北京交通运输职业学院数据中心统一身份认证建设项目意向邀请函

正文内容

****年*月**日 目录 一、基本情况 二、建设目标 三、总体要求 *.* 性能要求 *.* 技术要求 *.* 安全要求 四、建设内容 *.* 电子身份认证 *.*.* 基础认证 *.*.* 身份认证接口 *.*.* 双因素认证 *.*.* 应用访问控制 *.*.* 登录限流 *.* 用户自主服务 *.*.* 自助激活 *.*.* 密码重置 *.*.* 自助解锁 *.*.* 个人中心 *.* 用户/账号管理 *.*.* 用户/账号维护 *.*.* 账号日志查询 *.*.* 账号批量编辑 *.*.* 照片管理 *.*.* 日志审计 *.* 分组管理 *.*.* 组织机构管理 *.*.* 人员类别管理 *.*.* 筛选器管理 *.* 系统管理 *.*.* 统计分析 *.*.* 服务接入管理 *.*.* 权限管理 *.*.* 安全策略管理 *.*.* 数据库同步任务 *.*.* 接口管理 *.*.* 公共配置 *.* 其他模块 *.*.* 钉钉扫码登录、微信静默登录（需企业微信支持） *.*.* 短信验证码登录 *.*.* 人机验证集成 *.*.* TOTP双因素认证 *.*.* 登录消息提醒 *.*.* 登录页 *.*.* LDAP *.*.* 账号同步 *.*.* 弱口令扫描服务 *.*.** 兼容低版本浏览器 *.*.** 数据迁移 *.*.** 校外人员库 *.*.** 校园二维码 五、项目清单 六、评分标准 七、投标文件及报送要求 八、其他要求 *.* 项目服务地点 *.* 实施服务内容要求 *.*.* 时间进度要求 *.*.* 实施方案 *.*.* 实施过程管控工具要求 *.* 培训要求 *.* 项目验收标准 *.* 售后服务要求 *.*.* 售后服务方案内容要求 *.*.* 运行维护服务内容要求 九、本邀请函由**********信息中心负责解释 附件 关于项目供应方参加**********“阳光项目工程”建设的承诺书 随着信息化校园的深入建设和业务系统的持续建设，建设统一身份认证，已成为适应学校当前与未来的管理需求及长远发展的重要内容。需对《数据中心统一身份认证建设项目》进行确定候选意向采购方，欢迎具有相应能力的供应商前来报名，具体事宜如下： 一、基本情况 *. 项目名称：数据中心统一身份认证建设项目 *. 采购人名称：********** *. 采购人地址：******清源路甲*号 *. 采购预算控制价格：**万人民币 *. 资金来源：财政资金 *. 采购方式：比选 *. 采购对象：面向小微企业 二、建设目标 身份认证系统能够促进智慧校园身份的统一化管理；加强电子身份管理，提高信息安全防护能力，完善管理体系，整合公共信息服务，实现数据共享应用，助力数据治理体系建设。为此要建设一个新的统一身份认证平台，新的系统应有如下特点： *、从身份认证到用户中台 改变“重认证、轻管理”的设计思路，以用户（自然人）为核心，优化用户管理逻辑，提供对身份数据的全生命周期管理，支持“一人多身份”的身份管理逻辑，通过实现灵活的帐号生成策略和帐号终结策略，身份管理和身份认证体系相对独立，互不干扰。 *、从校内到校内外，从线上到线上+线下 数字化转型背景下的身份管理体系已经不仅仅只局限于校内师生的整体管理，也不会仅局限于线上的单点登录（SSO）体系，在本次项目的建设过程重，除了对学校现有身份平台架构刷新调整以外，还包含了针对校外人员如：临时访客、校友乃至家长的身份信息管理，同时也包含了针对人员鉴权的线上到线下的无缝拉通，通过基于自然人身份生成的校园二维码与线上业务的无缝打通，从而最终实现校内到校外，线上到线下的全场景联接，也有利于学校数据的整合归集，为数字化转型时代的大数据分析，提供更为准确合理的数据累积逻辑。 具体目标如下： *、增加开放性，让未来对接、认证不再困难。应支持CAS、LDAP、WMA、钉钉、微信、 Restful等协议，保证系统有强大的开放性，应能够与web、移动应用、生物识别和可信认证平台和设备进行对接。 *、增强稳定性，具备一定的容灾和备份机制，满足近些年来等保和网络安全法的相关要求，采用容器化部署方式能够让平台的稳定提高，缩小故障范围。新的平台需具备一定的容灾和备份机制。应采用容器化部署方式，各个组件相互独立。 *、提**全性，包括账号安全性和认证安全性，能够对异常账号进行自动冻结，另外增强账号的登录、密码强度算法，增强认证安全性。具备异常账号冻结机制，能够及时规避安全风险。支持更强的加密算法和更加安全的登录、记录和安全功能。 *、增加服务性，让师生能够自助设置自身账号的信息和安全设置，达到自己的账号自己管理。支持多种登录方式，包括密码、验证码、扫码、生物识别。支持个人安全设置、找回密码、账号管理、激活和关闭账号等。 主要解决以下六大问题： *. 各业务系统单点登录“SSO”及弱口令问题 *. 老师、学生等有校园网需求的认证问题 *. 一卡通二维码消费对接问题 *. 教育综合安防管理系统对接问题 *. VPN内网**访问问题 *. 外来人员入校申请与其关联问题 三、总体要求 三.* 性能要求 投标方应提交其产品的检测报告复印件，并须加盖投标方公章以证明报告的真实性。该检测报告须由国家认可的检测机构出具，并满足以下并发测试标准：对****、****、*****用户群体分别进行测试，确保在并发登录情况下，平均响应时间分别不超过*.*秒、*.*秒和*.*秒，以展现系统在高负载下的稳定性和高效性。 三.* 技术要求 *）本次项目建设的平台可运行于Linux、Unix、Windows等**全性操作系统。开发技术应采用J*EE标准、组件技术及在数据交换上对XML的支持，使系统功能最优化，同时将整体系统内部在技术上的相互依赖性减至最低。 *）本次项目建设的平台要求采用B/S结构，采用Java编程语言和服务器端Java技术进行开发。客户端兼容主流浏览器版本包括但不限于Chrome、Safari、***浏览器、QQ浏览器等 *）采用面向对象的组件技术，着重于开发构成应用程序“业务对象”的可重复使用的组件，利用这些组件顺利地建立分布式应用程序。 *）应用程序开发与运行结构要基于统一的技术开发平台的三层架构，即Web服务器、应用支撑服务器和数据库服务器。支持Oracle、SQLServer、MySQL等或国产数据库 *）能完成跨业务部门的业务流程和相对应的细颗粒度的分级授权体系。 *）系统必须支持负载均衡，支持动态监测负载状况，自动对可用**进行并发检测，调整和分配等功能。 *）为保证系统运行的稳定性与安全性，本次项目建设的平台应自带中间件以满足项目需要，无需学校另行采购。 *）为支持信创要求，本次产品需支持国产操作系统和国产数据库，并提供适配报告，加盖公章。 *）总体界面设计应满足学院所提要求。 三.*安全要求 （*）身份鉴别：对登录的用户进行身份标识和鉴别，身份标识具有唯一性,身份鉴别信息具有复杂度要求,具有登录失败处理功能，同时配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。 （*）访问控制：能对登录的用户分配账户和权限，能授予管理用户所需的最小权限，同时系统能实现管理用户的权限分离，能由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。 （*）入侵防范：提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求，可通过限制网络地址范围等方式对行管理的终端进行限制； （*）安全审计： 启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；能对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等 ； 数据安全层面要求如下： *）安全存储：对授权收集到的敏感信息，采取去标识化、关键字段加密安全存储措施； *）加密传输：在跨安全域或通过互联网传输敏感信息时，采用加密传输措施； *）敏感信息处理：在用户端显示敏感信息时，采取脱敏等技术手段防止未授权人员获取敏感信息，各类数据处理场景中数据脱敏不存在伪脱敏和弱脱敏等脱敏失效等情况。 （*）数据备份：利用数据库的备份功能将建设的平台和系统数据备份到指定的服务器或存储系统上。 投标人所投产品，需符合国家等保三级要求，提供专业机构检测报告并加盖公章。 四、建设内容 四.*电子身份认证 四.*.*基础认证 提供平台基础认证单点登录(SSO)，含CAS协议、SAML*.*/*.*协议、OAuth协议等基础能力，支持WMA协议、Restful、FIDO等其他认证协议。满足B/S和C/S架构的应用对接，包含**个及以内的业务系统认证对接。 提供常见认证协议支持，用以完成对大部分WEB应用、移动APP的统一认证，提供认证凭证的不可逆安全存储机制，保证密码安全，提供认证过程的安全性保障，保证认证过程凭证安全； 四.*.*.*身份认证对接，单点登录 *.实现业务系统的统一身份认证，即用户只需拥有一套统一身份认证系统的用户名和密码（SS*）即可进入业务系统。 *.取消原有登录入口，管理员账号要求使用与管理员用户匹配的账号来实现，不允许设置非在校职工编号的管理员账号。 *.统一身份认证平台包含CAS认证接口、LDAP认证接口、凭证登录接口等。 *． CAS认证接口 n 功能描述：这是各个应用系统与身份管理平台集成的最主要的方式。各应用将认证接口的客户端开发包集成在各应用之中，替换自身原有独立的身份认证功能，通过身份管理平台实现身份认证和单点登录过程。该接口目前涵盖的类型包括JAVA、COM、PHP和C，适合于不同语言**台的应用程序。 n 应用场景：如科研管理系统、人事管理等业务管理系统 n 规范要求：（*）需部署CAS认证服务器端，认证客户端与服务器进行连接；（*）应用程序认证客户端包含在应用程序中，主要包含经配置好的web.xml文件、认证接口客户端程序。 *． LDAP接口 n 功能描述：LDAP接口主要面向瞬时认证并发要求非常高的应用系统，该接口直接通过LDAP向应用系统提供认证服务，利用LDAP接口实现应用系统认证集成以后，可实现高效的统一认证，但是无法满足单点登录要求。 