一、项目背景、目标及相关规划

1.项目背景

在新一轮科技革命和产业变革的背景下，积极拥抱现代科技成果、深度促进金融科技与业务融合、持续推动数字化转型，已成为众多商业银行改革转型的新方向。在这个过程中，金融单位科技平台逐步发展繁荣，各自平台及门户应用纷繁复杂，导致平台用户身份重复、账号和访问权限不统一，影响资源的使用，且权限控制复杂不利于安全管控。

为稳妥发展金融科技，加快金融机构数字化转型，落实《金融科技发展规划（2022-2025年）》，结合天津农商银行自身实际现状，制订统一身份认证中心服务规范，基于现有身份体系构建全行统一数字身份，建立天津农商银行数字身份体系及统一数字身份认证标准，并以此规范为导引，以点带面，循序渐进，在全行层面长期有序的推进金融标准化工作。

统一身份认证平台皆在强化权限管理和访问控制，构建以用户属性、用户角色动态授权的新一代统一身份认证平台，促进天津农商银行应用间访问授权规范、安全。基于身份体系构建，赋能智慧+业务新模式，助力产业升级。

2.项目目标

天津农商银行统一身份认证中心是以建立数字身份体系，统一数字身份标准为基座；打造智能身份新生态，提升数字化转型进程为目标，建立统一身份认证领域企业标准。

应用方通过集成统一身份认证中心提供的API或自行以标准开发规范接入，获取认证中心提供的认证服务，经过授权可达到纳管入统一认证的各个应用在同一区域能身份互信。统一身份认证中心作为身份认证服务提供方，通过认证中心对用户隐私数据进行安全保护，再通过对外提供安全、可靠的认证服务。

3.建设规划

统一身份认证中心结构图见图1：

图1 天津农商银行统一身份认证中心总体架构图

统一身份认证中心认证的参与方主要包括用户、应用方以及认证中心，应用方通过SDK集成方式向应用方和用户提供身份认证服务。 

应用方负责接收并处理用户认证请求，通过统一身份认证中心向认证中心提交身份认证请求、接收返回结果，而后依照认证结果进行后续业务处理。

天津农商银行构建的统一身份认证中心，协同行内各认证功能支撑系统共同完成各类认证请求。其中，统一认证将应用方请求转发至客户中心和认证中心处理，并将认证结果反馈应用方，生物识别等系统作为认证支撑系统提供生物认证服务。统一认证包含身份认证、加签验签、加密解密、认证协议动态配置、认证方式动态配置、审计等功能，但不涉及具体业务逻辑处理；认证中心主要是对业务系统提供的资源进行保护，包括访问权限、页面权限、数据权限等。

4.业务功能

统一认证中心基本功能主要包括：机构管理、用户管理、应用管理、认证管理、授权管理、单点登录、数据同步、统一待办管理：

一是机构管理：可通过行内数据源系统同步或导入组织机构数据，对数据进行整理归纳，展示为全行标准的组织机构树。包括基本组织机构基本信息管理、岗位基本信息管理。

机构管理包含以下功能：

支持机构上下级分层管理。

支持对数据源系统的数据进行整合归纳，构建完整权威的组织机构标准，可根据应用需要同步数据。

支持机构信息、及机构所属岗位管理。

支持机构岗位的新增、修改、删除、查询。

支持机构岗位的批量导入功能。

二是用户管理：可通过行内数据源系统同步或导入用户基础数据，对用户数据进行治理，构建全行统一数字身份。包括用户基本信息管理、所属组织机构岗位管理、账号生命周期管理。

用户管理包含以下功能：

支持用户信息集中管理。

支持对数据源系统的用户信息进行治理，构建完整权威的数字身份，可根据应用需要同步数据。

支持用户信息、及账号状态管理。

支持用户数据的新增、修改、删除、查询。

支持用户数据的批量导入功能。

三是应用管理：可通过应用自主入住流程，纳管入统一身份认证中心，实现应用登录方式灵活调整，认证协议自主配置，对接方式自主选择。

应用管理包含以下功能：

支持应用入住自主申请。

支持对应用入住申请进行审批查看。

支持应用登录方式、认证方式等自主配置。

支持应用访问权限的动态配置。

四是授权管理：授权管理应实现统一的访问控制和授权管理，降低多个应用系统管理维护的复杂度，授权管理应具有以下功能

支持集中授权管理；

支持RBAC和ABAC两种授权模型；

支持用户组管理机制，实现对用户的分组授权，用户组是由相同属性的用户组合而成，通过定义用户组，并将用户与权限关联的方式进行授权，要求用户可以拥有一个或多个用户组，用户组具有机构和岗位属性，也可在不定义角色组的情况下，能够直接将用户和功能权限关联绑定，直接控制用户的访问权限；

