欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

首頁 > 投稿專欄 > 最新來稿 > 時代億信統(tǒng)一用戶管理平臺在某集團公司的應(yīng)用

時代億信統(tǒng)一用戶管理平臺在某集團公司的應(yīng)用

2013-09-23 14:39:45   作者:   來源:CTI論壇   評論:0  點擊:


1 概述
系統(tǒng)現(xiàn)狀
某集團公司擁有多個下屬公司,均進行了卓有成效的信息化建設(shè),但由于開展時間較早,也沒有統(tǒng)一規(guī)劃,目前處于應(yīng)用各自獨立建設(shè)、獨立維護的狀態(tài)。
需求分析
為了發(fā)揮信息應(yīng)用系統(tǒng)在服務(wù)決策、促進溝通、交流經(jīng)驗、推動工作等方面的作用,加強高效工作的信息化支撐力度,提高總部、下屬單位的工作效率,需要改變現(xiàn)有各應(yīng)用系統(tǒng)用戶管理分散、認證分散的現(xiàn)狀,構(gòu)建企業(yè)用戶的統(tǒng)一管理,打造企業(yè)綜合信息平臺。
建設(shè)目標(biāo)
“某集團公司”統(tǒng)一用戶管理平臺由統(tǒng)一用戶管理服務(wù)、統(tǒng)一認證服務(wù)、單點登錄服務(wù)組成,形成對總部和集團公司應(yīng)用系統(tǒng)的安全支撐,促進信息系統(tǒng)的應(yīng)用和發(fā)展。
“某集團公司”統(tǒng)一用戶管理平臺具體建設(shè)目標(biāo)如下:
(1)建設(shè)企業(yè)統(tǒng)一目錄
編制企業(yè)目錄規(guī)范,并按照規(guī)范建立統(tǒng)一目錄系統(tǒng),按照規(guī)范要求存儲用戶信息各項屬性和組織機構(gòu)信息各項屬性,并提供數(shù)據(jù)同步接口。
(2)建設(shè)統(tǒng)一用戶管理平臺
建立統(tǒng)一用戶管理系統(tǒng),統(tǒng)一管理全公司用戶信息和組織機構(gòu)信息,并負責(zé)向各應(yīng)用系統(tǒng)提供標(biāo)準(zhǔn)可用的數(shù)據(jù),同時完成各應(yīng)用的用戶帳號統(tǒng)一管理、用戶授權(quán)集中管理與安全策略集中設(shè)置。
(3)建設(shè)統(tǒng)一認證平臺
建立統(tǒng)一認證平臺,實現(xiàn)對應(yīng)用系統(tǒng)的集中認證和單點登錄。
統(tǒng)一認證平臺根據(jù)統(tǒng)一用戶管理系統(tǒng)提供的授權(quán)信息進行用戶應(yīng)用系統(tǒng)訪問控制。

2 解決方案總體設(shè)計
部署方式設(shè)計
\
圖1 部署方式設(shè)計圖

“某集團公司”統(tǒng)一用戶管理平臺依據(jù)“分級部署、分級管理”的原則,采用分布式部署,中心節(jié)點建設(shè)在總部,分中心建設(shè)在各集團公司。
部署方式示意圖如下:
 
中心節(jié)點承擔(dān)總部統(tǒng)一用戶管理平臺數(shù)據(jù)負載,負責(zé)對總部應(yīng)用系統(tǒng)及全國應(yīng)用系統(tǒng)進行用戶管理、認證和單點登錄。
分中心承擔(dān)集團公司統(tǒng)一用戶管理平臺數(shù)據(jù)負載,各分中心獨立運行互不干擾,負責(zé)對集團公司應(yīng)用系統(tǒng)進行用戶管理、認證和單點登錄。
