份认证及单点登录需求 由于互联网接入平台面向互联网开放，用户身份认证必须采取强身份认证方式，除需设置一定复杂度的登录口令外，必须支持RSA动态令牌认证，可扩展支持短信、数字证书、指纹等高强度认证方式。 互联网接入平台具备单点登录功能，用户身份验证通过后，互联网接入平台将向用户开放其权限范围内的所有业务系统，且用户访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP 形态的业务系统均采用票据方式实现单点登录功能，不可使用密码代填的实现方式。 （五）安全防护需求 1、数据安全传输要求 PC终端、移动终端通过互联网访问公司内部网络的数据需采取加密措施，防止公司相关数据的泄露。 2、边界访问控制 互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施，有效保障互联网接入平台后部的公司信息系统的安全性。 二、方案设计

统一身份认证平台讲解

统一身份认证平台设计方案 1）系统总体设计 为了加强对业务系统和办公室系统的安全控管，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案： 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统，通过集成单点登录模块和调用统一身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台，通过使用唯一身份标识的数字证书即可登录所有应用系统，具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台，通过LDAP中主、从账户的映射关系，进行应用系统级的访问控制和用户生命周期维护

管理功能。 用户证书保存在USB KEY中，保证证书和私钥的安全，并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下： a)集中用户管理系统：完成各系统的用户信息整合，实现用户生 命周期的集中统一管理，并建立与各应用系统的同步机制，简 化用户及其账号的管理复杂度，降低系统管理的安全风险。

统一身份认证平台讲解-共38页知识分享

统一身份认证平台讲解-共38页

统一身份认证平台设计方案 1）系统总体设计 为了加强对业务系统和办公室系统的安全控管，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案： 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统，通过集成单点登录模块和调用统一身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台，通过使用唯一身份标识的数字证书即可登录所有应用系统，具有良好的扩展性和可集成性。

提供基于LDAP目录服务的统一账户管理平台，通过LDAP中主、从账户的映射关系，进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中，保证证书和私钥的安全，并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下：

统一身份认证与单点登录系统建设方案

福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一；目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统；按照规划，平台还必须进一步拓展便民服务大厅增加服务项目，电子监察、微博监管等系统功能，实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多，如每个子系统都用自己的身份认证模块，将给用户带来极大的不便；为了使平台更加方便易用，解决各子系统彼此孤立的问题，平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题，为用户提供平台的统一入口及功能菜单；使平台更加简便易用，实现“一处登录、全网漫游”。同时，加强平台的用户资料、授权控制、安全审计方面的管理，确保用户实名注册使用，避免给群 众带来安全风险；实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动；达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统；它将统一平台的以下服务功能：统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口（WebService接口或客户端jar包或dll动态链接库）向各子系统提供上述各类服务；各业务子系统只要参照说明文档，做适当集成改造，即可与系统对接，实现统一身份认证及单点登录， 实现用户资源的共享，简化用户的操作。

Citrix统一认证平台登录操作手册1

Citrix统一认证平台登录操作手册 目录 一、登陆操作指导 (2) 二、密码修改指导 (4) 三、常见问题及解决措施 (6) 1、插件问题 (6)

一、登陆操作指导 1、打开ie，输入网址：http://10.135.31.6，会出现如下界面（第一次登录会比较慢，请 耐心等待）： 2、使用账号和密码登录。登录之后会出现如下界面： 注：第一次登录需要下载客户端插件（选中接收协议，然后点击下载，下载完毕后进行安装，安装速度稍慢，请耐心等待）。 3、安装完客户端插件后，登录界面会自动跳转至如下界面：

可以看到发布的程序和桌面列表，点击相应的图标即可打开应用或桌面。 其中： Linux、AIX等操作系统使用“secretCRT”方式登录； Windows操作系统使用“远程桌面”方式登录。 请前期不使用此远程登录方式登录服务器的用户转化远程登录方式。 （点击图标后会出现以下提示： 可选定路径，点击下载，下载完成后再打开，但下载的图标在成功打开并关闭远程后即消失。下载图标的作用：若登录不成功，可查询错误原因。

