一、招标内容
统一身份认证平台产品技术参数
学校在信息化建设过程中,建立了多种业务业务系统,均独立存在。每套系统均有独立的账号和密码。因此需建立一套完整的、独立的、高效稳定的、安全可靠的集中身份认证和授权管理平台,由此实现单点登录服务以确保用户身份认证的准确性和便利性,实现各个应用系统用户用户名和口令统一。根据学校分层季候设置、分级履行职能的特点,保障用户权限统一分配的安全性和灵活性,最终实现信息化校园用户管理的登录账号的统一认证授权的统一。
1.1 总体技术要求
本项目信息系统的建设应采用先进的设计思想和主流的技术路线,必须符合业界当前的发展趋势,遵循行业的相关技术标准。
平台和应用系统均要求采用B/S结构,采用Java编程语言和服务器端Java技术进行开发;可运行于Linux、Unix、Windows等高安全性操作系统。
基于微服务架构技术,实现功能模块解耦,实现前后端分离,用户界面变更不影响服务提供的稳定性;支持容器化部署。
系统性能要求:要求能够支持10万用户的容量,支持20000用户同时在线使用,并且支持2000用户并发访问。
安全等级保护要求:需要符合国家《信息安全等级保护管理办法》二级信息系统中技术方面的要求。
1.2 技术性需求
一、基础性技术要求
(一)统一身份认证平台需保证为平台的用户提供身份认证,建立通信信任关系,保证身份的真实性、信息的保密性。
(二)先进的技术和安全策略的要求
1、系统需遵从国家有关法律中关于用户账号安全的标准,整体部署的安全机制、日志审核和访问策略控制手段需保证平台高度安全。
2、系统需支持对用户的操作行为进行日志记录,以追溯用户的行为过失,确保数据安全。
3、系统需支持对用户登录密码在传输过程和存储方面进行不同程度的加密处理,以保证敏感信息的安全性。
二、其他要求
(一)统一身份管理
1、身份管理需满足完全基于WEB界面,加密传输,无需专用客户端。
2、用户信息采取实名制。需支持管理员基于用户实际身份和基本信息建立独立且唯一用户账号。
3、系统需满足具备良好的稳定性和集成性,需支持提供多种成熟认证接口。
(二)需支持单点登录功能,用户只需要登录(认证)一次,就可以访问符合身份权限的应用系统,避免用户密码过多导致密码遗忘或遗失。
(三)需支持找回密码功能,用户不慎遗失密码时,可通过该功能,输入设置密码时填写的验证信息恢复密码,以减轻系统管理员的负担。
(四)需支持采用灵活的基于角色的权限管理模型。
(五)为保证投标人或软件厂商所投产品是成熟的,无版权纠纷问题,投标人或软件厂商需具有统一身份认证产品软件著作权登记证书。
(六)具有对第三方应用特定功能进行鉴权的能力,实现第三方应用系统的部分页面被用户访问时自动拦截到统一认证平台进行身份识别鉴权,确定用户具有访问权限后才被许可访问其页面。
(七)乙方需免费提供系统与学校智慧校园基础数据信息服务平台(共享数据平台、统一身份认证管理平台、综合信息服务门户平台、统-消息通讯平台)对接的集成接口。并且,乙方需免费协助甲方完成系统与学校智慧校园基础数据信息服务平台的对接集成工作,并免费协助甲方对本项目软件开展信息安全等级保护测评及整改(应用安全方面)工作。
(八)在教育行业有成熟案例者优先
1.3 功能性需求
统一身份认证平台需实现:统一认证、应用管理、组织机构、身份管理、统一权限、安全审计以及系统管理功能。
一、统一认证
1、统一认证方式需包括:账号认证、密钥认证、第三方认证、生物信息认证;
2、多种认证方式需支持支持PC端B/S系统认证;
二、应用管理
应用管理需包含:系统应用管理和自定义应用管理。
(一)系统应用管理
1、系统应用管理需支持添加应用功能。增加应用系统的接入类型需支持:单点登录、登录助手、超链接、OAUTH协议接入。
2、对已添加的应用系统需支持:查看权限、修改应用、删除应用、禁用应用、指定管理员、管理成员功能。
3、应用系统授权
需支持指定应用系统管理员,激活/禁用系统。
(二)自定义应用管理
需支持平台中用户自定义应用的管理,包含功能有:添加应用、修改应用、删除应用、添加到通用以及查询应用功能。
三、组织机构
组织机构需包含:部门管理、岗位管理、角色管理以及用户组管理。
(一)部门管理
