1、統一權限使用手冊（管理員）目錄1、系統概述01.1更加穩定、安全、高效的權限管理服務02、各組件特點02.1、消息服務 (isc_ms)02.2、權限管理平臺 (isc_mp)32.3、接口服務(isc_sm)52.4、統一認證 (isc_sso)62.5、審計服務 (isc_as)82.6、數據同步服務 (isc_sync_adapter)82.7、統一認證代理 (isc_sso_agent)92.8、鑒權代理 (isc_sm_agent)、緩存服務（isc_cs）102.9、uap身份和審計模塊（isc_manage）、工單模塊（isc_workflow）113、權限管理123.1、業務角

2、色維護123.2、組織角色維護143.3、身份權限維護154、集成管理174.1同步結果監控171、系統概述統一權限平臺系統設計的目標是考慮國家電網公司人員身份管理業務的現狀及特點，在總體設計上借鑒以往“國網統一身份認證系統典型設計”的成功經驗，依托信息化手段著力提高人員身份管理的工作質量和效率，構建一套支撐“總部-網省”兩級部署以及總部集中部署版本的統一權限平臺系統，實現對人員身份的統一認證、統一管理、統一授權、以及合規性管理、安全審計等模塊功能，實現統一管理、流程規范、過程受控、備案審查的目的，從而提升公司人員身份管理的規范性、合理性和安全性。1.1更加穩定、安全、高效的權限管理服務權限系

3、統2.0版本是針對前期權限系統1.0版本的試點成果，進一步深化應用：1、考慮為業務應用提供滿足安全等級保護規定中相應權限管理要求的服務。2、對訪問控制管理方面進行安全加固與性能提升，增加權限測試機制，形成可水平擴展的鑒權體系。3、全面提升用戶體驗。2、各組件特點本節通過對統一權限平臺各模塊的介紹，闡明各模塊的功能特性，以及各模塊之間的通信交互過程，以便于實施工程師對統一權限系統的理解。2.1、消息服務 (isc_ms)統一權限平臺系統消息服務模塊是通過消息隊列（mq）來完成的，消息隊列是一種應用程序對應用程序的通信方法。應用程序通過寫和檢索出入列隊的針對應用程序的數據（消息）來通信，而無需專用

4、連接來鏈接它們。統一權限平臺各組件通過消息隊列來進行消息傳遞。消息傳遞指的是程序之間通過在消息中發送數據進行通信，而不是通過直接調用彼此來通信。簡單地說，mq就是這樣的中間件，它允許一個應用向另一個應用發送消息，而無論該應用是否在線。圖消息隊列mq示意圖消息隊列(mq)的特點包括：1、 消息的發送方和接收方可以不再統一服務器上；2、 通信可以是單向或者雙向；3、 要通信的應用程序可以運行在不同時間（異步傳輸）；4、 對于應用間的結構沒有限制；5、 對于應用程序來說，底層的環境差異被屏蔽掉。統一權限消息服務組件主要功能包括：1、在權限平臺的授權操作通過消息服務模塊完成對uap客戶端權限緩存信息的

5、刷新。2、在權限平臺的授權操作通過消息服務模塊將數據信息分發至與統一權限平臺v1.0集成的各業務系統（適配器模式接入的系統）。3、統一權限平臺系統統一認證、系統接口服務、數據同步服務等操作事件通過消息服務模塊存入數據庫，用于數據的統計分析匯總。統一權限消息服務的數據傳輸方式主要有兩種：1、主題（topic）模式：消息服務將數據信息主動發送給所有訂閱者，是一對多的關系。本模式主要應用于在uap平臺開發的業務應用緩存數據的更新（eg：當一個用戶的中文名發生變更，消息服務將變更信息更新至所有uap平臺應用系統緩存區）。2、隊列（queue）點對點模式：消息服務將收到的數據存入隊列，其它組件需要到此隊

