****化校園的深入建設和業(yè)務系統(tǒng)的持續(xù)建設,建設統(tǒng)一身份認證,****學校當前與未來的管理需求及長遠發(fā)展的重要內(nèi)容。需對《數(shù)據(jù)中心統(tǒng)一身份認證建設項目》進行確定候選意向采購方,歡迎具有相應能力的供應商前來報名,具體事宜如下:
1. 項目名稱:數(shù)據(jù)中心統(tǒng)一身份認證建設項目
2. 采購人名稱:****
3. 采購人地址:**市**區(qū)清源路甲1號
4. 采購預算控制價格:45萬人民幣
5. 資金來源:財政資金
6. 采購方式:比選
7. 采購對象:面向小微企業(yè)
身份認證系統(tǒng)能夠促進智慧校園身份的統(tǒng)一化管理;加強電子身份管理,提高信息安全防護能力,完善管理體系,整合公共信息服務,實現(xiàn)數(shù)據(jù)共享應用,助力數(shù)據(jù)治理體系建設。為此要建設一個新的統(tǒng)一身份認證平臺,新的系統(tǒng)應有如下特點:
1、從身份認證到用戶中臺
改變“重認證、輕管理”的設計思路,以用戶(自然人)為核心,優(yōu)化用戶管理邏輯,提供對身份數(shù)據(jù)的全生命周期管理,支持“一人多身份”的身份管理邏輯,通過實現(xiàn)靈活的帳號生成策略和帳號終結策略,身份管理和身份認證體系相對獨立,互不干擾。
2、從校內(nèi)到校內(nèi)外,從線上到線上+線下
數(shù)字化轉型背景下的身份管理體系已經(jīng)不僅僅只局限于校內(nèi)師生的整體管理,也不會僅局限于線上的單點登錄(SSO)體系,在本次項目的建設過程重,****學?,F(xiàn)有身份平臺架構刷新調(diào)整以外,還包含了針對校外人員如:臨時訪客、校友乃至家長的身份信息管理,同時也包含了針對人員鑒權的線上到線下的無縫拉通,通過基于自然人身份生成的校園二維碼與線上業(yè)務的無縫打通,從而最終實現(xiàn)校內(nèi)到校外,線上到線下的全場景聯(lián)接,****學校數(shù)據(jù)的整合歸集,為數(shù)字化轉型時代的大數(shù)據(jù)分析,提供更為準確合理的數(shù)據(jù)累積邏輯。
具體目標如下:
1、增加開放性,讓未來對接、認證不再困難。應支持CAS、LDAP、WMA、釘釘、微信、 Restful等協(xié)議,保證系統(tǒng)有強大的開放性,應能夠與web、移動應用、生物識別和可信認證平臺和設備進行對接。
2、增強穩(wěn)定性,具備一定的容災和備份機制,滿足近些年來等保和網(wǎng)絡安全法的相關要求,采用容器化部署方式能夠讓平臺的穩(wěn)定提高,縮小故障范圍。新的平臺需具備一定的容災和備份機制。應采用容器化部署方式,各個組件相互獨立。
3、提**全性,包括賬號安全性和認證安全性,能夠對異常賬號進行自動凍結,另外增強賬號的登錄、密碼強度算法,增強認證安全性。具備異常賬號凍結機制,能夠及時規(guī)避安全風險。支持更強的加密算法和更加安全的登錄、記錄和安全功能。
4、增加服務性,讓師生能夠自助設置自身賬號的信息和安全設置,達到自己的賬號自己管理。支持多種登錄方式,包括密碼、驗證碼、掃碼、生物識別。支持個人安全設置、找回密碼、賬號管理、激活和關閉賬號等。
主要解決以下六大問題:
1. 各業(yè)務系統(tǒng)單點登錄“SSO”及弱口令問題
2. 老師、學生等有校園網(wǎng)需求的認證問題
3. 一卡通二維碼消費對接問題
4. 教育綜合安防管理系統(tǒng)對接問題
5. VPN內(nèi)網(wǎng)**訪問問題
6. 外來人員入校申請與其關聯(lián)問題
投標方應提交其產(chǎn)品的檢測報告復印件,并須加蓋投標方公章以證明報告的真實性。該檢測報告須由國家認可的檢測機構出具,并滿足以下并發(fā)測試標準:對3000、6000、10000用戶群體分別進行測試,確保在并發(fā)登錄情況下,平均響應時間分別不超過1.5秒、2.8秒和4.2秒,以展現(xiàn)系統(tǒng)在高負載下的穩(wěn)定性和高效性。
1)本次項目建設的平臺可運行于Linux、Unix、Windows等**全性操作系統(tǒng)。開發(fā)技術應采用J2EE標準、組件技術及在數(shù)據(jù)交換上對XML的支持,使系統(tǒng)功能最優(yōu)化,同時將整體系統(tǒng)內(nèi)部在技術上的相互依賴性減至最低。
2)本次項目建設的平臺要求采用B/S結構,采用Java編程語言和服務器端Java技術進行開發(fā)??蛻舳思嫒葜髁鳛g覽器版本包括但不限于Chrome、Safari、360瀏覽器、QQ瀏覽器等
3)采用面向對象的組件技術,著重于開發(fā)構成應用程序“業(yè)務對象”的可重復使用的組件,利用這些組件順利地建立分布式應用程序。
4)應用程序開發(fā)與運行結構要基于統(tǒng)一的技術開發(fā)平臺的三層架構,即Web服務器、應用支撐服務器和數(shù)據(jù)庫服務器。支持Oracle、SQLServer、MySQL等或國產(chǎn)數(shù)據(jù)庫
5)能完成跨業(yè)務部門的業(yè)務流程和相對應的細顆粒度的分級授權體系。
6)系統(tǒng)必須支持負載均衡,支持動態(tài)監(jiān)測負載狀況,自動對可用**進行并發(fā)檢測,調(diào)整和分配等功能。
7)為保證系統(tǒng)運行的穩(wěn)定性與安全性,本次項目建設的平臺應自帶中間件以滿足項目需要,無需學校另行采購。
8)為支持信創(chuàng)要求,本次產(chǎn)品需支持國產(chǎn)操作系統(tǒng)和國產(chǎn)數(shù)據(jù)庫,并提供適配報告,加蓋公章。
9)總****學院所提要求。
(1)身份鑒別:對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求,具有登錄失敗處理功能,同時配置并啟用結束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關措施。
(2)訪問控制:能對登錄的用戶分配賬戶和權限,能授予管理用戶所需的最小權限,同時系統(tǒng)能實現(xiàn)管理用戶的權限分離,能由授權主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則。
(3)入侵防范:提供數(shù)據(jù)有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設定要求,可通過限制網(wǎng)絡地址范圍等方式對行管理的終端進行限制;
(4)安全審計: 啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;能對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等 ;
數(shù)據(jù)安全層面要求如下:
1)安全存儲:對授權收集到的敏感信息,采取去標識化、關鍵字段加密安全存儲措施;
2)加密傳輸:在跨安全域或通過互聯(lián)網(wǎng)傳輸敏感信息時,采用加密傳輸措施;
3)敏感信息處理:在用戶端顯示敏感信息時,采取脫敏等技術手段防止未授權人員獲取敏感信息,****處理場景中數(shù)據(jù)脫敏不存在偽脫敏和弱脫敏等脫敏失效等情況。
(5)數(shù)據(jù)備份:利用數(shù)據(jù)庫的備份功能將建設的平臺和系統(tǒng)數(shù)據(jù)備份到指定的服務器或存儲系統(tǒng)上。
投標人所投產(chǎn)品,需符合國家等保三級要求,提供專業(yè)機構檢測報告并加蓋公章。
提供平臺基礎認證單點登錄(SSO),含CAS協(xié)議、SAML1.1/2.0協(xié)議、OAuth協(xié)議等基礎能力,支持WMA協(xié)議、Restful、FIDO等其他認證協(xié)議。滿足B/S和C/S架構的應用對接,包含20個及以內(nèi)的業(yè)務系統(tǒng)認證對接。
提供常見認證協(xié)議支持,用以完成對大部分WEB應用、移動APP的統(tǒng)一認證,提供認證憑證的不可逆安全存儲機制,保證密碼安全,提供認證過程的安全性保障,保證認證過程憑證安全;
1.實現(xiàn)業(yè)務系統(tǒng)的統(tǒng)一身份認證,即用戶只需擁有一套統(tǒng)一身份認證系統(tǒng)的用戶名和密碼(SS0)即可進入業(yè)務系統(tǒng)。
2.取消原有登錄入口,管理員賬號要求使用與管理員用戶匹配的賬號來實現(xiàn),不允許設置非在校職工編號的管理員賬號。
3.統(tǒng)一身份認證平臺包含CAS認證接口、LDAP認證接口、憑證登錄接口等。
1. CAS認證接口
n 功能描述:這是各個應用系統(tǒng)與身份管理平臺集成的最主要的方式。各應用將認證接口的客戶端開發(fā)包集成在各應用之中,替換自身原有獨立的身份認證功能,通過身份管理平臺實現(xiàn)身份認證和單點登錄過程。該接口目前涵蓋的類型包括JAVA、COM、PHP和C,適合于不同語言**臺的應用程序。
n 應用場景:如科研管理系統(tǒng)、人事管理等業(yè)務管理系統(tǒng)
n 規(guī)范要求:(1)需部署CAS認證服務器端,認證客戶端與服務器進行連接;(2)應用程序認證客戶端包含在應用程序中,主要包含經(jīng)配置好的web.xml文件、認證接口客戶端程序。
2. LDAP接口
n 功能描述:LDAP接口主要面向瞬時認證并發(fā)要求非常高的應用系統(tǒng),該接口直接通過LDAP向應用系統(tǒng)提供認證服務,利用LDAP接口實現(xiàn)應用系統(tǒng)認證集成以后,可實現(xiàn)高效的統(tǒng)一認證,但是無法滿足單點登錄要求。
n 應用場景:選課、選宿舍等高并發(fā)應用,滿足認證的性能需求。
n 規(guī)范要求:(1)認證客戶端與LDAP服務器進行連接;(2)應用程序認證客戶端包含在應用程序中,主要包含經(jīng)配置好的配置文件、認證接口客戶端程序。
四.0.1.2用戶端登錄
系統(tǒng)提供身份認證基礎服務,實現(xiàn)SSO單點登錄功能。支持用戶登錄后在不同系統(tǒng)之間漫游而不需要再次輸入密碼。****學校移動應用客戶端的統(tǒng)一身份認證集成,支持短信動態(tài)驗證碼的驗證方式。需提供密碼變動短信通知功能。
用于學校對學生、教師和其他人員的數(shù)字化身份的登錄驗證。主要包括:
a. 通過統(tǒng)一的登錄界面,對用戶輸入的帳號和密碼進行認證,進而為集成的應用系統(tǒng)提供訪問控制功能(SSO)。可以為PC端、手機端分別提供不同的登錄頁面。
b. 提供基于短信的動態(tài)碼登錄方式(需有短信網(wǎng)關支持)。
c. 提供一段時間(如7天)保持登錄功能。
d. 提供二維碼(如釘釘、微信、QQ等)掃碼登錄方式。
創(chuàng)建并維護用戶的單點登錄會話,響應應用系統(tǒng)發(fā)出的單點登錄會話查詢,滿足用戶在系統(tǒng)間的單點登錄。
支持用戶通過賬號(學號/工號)和密碼來登錄用戶端,同時支持動態(tài)碼登錄和第三方聯(lián)名登錄方式。
動態(tài)碼登錄方式用戶可通過輸入手機號(海外手機號以“國家代碼-手機號”的格式輸入)、學號來獲取手機動態(tài)碼進行登錄。
第三方聯(lián)名登錄支持釘釘、QQ、微信以及微博登錄并綁定賬號。
支持用戶賬號激活和忘記密碼的自助服務功能。
四.0.1.3.1OAuth認證開放服務
