沐鸣平台官方网站,沐鸣平台登陆

上海开放大学:智慧认证 为开放办学稳定护航
上海开放大学是由上海市人民政府举办,教育部批准成立,上海市教育委员会管理的新型高等学校。学校前身为上海电视大学,创办于1960年。学校以现代信息技术为支撑,以远程开放教育为主要形式,主要面向成人开展专科、专升本科教育。学校目前共开设51个专业,注册在读学生约8万名。自学校开办以来共计培养各类本、专科毕业生 57万余名。



智慧

认证

上海开放大学


上海开放大学是由上海市人民政府举办,教育部批准成立,上海市教育委员会管理的新型高等学校。学校依托政府、行业和社会资源在全市设有40余所分校、教学点;以现代信息技术为支撑,主要以远程开放教育形式面向成人开展专科、专升本科教育。


学校目前注册在读学生约8万名,是上海市目前在校生人数最多的高校,也是上海构建终身教育体系和建设学习型社会的重要平台,为上海建设“人人皆学、时时能学、处处可学”的学习型社会不断贡献新的力量。



建设历程

2014年

学校启动建设第一套身份认证系统(IDS 5),为愈渐丰富的业务系统和庞大的用户体量提供统一认证准入和身份管理。

2020年6月

学校召开身份认证升级启动会,统一规划、统筹设计,校企协同重塑学校认证体系。

2020年9月

全新的身份认证平台(IDS 7)已完成管理功能部署、性能升级和数据迁移。

2020年11月

投入试运行。



升级背景

学校主要开展成人教育,实行“学分8年有效制”。每年平均约25000名新生入学,到2020年学校认证系统已积累80万用户账号,在读学生8万余名。用户体量的逐年激增对学校认证系统的服务能力提出了极高的要求。

01

学校采取“总校办学,分校支撑”的合作办学体系,90%的学生分布在40多所分校,外聘、外包人员较多,需要为专职、外聘、在编等各类人员提供分层分级的身份管理。

02

大量不活跃账号存在于系统中,离校/退休师生账号需要更便捷省心的管理机制。

03

以往新生账号主要采用“默认初始密码”的形式下发,“弱口令”的情况十分普遍。

04

学生以成人为主,对移动端的使用诉求颇高。校园应用需要与微信企业号、企业微信等移动端实现更加简单高效的认证对接。

05

学校主要通过线上平台实施教学,学生对信息系统的依赖程度更高。登录账号时,密码太简单易泄露、太复杂容易混淆,需要扩展更加便捷、安全的认证手段。


建设成效

上海开放大学聚焦师生用户最基础、最迫切的诉求,在IDS 7的升级部署中,优先针对用户账号安全性、认证便捷性及服务稳定性升级功能和体验。


01 “账号自主激活”取代“默认初始密码”

新用户账号默认初始密码(如学号/证件号后六位)下发,是学校大量存在“弱口令”的根本原因。新部署的IDS 7针对新用户实施个人账号“三步激活”策略:

①信息校验→②绑定手机→③设置密码

从根本上消除默认初始密码带来的安全隐患。



02 扩展多种“无密码”认证方式

新认证平台与用户手机号、微信进行绑定,扩展了手机动态校验码登录和微信扫码登录方式,并支持7天内免登录,有效避免用户忘记密码或密码泄露等窘况。



03 完善账号安全保护机制

新增密码算法库,将用户设置的密码与密码算法库进行比对打分,可预设密码分值下限,支持选择是否需要强制修改不达标的弱密码。



04 支撑更丰富的校园应用

IDS 7相比于IDS 5扩展了更多的认证协议,最常用的CAS协议新增CAS3.0版本、SAML也同时支持1.0和2.0版本,更多的校园应用得以顺畅对接,如基于CAS协议的VPN在访问应用时可实现无感登录等。



总结展望

学校新版认证平台经过数月的试运行检验后,于2020年11月正式切换上线。2021年8月-9月期间服务师生完成20余万次系统认证。

庞大的用户体量需要学校在重构认证服务时更加细致、谨慎。当前,学校已经完成对用户基础认证需求的升级塑造,后续将持续扩展更多认证管理与服务手段,例如拓展更加灵活的分组机制,为“1+40”(一个总校,40多所分校)合作办学体系提供更加精细化的身份管理与授权机制;对VPN的架构进行优化升级,改变以往LDAP比较僵硬的对接方式等。



此次升级IDS 7,为师生提供了更丰富的认证手段,很好地改善了用户体验。安全层面上,大幅减少了弱密码问题,对无效历史数据进行了处理。现阶段IDS 7主要在便捷性、安全性及稳定性等层面实现突破,也期待未来拓展更多场景应用。

申志冰

上海开放大学 信息与网络管理中心

沐鸣平台官方网站