[发明专利]基于云平台的统一身份认证系统

权利要求书

1.一种基于云平台的统一身份认证系统，其特征在于包括管理子系统(101)映射子系统(102)、访问控制子系统(103)和数据存储子系统(104)，其中，

所述管理子系统(101)对用户、虚拟计算资源、虚拟软件资源、虚拟身份对象进行集中管理，并负责用户与虚拟对象的关联关系管理；

所述映射子系统(102)对所述管理子系统(101)所管理的虚拟对象与实体对象施加映射，对虚拟对象和实体对象的映射关系进行管理，从而提供基于Windows系列操作系统的AD域、基于Unix/Solaris/Linux系列操作系统的NIS域的集中管理，并提供计算资源、专业软件资源的集中管理；

所述访问控制子系统(103)对经所述映射子系统(102)实施映射后的实体对象的权限进行定义，根据用户的身份安全需求，定义域账号组访问专业软件资源、数据资源、计算资源操作系统的权限，从而实现用户权限的定义；

所述数据存储子系统(104)对管理子系统(101)使用的数据、实体AD域数据、实体NIS域数据进行存储，

其中所述用户具有AD域账号和NIS域账号，所述实体对象包括实体AD组和实体NIS组，AD是指活动目录，NIS指代网络信息服务。

2.根据权利要求1所述的统一身份认证系统，其特征在于，所述管理子系统(101)进一步包括：

用户管理模块(1011)，对自然人身份信息进行管理，提供对人员从入职、调职、离职业务场景下的人员信息管理，其包括用户创建、认证凭证维护、用户维护和用户状态管理；

虚拟对象管理模块(1012)，对虚拟的AD域账号、虚拟的NIS域账号、虚拟AD账号组、虚拟NIS账号组、虚拟计算资源、虚拟专业软件资源进行管理；和

关联关系管理模块(1013)，对用户与虚拟对象之间的关联关系进行管理，其包括：用户与虚拟AD账号映射管理、虚拟AD账号与虚拟AD账号组关系管理、用户与虚拟NIS账号映射管理、虚拟NIS账号与虚拟NIS账号组关系管理。

3.根据权利要求1所述的统一身份认证系统，其特征在于，所述映射子系统(102)进一步包括AD域管理对象映射装置(1021)和NIS域管理对象映射装置(1022)，其中所述AD域管理对象映射装置(1021)对Windows平台的实体实施映射；所述NIS域管理对象映射装置(1022)对Unix系列平台的实体实施映射。

4.根据权利要求1所述的统一身份认证系统，其特征在于，所述访问控制子系统(103)包括：授权装置(1031)、虚拟鉴权装置(1032)和实体账号认证和鉴权装置(1033)，其中

所述授权装置(1031)对账号组授予角色以及对角色授予访问专业软件的权限，作为用户的认证信息；

所述虚拟鉴权装置(1032)对访问云平台门户的用户进行认证，并响应于用户所访问的专业软件资源、数据资源请求，通过云平台数据库对所述用户进行虚拟鉴权；

所述实体账号认证和鉴权装置(1033)在虚拟鉴权装置(1032)的虚拟鉴权完成后，对以AD域账号或者NIS域账号访问的用户进行实体账号认证和实体账号鉴权，其包括对用户进行第一层虚拟账号鉴权，识别虚拟账号是否拥有相应的角色后，对用户进行第二层的实体账号鉴权，识别相应的角色是否拥有所访问的专业软件的权限，其中，第二层鉴权对用户透明。

5.根据权利要求4所述的统一身份认证系统，其特征在于，所述实体账号认证和鉴权装置(1033)根据所服务的操作系统的不同具体分为AD域实体账号认证和鉴权模块和NIS域实体账号认证和鉴权模块两个子模块，其中所述AD域实体账号认证和鉴权模块对AD账号通过LDAPs协议进行实体账号认证和实体账号鉴权，NIS域实体账号认证和鉴权模块对NIS账号通过SSH协议进行实体账号认证和实体账号鉴权。

6.根据权利要求4所述的统一身份认证系统，其特征在于，所述授权装置(1031)包括用于对Windows平台的实体进行权限定义的AD域管理对象授权模块、以及对NIS的权限进行定义的NIS域管理对象授权模块。