統(tǒng)一身份認(rèn)證平臺

統(tǒng)一身份認(rèn)證平臺統(tǒng)一身份認(rèn)證平臺設(shè)計(jì)方案1〕系統(tǒng)總體設(shè)計(jì)為了加強(qiáng)對業(yè)務(wù)系統(tǒng)和辦公室系統(tǒng)的安全控管，提高息化PKI/CA技術(shù)為根底架構(gòu)的統(tǒng)一身份認(rèn)證效勞平臺。設(shè)計(jì)思想為實(shí)現(xiàn)構(gòu)建針對人員治理層面和應(yīng)用層面的、全面完善的安全管控需要，我們將依據(jù)如下設(shè)計(jì)思想為設(shè)計(jì)并實(shí)施統(tǒng)一身份認(rèn)證效勞平臺解決方案：PKI/CA技術(shù)為根底架構(gòu)的統(tǒng)一身份認(rèn)證效勞平臺，通過集中證書治理、集中賬戶治理、集中授權(quán)治理、集中認(rèn)證治理和集中審計(jì)治理等應(yīng)用模塊實(shí)現(xiàn)所提出的員工統(tǒng)一、系統(tǒng)資源整合、應(yīng)用數(shù)據(jù)共享和全面集中管控的核心目標(biāo)。供給現(xiàn)有統(tǒng)一門戶系統(tǒng)，通過集成單點(diǎn)登錄模塊和調(diào)用統(tǒng)一身份認(rèn)證平臺效勞，實(shí)現(xiàn)針對不同的用戶登錄，可以呈現(xiàn)不同的容?？梢砸罁?jù)用戶的關(guān)注點(diǎn)不同來為用戶供給定制桌面的功能。建立統(tǒng)一身份認(rèn)證效勞平臺，通過使用唯一身份標(biāo)識的數(shù)字證書即可登錄全部應(yīng)用系統(tǒng)，具有良好的擴(kuò)展性和可集成性。LDAPLDAP訪問把握和用戶生命周期維護(hù)治理功能。用戶證書保存在USBKEY中，保證證書和私鑰的安全，并滿足移動辦公的安全需求。平臺介紹以pki/ca技術(shù)為核心，結(jié)合國外先進(jìn)的產(chǎn)品架構(gòu)設(shè)計(jì)，實(shí)現(xiàn)集中的用戶治理、證書治理、認(rèn)證治理、授權(quán)治理、審計(jì)等功能，為多業(yè)務(wù)系統(tǒng)供給統(tǒng)一、安全、有效的配置和效勞，如用戶身份、系統(tǒng)資源、權(quán)限策略、審計(jì)日志等。如以下圖，統(tǒng)一任治理平臺的組件是松散耦合、相互支持和獨(dú)立的。具體功能如下：集中用戶治理系統(tǒng)：完成各系統(tǒng)的用戶息整合，實(shí)現(xiàn)用戶生命周期的集中統(tǒng)一治理，并建立與各應(yīng)用系統(tǒng)的同步機(jī)制，簡化用戶與其賬號的治理簡潔度，降低系統(tǒng)治理的安全風(fēng)險(xiǎn)。集中證書治理系統(tǒng)：集成證書注冊效勞〔RA〕和電子密鑰〔USB-Key〕治理功能，實(shí)現(xiàn)用戶證書申請、審批、核發(fā)、更、撤消等生命周期治理功能，支持第三方電子認(rèn)證效勞。集中認(rèn)證治理系統(tǒng)：實(shí)現(xiàn)多業(yè)務(wù)系統(tǒng)的統(tǒng)一認(rèn)證，支持?jǐn)?shù)字證書、動態(tài)口令、靜態(tài)口令等多種認(rèn)證方式；為企業(yè)供給單點(diǎn)登錄效勞，用戶只需要登錄一次就可以訪問全部相互任的應(yīng)用系統(tǒng)。集中授權(quán)治理系統(tǒng)：依據(jù)企業(yè)安全策略，承受基于角色的訪問把握技術(shù)，實(shí)現(xiàn)支持多應(yīng)用系統(tǒng)的集中、靈敏的訪問把握和授權(quán)治理功能，提高治理效率。集中審計(jì)治理系統(tǒng)：供給全方位的用戶治理、證書治理和認(rèn)證。并支持應(yīng)用系統(tǒng)、用戶登錄和治理。操作等審計(jì)治理。功能總體架構(gòu)總體架構(gòu)圖如下所示：說明：CA安全根底設(shè)施可以承受自建方式，也可以選擇CA。具體包含以下主要功能模塊：身份認(rèn)證中心存儲企業(yè)用戶名目，完成對用戶身份、角色等息的統(tǒng)一治理；授權(quán)和訪問治理系統(tǒng)；訪問策略的定制和治理；用戶授權(quán)息的自動同步；對用戶訪問進(jìn)展實(shí)時(shí)監(jiān)控和安全審計(jì)；身份認(rèn)證效勞身份認(rèn)證前置為應(yīng)用系統(tǒng)供給安全認(rèn)證效勞接口，中轉(zhuǎn)認(rèn)證和訪問懇求；身份認(rèn)證效勞完成對用戶身份的認(rèn)證和角色的轉(zhuǎn)換；訪問把握效勞應(yīng)用系統(tǒng)插件從應(yīng)用系統(tǒng)獵取單點(diǎn)登錄所需的用戶息；用戶單點(diǎn)登錄過程中，生成訪問業(yè)務(wù)系統(tǒng)的懇求，對敏感息加密簽名；CA中心與數(shù)字證書網(wǎng)上受理系統(tǒng)用戶身份認(rèn)證和單點(diǎn)登錄過程中所需證書的簽發(fā)；用戶身份認(rèn)證憑證〔USB〕的制作。