IAM系統(tǒng)平臺簡要介紹

1、IAM系統(tǒng)平臺簡要介紹2015.3IAM平臺介紹需求分析架構(gòu)介紹實(shí)施過程身份管理和訪問控制面臨的挑戰(zhàn)n用戶賬號不統(tǒng)一，沒有實(shí)現(xiàn)賬號之間的信息同步；n一個(gè)賬號多人使用；n在員工離職、換崗過程中無法對賬號變更進(jìn)行及時(shí)有效的管理。n用戶身份認(rèn)證相對獨(dú)立，沒有統(tǒng)一規(guī)劃；n各個(gè)信息系統(tǒng)訪問控制獨(dú)立，沒有建立統(tǒng)一的單點(diǎn)登錄體系；n大多數(shù)系統(tǒng)采用賬號與口令認(rèn)證方式，安全強(qiáng)度低；n所有授權(quán)管理和訪問控制缺少完整性、真實(shí)性、抗抵賴性等安全信任保障。n用戶管理分散，管理的流程各自獨(dú)立，缺少一套用戶身份管理系統(tǒng)；n賬號和員工沒有對應(yīng)關(guān)系，賬號以通用的名稱作為用戶名身份管理和訪問控制面臨的挑戰(zhàn)1，用戶提出帳號申請，用

2、戶提出帳號申請2，不同的申請，不同的申請?zhí)幚砹鞒烫幚砹鞒?，策略、，策略、角色安全合角色安全合規(guī)檢查規(guī)檢查4，審核批準(zhǔn)，審核批準(zhǔn)5，服務(wù)請求，服務(wù)請求流轉(zhuǎn)流轉(zhuǎn)6，系統(tǒng)管理員，系統(tǒng)管理員手工創(chuàng)建帳號手工創(chuàng)建帳號7，用戶開始使，用戶開始使用帳號用帳號身份管理和訪問控制需求u身份管理需求提供用戶身份信息的集中管理和用戶賬號信息的統(tǒng)一與同步功能；提供全生命周期的用戶信息管理，包括注冊、審批、修改、禁用、刪除等流程化的操作；提供支持全局唯一的用戶身份標(biāo)識功能；提供支持多重身份的對應(yīng)關(guān)系及屬性連接功能；提供支持多種業(yè)務(wù)平臺的賬號管理連接功能；提供唯一用戶身份管理端口功能，實(shí)現(xiàn)自動化用戶信息更新；提供系統(tǒng)用

3、戶自助服務(wù)u訪問控制需求與各信息系統(tǒng)集成，為信息系統(tǒng)提供統(tǒng)一身份認(rèn)證及授權(quán)功能；提供多種認(rèn)證方式的連接和集成；提供單點(diǎn)登錄SSO功能提供基于策略的訪問控制支持大規(guī)模用戶信息存儲及訪問支持分級授權(quán)系統(tǒng)框架設(shè)計(jì)根據(jù)以往實(shí)施經(jīng)驗(yàn)得到的建設(shè)需求與功能需求，結(jié)合對身份管理與認(rèn)證權(quán)限管理框架，企業(yè)用戶身份和認(rèn)證訪問管理系統(tǒng)框架如右圖所示：PortalMailOA主機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)邏輯框架用戶身份全生命周期管理集中的、主動的、基于策略的賬號管理身份注冊角色分配賬號分配訪問授權(quán)身份清理賬號中止帳號訪問操作審計(jì)用戶崗位變化 用戶身份管理邏輯流程用戶目錄用戶身份管理系統(tǒng)系統(tǒng)管理員業(yè)務(wù)系統(tǒng)/設(shè)備管理員審批流程賬號同

