江南大学:特色认证 赋能校园身份管理降本增效
江南大学是教育部直属、国家“211工程”重点建设高校和“双一流”建设高校。江南开学府,万顷湖波扬。江南大学以建设“世界知名、中国一流、江南风格的研究型大学”为战略目标,深入推进教育教学改革,在人才培养、科学研究、社会服务、文化传承创新、国际交流合作等方面砥砺奋进,已逐步建成一所国内有影响力、国际有知名度的特色鲜明的高水平大学。


江南大学

特色认证 赋能校园身份管理降本增效


学校简介

school

江南大学地处太湖之滨——江苏省无锡市,是教育部直属、国家“211工程”重点建设高校和一流学科建设高校。

江南开学府,万顷湖波扬。江南大学以建设“世界知名、中国一流、江南风格的研究型大学”为战略目标,深入推进教育教学改革,在人才培养、科学研究、社会服务、文化传承创新、国际交流合作等方面砥砺奋进,已逐步建成一所国内有影响力、国际有知名度的特色鲜明的高水平大学。



认证系统建设经历

2010年

学校建设了第一套身份认证系统(IDS4),为各类业务系统提供了统一、安全、标准的认证服务。至今仍有极少数系统在与这套认证系统对接。

2016年

为实现认证与校园门户(e江南)更紧密配合,学校采用了其他厂商的认证系统与门户同期迭代建设。但新的问题也随之而来:①前后两套认证系统并行,给运维保障工作带来极大挑战;②门户与认证深度耦合,功能边界模糊等。

2021年

学校为更好地适应新阶段智慧校园建设和发展需求,决定停用之前建设的两套认证系统,通过新建IDS7实现门户与认证解耦,逐步推进智慧校园支撑平台向标准化迈进。



既有认证系统亟需革新

学校认证系统经过10年迭代应用,既有的管理功能和性能已难以支撑信息技术与用户需求的高速发展,许多方面需要再规划、再升级。

缺乏对电子身份的管理。“一户多号”情况需要支持多身份切换、账号生成/禁用缺少批量化处理手段等。

安全性、稳定性有待提升。部分系统对接方式存在安全隐患;负载均衡与备份机制尚未完全实现。

标准化程度不足。定制内容多,门户与认证存在代码级耦合;对接协议文档不规范。

接口协议与认证方式难以支撑新的需求场景。

两套认证系统并行,运维保障难度大、成本高。



打造江南特色认证体系

学校自2010年起就提出“建设具有江南特色的智慧校园”。今年7月,新的认证体系启动升级,深度契合学校既有数字生态,从标准化、灵活性、安全性、开放性、完善性等层面着手,赋能校园身份管理降本增效,智绘江南特色认证版图,提升师生对信息化产品的使用满意度。

01 智慧校园 江南特色

学校“e江南”门户经过10余年的升级优化,齐聚各类用户,已成为学校数字生态门户。“e江南”不仅实现了各类应用在门户上的聚合,也融通了后台的消息流转、支付平台、数据中心、应用发布、流程引擎等支撑体系。学校通过将认证与门户解耦,推进认证、校园门户和数据中心标准化建设,实现智慧校园生态稳步向优。

02 全局一致 管理灵活

统一身份认证应在用户体验、管理逻辑、开发接口等方面保持统一,应用系统权限控制完全独立,不同系统可具备不同身份,并能够统一管理所有用户和数据资源。

03 安全稳定 管理自主

– 保障身份数据的真实性、完整性、机密性;

– 实现相关应用业务(如支付、审核等)人员身份可追溯;

– 用户权限完全由内部自主管理,提高保密性与独立性;

– 身份数据基于Web界面加密传输,无需专用客户端。

04 开放包容 管理全面

新的认证体系更全面地管理用户多重身份、多重职务,为学生和教工提供从入学/入职到离校/退休全周期的认证服务,以更开放的设计包容各类系统平台、协议和第三方APP。

05 功能完善 管理成熟

校园人员类型愈加复杂,师生对服务体验的感知更趋于精细。统一身份认证作为校园信息化服务设施,需要优化服务体验、完善管理功能、夯实安全与性能、打造标准化技术架构,实现认证管理与服务的高品质与可持续发展。

06 友好便捷 灵活认证

– 打通微信互联认证,师生可直接通过微信扫码快捷登录,告别忘记密码烦恼。

– 融合生物识别技术,用户通过可信终端即可实现人脸、指纹进行认证。校内闸机、门禁实现无接触式“一脸通行”。



挑战与应对

challenge


● 认证与门户解耦

门户登录页面及密码修改页面已经与原认证系统深度耦合,接口调用与数据安全存在诸多问题,例如用户访问第三方应用,认证通过后会跳转到门户页面等情况。IDS 7通过对统一身份认证回调地址进行修改、规范接口调用逻辑等操作,已实现门户与认证解耦。

●用户与数据无感迁移

原来LDAP上部分数据保存方式不合理,迁移困难。升级过程中学校直接将数据导入到新系统并完成加密,成功实现数据的无感迁移。

针对数据不完善、弱密码、无密码、密码找回邮箱缺失等问题,学校采取无密码强制激活、弱密码强制修改密码、密码找回邮箱绑定有规则的默认邮箱等措施,已妥善解决。

● 应用的平滑迁移

学校“e江南”门户目前已对接70余项应用,其中40余项对接的是CAS协议,20余项对接OAuth协议。原CAS和OAuth协议不标准,导致应用无法快速迁移。

对接CAS协议的应用,学校协同金智教育通过抓包适配测试,仅调整域名即可完成应用的平滑升级。对接OAuth协议的应用,学校通过测试系统联调,由金智教育做适配,在调整好的域名上加上原系统相关信息,完成应用的平滑迁移。


    小智

王主任,您对此次升级IDS7感触如何?

信息化建设与管理中心主任 王强   

学校服务门户具有多端一体化的特点,门户的登录页面与密码修改页面已经与原认证系统深度耦合。这次升级IDS7较好解决了门户与认证解耦的难题,使得门户应用与认证对接更加标准化,为今后更好地开展智慧校园生态建设奠定了基础。