ZSDZB2025-018 统一身份认证平台 采购公告
2025-05-13
山东/青岛
招标采购
ZSDZB2025-018 统一身份认证平台 采购公告
山东/青岛-2025-05-13 00:00:00
山东/青岛-2025-05-13 00:00:00
************* 统一身份认证平台 采购公告
发布时间:********** **:**:**阅读量:**次
中国石油大学(华东)统一身份认证平台校内招标公告项目编号:*************中国石油大学(华东)依据学校管理规定,并参照《中华人民共和国政府采购法》及其他相关法规,就下述采购项目进行校内招标,邀请合格投标人进行投标。一、招标人名称:中国石油大学(华东)二、招标人地址:山东省青岛市黄岛区长江西路**号三、本次招标内容如下:名称:统一身份认证平台数量:*套预算:**万元技术要求:详见附件。四、资格要求*.投标人必须具有标的物的制造或合法的供货能力(进口产品必须取得生产厂家针对本项目的授权),具有履行合同和售后服务能力。*.投标人须符合《中华人民共和国政府采购法》第二十二条的相关规定。*.投标人未被列入“信用中国”网站(***.***********.***.**)“失信被执行人”、“重大税收违法案件当事人名单”、“政府采购严重违法失信名单”;不处于中国政府采购网(***.****.***.**)“政府采购严重违法失信行为信息记录”中的禁止参加政府采购活动期间。*.本项目不接受联合体投标。五、采购文件的获取*.供应商应先进入中国石油大学(华东)采购与招标办公室主页(*****://***.***.***.**),点击右上角“供应商登录”,再点击“微信登录”或“账户登录”,按系统提示进行登记注册,注册后拨打**********进行审核,审核通过后点击采购公告下方的“我要报名”,填写真实准确报名信息后提交。报名缴费时选择“在线支付”方式,缴费成功一小时后依据系统提示下载采购文件。注:如有问题可咨询*************(杨老师)。
*.报名起止时间:****年**月**日*****年**月**日下午**:**前(北京时间,节假日除外)。*.工本费:***元(售后不退,未购买采购文件的投标人不具备参加投标资格。如需开具发票,请于交费后一周内将开票信息发送到财务邮箱********@***.***.**,财务联系电话*************。)六、投标文件提交起止时间、地点*.提交时间:****年**月**日**:*****:**(北京时间)。*.提交地点:中国石油大学(华东)西北门(靠近体育馆)校门外(不进学校)。*.提交方式:投标人必须于投标文件提交截止时间前派投标代表凭本人身份证原件并持法定代表人授权委托书提交投标文件,逾期不再受理,传真、邮寄等方式提交的投标文件概不接收。七、开标时间及方式:*.开标时间:****年**月**日**:**(北京时间)*.开标地点:中国石油大学(华东)行政办公楼****室。八、投标保证金:本项目不需要缴纳投标保证金。九、联系方式:项目联系人:汤老师联系电话*************杨老师联系电话*************邮箱:********@***.***.**采购与招标办公室网址:*****://***.***.***.**招标监督电话:*************中国石油大学(华东)采购与招标办公室****年**月**日具体要求
一、学校统一身份认证平台升级招标清单序号名称单位数量*统一身份认证平台套*二、项目设备具体技术指标及要求(一)项目背景我校现有统一身份认证系统建设于****年,截至目前已完成**个应用系统的身份认证接口集成。随着我校信息化建设推进和治理水平提升,现有统一身份认证系统已无法满足精细化管理和人性化服务的需求,为了适应新环境、满足新要求,统一身份认证系统亟待从功能性、安全性、易用性、稳定性等方面进行改进。建设内容如下:(二)设备要求*、建设目标*)建设新一代统一身份认证平台,提升系统的安全性、运行稳定性以及并发性能,扩展服务范围,为用户提供更方便快捷的自助服务,提供更完善的系统管理功能;*)完成数据清洗和迁移,确保升级过程中用户登录服务和已集成应用系统使用不受影响;*)完成现有统一认证系统已集成的应用系统的无感知迁移对接。*、安装要求供货方需按照校方要求将设备安装到位,并负责调试完成。(三)具体技术要求“技术要求”中“*”代表重要指标,无标识则表示一般指标项。*、功能要求模块子模块招标要求用户身份认证登录方式平台应支持账号密码登录平台应支持主流第三方授权认证,包括但不仅限于微信、**、微博平台支持以***验证码作为唯一因素或第一因素进行认证。平台具备对接其他单点登录平台的能力,能够接入