中心節(jié)點和分中心分別從同級的HR系統(tǒng)同步用戶信息,由HR系統(tǒng)負責(zé)發(fā)起用戶管理操作,由統(tǒng)一用戶管理平臺進行用戶信息分發(fā)。同時,兩級統(tǒng)一用戶管理平臺也實現(xiàn)了用戶同步,可在總部形成全集團用戶信息視圖。
中心節(jié)點和分中心分別建立企業(yè)目錄,負責(zé)存儲本公司的用戶信息、組織機構(gòu)信息、角色信息等數(shù)據(jù)。
統(tǒng)一用戶管理平臺采用分級部署方式,為應(yīng)用系統(tǒng)提供本地化的用戶管理、認證和單點登錄服務(wù),確保了內(nèi)部網(wǎng)絡(luò)暢通,實現(xiàn)辦公現(xiàn)代化、信息電子化、傳輸網(wǎng)絡(luò)化和管理科學(xué)化提供高保障、高質(zhì)量的安全基礎(chǔ)平臺。
部署內(nèi)容設(shè)計
總部部署:總部部署兩臺統(tǒng)一用戶管理平臺服務(wù)器,構(gòu)成總部的統(tǒng)一用戶管理平臺,負責(zé)對總部或全集團應(yīng)用系統(tǒng)提供用戶管理、認證和單點登錄服務(wù)。
集團公司部署:集團部署兩臺統(tǒng)一用戶管理平臺服務(wù)器,構(gòu)成集團的統(tǒng)一用戶管理平臺,負責(zé)對集團應(yīng)用系統(tǒng)提供用戶管理、認證和單點登錄服務(wù)。
系統(tǒng)接口設(shè)計
統(tǒng)一用戶管理平臺作為用戶信息的集中管理與整合的信息設(shè)施,涉及與各個業(yè)務(wù)系統(tǒng)的交互,系統(tǒng)必須具有良好、完善的接口,以滿足應(yīng)用系統(tǒng)在多種應(yīng)用場景下的使用需求。
認證與單點登錄接口規(guī)范
統(tǒng)一用戶管理平臺產(chǎn)品提供應(yīng)用系統(tǒng)認證與單點登錄接口規(guī)范,方便應(yīng)用系統(tǒng)進行認證和單點登錄接入。根據(jù)應(yīng)用系統(tǒng)的實際情況,可選擇HTTP協(xié)議或TCP協(xié)議。
HTTP協(xié)議接口規(guī)范:提供HTTP協(xié)議接口包及開發(fā)規(guī)范,進行應(yīng)用系統(tǒng)的單點登錄接入。
TCP協(xié)議接口規(guī)范:提供TCP協(xié)議接口包及開發(fā)規(guī)范,進行應(yīng)用系統(tǒng)的單點登錄接入。
組織機構(gòu)用戶數(shù)據(jù)同步接口
統(tǒng)一用戶管理平臺組織機構(gòu)、用戶數(shù)據(jù)同步接口分為兩類:從數(shù)據(jù)源接收數(shù)據(jù)同步和向應(yīng)用系統(tǒng)同步數(shù)據(jù)。
從數(shù)據(jù)源接收數(shù)據(jù)同步接口
在企業(yè)內(nèi)部已擁有組織機構(gòu)、用戶數(shù)據(jù)權(quán)威數(shù)據(jù)源的情況下,統(tǒng)一用戶管理平臺提供數(shù)據(jù)接收同步服務(wù)。在權(quán)威數(shù)據(jù)源的組織機構(gòu)、用戶數(shù)據(jù)發(fā)生變更時,可自動同步到統(tǒng)一用戶管理平臺。
1)組織機構(gòu)操作接口:可接收組織機構(gòu)信息的增加、刪除、修改、啟用、停用、重命名、修改父級等變更信息;
2)用戶操作接口:可接收用戶信息的增加、刪除、修改、啟用、停用、重命名、修改父級、變更用戶組、變更角色等變更信息;
3)用戶組操作接口:可接收用戶組信息的增加、刪除、修改等變更信息;
4)角色操作接口:可接收角色信息的增加、刪除、修改等變更信息;
5)密碼操作接口:可接收管理員重置密碼、用戶自助修改密碼、用戶自助重置密碼的變更信息。