n 应用场景：选课、选宿舍等高并发应用，满足认证的性能需求。 n 规范要求：（*）认证客户端与LDAP服务器进行连接；（*）应用程序认证客户端包含在应用程序中，主要包含经配置好的配置文件、认证接口客户端程序。 四.*.*.*用户端登录 系统提供身份认证基础服务，实现SSO单点登录功能。支持用户登录后在不同系统之间漫游而不需要再次输入密码。平台应能同时支持学校移动应用客户端的统一身份认证集成，支持短信动态验证码的验证方式。需提供密码变动短信通知功能。 用于学校对学生、教师和其他人员的数字化身份的登录验证。主要包括： a. 通过统一的登录界面，对用户输入的帐号和密码进行认证，进而为集成的应用系统提供访问控制功能（SSO）。可以为PC端、手机端分别提供不同的登录页面。 b. 提供基于短信的动态码登录方式（需有短信网关支持）。 c. 提供一段时间（如*天）保持登录功能。 d. 提供二维码（如钉钉、微信、QQ等）扫码登录方式。 创建并维护用户的单点登录会话，响应应用系统发出的单点登录会话查询，满足用户在系统间的单点登录。 支持用户通过账号（学号/工号）和密码来登录用户端，同时支持动态码登录和第三方联名登录方式。 动态码登录方式用户可通过输入手机号（海外手机号以“国家代码-手机号”的格式输入）、学号来获取手机动态码进行登录。 第三方联名登录支持钉钉、QQ、微信以及微博登录并绑定账号。 支持用户账号激活和忘记密码的自助服务功能。 四.*.*.*外部协议拓展 四.*.*.*.*OAuth认证开放服务 支持OAuth*.*协议，支持OAuth开放服务，可向第三方提供OAuth*.*接口，方便第三方使用OAuth开放协议来获取服务，包括OAuth应用注册和OAuth服务管理。未注册的应用不允许授权。 提供OAuth*.*的协议支持，校外应用开发商、学生社团或个人，可以利用学校已有的身份认证体系，减少学生重新注册功能。在此基础上，通过OAuth*.*协议，开放一些学生个人相关信息（经过用户个人确定同意），针对用户做更加个性化的功能。 四.*.*.*.*FIDO协议认证服务 支持FIDO协议，能够将支持该协议的设备、浏览器的用户生物信息与个人帐号信息绑定，面向用户提供管理页面，让用户在个人自助中心可以自行绑定可行设备，满足用户利用个人生物进行进行登录服务。系统支持将特定型号/浏览器用户生物信息存储绑定至本地PC，在下次登录时允许用户使用已经登记的生物识别进行登录。 当用户首次登录，或清除浏览器信息后，免密码登录功能将失效。 四.*.*.*.*第三方实人认证配置 支持配置第三方实人认证方式，目前支持支付宝人脸识别，可定制配置其他插件人脸识别插件。 四.*.*.*.*SAML协议认证服务 提供SMAL *.*认证协议，能够对office***提供非常**的集成对接能力。 四.*.*.*.*RESTful方式认证服务 额外提供RESTful认证方式，能够对微信小程序等只支持RESTful接口的应用提供**的集成对接能力。 四.*.*.*.*WEBVPN无感登录 支持配置与深信服VPN无感登录参数，用以在认证完成后自动建立VPN访问通道。 四.*.*.*.*联合认证管理 支持配置QQ、微信、微博、钉钉、今日校园、welink等第三方联合登录方式。查看第三方账号绑定情况。 支持**联合认证。 四.*.*.*.*数字证书CA认证 数字证书CA认证是指采用UKey作为数字证书载体，存储用户的密钥及数字证书，并通过签名验签服务器和USBKey证书校验用户身份合法性，实现对用户身份的认证。 后端逻辑 *、系统配置/插件管理中，新增“CA Ukey插件”类型，支持定开人员上传与维护； *、若系统存在安全拓展包、且检测到CA Ukey插件，则管控台多因子、二次认证方式增加 “CA Ukey” 前端逻辑 用户登录时，使用移动端扫CA二维码，用户侧交互逻辑如下： *）用户在 PC 端发起登录认证请求 *）PC 端登录页展示二维码 *）用户使用移动端扫码，并在移动端完成身份校验后，返回结果 *）PC端登录页根据返回结果，判断是否登录 四.*.*.*.*安全令牌OTP认证 需支持以小程序为媒介的安全令牌OTP模式，提供一个本身比账密、动态码等更安全的认证方式。应用在找回密码、非可信设备的多因子认证、应用访问的二次认证、管控台登录。 四.*.*.*认证方式管理 四.*.*.*.*基本认证 支持配置启用账号密码登录：全局启用、仅校内启用、不启用 支持配置是否启用扫码登录 支持配置是否启用动态码登录 支持配置是否启用别名 四.*.*.*.*联合认证 配置QQ、微信、微博、钉钉、今日校园、welink等第三方联合登录方式。查看第三方账号绑定情况。 支持**联合认证 四.*.*.*.*生物识别FIDO 支持是否启用FIDO生物识别，开启后，可通过您硬件设备录用的生物特征（如指纹或面容）来完成认证登录，而无需输入密码 四.*.*.*.*实人认证 支持配置第三方实人认证方式，目前支持支付宝人脸识别，可定制配置其他插件人脸识别插件。 四.*.*.*用户登录配置 支持登录界面功能配置，包括启/停扫码登录、动态码登录、七天免登录和在线帮助。在线帮助启用后，用于认证登录界面的帮助文档链接跳转，用于引导用户和提供帮助说明； 支持登录端绑定配置，用于管理第三方客户端（如钉钉、QQ、微信、微信公众号等）绑定页面配置 支持单处登录配置，用于配置是否允许用户在多个客户端登录，管理员可强制用户配置单处登录，也支持让用户自主配置； 支持校外登录配置，用于区分师生登录地为校内还是校外，同时支持认证日志的审计和师生校外登录的提醒； 支持验证码策略配置，用于配置用户输入密码错误一定次数后，出现验证码（图形/滑块）； 支持登录跳转地址配置，未配置则登录后跳转地址为用户端个人中心。 四.*.*身份认证接口 提供统一的认证对接调整接口，为第三方厂商接入提供统一标准。支持拉通上游（权威业务系统）和下游（访问终端如钉钉、微信、WeLink）的用户乃至组织机构的自动同步； 四.*.*.*校内系统对接方式要求 暂时需要对接的业务系统 序号 系统名称 产品所属厂家 本地部署 * 人事管理系统 金智教育 是 * 招聘系统 金智教育 是 * 教学大数据分析系统 超星 否 * 教务系统 超星 否 * **库系统 超星 否 * 智慧学工系统 超星 否 * 实习管理系统 超星 否 * 学习通APP 超星 否 * 钉钉专业版办公系统 阿里/**启点云 否 ** 财务绩效一体化系统 **正成科技 否 ** 科研创新服务系统 **易普拉格科技 是 ** 固定资产管理系统 **化工大学 是 ** VPN系统 深信服/首信 是 ** 深信服上网行为管理AC 深信服/首信 是 ** 教育综合安防管理系统 海康 是 ** 一卡通系统 **迪科远望 是 **…** 预留**系统 实际公司 实际情况 ▲相关要求 *. 系统实施及集成要求 (*) 本项目实施过程中，涉及与第三方业务系统接口集成与数据对接所产生的费用均包含在本项目中（支付宝人脸识别除外），我校不再另行支付任何费用。 (*) 免费为校方开通*万条/*年的短信平台功能，以增强认证系统的使用性，同时需把人事管理系统中的短信功能对接打开调试好，以方便人事管理系统的使用。 (*) 项目验收前，比选中标方需要提供全量的表结构（包括表结构的血缘关系）和数据字典电子版，便于校方数据治理体系的建设。 (*) 比选中标方针对系统中存在的bug、缺陷、信息安全漏洞，不论在保期内、外，均应免费持续提供修复与补丁服务。 四.*.*.*外部通讯录同步 支持管理员配置外部通讯录同步的功能，包括添加、编辑和删除的功能。 系统提供支持向钉钉、企业微信、WeLink同步组织机构及人员信息，其他同步信息可通过定制的同步插件类实现。 四.*.*.*统一认证服务 四.*.*.*.*支持常见协议 为满足统一认证和单点登录提供接口和通道，可以支持跨平台和各种开发语言的应用系统接入平台，如目前学校各类应用系统常使用的ASP、.NET、JAVA、PHP、Python等多种开发语言；平台需使用CAS*.*或以上版本认证内核，支持的标准至少包括CAS *.*、CAS*.*、CAS*.*、LDAP。同时还需提供一种为移动APP专用的对接协议。 四.*.*.*.*反向代理服务 提供基于nginx的反向代理集成方式，接入系统可以直接从标准的Header中获取登录人员的相关信息，适用不同的开发语言。 四.*.*.*.*系统级缓存组件 提供系统级缓存，允许平台内各组件调用，加快平台访问速度，同时提供DBLESS支撑能力，在系统遭遇数据库停机维护时，依然可向用户提供基础认证及鉴权能力，避免因数据库停机造成身份认证不可用。 四.*.*.*线下认证 身份二维码是一个安全可信、灵活、可扩展的二维码，是人脸、一卡通等身份标识的一种补充方式，同时支持赋予动态权限和增加扩展属性。可在门禁通行、请假出校、校园迎新、健康码检查等多场景下使用，提高师生线下认证的安全性、便捷性。 身份二维码配置是用于配置线下认证的身份二维码基本属性、扩展属性以及口令等参数信息。 四.*.*.*用户提示语管理 支持自定义对应错误类型的提示语，包括信息格式提示、动态码登录、可信设备登录、完善资料-密码符合规则、账号异常、账号登录、找回密码-输入账号、激活页-信息校验。 四.*.*.*短信、邮箱内容模版管理 支持自定义配置其需要发送的短信、邮箱以及消息内容模板。 四.*.*.*内网IP段管理 支持配置校内IP的子网掩码，用以提供给系统识别校内IP，可应用于校外登录场景。 四.*.*.*VPN无感登录对接，打通内网访问 ▲能够实现与深信服VPN的无感登录对接，即用户在校园网以外的网络环境登录校内的系统时（如门户平台），只需要在身份认证界面输入一次账户名密码即可完成认证并登录，VPN认证在后台自动进行认证流程的，通过即登录，不通过则不允许登录。 四.*.*.*▲海康人脸认证对接进出校 与海康的人脸对接，支持在校内人员的范围内，可以通过身份认证系统与海康的闸机系统进行人员身份的对接，校内人员能够通过海康的人脸闸机进校，校内人员的相关身份信息的维护和编辑是在身份认证系统上进行。 支持针对校外人员在进出校环节增加拍摄人脸照片的功能，在申请审批通过后，可以将人脸照片以及相关的人员信息同步给闸机系统，同时也将允许出入校的时间同步给闸机系统，最终实现在允许的时间范围内，校外人员可通过海康的人脸识别闸机来进出校。 