XX大学统一身份认证产品采购需求.docx

《XX大学统一身份认证产品采购需求.docx》由会员分享，可在线阅读，更多相关《XX大学统一身份认证产品采购需求.docx（18页珍藏版）》请在优知文库上搜索。

1、XX大学统一身份认证产品采购需求一、项目背景为深入贯彻落实教育部、XX省教育厅关于高校数字化转型相关政策要求，高校亟需采用先进技术和解决方案，加快推进数字化转型步伐”原有的定制化统一身份认证平台，存在可扩展性差、架构老旧、维护成本高昂、用户体验不佳、开放接入性弱等诸多问题，已无法满足XX大学不断增长的身份业务需求，难以作为重要内部信息化基珈设施.迫切需要基丁云原生技术的下一代统一身份认证平台作为领先的现代身份和访问管理解决方案，助力XX大学实现更加安全、高效、便捷的数字化转型。平台核心要求：CD对老师、学生日常使用体验的提升，工作流程的简化：（2）对于IT相关人员安全管理能力提升，管理效率提升

2、，安全管理能力的提升；（3）对研发类内部及第三方研发，数据安全合规的提升，研发效率的提升；C4）对于学校财务长期投入的降低,重史研发成本的降低：（5）新老系统在用户视角可以快速无感切换，实现用户体验的平滑过渡：（6）实现存量应用的快速对接，实现存量应用的快速迁移上线：（7）新用户注册便槌二、项目建设目标本项目旨在建设一套先进、安全、高效的统一身份管理平台，满足XX大学在身份和访问管理方面的以下场景需求：1.全面提升师生日常使用体险1.1 简化认证流程：支持单点登录（SSO）,师生可使用统一账号，-次登录，访问所有教学、科研和管理应用系统，及VPN,校园邮箱等过往需耍独立密码进行1.DAP认证的

3、系统，告别繁琐的密码记忆和登录操作，大幅提升工作效率和学习效率，有效降低密码泄露钓鱼或弱密码带来的数据安全风险。1.2 安全无密码认证:师生可使用X政钉、X里办、微信扫码、Passkey.手机验证码、人脸识别等无物码认证方式进行快速认证登录，并能够为敏感应用配置多种二次险证方式，极大程度提升用户体除并确保账号安全性1. 3提升自助服务能力：师生可以在个人中心快速杳看个人身份数据及应用访问记录，自助修改被授权的个人信息。1.4用户身份的灵活切换：对手既是老师又是学生等具备多重身份用户可自主选择堆点登录过程中登录某些系统的身份，无需记录多个登录方式。1.5通讯录数据的有效分级管理：可以基于平台灵活

4、的ABAC权限模型不同用户角色和标卷灵活实现通讯录数据的分级授权策略自定义，有效避免用户数据大规模泄解。2.助力IT相关人员而效便捷管理1. 1高细粒度分级分权管理能力：平台超级管理员可以创建多个可自定义权限管理范国的协作管理员，除了菜单、按钮等常规平台资源可被分配外也可以分配一定条件下平台的数据资源范围（如具有特定标签的用户）,满足各种复杂场景的分级分权管理需求。2. 2低代码的自动化管理策略配置：通过自动化工作流快速配置初盖师生全生命周期管理场景的各类应用权限管理策略及通知策略，有效降低手工分配带来的重复工作量。3. 3简单便捷的应用接入配理：平台管理处及各类应用开发者可参考完善细致的功能

5、文档及AP1.文档,简单、低代码进行各类标准认证协议（O1.D（SAM1.CAS、1.DAP）应用的接入，及对非标准应用进行快速低代码RPA接入。4. 4快速高效的身份数据分析：平台管理m可以快速进行海量身份数据及应用授权数据的快速筛选、提取，并且能够通过PI对接BI平台进行更高效的身份数据实时分析看板制作。5. 5审计日志及事件：平台全量记录用户访问行为和安全事件，支持实时风险告警对接，管理者可以及时发现安全隐患，提升推体安全管理能力。6. 6统一账号切换用户和管理员身份：管理者用户可以通过SSO登录后快速切换管理控制台界面，无需唯独记录管理控制台登录地址和密码，安全高效。2. 7自动化运维