支持OAuth2.0協(xié)議,支持OAuth開放服務,可向第三方提供OAuth2.0接口,方便第三方使用OAuth開放協(xié)議來獲取服務,包括OAuth應用注冊和OAuth服務管理。未注冊的應用不允許授權。
提供OAuth2.0的協(xié)議支持,校外應用開發(fā)商、學生社團或個人,****學校已有的身份認證體系,減少學生重新注冊功能。在此基礎上,通過OAuth2.0協(xié)議,開放一些學生個人相關信息(經(jīng)過用戶個人確定同意),針對用戶做更加個性化的功能。
四.0.1.3.2FIDO協(xié)議認證服務
支持FIDO協(xié)議,能夠將支持該協(xié)議的設備、瀏覽器的用戶生物信息與個人帳號信息綁定,面向用戶提供管理頁面,****中心可以自行綁定可行設備,滿足用戶利用個人生物進行進行登錄服務。系統(tǒng)支持將特定型號/瀏覽器用戶生物信息存儲綁定至本地PC,在下次登錄時允許用戶使用已經(jīng)登記的生物識別進行登錄。
當用戶首次登錄,或清除瀏覽器信息后,免密碼登錄功能將失效。
四.0.1.3.3第三方實人認證配置
支持配置第三方實人認證方式,目前支持支付寶人臉識別,可定制配置其他插件人臉識別插件。
四.0.1.3.4SAML協(xié)議認證服務
提供SMAL 2.0認證協(xié)議,能夠對office365提供非常**的集成對接能力。
四.0.1.3.5RESTful方式認證服務
額外提供RESTful認證方式,能夠對微信小程序等只支持RESTful接口的應用提供**的集成對接能力。
四.0.1.3.6WEBVPN無感登錄
支持配置與深信服VPN無感登錄參數(shù),用以在認證完成后自動建立VPN訪問通道。
四.0.1.3.7聯(lián)合認證管理
支持配置QQ、微信、微博、釘釘、今日校園、welink等第三方聯(lián)合登錄方式。查看第三方賬號綁定情況。
支持**聯(lián)合認證。
四.0.1.3.8數(shù)字證書CA認證
數(shù)字證書CA認證是指采用UKey作為數(shù)字證書載體,存儲用戶的密鑰及數(shù)字證書,并通過簽名驗簽服務器和USBKey證書校驗用戶身份合法性,實現(xiàn)對用戶身份的認證。
后端邏輯
1、系統(tǒng)配置/插件管理中,新增“CA Ukey插件”類型,支持定開人員上傳與維護;
2、若系統(tǒng)存在安全拓展包、且檢測到CA Ukey插件,則管控臺多因子、二次認證方式增加 “CA Ukey”
前端邏輯
用戶登錄時,使用移動端掃CA二維碼,用戶側交互邏輯如下:
1)用戶在 PC 端發(fā)起登錄認證請求
2)PC 端登錄頁展示二維碼
3)用戶使用移動端掃碼,并在移動端完成身份校驗后,返回結果
4)PC端登錄頁根據(jù)返回結果,判斷是否登錄
四.0.1.3.9安全令牌OTP認證
需支持以小程序為媒介的安全令牌OTP模式,提供一個本身比賬密、動態(tài)碼等更安全的認證方式。應用在找回密碼、非可信設備的多因子認證、應用訪問的二次認證、管控臺登錄。
四.0.1.4認證方式管理
四.0.1.4.1基本認證
支持配置啟用賬號密碼登錄:全局啟用、僅校內(nèi)啟用、不啟用
支持配置是否啟用掃碼登錄
支持配置是否啟用動態(tài)碼登錄
支持配置是否啟用別名
四.0.1.4.2聯(lián)合認證
配置QQ、微信、微博、釘釘、今日校園、welink等第三方聯(lián)合登錄方式。查看第三方賬號綁定情況。
支持**聯(lián)合認證
四.0.1.4.3生物識別FIDO
支持是否啟用FIDO生物識別,開啟后,可通過您硬件設備錄用的生物特征(如指紋或面容)來完成認證登錄,而無需輸入密碼
四.0.1.4.4實人認證
支持配置第三方實人認證方式,目前支持支付寶人臉識別,可定制配置其他插件人臉識別插件。
四.0.1.5用戶登錄配置
支持登錄界面功能配置,包括啟/停掃碼登錄、動態(tài)碼登錄、七天免登錄和在線幫助。在線幫助啟用后,用于認證登錄界面的幫助文檔鏈接跳轉,用于引導用戶和提供幫助說明;
支持登錄端綁定配置,用于管理第三方客戶端(如釘釘、QQ、微信、微信公眾號等)綁定頁面配置
支持單處登錄配置,用于配置是否允許用戶在多個客戶端登錄,管理員可強制用戶配置單處登錄,也支持讓用戶自主配置;
支持校外登錄配置,用于區(qū)分師生登錄地為校內(nèi)還是校外,同時支持認證日志的審計和師生校外登錄的提醒;
支持驗證碼策略配置,用于配置用戶輸入密碼錯誤一定次數(shù)后,出現(xiàn)驗證碼(圖形/滑塊);
支持登錄跳轉地址配置,未配置則登錄后跳轉****中心。
提供統(tǒng)一的認證對接調(diào)整接口,為第三方廠商接入提供統(tǒng)一標準。支持拉通上游(權威業(yè)務系統(tǒng))和下游(訪問終端如釘釘、微信、WeLink)的用戶乃至組織機構的自動同步;
四.0.2.1校內(nèi)系統(tǒng)對接方式要求
暫時需要對接的業(yè)務系統(tǒng)
序號 | 系統(tǒng)名稱 | 產(chǎn)品所屬廠家 | 本地部署 |
1 | 人事管理系統(tǒng) | 金智教育 | 是 |
2 | 招聘系統(tǒng) | 金智教育 | 是 |
3 | 教學大數(shù)據(jù)分析系統(tǒng) | 超星 | 否 |
4 | 教務系統(tǒng) | 超星 | 否 |
5 | **庫系統(tǒng) | 超星 | 否 |
6 | 智慧學工系統(tǒng) | 超星 | 否 |
7 | 實習管理系統(tǒng) | 超星 | 否 |
8 | 學習通APP | 超星 | 否 |
9 | 釘釘專業(yè)版辦公系統(tǒng) | **/**啟點云 | 否 |
10 | 財務績效一體化系統(tǒng) | **正成科技 | 否 |
11 | 科研創(chuàng)新服務系統(tǒng) | **易普拉格科技 | 是 |
12 | 固定資產(chǎn)管理系統(tǒng) | ****大學 | 是 |
13 | VPN系統(tǒng) | 深信服/首信 | 是 |
14 | 深信服上網(wǎng)行為管理AC | 深信服/首信 | 是 |
15 | 教育綜合安防管理系統(tǒng) | 海康 | 是 |
16 | 一卡通系統(tǒng) | **迪科遠望 | 是 |
17…20 | 預留**系統(tǒng) | 實際公司 | 實際情況 |
▲相關要求
1. 系統(tǒng)實施及集成要求
(1) 本項目實施過程中,涉及與第三方業(yè)務系統(tǒng)接口集成與數(shù)據(jù)對接所產(chǎn)生的費用均包含在本項目中(支付寶人臉識別除外),我校不再另行支付任何費用。
(2) 免費為校方開通5萬條/2年的短信平臺功能,以增強認證系統(tǒng)的使用性,同時需把人事管理系統(tǒng)中的短信功能對接打開調(diào)試好,以方便人事管理系統(tǒng)的使用。
(3) 項目驗收前,比選中標方需要提供全量的表結構(包括表結構的血緣關系)和數(shù)據(jù)字典電子版,便于校方數(shù)據(jù)治理體系的建設。
(4) 比選中標方針對系統(tǒng)中存在的bug、缺陷、信息安全漏洞,不論在保期內(nèi)、外,均應免費持續(xù)提供修復與補丁服務。
四.0.2.2外部通訊錄同步
支持管理員配置外部通訊錄同步的功能,包括添加、編輯和刪除的功能。
系統(tǒng)提供支持向釘釘、企業(yè)微信、WeLink同步組織機構及人員信息,其他同步信息可通過定制的同步插件類實現(xiàn)。
四.0.2.3統(tǒng)一認證服務
四.0.2.3.1支持常見協(xié)議
為滿足統(tǒng)一認證和單點登錄提供接口和通道,可以支持跨平臺和各種開發(fā)語言的應用系統(tǒng)接入平臺,****學校各類應用系統(tǒng)常使用的ASP、.NET、JAVA、PHP、Python等多種開發(fā)語言;平臺需使用CAS5.3或以上版本認證內(nèi)核,支持的標準至少包括CAS 1.0、CAS2.0、CAS3.0、LDAP。同時還需提供一種為移動APP專用的對接協(xié)議。
四.0.2.3.2反向代理服務
提供基于nginx的反向代理集成方式,接入系統(tǒng)可以直接從標準的Header中獲取登錄人員的相關信息,適用不同的開發(fā)語言。
四.0.2.3.3系統(tǒng)級緩存組件
提供系統(tǒng)級緩存,允許平臺內(nèi)各組件調(diào)用,加快平臺訪問速度,同時提供DBLESS支撐能力,在系統(tǒng)遭遇數(shù)據(jù)庫停機維護時,依然可向用戶提供基礎認證及鑒權能力,避免因數(shù)據(jù)庫停機造成身份認證不可用。
四.0.2.4線下認證
身份二維碼是一個安全可信、靈活、可擴展的二維碼,是人臉、一卡通等身份標識的一種補充方式,同時支持賦予動態(tài)權限和增加擴展屬性??稍陂T禁通行、請假出校、校園迎新、健康碼檢查等多場景下使用,提高師生線下認證的安全性、便捷性。
身份二維碼配置是用于配置線下認證的身份二維碼基本屬性、擴展屬性以及口令等參數(shù)信息。
四.0.2.5用戶提示語管理
支持自定義對應錯誤類型的提示語,包括信息格式提示、動態(tài)碼登錄、可信設備登錄、完善資料-密碼符合規(guī)則、賬號異常、賬號登錄、找回密碼-輸入賬號、激活頁-信息校驗。
四.0.2.6短信、郵箱內(nèi)容模版管理
支持自定義配置其需要發(fā)送的短信、郵箱以及消息內(nèi)容模板。
四.0.2.7內(nèi)網(wǎng)IP段管理
支持配置校內(nèi)IP的子網(wǎng)掩碼,用以提供給系統(tǒng)識別校內(nèi)IP,可應用于校外登錄場景。
四.0.2.8VPN無感登錄對接,打通內(nèi)網(wǎng)訪問
▲能夠實現(xiàn)與深信服VPN的無感登錄對接,即用戶在校園網(wǎng)以外的網(wǎng)絡環(huán)境登錄校內(nèi)的系統(tǒng)時(如門戶平臺),只需要在身份認證界面輸入一次賬戶名密碼即可完成認證并登錄,VPN認證在后臺自動進行認證流程的,通過即登錄,不通過則不允許登錄。
四.0.2.9▲海康人臉認證對接進出校
與??档娜四槍?,支持在校內(nèi)人員的范圍內(nèi),可以通過身份認證系統(tǒng)與??档拈l機系統(tǒng)進行人員身份的對接,校內(nèi)人員能夠通過海康的人臉閘機進校,校內(nèi)人員的相關身份信息的維護和編輯是在身份認證系統(tǒng)上進行。
支持針對校外人員在進出校環(huán)節(jié)增加拍攝人臉照片的功能,在申請審批通過后,可以將人臉照片以及相關的人員信息同步給閘機系統(tǒng),同時也將允許出入校的時間同步給閘機系統(tǒng),最終實現(xiàn)在允許的時間范圍內(nèi),校外人員可通過海康的人臉識別閘機來進出校。
提供對重點應用的雙因素認證,用戶直接登錄或身份漫游到重點應用時需完成二次驗證后才可登入。
四.0.3.1多因子認證
指用戶需要通過兩種以上的身份認證方式,才能獲得授權并獲取**。這種方式提供了額外的安全層,以確保用戶身份的安全性和**的保護。
支持的場景
1、非可信客戶端登錄
當用戶在非可信客戶端(例如瀏覽器)首次登錄時,系統(tǒng)將自動觸發(fā)多因子認證。這有助于防止賬密泄露或破解后,入侵者無法僅通過此方式完成認證。
2、異常環(huán)境訪問
用戶在非可信網(wǎng)絡環(huán)境下登錄時,系統(tǒng)將自動觸發(fā)多因子認證,以確保用戶在不安全的網(wǎng)絡環(huán)境下也能夠安全登錄。
3、休眠賬號登錄
當用戶處于休眠狀態(tài)并首次登錄時,系統(tǒng)將自動觸發(fā)多因子認證,以防止休眠賬號被破解的風險。
四.0.3.2關鍵應用二次認證
針對重要應用,訪問時需要進行二次校驗.