向應(yīng)用系統(tǒng)同步數(shù)據(jù)接口
在統(tǒng)一用戶管理平臺內(nèi)進行企業(yè)內(nèi)部組織機構(gòu)、用戶數(shù)據(jù)的統(tǒng)一管理,或者接收到權(quán)威數(shù)據(jù)源的同步數(shù)據(jù),產(chǎn)生增量變化數(shù)據(jù)后,統(tǒng)一用戶管理平臺提供數(shù)據(jù)同步分發(fā)服務(wù),根據(jù)應(yīng)用系統(tǒng)的數(shù)據(jù)需求,進行相應(yīng)數(shù)據(jù)的分發(fā)與同步。
1)同步接口:可同步組織機構(gòu)、用戶、用戶組、角色、密碼等信息的增加、刪除、修改、啟用、停用、重命名、修改父級等變更信息。
公共服務(wù)接口
統(tǒng)一用戶管理平臺作為企業(yè)內(nèi)部的IT基礎(chǔ)設(shè)施,集中存儲企業(yè)的組織機構(gòu)和用戶數(shù)據(jù)。統(tǒng)一用戶管理平臺提供公共服務(wù),方便有需要的應(yīng)用系統(tǒng)進行組織機構(gòu)和用戶數(shù)據(jù)的查詢。
組織機構(gòu)查詢接口
為應(yīng)用系統(tǒng)提供組織機構(gòu)查詢條件,可根據(jù)任意屬性、父級屬性查詢,查詢組織機構(gòu)的詳細信息,查詢結(jié)果支持分頁顯示。
用戶查詢接口
為應(yīng)用系統(tǒng)提供用戶信息查詢條件,可根據(jù)任意屬性、父級屬性查詢,查詢用戶的詳細信息,查詢結(jié)果支持分頁顯示。
用戶組查詢接口
為應(yīng)用系統(tǒng)提供用戶組信息查詢條件,可根據(jù)用戶組名稱、編碼查詢,查詢用戶組的詳細信息,查詢結(jié)果支持分頁顯示。
角色查詢接口
為應(yīng)用系統(tǒng)提供角色信息查詢條件,可根據(jù)角色名稱、編碼查詢,查詢角色的詳細信息,查詢結(jié)果支持分頁顯示。

3 統(tǒng)一用戶管理平臺設(shè)計
根據(jù)部署方式設(shè)計圖所示,統(tǒng)一用戶管理平臺分級部署在總部和集團公司,分別為總部應(yīng)用系統(tǒng)和集團公司應(yīng)用系統(tǒng)提供身份認證、單點登錄、用戶管理服務(wù)。
總部統(tǒng)一用戶管理平臺除了承擔(dān)本公司應(yīng)用的用戶認證功能外,還為集中部署的應(yīng)用系統(tǒng)提供下屬集團公司用戶認證功能,即支持總部集中部署,總部、集團公司分級使用的全國應(yīng)用系統(tǒng)用戶認證?偛拷y(tǒng)一用戶管理平臺所制定的安全策略針對全部應(yīng)用系統(tǒng)生效。
集團公司統(tǒng)一用戶管理平臺承擔(dān)本公司應(yīng)用的用戶認證功能,應(yīng)用可以是統(tǒng)一建設(shè)部署的,也可以是本集團自行建設(shè)的應(yīng)用系統(tǒng)。集團公司統(tǒng)一用戶管理平臺繼承總部統(tǒng)一用戶管理平臺安全策略,并可針對本集團特定應(yīng)用或本地應(yīng)用制定單獨的安全策略。
設(shè)計依據(jù)
統(tǒng)一用戶管理平臺采用分級部署、分級管理的設(shè)計方式,其主要優(yōu)點有:
(1)適應(yīng)不同部署形式的應(yīng)用系統(tǒng),更好地貼近應(yīng)用系統(tǒng)實際安全需要;
(2)集團公司有自建應(yīng)用系統(tǒng),也需要統(tǒng)一用戶管理,本地的統(tǒng)一用戶管理平臺提供了實現(xiàn)手段;
