广东省统一身份认证平台接入规范

(政府侧)(征求意见稿)GDZWxxxx—2019广东政务服务平台标准GDZWWICSXxx备案号:201x-xx-xx发布201x-xx-xx实施XXX发布GDZWXXXX-201xII目次前言.
IV引言.
11范围.
12规范性引用文件.
13术语和定义.
13.
1身份IDENTITY.
13.
2身份信息IDENTITYINFORMATION.
13.
3政务人员用户GOVERNMENTUSER.
13.
4业务系统THEBUSINESSSYSTEM.
13.
5统一身份认证UNIFIEDIDENTIFICATION.
13.
6单点登录SINGLESIGN-ON.
13.
7信任传递TRUSTTRANSFER.
13.
8用户凭证CREDENTIALS.
24符号和缩略语.
25业务系统接入规范.
25.
1总体要求.
25.
2登录.
25.
3同步组织及用户数据.
35.
4组织机构及用户数据初始化.
46接入工作流程.
56.
1概述.
56.
2接入前准备.
56.
3接入申请.
66.
4接入核准.
66.
5接入改造.
66.
6接入联调.
66.
7接入开通.
67业务系统接入规范.
67.
1接入接口规范.
67.
1.
1接入调用流程.
67.
1.
2接口调用服务.
77.
1.
3接口调用规范.
77.
2组织机构及用户信息同步接口.
97.
2.
1根据组织单元ID获取组织单元信息.
97.
2.
2根据组织单元ID获取某个组织单元下的所有组织单元.
97.
2.
3获取组织单元所有用户.
107.
3数据规范说明.
117.
3.
1组织机构信息.
11GDZWxxxx-201xIII7.
3.
2用户信息.
128认证安全加密要求.
138.
1基本要求.
138.
2系统安全要求.
138.
3通讯接口分类.
138.
4接口和通讯安全.
148.
5浏览器访问通讯安全要求.
14参考文献.
15GDZWXXXX-201xIV前言本标准按GB/T1.
1-2009给出的规则起草.
GDZWxxxx-201x1引言广东省统一身份认证平台(政务侧)对接国家统一身份认证系统,为全省政务人员提供统一的身份认证服务.
实现"一个账号、一次登录、全省通用".
本规范按照全省政务服务工作的总体要求,基于标准统一、安全可靠、互联互通、应用方便的原则制定政务人员统一身份认证的对接规范,规范对接流程和方法、服务接口、接口数据项目.

GDZWxxxx-201x1广东省统一身份认证平台(政务侧)接入规范1范围本标准规定了广东省统一身份认证平台(政务侧)术语、总体要求、认证安全要求、业务系统接入规范、接口及参数说明.
本标准适用于广东省统一身份认证平台(政务侧)省级节点、地方和部门节点.

2规范性引用文件下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.

GB/T31072-2014科技平台统一身份认证《ZWFWC0111-2018国家政务服务平台统一身份认证系统身份认证技术要求》《ZWFWC0110-2018国家政务服务平台统一身份认证系统接入要求》《ZWFWC0112-2018国家政务服务平台统一身份认证系统信任传递要求》《ZWFWC0113-2018国家政务服务平台统一信任服务平台接口要求》《ZWFWC0114-2018国家政务服务平台可信身份等级定级要求》《ZWFWC0131-2018国家政务服务平台统一身份认证隐私保护要求》3术语和定义3.
1身份Identity代指自然人或法人在政务服务中的身份标识,是政务服务授权的依据.
3.
2身份信息Identityinformation指政务人员身份的组成内容,身份信息包括姓名、身份证号、手机号等.

3.
3政务人员用户Governmentuser政务服务各业务管理平台的使用人员,是政务服务事项的业务受理单位的执行人员.

3.
4业务系统Thebusinesssystem指政务服务应用系统.
如无特指,系指已集成在政务门户中的政务服务业务系统.
直接与国家节点对接的业务系统在本规范系列中约定为直连业务系统.
3.
5统一身份认证Unifiedidentification用户通过使用同一套认证凭证,可访问所有统一认证平台上与该用户身份对应的授权网络应用的过程.
3.
6单点登录Singlesign-on在多个应用系统中,平台用户只需要登录一次就可以访问所有相互信任平台应用系统的过程.

