ICS29.240

Q/GDW

國家電網公司企業標準

Q/GDW11417—2015

統一權限平臺接口規范

Interfacespecificationforidentitysecuritycontrolplatform

2016-03-31發布2016-03-31實施

國家電網公司發布

Q/GDW11417—2015

統一權限平臺接口規范

1范圍

本標準規定了統一權限平臺提供的統一認證、統一身份權限和統一審計的接口服務與相關技術

要求。

本標準適用于與統一權限平臺集成的已建業務系統和新建業務系統。

2規范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T29262面向服務的體系結構（SOA）術語

GB/T29798基于Web服務的IT資源管理規范

Q/GDW594國家電網公司信息化“SG186工程”安全防護總體方案

Q/GDW597國家電網公司應用軟件通用安全要求

3術語和定義

GB/T29262確立的以及下列術語和定義適用于本文件。

3.1

統一權限平臺IdentitySecurityControlPlatform（ISC-Platform）

屬于國家電網公司一體化信息平臺的重要組成部分，實現各業務系統的用戶、組織、角色、權限信

息統一集中管理的信息技術平臺。

3.2

代表性狀態傳輸representationalstatetransfer（REST）

一種用于針對網絡應用的設計和開發方式，強調對資源狀態的描述以及導致資源狀態遷移的一

組操作。

3.3

瀏覽器/服務器架構Browser/ServerArchitecture（B/S架構）

一種信息系統體系架構，主要業務邏輯在服務器端實現，用戶通過瀏覽器進行人機交互。

3.4

客戶端/服務器架構Client/Serverarchitecture（C/S架構）

一種信息系統體系架構，主要業務邏輯在客戶端實現，用戶通過專用的客戶端軟件進行人機交互。

3.5

單點登錄singlesignOn（SSO）

用戶僅需登錄一次就可以訪問所有相互信任的應用系統

3.6

統一認證服務unifiedauthenticationservice

為業務系統提供統一的用戶認證和管理服務，實現業務系統單點登錄功能，提供業務系統信息資源

的統一保護。統一認證服務是統一權限平臺服務的重要組成部分。

1

Q/GDW11417—2015

3.7

服務票據serviceticket(ST)

認證服務器為用戶簽發的用于訪問業務服務的票據。用戶訪問業務服務時會對用戶提交的服務票據

進行有效性校驗，校驗成功后才會允許用戶訪問該服務，校驗失敗則將禁止用戶訪問服務。

3.8

認證憑證緩存ticket-grantingcookie(TGC)

在瀏覽器和認證服務間通訊時使用基于安全通道傳輸（HTTPS）的緩存憑證，為認證服務明確用戶

身份的憑證。

3.9

登錄票據ticketgrangtingticket（TGT）

在用戶第一次成功登錄認證服務器時臨時生成的一次性票據。登錄票據被業務系統用于校驗用戶的

認證狀態是否正確，是實現單點登錄的重要數據交換載體。

3.10

基于角色訪問控制Role-BasedAccessControl（RBAC）

基于角色訪問控制模型引入“角色”的概念，并通過建立“用戶-角色-資源”的映射關系，來靈活

地表示用戶和資源之間訪問與被訪問關系。根據安全的需要定義各種角色并設置合理的訪問權限，通過

訪問權限和角色相關聯，角色與用戶關聯，從而實現訪問權限的邏輯分離。

3.11

系統日志協議SyslogProtocol

一種用來在互聯網協定（TCP/IP）的網絡中傳遞系統記錄訊息的標準,通常Syslog協議能被用來將

來自許多不同類型系統的日志記錄整合到集中的儲存庫中。

4縮略語

下列縮略語適用于本文件。

CSV：字符分隔值(Comma-SeparatedValues)

HTTPS：超文本傳輸安全協議（HyperTextTransferProtocoloverSecureSocketLayer）

JDBC：Java數據庫連接(JavaDataBaseConnectivity)

