ICS 35.200 CCS L 70 DB3710 威海市地方标准 DB 3710/T 212—2023 城市大脑 统一身份认证接入规范 Unified identity authentication system access specifications for city brain 2023 - 11 - 17发布 2023 - 12 - 17实施 威海市市场监督管理局 发布 DB3710/T 212—2023 I 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件 的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由威海市大数据局 提出、归口并组织实施和评估。 本文件起草单位：威海市大数据局、威海 智慧北洋信息技术有限公司 。 本文件主要起草人：王璐、于治超、马欣惠、王强、郑秀文。 DB3710/T 212—2023 II 引 言 《关于印发 <加快推进“城市大脑”建设工作方案 ><“城市大脑”建设试点分工 >的通知》（数字强 省办发〔 2023〕4号）要求实施城市大脑建设提升行动，探索构建城市智能体，在业务应用建设与互联 互通、强化平台支撑与赋能应用、基层覆盖 与智慧社区联动、技术标准与管理规范应用、建立健全建设 与运行机制五个方向开展试点工作。 技术标准与管理规范应用试点要求完善制定标准规范， 初步建立市域城市大脑技术标准和管理规范 体系。 城市大脑部分专题应用以部门自建为主，由于城市大脑和部门自建专题的用户体系不一致，城市大 脑不能直接访问专题，需要频繁登录系统；同时部分融合专题应用只汇聚了共性数据，还需要链接其他 部门的业务系统作为辅助支撑；因此需要构建统一身份认证系统， 实现各种应用系统间跨域的单点登录 和单点退出 ，最终实现城市大脑可以直接访问部门业务系统，提升城市大脑 效能。 DB3710/T 212—2023 1 城市大脑 统一身份认证接入规范 1 范围 本文件定义了城市大脑统一身份认证平台的术语和定义、 缩略语、 统一身份认证接入流程、单点登 录接口定义、输入安全。 本文件适用于威海市各级各部门 业务系统统一接入城市大脑的身份认证对接方案 。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239 -2019 信息安全技术 网络安全等级保护基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 城市大脑 city brain 运用大数据、云计算、物联网、人工智能、区块链、数字孪生等技术，提升城市现代化治理能力和 城市竞争力的新型基础设施。 3.2 身份认证 identity authentication 确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问及使用权限。 3.3 单点登录 single sign on 用户只需要登录一次就可以访问所有相互信任的应用系统。 3.4 令牌 token 用于第三方应用进行授权码认证成功后获取的安全认证信息，可以多次使用且具 有时效性。 4 缩略语 DB3710/T 212—2023 2 下列缩略语适用于本文件。 AES：高级加密标准（ Advanced Encryption Standard ） HTTPS：超文本传输安全协议（ Hyper Text Transfer Protocol over Secure Socket Layer ） IP地址：互联网协议地址（ Internet Protocol Address ） SM4：分组对称密码算法 URL：统一资源定位 符（Uniform Resource Locator） 5 统一身份认证接入流程 5.1 概述 城市大脑统一身份认证平台部署在山 东省电子政务外网行政服务域环境， 以城市大脑用户体系为基 石进行建设，指导各级政务部门（申请部门）应用系统接入平台。接入流程主要包括接入申请、接入审 核、系统改造、功能联调和运营维护等。 5.2 接入申请 申请部门应向大数据主管部门提交申请。申请部门提交申请后，应向技术开发人员提供应用名称、 应用访问地址、应用描述等应用系统信息。应用系统信息应符合下列要求： a) 应用名称：应为中文名称，宜采用与应用功能相关的词汇，不应出现测试等宽泛字样； b) 应用访问地址：应用系统的访问地址； c) 应用描述：应简要描述应用功能，用于推荐宣传使用。 5.3 接入审核 大数据主管部门获取应用系统接入申请后，应对申请部门提供的相关信息进行审核，审核通过后， 由技术开发人员提供测试令牌。 5.4 系统改造 应用系统接入审核通过后，申请部门应明确统一身份认证业务流程，按 本文件中6.4提供的接口信 息对应用系统进行开发或改造，以符合接入要求。 5.5 功能联调 申请部门在应用系统改造完成后，双方在联调环境中协同完成应用系统功能测试。测试通过后，由 技术开发人员在城市大脑平台免密接入申请的服务。 5.6 运营维护 应用系统接入平台后，系统管理员与申请部门应组织相关工作人员协同完成运营维护工作。 6 单点登录 接口定义 6.1 用户信息的获取与使用 接入系统通过令牌获取个人用户的详细信息。将接入系统提供的 url与令牌拼接成 url?token= ’ xxxxx’，接入系统使用该接口解析获取用户信息，并进行对应系统的模拟登录，从而实现从城市大脑 到第三方平台的免密登录。 DB3710/T 212—2023 3 6.2 效果测试 由系统管理员配置统一身份认证用户的绑定之后，通过接口来获取令牌进行单点登录测试。 6.3 接口地址 https://zhbypass.weihai.cn/oneWebControl2/user/getUserInfoByToken 。 6.4 接口Json格式 { "msg": "操作成功 ", "code": 200, "data": { "searchValue": null, "createBy": "admin", "createTime": "2022 -11-21 09:32:36", "updateBy": null, "updateTime": null, "remark": null, "params": {}, "userId": 102, "id": 102, "deptId": 100, "userName": "whsdsj", "nickName": "威海市大数据局 ", "email": "", "phonenumber": "15588418355", "sex": "1", "avatar": "", "status": "0", "delFlag": "0", "loginIp": "221.2.162.89", "loginDate": "2022 -11-22T17:45:48.000+08:00", "admin": false } } 6.5 接口返参说明 接口返参说明见表 1。 DB3710/T 212—2023 4 表1 接口返参说明 序号 字段 详细说明 1 data searchValue 搜索 createBy 创建者 createTime 创建时间 updateBy 更新者 updateTime 更新手机号 remark 备注 params 备用参数 userId 用户ID id 用户记录 ID deptId 单位id username 用户名 nickname 昵称 email 邮箱 phonenumber 电话号码 sex 性别 （1男，2女） avatar 头像 status 账户状态 （0正常，1停用） delFlag 删除标记 loginIp 登陆ip loginDate 最后登陆时间 admin 是否是管理员 2 code 请求状态码 200 请求成功 7 输入安全 7.1 系统安全 平台系统安全应符合 GB/T 22239 -2019第8章中第三级安全防护能力 的要求。 7.2 认证安全 身份认证安全应符合下列要求： a) 设置会话时间：用户在登录平台后，页面长时间无操作时，应用系统应自动注销该用户信息； b) 设置登录尝试次数：用户在登录尝试时，若输入密码次数达到应用系统设置的最大值，则在一 定时间内不再允许该客户端继续尝试登录，并生成核查日志，记录到数据库； c) 应设置IP地址控制策略：通过限制用户 访问IP地址的安全策略，当业务信息被篡改时，可以 通过查找访问日志的方式来确认访问者； d) 密码设置：包含 数字、大小写字母和特殊字符，且长度不 少于10位。 7.3 用户安全