四.*.*双因素认证 提供对重点应用的双因素认证，用户直接登录或身份漫游到重点应用时需完成二次验证后才可登入。 四.*.*.*多因子认证 指用户需要通过两种以上的身份认证方式，才能获得授权并获取**。这种方式提供了额外的安全层，以确保用户身份的安全性和**的保护。 支持的场景 *、非可信客户端登录 当用户在非可信客户端（例如浏览器）首次登录时，系统将自动触发多因子认证。这有助于防止账密泄露或破解后，入侵者无法仅通过此方式完成认证。 *、异常环境访问 用户在非可信网络环境下登录时，系统将自动触发多因子认证，以确保用户在不安全的网络环境下也能够安全登录。 *、休眠账号登录 当用户处于休眠状态并首次登录时，系统将自动触发多因子认证，以防止休眠账号被破解的风险。 四.*.*.*关键应用二次认证 针对重要应用，访问时需要进行二次校验. 支持是否启用二次认证：启用、不启用 支持配置必选校验应用，访问此列表应用时，用户必须完成二次认证 支持配置可选校验应用，访问此列表应用时，用户可配置是否需二次认证 支持启用二次认证后设置排除人群，添加的用户组成员不受二次认证影响 支持配置优先二次认证方式：账号密码、短信验证码、企业微信验证码、安全令牌、邮箱验证码、钉钉验证码、微信扫码、QQ扫码、今日校园验证码、WeLink验证码、支付宝人脸识别（其中支付宝方式需在【第三方实人认证】中配置） 二次认证方式支持排序展示 支持是否切换认证方式：允许、不允许 四.*.*应用访问控制 提供应用授权、访问控制、基于角色的系统登录准入控制。 四.*.*.*解决老师、学生等有校园网需求的认证 需支持统一身份认证系统与学校的网络管理系统进行身份认证的对接，通过LDAP将认证系统的账号密码与网络管理系统的账号密码进行打通，老师学生在校内连接校园网时，如果需要进行上网账号的输入，则老师和学生直接输入统一身份的账号密码即可获得校园网接入的权限。 同时，对于其他的三方人员，校外进校人员等有需求使用校园网的用户，也可以通过同样的方式进入到校园网，第三方人员的校园网络使用权限和访问权限可以通过网络管理系统针对第三方人员的账号进行单独的设置，第三方人员的账号则通过与身份认证系统的对接和同步来获得。 四.*.*.*应用管理 应用管理作为校内服务应用的权威发布中心，负责为校内应用提供信息维护、发布注册、授权使用、统一协议配置、消息待办预集成、应用内接口授权、应用下服务配置、应用访问日志等功能，统一发布管理。 应用管理中心以应用为基础，集中整合了针对应用的授权、认证、服务、消息、待办、接口授权、回调、应用访问日志以及WEBHOOK能力，方便管理人员在应用上线的同时，集中设置应用关联能力，真正做到一处授权，各处畅通。 四.*.*.*.*应用列表 查看已添加的应用，列表展示基本信息，包括应用名称、图标、业务域、创建方式、启停状态。 列表支持搜索应用，管理员可以输入应用名称、APPID以及访问地址来搜索应用，同时支持启动状态和业务域来过滤搜索结果。 四.*.*.*.*.*应用创建 管理员可以通过手工创建和快捷创建*种方式完成应用的接入。 支持管理添加应用的功能，管理员可以通过填写应用的基本信息来完成应用的接入，应用的基本信息主要包括应用图标、业务域、访问地址、接口调用地址（选择快捷创建方式）、应用名称、应用描述、应用图标；支持配置是否在个人中心我的应用中展示；当用户授权为多个用户组时，支持配置打开服务时是否需选择对应用户组。应用接入到系统后可以进一步配置该应用所对接的认证协议参数，并进行应用授权。 支持配置“永久有效”或“到期失效”的应用有效期。 若选择“到期失效”，则需选择到期日期、配置到期后处理方式、配置到期提醒规则。支持编辑联系人。 四.*.*.*.*.*导出应用列表 支持管理员导出应用列表功能，且管理员可以选择时间范围进行导出，可选的时间范围包括最近一个月、最近三个月、最近半年以及自定义。 四.*.*.*用户安全配置 支持个人中心校验，用于配置个人中心绑定、解绑重要信息时校验方式与顺序，校验方式包括：邮箱、账号密码，默认为账号密码且不可取消 支持实人认证配置。依赖第三方人脸识别技术，对用户进行自然人真实身份校验服务。可用于重要场景下的身份校验，如账号激活、找回密码； 支持会话配置。针对不同终端设备，设置会话有效期，时间过期后，则用户端登录状态退出；新增会话安全检测机制，若请求客户带UA、IP与原始不一致，则会触发拦截机制 四.*.*登录限流 提供对账号暴力破解的防护能力，能够识别并阻止账号破解行为。 四.*.*.*账号安全审计 展示安全工具，包括异常会话、异常登录账号、异常登录IP、休眠账号、冻结管理、异常应用。 四.*.*.*.*异常会话 支持统计异常会话次数及配置统计规则。 四.*.*.*.*异常登录账号 支持统计恶意登录账号数量及配置统计规则。 敏感登录：每天登录成功>=***（可配置），超出次数上限，记作敏感登录行为。 恶意登录：每天登录失败>=***（可配置），超出次数上限，记作恶意登录行为。 支持启用自动冻结 冻结时长：可进行设置（时长为*表示永久冻结） 支持异常登录列表，展示包括账号、姓名、登录成功次/天、登录失败次/天、操作（支持冻结） 四.*.*.*.*异常登录IP 支持配置冻结异常登录IP规则。 冻结规则：单个IP在X分钟内，连续登录失败>=X次 冻结时长：冻结X分钟（时长为*表示永久冻结） IP冻结范围：PC、移动端 四.*.*.*.*休眠账号 支持统计休眠账号数量及配置统计规则。 规则：当账号距离最后一次登录时间大于等于X天将会自动休眠 列表：账号、姓名、身份分类、组织机构、激活状态、上次登录时间、休眠时长（天）、操作（支持冻结账号）、导出休眠账号。 四.*.*.*.*冻结管理 支持查询已冻结的账户列表，展示包括账号/IP地址、类型、冻结时间、预计解冻时间、冻结原因、操作（解冻、添加到白名单） 列表支持添加冻结账号、支持批量解冻账号。 四.*.*.*.*异常应用 支持统计异常（长时间未使用）应用及配置统计规则。 规则：应用超过X天没有访问，将加入异常应用列表中。 四.*用户自主服务 提供账号维护中心，包含账号激活、密码找回、账号申述功能。用户可自行完成修改密码、切换主账号、查询认证记录、设置个人偏好等操作，同时关联邮箱、关联手机及关联第三方授权登录账号的修改。 四.*.*自助激活 四.*.*.*账号自助激活流程 四.*.*.*.*账号激活流程： ▲提供自助式激活方式，以方便用户体验。账号激活流程根据甲方要求进行设置。 四.*.*.*.*敏感信息处理方式 所有涉及个人隐私相关的数据（如身份证号、手机号等）应全部保存在学校本地服务器数据库中，同时在系统中个人隐私数据通过系统内置的脱敏加密功能，以权限控制的方式进行展示，没有相应权限的是人无法看到数据的全部内容。 根据国家要求，个人相关数据划分一至四等。 注：敏感信息可以根据学校的具体要求进行定期删除的设置。 四.*.*.*账号激活 支持用户自助账号激活功能，激活包括信息校验、绑定手机号、绑定邮箱以及设置密码功能。信息校验需要用户输入学工号、录用通知书号以及身份证号码进行身份验证。 系统提供两种帐号发放的方式，分别为设置默认密码和密码激活方式。管理员可以根据使用需求选择启用何种方式进行帐号发放。 系统需支持发放帐号密码时使用无密码自助激活方式。系统提供帐号激活服务支撑无密码自助激活方式。激活流程包括信息校验、绑定手机、绑定邮箱、设置密码、激活完成五部分，支持校方实际情况进行重新配置调整。 四.*.*.*账号激活基本配置 支持启用账号激活：启用、不启用；若启用账号激活，则可继续配置： 可通过录取通知书号激活：允许、不允许 用户可信息绑定：邮箱、手机号、安全令牌。 支持添加排除人群，添加的用户组成员跳过手机号绑定页面 支持配置用户激活成功会进行消息通知 支持配置用户激活成功会跳转指定地址 支持配置使用未激活账号登录时是否展示未激活提示语，启用后可能存在账号猜解的安全风险 支持完善资料的相关配置；支持启/停用户信息防遗忘，提醒用户对个人信息内容（安全问题、手机号）进行确认； 支持启/停别名校验，启用后可禁止用户使用对应的别名； 四.*.*密码重置 四.*.*.*忘记密码 用户遗忘自己的登录密码，可在用户端登录界面点击“忘记密码”进行找回密码。支持用户通过手机号、邮箱、安全问题、QQ、微信、钉钉等验证方式找回密码。 四.*.*自助解锁 提供对因暴力破解和长期未使用而锁定的账号提供自助解锁功能。 四.*.*.*账号申诉 ▲若用户常规的找回密码方式均不能用，支持通过账号申诉的方式找回。 基本信息：真实姓名、学院/部门、证件类型、证件号码 上传申诉照片：支持手持身份证、身份证正反面、一卡通 联系方式：短信、邮箱；支持申诉成功后，若手机号或邮箱无其他人绑定，自动绑定此账号。 四.*.*.*账号申诉管理 当用户忘记密码后，没有任何可行手段（短信、邮箱）自助找回密码时，触发账号申诉功能，通过提交照片凭证并重新登记可获取的短信或邮箱地址实现账号重置设置。 支持查询和审批用户的账号申诉信息，并配置申诉内容。 账号申诉成功和失败均可配置短信提示。 四.*.*.*账号申诉审核 查询和审批用户的账号申诉信息，并配置申诉内容。 列表展示学工号/用户名、姓名、申请时间、申请状态以及操作。申请状态为“未审批”，则操作对应为“去审批”；申请状态为“未通过”、“已通过”，则操作对应为“查看”。 支持账号申诉配置，包括上传凭证方式（手持身份证照片/身份证照片/一卡通照片），结果通知方式（短信/邮箱）。 账号申诉成功和失败均可配置短信提示。 四.*.*个人中心 个人自助服务中心主要面向学校内的最终用户，包括所有学生、教师和工作人员。身份自助服务可满足用户对自己帐号信息和密码信息的维护需求。 统一身份认证用户端为个人用户提供账号激活、账号登录、个人密码修改、个人资料修改、个人账号安全、可信设备绑定等服务，旨在帮助用户方便地完成个人自助服务。 统一身份认证用户端，亦被称之为“用户个人中心”、“个人中心” 统一身份认证支持协议包括：CAS *.*/*.*/*.*、OAuth *.*、SAML *.*/*.*、LDAP、OIDC、RESTful、Open ID、FIDO、WMA 四.