应用系统认证集成开发要求A.1目标要求以人力资源管理信息系统（HR系统）的组织和人员基本信息为源头，统一各应用系统的组织和用户信息，并实现各应用系统组织和用户信息的自动获取，保证各应用系统用户信息准确、一致，避免权限异常造成的信息安全问题。以此为基础，在院本部域环境下，建立统一的CA和Windows域认证模式，实现桌面与应用系统的单点登录，为用户提供方便、快捷的网络工作环境。1）统一应用系统组织结构，应用系统定期通过本地AD服务器获取组织结构信息，并更新系统组织结构。2）统一应用系统用户帐号，应用系统定期通过本地AD服务器获取人员账号信息与相关属性信息，并更新系统。3）统一应用系统认证模式，应用系统具备包括CA认证、域认证、自主认证在内的三种认证模式，以及配置管理功能，管理员可以根据需要配置管理认证模式。4）规范认证过程，应用系统按照规范的认证过程实现认证，实现单点登录与二次认证要求，其中单点登录是指：从桌面到应用系统的单点登录以及多应用系统的单点登录。5）自主授权管理，应用系统根据自身需求，建立授权管理模型，利用统一的用户帐号进行系统资源的授权分配与管理。A。2组织结构与用户帐号数据获取院本部AD服务器按照院人力资源部发布的组织单元及人员信息代码标准提供相应的组织结构与人员信息属性，如表1、表2所示.表1。组织属性字段说明序号中文名称说明备注1组织单元大类组织单元大类1：部门2:虚拟部门0:公司2组织单元类型组织单元类型0：五院1：院本级2:部、厂、所3:处室4:班组3组织单元名称组织单元名称4组织单元代码组织单元代码参见《组织单元说明。xls》，不能重复5根组织单元是否为根组织单元6上级组织单元代码上级组织单元代码参见《组织单元说明.xIs》，不能重复7组织单元状态组织单元状态1：有效0：无效表2。人员属性字段说明序号中文名称说明备注1员工状态常数代码0:未入职1：试用期2:正式3:离职4:离退休5:内退7：待岗2工号员工在五院的工号唯一标识3姓名不允许有空格4用户名一般为用户姓名的全拼(即LastName+FirstName),如果出现全拼重复，则在其后顺序添加数字不允许重复5性别常数代码0:未知1：男2:女9:未说明6FirstName名的汉语拼音，首字母大写7LastName姓氏的汉语拼音，首字母大写8用工形式常数代码0:正式1：外聘还需要进一步补充9员工身份常数代码1:干部2:工人3：学生4:干部5：国家公务员6:现役军人7:无业人员9:其它10涉密等级常数代码：EMPsecret1：绝密2:机密3:秘密4：无11电子邮件工作电子邮件地址12单位员工所在单位的代码或名称13部门员工所在部门的代码或名称注：如果以上信息未覆盖应用系统所需的人员信息属性，可以协调补充。各应用系统需建立与AD服务器的数据同步接：定期读取本地域(AD服务器)组织结构信息与人员属性信息，并实现应用系统相关信息的自动刷新；通过域信任关系获取其他域组织结构与用户信息；如果应用系统需要保留院本部之外的组织和人员信息，需要单独设立组织单元进行管理，并具备管理界面自行维护，保持更新。A。3认证模式与认证过程要求身份认证所用到的凭证分为三种：CAKey所携带的证书，该证书默认为锁定状态，在正确输入了PIN码之后被解锁，证书内容可以被读取；域认证令牌，用户登录个人计算机时输入了正确的域账户名/密码之后，由域服务器生成；用户名/密码，各个应用系统内部用于登录认证的信息。身份认证分为两个步骤：登录个人计算机时的桌面认证；登录应用系统时的应用系统认证.单点登录应实现从桌面到应用系统的单点登录以及多应用系统的单点登录。院本部应用系统认证模式包括CA证书认证、域认证和自身认证三种，各应用系统应按照三种模式下的认证过程进行开发，以满足单点登录要求.CA认证用户使用身份认证卡(USBKey)登录桌面计算机，访问应用系统时，系统能够自动获取用户认证凭证进行认证，通过后用户可以直接进入信息系统；此模式下，用户应必须使用USBKey。为实现CA模式的单点登录，应用系统可以有两种实现方式：方式一：与CA系统直接进行认证集成，AVIDM与OA系统采用此方式；方式二：与域进行认证集成，利用CA与域的集成，实现CA模式的单点登录,其他应用系统采用此方式。1)AVIDM与OA系统AVIDM与0A系统已经实现与CA系统的直接认证集成，采用方式一实现单点登录，认证过程(如图1所示)主要包括以下步骤：应用系统接收用户访问请求；应用系统检查用户是否通过域登录计算机。如果否，提示用户插入身份认证卡(USBKey)以域身份登录计算机，并退出系统界面；如果用户通过域登录计算机，检查是否插入身份认证卡(