也可不点击下载，直接点击“打开”，会自动下载并出现下载完成的提示，关闭下载完成提示即可。 以后的操作和以往登录相同。 注：第一次使用速度会稍慢。） 4、退出时，需关闭打开的应用程序，然后点击注销退出登录界面。 二、密码修改指导 1、首先登陆http://10.135.31.6，见到如下界面： 2、输入账号密码进入如下界面（目前密码过期提示会在过前期1个周提醒，如果超过期限 不修改密码将无法登陆，此时只能找海尔DMS项目组（内线电话：1000）或者域管理员修改.）

统一身份认证平台

统一身份认证平台 一、主要功能 1.统一身份识别； 2.要求开放性接口，提供源代码，扩展性强，便于后期与其他系统对接； 3.支持移动终端应用（兼容IOS系统、安卓系统；手机端、PAD端；） 4.教师基础信息库平台（按照教育信息化标准-JYT1001_教育管理基础代码实现） 5.学生基础信息库平台（按照教育信息化标准-JYT1001_教育管理基础代码实现） 二、系统说明 2.1单点登录：用户只需登录一次，即可通过单点登录系统（SSO）访问后台的多个应 用系统，无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同，并且实现单点登录时，后台应用系统无需任何修改。 2.2即插即用：通过简单的配置，无须用户修改任何现有B/S、即可使用。解决了当前 其他SSO解决方案实施困难的难题。 2.3多样的身份认证机制：同时支持基于PKI/CA数字证书和用户名/口令身份认证方式， 可单独使用也可组合使用。 2.4基于角色访问控制：根据用户的角色和URL实现访问控制功能。基于Web界面管 理：系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外，可以使用HTTPS安全地进行管理。 三、系统设计要求 3.1业务功能架构 通过实施单点登录功能，使用户只需一次登录就可以根据相关的规则去访问不同的应用系统，提高信息系统的易用性、安全性、稳定性；在此基础上进一步实现用户在异构系统（不同平台上建立不同应用服务器的业务系统），高速协同办公和企业知识管理功能。 单点登录系统能够与统一权限管理系统实现无缝结合，签发合法用户的权限票据，从而能够使合法用户进入其权限范围内的各应用系统，并完成符合其权限的操作。 单点登录系统同时可以采用基于数字证书的加密和数字签名技术，对用户实行集中统一的管理和身份认证，并作为各应用系统的统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用，不仅规避密码安全风险，还简化用户认证的相关应用操作。 说明：CA安全基础设施可以采用自建方式，也可以选择第三方CA。 3.2具体包含以下主要功能模块： ①身份认证中心 ②存储用户目录：完成对用户身份、角色等信息的统一管理； ③授权和访问管理系统：用户的授权、角色分配；访问策略的定制和管理；用户授权信息 的自动同步；用户访问的实时监控、安全审计； ④身份认证服务：身份认证前置为应用系统提供安全认证服务接口，中转认证和访问请求； 身份认证服务完成对用户身份的认证和角色的转换； ⑤访问控制服务：应用系统插件从应用系统获取单点登录所需的用户信息；用户单点登 录过程中，生成访问业务系统的请求，对敏感信息加密签名； ⑥CA中心及数字证书网上受理系统：用户身份认证和单点登录过程中所需证书的签发； 四、技术要求 4.1技术原理 基于数字证书的单点登录技术，使各信息资源和本防护系统站成为一个有机的整体。 通过在各信息资源端安装访问控制代理中间件，和防护系统的认证服务器通信，利用系统提供的安全保障和信息服务，共享安全优势。 其原理如下： 1)每个信息资源配置一个访问代理，并为不同的代理分配不同的数字证书，用来保