支持分级授权管理模式，可基于应用系统或组织机构完成应用系统的分级授权管理，支持业务操作和安全审计权的分离，确保统一认证管理系统的自身运行安全。

五是认证管理：授认证管理应实现对多个应用系统的认证入口的整合，可以针对应用系统的不同安全需求，实现多种登录认证方式灵活可配置。同时具有高级别认证方式向下兼容低级别认证方式的特性，认证管理应具有以下功能：

依据应用系统的不同安全需求，制定不同的认证等级策略；

系统支持用户名/口令、扫码等多种登录认证方式，另外，系统具有良好可扩展性，可快速实现对动态口令、生物识别等其他多因素认证方式的支持；

针对用户名/口令认证方式，采取口令加固和强安全检测的安全配置策略，可按需设置口令长度、复杂度，对口令进行定期修改，同时可启用自动锁定策略，在设定的时间和口令尝试次数，有效防范口令字典式攻击，充分保障账户安全；

安全认证服务的实现方式友好，能嵌入门户、OA系统等其他应用中，通过认证服务接口，实现对用户身份的统一认证管理；

支持各自架构技术栈的应用系统。

六是单点登录：是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录应具有以下功能：

只需一次登录，可在同等级应用系统自由安全跳转；

支持单点登录的安全退出；

支持在业务系统身份失效情况下，自动跳转到统一登录窗口。

七是单点登录：是统一认证管理系统应通过对多应用的资源整合，建立统一的用户信息数据、组织机构数据，实现多个系统的数据共享管理。数据同步应具有以下功能：

支持批量增量和全量数据同步；

支持实时数据查询。

二、创新点

各接入应用方通过集成统一身份认证中心提供的API或自行以标准开发规范接入，获取认证中心提供的认证服务，经过授权可达到纳管入统一认证的各个应用在同一区域能身份互信。统一身份认证中心作为身份认证服务提供方，通过认证中心对用户隐私数据进行安全保护，再通过对外提供安全、可靠的认证服务。

1、统一身份的认证

用户通过使用同一套认证凭证，可访问与该用户身份对应的授权应用的过程。

2、单点登录

在多个应用系统中，平台用户只需要登录一次就可以访问所有相互信任平台应用系统的过程。

3、OAuth 2.0协议

一种授权标准，允许用户在一个站点向其他站点授予对其资源的有限访问权限，而无需获得其凭证（通常是账号密码）。

4、使用Access Token

用于基于 Token 的认证模式，允许应用访问一个资源 API。用户认证授权成功后，Authing 会签发 Access Token 给应用。应用需要携带 Access Token 访问资源 API，资源服务 API 会通过拦截器查验 Access Token 中的 scope 字段是否包含特定的权限项目，从而决定是否返回资源。

三、项目过程管理

2022年7月启动统一身份认证平台项目，10月完成系统编码、测试和上线准备，于11月在天津农商银行信息科技部内部试运行。

四、运营情况

截止目前为止已接入并完成投产系统17个，各系统间均可完成通过统一身份认证系统的单点登录，在员工变动如入职、离职时可自动关联接入系统实现登录的控制。且在密码安全方面可统一设置密码复杂度，密码过期时间，不需接入系统额外投入工作量。

五、项目成效

以为用户提供方便为例。

场景1：AD域控认证后实现免密登录协同办公系统

统一身份认证系统添加AD域控认证，用户在开机输入一次密码后，点击打开协同办公系统即已登录状态，无需再次登录，提高用户办公效率。

场景2：各系统统一用户名、密码

接入统一身份认证平台的各系统，均使用同一套账号、密码登录，用户无需再对各系统单独记忆一份账号密码。且后管可对密码过期及密码复杂度进行统一设置，接入系统无需再因此投入工作量开发。

六、经验总结

在新一轮科技革命和产业变革的背景下，积极拥抱现代科技成果、深度促进金融科技与业务融合、持续推动数字化转型，已成为众多商业银行改革转型的新方向。在这个过程中，金融单位科技平台逐步发展繁荣，各自平台及门户应用纷繁复杂，导致平台用户身份重复、账号和访问权限不统一，影响资源的使用，且权限控制复杂不利于安全管控。

为稳妥发展金融科技，加快金融机构数字化转型，落实《金融科技发展规划（2022-2025年）》，结合天津农商银行自身实际现状，制订统一身份认证中心服务规范，基于现有身份体系构建全行统一数字身份，建立数字身份体系及统一数字身份认证标准，并以此规范为导引，以点带面，循序渐进，在全行层面长期有序的推进金融标准化工作。