支持是否啟用二次認證:啟用、不啟用
支持配置必選校驗應用,訪問此列表應用時,用戶必須完成二次認證
支持配置可選校驗應用,訪問此列表應用時,用戶可配置是否需二次認證
支持啟用二次認證后設置排除人群,添加的用戶組成員不受二次認證影響
支持配置優(yōu)先二次認證方式:賬號密碼、短信驗證碼、企業(yè)微信驗證碼、安全令牌、郵箱驗證碼、釘釘驗證碼、微信掃碼、QQ掃碼、今日校園驗證碼、WeLink驗證碼、支付寶人臉識別(其中支付寶方式需在【第三方實人認證】中配置)
二次認證方式支持排序展示
支持是否切換認證方式:允許、不允許
提供應用授權、訪問控制、基于角色的系統(tǒng)登錄準入控制。
四.0.4.1解決老師、學生等有校園網(wǎng)需求的認證
需支持統(tǒng)****學校的網(wǎng)絡管理系統(tǒng)進行身份認證的對接,通過LDAP將認證系統(tǒng)的賬號密碼與網(wǎng)絡管理系統(tǒng)的賬號密碼進行打通,老師學生在校內(nèi)連接校園網(wǎng)時,如果需要進行上網(wǎng)賬號的輸入,則老師和學生直接輸入統(tǒng)一身份的賬號密碼即可獲得校園網(wǎng)接入的權限。
同時,對于其他的三方人員,校外進校人員等有需求使用校園網(wǎng)的用戶,也可以通過同樣的方式進入到校園網(wǎng),第三方人員的校園網(wǎng)絡使用權限和訪問權限可以通過網(wǎng)絡管理系統(tǒng)針對第三方人員的賬號進行單獨的設置,第三方人員的賬號則通過與身份認證系統(tǒng)的對接和同步來獲得。
應用管理作為校內(nèi)服****中心,負責為校內(nèi)應用提供信息維護、發(fā)布注冊、授權使用、統(tǒng)一協(xié)議配置、消息待辦預集成、應用內(nèi)接口授權、應用下服務配置、應用訪問日志等功能,統(tǒng)一發(fā)布管理。
****中心以應用為基礎,集中整合了針對應用的授權、認證、服務、消息、待辦、接口授權、回調(diào)、應用訪問日志以及WEBHOOK能力,方便管理人員在應用上線的同時,集中設置應用關聯(lián)能力,真正做到一處授權,各處暢通。
四.0.4.2.1應用列表
查看已添加的應用,列表展示基本信息,包括應用名稱、圖標、業(yè)務域、創(chuàng)建方式、啟停狀態(tài)。
列表支持搜索應用,管理員可以輸入應用名稱、APPID以及訪問地址來搜索應用,同時支持啟動狀態(tài)和業(yè)務域來過濾搜索結果。
四.0.4.2.1.1應用創(chuàng)建
管理員可以通過手工創(chuàng)建和快捷創(chuàng)建2種方式完成應用的接入。
支持管理添加應用的功能,管理員可以通過填寫應用的基本信息來完成應用的接入,應用的基本信息主要包括應用圖標、業(yè)務域、訪問地址、接口調(diào)用地址(選擇快捷創(chuàng)建方式)、應用名稱、應用描述、應用圖標;支****中心我的應用中展示;當用戶授權為多個用戶組時,支持配置打開服務時是否需選擇對應用戶組。應用接入到系統(tǒng)后可以進一步配置該應用所對接的認證協(xié)議參數(shù),并進行應用授權。
支持配置“永久有效”或“到期失效”的應用有效期。
若選擇“到期失效”,則需選擇到期日期、配置到期后處理方式、配置到期提醒規(guī)則。支持編輯聯(lián)系人。
四.0.4.2.1.2導出應用列表
支持管理員導出應用列表功能,且管理員可以選擇時間范圍進行導出,可選的時間范圍包括最近一個月、最近三個月、最近半年以及自定義。
四.0.4.3用戶安全配置
****中心校驗,****中心綁定、解綁重要信息時校驗方式與順序,校驗方式包括:郵箱、賬號密碼,默認為賬號密碼且不可取消
支持實人認證配置。依賴第三方人臉識別技術,對用戶進行自然人真實身份校驗服務??捎糜谥匾獔鼍跋碌纳矸菪r灒缳~號激活、找回密碼;
支持會話配置。針對不同終端設備,設置會話有效期,時間過期后,則用戶端登錄狀態(tài)退出;新增會話安全檢測機制,若請求客戶帶UA、IP與原始不一致,則會觸發(fā)攔截機制
提供對賬號暴力破解的防護能力,能夠識別并阻止賬號破解行為。
四.0.5.1賬號安全審計
展示安全工具,包括異常會話、異常登錄賬號、異常登錄IP、休眠賬號、凍結管理、異常應用。
四.0.5.1.1異常會話
支持統(tǒng)計異常會話次數(shù)及配置統(tǒng)計規(guī)則。
四.0.5.1.2異常登錄賬號
支持統(tǒng)計惡意登錄賬號數(shù)量及配置統(tǒng)計規(guī)則。
敏感登錄:每天登錄成功>=200(可配置),超出次數(shù)上限,記作敏感登錄行為。
惡意登錄:每天登錄失敗>=200(可配置),超出次數(shù)上限,記作惡意登錄行為。
支持啟用自動凍結
凍結時長:可進行設置(時長為0表示永久凍結)
支持異常登錄列表,展示包括賬號、姓名、登錄成功次/天、登錄失敗次/天、操作(支持凍結)
四.0.5.1.3異常登錄IP
支持配置凍結異常登錄IP規(guī)則。
凍結規(guī)則:單個IP在X分鐘內(nèi),連續(xù)登錄失敗>=X次
凍結時長:凍結X分鐘(時長為0表示永久凍結)
IP凍結范圍:PC、移動端
四.0.5.1.4休眠賬號
支持統(tǒng)計休眠賬號數(shù)量及配置統(tǒng)計規(guī)則。
規(guī)則:當賬號距離最后一次登錄時間大于等于X天將會自動休眠
列表:賬號、姓名、身份分類、組織機構、激活狀態(tài)、上次登錄時間、休眠時長(天)、操作(支持凍結賬號)、導出休眠賬號。
四.0.5.1.5凍結管理
支持查詢已凍結的賬戶列表,展示包括賬號/IP地址、類型、凍結時間、預計解凍時間、凍結原因、操作(解凍、添加到白名單)
列表支持添加凍結賬號、支持批量解凍賬號。
四.0.5.1.6異常應用
支持統(tǒng)計異常(長時間未使用)應用及配置統(tǒng)計規(guī)則。
規(guī)則:應用超過X天沒有訪問,將加入異常應用列表中。
****中心,包含賬號激活、密碼找回、賬號申述功能。用戶可自行完成修改密碼、切換主賬號、查詢認證記錄、設置個人偏好等操作,同時關聯(lián)郵箱、關聯(lián)手機及關聯(lián)第三方授權登錄賬號的修改。
四.0.6.1賬號自助激活流程
四.0.6.1.1賬號激活流程:
▲提供自助式激活方式,以方便用戶體驗。賬號激活流程根據(jù)甲方要求進行設置。
四.0.6.1.2敏感信息處理方式
所有涉及個人隱私相關的數(shù)據(jù)(如身份證號、手機號****學校本地服務器數(shù)據(jù)庫中,同時在系統(tǒng)中個人隱私數(shù)據(jù)通過系統(tǒng)內(nèi)置的脫敏加密功能,以權限控制的方式進行展示,沒有相應權限的是人無法看到數(shù)據(jù)的全部內(nèi)容。
根據(jù)國家要求,個人相關數(shù)據(jù)劃分一至四等。
注:****學校的具體要求進行定期刪除的設置。
四.0.6.2賬號激活
支持用戶自助賬號激活功能,激活包括信息校驗、綁定手機號、綁定郵箱以及設置密碼功能。信息校驗需要用戶輸入學工號、錄用通知書號以及身份證號碼進行身份驗證。
系統(tǒng)提供兩種帳號發(fā)放的方式,分別為設置默認密碼和密碼激活方式。管理員可以根據(jù)使用需求選擇啟用何種方式進行帳號發(fā)放。
系統(tǒng)需支持發(fā)放帳號密碼時使用無密碼自助激活方式。系統(tǒng)提供帳號激活服務支撐無密碼自助激活方式。激活流程包括信息校驗、綁定手機、綁定郵箱、設置密碼、激活完成五部分,支持校方實際情況進行重新配置調(diào)整。
四.0.6.3賬號激活基本配置
支持啟用賬號激活:啟用、不啟用;若啟用賬號激活,則可繼續(xù)配置:
可通過錄取通知書號激活:允許、不允許
用戶可信息綁定:郵箱、手機號、安全令牌。
支持添加排除人群,添加的用戶組成員跳過手機號綁定頁面
支持配置用戶激活成功會進行消息通知
支持配置用戶激活成功會跳轉指定地址
支持配置使用未激活賬號登錄時是否展示未激活提示語,啟用后可能存在賬號猜解的安全風險
支持完善資料的相關配置;支持啟/停用戶信息防遺忘,提醒用戶對個人信息內(nèi)容(安全問題、手機號)進行確認;
支持啟/停別名校驗,啟用后可禁止用戶使用對應的別名;
四.0.7.1忘記密碼
用戶遺忘自己的登錄密碼,可在用戶端登錄界面點擊“忘記密碼”進行找回密碼。支持用戶通過手機號、郵箱、安全問題、QQ、微信、釘釘?shù)闰炞C方式找回密碼。
提供對因暴力破解和長期未使用而鎖定的賬號提供自助解鎖功能。
四.0.8.1賬號申訴
▲若用戶常規(guī)的找回密碼方式均不能用,支持通過賬號申訴的方式找回。
基本信息:真實姓名、學院/部門、證件類型、證件號碼
上傳申訴照片:支持手持身份證、身份證正反面、一卡通
聯(lián)系方式:短信、郵箱;支持申訴成功后,若手機號或郵箱無其他人綁定,自動綁定此賬號。
四.0.8.2賬號申訴管理
當用戶忘記密碼后,沒有任何可行手段(短信、郵箱)自助找回密碼時,觸發(fā)賬號申訴功能,通過提交照片憑證并重新登記可獲取的短信或郵箱地址實現(xiàn)賬號重置設置。
支持查詢和審批用戶的賬號申訴信息,并配置申訴內(nèi)容。
賬號申訴成功和失敗均可配置短信提示。
四.0.8.3賬號申訴審核
查詢和審批用戶的賬號申訴信息,并配置申訴內(nèi)容。
列表展示學工號/用戶名、姓名、申請時間、申請狀態(tài)以及操作。申請狀態(tài)為“未審批”,則操作對應為“去審批”;申請狀態(tài)為“未通過”、“已通過”,則操作對應為“查看”。
支持賬號申訴配置,包括上傳憑證方式(手持身份證照片/身份證照片/一卡通照片),結果通知方式(短信/郵箱)。
賬號申訴成功和失敗均可配置短信提示。
****中心****學校內(nèi)的最終用戶,包括所有學生、教師和工作人員。身份自助服務可滿足用戶對自己帳號信息和密碼信息的維護需求。
統(tǒng)一身份認證用戶端為個人用戶提供賬號激活、賬號登錄、個人密碼修改、個人資料修改、個人賬號安全、可信設備綁定等服務,旨在幫助用戶方便地完成個人自助服務。
統(tǒng)一身份認證用戶端,亦被稱之為“****中心”、“個人中心”
統(tǒng)一身份認證支持協(xié)議包括:CAS 1.0/2.0/3.0、OAuth 2.0、SAML 1.1/2.0、LDAP、OIDC、RESTful、Open ID、FIDO、WMA
四.0.9.1我的應用
支持用戶查看并點擊訪問具有自己訪問權限的應用,并可以通過應用名稱進行應用搜索。
四.0.9.2賬號安全
四.0.9.2.1設置賬號
支持用戶設置賬號信息,主要包括更換密碼、設置安全問題、綁定郵箱以及綁定手機號。
四.0.9.2.1.1更換密碼
支持用戶更換密碼功能,需要用戶進行原密碼校驗,校驗成功后就可以設置**碼。
四.0.9.2.1.2設置安全問題
支持用戶更換密碼功能,需要用戶進行原密碼校驗,校驗成功后就可以設置**碼。
四.0.9.2.1.3郵箱綁定
支持用戶綁定郵箱功能,需要用戶進行郵箱校驗后才可綁定。
四.0.9.2.1.4手機號綁定
支持用戶綁定手機號功能,需要用戶進行手機號校驗后才可綁定。
四.0.9.3第三方賬號
支持用戶綁定第三方賬號,支持微信、騰訊QQ以及微博賬號綁定。
四.0.9.4關聯(lián)賬號
支持用戶查看關聯(lián)賬號和設置常用賬號的功能。
四.0.9.5生物識別
支持用戶綁定PC端和移動端可信設備。
支持用戶設置生物驗證,開啟后用戶在可信設備可以使用生物識別登錄方式登錄賬號。
四.0.9.6認證記錄
四.0.9.6.1查看當前登錄記錄
支持用戶查看當前登錄和免登錄的記錄,展示列表包括客戶端IP、登入時間以及客戶端類型。
四.0.9.6.2查看賬號認證記錄
支持用戶查看賬號認證記錄,展示列表包括登入時間、登出時間、認證類型、客戶端類型、客戶端IP以及認證結果。同時用戶可通過查詢時間、認證類型以及認證結果的條件進行搜索結果過濾。
四.0.9.6.3查看密碼維護記錄
支持用戶查看密碼維護記錄,展示列包括維護時間、操作類型、客戶端IP以及操作結果,同時支持用戶根據(jù)查詢時間、操作類型以及操作結果進行數(shù)據(jù)過濾。
四.0.9.6.4查看賬號維護記錄
支持用戶查看賬號維護記錄,展示列包括維護時間、操作類型、客戶端IP以及操作結果,同時支持用戶根據(jù)查詢時間、操作類型以及操作結果進行數(shù)據(jù)過濾。
四.0.9.6.5查看應用訪問記錄
支持用戶查看應用訪問記錄,展示列包括訪問時間、應用名稱以及認證結果,同時支持用戶根據(jù)應用名稱進行搜索和查詢時間、認證結果的條件進行數(shù)據(jù)過濾。
