陈秀娟
(安徽省大数据中心 安徽合肥 230001)
摘要 为了更好解决政府/事业单位对多系统用户的管理问题,实现一次登录多系统安全应用使电子政务应用系统适用于不同的机构及部门。为此,采用了基于autho2.0的单点登录技术设计和实现了可扩展的统一用户管理系统,并成功应用于安徽省政务服务平台,取得了良好成果。
关键字 统一用户认证 互联网+政务服务
中图分类号 TP311;
Research and implementation of unified user management of government service
CHEN Xiu-juan
(Big Data center of Anhui Province , Hefei Anhui, 230001)
ABSTRACT: In order to solve the user manage of Government / business units to better, achieve a log on multi system security applications, the unified user management system is designed and implemented ,which is universal safe and extensive by the concept of autho2.0 technology. this system is used in Anhui Province, and achieved a stage results.
KEYWORDS: unified user management ?the Internet Plus Government Services initiative
0引 言
2016年初,政府工作报告中提出大力推进“互联网+政务服务”。2016年9月,国务院下发《关于加快推进“互联网+政务服务”工作的指导意见》[1],对加快推进“互联网+政务服务”工作做出总体部署并明确工作目标:2017年底前,各省(区、市)人民政府、国务院有关部门建成一体化网上政务服务平台,全面公开政务服务事项,政务服务标准化、网络化水平显著提升。2020年底前,实现互联网与政务服务深度融合,建成覆盖全国的整体联动、部门协同、省级统筹、一网办理的“互联网+政务服务”体系,大幅提升政务服务智慧化水平,让政府服务更聪明,让企业和群众办事更方便、更快捷、更有效率。
根据国务院大力推进“互联网+政务服务”的要求和指导意见,需积极推出“互联网+政务服务”用户实名认证方案,解决网上办事用户身份问题,让居民和企业少跑腿、好办事、不添堵。
1中心建设原则
安徽省统一用户认证中心(以下简称“中心”)是安徽省网上政务服务及政务信息资源共享平台的支撑平台,中心建设的指导思想是:从业务发展目标出发,在充分利用现有软硬件环境下,技术和业务积极创新,建设高效、可靠、安全的系统运行支撑体系。
中心在规划、设计、实现、推广过程中,遵循可靠性原则、实用性原则、可扩展性原则、可管理性原则、安全性原则和灵活性原则。
2中心建设关键技术
2.1 SSO单点登录
SSO单点登录[2]就是当用户访问各子系统的应用时,只需要提交一次认证信息就可以访问有权限访问的应用,从而简化登录过程,提高工作效率。通过放置反向代理服务器,所有用户对后台Web资源的访问都需要通过代理服务器来完成,代理服务器可以与所有的Web应用进行集成,可以和后台的Web应用建立连接,将用户的登录信息传送给应用,同时仍保持对用户的透明。用户需要登录一次,此后用户就可以通过代理服务器,访问有权访问的所有Web应用。
2.2 Autho2.0授权技术
OAuth2.0[3]在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。"客户端"不能直接登录"服务提供商",只能登录授权层,这样就只关注授权而不需要了应用资源内部的权限管理。用户可以在登录的时候,指定授权层令牌的权限范围和有效期;"客户端"登录授权层以后,"服务提供商"根据令牌的权限范围和有效期,向"客户端"开放用户储存的资料。
3中心主体建设
中心技术体系由基础设施、支撑层、应用层、展现层、访问通道五部分组成。
1)基础设施:系统基于云平台部署,个人用户和法人用户部署在公有云,政府用户部署在专有云。
2)支撑层:为应用层提供身份信息认证和通信服务。