1、需支持管理员对学校部门进行管理。
2、需支持针对部门名称进行搜索功能,需支持增、删、改、查操作。以及导入外部数据,导出数据。
(二)岗位管理
1、需支持管理员权限下,对学校的岗位进行管理。
2、需支持管理员权限下对岗位进行搜索功能,需支持增、删、改、查。
(三)角色管理
1、需支持管理员权限下,对学校角色进行管理。
2、需支持管理员权限下对角色进行搜索功能,需支持添加觉得功能,需支持对添加的角色进行管理操作。包括:修改角色和删除角色。
3、需支持采用基于角色的访问控制策略,对用户和用户组赋予相应的角色,针对学校不同职能部门定义不同的角色,同时根据用户的责任和资格来分配角色及角色中添加和撤销权限。
(四)用户组管理
1、需支持管理员权限在,对学校用户组进行管理;需支持组管理员权限下,对相应的用户组进行管理。
2、需支持管理员权限下,对学校用户组进行搜索功能。需支持添加用户组、导入数据、导出数据功能。对已添加的用户组需支持:添加成员、修改用户组、指定管理员功能。
四、身份管理
支持包含学生、教职工用户的统一身份库,实现各应用系统与统一身份库之间的用户信息交互;实现用户账号的统一管理、查询和统计功能;实现用户信息同步。身份管理需支持包含:教工身份、学生身份、师资统计、等必要统计功能。
(一)教工身份
1、需支持根据登录账号、用户姓名、身份证号码以及输入未登录天数进行搜索。并需支持通过选择账号状态进行高级检索操作。
2、需支持选中所有、取消选中、新增用户、上传头像、模板下载、批量导入、批量导出、LDAP导出(学校具有LDAP身份管理服务器)、显示配置、扩展字段、批量操作功能。
3、需支持对教工角色进行管理操作。包含:修改、删除、重置密码功能。
(二)学生身份
1、需支持根据登录账号、用户姓名、身份证号码以及输入未登录天数进行搜索。并需支持通过选择账号状态进行高级检索操作。
2、需支持选中所有、取消选中、新增用户、上传头像、模板下载、批量导入、批量导出、LDAP导出(学校具有LDAP身份管理服务器)、显示配置、扩展字段、批量操作功能。
3、需支持对学生身份进行管理操作。包含:修改、删除、重置密码功能。
(三)师资统计
需支持对教师职务统计、教工学历统计、教工职称统计以及教工性别统计。
五、统一权限
统一权限需采用分级授权以及多级授权模式,通过对部门、岗位、用户组、角色、用户的授权,实现用户权限的继承;
需支持系统管理员将个别应用的管理权限下放到下级单位,由此实现应用权限控制的精细化、全面化、合理化。
(一)部门授权
需支持管理员、部门领导对整个部门进行授权,实现大批量用户授权,不同部门将会授予不同权限。
(二)岗位授权
需支持管理员对所有岗位进行授权,实现不同岗位的不同权限。
(三)用户组授权
需支持管理员、组管理员对用户组进行授权,实现不同用户组的不同权限。
(四)角色授权
需支持管理员对整个角色成员进行授权,实现不同角色的不同权限。
(五)用户授权
需支持管理员、组管理员对用户进行授权,实现不同用户的不同权限。
六、安全审计
需提供详细统计报表服务,统计用户的使用情况和异常情况,直观反映整个数字化校园的运行使用情况,通过多维统计分析为校园信息化的未来提供新的建设思路。同时对异常情况有效监控,帮助管理员及时发现问题和异常。
(一)应用访问统计
需支持管理员、校领导、部门领导统计所有应用系统的访问情况,及访问日志。应用访问统计以图形比例形式展现,用户可查看访问的前十个应用名称,了解应用类型、访问次数,所占百分比,可了解环比前日所访问系统应用是上升或下降趋势以及增加量情况。
(二)院系访问统计
需支持管理员、校领导、部门领导统计各个院系访问应用系统的情况,以及访问日志。可选所有系统、或单独进行查看。支持查看各个院系环比前日访问量、访问趋势情况以及增加量。
(三)实时访问统计
需支持管理员、校领导、部门领导查看各应用系统,各院系的实时访问情况。支持按应用查看及院系查看,可根据需要选择时间与系统进行查看。
(四)访问趋势统计
需支持管理员、校领导、部门领导查看学校不同时段,不同院系相应系统的访问量。支持按小时及院系查看。
(六)防火墙功能
需支持指定IP白名单和IP黑名单。添加IP地址、更新IP地址,IP类型且可进行相应描述。