四.0.9.7個人資料
支持用戶設置個人資料,包括頭像、昵稱及生日。以上信息均為非必填項。
頭像,初始為系統(tǒng)默認頭像,支持用戶更換頭像,更換后后上角的用戶頭像同步展示。當用戶是默認頭像時,第一次綁定第三方移動應用時,使用第三方移動應用的頭像作為認證頭像。
四.0.9.8偏好設置
支持用戶進行偏好設置,主要包括二次認證設置、單處登錄設置和密碼變動時短信、郵箱通知設置。
四.0.9.9切換語言
支持用戶切換語言,目前支持英文和中文兩種語言設置。
四.0.9.10退出登錄
支持用戶退出登錄功能。
四.0.9.11移動端
所有在PC端為用戶提供的自助服務,均提供手機功能,用戶可在手機端的登錄頁面登錄****中心進行相同操作。
提供與其他數(shù)據(jù)庫對接的功能,包括ETL工具和api接口等形式接入,也可通過上傳Excel文件形式導入人員賬號數(shù)據(jù)。
四.1.1.1用戶與組織
四.1.1.1.1用戶組管理
管理員可根據(jù)業(yè)務需要在各業(yè)務域下設置不同的用戶組及成員,用以作為授權或二級管理權限下發(fā)。管理員也可以在用戶組中查詢已經(jīng)加入該用戶組的組織架構節(jié)點或具體的人員,并進行修改。
支持按照身份分類、生命周期、性別、入校年份、組織機構規(guī)則創(chuàng)建用戶組。
支持選擇外部數(shù)據(jù)源創(chuàng)建用戶組。
創(chuàng)建用戶組的同時支持用戶組共享功能,其他域管理員在授權時可使用其他域共享給他的用戶組進行授權。建用戶組-用戶范圍。
四.1.1.1.2身份分類管理
在身份分類管理中,管理員可按照不同用戶類型下創(chuàng)建多個子分類,可以對于不同子分類進行生命周期設置,從而實現(xiàn)對用戶進行全生命周期管理。
管理員可查看子分類下的用戶信息,包括用戶名、姓名、手機號、組織機構、賬號狀態(tài)。
管理員可對每個子分類設置生命周期配置,包括未入校階段有效期、在校階段有效期、已離校階段有效期,其中有效期時間段可按照天、月、年多個維度進行設置。
支持隱藏用戶屬性,配置完成后,在用戶詳情頁中,對應身份分類用戶不再展示已隱藏字段。
四.1.1.1.3校內(nèi)機構數(shù)據(jù)管理
在學校的管理體系下一般對行政機構會有一個正式的發(fā)文,并由專門部門進行統(tǒng)一維護,校****學校正式發(fā)文的行政機構。
針對導入的校內(nèi)機構數(shù)據(jù),可創(chuàng)建不同的版本并設置啟用狀態(tài),每個版本內(nèi)均支持添加機構,便捷管理校內(nèi)的組織機構數(shù)據(jù)。
針對編輯草稿版本,對校內(nèi)機構進行添加、編輯、刪除和排序。批量修改機構分類
四.1.1.1.4用戶與機構數(shù)據(jù)輸入
四.1.1.1.4.1外部數(shù)據(jù)同步
支持管理員查詢作業(yè)記錄,管理員可以輸入任務名稱和作業(yè)ID查詢功能以及任務查詢、執(zhí)行時間和確認狀態(tài)的過濾條件。
支持管理員配置機構數(shù)據(jù)規(guī)則,以及規(guī)則的啟用、刪除、編輯以及立即執(zhí)行等操作。
管理員可創(chuàng)建定時同外部機構數(shù)據(jù)同步的任務,開啟該同步任務后,即可滿足對機構數(shù)據(jù)的自動同步和處理。
支持管理員用戶數(shù)據(jù)同步功能,主要包括全局視圖同步和差異視圖同步兩種方式。
用戶數(shù)據(jù)同步支持全局視圖和差異視圖方式,由系統(tǒng)定時向本系統(tǒng)內(nèi)同步賬號信息。管理員可創(chuàng)建賬號同步任務,并根據(jù)業(yè)務需要配置不同的同步策略,開啟該同步任務后,即可滿足對身份賬號數(shù)據(jù)的自動同步和處理。
四.1.1.1.4.2手工數(shù)據(jù)處理
手工數(shù)據(jù)處理采用批量上傳Excel文件的方式,通過給定的模板,上傳人員身份信息Excel表,實現(xiàn)向本系統(tǒng)增加賬號信息。除了支持對賬號進行批量導入,還支持對賬號進行批量修改、批量修改身份分類、批量刪除賬號、批量導入證件照。
四.1.2.1查看認證記錄
管理員可查看用戶的認證信息,展示列包括賬號、登錄時間、登錄IP、登錄方式、終端類型以及認證結果,同時支持管理員查看訪問記錄。
四.1.2.2查看操作記錄
操作日志,可查看用戶的主動操作記錄以及用戶被動(如管理員修改用戶基本信息)記錄。
操作日志展示列包括操作時間、操作人姓名、操作人賬號、IP地址以及操作類型,支持操作時間和操作類型篩選以及操作人搜索。
密碼修改日志,可查看用戶賬號下歷次密碼的修改時間、操作IP以及密碼修改方式。
用戶管理包括帳號的新增、發(fā)放、維護、注銷管理,旨在幫助管理員完成全校身份帳號數(shù)據(jù)的增加、刪除、修改、過期設置、變更生命周期以及鎖定/解鎖等操作。
基于角色的訪問控制技術,實現(xiàn)對用戶集中、靈活授權和訪問控制管理,從而提高系統(tǒng)管理效率,如可根據(jù)不同角色分配相應應用使用權限和有效期,并進行差異化的應用推薦和功能設置。
系統(tǒng)應提供帳號導入的三種方式,包括支持手動添加、支持自動批處理以及支持手工批處理。手動添加是指管理員可手動創(chuàng)建用戶帳號,其中用戶分類、用戶名、姓名、證件類型、證件號碼為必選項,手機號、郵箱為可選項。支持進行手動移除用戶、變更生命周期等操作。
手工批處理采用批量上傳Excel文件的方式,通過給定的模板,上傳人員身份信息Excel表,實現(xiàn)向本系統(tǒng)增加帳號信息。手工批處理方式除了支持對帳號進行批量導入,還支持對帳號進行批量修改、批量修改賬戶類型、批量刪除。
自動批處理采用的差異視圖方式,由系統(tǒng)定時對比數(shù)據(jù)差異向本系統(tǒng)內(nèi)同步帳號信息。管理員可創(chuàng)建帳號同步任務,并根據(jù)業(yè)務需要配置不同的同步策略,開啟該同步任務后,即可滿足對身份帳號數(shù)據(jù)的自動同步和處理。
同時,系統(tǒng)要提供基于自然人維度的賬號自動關聯(lián)合并邏輯。
四.1.3.1**用戶
支持管理員可手動添加用戶賬號,其中學工號/用戶名、姓名、身份分類為必選項。身份狀態(tài)、校內(nèi)機構、性別、手機號、郵箱號、證件類型、證件號碼、專業(yè)、班級、所在級/入校年份、離校時間、是否激活、請輸入密碼、錄取通知書號為可選項。
除手動添加賬號方式,系統(tǒng)還須提供工具進行批量化處理賬號數(shù)據(jù),支持自動批處理、手工批處理。
四.1.3.2查詢用戶信息
支持管理員輸入學工號/用戶名/姓名、手機號進行用戶信息模糊查詢,同時也支持精確查詢、重置查詢以及高級篩選的操作。
精確查詢可對學工號/用戶名/姓名進行精確搜索。
重置查詢會清空掉全部搜索和過濾條件。
高級篩選的條件包括組織機構、身份分類、生命周期、入校年份/當前所在級、數(shù)據(jù)來源、激活狀態(tài)以及賬號狀態(tài),管理可以選擇篩選條件對用戶搜索結果進行過濾。
四.1.3.3用戶詳情
四.1.3.3.1查看用戶信息
管理員可以在用戶信息頁面查看用戶詳情信息,主要包括基本信息、賬號信息以及更多信息三個部分。
用戶基本信息包括學工號/用戶名、姓名、錄取通知書號、性別、身份分類、身份狀態(tài)、手機號、郵箱號、證件類型、證件號碼、組織機構、崗位、專業(yè)、班級、入校年份/當前所在級、離校時間、出生日期以及組織機構。
用戶賬號信息包括密碼強度評分、賬號狀態(tài)、激活狀態(tài)、生命周期以及生命周期到期時間。
用戶更多信息,來源于賬號元數(shù)據(jù)配置,用于拓展收集更多信息。
四.1.3.3.2編輯用戶信息
編輯用戶信息功能包括管理員對用戶基本信息、賬號信息以及更多信息進行編輯。
基本信息可編輯的字段包括姓名、錄取通知書號、性別、身份分類、身份狀態(tài)、手機號、郵箱號、證件類型、證件號碼、專業(yè)、班級、入校年份/當前所在級、離校時間以及出生日期。
賬號信息可編輯字段包括激活狀態(tài)、生命周期以及生命周期到期時間。
四.1.3.3.3重置密碼
支持管理重置用戶密碼操作,主要包括生成簡單密碼和生成復雜密碼兩種,同時支持發(fā)送消息通知用戶。
四.1.3.3.4查看用戶組信息
管理員可查看用戶的用戶組信息,用戶組展示列信息包括用戶組名稱、用戶組類型以及業(yè)務域。
四.1.3.3.5關聯(lián)用戶組
管理員可增加/移除用戶的關聯(lián)用戶組,只支持普通類型的用戶組。
四.1.3.3.6查看關聯(lián)賬號
管理員可查看用戶的關聯(lián)賬號信息,同時可設置常用賬號。
四.1.3.3.7查看授權信息
管理員可搜索和查看用戶的應用授權信息,展示列包括應用ID、應用名稱、業(yè)務域以及應用狀態(tài),支持應用名稱、應用ID搜索和業(yè)務域過濾。
支持對賬號進行批量修改、批量修改身份分類、批量刪除賬號、批量導入證件照。
四.1.5.1用戶操作日志
支持用于查看用戶認證和用戶操作日志。
需有用戶認證日志列表,展示用戶姓名、用戶名/學工號、認證IP、認證時間、認證方式、客戶端類型和認證結果。
需有用戶操作日志列表,展示用戶姓名、用戶名/學工號、操作者IP、操作時間、操作類型和操作結果。
需有應用訪問日志列表,展示用戶姓名、用戶名/學工號、訪問IP、訪問應用、AppID、用戶類型、認證結果、訪問時間。
四.1.5.2后臺管理日志
支持查看管理員操作和文件批量操作日志。
管理員操作日志列表,列表展示操作者姓名、用戶名、操作者IP、操作時間、操作內(nèi)容、被操作對象、操作類型、操作結果。支持查看詳情。
需有文件批量操作日志,列表展示操作者姓名、用戶名、操作者IP、操作時間、操作內(nèi)容、被操作對象、操作類型、操作結果。
四.2.1.1組織機構操作
針對手工節(jié)點,支持管理員添加節(jié)點、編輯手工節(jié)點、刪除節(jié)點、禁用全部用戶、添加已有用戶以及移除機構操作。針對自動節(jié)點,支持管理員刪除節(jié)點和禁用全部用戶操作。
其中,手工節(jié)點為管理員自己添加的組織機構節(jié)點,而自動節(jié)點為后臺自動計算的手工節(jié)點。
四.2.1.1.1添加手工節(jié)點
支持管理員手動添加手工組織機構節(jié)點,其中選擇上級、機構代碼以及機構名稱為必填項,而機構排序為選填項。
四.2.1.1.2編輯手工節(jié)點
支持管理員編輯手工組織機構節(jié)點,編輯字段包括選擇上級、機構代碼、機構名稱以及機構排序。
四.2.1.1.3刪除節(jié)點
支持管理員刪除手工和自動的組織機構節(jié)點。
四.2.1.1.4禁用全部用戶
支持管理員禁用節(jié)點下的全部用戶,禁用后該賬號無法再繼續(xù)使用。
四.2.1.1.5添加已有用戶
支持管理員在手工節(jié)點下添加已有用戶。
四.2.1.1.6移除機構
支持管理員在手工節(jié)點下選擇用戶移除機構,移除機構功能只支持移除當前節(jié)點下的用戶,因此管理員需要勾選顯示當前節(jié)點下用戶才可使用。
四.2.1.2禁用用戶
管理員禁用用有三種方式,除了上文中在用戶詳情中禁用用戶和在組織機構操作中禁用全部用戶外,支持在用戶查詢界面選擇用戶并禁用。
四.2.1.3導出用戶
支持用戶信息的導出功能,導出的用戶為搜索或過濾條件下的全部用戶。管理員可以選擇導出文件的類型(xlsx、csv)、基本信息的字段、賬號信息的字段以及擴展信息的字段進行導出。
四.2.1.4組織機構維護
在該功能中,管理員可面向教師、學生、校外人員、校友等不同類型的人員進行管理。按照用戶的身份信息,分配到對應的組織機構中,方便對不用應用的進行授權。
對于教師、學生兩類人員,可自定義二級組織架構,在添加二級組織架構中的節(jié)點時,需填寫校內(nèi)組織機構編碼、組織機構名稱。對于校外人員、校友兩類人員,不提供多級組織架構,相關用戶信息直接在對應分類中進行管理。
系統(tǒng)允許管理員在每種用戶身份的“自定義節(jié)點”下創(chuàng)建自定義的組織機構,同時允許將現(xiàn)有系統(tǒng)中已經(jīng)存在的用戶放入自定義的組織機構,或在自定義的組織機構節(jié)點下手工**系統(tǒng)中不存在的用戶。若用戶將現(xiàn)有系統(tǒng)中的用戶放入自定義組織機構,則該用戶同時存在于原始組織機構及目前新創(chuàng)建的自定義組織機構中。
