数字校园产品解决方案中基础开放平台的功能设计与实现
2019-04-27潘文婷
潘文婷
摘要:作为数字校园产品解决方案中最基本且最核心的功能平台,基础开放平台涵盖了身份鉴权、数据整合、门户管理、第三方应用整合等全面核心的功能,本文就基础开放平台的功能设计进行了详细阐述。
关键词:数字校园;开放平台;解决方案;设计
一、校园身份认证及授权管理平台
建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证安全体系,将组织信息、用户信息统一存储,进行分级授权和集中身份认证,提高应用系统的安全性和用户使用的方便性,实现全部应用的单点登录,同时能详细记录用户对系统资源的所有访问记录和操作情况,以便事后对用户操作进行审计,建立完善的事后追溯机制。在学校工作人员进行了调动、调级、调职等变更后,或者学校体制改革、组织机构变动后,使用户的身份和权限在各系统之间协调同步,减少应用系统的开发和维护成本。
(一)统一身份认证管理
校园身份认证及授权管理平台是以统一用户管理中心为基础,对所有应用系统提供统一的认证方式和认证策略,以识别用户身份的合法性。
统一用户认证应支持以下几种认证方式:
用户名/密码认证:这是最基本的认证方式。
PKI/CA数字证书认证:通过数字证书的方式认证用户的身份。
IP地址认证:用户只能从指定的IP地址或者IP地址段访问系统。
时间段认证:用户只能在某个指定的时间段访问系统。
以上认证方式采用模块化设计,管理员可灵活地进行装载和卸载,同时还可按照用户的要求方便地扩展新的认证模块。
数字证书认证通常应用在安全级别要求较高的环境中。PKI(Public Key Infrastructure)即公钥基础设施是利用公钥理论和数字证书来确保系统信息安全的一种体系。
数字证书有时被称为数字身份证,数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。
(二)授权访问控制
校园身份认证及授权管理平台的另外一个最主要的机制就是授权访问控制,该功能对学校全局资源做访问控制。在一个校园网中实施一致的访问控制策略,是管理校园网资源的有效手段。校园身份认证及授权管理平台的访问控制机制实现这一目的,为不同应用提供统一的访问控制策略。
上图说明了RBAC访问控制模型,访问控制策略体现在RBAC模型里是用户/角色、角色/权限和角色/角色之间的关系。采用RBAC的最大的好处在于将用户和它具有的权限分离开来,给用户授予角色来实现用户的授权操作。在集中式管理中,这些授权信息通常是由一个指定的管理员来管理;而在分布式环境中,它们可以由多个具有不同管理权限域的管理员来管理。在校园身份认证及授权管理平台中,还需要对 RBAC 理论模型进行组件化实现,使访问控制管理包含可以控制细化到单个文件级别访问的权限配置模块、用于角色定义的管理员模块、定义角色之间关系的模块以及配置用户权限的模块。
(三)角色管理
角色是访问权限的集合,用户通过赋予不同的角色获得角色所拥有的访问权限。用户通过角色享有权限,它不直接与权限相关联,权限对存取对象的操作许可是通过活跃角色实现的。在RBAC模型系统中,每个用户进入系统时得到一个会话,一个用户会话可能激活的角色是该用户的全部角色的子集。
RBAC作为传统访问机制的理想候选近年来得到广泛的研究,并以其灵活性、方便性和安全性在许多系统尤其是大型数据库系统的权限管理中得到应用。
RBAC由于不是直接授权给用户,而是先授权给角色,然后再授予用户角色,这样在用户和权限之间引入角色,从而大大降低了系统的复杂度,同时RBAC体现了系统的组织结构,大大降低了系统管理员误操作的可能性,角色之间的互斥关系也可以很容易地实现任务分离。
(四)组织机构及用户组维护
组织机构数据是身份认证的基础,组织的结构以及组织内部的职务(用户组)等相应信息都需要在身份认证和权限管理系统中注册,组织机构为系统划分权限以及授权提供了有效的方式。组织中人员的权限通过包含组织下的角色权限来体现。
二、校园数据整合及决策辅助平台
根据学校业务需求的不同,建设主题数据库、元数据库、公共数据库、历史切片数据库,规范学校信息化建设数据标准,支持各种主流数据库的公共数据存取,支持将数据集直接生成可访问的数据接口。提供对信息标准以及代码维护管理工具(ETL数据工具),支持数据导入、导出、数据表检索、更正模式,完成对系统间数据的清洗、加载、传输等工作。
(一)ETL管理工具
ETL工具拥有直观的图形化界面,用户只需简单的鼠标拖拽即可完成ETL过程;ETL工具还提供异步的ETL过程处理模式,使数据抽取、转换及数据装载等操作能够并行执行,实现数据的高速处理;此外,ETL工具还具备计划任务功能,可以按计划定时执行 ETL和图形化任务,不需要用户时时监控。
(二)报表系统
校园数据整合及决策辅助平台采用强大的Birt报表系统。Birt基于开源设计,具有开发方便、操作界面友好、扩展性强等优点,并且可灵活定义表单样式,图形化拖拽构建工作流。另外,Birt能够实现列表、图表、混合报表等多种报表形式,用于展示概要数据和詳细数据,完美的支撑校情展示与决策分析系统。
(三)数据开放平台
平台支持使用Weservice等方式来获取数据中心的标准数据,同时提供Restful方式的数据访问,支持xml、Json等数据格式。对于个人类应用程序也提供基于OAuth2.0的授权认证数据访问。
通过开放数据管理,平台可以根据需要在系统中定制需要的数据访问接口,而无需定制开发。
三、校园门户管理平台
提供一个支持信息访问、传递、以及协作化的集成化环境,把各种应用系统、数据资源和互联网资源统一集成到学校门户之下,形成学校统一的信息入口。通过数据与应用的集成及个人桌面个性化工作区服务定制,为校领导、教师、学生、家长等提供提供面向个人、自助式服务支持,管理公共信息,选择性地展示学校的动态信息和应用对社会公众和校内师生提供不同的信息服务和进入相应校园信息管理系统的入口。该平台位于信息化校园平台体系结构中的最上层,实现信息化校园各应用系统与用户的人机交互服务平台,是信息化校园的信息集中展示的窗口。
(一)权限控制
统一门户平台针对角色和用户多种粒度进行权限控制,按照不同角色和用户的信息获取特性,对其提供贴合需求的信息及应用空间。
(二)常驻的桌面入口
不仅提供了基于网页访问的统一入口实现,并且提供了校内通桌面客户端,随桌面开机启动,常驻在系统右下角,为教师提供了浏览器以外的更容易的访问应用的方式。
做为常驻桌面程序,可以时刻将通知和消息送达教师面前。通过桌面程序,用户能够更方便进入到各数字校园程序中,更方便的实时获取数字校园各应用程序推送的内容和消息。
四、第三方应用整合系统
(一)数字校园应用一站式管理
门户平台通过建立底层结构来联系横贯整个组织内外的异构系统、应用、数据源等,完成在组织内外的数据库、数据仓库、办公自动化、电子邮件系统,以及其它重要的内部系统之间无缝地共享和交换数据的需要。
(二)第三方应用系统数据整合
基础平台是各个应用系统的基础,可以使每个应用系统进行统一的身份权限审计、数据推送共享、统一门户展示,实现数字校园全部应用的单点登录及应用系统产生的所有新消息进行多渠道的推送。
(作者单位:湖北邮电规划设计有限公司)