3)应用层:由个人用户中心、法人用户中心、政府用户中心、接入应用四部分组成。个人用户可通过调用短信平台接口验证手机号码;通过全国公安人口库,完成个人身份基本信息验证;通过支付宝账号和人脸识别完成实人认证。法人用户可通过调用短信平台接口验证手机号码,调用工商企业数据库、公安人口库,完成法人身份基本信息认证。、政府用户中心实现政府用户分级管理。网上政务平台、审批系统、APP等其他应用,基于OAuth2.0协议,接入个人、法人和政府用户中心,实现用户身份统一管理、统一认证和单点登录。
4)个人用户中心、法人用户中心、政府用户中心及接入应用基于网上政务平台,其他政府网站,工作平台进行展现。
5)个人、法人和政府用户可通过PC的Web和APP访问上政务平台,其他政府网站,工作平台。
【系统架构图】
.png)
3.1个人和法人用户中心
个人和法人用户中心采用统分结合建设模式,省级门户通过省级个人和法人用户中心注册和验证,市级门户注册直接嵌入省级门户用户注册页面,注册完成后,用户信息同步一份给市个人和法人用户中心,市级门户登录优先使用市级个人和法人用户中心认证,市级个人和法人用户中心认证失败,再调用省个人和法人用户中心认证。用户跨市登录验证时,通过省个人和法人用户中心,调用用户信息,实现互认。
.png)
【建设模式示意图】
3.2政府用户中心
政府用户中心是实现安徽省统一电子政务平台政府部门业务处理的重要支撑,主要解决省级部门、市、县等政府用户在网上政务服务平台的开户、同步、访问授权、认证问题,政府用户分为组织用户和个人用户。
3.2.1组织管理
各级管理员通过政府用户中心,实现对本级组织的管理。包括组织的新增、修改、删除等操作。自建系统不再使用原有的组织增加、修改、删除功能,而是通过政府用户中心提供的的接口实现组织的增加、修改、删除功能。政府用户各级管理员对组织进行操作时,选择需要同步的自建系统,同步组织到该自建系统。该同步关系保存于统一身份认证系统,当下次对该组织进行修改时,自动同步相关自建系统。具体流程如下图。
.png)
【组织管理流程图】
3.2.2用户管理
各级管理员通过政府用户中心,实现对本级用户(包括个人和组织用户)的管理,管理功能包括开户、资料修改、排序、销户、调岗等。管理操作结果,通过策略,可自动或手动同步到统建系统和以统一用户方式接入政府用户中心的自建系统。映射方式接入政府用户中心的自建系统不能实现用户同步。
政府用户在获得账户后,可登录政府用户中心,对新账户的密码等信息进行管理。
.png)
管理员对用户管理的具体流程如下图所示:
【用户管理流程图】
3.2.3单点登录流程
网上政务服务平台整合各种网上办事事项,通过个人用户中心和法人用户中心的单点登录技术,实现在网上政务服务平台一次认证能够被多个事项申报系统认可,从而避免了重复认证。
个人和法人用户在任一网上政务服务平台(在省级网上政务服务平台,市级用户中心作为一个应用系统接入),登录时,到本级用户中心进行验证,如果认证通过,则返回给用户一个ticket票据;用户再访问其他应用系统时,以这个ticket票据作为认证的凭据,其他应用接受到请求之后将ticket票据送到认证系统进行校验,检查ticket票据的合法性,如果合法,即可免注册直接登录到其他应用办事,实现 “一处登录,多处申报”。认证流程见下图。
.png)
【单点登录流程】
流程描述:
1)互联网用户登录任一级网上政务服务平台后,请求到应用系统办事,发起单点登录请求;
2)个人用户中心重定向到接入应用系统,带安全票据;
3)重定向到接入应用系统,带安全票据;
4)接入应用系统收到票据,到个人用户中心验证票据;个人用户中心验证票据成功,返回一个令牌;
5)接入应用系统根据令牌,到个人用户中心获取用户基本信息。单点登录成功。
4 结语
运用AUTHO2.0技术升级单点登录系统,使用户对数据的访问更加方便快捷,对组织机构的变化有很大的伸缩性,灵活支持各政务系统的安全策略。目前统一用户认证中心在安徽省网上政务服务及政务信息资源共享平台中得到了很好的应用,真正做到了全省用户一体化,政务服务高质量化。
参 考 文 献
[1] http://www.gov.cn/zhengce/content/2016-09/29/content_5113369.htm
[2]董亮卫,汪文勇,黄鹂声.支持单点登录的统一资源管理体系研究[J].计算机应用,2006(05):1146-1147,1189.
[3] http://www.coin163.com/doc/oauth.html