JSON：輕量級的數據交換文本格式（JavaScriptObjectNotation）

SFTP：安全文件傳輸協議（SecureFileTransferProtocol）

SOAP：簡單對象訪問協議（SimpleObjectAccessProtocol）

WSDL：Web服務描述語言（WebServiceDescriptionLanguage）

5總則

統一權限平臺為業務系統提供統一認證、統一身份權限和統一審計三類接口，分別實現身份鑒別、

身份權限數據管理及訪問、安全審計等服務，支撐業務系統與統一權限平臺的集成。

統一認證接口為業務系統提供統一認證服務，包括Filter認證接口和REST認證接口兩種方式?；?/p>

于B/S架構的業務系統應采用Filter認證接口實現集成，基于C/S架構的業務系統應采用REST認證接

口方式實現集成。

統一身份權限接口為業務系統提供集中的身份權限服務，包括數據同步接口和數據服務接口兩種方

式。已建業務系統（自身擁有身份權限管理功能）應采用數據同步接口方式實現集成，新建業務系統（自

身無身份權限功能設計）應采用數據服務接口方式實現集成。

統一審計接口提供統一權限平臺從業務系統采集業務操作日志的服務，包括Syslog審計接口、SFTP

審計接口和數據庫審計接口三種方式，業務系統應根據不同的應用場景選擇相應的接口方式實現集成。

2

Q/GDW11417—2015

6統一認證接口

6.1Filter認證接口

6.1.1接口描述

Filter認證接口為基于B/S架構的業務系統提供統一認證和單點登錄功能。

6.1.2應用場景

圖1Filter認證接口應用場景

Filter認證接口認證過程見圖1，應用場景如下：

a）用戶通過瀏覽器訪問業務系統頁面（ServiceURL）。

b）業務系統（通過加載統一權限平臺的提供的代理程序實現攔截、分析和跳轉功能）分析瀏覽器

的請求，若請求參數中包含ST，則跳轉到步驟e),否則將用戶重定向至統一認證服務，要求用

戶提供認證憑證。

a）用戶輸入認證憑證，請求統一認證服務進行身份驗證。

b）統一認證服務驗證用戶憑證，若驗證通過，產生一個隨機的ST，并發送一個TGC給用戶瀏覽

器，然后重定向到業務系統，否則跳轉到步驟c)。

c）業務系統接收到ST后，將ST發送至統一認證服務進行票據驗證。

d）統一認證服務對ST進行驗證，若驗證通過，則將包含ST的用戶信息用Json格式返回給業務

系統，否則跳轉到步驟c)。

e）用戶重定向到業務系統頁面。

6.1.3應用要求

業務系統應在統一權限平臺注冊。

業務系統應在自身web容器中配置過濾器，加載統一權限平臺提供的代理程序，實現認證攔

截，保護自身客戶端的頁面資源，具體實現邏輯參見附錄A.1。

用戶所用瀏覽器應啟用Cookie功能。

3

Q/GDW11417—2015

6.2REST認證接口

6.2.1接口描述

REST認證接口為基于C/S架構的業務系統提供統一認證和單點登錄功能，接口使用安全HTTPS

協議以REST方式發布，接口安全見Q/GDW594。

REST認證接口清單見表1。

表1REST認證接口清單

序號接口方法接口說明

1根據所提交的用戶賬號信息進行有效性驗證，驗證通過后返回用戶

getTicket

登錄票和基本信息。

2通過登錄票TGT獲取服務票(ST)，服務票用于訪問B/S結構的業務

getServerTicket

系統

3tgtValidate通過用戶id和登錄票驗證是否有效

4getTgtByUserId已登錄情況下，通過用戶id獲取登錄票

5Logout在認證服務中注銷用戶的登錄狀態

6.2.2應用場景

基于C/S架構的業務系統應通過REST認證接口發送規范的用戶憑證至統一認證服務，統一認證服