支持***协议的第三方平台,完成跨平台身份认证*支持利用各类计算机或移动终端的生物特征(如人脸、****)传感器代替口令完成身份认证(此功能点需提供视频演示。)支持委托认证功能,允许用户授权他人使用其账号密码以用户自己的身份登录系统。*支持多身份认证功能,即用户可以使用其任意一个账号进行身份认证,并能够指定使用特定的身份完成系统登录。(此功能点需提供视频演示。)平台支持单点登录,已登录用户可免密漫游至其他接入系统支持微信小程序和企业微信无感知登录,用户通过移动校园完成微信或企业微信身份绑定后,通过微信或企业微信访问对接统一认证的应用,无需显式登录,可直接进入应用。支持将登录权限授权给其他用户并设置授权时间窗口,模拟被授权用户在时间窗口内使用被授权用户账号和授权用户的身份登录指定系统。双因素认证平台支持多种双因素认证方式,包括短信验证码、****验证码等*支持基于地理位置的自适应双因素,可实现常用地跳过双因素,常用地以外强制双因素(此功能点需提供视频演示。)*支持用户自助指定可信设备,可信设备可跳过双因素认证(此功能点需提供视频演示。)*支持区分登录方式设置是否开启双因素认证,如第一因素为账号密码登录,需进行双因素认证,第一因素为扫描二维码登录,跳过第二因素认证(此功能点需提供视频演示。)账号防护平台应具备对账号暴力破解的防护能力,能够识别
并阻止账号破解行为,对于被集中破解的高危账号可进行自动锁定,自动锁定可通过短信提醒用户,并允许用户通过人脸识别自助解锁。平台对于暴力破解的防护需分别支持基于目标账号、攻击源的破解行为识别系统同时也应提供空间推理人机验证服务集成能力,可对接第三方人机验证服务,提供用户体验更好的暴力破解防御能力。平台应具备闲置账号防护能力,对于长期未使用账号可自动锁定系统支持自定义弱口令字典,以限制弱口令在认证登录、自助修改口令等环节使用系统具备处理亿级数量自定义弱口令的能力,能够灵活地接受并处理大规模的自定义弱口令字典,高效拦截使用亿级弱口令字典中弱口令的攻击尝试。准入控制平台应支持对重点应用的短信/****双因素认证,用户直接登录或身份漫游到重点应用时需完成短信验证码或****验证后才可登入。平台支持基于用户角色的系统登录准入控制平台应支持基于人员基本信息灵活组合条件的准入控制,人员信息发生变化准入权限即自动跟随变化。*支持定义运算逻辑并应用于准入控制,用户登录时系统实时利用用户信息进行运算,根据结果进行准入控制。(此功能点需提供视频演示。)信息返回平台支持人员属性信息返回,用户成功登入到应用时,平台可根据登入目标应用的配置返回用户属性信息,信息包括但不仅限于姓名、学工号平台返回的人员属性信息需与数据源中最新的人员信息保持一致
数据一致性通过***、**********或****方式接认证,需保持用户账号口令及人员信息实时一致,杜绝因定期同步或触发同步带来的数据不一致问题。用户服务账号开通*平台支持自助式账号开通,用户在开通过程中可自定义账号名、设置账号密码、手机、邮箱。(此功能点需提供视频演示。)*平台支持在自助账号开通时进行基于手机三要素的本人验证,防止冒名注册;对于信息不足,无法完成手机三要素认证的场景,平台应支持通过人员姓名、身份证件号等信息进行身份验证(此功能点需提供视频演示。)自助服务支持自助重置密码,用户可基于学校企业号、邮箱、手机验证码完成密码重置支持基于运营商三要素比对的自助密码重置。*对于因暴力破解而锁定的账号,支持基于手机三要素的自助解锁。(此功能点需提供视频演示。)*对于因长期未使用而锁定的账号,支持基于手机三要素的自助解锁。(此功能点需提供证明材料并加盖供应商公章。)支持第三方授权登录账号的自助绑定和解绑账号维护提供账号信息维护中心,用户可完成密码、关联邮箱、关联手机及关联第三方授权登录账号的修改平台支持在用户打开账号信息维护中心时进行基于手机三要素的身份验证,加强账号关键信息防护*支持用户自定义设置委托认证,包括被委托人、委托时间等。(此功能点需提供证明材料并加盖供应商公章。)人脸识别通过人脸识别进行人脸照片采集时,如本地照片库中有用户照片,则使用本地照片与用户进行人脸比
