一、招标内容

统一身份认证平台产品技术参数

学校在信息化建设过程中，建立了多种业务业务系统，均独立存在。每套系统均有独立的账号和密码。因此需建立一套完整的、独立的、高效稳定的、安全可靠的集中身份认证和授权管理平台，由此实现单点登录服务以确保用户身份认证的准确性和便利性，实现各个应用系统用户用户名和口令统一。根据学校分层季候设置、分级履行职能的特点，保障用户权限统一分配的安全性和灵活性，最终实现信息化校园用户管理的登录账号的统一认证授权的统一。

总体技术要求

本项目信息系统的建设应采用先进的设计思想和主流的技术路线，必须符合业界当前的发展趋势，遵循行业的相关技术标准。

平台和应用系统均要求采用B/S结构，采用主流的语言及技术进行开发；可运行于Linux、Unix、Windows等主流操作系统。

系统性能要求：要求能够支持用户的容量不低于50000，支持10000用户同时在线使用。

安全等级保护要求：需要符合国家《信息安全等级保护管理办法》二级信息系统中技术方面的要求。

技术性需求

一、基础性技术要求

（一）统一身份认证平台需保证为平台的用户提供身份认证，建立通信信任关系，保证身份的真实性、信息的保密性。

（二）先进的技术和安全策略的要求

1、系统需遵从国家有关法律中关于用户账号安全的标准，整体部署的安全机制、日志审核和访问策略控制手段需保证平台高度安全。

2、系统需支持对用户的操作行为进行日志记录，以追溯用户的行为过失，确保数据安全。

3、系统需支持对用户登录密码在传输过程和存储方面进行不同程度的加密处理，以保证敏感信息的安全性。

二、其他要求

（一）统一身份管理

1、身份管理需满足完全基于WEB界面，加密传输，无需专用客户端。

2、需支持基于用户身份和基本信息建立独立且唯一用户身份ID和统一账号。

3、系统需满足具备良好的稳定性和集成性，需支持提供多种成熟认证接口。

（二）需支持单点登录功能，用户只需要登录（认证）一次，就可以访问符合身份权限的应用系统，避免用户密码过多导致密码遗忘或遗失。

（三）需支持找回密码功能，用户不慎遗失密码时，可通过该功能，输入设置密码时填写的验证信息恢复密码，以减轻系统管理员的负担。

（四）需支持采用灵活的基于角色的权限管理模型。

（五）为保证投标人或软件厂商所投产品是成熟的，无版权纠纷问题，投标人或软件厂商需具有统一身份认证产品软件著作权登记证书。

（六）乙方需免费提供系统与学校现有教学平台、图书馆自动化管理平台、站群管理对接的集成接口，同时需满足学校后续建设的信息化系统的对接功能。乙方需免费协助甲方完成系统与学校智慧校园基础数据信息服务平台的对接集成工作，并免费协助甲方对本项目软件开展信息安全等级保护测评及整改(应用安全方面）工作。

（八）在教育行业有成熟案例者优先，提供案例简介。

功能性需求

统一身份认证平台需实现：统一认证、单点登录、统一用户入口、应用管理、组织管理、用户管理、统一权限、安全审计及系统集成功能。

一、统一认证

1、统一认证方式需包括：账号密码认证、企业微信扫码认证、短信认证；

2、多种认证方式需支持支持PC端B/S系统认证；

3、需提供接入系统认证策略管理及配置，支持应用认证等级设置；

4、需能支持多种认证方式组件化扩展，包括动态口令、扫码、证书认证、生物认证等手段；

5、支持扩展微信、QQ等第三方平台认证；

6、支持扩展AD、LDAP、Radius认证；

二、单点登录

提供单点登录认证，用户一次登录系统后获得凭证，再次访问其他系统时无需再次认证；

提供常见的单点登录协议接入标准，包括OAuth2.0、CAS、SAML、密码代填、JWT、OIDC等。

配合包括本项目要求的集成系统实现统一身份、统一认证、SSO接入，并为业务系统提供相应的基础数据；

支持PC端、移动端的单点登录；

支持老旧系统、无法改造系统的代填登录；

支持自研系统、SaaS系统单点登录；

支持多种应用场景下的应用系统单点登录，如AD域桌面、虚拟桌面；如企业微信、钉钉等移动办公平台；

支持为基于不同平台开发的异构业务系统提供webservice，restful的认证，用户信息获取接口；

三、统一用户入口

提供用户统一访问入口，用户统一通过统一入口登录，在轻量级的信息门户访问有权限访问的应用系统。

需提供应用系统快捷导航实现SSO登录。

需支持找回密码功能，用户不慎遗失密码时，可通过该功能，输入设置密码时填写的验证信息恢复密码，可以通过短信找回密码、通过邮箱或企业微信等方式找回密码，以减轻系统管理员的负担。