務根據用戶憑證進行有效性驗證，驗證通過將用戶登錄票和基本信息返回給業務系統，認證過程見圖2。

圖2REST認證接口應用場景

6.2.3應用要求

業務系統應在統一權限平臺完成注冊。

業務系統端應采用post請求實現認證,具體實現邏輯參見附錄A.2。

7統一身份權限接口

7.1數據同步接口

7.1.1接口描述

數據同步接口實現統一權限平臺到已建業務系統間的身份權限數據同步，數據的同步方向為單向。

以統一權限平臺管理的身份權限數據為數據源，向被集成的業務系統同步數據。業務系統應遵照SOAP

協議開發對應的接口，見GB/T29798。統一權限平臺應依照業務系統需求配置同步策略。

4

Q/GDW11417—2015

數據同步接口清單見表2。

表2數據同步接口清單

序號接口方法接口說明

1syncUser用戶數據接口

2syncBizOrganization業務組織數據接口

3syncBizRoleGroup業務角色分組數據接口

4syncBizRole業務角色數據接口

5syncBizOrgRole業務組織角色數據接口

6syncResource權限對象數據接口

7syncFunction功能數據接口

8syncBizRoleOfUser用戶與業務角色關系數據接口

9syncBizOrgRoleOfUser用戶與業務組織角色關系數據接口

10syncFunctionOfBizRole業務角色與權限對象數據接口

11syncResOfBizRole業務角色與功能數據接口

12syncFunctionOfOrgRole組織角色與權限對象數據接口

13syncResOfOrgRole組織角色與功能數據接口

7.1.2應用場景

已建業務系統的身份權限數據應在統一權限平臺中維護。統一權限平臺的數據同步服務通過調用業

務系統端的數據同步接口向業務系統發送身份權限數據，業務系統接收同步數據并返回同步結果。應用

場景見圖3。

圖3數據同步接口應用場景

7.1.3應用要求

業務系統權限模型應符合RBAC授權模型。

業務系統應在統一權限平臺完成注冊。

業務系統的身份權限數據應在統一權限平臺進行管理。

業務系統應依照統一權限平臺提供的WSDL數據格式完成自身數據同步接口的開發，接口開

發參見附錄B.1。

5

Q/GDW11417—2015

業務系統宜使用中間表的方式實現同步操作，接口數據解析后先存入中間表，經轉換后保存

到業務系統原數據表。

業務系統數據接收接口的平均響應時間應<=100ms/條，最高響應時間應<=200ms/條。

7.2數據服務接口

7.2.1接口描述

新建業務系統不具備獨立的身份權限管理能力，自身不存儲身份權限數據，通過調用數據服務接口

主動從統一權限平臺獲取自身的身份權限數據。數據服務接口采用REST方式發布給業務系統使用，接

口清單見表3。

表3數據服務接口清單

序號接口分類接口名稱接口描述

根據基準組織ID、基準組織屬性獲取當前基準組織

1部門管理getSubDepartment下一級基準組織的信息（部門信息/單位信息/全部信

息）

根據基準組織ID查詢基準組織所在的單位（及與

2部門管理getDepartmentById

該基準組織最近的單位）

根據業務組織ID查詢業務組織關聯的基準組織信

3部門管理getRelationDepartmentByOrgId

息（會有多個基準組織）

根據業務組織ID查詢業務組織引用的基準組織信

4部門管理getQuoteDepartmentByOrgId

息（只有一個基準組織）

getQuoteDepartments

5部門管理基準組織動態查詢接口

ByConditionAndOrderBy

6用戶管理getUserByIds根據用戶ID集合批量獲取用戶信息

7用戶管理getUsersByName根據用戶姓名獲取用戶信息(模糊匹配)