*.*.*我的应用 支持用户查看并点击访问具有自己访问权限的应用，并可以通过应用名称进行应用搜索。 四.*.*.*账号安全 四.*.*.*.*设置账号 支持用户设置账号信息，主要包括更换密码、设置安全问题、绑定邮箱以及绑定手机号。 四.*.*.*.*.*更换密码 支持用户更换密码功能，需要用户进行原密码校验，校验成功后就可以设置**码。 四.*.*.*.*.*设置安全问题 支持用户更换密码功能，需要用户进行原密码校验，校验成功后就可以设置**码。 四.*.*.*.*.*邮箱绑定 支持用户绑定邮箱功能，需要用户进行邮箱校验后才可绑定。 四.*.*.*.*.*手机号绑定 支持用户绑定手机号功能，需要用户进行手机号校验后才可绑定。 四.*.*.*第三方账号 支持用户绑定第三方账号，支持微信、腾讯QQ以及微博账号绑定。 四.*.*.*关联账号 支持用户查看关联账号和设置常用账号的功能。 四.*.*.*生物识别 支持用户绑定PC端和移动端可信设备。 支持用户设置生物验证，开启后用户在可信设备可以使用生物识别登录方式登录账号。 四.*.*.*认证记录 四.*.*.*.*查看当前登录记录 支持用户查看当前登录和免登录的记录，展示列表包括客户端IP、登入时间以及客户端类型。 四.*.*.*.*查看账号认证记录 支持用户查看账号认证记录，展示列表包括登入时间、登出时间、认证类型、客户端类型、客户端IP以及认证结果。同时用户可通过查询时间、认证类型以及认证结果的条件进行搜索结果过滤。 四.*.*.*.*查看密码维护记录 支持用户查看密码维护记录，展示列包括维护时间、操作类型、客户端IP以及操作结果，同时支持用户根据查询时间、操作类型以及操作结果进行数据过滤。 四.*.*.*.*查看账号维护记录 支持用户查看账号维护记录，展示列包括维护时间、操作类型、客户端IP以及操作结果，同时支持用户根据查询时间、操作类型以及操作结果进行数据过滤。 四.*.*.*.*查看应用访问记录 支持用户查看应用访问记录，展示列包括访问时间、应用名称以及认证结果，同时支持用户根据应用名称进行搜索和查询时间、认证结果的条件进行数据过滤。 四.*.*.*个人资料 支持用户设置个人资料，包括头像、昵称及生日。以上信息均为非必填项。 头像，初始为系统默认头像，支持用户更换头像，更换后后上角的用户头像同步展示。当用户是默认头像时，第一次绑定第三方移动应用时，使用第三方移动应用的头像作为认证头像。 四.*.*.*偏好设置 支持用户进行偏好设置，主要包括二次认证设置、单处登录设置和密码变动时短信、邮箱通知设置。 四.*.*.*切换语言 支持用户切换语言，目前支持英文和中文两种语言设置。 四.*.*.**退出登录 支持用户退出登录功能。 四.*.*.**移动端 所有在PC端为用户提供的自助服务，均提供手机功能，用户可在手机端的登录页面登录后进入手机版个人中心进行相同操作。 四.*用户/账号管理 四.*.*用户/账号维护 提供与其他数据库对接的功能，包括ETL工具和api接口等形式接入，也可通过上传Excel文件形式导入人员账号数据。 四.*.*.*用户与组织 四.*.*.*.*用户组管理 管理员可根据业务需要在各业务域下设置不同的用户组及成员，用以作为授权或二级管理权限下发。管理员也可以在用户组中查询已经加入该用户组的组织架构节点或具体的人员，并进行修改。 支持按照身份分类、生命周期、性别、入校年份、组织机构规则创建用户组。 支持选择外部数据源创建用户组。 创建用户组的同时支持用户组共享功能，其他域管理员在授权时可使用其他域共享给他的用户组进行授权。建用户组-用户范围。 四.*.*.*.*身份分类管理 在身份分类管理中，管理员可按照不同用户类型下创建多个子分类，可以对于不同子分类进行生命周期设置，从而实现对用户进行全生命周期管理。 管理员可查看子分类下的用户信息，包括用户名、姓名、手机号、组织机构、账号状态。 管理员可对每个子分类设置生命周期配置，包括未入校阶段有效期、在校阶段有效期、已离校阶段有效期，其中有效期时间段可按照天、月、年多个维度进行设置。 支持隐藏用户属性，配置完成后，在用户详情页中，对应身份分类用户不再展示已隐藏字段。 四.*.*.*.*校内机构数据管理 在学校的管理体系下一般对行政机构会有一个正式的发文，并由专门部门进行统一维护，校内机构即用于管理学校正式发文的行政机构。 针对导入的校内机构数据，可创建不同的版本并设置启用状态，每个版本内均支持添加机构，便捷管理校内的组织机构数据。 针对编辑草稿版本，对校内机构进行添加、编辑、删除和排序。批量修改机构分类 四.*.*.*.*用户与机构数据输入 四.*.*.*.*.*外部数据同步 支持管理员查询作业记录，管理员可以输入任务名称和作业ID查询功能以及任务查询、执行时间和确认状态的过滤条件。 支持管理员配置机构数据规则，以及规则的启用、删除、编辑以及立即执行等操作。 管理员可创建定时同外部机构数据同步的任务，开启该同步任务后，即可满足对机构数据的自动同步和处理。 支持管理员用户数据同步功能，主要包括全局视图同步和差异视图同步两种方式。 用户数据同步支持全局视图和差异视图方式，由系统定时向本系统内同步账号信息。管理员可创建账号同步任务，并根据业务需要配置不同的同步策略，开启该同步任务后，即可满足对身份账号数据的自动同步和处理。 四.*.*.*.*.*手工数据处理 手工数据处理采用批量上传Excel文件的方式，通过给定的模板，上传人员身份信息Excel表，实现向本系统增加账号信息。除了支持对账号进行批量导入，还支持对账号进行批量修改、批量修改身份分类、批量删除账号、批量导入证件照。 四.*.*账号日志查询 四.*.*.*查看认证记录 管理员可查看用户的认证信息，展示列包括账号、登录时间、登录IP、登录方式、终端类型以及认证结果，同时支持管理员查看访问记录。 四.*.*.*查看操作记录 操作日志，可查看用户的主动操作记录以及用户被动（如管理员修改用户基本信息）记录。 操作日志展示列包括操作时间、操作人姓名、操作人账号、IP地址以及操作类型，支持操作时间和操作类型筛选以及操作人搜索。 密码修改日志，可查看用户账号下历次密码的修改时间、操作IP以及密码修改方式。 四.*.*账号批量编辑 用户管理包括帐号的新增、发放、维护、注销管理，旨在帮助管理员完成全校身份帐号数据的增加、删除、修改、过期设置、变更生命周期以及锁定/解锁等操作。 基于角色的访问控制技术，实现对用户集中、灵活授权和访问控制管理，从而提高系统管理效率，如可根据不同角色分配相应应用使用权限和有效期，并进行差异化的应用推荐和功能设置。 系统应提供帐号导入的三种方式，包括支持手动添加、支持自动批处理以及支持手工批处理。手动添加是指管理员可手动创建用户帐号，其中用户分类、用户名、姓名、证件类型、证件号码为必选项，手机号、邮箱为可选项。支持进行手动移除用户、变更生命周期等操作。 手工批处理采用批量上传Excel文件的方式，通过给定的模板，上传人员身份信息Excel表，实现向本系统增加帐号信息。手工批处理方式除了支持对帐号进行批量导入，还支持对帐号进行批量修改、批量修改账户类型、批量删除。 自动批处理采用的差异视图方式，由系统定时对比数据差异向本系统内同步帐号信息。管理员可创建帐号同步任务，并根据业务需要配置不同的同步策略，开启该同步任务后，即可满足对身份帐号数据的自动同步和处理。 同时，系统要提供基于自然人维度的账号自动关联合并逻辑。 四.*.*.***用户 支持管理员可手动添加用户账号，其中学工号/用户名、姓名、身份分类为必选项。身份状态、校内机构、性别、手机号、邮箱号、证件类型、证件号码、专业、班级、所在级/入校年份、离校时间、是否激活、请输入密码、录取通知书号为可选项。 除手动添加账号方式，系统还须提供工具进行批量化处理账号数据，支持自动批处理、手工批处理。 四.*.*.*查询用户信息 支持管理员输入学工号/用户名/姓名、手机号进行用户信息模糊查询，同时也支持精确查询、重置查询以及高级筛选的操作。 精确查询可对学工号/用户名/姓名进行精确搜索。 重置查询会清空掉全部搜索和过滤条件。 高级筛选的条件包括组织机构、身份分类、生命周期、入校年份/当前所在级、数据来源、激活状态以及账号状态，管理可以选择筛选条件对用户搜索结果进行过滤。 四.*.*.*用户详情 四.*.*.*.*查看用户信息 管理员可以在用户信息页面查看用户详情信息，主要包括基本信息、账号信息以及更多信息三个部分。 用户基本信息包括学工号/用户名、姓名、录取通知书号、性别、身份分类、身份状态、手机号、邮箱号、证件类型、证件号码、组织机构、岗位、专业、班级、入校年份/当前所在级、离校时间、出生日期以及组织机构。 用户账号信息包括密码强度评分、账号状态、激活状态、生命周期以及生命周期到期时间。 用户更多信息，来源于账号元数据配置，用于拓展收集更多信息。 四.*.*.*.*编辑用户信息 编辑用户信息功能包括管理员对用户基本信息、账号信息以及更多信息进行编辑。 基本信息可编辑的字段包括姓名、录取通知书号、性别、身份分类、身份状态、手机号、邮箱号、证件类型、证件号码、专业、班级、入校年份/当前所在级、离校时间以及出生日期。 账号信息可编辑字段包括激活状态、生命周期以及生命周期到期时间。 四.*.*.*.*重置密码 支持管理重置用户密码操作，主要包括生成简单密码和生成复杂密码两种，同时支持发送消息通知用户。 四.*.*.*.*查看用户组信息 管理员可查看用户的用户组信息，用户组展示列信息包括用户组名称、用户组类型以及业务域。 四.*.*.*.*关联用户组 管理员可增加/移除用户的关联用户组，只支持普通类型的用户组。 四.*.*.*.*查看关联账号 管理员可查看用户的关联账号信息，同时可设置常用账号。 四.*.*.*.*查看授权信息 管理员可搜索和查看用户的应用授权信息，展示列包括应用ID、应用名称、业务域以及应用状态，支持应用名称、应用ID搜索和业务域过滤。 四.*.*照片管理 支持对账号进行批量修改、批量修改身份分类、批量删除账号、批量导入证件照。 四.*.*日志审计 四.*.*.*用户操作日志 支持用于查看用户认证和用户操作日志。 需有用户认证日志列表，展示用户姓名、用户名/学工号、认证IP、认证时间、认证方式、客户端类型和认证结果。 