1.4研究内容
　　本文研究内容主要是:
　　需求分析：结合该电信企业的组织机构特点,对其需求进行了分析.明确了横向单点登录、纵向单点登录、管理平台、访问控制、日志审计、非功能和功能需求。
　　研究关键技术并进行设计：通过需求分析，通过统一认证技术原理和控制访问技术原理对该企业单点登录进行了详细设计。其中涉及WEB应用统一认证、非WEB应用统一认证、短信认证、CA认证等具体技术。
　　系统测试：系统设计完成后进行了系统管理、用户使用和安全方面的初步测试。
　　第二章：系统需求分析
　　2.1总体需求
　　根据中国电信IT系统的现状，本期需求主要是：
　　建立并规范全集团（总部和省公司）企业用户目录。
　　实现集团级应用系统的单点登录。
　　实现总部IT系统横向单点登录和省公司IT系统横向单点登录
　　实现集团、总部和省公司间IT系统单点登录。
　　2.1.1.业务流程梳理及优化－（当前企业流程）
　　 各系统都有访问的入口（URL或客户端），入口位置难记住；
　　 各系统都有自己的登录口令，口令多，难记住；
　　 VPN配置复杂，经常被防火墙挡住，不方便；
　　 各系统孤立，不能有效配合；
　　 集团公司、省公司、本地网无有效的信息传递途径，目前存在安全电子邮件和DCN网，DCN网建设成本高，建设周期长，安全邮件使用率较低。
　　图1当前企业流程图（这不是标准的流程图，改！！）
　　2.1.2业务流程梳理及优化－（优化后流程）
　　 统一的认证凭证；
　　 统一的登录入口；
　　 无配置VPN，能顺利通过防火墙；
　　 各系统互相配合，渗透，成一个有机整体；
　　 最大程度满足集团公司、省公司和本地网的信息传递，通过Internet网，完成公司之间的信息传递，通过局域网完成信息的内部流转。
　　
　　图2优化后流程图
　　2.1.3.功能需求－单点登录
　　实现门户与应用系统，两级门户之间的互访，首先要完成单点登录（SingleSign-On），单点登录可以保证用户只需要登录门户，不需要再次输入认证，就可以访问其他应用系统。
　　单点登录功能包括两个方面：
　　 “单点登录”。即用户通过身份认证后，在门户系统退出前，访问所有应用系统时均不需要再次手工登录，而是由系统自动代为登录。
　　 “单点退出”。即用户如果从门户系统后，则用户从当前所有已经登录的应用系
　　 统均同时退出。
　　现阶段，应实现“单点登录”功能。可以根据具体环境，有选择的实现“单点退出”功能。单点登录依据应用的范围，分为门户与应用之间的横向单点登录、门户之间互访的纵向单点登录两类需求。
　　2.1.4.功能需求－单点登录
　　 横向单点登录
　　实现门户与应用之间实现单点登录（SSO）
　　 纵向单点登录
　　实现两级门户互访，包括总部员工访问全集团门户和省公司门户，省公司员工访问集团门户及总部门户，实现互访单点登录。
　　2.2功能需求
　　 管理平台
　　管理平台对系统各模块（应用、授权、认证、审计）进行集成，实现对应用、授权的可视化集中配置和管理，为用户提供统一的管理入口，并实现门户内部的不同角色定义以及资源授权，满足不同用户的分级管理。
　　 访问控制
　　统一认证平台应实现用户对单点登录应用的访问控制。
　　 日志审计
　　根据公司IT内控要求，审计主要目的是能够对用户在IT系统上的操作记录实现事后追踪，并对用户违规操作行为进行预警
　　2.3非功能需求（要有文字说明）
　　 系统性能需求
　　 系统可靠性需求
　　 作系统需求
　　 数据库需求
　　
　　第三章：相关的关键技术及总体方案设计
　　3.1统一身份认证技术原理
　　统一身份认证：1、采用SAML标准消息协议，通过对用户身份凭证的统一管理，实现在用户各系统和资源间的单点登入和单点登出。2、在系统认证过程中使用基于SOAP（简单对象访问）协议标准，实现登录请求的提交和认证结果的返回。
　　3.2访问控制技术原理
　　访问控制技术：用户系统和资源的安全接入主要采用PlugIn和基于SSL协议的反向代理技术，PlugIn技术通过在用户系统或资源前加装安全插件，实现用户资源的防护，使用此技术需要用户系统修改。
　　3.3设计思想
　　 先进性
　　 安全性
　　 开放性
　　 高可靠性
　　 可扩展性
　　3.4总体设计－统一认证系统功能架构框架与说明
　　
　　图3统一认证系统功能架构框架图（这图有点像是系统逻辑架构，但不标准，功能结构图另画）
　　 在总部、各省建立统一认证平台，用户通过平台认证并实现门户及应用系统的单点登录。
　　 集团统一认证平台实现集团门户和全集团性应用的安全认证及单点登录。
　　 集团、总部和省公司两级认证平台实现互访认证。通过互访认证机制，实现集团、总部和省公司两级门户之间单点登录，并完成总部和省公司门户到全集团性应用的单点登录。
　　 统一认证平台需提供标准的认证接口，提供其他系统接入时的统一认证，其他系统接入门户，也需要通过认证平台实现单点登录。
　　 统一认证平台能够支持对应用的实体级访问授权，应采用角色授权的灵活机制，支持应用及授权的集中管理。
　　3.5总体设计－系统逻辑架构设计
　　
　　图4系统逻辑架构设计图（这不是逻辑架构图）
　　
　　目前中国电信总部和省公司IT系统的管理相对独立，可以视为同级。中国电信企业门户与OA系统分为集团\总部和省分公司两级架构部署，并实现两级之间的信息互访。统一认证平台提供门户与应用的集成、门户间的互访，也同样采用两级架构进行部署，遵循集团规范建设。
　　
“浙江省电信企业统一身份认证系统的设计与实（二）”版权归作者所有，转载请著名出处。