根據用戶登錄名獲取用戶信息（登錄名在系統中是

8用戶管理getUsersByLoginCode

唯一的）

根據業務組織ID及用戶過濾條件獲取當前業務組

9用戶管理getUsersByOrg

織的用戶信息

根據業務組織角色標識及用戶過濾條件獲取業務

10用戶管理getUsersByOrgRole

組織角色下的用戶信息

根據用戶Id獲取在指定的業務應用下的業務組織

11用戶管理getUserOrgPathByUserId

路徑

根據業務應用ID及用戶過濾條件分頁查詢用戶信

12用戶管理getUsers

息

13用戶管理userLoginAuth根據用戶名與密碼取得用戶

14用戶管理userLoginAuth根據網省ID用戶名與密碼驗證用戶登錄

根據業務組織ID及用戶過濾條件分頁查詢當前業

15用戶管理getUsersByOrg

務組織及其所有下級業務組織的用戶信息

16用戶管理getUsersByConditionAndOrderBy用戶動態查詢接口

根據業務組織ID和單元性質編碼獲取用戶并分頁

17用戶管理getUsersByOrg

顯示

18角色管理getRoleGroupByRole根據業務角色分組ID獲取業務角色分組信息

19角色管理getRoleGroup根據業務應用ID獲取業務角色分組信息

6

Q/GDW11417—2015

表3（續）

序號接口分類接口名稱接口描述

20角色管理getRoleByRoleId根據業務角色ID獲取業務角色信息。

21角色管理getRolesByRoleName根據業務角色名稱獲取業務角色信息

22角色管理getRolesByRoleGroupID根據業務角色分組ID獲取業務角色信息。

23角色管理getOrgRolesByIds根據業務組織角色ID集合獲取業務組織角色信息。

24角色管理getOrgRolesByName根據業務組織角色名稱獲取業務組織角色信息。

根據用戶ID及業務組織角色信息獲取業務組織角

25角色管理getOrgRolesByUserId

色信息，用戶的角色放置第一個。

根據業務組織單元ID及業務組織角色信息獲取業

26角色管理getOrgRolesByBusiOrgId

務組織角色信息。

27角色管理getOrgRolesByRoleId根據業務角色ID獲取業務組織角色信息。

28角色管理getOrgRolePathByOrgRoleId根據業務組織角色ID獲取業務組織角色的路徑。

29角色管理getOrgRoles根據業務應用ID分頁查詢業務組織角色集合

分頁查詢業務組織標識（當前業務組織及其所有子

30角色管理getOrgRolesByOrgId

業務組織）下業務組織角色集合。

31角色管理getOrgRolesByResIdAndUserId根據業務組織角色ID集合獲取業務組織角色信息。

根據用戶ID，功能ID及權限業務編碼判斷當前用

戶是否擁有指定功能節點下指定權限對象業務編碼

32資源管理hasFuncNodePerm

的使用權限，返回true表示用戶擁有使用權限，返回

false表示用戶沒有使用權限

33資源管理getPermissionObjectsByfuncId根據功能ID獲取指定功能下包含的權限對象列表

34資源管理hasPermitUserFuncId用戶訪問功能權限鑒別

根據業務應用ID、功能業務編碼獲取用戶訪問功能

35資源管理hasPermitUserFuncCode

鑒別

36資源管理getFuncTree遞歸獲取當前用戶在指定業務應用下的功能子樹

37資源管理getFuncTreeByFuncId遞歸地獲取當前用戶在指定功能下的功能子樹

38資源管理getFuncsByFuncCode根據功能業務編碼獲取功能集合

39資源管理getFuncsByOrgRoleId根據業務組織角色標識獲取功能集合

40資源管理getFuncsByRoleId根據業務角色標識獲取功能集合

41資源管理getFuncsByFuncName根據功能名稱匹配功能

42資源管理getFuncs根據業務應用ID分頁查詢功能集合

43資源管理getSubFuncsByFuncId分頁查詢當前功能下的子功能集合

44資源管理getFuncsBySystemIDAndURL獲取功能鏈接在指定業務應用下的功能節點集合

45資源管理hasPermitURLObj判斷當前用戶是否擁有訪問權限

46資源管理getFuncsByIds根據功能標識集合批量獲取功能集合

獲取當前用戶在指定業務應用和功能分類下的功

47資源管理getUserPermitFuncs

能集合

48資源管理getFuncsByParentId獲取用戶有權限訪問的子功能集合

7

Q/GDW11417—2015

表3（續）

序號接口分類接口名稱接口描述

49資源管理getDeployUrlByFuncId根據功能ID查詢業務應用的部署地址(URL)