对,若本地照片库中无用户照片则系统自动进行人证合一验证人脸识别的用户照片可存储至本地照片库,以补充人脸特征库,用于后续人脸比对无法完成人脸识别的场景,管理员可为用户添加人脸照片,添加后用户可使用人脸识别功能移动端人脸识别应兼容***、各*******主流版本,解决跨平台摄像头调用权限问题。防破解*系统在用户自助服务中具备良好的防破解机制,以应对冒用身份的破解攻击。(此功能点需提供证明材料并加盖供应商公章。)人员管理数据接入*支持对人员字段进行自定义扩展。允许管理员根据实际需求对人员信息的字段进行自定义设置和扩展,包括但不限于姓名、性别、联系方式、部门、职位等信息。(此功能点需提供视频演示。)支持与其他数据库对接,采用***工具等数据交换方式直接导入人员数据平台应支持基于数据库差异视图方式增量更新数据,保证数据及时性文件导入支持通过上传*****文件形式导入人员数据*****模板应根据人员分类、组织机构等元数据的变化动态生成并提供下载。平台应支持对上传的人员数据进行校验,识别错误数据与脏数据数据校验后,可根据校验结果对数据进行分别处理,正确数据可直接导入系统,问题数据可下载导出,方便后续修正导入人员属性支持多种用户属性管理,包括但不仅限于基本信息、人员分类、组织机构、角色
支持不限层级的多级人员分类模型支持不限层级的多级组织机构模型支持一人多单位情况的信息维护管理系统允许针对不同的用户来源创建至少三种生命周期,包括启用、停用、延期三个状态。延期状态可设置到期时间,到期后自动转为停用状态。角色管理支持灵活添加、修改、删除自定角色,以满足不同管理需求人员可具备多个角色属性,角色与人员形成多对多关系人员检索支持高级检索人员,根据复杂筛选条件精确匹配单个人员支持模糊匹配检索支持基于多种人员属性与维度混合检索对检索出的人员,应展示关键属性,方便快速确认信息*支持根据管理员权限的不同,自动对检索结果中的部分字段进行动态遮盖处理。能够根据管理员的权限设置,对敏感或私密字段(如电话号码、邮箱地址等)进行遮盖或部分隐藏,以保护用户的隐私信息。(此功能点需提供视频演示。)信息编辑支持管理员对人员信息进行编辑人员信息编辑时,需提供下拉菜单等方式选择数据,方便修改,同时避免不规范数据批量操作支持对若干人员进行批量操作,具备合理的交互模式支持高级检索人员,根据复杂筛选条件匹配若干人员支持采用*****名单上传的形式批量筛选人员
对于筛选出的人员可进行删除、停启用账号等操作分权限管理支持单位、人员类别、操作类型三个维度共同控制的人员管理功能。支持对人员按单位进行分级权限管理,上级机构管理员可管理所有下级机构的人员支持对人员按角色进行分级权限管理,上级角色管理员可管理所有下级角色的人员细分管理员可进行的操作类型,如添加权限、删除权限、修改权限支持受控分级授权,可允许或禁止二级管理员将自己的权限自由授予其他人账号管理权限控制系统可判断登录人员是否具有账号管理权限,有权限人员才能使用账号管理相关功能提供全面的账号管理权限控制,从前端展示到后端接口和数据操作统一控制,确保每次操作都受控,杜绝用户越权行为账号检索支持通过学工号、姓名、账号、手机号、账号状态对账号进行检索检索结果应包括账号、学工号、姓名、锁定状态、闲置状态等生命周期管理支持通过条件检索对用户进行手动筛选,并对账号进行批量启停用支持上传*****对用户进行批量筛选,并对账号进行批量启停用支持根据预设规则自动对账号进行启停用操作账号控制支持对单个或批量账号进行锁定操作,被管理员锁定的账号无法登录且无法自助解锁支持对单个或批量已锁定账号进行解锁操作,解锁后的账号可恢复使用。
支持对单个或批量账号进行删除操作,删除以后的账号无法进行登录账号管理员可修改用户的手机、邮箱、密码账号批量开通*支持批量开通用户账号,并能够为每个用户生成符合全局控制强度的随机口令(此功能点需提供视频演示。)*生成的口令应符合密码策略,包括密码长度、复杂度要求等,以确保口令的安全性(此功能点需提供视频演示。)*批量开通账号的口令可通过短信发送至用户手机,也可一次性批量导出(此功能点需提供视频演示。)登录日志查询支持根据账号、人员信息及操作类型等检索相关系统登录日志*系统登录日志应包括认证(成功、失败)、漫游(单点登录)、****、注销等(此功能点需提供视频演示。)扩展性可调用原有第三方系统接口完成账号同步,如账号新增、账号修改接入系统管理***对接方式支持通过****.*、****.*.*协议对接各应用系统支持接入系统控制,未在接入白名单中的系统无法接入单点登录平台,白名单需给出接入系统的***,***使用正则表达式精确匹配支持通过正则表达式对***协议接入的应用系统进行准入控制支持接入应用有效性管理,可临时停用应用,停用的应用无法通过单点登录平台进行登入支持接入应用的生命周期管理,对于接入应用可以设置有效期,在到达有效期后应用自动停用***协议对接需支持基于白名单和黑名单的应用准入控制,当配置白名单时只有白名单中的用户可登
