Q/SY
中国石油天然气集团有限公司企业标准
Q/SY10838—2021 代替Q/SY1838—2015
应用系统身份认证与密钥管理集成规范
Integration specification of identity authentication and key management
for application system
2021—11-15实施
2021—09—07发布
中国石油天然气集团有限公司 发布 Q/SY10838—2021
目 次
前言
-
范围 2 规范性引用文件 3 术语和定义缩略语
4.
集成工作流程 5.1 集成申请与审核 5.2 集成开发 5.3 集成上线及单轨 IAM功能与集成方案
5
6
6.1 IAM功能 6.2 集成方案 IAM集成技术 7.1 账号管理接口 7.2 单点登录接口 8KMS功能及集成方案 8.1 KMS功能 8.2 集成方案 9KMS集成技术 9.1 远端集成一密钥管理 9.2 远端集成一密码服务 9.3 本地集成一密钥管理 9.4本地集成一密码服务附录A（规范性）应用系统集成申请表附录B（规范性）身份管理与访问控制系统应用系统管理员账号申请表附录C（规范性） 加密机配置参数
T
10
10
11
11 .- 16 - 24 -24
"26
..27
...-28 Q/SY 10838—2021
前言
本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。
本文件代替Q/SY1838—2015《应用系统身份认证集成规范》，与Q/SY1838—2015相比，除结构调整和编辑性改动外，主要技术变化如下：
a）更改了“集成工作流程”（见第5章，Q/SY1838一2015的第4章） b）更改了“IAM功能概述与集成方案*（见第6章，Q/SY1838一2015的第3章）： c）更改了“IAM集成技术规范"（见第7章，Q/SY1838一2015的第5章）： d）增加了KMS概述及集成方案（见第8章： e）增加了KMS集成技术规范（见第9章 o 本文件由数字和信息化管理部提出。 本文件由中国石油天然气集团有限公司标准化委员会信息技术专业标准化技术委员会归口。 本文件起草单位：数字和信息化管理部。信息技术服务中心。东方地球物理公司。勘探开发研究院。 本文件主要起草人：靖小伟、高允升、杨志贤、滕征岑、陈希、崔广印、陈靓、于普菏、王勇、刘
亚玮，李丽。高辰魏晨光。张帅、李晓宇，王亮亮，巩敏超。孙忠伟，韩双铭，张凯，王娟。吴冬，王明杰、贾文清、帅训波。
本文件及其所代替文件的历次版本发布情况为：
-2015年首次发布为Q/SY1838—2015：一本次为第一次修订。
II Q/SY 10838—2021
应用系统身份认证与密钥管理集成规范
1范围
本文件规定了应用系统在进行身份认证 密钥管理集成时的工作流程和集成方案的要求。 本文件适用于应用系统的身份管理与认证，密钥管理集成。
2规范性引用文件
本文件没有规范性引用文件
3术语和定义
下列术语和定义适用于本文件
3.1
OAuth协议 open authorization (OAuth) 种被广泛应用的轻量级权访问协议，为用户资源的授权提供了一个安全的。开放而又简易的
标准。 3.2
CAS 协议 central authentication service (CAS) 种独立开放指令协议，旨在为应用系统提供一种可靠的单点登录方法，是一个企业级多语言单
点登录的解决方案。 3.3
SAML协议 security assertion markup language (SAML) 个OASIS的认证信息传输规范和协议，是一组基于XML框架的身份认证协议和规范，用来解
决应用间用户身份凭证的传递。
4缩略语
下列缩略语适用于本文件 IAM：身份管理与认证系统（identityandaccessmanagement） KMS：密钥管理系统（keymanagementsystem）
5 集成工作流程
5.1 集成申请与审核 5.1.1 集成申请
中国石油天然气集团有限公司的应用系统应与身份管理与认证系统集成，实现集中账号管理和统 Q/SY10838—2021
身份认证，如涉及密钥管理及密码服务应与密钥管理系统集成。实现相关密码服务。
应用系统与身份管理与认证系统，密钥管理系统的集成流程一致，分为集成沟通，申请与审核（申请表按表A.1的要求填写），集成开发，测试环境集成，生产环境集成，系统上线，集成单轨6个阶段。集成流程图符合图1的规定。