平臺總體部署集中部署方式：全部模塊部署在同一臺效勞器上，為企業(yè)供給統(tǒng)一任治理效勞。部署方式主要是承受專有定制硬件效勞設(shè)備，將集中治理、集中授權(quán)治理、集中認(rèn)證治理和集中審計(jì)治理等功能效勞模塊統(tǒng)一部署和安裝在該硬件設(shè)備當(dāng)中，通過連接外部效勞區(qū)域當(dāng)中的從LDAP名目效勞〔現(xiàn)有AD名目效勞〕來完成對用戶的操作和治理。技術(shù)實(shí)現(xiàn)方案技術(shù)原理基于數(shù)字證書的單點(diǎn)登錄技術(shù)，使各息資源和本防護(hù)系統(tǒng)站成為一個(gè)有機(jī)的整體。通過在各息資源端安裝訪問把握代理中間件，和防護(hù)系統(tǒng)的認(rèn)證效勞器通，利用系統(tǒng)供給的安全保障和息服其原理如下：每個(gè)息資源配置一個(gè)訪問代理，并為不同的代理安排不同的數(shù)字證書，用來保證和系統(tǒng)效勞之間的安全通。用戶登錄中心后，依據(jù)用戶供給的數(shù)字證書確認(rèn)用戶的身份。訪問一個(gè)具體的息資源時(shí)，系統(tǒng)效勞用訪問代理對應(yīng)的數(shù)字證書,把用戶的身份息后以數(shù)字封的形式傳遞給相應(yīng)的息資源效勞器。息資源效勞器在承受到數(shù)字封后，通過訪問代理，進(jìn)展解密驗(yàn)證，得到用戶身份。依據(jù)用戶身份，進(jìn)展部權(quán)限的認(rèn)證。統(tǒng)一身份認(rèn)證用戶認(rèn)證統(tǒng)一身份治理與訪問把握系統(tǒng)用戶數(shù)據(jù)獨(dú)立于各應(yīng)用系統(tǒng)，對于數(shù)字證書的用戶來說，用戶證書的序列號平臺中是唯一的，對于非證書用戶來說，平臺用戶ID〔passport〕是唯一的，由其作為平臺用戶的統(tǒng)一標(biāo)識。如以以下圖所示：在通過平臺統(tǒng)一認(rèn)證后，可以從登錄認(rèn)證結(jié)果中獵取平臺用戶證書的序列號或平臺用戶ID；再由其映射不同應(yīng)用系統(tǒng)的用戶賬戶；最終用映射后的賬戶訪問相應(yīng)的應(yīng)用系統(tǒng)；當(dāng)增加一個(gè)應(yīng)用系統(tǒng)時(shí)，只需要增加平臺用戶證書序列號ID與該應(yīng)用系統(tǒng)賬戶的一個(gè)映射關(guān)系即可，不會對其它應(yīng)用系統(tǒng)產(chǎn)生任何影響，從而解決登錄認(rèn)證時(shí)不同應(yīng)用系統(tǒng)之間用戶穿插和用戶賬戶不同的問題。單點(diǎn)登錄過程均通過安全通道來保證數(shù)據(jù)傳輸?shù)陌踩Ｏ到y(tǒng)接入應(yīng)用系統(tǒng)接入平臺的架構(gòu)如以以下圖所示：系統(tǒng)供給兩種應(yīng)用系統(tǒng)接入方式，以快速實(shí)現(xiàn)單點(diǎn)登錄：a.反向代理〔ReverseProxy〕方式應(yīng)用系統(tǒng)無需開發(fā)、無需改動。對于不能作改動或沒有原廠商協(xié)作的應(yīng)用系統(tǒng)，可以使用該方式接入統(tǒng)一用戶治理平臺。反向代理技術(shù)：實(shí)現(xiàn)方式為松耦合，承受反向代理模塊和單點(diǎn)登錄〔SSO〕認(rèn)證效勞進(jìn)展交互驗(yàn)證用戶息，完成應(yīng)用系統(tǒng)單點(diǎn)登錄。b.Plug-in方式Plug-in：實(shí)現(xiàn)方式為緊耦合，承受集成插件的方式與單點(diǎn)登錄〔SSO〕認(rèn)證效勞進(jìn)展交互驗(yàn)證用戶息，完成應(yīng)用系統(tǒng)單點(diǎn)登錄。API，通過簡潔調(diào)用即可實(shí)現(xiàn)單點(diǎn)登錄〔SSO〕。統(tǒng)一權(quán)限治理統(tǒng)一身份治理與訪問把握系統(tǒng)的典型授權(quán)治理模型如以以下圖所示：用戶授權(quán)的根底是對用戶的統(tǒng)一治理，對于在用戶息庫中注冊的用戶，通過自動授權(quán)或手工授權(quán)方式，為用戶安排角色、對應(yīng)用系統(tǒng)的訪問權(quán)限、應(yīng)用系統(tǒng)操作權(quán)限，完成對用戶的授權(quán)。假設(shè)用戶在用戶息庫中被刪除，則其相應(yīng)的授權(quán)息也將被刪除。