3.
7信任传递TrusttransferGDZWXXXX-201x2实现用户、业务系统的强身份鉴别、跨域条件下的信任传递.
本建设方案特指在统一身份认证中心将已登录凭证传递到业务系统完成登录的过程.
3.
8用户凭证Credentials通过门户认证的用户身份的合法标识.
4符号和缩略语下列符号和缩略语适用于本文件.
HTTP超文本传输协议(HyperTextTransferProtocol)HTTPS基于安全通道的超文本传输协议(HyperTextTransferProtocoloverSecureSocketLayer)5业务系统接入规范5.
1总体要求业务系统接入广东省统一身份认证平台(政务侧)要求实现两个方面的对接,一是业务系统使用广东省统一身份认证平台(政务侧)账号登录,二是业务系统的组织机构用户系统同步.

5.
2登录业务系统需关闭本系统用户注册、密码修改等身份认证功能,相关的功能通过广东省统一身份认证平台(政务侧)来完成.
用户在访问业务系统页面时,需要通过广东省统一身份认证平台(政务侧)进行认证登录,认证通过后,才允许访问业务系统.
用户访问业务系统,使用广东省统一身份认证平台(政务侧)账户登录流程如下:a)用户访问业务系统,请求首先会通过广东省统一身份认证平台(政务侧)判断用户的登录态,平台发现登录状态不存在或者失效时,跳转身份认证页面;b)用户根据页面选择扫码或者输入账号名及密码,提交请求;c)广东省统一身份认证平台(政务侧)对用户所输入的认证信息进行验证,验证通过后,把用户身份信息转发给后端的业务系统;d)业务系统接收用户身份信息后,需验证签名正确性;验证通过后,关联本地系统的用户信息,判断用户的权限,允许用户登录办理业务;e)用户实现一次登录后无需多次登录,直接进入的后端的业务系统.
GDZWxxxx-201x3图5-1登录流程5.
3同步组织及用户数据业务系统需要同步广东省统一身份认证平台(政务侧)的组织和用户数据,从广东省统一身份认证平台(政务侧)获取所需要同步的单位/部门节点ID.
根据部门ID调用认证平台的接口,定时主动获取单位/部门的组织机构和用户信息.
业务系统同步数据具体流程如下:a)业务系统通过获取到的单位组织ID,定时调用广东省统一身份认证平台(政务侧)的接口获取下级组织接口;b)业务系统根据返回的部门列表信息,存储到组织机构表,形成组织机构树;c)业务系统根据组织机构树的组织ID,调用接口获取用户信息;d)业务系统存储用户信息并关联到组织机构树;流程结束.
GDZWXXXX-201x4图5-2同步组织及用户信息5.
4组织机构及用户数据初始化业务系统的组织机构及用户数据需要进行初始化导入到广东省统一身份认证平台(政务侧),该工作建议由业务系统使用单位的分级管理员来完成,分级管理员账号通过各省厅局、各地级市主管部门提出申请,由广东省政务服务数据管理局根据申请进行分配,分级管理员根据实际需要初始化组织机构和用户数据,并可以实时管理本单位组织机构和用户数据.
分级管理员管理权限内的组织及用户数据流程如下:a)广东省统一身份认证平台(政务侧)根据业务系统接入的单位提出的申请分配分级管理员账号;b)分级管理员获取到账号后,登录广东省统一身份认证平台(政务侧)用户中心并下载组织及用户信息的导入模板;c)分级管理员按照模板要求收集并整理好对应的各单位组织机构及用户信息;d)分级管理员进入用户中心初始化导入组织机构及用户信息,流程结束.
GDZWxxxx-201x5图5-3组织机构及用户数据初始化6接入工作流程6.
1概述按照广东省统一身份认证平台(政务侧)接入专项工作方案要求,接入工作流程主要包括接入前准备、接入前技术核准、接入改造、接入联调、接入开通五个阶段.
6.
2接入前准备申请节点按以下要求进行准备:a)各节点应明确本地域名规划和认证服务节点域名规划,明确IP地址,制定部署方案,明确地方和部门节点部署位置,确保服务器部署在安全区域内;b)制定接入方案,描述对接环境和应用系统,描述接口调用方案,描述IP网络拓扑、IP地址、域名,描述安全防护方案.
云平台、负载均衡设备、CDN服务应单独详细描述;c)各节点应具备信息安全等级保护三级(或以上)的安全防护能力;d)约定接入各方的工作职责GDZWXXXX-201x66.
