Q/SY
中国石油天然气集团公司企业标准
Q/SY 1838—2015
应用系统身份认证集成规范
Integration specification of identity authentication
for application system
2015-08-04发布
2015一11一01实施
中国石油天然气集团公司 发布 Q/SY 1838—2015
目 次
前言范围 2术语、定义和缩略语 2.1术语和定义 2.2缩略语 3IAM功能架构与集成方案
1
1
IAM功能架构 3. 2 集成方案 4集成工作流程 4. 1 集成申请与审核 4. 2 集成开发 4. 3 测试环境集成 4. 4 生产环境集成 4. 5 生产环境系统上线 4.6 集成单轨 5集成技术规范 5. 1 账号管理接口规范 5. 2 单点登录集成技术规范附录A（规范性附录） 中国石油应用系统集成申请表附录B（资料性附录） 集成测试文档附录C（规范性附录） 账号管理接口服务定义及参数字段说明表附录D（资料性附录） 账号接口数据字段推荐格式附录E（资料性附录） 单点登录代码示例
3. 1
16 18 20 24
31
33
I Q/SY 1838—2015
前言
本标准按照GB/T1.1一2009《标准化工作导则 第1部分：标准的结构和编写》给出的规则起草。
本标准由中国石油天然气集团公司信息管理部提出。 本标准由中国石油天然气集团公司标准化委员会信息技术专业标准化技术委员会归口。 本标准起草单位：集团公司信息管理部、东方地球物理公司。 本标准主要起草人：杨志贤、滕征岑、黄晟、崔广印、金一、万进、张文超、沈兰、李丽、张
帅、李晓宇、李江、王小羽。
= Q/SY1838-—2015
应用系统身份认证集成规范
1范围
本标准规定了中国石油天然气集团公司（以下简称“集团公司”）内部应用系统中身份管理与统一认证系统的功能架构与集成方案、集成工作流程和集成技术规范等要求。
本标准适用于中国石油内部应用系统。
2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。 2.1.1
单点登录 single sign-on 在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。
2.1. 2
Web Service 是一个平台独立的、松耦合的、自包含的、基于可编程的web的应用程序，可使用开放的XML
标准来描述、发布、发现、协调和配置这些应用程序，用于开发分布式的互操作的应用程序。 2. 2 缩略语
下列缩略语适用于本文件。 PKI：中国石油公共密钥基础设施系统 IAM：中国石油集中身份管理与统一认证系统
3 IAM功能架构与集成方案
3.1 IAM功能架构
IAM的主要功能包含集中身份管理和统一认证服务等，IAM功能架构如图1所示。 3. 2 集成方案
应用系统与IAM集成主要分为两部分：账号管理集成和单点登录集成。 3.2.1账号管理集成
应用系统与IAM账号管理集成采用WebService接口方式实现。应用系统按照接口标准规范对
IAM提供账号管理接口，IAM通过调用接口实现账号管理操作。 3.2.2单点登录集成
应用系统与IAM集成完毕后，用户通过IAM访问已集成系统，实现单点登录。统一认证过程如
Y Q/SY 1838—2015 图2所示。
身份管理与访问控制系统
统一认证
集中身份管理
用户终端 (C/S)
集成接口
身份信息管理流程
用户管理接口
获取认证请求
身份信息配给
用户终端 (B/S)
获取身份信息验证服务数字证书验证动态口令验证静态口令验证
应
身份信息一致性检查
系统 用
认证接口
.........
静态口令管理
日志记录 报表
.
授权接口
身份认证判定日志记录
.
PKI 集成接口
统一身份存储统一认证所需身份信息鉴别信息的存储与查询
报表
PKI系统

身份管理终端
身份管理终端 身份管理终端
身份管理终端
(B/S)
(B/S)
(B/S)
(B/S)
PKI数字证书认证系统
图1IAM功能架构图
集成应用服务器
集成系统数据库
验证模块 集成系统
业务数 数据
认证HTTPHeader AppAccount (SSL)
用户名/口令 WebSEAL IAM访问控制
中 浏览器用户
或数字证书
认证服务器
（应用列表）
TAM
PAS
策略管理 权限信息签名 目录服务器 数字证书
OCSP
服务器
校验
图示： 开发组件 已有组件 认证和访问控制组件
图2统一认证过程
2 Q/SY1838—2015
4集成工作流程
集成流程分为集成申请与审核（集成沟通）、集成开发、测试环境集成、生产环境集成、生产环境系统上线、集成单轨6个阶段。集成流程如图3所示。
集成申请与审核
集成沟通
接口客户端代码开发
接口、认证模块开发
代码测试
测试环境部署（IAM测试环境配置）
测试环境测试
生产环境部署 IAM生产环境配置
生产环境测试
系统单轨
账号批量映射
图3集成流程图
4.1集成申请与审核 4.1.1集成申请
应用系统集成方按照自身系统填写《中国石油应用系统集成申请表》（以下简称“集成申请表”），其中总体规划系统应填写表A.1，地区公司和板块自建系统应填写表A.2。 4.1.2集成申请审核
对于总体规划系统，先由集成系统所属单位信息部门主管及集团公司该信息系统主管审批；对于地区公司和板块自建系统，先由集成系统所在单位信息部门主管审核，最后由集团公司身份管理与认证系统主管进行最终审核。审核通过后，进入开发实施阶段。 4.2集成开发 4.2.1账号管理接口及单点登录功能开发
应用系统集成方按照本标准对账号管理接口和单点登录功能进行开发。 4.2.2部署测试环境
开发完毕后，应用系统集成方将应用（含单点登录功能）及账号管理接口部署至应用系统测试环
境中。
3 Q/SY 1838—2015
4.2.3 功能测试
集成双方对单点登录功能及账号管理接口进行功能测试，测试完成后，进人测试环境集成阶段。
4.3测试环境集成
测试环境集成包括：配置IAM测试环境、IAM测试环境业务测试。 4.4生产环境集成 4.4.1部署生产环境
应用系统集成方将应用（含单点登录功能）及账号管理接口部署至应用系统生产环境中，并确保可正常使用。 4. 4.2 配置IAM生产环境
进行IAM生产环境的相关配置工作。
4.4.3IAM生产环境业务测试
应用系统安排人员集成方进行生产环境集成测试并编写测试报告。 4.5生产环境系统上线
《生产环境集成测试文档》（参见附录B）编写完成后进行备案，应用系统与IAM集成上线成功。 4.6集成单轨
集成上线后，按照集团要求，集成应用系统将原有登录入口关闭，访问入口实现单轨；同时身份
管理与认证系统为集成应用系统分配应用系统管理员，负责在IAM上添加删除应用系统账号
5集成技术规范
5.1账号管理接口规范
IAM与应用系统之间账号的交互以接口形式实现，各应用系统需按照规范开发账号管理接口，账号管理示意图如图4所示。
各应用系统
账号管理接口
addAccount deleteAccount ModifyAccount
各应用系统用户数据库
身份认证系统
图4账号管理示意图
账号管理接口分为账号创建、删除、查询、挂起、恢复等操作方法，以下是各方法的详细说明。 5. 1. 1 创建账号 5.1.1.1定义说明
创建账号服务定义见表C.1。
4