完整的用戶授權(quán)流程如下：1、用戶息統(tǒng)一治理，包括了用戶的注冊、用戶息變更、用戶注銷；2、權(quán)限治理系統(tǒng)自動獵取增〔或注銷〕用戶息，并依據(jù)設(shè)置自動安排〔或刪除〕默認(rèn)權(quán)限和用戶角色；3、用戶治理員可以基于角色調(diào)整用戶授權(quán)〔適用于用戶權(quán)限批量處理〕或直接調(diào)整單個(gè)用戶的授權(quán)；4、授權(quán)息記錄到用戶屬性證書或用戶息庫〔關(guān)系型數(shù)據(jù)庫、LDAP名目效勞〕中；5、用戶登錄到應(yīng)用系統(tǒng)，由身份認(rèn)證系統(tǒng)檢驗(yàn)用戶的權(quán)限息并返回給應(yīng)用系統(tǒng)，滿足應(yīng)用系統(tǒng)的權(quán)限要求可以進(jìn)展操作，否則拒絕操作；6、用戶的授權(quán)息和操作息均被記錄到日志中，可以形成完整的用戶授權(quán)表、用戶訪問統(tǒng)計(jì)表。安全通道供給的安全通道是利用數(shù)字簽名進(jìn)展身份認(rèn)證，承受數(shù)字封進(jìn)展息加密的基于SSL協(xié)議的安全通道產(chǎn)品，實(shí)現(xiàn)了效勞器端和客戶端嵌入式的數(shù)據(jù)安全隔離機(jī)制。安全通道的主要用途是在兩個(gè)通應(yīng)用程序之間供給私密性和牢靠性，這個(gè)過程通過3個(gè)元素來完成：握手協(xié)議：這個(gè)協(xié)議負(fù)責(zé)協(xié)商用于客戶機(jī)和效勞器之間會話的加密參數(shù)。當(dāng)一個(gè)SSL客戶機(jī)和效勞器第一次開頭通時(shí)，它們在一個(gè)協(xié)議版本上達(dá)成全都，選擇加密算法和認(rèn)證方式，并使用公鑰技術(shù)來生成共享密鑰。記錄協(xié)議：這個(gè)協(xié)議用于交換應(yīng)用數(shù)據(jù)。應(yīng)用程序消息被分割成可治理的數(shù)據(jù)塊，還可以壓縮，并產(chǎn)生一個(gè)MAC〔消息認(rèn)證代碼〕，然后結(jié)果被加密并傳輸。承受方承受數(shù)據(jù)并對它解密，校MAC，解壓并重組合，把結(jié)果供給應(yīng)應(yīng)用程序協(xié)議。警告協(xié)議：這個(gè)協(xié)議用于標(biāo)示在什么時(shí)候發(fā)生了錯(cuò)誤或兩個(gè)主機(jī)之間的會話在什么時(shí)候終止。平臺功能說明平臺主要供給集中用戶治理、集中證書治理、集中認(rèn)證管理、集中授權(quán)治理和集中審計(jì)等功能，總體功能模塊如以以下圖所示：集中用戶治理隨著企業(yè)整體息化的進(jìn)展，大致都經(jīng)受了網(wǎng)絡(luò)根底建設(shè)階段、應(yīng)用系統(tǒng)建設(shè)階段，目前正面臨著實(shí)現(xiàn)納入到息化環(huán)境中人員的統(tǒng)一治理和安全把握階段。隨著企業(yè)的網(wǎng)絡(luò)根底建設(shè)的不斷完善和應(yīng)用系統(tǒng)建設(shè)的不斷擴(kuò)展，在息化促進(jìn)業(yè)務(wù)加速進(jìn)展的同時(shí)，企業(yè)息化規(guī)模也在快速擴(kuò)大以滿足業(yè)務(wù)的進(jìn)展需要，更多的人員被融入息化環(huán)境，由此突出反映的大事是無論是網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)，其最終的主體將是企業(yè)外的人員，每一為人員擔(dān)當(dāng)著使用、治理、授權(quán)、應(yīng)用操作等角色。因此對于人員的可身份的治理顯得尤為重要，必將成為息化進(jìn)展的重中之重，只有加強(qiáng)人員的可身份治理，才能做到大門的安全防護(hù)，才能為企業(yè)的治理、業(yè)務(wù)進(jìn)展構(gòu)建可的息化環(huán)境，特別是承受數(shù)字證書認(rèn)證和應(yīng)用后，完全可以做到全過程可身份的治理，確保每個(gè)操作都是可得、可賴的。集中用戶治理系統(tǒng)主要是完成各系統(tǒng)的用戶息整合，實(shí)現(xiàn)用戶生命周期的集中統(tǒng)一治理，并建立與各應(yīng)用系統(tǒng)的同步機(jī)制，簡化用戶與其賬號的治理簡潔度，降低系統(tǒng)用戶治理的安全風(fēng)險(xiǎn)。治理效勞對象集中用戶治理主要面對企業(yè)外部的人、資源等進(jìn)展治理和供給效勞，具體對象可以分為以下幾類：最終用戶：自然人，包括自然人身份和相關(guān)息。主賬號：與自然人唯一對應(yīng)的身份標(biāo)識，一個(gè)主賬號只能與一個(gè)自然人對應(yīng)，而一個(gè)自然人可能存在多個(gè)主賬號。