统一身份认证平台功能描述

数字校园系列软件产品 统一身份认证平台 功能白皮书

目录 1 产品概述............................................................. - 1 - 1.1 产品简介....................................................... - 1 - 1.2 应用范围....................................................... - 1 - 2 产品功能结构......................................................... - 2 - 3 产品功能............................................................. - 2 - 3.1 认证服务....................................................... - 2 - 3.1.1 用户集中管理............................................. - 2 - 3.1.2 认证服务................................................. - 3 - 3.2 授权服务....................................................... - 3 - 3.2.1 基于角色的权限控制....................................... - 3 - 3.2.2 授权服务................................................. - 4 - 3.3 授权、认证接口................................................. - 4 - 3.4 审计服务....................................................... - 4 - 3.5 信息发布服务................................................... - 5 - 3.6 集成服务....................................................... - 5 - 3.6.1 应用系统管理............................................. - 5 - 3.6.2 应用系统功能管理......................................... - 6 - 3.6.3 应用系统操作管理......................................... - 6 -

统一认证平台的设计方案XXXX互联网接入平台建设方案

XXXX互联网接入平台建设方案 为落实公司业务互联网化的发展规划，推动实现公司办公、管理等相关业务的互联网化和移动化，我部拟开展互联网接入平台系统的建设，建立互联网与公司内部网络的唯一通道，在安全风险可监、可控、可承受的前提下，为公司员工提供更加顺畅、更为便捷的互联网接入服务，满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。 一、需求分析 （一）覆盖范围 员工通过PC、移动终端等客户端能够访问公司办公网及交易网内的相关业务系统。 （二）接入终端需求 1、PC终端 员工能够使用PC、笔记本电脑等终端访问公司内网系统，并确保员工PC终端自身的安全性不会影响到公司内网的信息系统。 2、移动终端 员工能够使用基于Android系统和iOS系统的移动终端，以企业APP的方式访问公司内网系统，访问期间，移动终端系统的其他程序无法获取相关数据等信息。互联网接入平台能够对移动终端的安全性进行检测和管理，不符合安全策的移动终端不允许

接入内部网络。 （三）多运营商接入需求 公司员工通过联通、电信、移动等多个运营商接入互联网访问公司内部业务系统，因此互联网接入平台需支持上述各运营商，并能够选取最优访问路径以保障访问速度。 （四）身份认证及单点登录需求 由于互联网接入平台面向互联网开放，用户身份认证必须采取强身份认证方式，除需设置一定复杂度的登录口令外，必须支持RSA动态令牌认证，可扩展支持短信、数字证书、指纹等高强度认证方式。 互联网接入平台具备单点登录功能，用户身份验证通过后，互联网接入平台将向用户开放其权限范围内的所有业务系统，且用户访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP 形态的业务系统均采用票据方式实现单点登录功能，不可使用密码代填的实现方式。 （五）安全防护需求 1、数据安全传输要求 PC终端、移动终端通过互联网访问公司内部网络的数据需采取加密措施，防止公司相关数据的泄露。 2、边界访问控制 互联网接入平台应采取安全区域划分、访问控制、入侵检测/防御、APT检测/防御等安全防护措施，有效保障互联网接入平台

统一登录系统设计方案

随着教育信息化的普及，学校建立了或者即将建立多套系统，用来实现对行政管理、教学管理、人员管理等学校内部各方事务的信息化服务。但是，由于各个系统分管的部门不同，应用对象不同，对学校影响的紧迫程度不同，各个系统是分步建立的。各个系统的建立时间不同，系统的厂商也不同，从而导致各个系统之间大都相对独立存在，使用者需记忆不同的登录账号，登录不同系统进行操作。这无疑加大了用户日常使用过程中的不便性，降低了工作效率。而学校的系统管理员在对多套系统的用户管理时，无法进行统一的账号及权限管理，这也增加了系统管理人员的管理负担，造成用户管理的不规范，对于信息安全存在一定的安全隐患。 统一身份认证系统就是解决上述问题行之有效的工具。 统一身份认证系统作为平台的安全认证及授权中心，主要为各应用系统提供集中的身份认证与授权服务。用户通过统一信息门户实现单点登录，提高信息化管理应用系统的安全性。通过指定相应的集中认证技术规范，提供统一的应用系统用户管理接口，最终实现学校（教育局）所有系统用户认证的集中统一管理，大幅简化用户登录过程，显著提高工作效率。同时也减轻系统管理员的用户管理工作，统一用户管理。 系统提供一系列全面的认证、授权控制和管理工具，对数据的访问和使用进行全方位多层次的许可、控制和管理，并保护数据拥有者和使用者的数据安全。对于数据库中的同一数据不同用户根据其拥有的权限集的不同定义对该数据对象的操作能力，包括创建、增加、修改元数据的索引属性，创建、增加、修改数据对象以及对数据注释信息进行操作等功能，从而实现对数据的安全保护，提升学校（教育局）的信息安全水平。