管理員可通過批處理功能導入用戶,同時也支持通過全局視圖和差異化視圖方式同步用戶信息。除上述方式,也支持在組織架構模塊中直接添加用戶。對于進入到系統(tǒng)中的用戶信息,可分配到分配到對應的組織機構中,對于未分配的用戶,將自動進入到“未分配組織架構”中,從而讓管理員快速查看到問題用戶。
管理員可對系統(tǒng)內(nèi)所有用戶進行全生命周期管理,支持通過批量操作,將相關人員的狀態(tài)配置為“未入?!薄ⅰ霸谛!?、“已離?!?,支持對組織機構中一級部門、二級部門進行添加、移除用戶的操作,添加用戶包括添加已有用戶、創(chuàng)建新用戶兩種方式。
管理員可查看組織架構具體節(jié)點下包括的用戶信息,包括用戶名、姓名、部門 院系、入校年份、聯(lián)系方式、用戶分類、生命周期、賬號狀態(tài)。
支持學工號、用戶名、姓名、手機號、證件號查找用戶,以及根據(jù)組織機構、身份分類、生命周期等多個選項進行篩選。
支持對用戶進行批量添加、移出機構、禁用以及導出的功能。
系統(tǒng)核心數(shù)據(jù)模型為適應高校特色的用戶數(shù)據(jù)模型,****學校特點和應用現(xiàn)狀設計用戶、組、權限等模型,并按照模型設計完成數(shù)據(jù)存儲。所有的用戶信息應分別存放在LDAP目錄服務和數(shù)據(jù)庫中,通過可靠的機制完成兩者的同步,用戶身份信息在目錄服務中以層次結構,面向對象的數(shù)據(jù)庫的方式集中存儲管理,從而保證身份數(shù)據(jù)的一致性和完整性,為校園各類應用提供一致的用戶信息訪問。
系統(tǒng)支持設置用戶身份類型,方便平臺和硬件平臺、應用系統(tǒng)等通過LDAP接口的方式實現(xiàn)身份集成。
在用戶管理中可以進行相關的內(nèi)容搜索,搜索維度包含學工號、教工號、用戶名、姓名、別名、手機號、證件號、組織機構、身份類別、身份狀態(tài)、生命周期、入校年份、所在年級、數(shù)據(jù)來源、郵箱、賬號狀態(tài)、激活狀態(tài)、人臉狀態(tài)等,能夠對賬號進行精確的篩選搜索。
四.3.1.1認證使用分析
提供身份認證數(shù)據(jù)分析看板,包括認證登錄分析、應用認證分析、使用用戶分析、賬號變動分析,幫助用戶發(fā)現(xiàn)認證使用價值及使用中的問題。
四.3.1.1.1認證登錄統(tǒng)計
支持展示用戶登錄數(shù)據(jù)概覽、登錄數(shù)據(jù)總況、異常登錄數(shù)據(jù)。
支持登錄數(shù)據(jù)概覽,支持統(tǒng)計嘗試登錄、成功登錄、失敗登錄、敏感登錄和惡意登錄??赏ㄟ^篩選切換維度是次數(shù)、人數(shù)。
支持展示嘗試登錄、成功登錄、失敗登錄、敏感登錄、惡意登錄在一定時間段內(nèi)的變化趨勢。
四.3.1.1.2認證用戶分析
支持認證用戶分析,主要涉及統(tǒng)一身份認證賬號的基本情況概覽、認證活躍用戶情況、認證賬號變動情況。
支持認證用戶概況,主要展示:
1、以數(shù)據(jù)形式展示,統(tǒng)一身份認證下的全量賬號、已激活賬號、未激活賬號;
2、以餅圖形式展示,統(tǒng)一身份認證下未激活用戶占比;
3、以餅圖形式展示,統(tǒng)一身份認證下,正常、凍結、禁用、歸檔狀態(tài)下賬號占比,并展示對應狀態(tài)占比、賬號量;
4、展示密碼未達標賬號和休眠賬號,支持跳轉至詳情列表。
四.3.1.1.3應用認證分析
支持應用認證分析,應用認證次數(shù)的分析與統(tǒng)計。支持展示應用次數(shù)排名TOP10,支持展示應用認證次數(shù)列表。
四.3.2.1應用詳情
支持點擊某一應用下的詳情按鈕,跳轉至對應的應用詳情頁面。
應用基本信息,可展示應用圖標、應用名稱、業(yè)務域、App ID、AppSecret、訪問地址。其中App ID、App Secret、訪問地址;App Secret支持重新獲取。
應用操作,支持應用編輯、維護、停用、刪除以及應用授權配置。
應用配置菜單列表,包括:認證、接口、回調(diào)。
四.3.2.1.1授權
針對每個應用,系統(tǒng)提供多種授權維度和授權顆粒度,管理員可根據(jù)組織機構、域及用戶組、用戶三種方式,給各維度的各級節(jié)點或單獨的人員進行授權。
四.3.2.1.2認證
針對每個應用,系統(tǒng)提供多維度的認證信息配置,支持CAS協(xié)議、OAuth協(xié)議、SAML協(xié)議、WMA協(xié)議、LDAP協(xié)議、OIDC協(xié)議、RESTFUL協(xié)議。
四.3.2.1.3回調(diào)
回調(diào),平臺調(diào)用第三方系統(tǒng)接口達到數(shù)據(jù)通知的功能。支持HTTPS協(xié)議,同時檢驗證書的有效性;支持國密和非國密的算法,國密的簽名使用SM3哈希,SM4 數(shù)據(jù)加密;支持回調(diào)接口的重試機制。
四.3.2.1.4應用訪問日志
用戶訪問應用的日志查詢,包括學工號/用戶名、姓名、IP、訪問時間和認證結果。
四.3.2.1.5更多
維護的是用戶在登錄、登出、賬號信息變化回調(diào)通知功能,WebHook中的登錄Hook、登出Hook、賬號綁定、賬號解綁功能在接口列表中展示。
四.3.3.1管控臺授權
系統(tǒng)應支持通過管控臺授權,超級管理員可以基于用戶管理、應用管理、組織管理、安全性管理等管控臺的大部分功能按照需求分配給二級管理角色。實現(xiàn)用戶、應用、組織等內(nèi)容的二級管理功能。
支持敏感信息配置查看權限,內(nèi)容包括用戶身份證號、用戶手機號、郵箱、出生日期信息。無【查看敏感信息】權限的管理員角色,查看用戶敏感信息時星號處理。
四.3.3.2域管理
系統(tǒng)應支持域管理功能,“域”用于定義二級管理的范圍,管理員可在此創(chuàng)建或者編輯所需要用于二級管理的域。創(chuàng)建后的域可以在創(chuàng)建應用、創(chuàng)建用戶組的時候被選擇,選擇之后應用或用戶組會自動加入該域,納入域的應用或用戶組會根據(jù)該域的管理員授權提供二級管理功能。
支持統(tǒng)計弱密碼賬號數(shù)量、密碼強度策略及配置統(tǒng)計規(guī)則。
支持密碼黑名單,限制用戶設置密碼時包含的字符內(nèi)容。
默認勾選:簡單密碼、非鍵盤字符。
可配置:用戶賬號、用戶郵箱、用戶手機號、居民身份證號碼、自定義字符。
支持密碼未達標賬號列表,展示包括賬號、姓名、上次修改密碼時間、未達標原因、操作(支持凍結賬號)、導出列表。
場景配置
支持找回密碼方式配置,包括密碼問題、郵箱、短信驗證碼、微信、QQ
支持PC端掃碼找回,包括QQ、微信、釘釘
支持是否啟用賬號申訴
支持修改密碼配置,包括可信APP中修改密碼免校驗和定期修改密碼。
基本配置
支持配置是否啟用身份二維碼功能。啟用后,會在統(tǒng)一身份認證用戶端的移動H5個人中心頁面展示身份二維碼
支持生成二維碼頁面鏈接,可直接復制鏈接作為今日校園、釘釘、企業(yè)微信等移動端應用
支持配置二維碼有效時間,用于配置身份二維碼的有效時間,如配置1分鐘,則二維碼在一分鐘后失效
支持配置二維碼背景圖片、學校LOGO、幫忙描述說明文案
支持配置拓展屬性,用于配置身份二維碼的擴展屬性,如學校已建設一卡通二維碼接入,配置完成后身份二維碼增加一卡通屬性
支持配置場景,并預置通行、消費、及打印場景。
可用于自定義配置場景
場景名稱:用于配置場景展示名稱
二維碼類型:若配置集成碼,則展示第三方系統(tǒng)的二維碼,如一卡通消費碼
獲取二維碼方式:客戶端讀碼指客戶端掃碼后,通過在線或離線方式獲取信息;回調(diào)指掃碼后,認證系統(tǒng)調(diào)用第三方接口推送信息
口令配置
支持口令配置。用于配置二維碼口令,通過口令可增加用戶的動態(tài)權限(如請假出校)??诹钚畔嘞廾Q、權限代碼、口令內(nèi)容,支持口令的新增、編輯、刪除和導出。
產(chǎn)品應具備數(shù)據(jù)庫全局同步任務,完成人員、機構的數(shù)據(jù)同步。
四.3.5.0.1認證數(shù)據(jù)存儲
四.3.5.0.1.1LDAP數(shù)據(jù)庫
LDAP數(shù)據(jù)庫的作用如下:
1) 存儲高校所有用戶的帳號信息,包括密碼(密碼不可逆,默認用SSHA加密),其目的是為了提供身份認證服務。
2) 可以對LDAP目錄進行擴展,以管理高校用戶特定的身份屬性。
3) 支持LDAP的多主復制,能夠提供雙LDAP部署,滿足系統(tǒng)的穩(wěn)定性要求。
4) 可對外提供直接的LDAP認證服務(需第三方按照LDAP認證協(xié)議,通過編寫程序代碼或者硬件配置等方式進行對接)。
四.3.5.0.1.2關系型數(shù)據(jù)庫
關系型數(shù)據(jù)庫的作用如下:
1) 存儲高校所有用戶的身份信息,不存儲密碼,目的在于提供靈活高效的身份管理功能。
2) 存儲系統(tǒng)運行的所有日志數(shù)據(jù),用于平臺的統(tǒng)計功能和審計功能。
3) 存儲系統(tǒng)運行所需要的所有配置數(shù)據(jù),可通過界面靈活配置。
四.3.5.0.1.3NoSQL數(shù)據(jù)庫
產(chǎn)品選用Redis,Redis的作用如下:
1) 存儲系統(tǒng)配置信息,大大提升系統(tǒng)性能。
2) 存儲用戶票據(jù)、應用票據(jù)等信息,利用其過期策略,可提升系統(tǒng)安全性。
3) 利用Redis PubSub機制,實現(xiàn)管理平臺與身份認證系統(tǒng)間消息互通,提升通知實效性。
支持點擊某一應用下的詳情按鈕,跳轉至對應的應用詳情頁面。頁面由應用基本信息、應用操作按鈕、應用配置菜單列表組成。
應用基本信息,展示應用圖標、應用名稱、業(yè)務域、App ID、AppSecret、訪問地址。其中App ID、App Secret、訪問地址,支持文本復制;App Secret支持重新獲取。
應用操作,支持應用編輯、維護、停用、刪除以及應用授權配置。
應用配置菜單列表,包括:認證、服務、消息、待辦、接口、回調(diào)。
四.3.6.1授權
針對每個應用,系統(tǒng)提供多種授權維度和授權顆粒度,管理員可根據(jù)組織機構、域及用戶組、用戶三種方式,給各維度的各級節(jié)點或單獨的人員進行授權。
四.3.6.2認證
針對每個應用,系統(tǒng)提供多維度的認證信息配置,支持CAS協(xié)議、OAuth協(xié)議、SAML協(xié)議、WMA協(xié)議、LDAP協(xié)議、OIDC協(xié)議、RESTFUL協(xié)議。
四.3.6.3回調(diào)
回調(diào),平臺調(diào)用第三方系統(tǒng)接口達到數(shù)據(jù)通知的功能。支持HTTPS協(xié)議,同時檢驗證書的有效性;支持國密和非國密的算法,國密的簽名使用SM3哈希,SM4 數(shù)據(jù)加密;支持回調(diào)接口的重試機制。
四.3.6.4應用訪問日志
用戶訪問應用的日志查詢,包括學工號/用戶名、姓名、IP、訪問時間和認證結果。
四.3.6.5更多
維護的是用戶在登錄、登出、賬號信息變化回調(diào)通知功能,WebHook中的登錄Hook、登出Hook、賬號綁定、賬號解綁功能在接口列表中展示。
四.3.7.1學校標識
在學校標識中,用戶可自行設****學校LOGO
學校LOGO(PC端),用于配置PC端管控臺、用戶端登錄頁、多因子、二次認證、以及應用未注冊、訪問應用無權限等頁面LOGO
學校LOGO(移動端),用于配置移動端登錄頁、多因子、二次認證、以及應用未注冊、訪問應用無權限等頁面LOGO
同時,可配置版權信息,用以在管控臺底部展示。
四.3.7.2圖標庫
圖標庫管理,目的統(tǒng)一管理平臺圖標,用于配置應用、服務、事項、一件事時快速引用。
四.3.7.2.1圖標庫列表
圖標庫支持管理員主動上傳圖標,支持單個圖片、壓縮包(多個圖片),上傳后圖標支持帶入文件名稱,可二次修改名稱。
圖標庫列表,可針對圖標名稱進行搜索,可針對關聯(lián)模塊“全部”、“應用”、“服務”、“事項”、“一件事”進行篩選,可針對是否被引用進行篩選。
鼠標移入圖標,顯示三類操作:編輯、刪除、下載。其中若圖標被引用,則刪除時提示:“當前圖標已被x個模塊引用,無法刪除!”
