1、統(tǒng)一內(nèi)容管理統(tǒng)一身統(tǒng)一系統(tǒng)一系統(tǒng)一消份認(rèn)證統(tǒng)授權(quán)統(tǒng)審計(jì)息平臺(tái)基礎(chǔ)支撐層統(tǒng)一身份認(rèn)證（SSO）統(tǒng)一身份認(rèn)證解決用戶(hù)在不同的應(yīng)用之間需要多次登錄的問(wèn)題。目前主要有兩種方法，一種是建立在PKI,Kerbose和用戶(hù)名/口令存儲(chǔ)的基礎(chǔ)上；一種是建立在cookie的基礎(chǔ)上。統(tǒng)一身份認(rèn)證平臺(tái)主要包括三大部分：統(tǒng)一口令認(rèn)證服務(wù)器、網(wǎng)絡(luò)應(yīng)用口令認(rèn)證模塊（包括Web口令認(rèn)證、主機(jī)口令認(rèn)證模塊、各應(yīng)用系統(tǒng)口令認(rèn)證模塊等）和用戶(hù)信息數(shù)據(jù)庫(kù)，具體方案如下圖。1、采用認(rèn)證代理，加載到原有系統(tǒng)上，屏蔽或者繞過(guò)原有系統(tǒng)的認(rèn)證。2、認(rèn)證代理對(duì)用戶(hù)的認(rèn)證在公共數(shù)據(jù)平臺(tái)的認(rèn)證服務(wù)器上進(jìn)行，認(rèn)證代理可以在認(rèn)證服務(wù)器上取得用戶(hù)的登錄

2、信息、權(quán)限信息等。3、同時(shí)提供一個(gè)頻道鏈接，用戶(hù)登錄后也可以直接訪問(wèn)系統(tǒng)，不需要二次認(rèn)證。4、對(duì)于認(rèn)證代理無(wú)法提供的數(shù)據(jù)信息，可以通過(guò)訪問(wèn)WebService接口來(lái)獲得權(quán)限和數(shù)據(jù)信息。單點(diǎn)登錄認(rèn)證的流程如下圖所示:應(yīng)用A WEB單點(diǎn)登錄系 統(tǒng)認(rèn)證流程用戶(hù)z-. /瘴E戶(hù)名)3用尸土-1一 4汩L(zhǎng)dap Server認(rèn)證服務(wù)器應(yīng)用B WEBQEkooCbcook ie ., cie_inf取 cook.6 登記oinfd結(jié)果J-Cookie Server單點(diǎn)登錄只解決用戶(hù)登錄和用戶(hù)能否有進(jìn)入某個(gè)應(yīng)用的權(quán)限問(wèn)題，而在每個(gè)業(yè)務(wù)系統(tǒng)的權(quán)限則由各自的業(yè)務(wù)系統(tǒng)進(jìn)行控制，也就是二次鑒權(quán)的思想，這種方式減少了

3、系統(tǒng)的復(fù)雜性。統(tǒng)一身份認(rèn)證系統(tǒng)架構(gòu)如下圖所示。統(tǒng)一系統(tǒng)授權(quán)統(tǒng)一系統(tǒng)授權(quán)支撐平臺(tái)環(huán)境中，應(yīng)用系統(tǒng)、子系統(tǒng)或模塊統(tǒng)通過(guò)注冊(cè)方式向統(tǒng)一系統(tǒng)授權(quán)支撐平臺(tái)進(jìn)行注冊(cè)，將各應(yīng)用系統(tǒng)的授權(quán)部分或全部地委托給支撐平臺(tái)，從而實(shí)現(xiàn)統(tǒng)一權(quán)限管理，以及權(quán)限信息的共享，其注冊(cè)原理如下圖。OA系統(tǒng)業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)N用戶(hù)對(duì)各應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限存放在統(tǒng)一的權(quán)限信息庫(kù)中。用戶(hù)在訪問(wèn)應(yīng)用系統(tǒng)的時(shí)候，應(yīng)用系統(tǒng)通過(guò)統(tǒng)一授權(quán)系統(tǒng)的接口去查詢(xún)、驗(yàn)證該用戶(hù)是否有權(quán)使用該功能，根據(jù)統(tǒng)一系統(tǒng)授權(quán)支撐平臺(tái)返回的結(jié)果進(jìn)行相應(yīng)的處理，其原理如下圖。統(tǒng)一系統(tǒng)授權(quán)支撐平臺(tái)的授權(quán)模型如下圖所示。在授權(quán)模型中采用了基于角色的授權(quán)方式，以滿足權(quán)限管理的靈活性、

4、可擴(kuò)展性和可管理性的需求資源資源資源統(tǒng)一系統(tǒng)授權(quán)支撐平臺(tái)的系統(tǒng)結(jié)構(gòu)如下圖所示組織機(jī)構(gòu)及用戶(hù)管理Web Services用戶(hù)信息庫(kù)授權(quán)信息庫(kù)應(yīng)用程序權(quán)限管理用戶(hù)授權(quán)管理用戶(hù)單點(diǎn)登錄 應(yīng)用程序權(quán)限控制應(yīng)用系統(tǒng)用戶(hù)統(tǒng)一系統(tǒng)審計(jì)統(tǒng)一系統(tǒng)審計(jì)平臺(tái)通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)，分析用戶(hù)和系統(tǒng)的行為、審計(jì)系統(tǒng)、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、跟蹤識(shí)別違反安全法則的行為，使系統(tǒng)管理員可以有效地監(jiān)控、評(píng)估系統(tǒng)。統(tǒng)一系統(tǒng)審計(jì)平臺(tái)目標(biāo)是能夠進(jìn)行審計(jì)部署，實(shí)現(xiàn)對(duì)操作者、操作時(shí)間、操作對(duì)象和操作行為等信息的自動(dòng)記錄，并提供這些信息的查詢(xún)、統(tǒng)計(jì)等功能，達(dá)到檢測(cè)不安全的操作行為的目的。統(tǒng)一系統(tǒng)審計(jì)平臺(tái)系統(tǒng)結(jié)構(gòu)如下圖。業(yè)務(wù) 系統(tǒng)N統(tǒng)一信息平臺(tái)統(tǒng)一信息平臺(tái)實(shí)現(xiàn)各種業(yè)務(wù)系統(tǒng)待辦信息的整合。用戶(hù)登錄內(nèi)網(wǎng)門(mén)戶(hù)系統(tǒng)后，系統(tǒng)自動(dòng)根據(jù)登錄的用戶(hù)身份整理分類(lèi)業(yè)務(wù)系統(tǒng)待辦信息，通過(guò)門(mén)戶(hù)系統(tǒng)展現(xiàn)給用戶(hù)。統(tǒng)一待辦信息平臺(tái)系統(tǒng)架構(gòu)如圖：1.辦信息平臺(tái)所提供的Webservice消息服務(wù)接口，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)與統(tǒng)一待辦信息平臺(tái)之間的消息傳遞。2.統(tǒng)一待辦信息平臺(tái)消息傳遞的主要內(nèi)容如表：業(yè)務(wù)系統(tǒng)編碼消息編號(hào)消息標(biāo)題一消息內(nèi)容地址一消息生效