(3)分級部署提供了本地認證能力,減少了對網(wǎng)絡(luò)的依賴,提高了系統(tǒng)可靠性;
(4)分級部署為本地提供了應(yīng)用管理能力,可為本地建設(shè)的單獨應(yīng)用系統(tǒng)提供單點登錄;
(5)總部統(tǒng)一用戶管理平臺可靈活使用,既為總部服務(wù)又可為全國應(yīng)用服務(wù),還具有認證托管能力,可為人數(shù)較少的集團公司直接提供認證服務(wù)。
統(tǒng)一用戶管理功能
用戶管理
用戶管理是指各級用戶管理員通過統(tǒng)一用戶管理平臺提供的頁面,在其管理范圍內(nèi)完成對用戶的新增、查詢、修改、刪除和應(yīng)用分配等操作。
用戶類別可分為:內(nèi)部用戶、外部用戶、臨時用戶等多種類型。
臨時用戶在申請統(tǒng)一用戶管理平臺帳號需要進行層級審批。
用戶主帳號管理:新增一個用戶,主要填寫包括用戶姓名、身份證號、選擇所在公司和部門等信息,創(chuàng)建用戶信息的同時為用戶分配員工編碼,才能生效。
員工編號必須在全公司范圍內(nèi)唯一。
用戶主帳號修改功能中的口令修改能夠自動同步到各子帳號中,使用戶口令保持一致。
用戶主帳號中的信息修改,如果信息在子帳號中也存在,需要自動的更新到子帳號中,使得用戶信息保持一致。
用戶刪除時,用戶的權(quán)限等信息也將隨之刪除。
用戶從帳號管理:用戶管理員通過統(tǒng)一用戶管理平臺頁面可以對用戶從帳號進行創(chuàng)建、修改、刪除等操作,創(chuàng)建的從帳號通過管理接口同步到各個應(yīng)用系統(tǒng)中。
從帳號與主帳號自動進行關(guān)聯(lián),通過主帳號視圖可以看到和子帳號的關(guān)聯(lián)關(guān)系。
如果修改的信息是用戶主帳號包括的基本信息,應(yīng)當(dāng)修改主帳號信息,由主帳號自動同步到從帳號,是信息保持一致。
用戶管理員通過統(tǒng)一用戶管理平臺頁面可以對用戶從帳號進行刪除,刪除操作通過接口同步到各個應(yīng)用系統(tǒng)。
用戶帳號的修改:用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對用戶信息進行修改,用戶帳號修改功能中的口令修改應(yīng)當(dāng)能夠自動同步到各子帳號中,使其用戶口令保持一致。
用戶帳號中的信息修改,如果信息在子帳號中也存在,需要自動的更新到子帳號中,使得用戶信息保持一致。
用戶帳號的刪除:用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以刪除用戶。
用戶帳號的刪除應(yīng)當(dāng)在生命周期管理中通過離職等流程完成,盡量避免直接刪除用戶。
用戶刪除時,此時用戶的權(quán)限等信息也將隨之刪除。
用戶帳號的啟用:用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對用戶進行啟用,啟用后用戶的主帳號狀態(tài)變成“正常”,但用戶所關(guān)聯(lián)的子帳號,需要管理員手工的進行啟用管理。
用戶帳號的禁用:用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以禁用用戶帳號,禁用后,用戶帳號所關(guān)聯(lián)的子帳號應(yīng)自動禁用。
用戶帳號的轉(zhuǎn)移:用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對用戶帳號進行轉(zhuǎn)移,該轉(zhuǎn)移是轉(zhuǎn)移用戶所在組織節(jié)點,轉(zhuǎn)移后用戶屬性中組織信息需要自動的進行變更,與轉(zhuǎn)移后的組織信息保持一致。