四.3.7.2.2自主上傳列表
由管理員在應用/服務/事項/一件事各自模塊下單獨上傳的圖標,支持引用圖標庫或本地上傳。若為本地上傳,則上傳的圖標展示在自主上傳列表中管理,同步歷史數(shù)據(jù)
自主上傳列表到圖標,可錄入到圖標庫列表中。
可針對關聯(lián)模塊“全部”、“應用”、“服務”、“事項”、“一件事”進行篩選。
支持批量錄入管理,已錄入成功的圖標則進入圖標庫列表,作為公共圖標支持被各模塊引用,而不在自主上傳列表中展示。
四.3.7.2.3默認圖標配置
支持管理配置事項、個人頭像、應用、一件事的默認展示缺省圖標。
四.3.7.3證書管理
幫助管理員在管理臺實現(xiàn)對Nginx服務器的SSL證書生命周期管理。
產(chǎn)品初始化需要**證書,此模塊只針對標準化部署的Nginx才可使用,若為非標Nginx,請實施人員參考按照非標Nginx配置手冊,完成配置后才可使用。
1、**證書,并配置好證書名稱和證書描述。
2、配置好Nginx服務器地址,端口號固定為8846,如:127.0.0.1:8846,支持多個地址。
3、將SSL證書*.pem、*.key文件打包成zip,上傳zip,默認會上傳至Nginx的/opt/ids_nginx_config/ssl/目錄下。
4、配置好是否自動重載Nginx,如不重載,則需要前往Nginx進行手動重載服務。
5、保存配置完成**。
配置完成后可對證書進行查看、下載、更新、刪除。
四.3.7.4高級選項
四.3.7.4.1管控臺
用于配置管控臺的基礎通用功能,目前可以在此選項卡開啟或關閉管控臺是否支持CAS登錄,在開啟之后,管控臺會自動開啟和身份認證系統(tǒng)的CAS認證服務,被添加為管控臺二級管理員同時在身份認證系統(tǒng)中的用戶可登錄管控臺。開關閉之后,管控臺將關閉CAS認證功能,只支持DB登錄功能。
四.3.7.4.2用戶與組織
可在該選項卡查看機構數(shù)據(jù)和用戶數(shù)據(jù)下記錄保留類型、人工確認閾值。
支持編輯機構數(shù)據(jù)和用戶數(shù)據(jù)的記錄保留類型、人工確認閾值。記錄保留類型包括:始終、按時間、按次數(shù)。此外,用戶數(shù)據(jù)下,支持選擇“新增用戶”操作無需人工確認。
四.3.7.4.3校內(nèi)機構數(shù)據(jù)
可在該選項卡下查看下校內(nèi)機構當前版本、草稿版本、歷史版本的數(shù)量,允許管理員清空機構數(shù)據(jù),快捷查看機構數(shù)據(jù)版本。
四.3.7.4.4賬號補償
賬號補償用于添加新增賬號,可通過增量補償或全量補償方式增加賬號,還可查看補償歷史和詳情。
四.3.7.4.5系統(tǒng)任務管理
可在該選項卡下查看系統(tǒng)任務列表,包括任務名稱、任務處理類、上次/下次執(zhí)行時間和任務狀態(tài),支持立即執(zhí)行任務。
四.3.7.4.6系統(tǒng)參數(shù)配置
系統(tǒng)符合成熟度L2要求,即產(chǎn)品標準功能均在Minos管控臺配置,無需操作數(shù)據(jù)庫。系統(tǒng)參數(shù)配置中管理一部分
非標準產(chǎn)品功能,則在產(chǎn)品物料中總結歸納。
四.3.7.5產(chǎn)品版本管理
用戶可查看已安裝產(chǎn)品的當前運行版本、最新版本和發(fā)布時間,可查看歷史版本列表和產(chǎn)品服務信息,同時可在此處前往實施作業(yè)平臺。
四.3.7.6多語言翻譯管理
用于可視化管理翻譯內(nèi)容,是否開啟多語言功能不影響本模塊及編輯的本地化內(nèi)容,原管控臺-管理工具-安全與審計中用戶提示語內(nèi)容也需合并至本模塊。
支持導入/導出,支持按照系統(tǒng)配置-高級選項-多語言支持選擇的語言配置對應數(shù)據(jù)名稱內(nèi)容,支持按照不同模塊配置對應功能類型翻譯內(nèi)容。
四.4.1釘釘掃碼登錄、微信靜默登錄(需企業(yè)微信支持)
▲支持釘釘掃碼登錄的驗證方式。需提供釘釘掃碼登錄功能(需支持企業(yè)微信)
支持短信動態(tài)驗證碼的驗證方式。需提供密碼變動短信通知功能
系統(tǒng)遭遇包里破解的情況時,會根據(jù)實際情況,要求填入隨機驗證碼、二次認證等方式來要求用戶進行登錄。
提供基于TOTP一次性口令的雙因素認證功能。多因子認證要求用戶通過兩種以上的身份認證方式來獲取授權和**,增加了安全層以保障用戶身份和**安全。它適用于非可信客戶端登錄、異常環(huán)境訪問和休眠賬號登錄等場景,具體配置包括啟用與否、設置執(zhí)行或排除人群,以及配置優(yōu)先登錄方式和多因子認證場景如賬號密碼、短信驗證碼等,以提高登錄的靈活性和安全性。
支持配置優(yōu)先登錄方式:賬號密碼、短信驗證碼、企業(yè)微信驗證碼、安全令牌、郵箱驗證碼、釘釘驗證碼、微信掃碼、QQ掃碼、WeLink驗證碼、支付寶人臉識別(其中支付寶方式需在【第三方實人認證】中配置)
多因子登錄支持排序展示、支持認證方式切換
支持配置多因子認證場景,可配置“非可信客戶端登錄”、“異常環(huán)境訪問”、“休眠賬號登錄”
系統(tǒng)可以通過設置實現(xiàn)用戶在異地登錄、非可信設備登錄時,通過短信向用戶的手機發(fā)送登錄消息提醒,提醒內(nèi)容包括賬號名稱、登錄時間(具體到秒),以及密碼修改建議等。
四.4.6.1登錄主題配置
▲支持配置和切換登錄主題,個性化定制身份認證登錄頁面樣式。
支持配置背景圖,可選擇默認和自定義上傳方式,默認即系統(tǒng)提供的背景圖片。在自定義上傳選項下,支持管理員選擇【單圖】和【輪播圖】的方式。圖片上傳大小限制為:1M。單圖模式下,只支持用戶上傳一張背景照片,并支持用戶替換背景照片。
可選擇配置PC端、移動端、認證服務頁
1)PC端:
****學校LOGO、登錄頁主題色、可選配置官網(wǎng)地址、微信公眾號二維碼
支持配置背景圖,可選擇默認和自定義上傳方式,默認即系統(tǒng)提供的背景圖片。在自定義上傳選項下,支持管理員選擇【單圖】和【輪播圖】的方式。圖片上傳大小限制為:1M。單圖模式下,只支持用戶上傳一張背景照片,并支持用戶替換背景照片。
2)移動端
****學校LOGO、登錄頁主題色、背景圖
3)認證服務頁
支持配置PC端背景圖、添加主題、點擊添加主題,支持將定制二開的主題包上傳至系統(tǒng)中。
四.4.6.2管理后臺
支持通過管理后臺首頁預覽融合管控臺總體運行情況,包括但不僅限于如下:
﹒用戶情況,預覽總用戶數(shù)量、今日活躍數(shù)量、本月活躍數(shù)量。
﹒應用情況,預覽總應用/服務數(shù)量、今日使用數(shù)量、本月使用數(shù)量。
﹒接口情況,預覽總接口數(shù)量、今日調(diào)用數(shù)量、本月調(diào)用數(shù)量。
﹒版本情況,預覽當前版本號、版本發(fā)布時間
﹒服務器狀態(tài),預覽當前環(huán)境中運行服務器的CPU、內(nèi)存、磁盤使用情況。
﹒組織信息,預覽校內(nèi)組織信息,包括業(yè)務域、校內(nèi)機構數(shù)、用戶組數(shù)以及不同身份分類下的用戶數(shù)量。
﹒操作日志,查看各級管理員登錄管控臺后的行為記錄。
﹒產(chǎn)品更新記錄,顯示當前系統(tǒng)中所有運行產(chǎn)品的版本更新記錄。
包括但不僅限于有用戶管理、應用管理、開放能力、管理工具、系統(tǒng)配置等。
四.4.7.1賬號元數(shù)據(jù)管理
賬號元數(shù)據(jù)管理,用于LDAP用戶屬性數(shù)據(jù)維護,列表展示屬性名稱、顯示名稱、屬性值類型、是否多值、屬性類型、是否顯示、是否必填、啟停狀態(tài)。
支持**自定義屬性,LDAP增加用戶屬性同時在用戶管控臺增加對應屬性作為擴展屬性。
支持屬性值寫入LDAP的開關。
支持用戶擴展屬性設為隱藏同時CAS協(xié)議不返回該屬性。
支持搜索屬性以及編輯、刪除。
四.4.7.2校園網(wǎng)認證管理
統(tǒng)一身****學校的網(wǎng)絡管理系統(tǒng)進行身份認證的對接,通過LDAP或其他協(xié)議將認證系統(tǒng)的賬號密碼與網(wǎng)絡管理系統(tǒng)的賬號密碼進行打通,老師學生在校內(nèi)連接校園網(wǎng)時,如果需要進行上網(wǎng)賬號的輸入,則老師和學生直接輸入統(tǒng)一身份的賬號密碼即可獲得校園網(wǎng)接入的權限。登錄的方式不僅限于賬戶名密碼的輸入,也可以實現(xiàn)如釘釘掃碼等其他方式的登錄,完成登錄操作后,由后臺進行整個認證過程,認證通過后,老師或學生則可以使用校園網(wǎng)。
對于其他的三方人員,校外進校人員等有需求使用校園網(wǎng)的用戶,也支持通過同樣的方式進入到校園網(wǎng),第三方人員的校園網(wǎng)絡使用權限和訪問權限可以通過網(wǎng)絡管理系統(tǒng)針對第三方人員的賬號進行單獨的設置,第三方人員的賬號則通過與身份認證系統(tǒng)的對接和同步來獲得。
四.4.8.1外部數(shù)據(jù)庫連接管理
針對系統(tǒng)在同步用戶、組織等相關數(shù)據(jù)時,需要使用到的外部數(shù)據(jù)庫連接屬性進行統(tǒng)一配置和查詢。
四.4.9.1解決賬號弱口令
▲支持弱口令通過系統(tǒng)內(nèi)置的弱口令規(guī)則檢測賬號的密碼強度,可以選擇如果賬號的密碼強度符合弱口令規(guī)則時,需要在下次登錄時強制修改密碼。
系統(tǒng)兼容的瀏覽器中可向下兼容該瀏覽器的低版本使用
****學校原有的身份認證數(shù)據(jù)遷移到新的身份認證系統(tǒng)中,遷移過程中產(chǎn)生的費用由供應商負責。
四.4.12.1▲校外人員進出校
支持對外來人員進校實行申請、審批備案管理制度,校外人員有進出校需求時,由校內(nèi)歸口單位教職工發(fā)起審批流程,或校外人員自行通過釘釘、微信、教職工二維碼邀約發(fā)起入校預約入校。經(jīng)部門負責人審核,保衛(wèi)處備案后方可進出校園。
支持對校外人員進校、出校實現(xiàn)“一人一碼”,憑報備信息、二維碼、人臉進出校門。預約入校時需要提交出入校時間、出行校區(qū)、受訪人信息等信息。
入校身份識別可分為主動掃碼、被動掃碼、人臉識別核驗進出校權限;可通過刷二維碼、身份證、人臉等多種方式來完成入校。人員未按時出校的,系統(tǒng)需對此類異常人員做出預警。支持保留進出校記錄,系統(tǒng)中可查詢訪客進出校臺帳。