需有用户操作日志列表，展示用户姓名、用户名/学工号、操作者IP、操作时间、操作类型和操作结果。 需有应用访问日志列表，展示用户姓名、用户名/学工号、访问IP、访问应用、AppID、用户类型、认证结果、访问时间。 四.*.*.*后台管理日志 支持查看管理员操作和文件批量操作日志。 管理员操作日志列表，列表展示操作者姓名、用户名、操作者IP、操作时间、操作内容、被操作对象、操作类型、操作结果。支持查看详情。 需有文件批量操作日志，列表展示操作者姓名、用户名、操作者IP、操作时间、操作内容、被操作对象、操作类型、操作结果。 四.*分组管理 四.*.*组织机构管理 四.*.*.*组织机构操作 针对手工节点，支持管理员添加节点、编辑手工节点、删除节点、禁用全部用户、添加已有用户以及移除机构操作。针对自动节点，支持管理员删除节点和禁用全部用户操作。 其中，手工节点为管理员自己添加的组织机构节点，而自动节点为后台自动计算的手工节点。 四.*.*.*.*添加手工节点 支持管理员手动添加手工组织机构节点，其中选择上级、机构代码以及机构名称为必填项，而机构排序为选填项。 四.*.*.*.*编辑手工节点 支持管理员编辑手工组织机构节点，编辑字段包括选择上级、机构代码、机构名称以及机构排序。 四.*.*.*.*删除节点 支持管理员删除手工和自动的组织机构节点。 四.*.*.*.*禁用全部用户 支持管理员禁用节点下的全部用户，禁用后该账号无法再继续使用。 四.*.*.*.*添加已有用户 支持管理员在手工节点下添加已有用户。 四.*.*.*.*移除机构 支持管理员在手工节点下选择用户移除机构，移除机构功能只支持移除当前节点下的用户，因此管理员需要勾选显示当前节点下用户才可使用。 四.*.*.*禁用用户 管理员禁用用有三种方式，除了上文中在用户详情中禁用用户和在组织机构操作中禁用全部用户外，支持在用户查询界面选择用户并禁用。 四.*.*.*导出用户 支持用户信息的导出功能，导出的用户为搜索或过滤条件下的全部用户。管理员可以选择导出文件的类型（xlsx、csv）、基本信息的字段、账号信息的字段以及扩展信息的字段进行导出。 四.*.*.*组织机构维护 在该功能中，管理员可面向教师、学生、校外人员、校友等不同类型的人员进行管理。按照用户的身份信息，分配到对应的组织机构中，方便对不用应用的进行授权。 对于教师、学生两类人员，可自定义二级组织架构，在添加二级组织架构中的节点时，需填写校内组织机构编码、组织机构名称。对于校外人员、校友两类人员，不提供多级组织架构，相关用户信息直接在对应分类中进行管理。 系统允许管理员在每种用户身份的“自定义节点”下创建自定义的组织机构，同时允许将现有系统中已经存在的用户放入自定义的组织机构，或在自定义的组织机构节点下手工**系统中不存在的用户。若用户将现有系统中的用户放入自定义组织机构，则该用户同时存在于原始组织机构及目前新创建的自定义组织机构中。 管理员可通过批处理功能导入用户，同时也支持通过全局视图和差异化视图方式同步用户信息。除上述方式，也支持在组织架构模块中直接添加用户。对于进入到系统中的用户信息,可分配到分配到对应的组织机构中，对于未分配的用户，将自动进入到“未分配组织架构”中，从而让管理员快速查看到问题用户。 管理员可对系统内所有用户进行全生命周期管理，支持通过批量操作，将相关人员的状态配置为“未入校”、“在校”、“已离校”，支持对组织机构中一级部门、二级部门进行添加、移除用户的操作，添加用户包括添加已有用户、创建新用户两种方式。 管理员可查看组织架构具体节点下包括的用户信息，包括用户名、姓名、部门&院系、入校年份、联系方式、用户分类、生命周期、账号状态。 支持学工号、用户名、姓名、手机号、证件号查找用户，以及根据组织机构、身份分类、生命周期等多个选项进行筛选。 支持对用户进行批量添加、移出机构、禁用以及导出的功能。 四.*.*人员类别管理 系统核心数据模型为适应高校特色的用户数据模型，系统可按照学校特点和应用现状设计用户、组、权限等模型，并按照模型设计完成数据存储。所有的用户信息应分别存放在LDAP目录服务和数据库中，通过可靠的机制完成两者的同步，用户身份信息在目录服务中以层次结构，面向对象的数据库的方式集中存储管理，从而保证身份数据的一致性和完整性，为校园各类应用提供一致的用户信息访问。 系统支持设置用户身份类型，方便平台和硬件平台、应用系统等通过LDAP接口的方式实现身份集成。 四.*.*筛选器管理 在用户管理中可以进行相关的内容搜索，搜索维度包含学工号、教工号、用户名、姓名、别名、手机号、证件号、组织机构、身份类别、身份状态、生命周期、入校年份、所在年级、数据来源、邮箱、账号状态、激活状态、人脸状态等，能够对账号进行精确的筛选搜索。 四.*系统管理 四.*.*统计分析 四.*.*.*认证使用分析 提供身份认证数据分析看板，包括认证登录分析、应用认证分析、使用用户分析、账号变动分析，帮助用户发现认证使用价值及使用中的问题。 四.*.*.*.*认证登录统计 支持展示用户登录数据概览、登录数据总况、异常登录数据。 支持登录数据概览，支持统计尝试登录、成功登录、失败登录、敏感登录和恶意登录。可通过筛选切换维度是次数、人数。 支持展示尝试登录、成功登录、失败登录、敏感登录、恶意登录在一定时间段内的变化趋势。 四.*.*.*.*认证用户分析 支持认证用户分析，主要涉及统一身份认证账号的基本情况概览、认证活跃用户情况、认证账号变动情况。 支持认证用户概况，主要展示： *、以数据形式展示，统一身份认证下的全量账号、已激活账号、未激活账号； *、以饼图形式展示，统一身份认证下未激活用户占比； *、以饼图形式展示，统一身份认证下，正常、冻结、禁用、归档状态下账号占比，并展示对应状态占比、账号量； *、展示密码未达标账号和休眠账号，支持跳转至详情列表。 四.*.*.*.*应用认证分析 支持应用认证分析，应用认证次数的分析与统计。支持展示应用次数排名TOP**，支持展示应用认证次数列表。 四.*.*服务接入管理 四.*.*.*应用详情 支持点击某一应用下的详情按钮，跳转至对应的应用详情页面。 应用基本信息，可展示应用图标、应用名称、业务域、App ID、AppSecret、访问地址。其中App ID、App Secret、访问地址；App Secret支持重新获取。 应用操作，支持应用编辑、维护、停用、删除以及应用授权配置。 应用配置菜单列表，包括：认证、接口、回调。 四.*.*.*.*授权 针对每个应用，系统提供多种授权维度和授权颗粒度，管理员可根据组织机构、域及用户组、用户三种方式，给各维度的各级节点或单独的人员进行授权。 四.*.*.*.*认证 针对每个应用，系统提供多维度的认证信息配置，支持CAS协议、OAuth协议、SAML协议、WMA协议、LDAP协议、OIDC协议、RESTFUL协议。 四.*.*.*.*回调 回调，平台调用第三方系统接口达到数据通知的功能。支持HTTPS协议，同时检验证书的有效性；支持国密和非国密的算法，国密的签名使用SM*哈希，SM* 数据加密；支持回调接口的重试机制。 四.*.*.*.*应用访问日志 用户访问应用的日志查询，包括学工号/用户名、姓名、IP、访问时间和认证结果。 四.*.*.*.*更多 维护的是用户在登录、登出、账号信息变化回调通知功能，WebHook中的登录Hook、登出Hook、账号绑定、账号解绑功能在接口列表中展示。 四.*.*权限管理 四.*.*.*管控台授权 系统应支持通过管控台授权，超级管理员可以基于用户管理、应用管理、组织管理、安全性管理等管控台的大部分功能按照需求分配给二级管理角色。实现用户、应用、组织等内容的二级管理功能。 支持敏感信息配置查看权限，内容包括用户身份证号、用户手机号、邮箱、出生日期信息。无【查看敏感信息】权限的管理员角色，查看用户敏感信息时星号处理。 四.*.*.*域管理 系统应支持域管理功能，“域”用于定义二级管理的范围，管理员可在此创建或者编辑所需要用于二级管理的域。创建后的域可以在创建应用、创建用户组的时候被选择，选择之后应用或用户组会自动加入该域，纳入域的应用或用户组会根据该域的管理员授权提供二级管理功能。 四.*.*安全策略管理 支持统计弱密码账号数量、密码强度策略及配置统计规则。 支持密码黑名单，限制用户设置密码时包含的字符内容。 默认勾选：简单密码、非键盘字符。 可配置：用户账号、用户邮箱、用户手机号、居民身份证号码、自定义字符。 支持密码未达标账号列表，展示包括账号、姓名、上次修改密码时间、未达标原因、操作（支持冻结账号）、导出列表。 场景配置 支持找回密码方式配置，包括密码问题、邮箱、短信验证码、微信、QQ 支持PC端扫码找回，包括QQ、微信、钉钉 支持是否启用账号申诉 支持修改密码配置，包括可信APP中修改密码免校验和定期修改密码。 基本配置 支持配置是否启用身份二维码功能。启用后，会在统一身份认证用户端的移动H*个人中心页面展示身份二维码 支持生成二维码页面链接，可直接复制链接作为今日校园、钉钉、企业微信等移动端应用 支持配置二维码有效时间，用于配置身份二维码的有效时间，如配置*分钟，则二维码在一分钟后失效 支持配置二维码背景图片、学校LOGO、帮忙描述说明文案 支持配置拓展属性，用于配置身份二维码的扩展属性，如学校已建设一卡通二维码接入，配置完成后身份二维码增加一卡通属性 支持配置场景，并预置通行、消费、及打印场景。 可用于自定义配置场景 场景名称：用于配置场景展示名称 二维码类型：若配置集成码，则展示第三方系统的二维码，如一卡通消费码 获取二维码方式：客户端读码指客户端扫码后，通过在线或离线方式获取信息；回调指扫码后，认证系统调用第三方接口推送信息 口令配置 支持口令配置。用于配置二维码口令，通过口令可增加用户的动态权限（如请假出校）。口令信息包括权限名称、权限代码、口令内容，支持口令的新增、编辑、删除和导出。 四.*.*数据库同步任务 产品应具备数据库全局同步任务，完成人员、机构的数据同步。 四.*.*.*.*认证数据存储 四.*.*.*.*.*LDAP数据库 LDAP数据库的作用如下： *) 存储高校所有用户的帐号信息，包括密码（密码不可逆，默认用SSHA加密），其目的是为了提供身份认证服务。 *) 可以对LDAP目录进行扩展，以管理高校用户特定的身份属性。 *) 支持LDAP的多主复制，能够提供双LDAP部署，满足系统的稳定性要求。 *) 可对外提供直接的LDAP认证服务（需第三方按照LDAP认证协议，通过编写程序代码或者硬件配置等方式进行对接）。 四.*.*.*.*.*关系型数据库 关系型数据库的作用如下： *) 存储高校所有用户的身份信息，不存储密码，目的在于提供灵活高效的身份管理功能。 *) 存储系统运行的所有日志数据，用于平台的统计功能和审计功能。 *) 存储系统运行所需要的所有配置数据，可通过界面灵活配置。 四.*.*.*.*.*NoSQL数据库 产品选用Redis，Redis的作用如下： *) 存储系统配置信息，大大提升系统性能。 *) 存储用户票据、应用票据等信息，利用其过期策略，可提升系统安全性。 *) 利用Redis PubSub机制，实现管理平台与身份认证系统间消息互通，提升通知实效性。 四.*.*接口管理 支持点击某一应用下的详情按钮，跳转至对应的应用详情页面。页面由应用基本信息、应用操作按钮、应用配置菜单列表组成。 应用基本信息，展示应用图标、应用名称、业务域、App ID、AppSecret、访问地址。其中App ID、App Secret、访问地址，支持文本复制；App Secret支持重新获取。 应用操作，支持应用编辑、维护、停用、删除以及应用授权配置。 应用配置菜单列表，包括：认证、服务、消息、待办、接口、回调。 四.*.*.*授权 针对每个应用，系统提供多种授权维度和授权颗粒度，管理员可根据组织机构、域及用户组、用户三种方式，给各维度的各级节点或单独的人员进行授权。 四.*.*.*认证 针对每个应用，系统提供多维度的认证信息配置，支持CAS协议、OAuth协议、SAML协议、WMA协议、LDAP协议、OIDC协议、RESTFUL协议。 四.*.*.*回调 回调，平台调用第三方系统接口达到数据通知的功能。支持HTTPS协议，同时检验证书的有效性；支持国密和非国密的算法，国密的签名使用SM*哈希，SM* 数据加密；支持回调接口的重试机制。 四.*.*.*应用访问日志 用户访问应用的日志查询，包括学工号/用户名、姓名、IP、访问时间和认证结果。 四.*.*.*更多 维护的是用户在登录、登出、账号信息变化回调通知功能，WebHook中的登录Hook、登出Hook、账号绑定、账号解绑功能在接口列表中展示。 四.*.*公共配置 四.*.*.*学校标识 在学校标识中，用户可自行设置系统中所使用的学校LOGO 学校LOGO（PC端），用于配置PC端管控台、用户端登录页、多因子、二次认证、以及应用未注册、访问应用无权限等页面LOGO 学校LOGO（移动端），用于配置移动端登录页、多因子、二次认证、以及应用未注册、访问应用无权限等页面LOGO 同时，可配置版权信息，用以在管控台底部展示。 四.*.*.*图标库 图标库管理，目的统一管理平台图标，用于配置应用、服务、事项、一件事时快速引用。 四.*.*.*.*图标库列表 图标库支持管理员主动上传图标，支持单个图片、压缩包（多个图片），上传后图标支持带入文件名称，可二次修改名称。 图标库列表，可针对图标名称进行搜索，可针对关联模块“全部”、“应用”、“服务”、“事项”、“一件事”进行筛选，可针对是否被引用进行筛选。 鼠标移入图标，显示三类操作：编辑、删除、下载。其中若图标被引用，则删除时提示：“当前图标已被x个模块引用，无法删除！” 四.*.*.*.*自主上传列表 由管理员在应用/服务/事项/一件事各自模块下单独上传的图标，支持引用图标库或本地上传。若为本地上传，则上传的图标展示在自主上传列表中管理，同步历史数据 自主上传列表到图标，可录入到图标库列表中。 可针对关联模块“全部”、“应用”、“服务”、“事项”、“一件事”进行筛选。 支持批量录入管理，已录入成功的图标则进入图标库列表，作为公共图标支持被各模块引用，而不在自主上传列表中展示。 四.*.*.*.*默认图标配置 支持管理配置事项、个人头像、应用、一件事的默认展示缺省图标。 四.*.*.*证书管理 帮助管理员在管理台实现对Nginx服务器的SSL证书生命周期管理。 产品初始化需要**证书，此模块只针对标准化部署的Nginx才可使用，若为非标Nginx，请实施人员参考按照非标Nginx配置手册，完成配置后才可使用。 *、**证书，并配置好证书名称和证书描述。 *、配置好Nginx服务器地址，端口号固定为****，如：***.*.*.*:****，支持多个地址。 *、将SSL证书*.pem、*.key文件打包成zip，上传zip，默认会上传至Nginx的/opt/ids_nginx_config/ssl/目录下。 *、配置好是否自动重载Nginx，如不重载，则需要前往Nginx进行手动重载服务。 *、保存配置完成**。 配置完成后可对证书进行查看、下载、更新、删除。 四.*.*.*高级选项 四.*.*.*.*管控台 用于配置管控台的基础通用功能，目前可以在此选项卡开启或关闭管控台是否支持CAS登录，在开启之后，管控台会自动开启和身份认证系统的CAS认证服务，被添加为管控台二级管理员同时在身份认证系统中的用户可登录管控台。开关闭之后，管控台将关闭CAS认证功能，只支持DB登录功能。 四.*.*.*.*用户与组织 可在该选项卡查看机构数据和用户数据下记录保留类型、人工确认阈值。 支持编辑机构数据和用户数据的记录保留类型、人工确认阈值。记录保留类型包括：始终、按时间、按次数。此外，用户数据下，支持选择“新增用户”操作无需人工确认。 四.*.*.*.*校内机构数据 可在该选项卡下查看下校内机构当前版本、草稿版本、历史版本的数量，允许管理员清空机构数据，快捷查看机构数据版本。 四.*.*.*.*账号补偿 账号补偿用于添加新增账号，可通过增量补偿或全量补偿方式增加账号，还可查看补偿历史和详情。 四.*.*.*.*系统任务管理 可在该选项卡下查看系统任务列表，包括任务名称、任务处理类、上次/下次执行时间和任务状态，支持立即执行任务。 四.*.*.*.*系统参数配置 系统符合成熟度L*要求，即产品标准功能均在Minos管控台配置，无需操作数据库。系统参数配置中管理一部分 非标准产品功能，则在产品物料中总结归纳。 四.*.*.*产品版本管理 用户可查看已安装产品的当前运行版本、最新版本和发布时间，可查看历史版本列表和产品服务信息，同时可在此处前往实施作业平台。 四.*.*.*多语言翻译管理 用于可视化管理翻译内容，是否开启多语言功能不影响本模块及编辑的本地化内容，原管控台-管理工具-安全与审计中用户提示语内容也需合并至本模块。 支持导入/导出，支持按照系统配置-高级选项-多语言支持选择的语言配置对应数据名称内容，支持按照不同模块配置对应功能类型翻译内容。 四.*其他模块 四.*.*钉钉扫码登录、微信静默登录（需企业微信支持） ▲支持钉钉扫码登录的验证方式。需提供钉钉扫码登录功能（需支持企业微信） 四.*.*短信验证码登录 支持短信动态验证码的验证方式。需提供密码变动短信通知功能 四.*.*人机验证集成 系统遭遇包里破解的情况时，会根据实际情况，要求填入随机验证码、二次认证等方式来要求用户进行登录。 四.*.*TOTP双因素认证 提供基于TOTP一次性口令的双因素认证功能。多因子认证要求用户通过两种以上的身份认证方式来获取授权和**，增加了安全层以保障用户身份和**安全。它适用于非可信客户端登录、异常环境访问和休眠账号登录等场景，具体配置包括启用与否、设置执行或排除人群，以及配置优先登录方式和多因子认证场景如账号密码、短信验证码等，以提高登录的灵活性和安全性。 支持配置优先登录方式：账号密码、短信验证码、企业微信验证码、安全令牌、邮箱验证码、钉钉验证码、微信扫码、QQ扫码、WeLink验证码、支付宝人脸识别（其中支付宝方式需在【第三方实人认证】中配置） 多因子登录支持排序展示、支持认证方式切换 支持配置多因子认证场景，可配置“非可信客户端登录”、“异常环境访问”、“休眠账号登录” 四.*.*登录消息提醒 系统可以通过设置实现用户在异地登录、非可信设备登录时，通过短信向用户的手机发送登录消息提醒，提醒内容包括账号名称、登录时间（具体到秒），以及密码修改建议等。 四.*.*登录页 四.*.*.*登录主题配置 ▲支持配置和切换登录主题，个性化定制身份认证登录页面样式。 支持配置背景图，可选择默认和自定义上传方式，默认即系统提供的背景图片。在自定义上传选项下，支持管理员选择【单图】和【轮播图】的方式。图片上传大小限制为：*M。单图模式下，只支持用户上传一张背景照片，并支持用户替换背景照片。 可选择配置PC端、移动端、认证服务页 *）PC端： 支持配置学校LOGO、登录页主题色、可选配置官网地址、微信公众号二维码 支持配置背景图，可选择默认和自定义上传方式，默认即系统提供的背景图片。在自定义上传选项下，支持管理员选择【单图】和【轮播图】的方式。图片上传大小限制为：*M。单图模式下，只支持用户上传一张背景照片，并支持用户替换背景照片。 *）移动端 支持配置学校LOGO、登录页主题色、背景图 *）认证服务页 支持配置PC端背景图、添加主题、点击添加主题，支持将定制二开的主题包上传至系统中。 四.*.*.*管理后台 支持通过管理后台首页预览融合管控台总体运行情况，包括但不仅限于如下： ·用户情况，预览总用户数量、今日活跃数量、本月活跃数量。 ·应用情况，预览总应用/服务数量、今日使用数量、本月使用数量。 ·接口情况，预览总接口数量、今日调用数量、本月调用数量。 ·版本情况，预览当前版本号、版本发布时间 ·服务器状态，预览当前环境中运行服务器的CPU、内存、磁盘使用情况。 ·组织信息，预览校内组织信息，包括业务域、校内机构数、用户组数以及不同身份分类下的用户数量。 ·操作日志，查看各级管理员登录管控台后的行为记录。 ·产品更新记录，显示当前系统中所有运行产品的版本更新记录。 包括但不仅限于有用户管理、应用管理、开放能力、管理工具、系统配置等。 四.*.*LDAP 四.*.*.*账号元数据管理 账号元数据管理，用于LDAP用户属性数据维护，列表展示属性名称、显示名称、属性值类型、是否多值、属性类型、是否显示、是否必填、启停状态。 