授權(quán)服務(wù)系統(tǒng)由于環(huán)境不同于企業(yè)內(nèi)網(wǎng)環(huán)境，為了防止各種人員，包括軟件廠商對(duì)平臺(tái)用戶數(shù)據(jù)的非授權(quán)訪問，平臺(tái)針對(duì)部署在平臺(tái)的各項(xiàng)應(yīng)用的訪問做統(tǒng)一的授權(quán)管理。

　　根據(jù)目前的應(yīng)用都是架構(gòu)的事實(shí)情況，我們認(rèn)為做到對(duì)各項(xiàng)資源的一級(jí)授權(quán)，也就是對(duì)部署在平臺(tái)的應(yīng)用的做統(tǒng)一控制，就可以滿足當(dāng)前的業(yè)務(wù)需要。平臺(tái)授權(quán)服務(wù)模塊的設(shè)計(jì)采用的是一級(jí)授權(quán)方式，它僅決定用戶是否有訪問應(yīng)用系統(tǒng)人口的權(quán)限，不涉及應(yīng)用系統(tǒng)內(nèi)部的授權(quán)。

　　用戶訪問應(yīng)用系統(tǒng)之前，必須經(jīng)過一級(jí)授權(quán)驗(yàn)證，一級(jí)授權(quán)驗(yàn)證的執(zhí)行位置應(yīng)用是在統(tǒng)一認(rèn)證之后，而在訪向所有需要保護(hù)的應(yīng)用資源之前。由于一級(jí)授權(quán)的設(shè)計(jì)與實(shí)現(xiàn)不需要應(yīng)用內(nèi)部的知識(shí)，因此可以在平臺(tái)上加以實(shí)現(xiàn)。

　　采用的策略結(jié)構(gòu)如下所示策略二主題集十條件集規(guī)則集主題二角色用戶組組織條件地址時(shí)間驗(yàn)證級(jí)別驗(yàn)證模式規(guī)則二一級(jí)授權(quán)服務(wù)資源十活動(dòng)活動(dòng)是指允許禁止訪問操作總體而言，策略與權(quán)限管理的架構(gòu)基于模型。

　　其中，代表策略判定點(diǎn)，是策略的提供者代表策略執(zhí)行點(diǎn)，是策略的使用者。在架構(gòu)中，提供服務(wù)，包括策略的定義、存儲(chǔ)、配置和判定，這些服務(wù)通過策略判定與策略管理向外部應(yīng)用提供是應(yīng)用中根據(jù)策略判定結(jié)果執(zhí)行應(yīng)用邏輯的部分。

　　授權(quán)服務(wù)系統(tǒng)實(shí)施的基本流程如下首先在各應(yīng)用服務(wù)器上安裝竹訪問的代理程序。根據(jù)每項(xiàng)應(yīng)用，平臺(tái)會(huì)創(chuàng)建相關(guān)的角色，同時(shí)通過簡(jiǎn)單的配置，授權(quán)這些角色可以訪問某項(xiàng)應(yīng)用。安裝在應(yīng)用服務(wù)器端的代理程序會(huì)根據(jù)訪問的用戶身份，同平臺(tái)的資源授權(quán)服務(wù)器聯(lián)系，判斷用戶的隸屬角色和該類角色的權(quán)限，確定用戶是否可以訪問部署在應(yīng)用服務(wù)器上的應(yīng)用程序。

　　當(dāng)角色和權(quán)限匹配后，用戶就可以訪問這些應(yīng)用。二身份管理系統(tǒng)的設(shè)計(jì)。平臺(tái)的身份管理系統(tǒng)是本系統(tǒng)的關(guān)鍵技術(shù)之一。身份管理系統(tǒng)為平臺(tái)用戶的管理側(cè)共了統(tǒng)一的接口。平臺(tái)的身份管理系統(tǒng)是一個(gè)標(biāo)湘應(yīng)用，它通過部署于其本身服務(wù)器端不是要管理的應(yīng)用系統(tǒng)一端的資源適配器創(chuàng)建和管理在各個(gè)應(yīng)用系統(tǒng)上的用戶帳戶，這樣使得集成時(shí)對(duì)應(yīng)用系統(tǒng)的影響最小。

　　對(duì)于一個(gè)將要集成到平臺(tái)的應(yīng)用來說，根據(jù)應(yīng)用的業(yè)務(wù)流程，將創(chuàng)建和維護(hù)用戶基本身份信息的任務(wù)接管過來。當(dāng)創(chuàng)建某個(gè)新用戶時(shí)，根據(jù)預(yù)先定義好的規(guī)則在中央主目錄服務(wù)器中創(chuàng)建，并通過資源適配器將用戶的屬性逐項(xiàng)復(fù)制到各個(gè)應(yīng)用系統(tǒng)，完成創(chuàng)建相應(yīng)的用戶信息的流程。

　　更新后的用戶信息同時(shí)被復(fù)制到安全認(rèn)證系統(tǒng)中，授權(quán)阻止用戶使用相關(guān)的資源。刪除用戶也是同樣原理。如圖所示，中創(chuàng)建的企業(yè)用戶通常以兩種方式同步到應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)表中應(yīng)用系統(tǒng)適說舀適說腸甘紐透說舀用鍵轉(zhuǎn)應(yīng)用系統(tǒng)適硯舀，遂硯舀適硯舀應(yīng)用系魏道說舀應(yīng)用系統(tǒng)中心徽璐且圈系統(tǒng)中創(chuàng)建企用戶對(duì)于一些典型應(yīng)用來說，最簡(jiǎn)單的方式就是通過系統(tǒng)提供的比如與應(yīng)用的數(shù)據(jù)庫(kù)建立連接，將應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)中的主要用戶身份信息與建立映射關(guān)系，這樣，在系統(tǒng)中對(duì)用戶信息的操作增加、刪除、修改會(huì)直接同步到應(yīng)用中。

　　其中，系統(tǒng)和服務(wù)器的集成是通過適配器完成的，和關(guān)系型數(shù)據(jù)庫(kù)如等是通過資源適配器完成的，和叮以及的集成是通過適配器和網(wǎng)關(guān)一起實(shí)現(xiàn)的，和服務(wù)器的認(rèn)證系統(tǒng)的集成是通過資源適配器完成。

　　總的來說，身份管理系統(tǒng)為應(yīng)用系統(tǒng)和平臺(tái)之間提供了一個(gè)靈活的管理接口，比如創(chuàng)建用戶、檢查用戶狀態(tài)、刪除用戶、更新用戶狀態(tài)等接口。通過這些接口，方便了應(yīng)用系統(tǒng)身份管理模塊和平臺(tái)的集成整合。