需支持用户自助服务能力，包括用户一站式个人信息修改、密码修改。

四、应用管理

提供应用管理，集中管理所有应用系统包括添加应用、按应用类型配置、修改应用、删除应用等功能。

需能指定应用授权管理员，指定一个或者多个管理员管理应用、帐号、认证及权限。

应为不同应用提供帐号策略，认证策略、权限模型管理

提供应用帐号管理，包括开通帐号、删除帐号、启用账号、禁用帐号、修改密码、帐号查询、帐号批量操作、导入导出、深度权限授权等功能。

支持应用单点登录集成、应用单点登录按协议配置接入等。

持通过多种维度授权应用、开通应用帐号及进行授权，包括通过组织部门、岗位、用户组指定授权策略，通过给用户或者批量为用户授权应用及权限。

五、组织管理

组织机构需包含：组织管理、岗位管理以及用户组管理。

（一）组织管理

1、需支持管理员对学校组织和部门进行管理。

2、需支持针对组织名称进行搜索功能，需支持增、删、改、查操作。以及导入外部数据,导出数据。

3、需支持组织扩展，管理多套组织架构。

4、需支持指定组织和部门的管理员，通过管理员维护该部门及用户数据、维护用户账号等。

5、支持兼职组织，满足一人多组织的特殊管理需求。

6、支持为组织授权岗位和应用。

（二）岗位管理

1、需支持管理员权限下，对岗位进行管理。

2、需支持管理员权限下对岗位进行搜索功能，需支持添加岗位功能，需支持对添加的岗位进行管理操作。包括：修改岗位和删除岗位。

3、需支持采用基于岗位授权策略，对岗位赋予相应的应用系统或者权限，用户分配到这个岗位将根据定义的授权策略进行默认系统开通。

（四）用户组管理

1、需支持管理员权限在，对学校用户组进行管理；需支持组管理员权限下，对相应的用户组进行管理。

2、需支持管理员权限下，对学校用户组进行搜索功能。需支持添加用户组、导入数据、导出数据功能。对已添加的用户组需支持：添加成员、修改用户组、指定管理员功能。

3、需支持采用基于用户组授权策略，对用户组赋予相应的应用系统或者权限，用户添加到这个用户组将根据定义的授权策略进行默认系统开通。

六、用户管理

支持包含学生、教职工用户的统一身份库，支持多种身份用户管理及扩展，实现各应用系统与统一身份库之间的用户信息交互；实现用户账号的统一管理、查询和统计功能；实现用户信息同步。身份管理需支持包含：教工身份、学生身份、师资统计、等必要统计功能。

（一）教工身份

1、需支持根据登录账号、工号、用户姓名、身份证号码等进行搜索。并需支持通过选择账号状态进行高级检索操作。

2、需支持选中所有、取消选中、新增用户、上传头像、模板下载、批量导入、批量导出、显示配置、扩展字段、批量操作功能。

3、需支持对教工身份进行管理操作。包含：修改、删除、授权岗位、移动用户、用户离职、用户恢复、开通账户功能。

4、需支持对教工身份进行账号管理，包括开通账号、批量操作、更新密码、启用/禁用账号、深度授权等基本功能。

（二）学生身份

1、需支持根据登录账号、工号、用户姓名、身份证号码等进行搜索。并需支持通过选择账号状态进行高级检索操作。

2、需支持选中所有、取消选中、新增用户、上传头像、模板下载、批量导入、批量导出、显示配置、扩展字段、批量操作功能。

3、需支持对学生身份进行管理操作。包含：修改、删除、授权岗位、移动用户、用户离职、用户恢复、开通账户功能。

4、需支持对学生身份进行账号管理，包括开通账号、批量操作、更新密码、启用/禁用账号、深度授权等基本功能。

（三）师资统计

        需支持对教师职务统计、教工学历统计、教工职称统计以及教工性别统计。

七、统一权限

统一权限需采用分级授权以及多维度授权模式，通过对部门、岗位、用户组、用户的授权；支持应用系统深度权限管控，包括基于角色、功能菜单、数据级的细粒度授权。

需支持系统管理员将个别应用的管理权限下放到下级单位，由此实现应用权限控制的精细化、全面化、合理化。

八、安全审计

需提供详细统计报表服务，统计用户的使用情况和异常情况，直观反映整个数字化校园的运行使用情况，通过多维统计分析为校园信息化的未来提供新的建设思路。同时对异常情况有效监控，帮助管理员及时发现问题和异常。

