国家电网小企业基准.doc

国家电网公司企业标准 SG/T XXXXX.XX 电网企业门户系统认证 设计和管理规范 Portal authentication for electric grid enterprise Design and management specifications （初稿） YYYY-MM-DD发布 YYYY-MM-DD实施 国家电力公司信息化工作办公室 发布目次 1 范围 5 2 规范性引用文件 5 3 术语和定义 5 4 电网企业门户系统认证框架 7 4.1 认证的概念 7 4.2 认证的方式方法 8 4.2.1 故障转移cookie 8 4.2.2 CDSSO 标识标记 8 4.2.3 客户机端证书 9 4.2.4 表单认证（用户名和密码） 9 4.2.5 SPNEGO（Kerberos） 9 4.2.6 基本认证（用户名和密码） 9 4.2.7 HTTP 头 9 4.2.8 IP 地址 10 4.3 电网企业认证的范围 10 4.4 电网企业认证实施的步骤 11 5 认证标准的具体内容 11 5.1 用户安全域体系的建立 11 5.2 用户身份的统一管理 12 5.3 统一的身份认证和授权 12 5.4 用户身份ID编码规则 13 5.4.1 定义原则： 13 5.4.2 用户ID编码遵循以下原则： 13 5.5 用户身份认证技术规范 13 5.5.1 认证过程简介 13 5.5.2 认证过程概述 14 5.5.3 受支持的会话数据类型 14 5.5.4 受支持的认证方法 14 5.5.5 HTTP头认证管理 15 5.5.6 数字证书认证管理 16 5.6 用户管理流程 16 5.6.1 总体流程 17 5.6.2 添加用户 17 5.6.3 删除用户 19 5.6.4 信息变动—不跨域 19 5.6.5 信息变动—跨域调动 19 5.6.6 管理员变更――超级管理员变更 20 5.7 统一域名管理 20 5.8 附录 21 6 认证管理工具 21 7 本标准的更新和管理 22  前言 本部分由国家电网公司信息化工作办公室提出并归口。 本部分的起草单位：北京电力公司、海联讯信息网络科技（深圳）有限公司 本部分主要起草人：  范围 本标准规范围绕电网企业信息在事务处理、数据交换与共享以及信息服务、应用集成过程中对统一认证的需求，规定了认证的基本概念、规范表达、范围、方式方法、命名等标准。 本标准适用于电网企业信息集成及资源访问。 规范性引用文件 下列文件中的条款通过本标准规范的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准规范达成协议的各方使用这些文件的必威体育精装版版本。凡是不注日期的引用文件，其必威体育精装版版本适用于本标准。 Q/GDWZ133-2005 《国家电网公司统一域名系统建设规范》国家电网科[2005]824号 术语和定义 3.1 单点登录 Single Sign-On 指用户在一定范围内，只需登录其中一个系统就可以对其它系统进行访问而不需要再次登录。 3.2 认证 Authentication 是单点登录的表现形式，要单点登录必须实现统一的认证。 3.3 授权 Authorization 为经过认证的用户分配权限，以确定用户可以访问哪些资源。 3.4 用户目录 directory 用来保存用户标识的结构，按照各级组织机构以目录树的方式表现。 3.5 用户标识id 注册机构内与语言无关的唯一标识用户身份的标识。给定相关环境的对象的无歧义的名称。 3.6 版本 version 注册机构内，一套逐渐完善的认证规范中的一个认证规范发布的标识。 3.7 实体 entity 任何具体或抽象的事物，包括事物间的联系。 3.8 对象 object 可以想象或感觉的现实世界的任一部分。 3.9 对象类 object class 对象集。现实世界中的想法、抽象概念或事物的集合，有清楚的边界和含义，并且特性和行为遵循同样的规则而能够加以标识 3.10 属性 attribute 某个对象或实体的特征。 3.11 定义 definition 表述人和事物的基本特性、或者人或事物类别的词或短语；要回答“X是什么？”或“一个X属于什么？”这样的问题；一个词或词组含义的表述[韦氏世界英语大词典，第三版，1986]。一个数据元基本特性的陈述，并使之区别于其它数据元。 3.12 相关环境 context 对使用名称或产生名称的应用环境或应用规程的指明或描述。 3.13 特性 property 对象类的所有个体所共有的某种性质。 3.14 特性术语 property term 数据元名称