支持**自定义属性，LDAP增加用户属性同时在用户管控台增加对应属性作为扩展属性。 支持属性值写入LDAP的开关。 支持用户扩展属性设为隐藏同时CAS协议不返回该属性。 支持搜索属性以及编辑、删除。 四.*.*.*校园网认证管理 统一身份认证系统支持与学校的网络管理系统进行身份认证的对接，通过LDAP或其他协议将认证系统的账号密码与网络管理系统的账号密码进行打通，老师学生在校内连接校园网时，如果需要进行上网账号的输入，则老师和学生直接输入统一身份的账号密码即可获得校园网接入的权限。登录的方式不仅限于账户名密码的输入，也可以实现如钉钉扫码等其他方式的登录，完成登录操作后，由后台进行整个认证过程，认证通过后，老师或学生则可以使用校园网。 对于其他的三方人员，校外进校人员等有需求使用校园网的用户，也支持通过同样的方式进入到校园网，第三方人员的校园网络使用权限和访问权限可以通过网络管理系统针对第三方人员的账号进行单独的设置，第三方人员的账号则通过与身份认证系统的对接和同步来获得。 四.*.*账号同步 四.*.*.*外部数据库连接管理 针对系统在同步用户、组织等相关数据时，需要使用到的外部数据库连接属性进行统一配置和查询。 四.*.*弱口令扫描服务 四.*.*.*解决账号弱口令 ▲支持弱口令通过系统内置的弱口令规则检测账号的密码强度，可以选择如果账号的密码强度符合弱口令规则时，需要在下次登录时强制修改密码。 四.*.**兼容低版本浏览器 系统兼容的浏览器中可向下兼容该浏览器的低版本使用 四.*.**数据迁移 需支持将学校原有的身份认证数据迁移到新的身份认证系统中，迁移过程中产生的费用由供应商负责。 四.*.**校外人员库 四.*.**.*▲校外人员进出校 四.*.**.*.*功能简介 支持对外来人员进校实行申请、审批备案管理制度，校外人员有进出校需求时，由校内归口单位教职工发起审批流程，或校外人员自行通过钉钉、微信、教职工二维码邀约发起入校预约入校。经部门负责人审核，保卫处备案后方可进出校园。 支持对校外人员进校、出校实现“一人一码”，凭报备信息、二维码、人脸进出校门。预约入校时需要提交出入校时间、出行校区、受访人信息等信息。 入校身份识别可分为主动扫码、被动扫码、人脸识别核验进出校权限；可通过刷二维码、身份证、人脸等多种方式来完成入校。人员未按时出校的，系统需对此类异常人员做出预警。支持保留进出校记录，系统中可查询访客进出校台帐。 四.*.**.*.*业务流程 四.*.**.*.*功能要求 四.*.**.*.*.*外来人员类别 l 适用角色：应用管理员 l 支持终端：PC l 功能描述：提供外来人员类别的管理，管理员可根据学校相关管理规定对外来人员进行分类管理。 四.*.**.*.*.*校区信息 l 适用角色：应用管理员 l 支持终端：PC l 功能描述：提供校区信息的管理，管理员需根据学校实际情况维护学校校区信息，同时会为校区生成固定二维码，管理可以下载后打印，也可以批量打印此二维码用于贴在校区的出入口，访客可通过钉钉、微信等扫码后查询自己的通行信息。 四.*.**.*.*.*校外人员入校申请 *）支持校外人员自行发起入校申请，同时支持校内教职工代校外人员申请入校。校外人员或校内教职工可填写人员基本信息、进校事由、进校时间、离校时间、上传个人照片等；支持将校外人员申请入口配置在钉钉、微信等第三方移动APP中，方便校外人员或校内教职工发起申请等校外人员身份信息。 *）支持校外人员查询本人申请审批进度； *）支持校外人员填写入校车辆信息； *）支持发起申请，提供填写校外人员基本信息申请表单，申请表单字段可根据校方需求调整； *）支持编辑，申请若被撤回、草稿、驳回时，支持申请人可重新编辑申请内容并重新提交； *）支持删除，申请若被撤回、草稿、驳回时，支持用户删除数据； *）支持撤回，当第一个审批人还未审批时，申请人可撤销申请，可重新编辑申请内容后再次提交； *）支持查询历史申请，查询本人已经提交进出校申请记录。 四.*.**.*.*.*校外人员入校审核 支持校外人员入校所有审核节点在钉钉中进行，保证审核的及时性。 *）支持审批人员处理待审批任务，并可查看已办理的申请记录； *）支持预约审核机制，审批通过后，系统通过短信反馈校外人员审批结果； *）支持通过处理，若审批人员审核确认情况属实，同意进入下一步； *）支持退回处理，将申请记录驳回至申请人； *）支持不通过处理，将终止流程，申请人将无法再次编辑发起此次申请。 支持所有审核通过后，结果通过申请人的钉钉、微信返回给申请人，同时支持给申请人的手机发送短信结果。 四.*.**.*.*.*校外人员入校核验 支持校外人员通过面板机刷身份证、刷人脸、二维码（被动扫码。包括但不限于校方保卫人员用钉钉、微信等扫码核验）方式入校。 四.*.**.*.*.*校外人员入校信息查询 *）支持查询所有校外人员进出校记录，包括姓名、联系方式、入校时间、离校时间等字段。 *）数据列表展示字段可自定义配置； *）提供按表单字段快速检索和高级检索功能。 四.*.**.*.*.*校外人员入校信息管理 *）支持管理员查询所有已审批通过的校外人员申请入校信息。支持管理员取消校外人员入校权限。对没有按时离开的人员系统需具有提醒功能，提醒管理员该访问存在异常信息，支持管理员进行电话通知、当面询问等多种干预方式，并记录该校外人员的干预结果。 *）提供审批流程异常管理，支持管理员对流程进行跳转或结束流程等操作。 *）取消预约：支持消该校外人员的入校申请，取消后校外人员无法获得入校凭证。 *）发送预约短信：校外人员进出校审批通过系统向校外人员发送入校凭证短信，如遇到特殊情况校外人员没有接收短信或短信丢失时，提供手工向校外人员发送短信。 *）干预：校外人员入校后，如未按照规定时间出校或未按规定进行离校登记，系统就认为该外来人员为异常人员，支持对异常人员进行处理并标记处理方式。 四.*.**.*.*.*校外人员入进出校记录统计 支持统计校外人员申请人数、进校人数、出校人数和异常人数等，可根据统计的维度查询名单的明细数据。 四.*.**.*.*.*校外人员系统配置管理 支持管理员设置通行区域、外来人员类别，并支持根据不同的外来人员类别实现不同的审批流程。 支持异常人员干预方式配置，校外人员入校后，如未按照规定时间出校或未按规定进行离校登记，系统判定该外来人员为异常人员，支持管理员对这类异常进行处理并标记处理方式。 支持配置外来人员申请须知并可设置须知阅读时间或关闭阅读须知。 四.*.**校园二维码 四.*.**.*校园二维码 支持用户查看校园身份二维码，并通过二维码实现出行、消费、打印等校园线下认证场景。 *、展示用户证件照，若证件照为空，根据性别展示默认证件照头像，若性别为空，展示男性默认头像； *、展示二维码描述介绍文案、展示帮助说明 *、展示多场景二维码，可切换 四.*.**.*对接一卡通的二维码消费实现方式 ▲支持通过身份认证系统中的二维码功能实现，此二维码专门针对校内人员使用，通过H*页面的方式呈现，可挂载到钉钉中（钉钉小程序的方式呈现），此二维码能够融合校内多种不同场合的二维码，如进出校、食堂消费、超*消费、进出宿舍、进出图书馆、校内自助打印等场景。二维码的对接可以使多码合一或者多个不同的场景二维码分栏展示。 四.*.**.*钉钉实现进出校审批流程 ▲实现如下进出校审批流程： *、校内的老师可以通过系统发送给校外人员一个二维码，校外人员可以用微信/钉钉等软件进行扫描： *、然后输入自己的手机号即可临时登录本系统 *、申请人可以点击发起申请，系统会确认一次联系人信息后，进入填写进面 *、申请人需要填写相关信息，然后点击提交，并且随时查看申请记录和申请的审核结果 *、校内老师能够在钉钉上接受到申请的消息提醒，并进行申请审核以及查看之前的申请记录 *、申请的所有流程结束后，校外人员会收到相关的短信提醒（对接了短信平台），也能支持获得二维码，在短信里放入二维码链接，点击链接即可查看二维码。 如果学校没有短信网关，则可以通过学校的微信公众号，或者学校自己的微信小程序来进行预约成功的提示。 五、项目清单 序号 模块类型 功能列表 单位 数量 * 电子身份认证 基础认证 套 * 身份认证接口 套 * 双因素认证 套 * 应用访问控制 套 * 登录限流 套 * * 用户自服务 自助激活 套 * 密码重置 套 * 自助解锁 套 * 个人中心 套 * * 用户/账号管理 用户/账号维护 套 * 账号日志查询 套 * 账号批量编辑 套 * 照片管理 套 * 日志审计 套 * * 分组管理 组织机构管理 套 * 人员类别管理 套 * 筛选器管理 套 * * 系统管理 统计分析 套 * 服务接入管理 套 * 权限管理 套 * 安全策略管理 套 * 数据库同步任务 套 * 接口管理 套 * * 其他模块 钉钉扫码登录、微信静默登录（需企业微信支持） 套 * 短信验证码登录 套 * 人机验证集成 套 * TOTP双因素认证 套 * 登录消息提醒 套 * 登录页 套 * LDAP 套 * 账号同步 套 * 弱口令扫描服务 套 * 兼容低版本浏览器 套 * 数据迁移 套 * 校外人员库 套 * 校园二维码 套 * 六、评分标准 内容 评分项 评分标准 分值 价格部分 （**分） 报价 （*）投标报价超过采购预算的，投标无效，未超过采购预算的投标报价按以下公式进行计算。 （*）投标报价得分=（评标基准价/投标报价）×**×***% 注：满足招标文件要求且投标报价最低的投标报价为评标基准价。报价得分保留两位小数。 ** 商务部分（**分） 企业资质 *、投标人具有信息技术服务管理体系认证证书、隐私信息管理体系认证证书、职业健康安全管理体系认证证书，每提供一个得*分，最多得*分。 *、投标人具有CCRC信息安全服务资质认证证书（信息系统安全集成服务资质）三级及以上的得*分，未提供不得分。 *.投标人具有CCRC信息安全服务资质认证证书（信息系统安全运维服务资质）三级及以上的得*分，未提供不得分。 注：需提供证书复印件，并加盖投标单位公章。 * 团队人员配备 项目经理及项目实施人员为投标人本公司人员，具有丰富的数字化校园建设经验和能力。 *、投标人拟投入本项目的项目经理具备中国人社部与工信部颁发的信息系统项目管理师和网络规划设计师，同时具备中国通信工业协会颁发的信息系统业务安全服务工程师，CCRC信息安全保障人员认证证书得*分，每缺少一个扣*分，扣完为止； *、投标人拟投入本项目的技术人员具有人社部与工信部颁发的信息系统项目管理师、系统分析师、软件设计师，一人多证只算一次。以上证书全部提供得*分，每少一类扣*分。 （以上两项均以投标文件中加盖投标人公章的相应证书复印件，并提供与投标人签订的劳动合同证明及近半年的社保缴纳证明为评分依据） * 同类业绩要求 投标人完全按照以下要求提供与本项目内容相当且已完成的****年*月*日签订至今的成功案例，提供的证明材料均不得遮挡涂黑，否则不予认定加分。 （*）合同复印件，包括合同金额、买卖双方名称及盖章、内容；（*）用户盖章的成功履行合同的相关证明材料。 （*）和（*）必须同时提供方为有效，否则不予认定加分。提供*个案例*分，最多*分。 * 技术标（**分） 建设内容指标响应 完全满足无偏离的得**分。“▲”代表重要指标，负偏离，每条扣*分，非“▲”技术要求劣于招标文件要求或未做应答的，每条扣*分，最低*分，扣完为止。 注：须提供证明材料复印件并加盖投标单位公章否则不得分。 ** 技术整体设计 根据投标人在本次项目上总体技术方向、先进性、安全性、易用性、灵活性、创新亮点。 整体设计安全、易用、灵活、有创新得*分； 整体设计较安全、较灵活、有一定创新得*分； 整体设计基本安全、灵活得*分； 整体技术不安全或未提供整体设计方案得*分。 * 技术路线 项目技术方案与本项目技术路线的一致性，投标方采用的技术方案符合招标文件要求，要求基于SOA架构，支持Docker部署，采用J*EE架构、B/S系统架构。所投产品厂家提供针对本项要求的承诺函，符合得*分，不符合的*分。 * 售后服务方案 售后服务方案，包括但不限于：售后服务内容和标准、定期巡回检修、故障响应支持、电话及现场技术支持、故障恢复时间、备品备件配套保障能力，以及质保期外服务方案及报价情况等，售后服务方案的全面性、科学性、合理性、可操作性强，得**-**分；售后服务方案的全面性、科学性、合理性、可操作性较强，得*-**分；售后服务方案的全面性、科学性、合理性、可操作性有欠缺，得*-*分；未提供售后服务方案得*分。 ** 七、投标文件及报送要求 *. 投标文件（包括但不限于）：（*）报价清单；（*）营业执照复印件等企业资质；（*）供应商法人代表及其被授权人的身份证复印件；（*）服务技术方案；（*）项目组织实施方案；（*）服务承诺；（*）信用记录及小微企业证明；（*）报价供应商认为需要报送的其他材料。（可参考上一章“评分标准”中提到的内容） 上述材料复印件均须加盖单位公章。 *. 报送方式 参加报价文件正本*份，副本*份，并标明“正本”“副本”字样；电子版*份，其中包含word版+盖章扫描后得PDF版本各一份，可单独密封包装也可与纸质版一起封装。 投标材料采用邮寄方式（邮寄封面上需注明“数据中心统一身份认证建设项目”，单位及其公章、日期）地址：******清源路甲*号**********，邮编******联系人：黄老师，电话***-******** 投标文件报送截止时间：****年*月**日下午**:**。 八、其他要求 七.*项目服务地点 ************校区 七.* 实施服务内容要求 八.*.* 时间进度要求 本次项目须严格按工期部署完成，并达到采购人的要求。投标方需要在投标文件中给出预实施工期进度表。采购人要求签订合同后*个月完成项目建设工作。即完成部署、系统认证对接、调试、数据同步迁移、试运行、验收等，时间均以采购人通知为准。 八.*.* 实施方案 该项目规模较大，系统需求复杂，涉及部门、环节多，为了保证实施过程顺利有序，投标人必须作出详尽慎密的设计方案和实施方案，以交付学校使用，主要内容应包括以下几个方面： 八.*.*.* 组织架构与职责 描述项目成员的组成，以及成员的职责。 八.*.*.* 实施阶段划分 描述各个实施阶段的工作范围、内容、人力投入、过程、责任、交付成果等。 八.*.*.* 项目管理要求 投标方必须提出针对本项目的科学严格的管理方案与措施，保证项目全面顺利实施。 八.*.*.* 项目配置管理 在项目的建设过程中以及交付使用后，会产生大量文档和程序，如：需求分析说明、设计说明、可执行程序以及软件定制开发部分的源代码、用户手册、测试用例、测试结果等技术性文档以及合同、计划、会议记录、报告等管理文档。 由于文档的版本在不断变迁和修改中，势必产生一个庞大、动态的信息集合。因此，必须建设相应的配置管理系统，通过一系列技术、方法和手段来维护产品的历史、鉴别和定位产品独有的版本，以对在产品开发和发布阶段的软件变化进行控制，通过制定规范的配置管理工作计划和流程，沟通交流配置管理工作情况，从而使管理制度化、有效减少重复性工作、保证产品的质量和效率和系统的后续升级和维护。 八.*.*.* 项目管理规范和手段 根据项目的实施方案，在实施过程中，为了保证用户方、开发方等各方能够对项目建设实施进行监控，及时发现和解决的问题，必须建立相应的项目管理规范，包括项目执行监控流程、执行监控的方法、执行监控的责任等，使管理和监控工作流程化、规范化，管理和监控工作责任明确。 八.*.*.* 项目管理控制 项目的管理控制包含多个方面：项目范围、风险、进度、质量、变更管理控制，应贯穿项目开发建设的始终，必须做到对项目建设范围准确定义，一旦范围发生变更，要有相应地变更控制和应对措施。 八.*.*.* 风险管理 项目风险管理是识别和分析项目风险及采取应对措施的一个过程，包括风险识别、风险量化、风险对策、风险对策实施控制四个方面。项目在实施过程中会出项各种各样的风险，必须做到充分、有效识别风险，应对风险和控制风险，在项目实施之初必须制定风险预测和规避风险的对策。 八.*.* 实施过程管控工具要求 基于本项目为学校信息化建设的重点支撑，投标方的项目实施计划及过程进度管控能力是项目成败的关键，因此需要投标方提供或开发针对项目的详细进度计划管理工具软件或系统，对详细进度计划涉及的功能模块、任务、时间节点、人员进行精细化管理，且支持开放给采购人使用，方便双方项目团队成员以工程项目为基础，对项目实施计划及项目计划任务执行情况进行跟踪及反馈，对项目实施过程中出现的问题及其处理过程进行完整记录，并可对于项目交付物统一管理，项目汇报规范，交付过程项目团队响应和解决及计划完成有效监控，使项目交付过程面向校方全程开放。软件应至少包含以下内容：综合看板、实施进度、在线投诉等。 八.* 培训要求 就项目等有关内容拟订出现场培训计划，并完成对采购人无人员数量限制的现场使用培训，培训发生的各种费用包括在合同报价中，具体培训时间由双方商定。 八.*项目验收标准 合同签订后交付所有功能并接受验收。项目验收须达到如下要求： （*）按照甲方要求时间提供相应的产品及服务； （*）按照甲方要求按时完成项目建设； （*）建设完毕提交验收报告，可以分为分项验收和总体验收。 八.*售后服务要求 ▲本次所供系统软件要求提供至少三年免费质保，同时对已有的人事管理系统提供同步的三年免费质保。质保期内所有产品发生故障时，*小时内响应，接到故障电话**小时内到达现场，**小时内解决问题，提供**小时热线电话及在线技术解答。每个月至少电话回访一次，客户指定专门联系人。如果中标人在收到通知后*天内没有弥补缺陷，采购人可采取必要的补救措施，但风险和费用将由中标人承担。 要求提供售后服务作业流程，各种故障情况下的响应时限及用户投诉的解决方案。 八.*.* 售后服务方案内容要求 *）须明确说明服务期限，满足招标文件要求； *）须明确服务响应级别，并出具详细的方案和事件升级策略； *）须提供多种服务受理通道，包括但不限于线上、电话、邮件等； *）须提供详细的线上服务流程说明，线上报修须能够做到问题登记、问题处理、加急处理、问题关闭与评价，常见问题案例库，消息通知等。要求提供服务网站地址及各个模块的功能截图或功能演示。 *）要求在服务响应过程中，须有运营专员参与，全程跟踪服务过程，协调解决服务过程中的问题，须在方案中说明运营保障内容，提供详细服务方案。 *）须提供线上服务申诉通道，要求可针对服务人员、服务流程等进行投诉。须提供投诉的功能截图或演示材料。 八.*.* 运行维护服务内容要求 *）在项目质保期内，软件系统需要持续更新，对缺失必要功能进行补充，系统性能运行性能优化，系统BUG处理，系统漏洞修复等。例如当投标人交付的业务系统存在某BUG，投标人须及时提供修正与消缺服务，如有修复BUG的补丁，应及时提供升级服务。 *）故障处理：如投标人交付的系统上线运行时，出现问题导致业务中断时，投标方应对故障进行限时处理。 由于非计划掉电导致系统故障时，投标方应配合系统恢复。 由于系统**不足导致系统故障时，投标方应配合学校系统恢复。 由于硬件故障时，投标方应在学校数据还原后，配合学校系统恢复。 *）运行支持：投标方应对系统运行过程中系统管理员及业务管理员提出的问题提供解答和问题解决跟踪。 九、本邀请函由**********信息中心负责解释 ********** ****年*月**日 附件 关于项目供应方参加**********“阳光项目工程”建设的承诺书 项目名称： 接受邀请单位名称： 法定代表人签名（或盖章）： 法定代表人的委托人签名： 我公司郑重承诺：自 年 月 日接受邀请起，至该项目实施验收结束（未中标单位至接收到落选结果通知止），我公司将严格遵守《中华人民**国政府采购法》和《中华人民**国政府采购法实施条例》的规定，自觉参加**********“阳光项目工程”建设，不从事任何违法行为。特别是： 一、对采购方任何人员不提供任何回扣和服务；不组织宴请、旅游、健身、娱乐或进入私人会所等活动；不赠送任何礼品、现金、有价证券（卡）、贵重物品和好处费、感谢费等；不报销应当由其单位或个人承担的费用；不为其个人及其亲属装修住房、婚丧嫁娶、配偶、子女的工作安排以及出国（境）、旅游、消费、娱乐等提供方便和交通、资金等支持。 二、不接受采购方人员及其配偶、子女、亲属介绍或参与同该项目合同内外有关的设备、材料工程分包、劳务等经济活动。 三、如有违反上述内容的任何行为，我方依法接受任何处理；涉嫌犯罪的，主动接受司法机关的刑事责任追究；给采购方造成经济损失的予以赔偿。 签订人（盖单位公章）： 签订时间： 年 月 日