（一）配置化审计及报表

需支持对于安全审计及报表进行配置化，对于用户访问、操作、管理员、数据安全等层面进行安全审计和图形化统计报表展示。

（二）应用访问统计

需支持管理员、校领导、部门领导统计所有应用系统的访问情况，及访问日志。

（五）访问控制功能

需支持IP、黑名单、时间、资源策略的管理及自定义配置。

（六）安全策略配置

需支持管理员配置统一身份认证平台的账号、密码、认证策略。

账号策略具备锁定规则，允许错误密码次数，设置锁定时间，首次登录强制修改密码，为不同应用设置不同的帐号策略、命名规则。

密码策略需对密码复杂性、最小长度、不能重复次数、有效天数、过期提醒进行设置。

认证策略需要对不同应用设置不同认证策略，配置认证等级，强认证手段等。

（七）用户活跃度统计

需支持管理员按活跃类别统计，可分院系、全校、部门、角色查看，支持统计时间段自定义，可忽略假期，支持活跃间隔基数自定义，了解全校活跃概况。

（八）访问次数统计

需支持对全校学生、教职工最近7天、甚至最近30天学校访问概况进行统计。可观察用户类别以及登录次数，并以用户访问量趋势统计进行呈现。

（十）登录登出日志

需收集身份管理平台各个服务组件所产生的日志，经过分析、筛选、归并、记录在管理控制台的数据库中，通过管理控制台可以查询这些日志，并对认证客户端的流量、类型、IP地址信息作明细跟踪和后续分析，提供对所有审核信息的查询检索功能。

（九）平台分类统计

需支持管理员统计统一身份认证平台的访问量及登录情况。可分为教职工、学生，支持按小时、天、周、月、年进行查看，支持查看登录比例情况，如：密码错误、被限制登录、登录被锁定、其它错误及登录成功。

九、系统集成

组织架构及人员需对接数据源系统，并作为上游系统推送人员、组织、账号和权限至下游应用系统；需能提供主流的数据服务标准及协议，满足不同应用系统的集成接入。

（一）数据源系统集成

需要满足现有数据源系统数据的同步集成，包括组织数据、人员数据等。

支持通过数据源下推到统一身份认证平台的数据同步方式；

支持通过统一身份认证平台主动全量查询或者增量查询拉取数据源系统的数据。支持主流的数据服务对接标准。

需支持数据源数据同步管理及组件化扩展能力，一方面能支持多数据源整合接入，另一方面可以接入新的数据源或者切换数据提供集成能力。

（二）下游应用系统集成

需支持应用系统单点登录集成、数据同步集成、未来细粒度权限集成；

需要为下游应用系统提供数据同步组件化扩展能力，热发布，不用改造平台代码即可通过组件配置化快速集成。

支持通过统一身份认证平台提供的标准数据服务，下游应用系统主动全量查询或者增量查询拉取数据源系统的数据。

支持按照统一身份认证平台提供的接口标准规范，应用系统统一改造集成，统一身份认证平台主动实时同步下发。

提供成熟的接口集成功能，可快速集成第三方系统，并提供系统集成的日志管理功能，以查询接口调用情况。

统一身份认证平台需要提供标准API服务，供未来增量系统快速进行SSO、认证、数据同步、权限等集成对接。

能以主流接口技术标准提供认证平台对外接口，方便外部系统进行业务对接。

 

二、投标资质

供应商应具备《政府采购法》第二十二条第一款规定的条件。

如经营、开发或承担本类项目的相关服务，国家有强制性规范和行业标准、相关生产许可证、强制认证或资质要求的，供应商必须完全满足。

供应商在“信用中国”（www.creditchina.gov.cn）网站、“中国政府采购网”网站（http://www.ccgp.gov.cn）中未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。

具体资格要求如下（包含但不仅限于）：

（1）投标人须是在中华人民共和国境内注册的独立法人机构；

（2）公司注册必须2年及以上，公司具有良好的商业信誉和健全的财务会计制度。

三、报名咨询

湖北商贸学院校园建设与资产管理处  027-87786896  ；报名资料电子档可发送邮箱：hbsmzcc@163.com   （邮件请注明参标项目名称，公司名称，联系人和联系方式）  

报名截止日期2021年12月8日