從賬號：與具體角色對應(yīng)，每一個(gè)應(yīng)用系統(tǒng)部設(shè)置的用戶賬號，在統(tǒng)一任治理平臺中每個(gè)主賬號可以擁有多個(gè)從，也就是多種身份角色〔即一個(gè)日然人在企業(yè)部具備多套應(yīng)用系統(tǒng)賬號〕。d)資源：用戶使用或治理的對象，主要是指應(yīng)用系統(tǒng)與應(yīng)用系統(tǒng)下具體功能。具體效勞對象之間的映射對應(yīng)關(guān)系如以以下圖所示：用戶身份息設(shè)計(jì)用戶類型用戶是訪問資源的主體，人是最主要的用戶類型：多數(shù)的業(yè)務(wù)由人發(fā)起，原始的數(shù)據(jù)由人輸入，關(guān)鍵的流程由人把握。人又可再分為：員工、外部用戶。員工即中心的職員，是平臺主要的關(guān)注的用戶群體；外部用戶是指以獨(dú)立身分訪問中心應(yīng)用系統(tǒng)的其他用戶如投標(biāo)人、招標(biāo)人、招標(biāo)代理等。4.2.3.身份息存儲身份息模型如下：對各類用戶身份建立統(tǒng)一的用戶身份標(biāo)識。用戶身份標(biāo)識是統(tǒng)一用戶治理系統(tǒng)部使用的標(biāo)識，用于識別全部用戶的身份息。用戶標(biāo)識不同于員工號或號，需要建立相應(yīng)的編碼規(guī)。為了保證用戶身份的真實(shí)、有效性，可以通過數(shù)字證書認(rèn)證的方式進(jìn)展身份鑒別并與用戶身份標(biāo)識進(jìn)展唯一對應(yīng)。用戶根本息保存用戶最主要的息屬性，由于其它系統(tǒng)中，如HR中還保存有用戶更完整的息，因此需要建立與這些系統(tǒng)的息的比照關(guān)系，所以需要保存用戶在這些系統(tǒng)中用戶息的索引，便于關(guān)聯(lián)查詢?；诜謾?quán)、分級的治理需要，用戶身份息需要將用戶息按照所屬機(jī)構(gòu)和崗位級別進(jìn)展分類，便于劃分安全治理域，將用戶息集中存儲在總部，以與治理域的劃分。用戶認(rèn)證息治理用戶的認(rèn)證方式與各種認(rèn)證方式對應(yīng)的認(rèn)證息，如用戶名/口令，數(shù)字證書等。由于用戶在各應(yīng)用系統(tǒng)中各自具有賬號和相關(guān)口令，為了保證在平臺實(shí)施后可以使原有系統(tǒng)仍可以依據(jù)原有賬號方式操作，需要建立用戶標(biāo)識與應(yīng)用系統(tǒng)中賬號的比照關(guān)系。授權(quán)息是對用戶使用各系統(tǒng)的訪問策略，給用戶賜予系統(tǒng)中的角色和其它屬性。4.2.3.身份息存儲為了便利對人員身份的治理，集中用戶系統(tǒng)承受樹形架構(gòu)LDAP?？梢酝ㄟ^中心部已有的人員息治理系統(tǒng)當(dāng)中依據(jù)策略進(jìn)展讀寫操作，目前主要支持以下數(shù)據(jù)源類型：a)WindowsActiveDirectory〔AD〕b)OpenLdapc)IBMDirectoryServer〔IDS〕用戶生命周期治理用戶生命周期，主要關(guān)注的是用戶的入職、用戶賬戶創(chuàng)立、用戶身份標(biāo)識〔數(shù)字證書的頒發(fā)〕、用戶屬性變更、用戶賬戶注銷、用戶歸檔等流程的自動化治理，這一治理流程又可稱為用戶生命周期管理，如以以下圖所示：由于要賜予用戶可的身份標(biāo)識，所以需要通過數(shù)字證書認(rèn)證的方式來實(shí)現(xiàn)，在用戶生命周期治理過程中圍繞用戶包含了基于的生命周期和數(shù)字證書的生命周期治理的容。數(shù)字證書主要是與用戶的主賬戶標(biāo)識進(jìn)展唯一綁定，在用戶的使用和屬性變更過程中數(shù)字證書不需要發(fā)生任何轉(zhuǎn)變，唯有在用戶進(jìn)展注銷和歸檔過程中，與其相匹配的數(shù)字證書也同樣需要進(jìn)展撤消和歸檔操作。用戶身份息的維護(hù)目前集中用戶治理系統(tǒng)中對用戶身份息的維護(hù)主要以企業(yè)已存在的AD域和LDAP作為根底數(shù)據(jù)源，集中用戶治理系統(tǒng)作為用戶息維護(hù)的主要入口，可以由人力資源部門的相應(yīng)人員執(zhí)行用戶賬戶的創(chuàng)立、修改、刪除、編輯、查詢、以與數(shù)字證書的發(fā)放。AD域中的用戶息變動通過適配器被平臺感知，并自動同步到平臺用戶身份息存儲〔名目效勞器〕中；平臺的用戶治理員也可以直接修改平臺中集中存儲的用戶身份息，再由平臺同步到各個(gè)應(yīng)用系統(tǒng)中。