统一用户认证与访问控制（包含SSO单点登录）

通过构建企业级用户目录管理，实现不同用户群体之间统一认证，将大量分散的信息和系统进行整合和互联，形成整体企业的信息中心和应用中心。系统使企业员工通过单一的入口安全地访问企业内部全部信息与应用，为员工集中获取企业内部信息提供渠道，为员工集中处理企业内部IT系统应用提供统一窗口。

  Portal门户平台系统

门户系统（Portal　System）通过为特定用户提供统一、安全的交互界面，通过组合内容、应用程序和业务流程界面，为用户之间提供获取不同类型的信息视图。门户系统帮助简化任务并给用户带来真正的价值，*^*终促成企业门户解决方案的采用并提高企业的工作效率。

  认证中心（AuthDB）：存储企业用户目录，完成对用户身份、角色等信息的统一管理；

  授权和访问管理系统（AAMS）：用户的授权、角色分配；访问策略的定制和管理；用户授权信息的自动同步；用户访问的实时监控、安全审计；

  身份认证服务（AuthService、AuthAgent）：身份认证前置（AuthAgent）为应用系统提供安全认证服务接口，中转认证和访问请求；身份认证服务（AuthService）完成对用户身份的认证和角色的转换；

  访问控制服务（AccsService、UIDPlugIn）：应用系统插件（UIDPlugIn）从应用系统获取单点登录所需的用户信息；用户单点登录过程中，生成访问业务系统的请求，对敏感信息加密签名；

  CA中心及数字证书网上受理系统：用户身份认证和单点登录过程中所需证书的签发；用户身份认证凭证（USB智能密钥）的制作；统一身份凭证管理（SSO统一身份认证管理）

  建立统一的权限体系

未来所有的子系统，不论是什么平台开发的，必须遵循统一的权限体系，赋权必须按照岗位进行，岗位来源于人员信息系统的组织机构，人员信息同样来源于人员信息系统。该权限体系要考虑到岗位的同步、验证方式以及可扩展性、验证的高效性等。

  具备统一的系统入口

实现一次登录即可访问系统中的各个业务子系统，用于集成的业务子系统是B/S版本的，也包括C/S版的子系统。

  建立统一的人员标牌

企业内部员工个人数据信息（Profile）被统一进行管理，关于企业组织架构内，所属部门组织，项目组织，个人职务，负责工作等数据均被用户管理平台所记录。帮助企业按照组织结构与项目、业务结构现实内部员工工作状态与技能状态，增强企业内部人员管理，促进沟通与认识。

  建立统一的组织通信

实现企业人员与人员之间的信息通讯，通过集成IM与MailBox工具，员工与企业可建立虚拟的通讯组，并根据管理与业务的需要建立即时的Web或IM通讯机制，加强企业内部人与人的沟通，促进知识分享，提升管理与业务效率。

  集成的系统信息

统一在一个用户界面布局中显示门户和各子系统的系统信息，每条系统信息应包含来源子系统的名称、信息内容、时间等。子系统不仅包括门户自带的子系统，也应该集成现有业务子系统。

　    SSO单点登录系统 用户授权流程如下：

　　1、用户信息统一管理，包括了用户的注册、用户信息变更、用户注销;

　　2、权限管理系统自动获取新增(或注销)用户信息，并根据设置自动分配(或删除)默认权限和用户角色;

　　3、用户管理员可以基于角色调整用户授权(适用于用户权限批量处理)或直接调整单个用户的授权;

　　4、授权信息记录到用户属性证书或用户信息库(关系型数据库、LDAP目录服务)中;

　　5、用户登录到应用系统，由身份认证系统检验用户的权限信息并返回给应用系统，满足应用系统的权限要求可以进行操作，否则拒绝操作;

　　6、用户的授权信息和操作信息均被记录到日志中，可以形成完整的用户授权表，用户访问统计表。