IAM系統(tǒng)平臺簡要介紹

1、IAM系統(tǒng)平臺簡要介紹2015.3IAM平臺介紹需求分析架構(gòu)介紹實施過程身份管理和訪問控制面臨的挑戰(zhàn)n用戶賬號不統(tǒng)一，沒有實現(xiàn)賬號之間的信息同步；n一個賬號多人使用；n在員工離職、換崗過程中無法對賬號變更進行及時有效的管理。n用戶身份認證相對獨立，沒有統(tǒng)一規(guī)劃；n各個信息系統(tǒng)訪問控制獨立，沒有建立統(tǒng)一的單點登錄體系；n大多數(shù)系統(tǒng)采用賬號與口令認證方式，安全強度低；n所有授權管理和訪問控制缺少完整性、真實性、抗抵賴性等安全信任保障。n用戶管理分散，管理的流程各自獨立，缺少一套用戶身份管理系統(tǒng)；n賬號和員工沒有對應關系，賬號以通用的名稱作為用戶名身份管理和訪問控制面臨的挑戰(zhàn)1，用戶提出帳號申請，用

2、戶提出帳號申請2，不同的申請，不同的申請?zhí)幚砹鞒烫幚砹鞒?，策略、，策略、角色安全合角色安全合規(guī)檢查規(guī)檢查4，審核批準，審核批準5，服務請求，服務請求流轉(zhuǎn)流轉(zhuǎn)6，系統(tǒng)管理員，系統(tǒng)管理員手工創(chuàng)建帳號手工創(chuàng)建帳號7，用戶開始使，用戶開始使用帳號用帳號身份管理和訪問控制需求u身份管理需求提供用戶身份信息的集中管理和用戶賬號信息的統(tǒng)一與同步功能；提供全生命周期的用戶信息管理，包括注冊、審批、修改、禁用、刪除等流程化的操作；提供支持全局唯一的用戶身份標識功能；提供支持多重身份的對應關系及屬性連接功能；提供支持多種業(yè)務平臺的賬號管理連接功能；提供唯一用戶身份管理端口功能，實現(xiàn)自動化用戶信息更新；提供系統(tǒng)用

3、戶自助服務u訪問控制需求與各信息系統(tǒng)集成，為信息系統(tǒng)提供統(tǒng)一身份認證及授權功能；提供多種認證方式的連接和集成；提供單點登錄SSO功能提供基于策略的訪問控制支持大規(guī)模用戶信息存儲及訪問支持分級授權系統(tǒng)框架設計根據(jù)以往實施經(jīng)驗得到的建設需求與功能需求，結(jié)合對身份管理與認證權限管理框架，企業(yè)用戶身份和認證訪問管理系統(tǒng)框架如右圖所示：PortalMailOA主機網(wǎng)絡數(shù)據(jù)庫系統(tǒng)邏輯框架用戶身份全生命周期管理集中的、主動的、基于策略的賬號管理身份注冊角色分配賬號分配訪問授權身份清理賬號中止帳號訪問操作審計用戶崗位變化 用戶身份管理邏輯流程用戶目錄用戶身份管理系統(tǒng)系統(tǒng)管理員業(yè)務系統(tǒng)/設備管理員審批流程賬號同

4、步適配器用戶身份管理用戶同步工具原始用戶信息（HR、OA等）業(yè)務系統(tǒng)審計系統(tǒng)訪問控制邏輯架構(gòu)用戶目錄訪問授權策略庫Web瀏覽器統(tǒng)一訪問認證服務器系統(tǒng)資源訪問管理服務器AIXLinux企業(yè)級服務總線系統(tǒng)票據(jù)管理系統(tǒng)農(nóng)村服務金融系統(tǒng)票交系統(tǒng)中間業(yè)務平臺強認證服務器審計系統(tǒng)業(yè)務系統(tǒng)資源用戶身份管理用戶授權邏輯架構(gòu)訪問授權策略庫賬號信息回收賬號和角色信息同步業(yè)務/主機/系統(tǒng)管理員業(yè)務人員用戶目錄統(tǒng)一訪問認證主帳號授權從帳號授權賬號同步工具實體內(nèi)鑒權審計系統(tǒng)集中的審計中心哪些人訪問了系統(tǒng)？具體時間段訪問量的大小?今天上午有多少人訪問郵箱？上個月有多少人進行了賬號申請？具體權限？管理員上周的賬號操作都有哪

5、些？誰審批了我的流程？有哪些不合規(guī)的操作？系統(tǒng)中有哪些警告？系統(tǒng)架構(gòu)設計-身份管理和訪問控制信息流根據(jù)現(xiàn)狀與需求分析得到的建設需求與功能需求，結(jié)合對身份管理與認證權限管理技術的選擇，我們可以進一步細化和充實系統(tǒng)框架，從而設計出身份管理與認證平臺的功能架構(gòu)。項目實施思路測試環(huán)境部署與實施u 帳號梳理和建立企業(yè)目錄u 測試環(huán)境準備與搭建u 身份管理和訪問控制組件開發(fā)和測試u 應用集成測試和聯(lián)調(diào)生產(chǎn)環(huán)境部署與實施u 生產(chǎn)系統(tǒng)部署u 數(shù)據(jù)初始化u 身份管理和訪問控制組件開發(fā)和測試u 應用集成測試和聯(lián)調(diào)系統(tǒng)培訓運行和維護u 生產(chǎn)環(huán)境試運行u 系統(tǒng)正式運行系統(tǒng)總體架構(gòu)設計u 總體邏輯架構(gòu)設計u 總體部署架

6、構(gòu)選擇u 系統(tǒng)高可用性設計帳號生命周期管理設計u 帳號管理策略設計u 密碼管理策略設計u LDAP架構(gòu)規(guī)劃u 帳號命名規(guī)則設計u 數(shù)據(jù)初始化策略設計認證和授權設計u 認證和授權策略設計應用集成方案設計u 帳號同步方案設計u 單點登錄方案設計帳號管理調(diào)研和分析u調(diào)研人員、組織機構(gòu)應用系統(tǒng)、主機系統(tǒng)帳號信息u確定組織權威用戶數(shù)據(jù)源u分析應用、主機帳號數(shù)據(jù)和權威數(shù)據(jù)的差異功能性需求定義u帳號管理u訪問控制u授權管理u審計管理非功能性需求定義u系統(tǒng)高可用性需求u可擴展性需求u可維護性需求u可操作性需求需求定義系統(tǒng)設計系統(tǒng)部署TIM (Tivoli Implementation Methodology)實施方法論支撐項目管理（項目管理方法論支撐）項目實施規(guī)劃(案例，僅供參考)M12M9M8M7M6M5M4M3M2M1需求分析與設計用戶管理和訪問控制集成測試與二次開發(fā)系統(tǒng)集成聯(lián)調(diào)測試系統(tǒng)投產(chǎn)部署試運行項目管理需求調(diào)研與分析系統(tǒng)架構(gòu)設計測試環(huán)境搭建用戶身份管