集中證書治理集中證書治理功能主要是針對用戶的CA系統(tǒng)，包括：a)證書申請證書制作證書生命周期治理〔有效期、審核、頒發(fā)、撤消、更、查詢、歸檔〕證書有效性檢查集中證書治理功能集支持多種CA〔自建和第三方效勞〕RA從技術(shù)上與治理上以靈敏的實(shí)現(xiàn)模式滿足用戶對證書集中治理的迫切需求，解決治理員對多平臺進(jìn)展操作與維護(hù)困難的問題。集中證書治理功能特點(diǎn)集中證書治理功能的實(shí)現(xiàn)就是通過集成證書注冊效勞〔RA〕和電子密鑰〔USB-Key〕治理功能。集中制證集中制證主要結(jié)合本地?cái)?shù)據(jù)源中的數(shù)據(jù)為用戶進(jìn)展集中制證，包括集中申請、自動審批。通過CA的配置路徑，訪問指定的CA系統(tǒng)；CA系統(tǒng)簽發(fā)數(shù)字證書并返回給治理員；治理員將證書裝入U(xiǎn)BSKey,制證成功.將數(shù)字證書發(fā)送給最終用戶。證書生命周期治理通過集中證書治理功能可實(shí)現(xiàn)對所制證書進(jìn)展證書的生命周期治理，主要包括：證書的查詢、撤消等，同時(shí)還可以實(shí)現(xiàn)對證書有效性的檢查。證書有效性檢查，可支持與CA系統(tǒng)的CRL〔證書掉銷列表〕CRL列表。用戶通過證書認(rèn)證方式登錄“登錄門戶”；將用戶的證書息〔包括證書屬性、有效期等〕提交到“證書治理模塊”；效勞檢查證書息，假設(shè)有效，將有效值返回“證書治理模塊”〔假設(shè)無效將值返回“證書治理模塊”〕“證書治理模塊”將有效值返回“登錄門戶”，用戶通過認(rèn)證?！布僭O(shè)無效，用戶登錄失敗〕；用戶通過認(rèn)證，正常進(jìn)入應(yīng)用系統(tǒng)。支持多種CA建設(shè)模式RA集中治理在一個(gè)企業(yè)，依據(jù)證書應(yīng)用的需求，存在根CA下有多個(gè)CARARA的集成，可支持與RARA的集中治理。靈敏擴(kuò)展性集中證書治理功能除了實(shí)現(xiàn)集中制證、證書生命周期治理功能，以與具有多RA治理、支持用戶CA系統(tǒng)的自建和服RARA理、證書生命周期治理、證書審批、支持多種申請模式、RA多用戶對于集中證書治理的擴(kuò)展性需求。集中授權(quán)治理集中授權(quán)治理應(yīng)用背景分析一些大型機(jī)構(gòu)，覺察機(jī)構(gòu)部各應(yīng)用系統(tǒng)自身授權(quán)格外完善，但是從集中治理角度看，覺察大型機(jī)構(gòu)中的傳統(tǒng)授權(quán)所存在如下問題：系統(tǒng)權(quán)限分散：人員的流淌與職位的變更，需要更改人員的系統(tǒng)使用權(quán)限，而多個(gè)系統(tǒng)權(quán)限的分散，使治理員工作量增加，且容易帶來安全漏洞。應(yīng)用系統(tǒng)的獨(dú)立性：各種應(yīng)用系統(tǒng)都使用獨(dú)立的登錄方式，員工需要記憶全部應(yīng)用系統(tǒng)的、密碼等，逐一登錄，給工作帶來極大的困擾，特別是對工作效率影響格外大，甚至簡化記憶問題，所有應(yīng)用系統(tǒng)統(tǒng)一使用一樣的密碼，由此為黑客或者木馬程序供給時(shí)機(jī)，而對應(yīng)用系統(tǒng)的安全防護(hù)帶來極脅。集中授權(quán)的最大特點(diǎn)，就是集中在一個(gè)接口對組/角色進(jìn)展資源的合理安排。集中授權(quán)的過程，就是集中對用戶〔組/角色〕通過何種方式〔證書/口令〕使用某種資源〔應(yīng)用/功能〕的權(quán)限的安排。員工入職，安排一個(gè)特定的原本已經(jīng)隸屬于某些角色/組的身份賬戶，統(tǒng)一入口登錄，即可享有身份賬戶所屬角色/組在中心應(yīng)用系統(tǒng)中的全部權(quán)限；當(dāng)職位變更時(shí)，只需更改身份賬戶所屬角色/組，則所享有的權(quán)限也相應(yīng)變化，而對應(yīng)的應(yīng)用系統(tǒng)資源的賬戶和權(quán)限不受任何影響，并且應(yīng)用系統(tǒng)的安全性得到了極大提高，不會由于對應(yīng)的業(yè)務(wù)系統(tǒng)由于沒有中止用戶應(yīng)用權(quán)限而患病安全風(fēng)險(xiǎn)。通過集中授權(quán)的治理模式，有效地屏蔽了傳統(tǒng)授權(quán)中存在的弊端，提高了治理效率，為企業(yè)營造一個(gè)安全、便捷的系統(tǒng)安全、可的辦公環(huán)境。6.4.集中授權(quán)治理模式集中授權(quán)主要是依靠于人，由授權(quán)系統(tǒng)治理者依據(jù)人的組織屬性、角色屬性，進(jìn)展對應(yīng)應(yīng)用系統(tǒng)和資源的授權(quán)安排，從保證人與應(yīng)用系統(tǒng)之間使用權(quán)限關(guān)系，最終實(shí)現(xiàn)，什么樣的人、組織、角色能訪問哪些應(yīng)用系統(tǒng)和資源。