l 適用角色:應用管理員
l 支持終端:PC
l 功能描述:提供外來人員類別的管理,****學校相關管理規(guī)定對外來人員進行分類管理。
l 適用角色:應用管理員
l 支持終端:PC
l 功能描述:提供校區(qū)信息的管理,****學校****學校校區(qū)信息,同時會為校區(qū)生成固定二維碼,管理可以下載后打印,也可以批量打印此二維碼用于貼在校區(qū)的出入口,訪客可通過釘釘、微信等掃碼后查詢自己的通行信息。
四.4.12.1.3.3校外人員入校申請
1)支持校外人員自行發(fā)起入校申請,同時支持校內(nèi)教職工代校外人員申請入校。校外人員或校內(nèi)教職工可填寫人員基本信息、進校事由、進校時間、離校時間、上傳個人照片等;支持將校外人員申請入口配置在釘釘、微信等第三方移動APP中,方便校外人員或校內(nèi)教職工發(fā)起申請等校外人員身份信息。
2)支持校外人員查詢本人申請審批進度;
3)支持校外人員填寫入校車輛信息;
4)支持發(fā)起申請,提供填寫校外人員基本信息申請表單,申請表單字段可根據(jù)校方需求調(diào)整;
5)支持編輯,申請若被撤回、草稿、駁回時,支持申請人可重新編輯申請內(nèi)容并重新提交;
6)支持刪除,申請若被撤回、草稿、駁回時,支持用戶刪除數(shù)據(jù);
7)支持撤回,當?shù)谝粋€審批人還未審批時,申請人可撤銷申請,可重新編輯申請內(nèi)容后再次提交;
8)支持查詢歷史申請,查詢本人已經(jīng)提交進出校申請記錄。
四.4.12.1.3.4校外人員入校審核
支持校外人員入校所有審核節(jié)點在釘釘中進行,保證審核的及時性。
1)支持審批人員處理待審批任務,并可查看已辦理的申請記錄;
2)支持預約審核機制,審批通過后,系統(tǒng)通過短信反饋校外人員審批結果;
3)支持通過處理,若審批人員審核確認情況屬實,同意進入下一步;
4)支持退回處理,將申請記錄駁回至申請人;
5)支持不通過處理,將終止流程,申請人將無法再次編輯發(fā)起此次申請。
支持所有審核通過后,結果通過申請人的釘釘、微信返回給申請人,同時支持給申請人的手機發(fā)送短信結果。
四.4.12.1.3.5校外人員入校核驗
支持校外人員通過面板機刷身份證、刷人臉、二維碼(被動掃碼。包括但不限于校方保衛(wèi)人員用釘釘、微信等掃碼核驗)方式入校。
四.4.12.1.3.6校外人員入校信息查詢
1)支持查詢所有校外人員進出校記錄,包括姓名、聯(lián)系方式、入校時間、離校時間等字段。
2)數(shù)據(jù)列表展示字段可自定義配置;
3)提供按表單字段快速檢索和高級檢索功能。
四.4.12.1.3.7校外人員入校信息管理
1)支持管理員查詢所有已審批通過的校外人員申請入校信息。支持管理員取消校外人員入校權限。對沒有按時離開的人員系統(tǒng)需具有提醒功能,提醒管理員該訪問存在異常信息,支持管理員進行電話通知、當面詢問等多種干預方式,并記錄該校外人員的干預結果。
2)提供審批流程異常管理,支持管理員對流程進行跳轉或結束流程等操作。
3)取消預約:支持消該校外人員的入校申請,取消后校外人員無法獲得入校憑證。
4)發(fā)送預約短信:校外人員進出校審批通過系統(tǒng)向校外人員發(fā)送入校憑證短信,如遇到特殊情況校外人員沒有接收短信或短信丟失時,提供手工向校外人員發(fā)送短信。
5)干預:校外人員入校后,如未按照規(guī)定時間出?;蛭窗匆?guī)定進行離校登記,系統(tǒng)就認為該外來人員為異常人員,支持對異常人員進行處理并標記處理方式。
四.4.12.1.3.8校外人員入進出校記錄統(tǒng)計
支持統(tǒng)計校外人員申請人數(shù)、進校人數(shù)、出校人數(shù)和異常人數(shù)等,可根據(jù)統(tǒng)計的維度查詢名單的明細數(shù)據(jù)。
四.4.12.1.3.9校外人員系統(tǒng)配置管理
支持管理員設置通行區(qū)域、外來人員類別,并支持根據(jù)不同的外來人員類別實現(xiàn)不同的審批流程。
支持異常人員干預方式配置,校外人員入校后,如未按照規(guī)定時間出?;蛭窗匆?guī)定進行離校登記,系統(tǒng)判定該外來人員為異常人員,支持管理員對這類異常進行處理并標記處理方式。
支持配置外來人員申請須知并可設置須知閱讀時間或關閉閱讀須知。
支持用戶查看校園身份二維碼,并通過二維碼實現(xiàn)出行、消費、打印等校園線下認證場景。
1、展示用戶證件照,若證件照為空,根據(jù)性別展示默認證件照頭像,若性別為空,展示男性默認頭像;
2、展示二維碼描述介紹文案、展示幫助說明
3、展示多場景二維碼,可切換
四.4.13.2對接一卡通的二維碼消費實現(xiàn)方式
▲支持通過身份認證系統(tǒng)中的二維碼功能實現(xiàn),此二維碼專門針對校內(nèi)人員使用,通過H5頁面的方式呈現(xiàn),可掛載到釘釘中(釘釘小程序的方式呈現(xiàn)),此二維碼能夠融合校內(nèi)多種不同場合的二維碼,如進出校、食堂消費、超市消費、進出宿舍、進出圖書館、校內(nèi)自助打印等場景。二維碼的對接可以使多碼合一或者多個不同的場景二維碼分欄展示。
四.4.13.3釘釘實現(xiàn)進出校審批流程
▲實現(xiàn)如下進出校審批流程:
1、校內(nèi)的老師可以通過系統(tǒng)發(fā)送給校外人員一個二維碼,校外人員可以用微信/釘釘?shù)溶浖M行掃描:
2、然后輸入自己的手機號即可臨時登錄本系統(tǒng)
3、申請人可以點擊發(fā)起申請,系統(tǒng)會確認一次聯(lián)系人信息后,進入填寫進面
4、申請人需要填寫相關信息,然后點擊提交,并且隨時查看申請記錄和申請的審核結果
5、校內(nèi)老師能夠在釘釘上接受到申請的消息提醒,并進行申請審核以及查看之前的申請記錄
6、申請的所有流程結束后,校外人員會收到相關的短信提醒(對接了短信平臺),也能支持獲得二維碼,在短信里放入二維碼鏈接,點擊鏈接即可查看二維碼。
如果學校沒有短信網(wǎng)關,****學校的微信公眾號,或者學校自己的微信小程序來進行預約成功的提示。
序號 | 模塊類型 | 功能列表 | 單位 | 數(shù)量 |
1 | 電子身份認證 | 基礎認證 | 套 | 1 |
身份認證接口 | 套 | 1 | ||
雙因素認證 | 套 | 1 | ||
應用訪問控制 | 套 | 1 | ||
登錄限流 | 套 | 1 | ||
2 | 用戶自服務 | 自助激活 | 套 | 1 |
密碼重置 | 套 | 1 | ||
自助解鎖 | 套 | 1 | ||
個人中心 | 套 | 1 | ||
3 | 用戶/賬號管理 | 用戶/賬號維護 | 套 | 1 |
賬號日志查詢 | 套 | 1 | ||
賬號批量編輯 | 套 | 1 | ||
照片管理 | 套 | 1 | ||
日志審計 | 套 | 1 | ||
4 | 分組管理 | 組織機構管理 | 套 | 1 |
人員類別管理 | 套 | 1 | ||
篩選器管理 | 套 | 1 | ||
5 | 系統(tǒng)管理 | 統(tǒng)計分析 | 套 | 1 |
服務接入管理 | 套 | 1 | ||
權限管理 | 套 | 1 | ||
安全策略管理 | 套 | 1 | ||
數(shù)據(jù)庫同步任務 | 套 | 1 | ||
接口管理 | 套 | 1 | ||
6 | 其他模塊 | 釘釘掃碼登錄、微信靜默登錄(需企業(yè)微信支持) | 套 | 1 |
短信驗證碼登錄 | 套 | 1 | ||
人機驗證集成 | 套 | 1 | ||
TOTP雙因素認證 | 套 | 1 | ||
登錄消息提醒 | 套 | 1 | ||
登錄頁 | 套 | 1 | ||
LDAP | 套 | 1 | ||
賬號同步 | 套 | 1 | ||
弱口令掃描服務 | 套 | 1 | ||
兼容低版本瀏覽器 | 套 | 1 | ||
數(shù)據(jù)遷移 | 套 | 1 | ||
校外人員庫 | 套 | 1 | ||
校園二維碼 | 套 | 1 |
評分項 | 評分標準 | 分值 | |
價格部分 (20分) | 報價 | (1)投標報價超過采購預算的,投標無效,未超過采購預算的投標報價按以下公式進行計算。 (2)投標報價得分=(評標基準價/投標報價)×20×100% 注:滿足招標文件要求且投標報價最低的投標報價為評標基準價。報價得分保留兩位小數(shù)。 | 20 |
商務部分(20分) | 企業(yè)資質 | 1、投標人具有信息技術服務管理體系認證證書、隱私信息管理體系認證證書、職業(yè)健康安全管理體系認證證書,每提供一個得1分,最多得3分。 2、投標人具有CCRC信息安全服務資質認證證書(信息系統(tǒng)安全集成服務資質)三級及以上的得2分,未提供不得分。 3.投標人具有CCRC信息安全服務資質認證證書(信息系統(tǒng)安全運維服務資質)三級及以上的得2分,未提供不得分。 注:需提供證書復印件,并加蓋投標單位公章。 | 7 |
團隊人員配備 | 項目經(jīng)理及項目實****公司人員,****化校園建設經(jīng)驗和能力。 1、投標人擬投入本項目的項目經(jīng)理具備中國人社部與工信部頒發(fā)的信息系統(tǒng)項目管理師和網(wǎng)絡規(guī)劃設計師,同時****協(xié)會頒發(fā)的信息系統(tǒng)業(yè)務安全服務工程師,CCRC信息安全保障人員認證證書得4分,每缺少一個扣1分,扣完為止; 2、投標人擬投入本項目的技術人員具有人社部與工信部頒發(fā)的信息系統(tǒng)項目管理師、系統(tǒng)分析師、軟件設計師,一人多證只算一次。以上證書全部提供得3分,每少一類扣1分。 (以上兩項均以投標文件中加蓋投標人公章的相應證書復印件,并提供與投標人簽訂的勞動合同證明及近半年的社保繳納證明為評分依據(jù)) | 7 | |
同類業(yè)績要求 | 投標人完全按照以下要求提供與本項目內(nèi)容相當且已完成的2021年1月1日簽訂至今的成功案例,提供的證明材料均不得遮擋涂黑,否則不予認定加分。 (1)合同復印件,包括合同金額、買賣雙方名稱及蓋章、內(nèi)容;(2)用戶蓋章的成功履行合同的相關證明材料。 (1)和(2)必須同時提供方為有效,否則不予認定加分。提供1個案例2分,最多6分。 | 6 | |