(七)安全策略配置
需支持管理员配置统一身份认证平台的账号、密码、日志、、权限、SSO安全策略。账号策略具备锁定规则,允许错误密码次数,设置锁定时间。密码策略需对密码复杂性、最小长度进行设置。日志策略对登录、登出、应用访问可进行选择,记录/不记录。权限策略对创建自定义应用、应用管理员删除应用、组织机构管理员删除组织机构可进行选择,允许/不允许。SSO策略包含IP是否绑定、防火墙设定是否开启、以及防火墙名单设定,只认黑名单/只认白名单。
(八)用户活跃度统计
需支持管理员按活跃类别统计,可分院系、全校、部门、角色查看,支持统计时间段自定义,可忽略假期,支持活跃间隔基数自定义,了解全校活跃概况。
(九)访问次数统计
需支持对全校学生、教职工最近7天、甚至最近30天学校访问概况进行统计。可观察用户类别以及登录次数,并以用户访问量趋势统计进行呈现。
(十)登录登出日志
需收集身份管理平台各个服务组件所产生的日志,经过分析、筛选、归并、记录在管理控制台的数据库中,通过管理控制台可以查询这些日志,并对认证客户端的流量、类型、IP地址信息作明细跟踪和后续分析,提供对所有审核信息的查询检索功能。
(十一)平台分类统计
需支持管理员统计统一身份认证平台的访问量及登录情况。可分为教职工、学生,支持按小时、天、周、月、年进行查看,支持查看登录比例情况,如:密码错误、被限制登录、登录被锁定、其它错误及登录成功。
(十二)★登录异常统计
需支持管理员按登录异常类型统计,可分院系、全校、部门、角色查看,支持统计时间段自定义(今天、昨天、最近7天、最近30天,自定义)。
七、系统管理
系统管理需包含:系统显示配置、LDAP接口配置、SSO用户信息配置、系统灾备以及数据还原功能。
(一)系统显示配置
需支持管理员配置统一身份认证平台,系统管理员可以在web页面针对系统所需的各个参数进行轻松简单的配置,如:安全策略配置、LDAP接口配置、SSO用户信息配置。可进行系统显示配置:能有效实现登录界面、页面信息、显示学校名称、Logo、页面文字描述、邮件信息、系统跳转异常提示描述信息,同时支持登录页面源码编辑。
(二)LDAP接口配置
需支持管理员配置LDAP接口。需包含:连接地址/端口号、LDAP连接账号、LDAP连接密码、用户信息存放路径、查询用户过滤条件及登录账号存储属性。账号存储属性用于登录界面帐号密码LDAP同步验证,也是LDAP导入数据时导入用户帐号LDAP中所对应属性。
(三)SSO用户信息配置
需支持管理员统一身份认证平台SSO用户信息配置。唯一信息标识配置、拓展用户信息列表。统一信息标识中唯一信息标识分为:学生:学号、身份证号,教工:教工号、身份证号。拓展用户信息列表中拓展信息列表包含:角色信息、部门信息、院系信息、专业信息、用户基本信息、岗位信息、年级信息和班级信息。
(四)系统灾备
需支持管理员备份平台的用户信息及权限信息,重置系统。系统管理员可通过浏览器一键式完成对整个应用系统数据库的备份、还原和重置,轻松、快速完成数据库的灾备处理。
(五)数据还原
需支持管理员对教职工、学生数据批量还原、删除,支持按姓名、职工号/学号查询。建立的数据回收站机制,有效实现对误删教职工、学生数据的一键还原。
二、投标人资质要求
供应商应具备《政府采购法》第二十二条第一款规定的条件。
如经营、开发或承担本类项目的相关服务,国家有强制性规范和行业标准、相关生产许可证、强制认证或资质要求的,供应商必须完全满足。
供应商在“信用中国”(www.creditchina.gov.cn)网站、“中国政府采购网”网站(http://www.ccgp.gov.cn)中未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
具体资格要求如下(包含但不限于):
(1)投标人须是在中华人民共和国境内注册的独立法人机构;
(2)公司注册必须2年及以上,具有良好的商业信誉和健全的财务会计制度;
三、报名咨询
湖北商贸学院校园建设与资产管理处 027-87786896 ;报名资料电子档可发送邮箱:hbsmzcc@163.com (邮件请注明公司名称,联系人和联系方式)
报名截止日期2021年6月21日