录系统,当配置黑名单时,只有黑名单中的用户无法登录系统***协议对接的黑白名单需同时支持动态和静态两种名单,静态名单是一组固定不变的名单;动态名单基于用户属性规则配置,根据用户的属性实时变化,没有延迟。平台需支持对不同系统区分配置双因素认证策略,用户自定义、排除指定常用城市和用户籍贯城市触发,以平衡安全性和使用成本。平台需支持对不同系统区分配置双因素认证策略,用户登录地理位置变化自动要求必须进行双因素认证或不允许进行双因素认证,以平衡安全性和使用成本。支持对接入系统进行优先级排序,若应用的***同时匹配白名单中多个系统,平台自动匹配优先级较高的应用**********对接方式平台支持通过**********接口对接各应用系统平台支持接入系统控制,未在接入白名单中的系统无法接入单点登录平台,白名单中需给出接入系统的***,***使用正则表达式精确匹配,同时还需给出可调用接口的**列表,未在列表中的**无法调用接口支持接入应用有效性管理,可临时停用应用,停用的应用无法进行登入支持通过正则表达式对**********接入的应用系统进行准入控制,并且支持对调用者**的白名单管理。支持接入应用的生命周期管理,对于接入应用可以设置有效期,在到达有效期后应用自动停用
对于每个接入平台的应用,管理员可配置用户属性列表,在列表中的属性将在用户完成登入后返回给应用系统**********对接需支持基于白名单和黑名单的应用准入控制,当配置白名单时只有白名单中的用户可登录系统,当配置黑名单时,只有黑名单中的用户无法登录系统。**********对接的黑白名单需同时支持动态和静态两种名单,静态名单是一组固定不变的名单,动态名单基于用户属性规则配置,根据用户的属性实时变化。支持对接入系统进行优先级排序,若应用的***同时匹配白名单中多个系统,平台自动匹配优先级较高的应用。****对接方式平台支持基于****协议的应用系统对接****需支持基于用户名密码访问控制****需支持基于**白名单的访问控制支持针对不同接入系统配置****检索返回字段限制,并展示实际效果。*****认证支持******.*协议,可提供*****开放服务,应用系统可通过*****接口来获取授权服务,未注册的应用不允许授权。平台管理信息发布支持登录页面背景(包含图和文字)的在线配置,以便更改登录页内容,发挥宣传作用。登录页面背景图和文字需支持定期发布功能,管理员可在后台配置背景有效期。当同时有多个背景生效时,支持对背景进行轮播操作日志记录管理员对人员、账号的操作,同时需支持对管理员操作日志进行查询,查询结果应至少管理员对
人员、账号的操作包含以下内容:操作人、操作时间、操作人**、操作前数据内容、操作后数据内容,以便对管理员操作进行审计日志导出支持将日志输出至******服务器消息提醒在密码变动、用户登录、暴力破解等场景下可实现消息提醒。管理员可配置用户账号使用或修改时是否进行消息推送,同时也可将配置权限交给用户,由用户选择需要接收哪个系统的登录通知或账号变更通知。定时任务支持设置定时执行数据操作,定时可设置一次性执行,也可设置周期执行,周期执行任务提供*******形式的执行策略配置定时任务支持任务类型包括数据库语句和***过程。安全参数支持配置闲置账号锁定阈值,当账号未使用的时长达到阈值时自动锁定账号支持密码复杂度策略定义,包括密码长度,包含数字/字母/特殊字符,设置生效后,用户无法修改、设置不满足密码强度要求的密码支持密码有效期设置,支持密码到期提醒设置,支持密码到期强制修改设置。*、建设原则子模块招标要求先进性和实用性系统设计既要采用超前思维,先进技术和系统工程方法,又要注意思维的合理性,技术的可行性,方法的正确性。系统的设计,能反映当今的先进技术和理念,系统须采用面向未来发展的架构设计,以支持各种可以预见的变化。标准化和规范性平台建设技术路线应充分支持我校数字校园统筹规划的应用需求和未来发展,符合并遵守学校制定的教育信息化技术规范、软