单点登录 统一认证、授权和单点登录系统是和门户系统紧密集成的一套基于策略的访问控制平台，采用开放的架构，支持可插接的用户认证模块，能够支持当前主流安全架构，可供Java、.net、ASP、PHP等开发平台调用实现统一认证。其基于LDAP目录服务器，实现用户的身份认证、应用资源的访问控制、策略管理与服务。提供包括传统的用户密码认证、数字证书认证、CA证书认证、动态短信认证等多种认证手段，实现“一次鉴权（认证和授权）”——单点登录，提供基于Web的多种应用程序，即通过浏览器实现对多个B/S 架构应用的统一账户认证。实现了用户只需认证一次，就可以无须再次登录地访问其做授权可以访问的业务系统。 身份管理 建立基于目录服务的统一身份管理机制，建设全校（局）统一的用户身份库，实现用户信息的集中存储和管理，用户信息规范命名、统一存储，用户ID全校（局）唯一，并提供标准接口，实现不同应用系统的用户身份的同步，支持海量的基于LDAP目录服务器的用户数据存储和管理功能。 认证管理

统一认证平台解决方案

统一认证平台解决方案 1. 概述 统一认证平台的技术基于公钥密码基础设施（PKI）技术，严格遵循国家密码管理局制定的《证书认证系统密码及其相关安全技术规范》标准，完全自主研发的商用密码统一身份认证系统，主要为用户提供多系统之间的统一身份认证、数据加解密、数据安全传输、业务系统安全集成等系统安全服务。 统一认证平台的最大特点是它作为整个系统平台的基础安全服务构件，为政府部门、企业单位的各个应用系统提供数据安全服务集成、统一身份认证服务，同时，提供方便易用的运维管理工具，为客户合规性检查提供有效的支撑。 2. 系统功能模块说明 2.1．功能划分 根据需求，对系统各层级功能进行初步划分，区分每个功能的边界，结果如下表所示： 2.2．功能模块

3. 系统特点 3.1. 部署灵活、简单易用、提供可视化的数据管理 系统的设计采用B/S模式，各模块以及子系统采用分布式架构，只需在服务端部署即可，客户端无需做任何的修改，管理终端与服务器之间采用高强度SSL安全连接，采用数字证书对用户的身份实现管理。 为降低管理人员的工作量，系统提供完善的可视化数据平台，从多个维度对数据进行分析和统计。 同时可结合用户的实际需要，灵活的进行系统模块的组合部署，如采用：RA+CA+KMC、RA+CA等多种组合。 3.2. 支持国密算法，采用专用密码硬件 系统采用完全符合国家商用密码管理局标准以及规范要求的专用服务器密码机、签名验签服务器，可进行灵活的扩展以满足不同客户的性能要求。 3.3. 系统平台的高安全性 ?通信安全 平台内部各子系统采用高强度的SSL标准安全通信协议，同时配合数字证书进行身份验证 ?数据安全 数据库、配置文件中的敏感数据采用加密方式保存；提供完备的数据备份及恢复的手段。 ?管理人员安全 采用基于数字证书的身份验证机制，管理员使用证书进行登录管理、管理员的管理权限与其证书进行绑定。 3.4. 兼容主流系统环境，开发接口丰富 系统支持主流操作系统运行环境以及主流硬件平台，支持Windows，Linux，AIX，Solaris，HP_UX，并提供Java、C、.net、C#、Object C等应用接口，方便用户的应用集成。