技術標(60分) | 建設內(nèi)容指標響應 | 完全滿足無偏離的得36分?!啊贝碇匾笜?,負偏離,每條扣2分,非“▲”技術要求劣于招標文件要求或未做應答的,每條扣1分,最低0分,扣完為止。 注:須提供證明材料復印件并加蓋投標單位公章否則不得分。 | 36 |
技術整體設計 | 根據(jù)投標人在本次項目上總體技術方向、先進性、安全性、易用性、靈活性、創(chuàng)新亮點。 整體設計安全、易用、靈活、有創(chuàng)新得5分; 整體設計較安全、較靈活、有一定創(chuàng)新得3分; 整體設計基本安全、靈活得1分; 整體技術不安全或未提供整體設計方案得0分。 | 5 | |
技術路線 | 項目技術方案與本項目技術路線的一致性,投標方采用的技術方案符合招標文件要求,要求基于SOA架構,支持Docker部署,采用J2EE架構、B/S系統(tǒng)架構。所投產(chǎn)品廠家提供針對本項要求的承諾函,符合得4分,不符合的0分。 | 4 | |
售后服務方案 | 售后服務方案,包括但不限于:售后服務內(nèi)容和標準、定期巡回檢修、故障響應支持、電話及現(xiàn)場技術支持、故障恢復時間、備品備件配套保障能力,以及質保期外服務方案及報價情況等,售后服務方案的全面性、科學性、合理性、可操作性強,得11-15分;售后服務方案的全面性、科學性、合理性、可操作性較強,得6-10分;售后服務方案的全面性、科學性、合理性、可操作性有欠缺,得1-9分;未提供售后服務方案得0分。 | 15 |
1. 投標文件(包括但不限于):(1)報價清單;(2)營業(yè)執(zhí)照復印件等企業(yè)資質;(3)供應商法人代表及其被授權人的身份證復印件;(4)服務技術方案;(5)項目組織實施方案;(6)服務承諾;(7)信用記錄及小微企業(yè)證明;(8)報價供應商認為需要報送的其他材料。(可參考上一章“評分標準”中提到的內(nèi)容)
上述材料復印件均須加蓋單位公章。
2. 報送方式
參加報價文件正本1份,副本1份,并標明“正本”“副本”字樣;電子版1份,其中包含word版+蓋章掃描后得PDF版本各一份,可單獨密封包裝也可與紙質版一起封裝。
投標材料采用郵寄方式(郵寄封面上需注明“數(shù)據(jù)中心統(tǒng)一身份認證建設項目”,單位及其公章、日期)地址:**市**區(qū)清源路甲1號****,郵編102618聯(lián)系人:黃老師,電話010-****1644
投標文件報送截止時間:2024年8月27日下午16:00。
******校區(qū)
本次項目須嚴格按工期部署完成,并達到采購人的要求。投標方需要在投標文件中給出預實施工期進度表。采購人要求簽訂合同后3個月完成項目建設工作。即完成部署、系統(tǒng)認證對接、調(diào)試、數(shù)據(jù)同步遷移、試運行、驗收等,時間均以采購人通知為準。
該項目規(guī)模較大,系統(tǒng)需求復雜,涉及部門、環(huán)節(jié)多,為了保證實施過程順利有序,投標人必須作出詳盡慎密的設計方案和實施方案,****學校使用,主要內(nèi)容應包括以下幾個方面:
八.0.2.1 組織架構與職責
描述項目成員的組成,以及成員的職責。
八.0.2.2 實施階段劃分
描述各個實施階段的工作范圍、內(nèi)容、人力投入、過程、責任、交付成果等。
八.0.2.3 項目管理要求
投標方必須提出針對本項目的科學嚴格的管理方案與措施,保證項目全面順利實施。
八.0.2.4 項目配置管理
在項目的建設過程中以及交付使用后,會產(chǎn)生大量文檔和程序,如:需求分析說明、設計說明、可執(zhí)行****開發(fā)部分的源代碼、用戶手冊、測試用例、測試結果等技術性文檔以及合同、計劃、會議記錄、報告等管理文檔。
由于文檔的版本在不斷變遷和修改中,勢必產(chǎn)生一個龐大、動態(tài)的信息集合。因此,必須建設相應的配置管理系統(tǒng),通過一系列技術、方法和手段來維護產(chǎn)品的歷史、鑒別和定位產(chǎn)品獨有的版本,以對在產(chǎn)品開發(fā)和發(fā)布階段的軟件變化進行控制,通過制定規(guī)范的配置管理工作計劃和流程,溝通交流配置管理工作情況,從而使管理制度化、有效減少重復性工作、保證產(chǎn)品的質量和效率和系統(tǒng)的后續(xù)升級和維護。
八.0.2.5 項目管理規(guī)范和手段
根據(jù)項目的實施方案,在實施過程中,為了保證用戶方、開發(fā)方等各方能夠對項目建設實施進行監(jiān)控,及時發(fā)現(xiàn)和解決的問題,必須建立相應的項目管理規(guī)范,包括項目執(zhí)行監(jiān)控流程、執(zhí)行監(jiān)控的方法、執(zhí)行監(jiān)控的責任等,使管理和監(jiān)控工作流程化、規(guī)范化,管理和監(jiān)控工作責任明確。
八.0.2.6 項目管理控制
項目的管理控制包含多個方面:項目范圍、風險、進度、質量、變更管理控制,應貫穿項目開發(fā)建設的始終,必須做到對項目建設范圍準確定義,一旦范圍發(fā)生變更,要有相應地變更控制和應對措施。
八.0.2.7 風險管理
項目風險管理是識別和分析項目風險及采取應對措施的一個過程,包括風險識別、風險量化、風險對策、風險對策實施控制四個方面。項目在實施過程中會出項各種各樣的風險,必須做到充分、有效識別風險,應對風險和控制風險,在項目實施之初必須制定風險預測和規(guī)避風險的對策。
****學校信息化建設的重點支撐,投標方的項目實施計劃及過程進度管控能力是項目成敗的關鍵,因此需要投標方提供或開發(fā)針對項目的詳細進度計劃管理工具軟件或系統(tǒng),對詳細進度計劃涉及的功能模塊、任務、時間節(jié)點、人員進行精細化管理,且支持開放給采購人使用,方便雙方項目團隊成員以工程項目為基礎,對項目實施計劃及項目計劃任務執(zhí)行情況進行跟蹤及反饋,對項目實施過程中出現(xiàn)的問題及其處理過程進行完整記錄,并可對于項目交付物統(tǒng)一管理,項目匯報規(guī)范,交付過程項目團隊響應和解決及計劃完成有效監(jiān)控,使項目交付過程面向校方全程開放。軟件應至少包含以下內(nèi)容:綜合看板、實施進度、在線投訴等。
就項目等有關內(nèi)容擬訂出現(xiàn)場培訓計劃,并完成對采購人無人員數(shù)量限制的現(xiàn)場使用培訓,培訓發(fā)生的各種費用包括在合同報價中,具體培訓時間由雙方商定。
合同簽訂后交付所有功能并接受驗收。項目驗收須達到如下要求:
(1)按照甲方要求時間提供相應的產(chǎn)品及服務;
(2)按照甲方要求按時完成項目建設;
(3)建設完畢提交驗收報告,可以分為分項驗收和總體驗收。
▲本次所供系統(tǒng)軟件要求提供至少三年免費質保,同時對已有的人事管理系統(tǒng)提供同步的三年免費質保。質保期內(nèi)所有產(chǎn)品發(fā)生故障時,4小時內(nèi)響應,接到故障電話12小時內(nèi)到達現(xiàn)場,24小時內(nèi)解決問題,提供24小時熱線電話及在線技術解答。每個月至少電話回訪一次,客戶指定專門聯(lián)系人。如果中標人在收到通知后7天內(nèi)沒有彌補缺陷,采購人可采取必要的補救措施,但風險和費用將由中標人承擔。
要求提供售后服務作業(yè)流程,各種故障情況下的響應時限及用戶投訴的解決方案。
1)須明確說明服務期限,滿足招標文件要求;
2)須明確服務響應級別,并出具詳細的方案和事件升級策略;
3)須提供多種服務受理通道,包括但不限于線上、電話、郵件等;
4)須提供詳細的線上服務流程說明,線上報修須能夠做到問題登記、問題處理、加急處理、問題關閉與評價,常見問題案例庫,消息通知等。要求提供服務網(wǎng)站地址及各個模塊的功能截圖或功能演示。
5)要求在服務響應過程中,須有運營專員參與,全程跟蹤服務過程,協(xié)調(diào)解決服務過程中的問題,須在方案中說明運營保障內(nèi)容,提供詳細服務方案。
6)須提供線上服務申訴通道,要求可針對服務人員、服務流程等進行投訴。須提供投訴的功能截圖或演示材料。
1)在項目質保期內(nèi),軟件系統(tǒng)需要持續(xù)更新,對缺失必要功能進行補充,系統(tǒng)性能運行性能優(yōu)化,系統(tǒng)BUG處理,系統(tǒng)漏洞修復等。例如當投標人交付的業(yè)務系統(tǒng)存在某BUG,投標人須及時提供修正與消缺服務,如有修復BUG的補丁,應及時提供升級服務。
2)故障處理:如投標人交付的系統(tǒng)上線運行時,出現(xiàn)問題導致業(yè)務中斷時,投標方應對故障進行限時處理。
由于非計劃掉電導致系統(tǒng)故障時,投標方應配合系統(tǒng)恢復。
由于系統(tǒng)**不足導致系統(tǒng)故障時,****學校系統(tǒng)恢復。
由于硬件故障時,****學校數(shù)據(jù)還原后,配合學校系統(tǒng)恢復。
3)運行支持:投標方應對系統(tǒng)運行過程中系統(tǒng)管理員及業(yè)務管理員提出的問題提供解答和問題解決跟蹤。
****
2024年8月19日
附件 關于項目供應方參加****“陽光項目工程”建設的承諾書
項目名稱:
接受邀請單位名稱:
法定代表人簽名(或蓋章):
法定代表人的委托人簽名:
我公司鄭重承諾:自 年 月 日接受邀請起,至該項目實施驗收結束(未中標單位至接收到落選結果通知止),我公司將嚴格遵守《****政府采購法》和《****政府采購法實施條例》的規(guī)定,自覺參加****“陽光項目工程”建設,不從事任何違法行為。特別是:
一、對采購方任何人員不提供任何回扣和服務;不組織宴請、旅游、健身、娛樂或進入私人會所等活動;不贈送任何禮品、現(xiàn)金、有價證券(卡)、貴重物品和好處費、感謝費等;不報銷應當由其單位或個人承擔的費用;不為其個人及其親屬裝修住房、婚喪嫁娶、配偶、子女的工作安排以及出國(境)、旅游、消費、娛樂等提供方便和交通、資金等支持。
二、不接受采購方人員及其配偶、子女、親屬介紹或參與同該項目合同內(nèi)外有關的設備、材料工程分包、勞務等經(jīng)濟活動。
三、如有違反上述內(nèi)容的任何行為,我方依法接受任何處理;涉嫌犯罪的,****機關的刑事責任追究;給采購方造成經(jīng)濟損失的予以賠償。
簽訂人(蓋單位公章):
簽訂時間: 年 月 日