智慧
認(rèn)證
上海開(kāi)放大學(xué)
上海開(kāi)放大學(xué)是由上海市人民政府舉辦,教育部批準(zhǔn)成立,上海市教育委員會(huì)管理的新型高等學(xué)校。學(xué)校依托政府、行業(yè)和社會(huì)資源在全市設(shè)有40余所分校、教學(xué)點(diǎn);以現(xiàn)代信息技術(shù)為支撐,主要以遠(yuǎn)程開(kāi)放教育形式面向成人開(kāi)展專科、專升本科教育。
學(xué)校目前注冊(cè)在讀學(xué)生約8萬(wàn)名,是上海市目前在校生人數(shù)最多的高校,也是上海構(gòu)建終身教育體系和建設(shè)學(xué)習(xí)型社會(huì)的重要平臺(tái),為上海建設(shè)“人人皆學(xué)、時(shí)時(shí)能學(xué)、處處可學(xué)”的學(xué)習(xí)型社會(huì)不斷貢獻(xiàn)新的力量。
建設(shè)歷程
2014年
學(xué)校啟動(dòng)建設(shè)第一套身份認(rèn)證系統(tǒng)(IDS 5),為愈漸豐富的業(yè)務(wù)系統(tǒng)和龐大的用戶體量提供統(tǒng)一認(rèn)證準(zhǔn)入和身份管理。
2020年6月
學(xué)校召開(kāi)身份認(rèn)證升級(jí)啟動(dòng)會(huì),統(tǒng)一規(guī)劃、統(tǒng)籌設(shè)計(jì),校企協(xié)同重塑學(xué)校認(rèn)證體系。
2020年9月
全新的身份認(rèn)證平臺(tái)(IDS 7)已完成管理功能部署、性能升級(jí)和數(shù)據(jù)遷移。
2020年11月
投入試運(yùn)行。
升級(jí)背景
學(xué)校主要開(kāi)展成人教育,實(shí)行“學(xué)分8年有效制”。每年平均約25000名新生入學(xué),到2020年學(xué)校認(rèn)證系統(tǒng)已積累80萬(wàn)用戶賬號(hào),在讀學(xué)生8萬(wàn)余名。用戶體量的逐年激增對(duì)學(xué)校認(rèn)證系統(tǒng)的服務(wù)能力提出了極高的要求。
學(xué)校采取“總校辦學(xué),分校支撐”的合作辦學(xué)體系,90%的學(xué)生分布在40多所分校,外聘、外包人員較多,需要為專職、外聘、在編等各類人員提供分層分級(jí)的身份管理。
大量不活躍賬號(hào)存在于系統(tǒng)中,離校/退休師生賬號(hào)需要更便捷省心的管理機(jī)制。
以往新生賬號(hào)主要采用“默認(rèn)初始密碼”的形式下發(fā),“弱口令”的情況十分普遍。
學(xué)生以成人為主,對(duì)移動(dòng)端的使用訴求頗高。校園應(yīng)用需要與微信企業(yè)號(hào)、企業(yè)微信等移動(dòng)端實(shí)現(xiàn)更加簡(jiǎn)單高效的認(rèn)證對(duì)接。
學(xué)校主要通過(guò)線上平臺(tái)實(shí)施教學(xué),學(xué)生對(duì)信息系統(tǒng)的依賴程度更高。登錄賬號(hào)時(shí),密碼太簡(jiǎn)單易泄露、太復(fù)雜容易混淆,需要擴(kuò)展更加便捷、安全的認(rèn)證手段。
建設(shè)成效
上海開(kāi)放大學(xué)聚焦師生用戶最基礎(chǔ)、最迫切的訴求,在IDS 7的升級(jí)部署中,優(yōu)先針對(duì)用戶賬號(hào)安全性、認(rèn)證便捷性及服務(wù)穩(wěn)定性升級(jí)功能和體驗(yàn)。
01 “賬號(hào)自主激活”取代“默認(rèn)初始密碼”
新用戶賬號(hào)默認(rèn)初始密碼(如學(xué)號(hào)/證件號(hào)后六位)下發(fā),是學(xué)校大量存在“弱口令”的根本原因。新部署的IDS 7針對(duì)新用戶實(shí)施個(gè)人賬號(hào)“三步激活”策略:
①信息校驗(yàn)→②綁定手機(jī)→③設(shè)置密碼
從根本上消除默認(rèn)初始密碼帶來(lái)的安全隱患。
02 擴(kuò)展多種“無(wú)密碼”認(rèn)證方式
新認(rèn)證平臺(tái)與用戶手機(jī)號(hào)、微信進(jìn)行綁定,擴(kuò)展了手機(jī)動(dòng)態(tài)校驗(yàn)碼登錄和微信掃碼登錄方式,并支持7天內(nèi)免登錄,有效避免用戶忘記密碼或密碼泄露等窘?jīng)r。
03 完善賬號(hào)安全保護(hù)機(jī)制
新增密碼算法庫(kù),將用戶設(shè)置的密碼與密碼算法庫(kù)進(jìn)行比對(duì)打分,可預(yù)設(shè)密碼分值下限,支持選擇是否需要強(qiáng)制修改不達(dá)標(biāo)的弱密碼。
04 支撐更豐富的校園應(yīng)用
IDS 7相比于IDS 5擴(kuò)展了更多的認(rèn)證協(xié)議,最常用的CAS協(xié)議新增CAS3.0版本、SAML也同時(shí)支持1.0和2.0版本,更多的校園應(yīng)用得以順暢對(duì)接,如基于CAS協(xié)議的VPN在訪問(wèn)應(yīng)用時(shí)可實(shí)現(xiàn)無(wú)感登錄等。
總結(jié)展望
學(xué)校新版認(rèn)證平臺(tái)經(jīng)過(guò)數(shù)月的試運(yùn)行檢驗(yàn)后,于2020年11月正式切換上線。2021年8月-9月期間服務(wù)師生完成20余萬(wàn)次系統(tǒng)認(rèn)證。
龐大的用戶體量需要學(xué)校在重構(gòu)認(rèn)證服務(wù)時(shí)更加細(xì)致、謹(jǐn)慎。當(dāng)前,學(xué)校已經(jīng)完成對(duì)用戶基礎(chǔ)認(rèn)證需求的升級(jí)塑造,后續(xù)將持續(xù)擴(kuò)展更多認(rèn)證管理與服務(wù)手段,例如拓展更加靈活的分組機(jī)制,為“1+40”(一個(gè)總校,40多所分校)合作辦學(xué)體系提供更加精細(xì)化的身份管理與授權(quán)機(jī)制;對(duì)VPN的架構(gòu)進(jìn)行優(yōu)化升級(jí),改變以往LDAP比較僵硬的對(duì)接方式等。
此次升級(jí)IDS 7,為師生提供了更豐富的認(rèn)證手段,很好地改善了用戶體驗(yàn)。安全層面上,大幅減少了弱密碼問(wèn)題,對(duì)無(wú)效歷史數(shù)據(jù)進(jìn)行了處理?,F(xiàn)階段IDS 7主要在便捷性、安全性及穩(wěn)定性等層面實(shí)現(xiàn)突破,也期待未來(lái)拓展更多場(chǎng)景應(yīng)用。
申志冰
上海開(kāi)放大學(xué) 信息與網(wǎng)絡(luò)管理中心