6、告警：对业务指标、业务日志、业务涟路（南北向+东西向）进行全方位采集、追踪、计算、监控和实时告警，确保在发生事件的第一时间进行策略化、自动化处电流程的同时可以通知到相关管理人员。3.提升研发效能，建立身份数据全生命周期治理标准31降低身份能力开发成本：自研应用无需单独开发认证、用户管理、第三方登录等身份能力，可以直接使用平台的标准化SDK和AP1.快速完成应用开发,开发者可以更多时间聚焦丁业务逻辑本身的开发。3. 2第三方开发范式统一：平台提供统一的认证接入规范、权限接入规范、标准化的API规范、标准化的SDK规范：存量软件进行分批次逐步迁移,增量软件严格遵循IDMS平台的开发规范3. 3身份

7、数据合规使用保护：使用身份安全认证标准协议进行用户认证和信息授权控制，在此之上实施及小权限原则，确保外部供应商只能访问其所需的资源和数据；对于关键数据在存储和传输过程中对微感数据进行加密或脱极，包括用户凭据、个人数据等：同时记录和监控用户的身份脸证和访问行为,包括登录、授权、数据访问等操作：实施日志管理和审计功能，以确保对用户行为进行审计.并及时检测和响应异常活动3. 4多租户场景降本增效：面向类SaaS化的内部服务场珏，例如后勤、资产经营公司可使用学校统一建设的身份认证服务，但可以独立管理自己的身份数据和认证方式，并接入和管理其他自己采购的应用，降低统一认证平台重更建设的成本及协作管理成本4

8、.采用领先的云计算、容器化技术，实现高性能、高安全、高可用、可扩屣4. 1高性能：4. 1.1.微服务架构，弹性伸缩：平台采用微服务架构，将应用拆分成多个独立的服务，每个服务可以垠独部署和扩展。这种架构使得平台能够根据负载用性伸缩资源，满足不同场景的性能需求。例如，在高峰期，平台可以自动增加服务节点，以满足增加的流域需求：在低峰期，平台可以自动减少服务节点，以降低资源消耗。4. 1.2容器编排技术，高效运维管理：高效地利用计算资源，提升应用性能,自动服务发现、负载均衡、健康检查等。4. 2高安全：4. 2.1多全身份的证：支持多种身份验证方式，包括用户名密码、短信验证码、第三方账号登录等，并支

9、持多因子认证，最大程度地保障用户账户安全。例如，可以要求用户使用密码和短信脍证码进行双重认证，或者使用密网和人脸识别进行多因子认证.4. 2.2细粒度权限控制：提供细粒度的权限控制功能，可以对用户、角色、资源进行授权，确保只有授权用户才能访问指定资源。例如，平台可以授予某个用户对某个应用的只读权限，或者授予某个角色对某个数据库的读写权限。4. 2.3数据加密存储：采用加密技术对用户数据进行存储,防止数据泄露，4.2.4安全审计：提供安全审计功能，可以记录用户登录、操作等行为，并提供详细的审计日志。4. 3高可用：4.3.1分布式部署：平台可以部署在多个数据中心或云环境中，以确保服务高可用。即使

10、个数据中心出现故障，平台也可以继续为用户提供服务。4.3.2自动故隙转移：支持自动故障转移，当某台服务器出现故障时，可以自动将流量切换到其他服务器，神保服务不中断。4.3.2负效均衡：提供负载均衡功能，可以将流用均匀地分配到多个服务节点，避免单个节点成为瓶颈。4. 4可扩展:4.4. 1标准化开放API：通过标准化的规范，使得第：方系统可以标准化、快速的集成和接入身份认证业务，并且丰宫的PI有助于业务系统基于自身业务进行灵活、低成本的二次开发。4. 4.2低代码自动化编排：基r零代码+低代码的自动化编排技术，可以实现关于用户全生命周期自动化管理、权限全生命周期自动化管理、安全策略自动化管理等，

11、大大降低了传统的人工管理方式，并且针对新的业务和需求,不需要进行繁琐的二次开发流程，可以通过可视化的方式进行业务流程的自定义编批。三、建设指导思想1.终端用户无感切换：通过完善的无感迁移工具和无感迁移方案，能够在确保用户体收短期不发生变化的情况下使用新的统一身份认证平台替换原有的统身份认证平台。2 .低成本信创组件切换：通过容器化技术+分乂架构，确保业务服务和信创组件（基础服务）进行解耦合，并使用中间层进行各种不同信创组件的适配,当需要进行切换时，可以是用户无感知的情况下完成平滑迁移和切换。3 .产品开放可嵌入性：采用开放标准协议及提供完整的平台全能力AP1.,满足甲方未来对平台的完整可控，及