6、列進行讀取數據，如果數據a被一個組件讀取，a數據將從隊列從刪除（數據傳輸是一對一的模式，一條數據只能被一個組件使用）。本模式主要應用于審計事件數據傳輸和對v1.0版本集成系統的數據同步。*注：統一權限平臺系統采用的消息中間件是apache activemq。更多資料，可以參考apache activemq官方文檔 /*2.2、權限管理平臺 (isc_mp)權限管理平臺是統一權限平臺系統的核心組件，主要包括身份管理、資源管理、權限管理、配置管理、審計管理、集成管理、工單管理七大功能模塊。權限管理平臺是統一權限平臺系統的管理端，通過本服務，管理員可

7、以進行用戶身份管理、各種資源（業務應用）、授權管理、各種配置管理、審計管理、系統接入等。普通用戶可以進行個人身份管理、配置管理等。權限管理平臺是統一權限平臺系統的數據展示層，功能模塊如下：權限管理平臺通過接口服務(isc_sm)，將數據信息寫入數據庫、刷新uap系統緩存、同步數據到v1.0集成的業務應用。*注：權限管理平臺(isc_mp)服務是通過接口服務進行數據庫操作的，本身沒有直接的數據庫操作：isc_mp-isc_sm -數據庫 。*2.3、接口服務(isc_sm)接口服務是權限管理平臺與各業務組件數據操作的橋梁，負責將用戶在權限管理平臺的各種操作更新到數據庫、記錄的審計服務、更新uap

8、平臺系統緩存、以及分發給集成的各業務應用（v1.0版本）。接口服務的主要功能包括：（1） 鑒權緩存讀取。用戶在首次登錄權限管理平臺或基于服務集成的業務應用時，需要通過接口服務到數據庫進行查詢操作，操作完成后，會將查詢信息緩存到緩存服務當中；當用戶再次登錄時，接口服務不需要到數據庫進行查詢，直接到緩存服務讀取緩存信息。這種方式可以提高系統響應速度。（2）數據更新同步。接口服務將用戶在權限平臺的數據操作一方面更新到數據庫，另一方面通信消息服務將數據更新到集成的業務應用（采用同步適配器方式集成的系統）。（3）刷新客戶端緩存。為提高鑒權效率，統一權限平臺系統在基于服務模式集成的業務應用客戶端緩存用戶權

9、限信息，當用戶在權限管理平臺更新用戶信息時，接口服務通過消息服務中間件更新客戶端緩存。（4）審計事件。消息服務將權限管理平臺的用戶數據操作記錄通過消息服務中間件寫入審計數據庫。2.4、統一認證 (isc_sso)統一認證組件主要完成對用戶在登錄業務系統時的身份驗證工作，主要包括統一認證管理、單點認證agent (isc_sso_agent.jar)、目錄服務(ldap服務)、緩存服務四個部分構成，其架構關系如下：統一認證架構設計1.統一認證管理主要對外提供認證服務以及單點登錄(sso)管理功能，隨著未來統一認證接入業務系統的增多，統一認證管理部分壓力將隨之增大，其訪問情況相對其它組件承受壓力最

10、大。2.單點認證agent組件主要為業務系統提供用于單點登錄的組件，其功能負責與統一認證管理的認證通信，通信鏈路支持ssl。3.目錄服務用于存儲進行單點認證的用戶數據，主要包括用戶名、密碼等用戶基本信息數據，采用扁平存儲結構，提供用戶數據獲取效率。4.緩存服務主要用于存儲用戶通過統一認證后的身份安全信息，通過緩存方式提升下一次用戶單點認證的效率。*注：統一認證默認情況下，連接目錄ldap服務，驗證用戶身份信息，在測試期間可以直接配置連接自身的oracle數據庫驗證用戶身份信息。*2.5、審計服務 (isc_as)審計服務是統一權限平臺系統的安全組件，通過審計服務可以接收統一認證和接口服務模塊的

11、審計事件。2.6、數據同步服務 (isc_sync_adapter)數據同步服務主要針對采用同步適配器方式進行集成的業務系統(主要指統一權限v1.0集成的各系統)。權限平臺管理員-權限管理平臺(授權操作) -接口服務 消息服務 -數據同步服務-業務應用接口-業務應用數據庫。2.7、統一認證代理 (isc_sso_agent)統一認證代理是業務應用系統web服務的客戶端插件，它的作用主要包括兩個方面：1) 首次登陸重定向通過在客戶端配置本插件，當用戶首次登錄業務應用時，將用戶訪問請求重定向至統一認證服務模塊（isc_sso），完成用戶登錄驗證。 2）身份校驗對于已經完成統一認證服務身份認證的用戶