集中授權(quán)還可以依靠于應(yīng)用系統(tǒng)為治理對象，然后針對該應(yīng)用系統(tǒng)給人、組織、角色授予相應(yīng)訪問和操作權(quán)限，最終把應(yīng)用系統(tǒng)和人進(jìn)展權(quán)限關(guān)聯(lián)，合理、有效地的訪問把握策略，保證了什么樣的應(yīng)用系統(tǒng)和資源，能讓怎樣的人、組織、角色進(jìn)展訪問。組：包括依據(jù)組織架構(gòu)或特定功能劃分的部門、工作組與個(gè)人用戶。通過以上兩種方模式，可以對企業(yè)部的人員、應(yīng)用系統(tǒng)和資源進(jìn)展合理的治理和把握，有效地解決企業(yè)部息資源的權(quán)限治理，最終實(shí)現(xiàn)，正確的人做正確的事情，而非授權(quán)人員不得進(jìn)入企業(yè)部任何系統(tǒng)，從而保證企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)的安全，保護(hù)企業(yè)的資產(chǎn)。在集中授權(quán)治理系統(tǒng)系統(tǒng)中需要明確以下概念：角色定義，主要是基于用戶組角色和應(yīng)用系統(tǒng)角進(jìn)展角色定義?；谟脩艚M的角色定義可理解為在組織構(gòu)造下定義用戶角色，比方在技術(shù)部門下定義產(chǎn)品工程師角色。目標(biāo)是在以后授權(quán)模式過對產(chǎn)品工程師角色授權(quán)，而包含產(chǎn)品工程師的角色就會一次性獲得授權(quán)，這樣便利治理，同時(shí)也是簡化了授權(quán)的操作?；趹?yīng)用系統(tǒng)定義角色，即依據(jù)該應(yīng)用系統(tǒng)下的用戶職能進(jìn)展定義。比方，針對OA應(yīng)用系統(tǒng)和結(jié)合人力資源架構(gòu)定義“總監(jiān)”，那么依據(jù)OA系統(tǒng)給總監(jiān)的工作操作權(quán)限，那么以后授權(quán)中，只要存在應(yīng)用系統(tǒng)對總監(jiān)所具備的功能，經(jīng)過系統(tǒng)授權(quán)后均可以依據(jù)總監(jiān)的角色進(jìn)展應(yīng)用訪問。資源定義，主要是應(yīng)用系統(tǒng)下具備的每一功能模塊，全部的功能模塊統(tǒng)稱為資源。資源的定義主要是便利人員、組織、角色授權(quán)時(shí)候的對象指定，最終經(jīng)過授權(quán)實(shí)現(xiàn)，什么樣的人員、組織、角色能訪問應(yīng)用系統(tǒng)的那些功能。也就是中細(xì)粒度授權(quán)所需要的涉與的容。集中授權(quán)治理原理集中授權(quán)治理模式基于組/角色的訪問授權(quán)：對于屬于某一組/角色的用戶，治理員可以為其授權(quán)于可訪問的應(yīng)用系統(tǒng)和資源〔應(yīng)用系統(tǒng)的功能〕。授權(quán)后組的全部成員均具備該組編輯、查看、安排的權(quán)限?；趹?yīng)用系統(tǒng)和資源的授權(quán)：對于某一選定應(yīng)用〔或其包含的功能、功能組〕，治理員可以授權(quán)為其指派訪問資源〔用戶、組、角色〕細(xì)粒度授權(quán)：傳統(tǒng)意義中的粗粒度授權(quán)是以某一應(yīng)用系統(tǒng)為標(biāo)準(zhǔn)，將應(yīng)用系統(tǒng)那個(gè)授權(quán)于某一個(gè)人、某一機(jī)構(gòu)〔組織〕、某一類角色；而對于應(yīng)用系統(tǒng)下的模塊無法做到授權(quán)，所以，粗粒度授權(quán)在統(tǒng)一任系統(tǒng)中，無法做到應(yīng)用系統(tǒng)的部授權(quán)機(jī)制，導(dǎo)致簡潔的訪問把握授權(quán)無法滿足業(yè)務(wù)系統(tǒng)的精細(xì)化治理，為了滿足企業(yè)的細(xì)致化訪問把握，需要打破傳統(tǒng)授權(quán)模式，增加的授權(quán)機(jī)制，即要實(shí)現(xiàn)細(xì)粒度的訪問把握授權(quán)。而將資源治理模塊細(xì)粒度化，則是將應(yīng)用模塊拆分成單個(gè)的功能模塊，某幾個(gè)功能模塊又可以組合成一個(gè)功能組，在授權(quán)時(shí)，針對某一應(yīng)用模塊中的功能或功能組模塊進(jìn)展權(quán)限安排。角色繼承供給了角色授權(quán)模型，在角色權(quán)限安排的治理過程中，角色之間可以實(shí)現(xiàn)多模式繼承，即單繼承、多繼承、動態(tài)繼承；多種模式的繼承由系統(tǒng)自動完成，但是當(dāng)繼承形成環(huán)路的時(shí)候，則繼承屬性自動中斷，保持獨(dú)立的角色屬性。