12、与其他系统集成、嵌入和互联互通的需求,避免定制化产品带来的高昂后续修改成本。四、功能模块参数模块内容说明用户注册用户注册能力1 .支持多种注册方式，包括用户名/密码、电子邮件、社交账号等。2 .支持定制注册表单，以满足学校特定信息收集需求：3 .支持密码策略设置，强制用户设概强密码。4 .支持注册审核机制，防止恶意注册。5. 新生自主注册激活：新生自行激活账号并绑定手机号微信号：6. 新教职工注册激活，从中心库同步新增的教职工账号，新教职工拿到账号后登录激活并绑定手机号微信号等：7-外来人员自行注册，其中学生家长注册，需支持绑定对应的关系人学生信息：8.数据统计：系统可.以统计新生激活人数、按

13、班级、专业、年级统计新生人数等.用户导入能力9 .支持从各种数据源导入用户，包括CSV文件、1.DAP目录、HR系统等。10 .支持批量导入用户。支持将导入的用户与已有的用户进行匹配。支持导入用户时自动分配权限“用户认证1 .支持使用X政钉、X里办、微信扫码、PaSSkey、手机验证码、人脸识别等无密码认证方式进行快速认证登录，并能修为敏感应用配应多种二次验证方式：2 .支持单点登录(SSO),可使用统账号，次登录，访问所有有权限的教学、科研和管理等应用系统，及VPN,校园邮箱等过往需要独立密码进行1.DAP认证的系统：3 .用户身份的灵活切换：对于既是老师乂是学生等具备多重身份用户可自主选择

14、单点登录过程中登录某些系统的身份，无需记录多个登录方式。用户管理1. 对学校学生、教职工、临时人员、访客等的统一身份管理，将分散于各个应用系统中的用户数据统一集中管理，实现组织用户身份集中管理与存储，并实现用户身份全生命周期闭环的常态化管理。2. 主要功能包括：新增用户、修改用户、删除用户、禁用/启用、修改/重置密码、用户组管理等功能。支持用户个人敏感佶息进行脱敏展示，避免数据泄露。同一个用户可以属于多个用户组(实现多维度用户标签3.为管理员提供全面的用户管理能力，包括：3.1 支持用户分类管理，比如内部用户、外部用户等：3. 2以主数据系统作为权威数据源，进行内部用户的同步，外部用户支持管理

15、员手动维护：3. 3基于组织机构的用户查询：3. 4可以对用户的入职、信息变更、禁用、启用、逻辑删除、离职等进行操作：3.5页面配置默认显示列，可搜索字段，显示列可以动态调整3.6批量删除、启用、停用、锁定、解锁、重置密码：3.7批量操作导出和导入。3 .8支持外部用户自主注册服务。4 .为管理员提供灵活的用户配置能力，包括：4.1 为管理员提供可灵活扩展的用户臼定义限置能力，方便管理员对用户数据进行维护。主要功能包括：用户属性定义、用户事件自定义、用户过程定义、用户类型定义、用户组定义等。4.2 支持对用户密码策略进行灵活管理，满足组织在不同时期的密码管理要求和法律法规对密码管理的相关要求。主要功能包括：随机密码生成策略管理、默认密码校政策略管理、条件密码校政策略管理等。支持对用户供应策略进行灵活的配置，管理员可根据不同时期的用户供应要求，进行灵活增减和配置相关限制条件。主要功能包括全部用户供应策略管理、条件用户供应策略管理等。.身份数据治理1 .一数一源：对于用户类型的某个字段内容，指定一个权威数据源作为唯来源，确保数据的准踊性和致性。2 .采集源管理：管理采集源的信息，将数据源，用户类型，数据项关联起来，形成一个完整的采集信息，规范用户类型拥有的属性，以及对应的属性来源，保证数据的准确性。通过数据时照使对应系统的数据字段进行关联。3 .采集任务：