统一身份认证平台功能描述

统一身份认证平台功能 描述 文件编码（GHTU-UITID-GGBKT-POIU-WUUI-8968）

数字校园系列软件产品 统一身份认证平台 功能白皮书 目录

1产品概述 1.1产品简介 随着校园应用建设的逐步深入，已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题：用户需要记录多个系统的密码，经常会出现忘记密码的情况；在登 录系统时需要多次输入用户名/密码，操作繁琐。 各个系统之间的账号不统一，形成信息孤岛现象，导致学校管理工 作重复，增加学校管理工作成本。 新开发的系统不可避免的需要用户和权限管理，每一个新开发的系 统都需要针对用户和权限进行新开发，既增加了学校开发投入成 本，又增加了日常维护工作量 针对学生、教职工应用的各种系统，不能有效的统一管理用户信 息，导致学生在毕业时、教职工在离退休时不能及时地在系统中 清除这部分账号，为学校日后的工作带来隐患。 缺乏统一的审计管理，出现问题，难以及时发现问题原因。 缺乏统一的授权管理，出现权限控制不严，造成信息泄露。 统一身份认证平台经过多年的实践和积累，通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计，有效地解决了以上问题，赢得客户的好评。

1.2应用范围 2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息，所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中，保证数据的保密性和读取效率。通过用户同步功能，及时地把关键业务系统中的用户信息同步到统一认证平台中，然后通过平台再分发给需要的业务系统，保证账号的一致性。 为所有的用户设置权限生效起止日期，即使不对用户做任何操作，在权限生效期外的用户也无法通过认证，保证了系统的安全性。 用户管理

统一认证平台的设计方案(XXXX互联网接入平台建设方案)

XXXX 互联网接入平台建设方案 为落实公司业务互联网化的发展规划，推动实现公司办公、 管理等相关业务的互联网化和移动化，我部拟开展互联网接入平 台系统的建设，建立互联网与公司内部网络的唯一通道，在安全 风险可监、可控、可承受的前提下，为公司员工提供更加顺畅、 更为便捷的互联网接入服务，满足公司员工利用PC、移动终端等客户端通过互联网灵活访问公司内网业务系统的需求。 一、需求分析 （一）覆盖范围 员工通过PC、移动终端等客户端能够访问公司办公网及交易 网内的相关业务系统。 （二）接入终端需求 1、PC终端 员工能够使用PC、笔记本电脑等终端访问公司内网系统，并 确保员工PC终端自身的安全性不会影响到公司内网的信息系统。 2、移动终端 员工能够使用基于Android 系统和iOS 系统的移动终端，以企业APP的方式访问公司内网系统，访问期间，移动终端系统的 其他程序无法获取相关数据等信息。互联网接入平台能够对移动 终端的安全性进行检测和管理，不符合安全策的移动终端不允许

接入内部网络。 （三）多运营商接入需求 公司员工通过联通、电信、移动等多个运营商接入互联网访 问公司内部业务系统，因此互联网接入平台需支持上述各运营商， 并能够选取最优访问路径以保障访问速度。 （四）身份认证及单点登录需求 由于互联网接入平台面向互联网开放，用户身份认证必须采 取强身份认证方式，除需设置一定复杂度的登录口令外，必须支 持RSA动态令牌认证，可扩展支持短信、数字证书、指纹等高强 度认证方式。 互联网接入平台具备单点登录功能，用户身份验证通过后， 互联网接入平台将向用户开放其权限范围内的所有业务系统，且 用户访问其中任何业务系统均不需要再次认证。对B/S、C/S、APP 形态的业务系统均采用票据方式实现单点登录功能，不可使用密 码代填的实现方式。 （五）安全防护需求 1、数据安全传输要求 PC终端、移动终端通过互联网访问公司内部网络的数据需采 取加密措施，防止公司相关数据的泄露。 2、边界访问控制 互联网接入平台应采取安全区域划分、访问控制、入侵检测/ 防御、APT检测/ 防御等安全防护措施，有效保障互联网接入平台