這樣可以保證應(yīng)用系統(tǒng)權(quán)限合理管控，而不會由于角色繼承導(dǎo)致權(quán)限失去把握。針對繼承方式，如下定義：a)單繼承：ABABb)多繼承ABCDA同時(shí)擁有B、C、D全部的權(quán)限。c)動態(tài)繼承：ABCD，用戶擁A；角色B的登錄方式為口令；角色C的登錄方式為口令和證書；角色D的登錄方式為證書。d)循環(huán)繼承：角色循環(huán)繼承時(shí)，系統(tǒng)部自行處理，在循環(huán)處于環(huán)路，則繼承自動斷開。集中認(rèn)證治理集中認(rèn)證治理為企業(yè)的IT系統(tǒng)供給統(tǒng)一的身份認(rèn)證，是企業(yè)安全門戶入口，只有安全的認(rèn)證機(jī)制才可以保證機(jī)構(gòu)大門不被非法人員進(jìn)入；在整個(gè)認(rèn)證系統(tǒng)中其效勞的對象包括企業(yè)接入統(tǒng)一認(rèn)證平臺的全部業(yè)務(wù)系統(tǒng)、治理系統(tǒng)和應(yīng)用系統(tǒng)等，統(tǒng)一認(rèn)證系統(tǒng)能夠供給快速、高效和安全的效勞，應(yīng)用系統(tǒng)接入改造小，系統(tǒng)具有靈敏的擴(kuò)展性、高可用性。集中認(rèn)證治理特點(diǎn)集中認(rèn)證治理可以為多個(gè)不同種類、不同形式的應(yīng)用供給統(tǒng)一的認(rèn)證效勞，不需要應(yīng)用系統(tǒng)獨(dú)立開發(fā)、設(shè)計(jì)認(rèn)證系統(tǒng)，為業(yè)務(wù)系統(tǒng)快速推出的業(yè)務(wù)和效勞預(yù)備了根底條件，集中認(rèn)證治理為這些應(yīng)用供給了統(tǒng)一的接入形式。供給多種認(rèn)證方式企業(yè)的不同業(yè)務(wù)系統(tǒng)的安全級別不同,使用環(huán)境不同，用戶的習(xí)慣和操作嫻熟程度不同，集中認(rèn)證治理可以針對這些不同的應(yīng)用特點(diǎn)供給不同的認(rèn)證手段。供給統(tǒng)一和多樣化的認(rèn)證策略集中認(rèn)證治理針對不同的認(rèn)證方式，供給了統(tǒng)一的策略控制，各個(gè)應(yīng)用系統(tǒng)也可以依據(jù)自身的需要進(jìn)展共性化的策略設(shè)置，依據(jù)應(yīng)用或用戶類型的需求，設(shè)置共性化的認(rèn)證策略，提高應(yīng)用系統(tǒng)的分級治理安全。7.2.2.數(shù)字證書認(rèn)證集中認(rèn)證治理系統(tǒng)支持多種身份認(rèn)證方式，包括：用戶名/口令數(shù)字證書3)Windows域認(rèn)證4)通行碼集中認(rèn)證治理同時(shí)支持上述四種認(rèn)證方式，也可以依據(jù)用戶的需求對用戶登錄認(rèn)證方式進(jìn)展擴(kuò)展。下面首先分別介紹這些認(rèn)證方式，然后介紹認(rèn)證方式與安全等級。7.2.1.用戶名/口令認(rèn)證用戶名/口令是最傳統(tǒng)且最普遍的身份認(rèn)證方法，通常承受如下形式：當(dāng)用戶需要訪問系統(tǒng)資源時(shí)，系統(tǒng)提示用戶輸入用戶名和口令。系統(tǒng)承受加密方式或明文方式將用戶名和口令傳送到認(rèn)證中心。并和認(rèn)證中心保存的用戶息進(jìn)展比對。假設(shè)驗(yàn)證通過，系統(tǒng)允許該用戶進(jìn)展隨后的訪問操作，否則拒絕用戶的下一步的訪問操作。靜態(tài)口令的優(yōu)點(diǎn)是簡潔且本錢低，但是假設(shè)用戶不去修改它，那么這個(gè)口令就是固定不變的、長期有效的，因此這種認(rèn)證息的靜態(tài)性，導(dǎo)致傳統(tǒng)口令在很多狀況下都有著發(fā)生口令泄密的危急。在整體安全認(rèn)證中，對于掃瞄非重要資源的用戶可以承受該方法。7.2.4.密碼認(rèn)證數(shù)字證書是目前最常用一種比較安全的身份認(rèn)證技術(shù)。數(shù)字證書技術(shù)是在PKI體系根底上實(shí)現(xiàn)的，用戶不但可以通過數(shù)字證書完成身份認(rèn)證，還可以進(jìn)一步進(jìn)展安全加密，數(shù)字簽名等操作。依據(jù)自己多年的安全閱歷，供給完整的數(shù)字身份認(rèn)證解決方案。數(shù)字證書的存儲方式格外靈敏，數(shù)字證書可被直接存儲USBKey中。Windows域認(rèn)證Windows域是一種應(yīng)用層的用戶與權(quán)限集中治理技術(shù)。