集成沟通 1.集成申请与审核
集成申请与审核
（集成沟通）
口、认证模块开发 接口客户端代码开发
代码测试
2.集成开
【接口客户端代码开发】 .测试环境集成 IAM测试环境配置
测试环境测试
生产环境部署 IAM生产环境配置
生产环境测试
4.生产环境集成
5.系统上线
6.集成单轨
系统单轨
账号批量映射
图1集成流程图
5.1.2 集成申请审核
应由应用系统所属单位信息部门主管及中国石油天然气集团有限公司该应用系统主管审批，申请表单应符合表A.1的要求。 5.2集成开发 5.2.1 功能开发
应用系统集成方按照本文件对账号管理接口、单点登录、密码服务等功能进行开发。开发完毕后，应用系统集成方将相关功能部署至应用系统测试环境中。
集成双方对单点登录功能、账号管理，密码服务等接口进行功能测试，测试完成后，进人测试环境集成阶段。 5.2.2测试环境集成
测试环境集成包括配置测试环境。测试环境业务测试。 5.2.3生产环境集成
应用系统集成方将应用（含单点登录功能）及账号管理，密码服务等接口部署至应用系统生产环
境中，并确保可正常使用。应用系统集成方安排人员进行生产环境集成测试并编写测试报告。 5.3集成上线及单轨
集成上线后，按照中国石油天然气集团有限公司要求，集成应用系统将原有登录人口关闭，访问
2 Q/SY10838—2021
人口实现单轨：同时身份管理与认证系统为集成应用系统分配应用系统管理员，负责在IAM上添加删除应用系统账号，应用系统管理员需要申请该权限时，应按表B.1的要求填写申请单。
6IAM功能与集成方案 6.1IAM功能
IAM的主要功能包含集中身份管理和统一认证服务等。集中身份管理向应用系统提供账号的新增、删除、停用、启用等功能，统一认证服务提供基于多种认证方式的统一人口。 6.2 集成方案
6.2.1 账号管理集成
应用系统与IAM账号管理集成采用HTTP请求的方式实现，应用系统按照接口标准规范对IAM 提供账号管理接口，IAM通过调用接口实现账号管理操作。 6.2.2 2单点登录集成
应用系统与IAM通过OAuthCAS SAML等协议实现认证集成，用户通过IAM访问已集成系统，实现单点登录。统一认证过程符合图2的规定。
用户
信息系统
认证接口
一身份存储
验证服务
登录
获取身份信息
验证鉴别信 含强认证）
认证判定
访间操作认证判定
图2统一认证过程
7IAM集成技术 7.1账号管理接口 7.1.1 接口描述
IAM与应用系统之间账号的交互以接口形式实现，各应用系统需按照规范开发账号管理接口，账号管理示意图符合图3的规定。账号管理接口分为账号查询、账号推送、组织机构读取等。 Q/SY 10838—2021
各应用系统
账号管理接口
账号查询
账号推送 *组织机构读取
身份认证系统
立用系统用户数据库
新增 修改 禁用 启用 删除
图3账号管理示意图
7.1.2 接口访问认证校验码
应用系统如需验证IAM访问身份，需要与IAM商定一个请求验证码。IAM将这个验证码放在请求的HTTP包头中，供应用系统验证调用者身份。接口传参符合表1的规定。
表1接口访问认证校验码传参表
序号 1
描述请求校验码
Header字段名
类型 String
长度 20位随机码
authcode
7.1.3 账号查询接口
应用系统管理员在IAM平台创建应用账号时，需要向应用系统查询该账号是否存在。创建账号分为一步开通及账户映射两种方式。一步开通时，在IAM中创建应用账号，首先会调用应用方开发的账号查询接口，查询该账号是否存在，如果该账号不存在，IAM将账号信息同步给应用系统的账号同步接口。账号映射时，IAM调用应用系统的账号查询接口，如果应用系统存在该账号，且该账号在IAM无用户拥有，此时IAM直接为用户绑定该应用账号，不进行同步。应用系统只需判断账号名在系统中是否存在，并将结果返回给IAM，IAM创建账号时会限制账号名唯一。
HTTP请求方式使用HTTP方法：POST，contentType为application/json。 接口传参符合表2的规定。
表2账号查询接口传参表
类型 String
变量名称 accountName
备注
序号
字段中文名称
账号名 true：一步开通创建： false：映射创建
账号名
1
是否同步
2
Boolean
sync
响应报文的响应回参表符合表3的规定。
4