50資源管理getFirstLayerFuncs獲取在指定業務應用下的第一層的功能

51資源管理getSubFuncs獲取在指定業務應用下的第一層外的所有功能

52資源管理hasUrlByBusiId判定功能URL在業務應用下是否注冊過

53資源管理getFuncsByParentId根據功能父節點標識獲取子功能集合

54資源管理getFuncsPath查詢功能到功能根節點的路徑

55資源管理getFuncTreeByRoleId根據業務角色ID獲取功能樹

56資源管理addFunc在指定功能節點下注冊功能節點

57資源管理addFuncs指定功能節點下注冊功能子樹

58資源管理delFuncByFuncId根據功能ID刪除指定的功能節點

59資源管理delFuncByFuncCode根據功能業務編碼刪除指定的功能節點

根據權限對象業務編碼集合查詢對應權限對象集

60資源管理getPermObjectsByPerCodes

合

根據業務組織角色標識獲取功能節點及功能節點

61資源管理getFuncsObjByOrgRoleId

的權限對象

根據用戶ID、業務應用ID、功能分類取得功能節

62資源管理getUserPermitionFuncs

點及功能節點的權限對象

根據用戶ID及功能ID取得當前功能節點的下一級

63資源管理getFuncContextByParentId

功能節點及下一級功能節點的權限對象

64資源管理getPermissionObjectsByPerObjId根據權限對象ID集合取得權限對象信息

65資源管理getPermissionObjectsByPerObjName根據權限對象名稱取得權限對象信息

66資源管理getPermissionObjects獲得用戶訪問功能下的權限對象

67資源管理hasPermitUserPerObject用戶訪問權限對象鑒別

getPermissionsBySysId根據功能id、業務角色id取得業務角色擁有的該功

68資源管理

AndRoleIdAndFuncId能id下的權限對象的集合

根據業務組織單元標識集合批量獲取業務組織單

69業務組織getBusiOrgsByIds

元信息

70業務組織getBusiOrgsByOrgName根據業務組織單元名稱獲取業務組織單元信息

根據業務組織ID獲取業務組織上級對口業務組織

72業務組織getSuperCorrespondOrg

信息

獲取業務應用業務組織機構樹的第一層組織單元

73業務組織getChildOrgsBySystemId

集合

根據業務組織名稱(全匹配)獲取指定業務應用下匹

74業務組織getMatchedOrgsByOrgName

配的業務組織機構樹（只檢索500條）

根據業務組織單元標識獲取下一層業務組織單元

75業務組織getChildBusiOrgsById

集合

根據業務組織單元標識遞歸地獲取下層業務組織

76業務組織getAllBusiOrgsById

單元集合（只檢索500條）

8

Q/GDW11417—2015

表3（續）

序號接口分類接口名稱接口描述

77業務組織getOrgPathByOrgId根據當前節點返回完整路徑的業務組織單元集合

78業務組織getBussOrgs根據業務應用ID分頁查詢業務組織集合

根據業務組織信息分頁查詢當前業務組織下的所

79業務組織getSubBussOrgs

有子業務組織集合

根據業務組織名稱查詢在指定業務應用下業務組

80業務組織getOrgsPathByOrgName

織的路徑

根據用戶ID和組織單元性質取得用戶的上級業務

81業務組織getUpperOrgBySystemIdAndUserId

組織單元

82業務組織getOrgByUnifiedCode根據業務組織“統一編碼”獲取業務組織實體

83業務組織getDimensionality根據業務應用ID獲取系統維度信息

84業務組織getOrgProperty根據性質ID獲取業務組織單元性質信息

根據業務應用ID及性質信息獲取業務組織單元性

85業務組織getOrgProperty

質信息

根據業務組織自定義性質ID獲取業務組織自定義

86業務組織getOrgExtenProperty

性質信息

根據業務應用ID與性質信息取得業務組織自定義

87業務組織getOrgExtenProperty

性質信息

88業務應用getBusinessApplication根據業務系統信息獲取業務應用信息

89業務應用getBusinessApplication獲取所有的業務應用信息