組織機構(gòu)管理
統(tǒng)一用戶管理平臺提供組織機構(gòu)管理頁面,在頁面中提供添加,查詢,注銷,刪除等功能。
組織機構(gòu)管理圖形化,已經(jīng)添加在統(tǒng)一用戶管理平臺中的組織機構(gòu),系統(tǒng)將現(xiàn)有的組織機構(gòu)已樹狀形式顯示。此管理頁面能夠被維護并實時更新。
組織結(jié)構(gòu)信息能夠?qū)С龀蓤D片、Excel數(shù)據(jù),能夠形成XML格式數(shù)據(jù)提供接口被其他系統(tǒng)實時引用。
組織機構(gòu)的創(chuàng)建:新增一個組組機構(gòu),主要填寫包括組織機構(gòu)的名稱、編碼、類型(部門或公司)等信息,并指定其上級組織機構(gòu)。
組織機構(gòu)的編碼必須在全局范圍內(nèi)唯一,其編碼規(guī)則在企業(yè)目錄規(guī)范中統(tǒng)一規(guī)定。
組織機構(gòu)的查詢:統(tǒng)一用戶管理平臺既提供查詢組織機構(gòu)的WEB UI界面,也提供基于Web Service規(guī)范的組織機構(gòu)查詢接口。后者主要便于應(yīng)用系統(tǒng)在其應(yīng)用中嵌入企業(yè)組織目錄樹。
支持通過組織機構(gòu)名稱、編碼、類型等屬性進行組織機構(gòu)的精確查詢、模糊查詢、組合查詢。
組織機構(gòu)的修改:用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對組織機構(gòu)的名稱、編碼、類型進行修改。
支持對組織機構(gòu)的合并和轉(zhuǎn)移。
在修改組織機構(gòu)后,用戶信息中組織的信息將自動變更。
組織機構(gòu)的刪除:用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以刪除組織機構(gòu)。
在刪除組織機構(gòu)時,必須先對該組織機構(gòu)下的所有用戶進行調(diào)離或刪除處理,否則不能刪除組織機構(gòu)。
在刪除組織機構(gòu)時,必須先對該組織機構(gòu)的下級組織機構(gòu)進行轉(zhuǎn)移或刪除處理,否則不能刪除組織機構(gòu)。
從數(shù)據(jù)安全性考慮,嚴禁通過遞歸方式直接刪除組織機構(gòu)。
 
組織機構(gòu)的合并:用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對組織機構(gòu)進行合并,合并支持兩種方式:
1) A,B合并到A或B;
2) A,B合并到C;
合并時,系統(tǒng)需要提示組織下的組織和人員將會合并到新的組織下。
組織機構(gòu)的刪除:用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對組織機構(gòu)進行刪除,系統(tǒng)需要檢查當(dāng)前組織下是否還包含子組織和人員,如果存在,提示管理員不能刪除該組織,需要先轉(zhuǎn)移該組織下的子組織和人員。
群組管理
群組管理是指各級用戶管理員通過統(tǒng)一用戶管理平臺提供的頁面,在其管理范圍內(nèi)完成對群組的新增、修改、刪除、群組人員分配和群組人員轉(zhuǎn)移等操作。
群組的編碼在全公司范圍內(nèi)唯一。群組用于將擁有同類權(quán)限的用戶進行匯總,以便于批量用戶的授權(quán)。
群組包括靜態(tài)組和動態(tài)組,靜態(tài)組提供對組的成員管理,管理員可以通過查找用戶的方式,把用戶添加到改組。