件设计与开发规范、软件设计开发标准等标准规范要求。要通过规范的数据标准将我校资产投入与成果数据进行梳理整合,提升资源管理的便捷。可靠性和稳定性要求解决方案和产品必须具有良好的可管理性和可维护性,便于日常运行维护和管理。可扩展性和开放性系统的软硬件环境必须有良好的平滑可扩充性,以适应持续不断的新的应用系统和信息资源的集成。能够支持跨平台、分布式环境运行,能够为后期自主开发提供足够空间。提供相关接口,与数字校园平台、移动门户等其他系统整合,可根据其他系统的数据资源需求,为其他系统提供必要信息。安全性和保密性按照系统性、立体性设计思路,在系统硬件、网络、数据库、数据权限方面,提供全面的、多级别的安全防护设计方案;采取措施进行包括系统安全机制、安全策略、数据存取的权限控制等保护;保证用户的合法性和用户使用应用信息资源的权力,避免内部敏感信息泄漏和服务所提供的信息资源被非法访问;建立数据完整性检验机制,保证收发双方数据的一致性,防止信息被非授权修改;数据应采用异地备份。*、技术要求子模块招标要求开放性平台所采用的认证协议有良好的开放性,兼容业界通用标准先进性平台软件升级所使用的中间件和开源软件版本为*年以内发布的稳定版本,以满足平台未来平稳升级和安全运行要求,要求在满足稳定性和性能要求的前提下,优先使用最新的开源中间件产品;若产品使用***实现单点登录,要求采用****.*及以上版本兼容性兼容主流浏览器(如**、******、火狐等),面向用户的服务需支持移动端(安卓和***双系统),包括账号开通、密码修改等支持****、*****系统环境部署可靠性支持集群部署,关键节点可实现高可用,服务器断电重启后服务可自动恢复
认证服务不受****服务状态影响,支持在****停机维护情况下提供系统认证服务。规范性系统数据模型需符合关系型数据库设计规范界面美观,页面功能设计合理,符合通用**设计规范日志审计关键操作提供审计日志用户登录及漫游提供日志审计攻击防护平台所有服务需通过*****访问,防止中间人攻击平台应具备对***注入攻击的防护能力密码加密平台应对用户密码进行加密存储,支持加密算法平滑升级,可同时兼容升级前后加密算法,加密算法应包括但不限于:***、****、*******、******、******、******以及校方指定的自定义加密算法等支持*******等**认证的***********密码存储和比对方式,无缝接入*******认证体系数据备份平台支持对用户数据(结构化数据和非结构化数据)进行定期全量和增量备份运行安全平台具备完善的运行环境安全加固方案,能够防御针对操作系统已知漏洞的攻击平台所使用的中间件、依赖的开源库无已知漏洞(四)支持服务及其他要求*、系统中使用的各类基础数据须与学校数据共享交换平台内的权威数据同步并保持定时更新;*、系统须以数据表或数据视图的方式,按照学校数据标准和要求向学校数据共享交换平台提供系统所涉及业务产生的业务结果和过程数据;*、系统须在学校信息门户建立首页和各个功能模块的单点登录链接,并为信息门户提供相关数据推送服务或提供***********接口,以便师生在门户中可直接显示相关的统计数据。*、系统须与学校的消息中心和任务中心对接,将面向师生的消息提醒和代办任
务统一推送至学校平台以便于师生使用。*、系统移动端功能页面须与学校移动校园平台(微信企业号和微信小程序)集成,适配学校移动校园平台,不开发独立的***、微信服务号、小程序等载体。*、兼容学校移动校园身份认证功能,实现移动端静默登录。*、厂商须提供*年免费质保服务。*、提供服务体系、售后服务内容、培训内容和保证培训成效的措施。*、根据本项目实际情况提供详细的项目组织及实施方案:能够准确、有效、完整的项目进度安排、建设进度保障措施及合理的人员安排。
附件下载:
本项目采购需遵照《重庆大学采购管理办法》、《重庆大学校级采购实施细则》、《重庆大学零星采购实施细则》执行,适用“有效最低价成交原则”,成交后将采用电子签章的方式签要对应的
《重庆大学货物采购合同书》,请各位供应商仔细阅读本项目采购公告、《重庆大学货物采购合同书》、《云采通电子印章使用规则》,确认其报价及后续履约完全符合上述要求。成交后,供应商以任何理由不签署合同或者签署合同后不按照合同履约的,均将列为不诚信供应商,一至三年内禁止参加重庆大学采购活动。