90業務應用getBusiAppByUserId根據用戶ID獲得對應的業務應用信息

根據業務角色編碼、用戶id獲取當前用戶擁有的業

91業務應用getBusiAppByUserIdAndRoleCode

務應用列表

通用擴展

92callService通用擴展接口

接口

通用擴展

93getPermissionInfoByUserId根據用戶ID查詢所有系統的權限數據

接口

通用擴展根據系統ID和角色分組ID查詢角色分組下所有用

94getUsersByRoleGroupId

接口戶

通用擴展根據系統ID和業務角色ID查詢業務角色下所有用

95getUsersByRoleGroupId

接口戶

通用擴展根據系統ID和業務組織ID查詢業務組織和所有下

96getUsersByOrgId

接口級組織下的所有用戶

通用擴展根據用戶指定的業務組織ID查詢業務組織和所有

97getDefUsersByorgId

接口下級業務組織

通用擴展

98getObjectsByUserId根據用戶ID查詢和用戶關聯的所有組織角色信息

接口

通用擴展根據用戶ID，查詢所在系統下的所有對應組織角色

99getBusiOrgsByUserId

接口所在的組織單元信息

通用擴展根據資源ID和用戶ID,查詢指定資源和所關聯的

100getOrgRolesByResIdAndUserId

接口業務組織角色

9

Q/GDW11417—2015

7.2.2應用場景

新建業務系統的身份權限數據應在統一權限平臺中維護。用戶訪問業務系統頁面時，業務系統應通

過調用數據服務接口對用戶請求的資源進行權限校驗（應用示例參見附錄B.2），依照數據服務接口返回

的權限資源信息實現自身業務邏輯，應用場景見圖4。

圖4數據服務接口應用場景

7.2.3應用要求

業務系統權限模型應符合RBAC授權模型。

業務系統應在統一權限平臺完成注冊。

業務系統的身份權限數據應在統一權限平臺進行管理且不在業務系統端保存。

8統一審計接口

8.1Syslog審計接口

8.1.1接口描述

Syslog審計接口基于Syslog協議實現對業務系統審計日志的采集,統一權限平臺提供Syslog服務器

接收業務系統發送的審計日志。

8.1.2應用場景

Syslog審計接口適用于審計數據傳輸實時性要求較高的業務系統。業務系統通過Syslog審計接口向

統一權限平臺發送審計日志，應用場景見圖5。

圖5Syslog審計接口應用場景

10

Q/GDW11417—2015

8.1.3應用要求

業務系統應遵照統一審計接口的公共要求,見8.4。

業務系統應使用csv格式傳輸審計日志文件,參見附錄C。

8.2SFTP審計接口

8.2.1接口描述

SFTP審計接口基于SFTP協議實現對業務系統審計日志的采集。業務系統將審計日志文件上傳到

統一權限平臺指定的SFTP服務器上，統一權限平臺定期從SFTP服務器上讀取業務系統的審計日志

文件。

8.2.2應用場景

SFTP審計接口適用于審計數據量大但實時性要求不高的業務系統。業務系統將審計日志文件發送

到SFTP服務器上,統一權限平臺定期從SFTP服務器上讀取審計日志文件，應用場景見圖6。

業務系統SFTP統一權限平臺

發送審計日志信息

讀取審計日志信息

圖6SFTP審計接口應用場景

8.2.3應用要求

業務系統應遵照統一審計接口的公共要求,見8.4。

業務系統應使用csv格式上傳審計日志文件,參見附錄C。

上傳文件名應使用標準表達方式，命名規則為“F_”+業務系統名字+“_optlog_”+日期，例

如F_PMIS_optlog_20150601。

業務系統宜批量傳輸審計日志。

8.3數據庫審計接口

8.3.1接口描述

統一權限平臺通過數據庫審計接口定期讀取業務系統數據庫中存儲的審計日志信息。

8.3.2應用場景

數據庫審計接口適用于審計數據量不大且實時性要求不高的業務系統。統一權限平臺通過數據庫接

口從業務系統提供的數據庫表中讀取審計日志信息，應用場景見圖7。

8.3.3應用要求

業務系統應遵照統一審計接口的公共要求,見8.4。

業務系統應開放數據庫表或視圖的讀取權限。

業務系統數據庫表或視圖的名稱應使用標準表達方式，命名規則為“T_”+業務系統英文名稱

+“_optlog”，例如T_PMIS_optlog

業務系統宜批量傳輸審計日志。

11

Q/GDW11417—2015

業務系統統一權限平臺

讀取審計日志信息

圖7數據庫審計接口應用場景

8.4統一審計接口公共要求

8.4.1數據內容要求

審計日志的內容應包括業務系統端的所有業務操作行為與結果，如資源、菜