當(dāng)用戶通過Windows系列操作系統(tǒng)的登錄界面成功登錄Windows域后，就可以充分使用域的各種共享資源，同時(shí)承受Windows域?qū)τ脩粼L問權(quán)限的治理與把握。目前，很多企業(yè)、機(jī)構(gòu)和學(xué)校都使用域來治理網(wǎng)絡(luò)資源，用于把握不同身份的用戶對網(wǎng)絡(luò)應(yīng)用與共享息的使用權(quán)限。集中認(rèn)證治理支持Windows域登錄，對于已經(jīng)登錄到Windows域中的用戶，不需要輸入用戶名、密碼而直接使用當(dāng)前登錄的域用戶息進(jìn)展驗(yàn)證，假設(shè)驗(yàn)證成功則進(jìn)入，否則拒絕進(jìn)入。通行碼認(rèn)證通行碼是集中認(rèn)證治理支持的一種特有認(rèn)證方式，用戶遺忘其他認(rèn)證息時(shí)，可以向治理員申請一次性使用的口令進(jìn)展身份認(rèn)證。主要滿足安全應(yīng)急效勞，當(dāng)用戶安全認(rèn)證的憑證遺忘或者喪失，通過后臺治理員生成通行碼的方式，幫助用戶解決認(rèn)證登錄；通行碼具備時(shí)效性和一次性特點(diǎn)，當(dāng)使用過或者超出訪用時(shí)間圍，其認(rèn)證效力自動失效，格外強(qiáng)大的保證了系統(tǒng)的安全性和牢靠性；在有效地時(shí)間段圍，能有效、快速的幫助用戶解決認(rèn)證和系統(tǒng)準(zhǔn)入的問題，為應(yīng)用提供了便利。認(rèn)證方式與安全等級每種身份驗(yàn)證方法都對應(yīng)一個(gè)安全級別，安全級別是依據(jù)安全策略定義的。身份驗(yàn)證方法(如用戶名/密碼、數(shù)字證書、windows域等。)僅由認(rèn)證系統(tǒng)部門治理和把握，身份認(rèn)證子系統(tǒng)與其他子系統(tǒng)之間的息交換通過認(rèn)證安全級別實(shí)現(xiàn)。身份認(rèn)證相關(guān)協(xié)議身份認(rèn)證治理支持的身份認(rèn)證協(xié)議有：SSL協(xié)議。Windows域認(rèn)證SAML協(xié)議集中認(rèn)證治理同時(shí)支持上述三種認(rèn)證協(xié)議，下面具體介紹這些認(rèn)證協(xié)議。SSL協(xié)議SSL〔SecureSocketLayer，安全套接層〕協(xié)議最早由Netscape提出，是一種用于保護(hù)互聯(lián)網(wǎng)通私密性的安全協(xié)議，現(xiàn)在已經(jīng)是該領(lǐng)域的工業(yè)標(biāo)準(zhǔn)。通過SSL協(xié)議，可以使通不被惡意攻擊者竊聽，并且始終對效勞端進(jìn)展認(rèn)證〔也可以應(yīng)用可選的客戶端認(rèn)證〕。SSL可以使用RC4、DES等多種加密算法，并應(yīng)用X.509數(shù)字證書標(biāo)準(zhǔn)進(jìn)展認(rèn)證，從保護(hù)機(jī)制上來講，是比較完善的。而且SSL的實(shí)現(xiàn)本錢比較低，可以很簡潔的結(jié)合現(xiàn)有的應(yīng)用環(huán)境建立比較安全的傳輸，所以獲得了極為廣泛的應(yīng)用。SSL協(xié)議的身份認(rèn)證方式與用戶名/口令方式相比，最顯著的優(yōu)勢在于SSL供給雙向的身份認(rèn)證，不僅可以驗(yàn)證客戶端的身份同時(shí)也可以認(rèn)證效勞器的身份。b)windows域身份驗(yàn)證Windows交互式登錄是我們尋常常見的一種登錄認(rèn)證方式，交互式登錄包括“本地登錄”和“域賬號登錄”，而“本地登錄”僅限于“本地賬號登錄”。本地用戶賬號SAM數(shù)據(jù)庫中的息進(jìn)展驗(yàn)證。用本地用戶賬號登錄后，只能訪問到具有訪問權(quán)限的本地資源。域用戶賬號承受域用戶賬號登錄，系統(tǒng)則通過存儲在域把握器的活動名目中的數(shù)據(jù)進(jìn)展驗(yàn)證。假設(shè)該用戶賬號有效，則登錄后可以訪問到整個(gè)域中具有訪問權(quán)限的資源。用戶登錄域的過程即是活動名目認(rèn)證用戶的過程，具體過程如下:登錄到域的驗(yàn)證過程，對于不同的驗(yàn)證協(xié)議也有不同的驗(yàn)證方法。假設(shè)域把握器是WindowsNT4.0，那么使用的NTLM驗(yàn)證協(xié)議，其驗(yàn)證過程和“登錄到本機(jī)的過程”根本SAM數(shù)據(jù)Windows2023和Windows2023域把握器來說，使用的一般為更安全牢靠的KerberosV5協(xié)議。通過這種協(xié)議登錄到域，向域把握器證明自己的域賬號有效，用戶需先申請?jiān)试S懇求該域的TGS(Ticket-Granting