4、步適配器用戶身份管理用戶同步工具原始用戶信息（HR、OA等）業(yè)務(wù)系統(tǒng)審計(jì)系統(tǒng)訪問控制邏輯架構(gòu)用戶目錄訪問授權(quán)策略庫Web瀏覽器統(tǒng)一訪問認(rèn)證服務(wù)器系統(tǒng)資源訪問管理服務(wù)器AIXLinux企業(yè)級服務(wù)總線系統(tǒng)票據(jù)管理系統(tǒng)農(nóng)村服務(wù)金融系統(tǒng)票交系統(tǒng)中間業(yè)務(wù)平臺強(qiáng)認(rèn)證服務(wù)器審計(jì)系統(tǒng)業(yè)務(wù)系統(tǒng)資源用戶身份管理用戶授權(quán)邏輯架構(gòu)訪問授權(quán)策略庫賬號信息回收賬號和角色信息同步業(yè)務(wù)/主機(jī)/系統(tǒng)管理員業(yè)務(wù)人員用戶目錄統(tǒng)一訪問認(rèn)證主帳號授權(quán)從帳號授權(quán)賬號同步工具實(shí)體內(nèi)鑒權(quán)審計(jì)系統(tǒng)集中的審計(jì)中心哪些人訪問了系統(tǒng)？具體時(shí)間段訪問量的大小?今天上午有多少人訪問郵箱？上個(gè)月有多少人進(jìn)行了賬號申請？具體權(quán)限？管理員上周的賬號操作都有哪

5、些？誰審批了我的流程？有哪些不合規(guī)的操作？系統(tǒng)中有哪些警告？系統(tǒng)架構(gòu)設(shè)計(jì)-身份管理和訪問控制信息流根據(jù)現(xiàn)狀與需求分析得到的建設(shè)需求與功能需求，結(jié)合對身份管理與認(rèn)證權(quán)限管理技術(shù)的選擇，我們可以進(jìn)一步細(xì)化和充實(shí)系統(tǒng)框架，從而設(shè)計(jì)出身份管理與認(rèn)證平臺的功能架構(gòu)。項(xiàng)目實(shí)施思路測試環(huán)境部署與實(shí)施u 帳號梳理和建立企業(yè)目錄u 測試環(huán)境準(zhǔn)備與搭建u 身份管理和訪問控制組件開發(fā)和測試u 應(yīng)用集成測試和聯(lián)調(diào)生產(chǎn)環(huán)境部署與實(shí)施u 生產(chǎn)系統(tǒng)部署u 數(shù)據(jù)初始化u 身份管理和訪問控制組件開發(fā)和測試u 應(yīng)用集成測試和聯(lián)調(diào)系統(tǒng)培訓(xùn)運(yùn)行和維護(hù)u 生產(chǎn)環(huán)境試運(yùn)行u 系統(tǒng)正式運(yùn)行系統(tǒng)總體架構(gòu)設(shè)計(jì)u 總體邏輯架構(gòu)設(shè)計(jì)u 總體部署架

6、構(gòu)選擇u 系統(tǒng)高可用性設(shè)計(jì)帳號生命周期管理設(shè)計(jì)u 帳號管理策略設(shè)計(jì)u 密碼管理策略設(shè)計(jì)u LDAP架構(gòu)規(guī)劃u 帳號命名規(guī)則設(shè)計(jì)u 數(shù)據(jù)初始化策略設(shè)計(jì)認(rèn)證和授權(quán)設(shè)計(jì)u 認(rèn)證和授權(quán)策略設(shè)計(jì)應(yīng)用集成方案設(shè)計(jì)u 帳號同步方案設(shè)計(jì)u 單點(diǎn)登錄方案設(shè)計(jì)帳號管理調(diào)研和分析u調(diào)研人員、組織機(jī)構(gòu)應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)帳號信息u確定組織權(quán)威用戶數(shù)據(jù)源u分析應(yīng)用、主機(jī)帳號數(shù)據(jù)和權(quán)威數(shù)據(jù)的差異功能性需求定義u帳號管理u訪問控制u授權(quán)管理u審計(jì)管理非功能性需求定義u系統(tǒng)高可用性需求u可擴(kuò)展性需求u可維護(hù)性需求u可操作性需求需求定義系統(tǒng)設(shè)計(jì)系統(tǒng)部署TIM (Tivoli Implementation Methodology)實(shí)施方法論支撐項(xiàng)目管理（項(xiàng)目管理方法論支撐）項(xiàng)目實(shí)施規(guī)劃(案例，僅供參考)M12M9M8M7M6M5M4M3M2M1需求分析與設(shè)計(jì)用戶管理和訪問控制集成測試與二次開發(fā)系統(tǒng)集成聯(lián)調(diào)測試系統(tǒng)投產(chǎn)部署試運(yùn)行項(xiàng)目管理需求調(diào)研與分析系統(tǒng)架構(gòu)設(shè)計(jì)測試環(huán)境搭建用戶身份管