12、，傳遞解析身份票據信息，驗證用戶身份信息。2.8、鑒權代理 (isc_sm_agent)、緩存服務（isc_cs）鑒權代理服務主要服務于權限管理平臺模塊和通過服務模式集成的業務應用系統。當用戶完成身份認證登錄系統后，通過鑒權代理，鑒別用戶的權限信息，加載系統各項功能菜單。緩存服務主要有兩個作用：1、 統一認證身份信息緩存當用戶經過統一身份認證服務驗證身份信息時，統一認證服務需要建立到數據庫的連接（ldap連接或jdbc連接）進行用戶身份信息校驗。通過緩存服務，統一認證服務將用戶的身份信息從放入緩存服務器中，當用戶第二次驗證身份信息時，可以直接讀取緩存服務的用戶身份信息，提高系統響應速度。2、

13、用戶鑒權信息緩存當用戶登錄權限管理平臺或通過服務模式接入的業務應用時，需要系統接口服務到數據庫加載用戶的權限信息（例如：功能菜單等）。通過緩存服務，系統接口服務將用戶的權限信息放入緩存服務器中，當用戶再次登錄本業務應用時，可以直接讀取緩存服務的用戶權限信息，提高系統響應速度。*注：統一權限緩存服務是通過memcached緩存服務實現的。*2.9、uap身份和審計模塊（isc_manage）、工單模塊（isc_workflow）基于uap平臺開發身份管理模塊基于uap和bpm，提供流程服務和流程審批的模塊重要說明：1) 統一權限只能通過組織角色對用戶進行授權，授權后同步數據會將用戶的組織信息和對

14、應的角色信息推送到業務系統中。2) 與統一權限集成后，業務系統新建用戶由同步接口完成，不再由用戶自己創建；門戶只保留點亮業務系統圖標功能，不再向業務系統推送用戶。3) 系統管理員（必須擁有該系統的管理角色和統一權限的使用角色）才能登錄統一權限平臺給地市管理員或者普通用戶授權；系統管理員只能授該系統的管理權限，授權成功后聯系統一權限平臺管理員 ，還需擁有權限平臺的使用權限。4) 用戶授權操作是否成功可在同步結果監控中查看3、權限管理3.1、業務角色維護3.1.1、新增業務組織角色：權限管理-業務角色維護-業務概覽-業務角色分組列表，選擇業務角色分組-新增 3.1.2、填寫表單：xxx_管理，角色

15、類型：管理（可以授權） 3.1.3、給新建的業務角色授權，點擊權限變更3.1.4、填寫授權的表單，資源里顯示：主菜單-展現下級，選擇要授權的資源3.1.5、下級菜單展現后，勾選資源，注意：一定要先選擇主資源，再選擇下級資源直至末級資源，完成后點擊圖中綠色標記可以直接回退到該資源，再次選擇其他的資源，最后保存即可3.2、組織角色維護3.2.1、新增組織角色：權限管理-組織角色維護-展開業務組織單元樹-新增3.2.2、填寫組織角色表單，業務角色名稱選擇剛才在業務角色維護里新建的角色，系統會自動把業務角色權限同步到組織角色里，保存。3.2.3、用戶授權（方法1），點擊新建的組織角色用戶數量3.2.4、填寫授權表單，點開（標識1）；展現基準組織樹，盡可能的選擇用戶所在的部門（標識2）；勾選用戶（標識3）；新增（標識4）到左邊的已授權用戶列表；提交完成。3.3、身份權限維護3.3.1、用戶授權（方法2）：權限管理-身份權限維護（標識1）-基準組織樹（盡可能的選擇用戶所在的部門（標識2），方便查詢），點擊授權（標識3）3.3.2、填寫授權表單：展開組織樹（標識1）-選擇剛才在組織角色維護里新增的組織角色（標識2），新增到已分配角色中，設置為缺省角色，提交完成