3接入申请地方和部门节点向省政数局正式申请接入,申请时根据实际需要包含以下内容:a)省直业务系统接入广东省统一身份认证平台(政务侧)申请;b)网关接入申请;c)申请订阅网关服务;d)申请发布网关服务;e)其他必须的信息.
6.
4接入核准对申请节点提供的技术信息和接入方案进行评测后,核准是否接入,核准后节点建立以下接入要素:a)建立申请节点的地址服务数据,建立IP、域名等记录,建立访问控制列表;b)回复服务地址列表,申请方通过读取服务地址获取包括登录认证服务、票据服务、令牌服务、隐性登录服务、用户信息查询、登出服务消息订阅服务等地址;c)建立其他必须的信息.
6.
5接入改造应遵从本标准、对接入节点范围内政务服务门户和业务系统中身份认证相关业务进行需求梳理,明确政务服务门户认证流程,进行系统建设或改造.
6.
6接入联调申请节点应选定统一模式或协同模式之中的一种,按选定方式进行统一模式建设改造要求或协调模式建设改造要求进行建设改造.
统一模式下,登录认证、用户空间管理等功能都由省节点统一身份认证平台完成,地方和部门节点通过对接省节点完成本地用户登录认证及跨节点信任传递.
协同模式下,登录认证、用户空间、单点登录均由各地方和部门节点建设完成,在现有系统内增加指向省节点的链接,通过和省节点的信任传递系统对接,实现跨节点访问通用.
6.
7接入开通根据请求信息完成配置、启动接入开通工作后通知申请方完成接入.
7业务系统接入规范7.
1接入接口规范业务系统通过OAuth2模式对接统一身份认证平台Web端.
7.
1.
1接入调用流程统一身份认证平台对外提供两种接入模式,网关模式和OAuth模式.
网关模式主要由准入网关作为中间件实现与统一身份认证中心的对接;OAuth模式由业务系统直接对接统一身份认证中心,之间通过OAuth2.
0协议进行访问.
GDZWxxxx-201x7图7-1web端接入调用流程7.
1.
2接口调用服务图7-2接口调用服务图7.
1.
3接口调用规范接口调用见表1.
表1接口调用规范接口功能根据组织单元ID获取组织单元信息根据组织单元ID获取某个组织单元下的所有组织单元获取组织单元所有用户GDZWXXXX-201x8接口名称getUnitByUnitIDgetChildUnitByUnitIDgetUsersByUnitID接口方法POST参数JSON参数包括请求参数JSON、返回参数JSON.
传入参数示例:{"username":"四月三十","displayname":"四月三十","account":"feng09","gender":"1","certificatetypeid":"5","certificatenumber":"2019041129","engname":"sam2","accountalias":"sam2","birthday":"19780923","mobilenumber":"13356785439","telephonenumber":"010-12445554","email":"zhangsan111888@gmail.
com","nation":"中国","province":"湖南","city":"长沙","district":"南湖","address":"长沙大学","status":0,"extend":{"工号":"001"}}返回参数示例:{"account":"feng09","accountalias":"sam2","address":"长沙大学","birthday":"19780923","certificatenumber":"2019041129","certificatetypeid":"5","city":"长沙","createtime":"2019-05-23T12:28:39.
132Z","displayname":"四月三十","district":"南湖","email":"zhangsan111888@gmail.
com","engname":"sam2","errcode":0,GDZWxxxx-201x9"extend":{"工号":"001"},"gender":"1","mobilenumber":"13356785439","nation":"中国",7.
2组织机构及用户信息同步接口业务系统通过调用广东省统一身份认证平台(政务侧)的相关接口获取组织机构及用户信息.

接口主要提供如下功能:机构查询和用户查询接口.
7.
2.
1根据组织单元ID获取组织单元信息接口getUnitByUnitID接口描述:获取组织单元信息.
输入参数:字段说明类型是否必填备注unitid组织单元IDstring是调用示例:{"unitid":"5566"}成功返回组织单元全部信息.
结果示例:{"unitname":"XX部门","isvirtual":false,"extend":{"orgType":"3","weworkpartyid":[582]},"parentunits":[{"unitid":"073ku2hrg7n0ce0gve4pva","order":1073741823,"priority":1}],"unitid":"073tknrzg7n0ce0gtmyrl1","createtime":"2019-01-07T09:52:47.
927Z","updatetime":"2019-01-07T09:52:47.
927Z","unitpath":["/广东省政府/XX厅/XX部门"],"errcode":0,"errmsg":"ok"}7.
2.
2根据组织单元ID获取某个组织单元下的所有组织单元GDZWXXXX-201x10接口:getChildUnitByUnitID接口描述:根据组织单元ID获取某个组织单元下的所有组织单元.
输入参数:字段说明类型是否必填备注unitid组织单元IDstring是调用示例:{"unitid":"5566"}成功返回组织单元数组.
结果示例:{"units":[{"unitname":"XX部门","isvirtual":false,"extend":{"orgType":"3","weworkpartyid":[582]},"parentunits":[{"unitid":"073ku2hrg7n0ce0gve4pva","order":1073741823,"priority":1}],"unitid":"073tknrzg7n0ce0gtmyrl1","createtime":"2019-01-07T09:52:47.
927Z","updatetime":"2019-01-07T09:52:47.
927Z","unitpath":["/广东省政府/XX厅/XX部门"]}],"errcode":0,"errmsg":"ok"}7.
2.
3获取组织单元所有用户接口:getUsersByUnitID接口描述:获取某个组织单元下的所有用户.
输入参数:字段说明类型是否必填备注unitid组织单元IDstring是调用示例:{"unitid":"5566"GDZWxxxx-201x11}成功返回所有用户列表.
结果示例:{"users":[{"username":"史XX","displayname":"史XX","account":"111111111111111111","gender":"1","mobilenumber":"138xxxxxxxx","certificatetypeid":"5","certificatenumber":"44011319xxxxxx4533","status":0,"userid":"073kvf4ng7n0ce0gvrrxxo","createtime":"2018-12-21T11:55:14.
353Z","updatetime":"2018-12-26T04:22:10.
494Z","units":[{"unitid":"073ku2hrg7n0ce0gve4pva","order":1073741791,"unitleader":false,"position":"","priority":1}],"birthday":""},{"username":"余XX","displayname":"余XX","account":"222222222222222222","gender":"1","mobilenumber":"137xxxxxxxx","certificatetypeid":"5","certificatenumber":"44011019xxxxxx2588","status":0,"userid":"073lyus5g7n0ce0gulpnig","createtime":"2018-12-23T15:01:41.
301Z","updatetime":"2018-12-26T04:22:11.
269Z","units":[{"unitid":"073ku2hrg7n0ce0gve4pva","order":1073741735,"unitleader":false,"position":"","priority":1}],"birthday":""}],"errcode":0,"errmsg":"ok"}7.
3数据规范说明7.
3.
1组织机构信息统一身份认证平台组织机构信息详细内容见表2.
表2组织机构信息表序号数据元名称字段名数据类型是否可空说明1机构节点名称unitnamevarchar2(100)非空2机构节点IDunitidvarchar2(100)GDZWXXXX-201x123创建时间createtimeDate非空4更新时间updatetimeDate非空5部门全路径unitpathvarchar2(2000)可空6父部门IDParentunits.
unitidvarchar2(100)非空7排序号Parentunits.
orderInt非空8是否主部门Parentunits.
priorityvarchar2(32)可空1是,0否9政务微信IDExtend.
weworkpartyidvarchar2(30)非空10部门类型Extend.
orgTypevarchar2(4)可空7.
3.
2用户信息统一身份认证平台用户信息详细内容见表3.
表3用户信息表序号数据元名称字段名数据类型是否可空说明1用户名称usernamevarchar2(100)非空2显示名称displaynamevarchar2(100)可空3账号accountvarchar2(100)非空4性别genderInt非空5手机号码mobilenumberInt非空6证件类型certificatetypeidInt非空7证件号码certificatenumbervarchar2(100)非空8用户IDuseridvarchar2(32)非空9政务微信IDExtend.
weworkpartyidvarchar2(30)非空10创建时间createtimeDate可空11更新时间updatetimeDate可空12所属部门IDUnits.
unitidvarchar2(32)非空13排序号Units.
orderInt非空14是否领导Units.
unitleaderInt可空15职位Units.
positionvarchar2(100)可空16是否主职部门Units.
priorityInt可空GDZWxxxx-201x138认证安全加密要求8.
1基本要求地市和省级节点需要对隐私数据进行保护.
地市和省级节点在用户登录认证会话中禁止暴露令牌,令牌等认证信息应在认证服务器之间传递,禁止经由用户设备或其他第三方传递.

地方和部门节点间传输令牌、用户信息等数据时,应对通讯进行加密和签名.
地市和省级节点应使用HTTPS协议对外提供服务,禁止使用HTTP协议.
8.
2系统安全要求8.
2.
1按省统一身份认证系统规定密码口令、验证码、登录异常提醒、登录异常处理、登录日志审计规范要求.
8.
2.
2密码口令:a)系统应具备对口令强度检测的能力,并对用户进行提示(尽量不要以姓名拼音、电话号码以及出生日期等作为口令或者口令的组成部分),且止常见弱口令的配置;b)应以不可逆加密技术保存口令,禁止明文方式保存或者传输;c)采用不可逆加密算法认证过程中,每次认证时,由服务端随机生成Salt参与运算;d)修改口令时,保留口令修改记录,包含账号、修改时间、修改原因等,以备审计.