動態(tài)組通過LDAP表達式實現(xiàn),系統(tǒng)應(yīng)提供LDAP表達式輸入的區(qū)域,和對LDAP表達式檢查的結(jié)果顯示,方便管理員設(shè)置。
管理員通過統(tǒng)一用戶管理平臺頁面可以向群組中添加人員、去除人員,群組中人員的添加/去除操作只影響用戶的權(quán)限。
群組刪除時,該群組與應(yīng)用系統(tǒng)的關(guān)聯(lián)關(guān)系,群組與人員的關(guān)系將一并刪除。
權(quán)限與角色管理
可以擴展提供基于角色的訪問控制能力。用戶和角色之間的關(guān)系是不斷維護的,每種角色都有各自的權(quán)限定義,如果一個用戶被賦予一個角色之后,那么這個用戶就擁有了那個角色所定義的權(quán)限;當(dāng)這個角色的權(quán)限定義更改之后,所有被賦予這個角色的用戶也會自動擁有這個角色更改之后的權(quán)限。
平臺負責(zé)目錄中角色的維護,包括角色的添加、修改、刪除、角色人員分配和角色人員轉(zhuǎn)移等功能。
應(yīng)用管理
管理員通過統(tǒng)一用戶管理平臺提供的頁面,完成對應(yīng)用系統(tǒng)的注冊、修改、刪除等操作。
可以指定應(yīng)用系統(tǒng)的同步內(nèi)容,包括帳號、組織、群組和角色。
支持應(yīng)用的批量開通。
用戶信息導(dǎo)入
統(tǒng)一用戶管理平臺提供了數(shù)據(jù)初始化工具,可從單數(shù)據(jù)源或多數(shù)據(jù)源導(dǎo)入用戶信息。用戶信息導(dǎo)入步驟如下:
(1)選擇一個或多個應(yīng)用系統(tǒng)數(shù)據(jù)源作為用戶信息導(dǎo)入源;
(2)按照事先定義好的Web Service接口,導(dǎo)入用戶信息;
(3)統(tǒng)一用戶管理平臺會根據(jù)事先定義好的字段設(shè)置,將用戶信息完整的建立起來,管理員可在此基礎(chǔ)上對用戶進行分組或自動分組,便于進行單點登錄授權(quán)。
帳號有效期管理
如果用戶類型是臨時用戶,則賬戶有效期屬于必填項。
為了滿足對用戶生命周期管理的需要,需實現(xiàn)如下功能:
(1)面向全體用戶,定義統(tǒng)一用戶管理平臺用戶身份有效期審核管理措施;
(2)當(dāng)用戶信息接近有效期時告警;
(3)當(dāng)用戶有效期到期禁用用戶、停止訪問權(quán)限。
用戶密碼管理
對于用戶名密碼認證,統(tǒng)一用戶管理平臺支持用戶密碼的安全策略管理和密碼同步管理。
密碼安全策略管理:對于密碼安全策略,系統(tǒng)支持如下要求:
(1)可定義口令的復(fù)雜度策略:包括口令的長度、口令的組成、定義非重復(fù)口令、禁用的字符短語等;
(2)可定義口令的過期策略,使用戶在一定周期過后就強制要求修改密碼;
(3)可針對不同崗位和角色應(yīng)用不同的口令安全策略;
(4)支持口令加密存儲及口令重置。
對于需要采用口令同步的系統(tǒng),系統(tǒng)支持用戶口令的同步,當(dāng)在統(tǒng)一用戶管理平臺修改口令后,系統(tǒng)將用戶口令同步到后臺各應(yīng)用系統(tǒng)中。
初始密碼修改:統(tǒng)一用戶管理平臺提供設(shè)置初始密碼功能,此功能能夠提供初始密碼設(shè)置。
在統(tǒng)一用戶管理平臺注冊新用戶后,統(tǒng)一用戶管理平臺會自動為用戶設(shè)置初始密碼。當(dāng)用戶在初始登錄時,使用初始密碼登錄。統(tǒng)一用戶管理平臺檢查登錄密碼,如果檢測登錄密碼為初始密碼系統(tǒng)則彈出提示信息(如:“不能使用初始密碼登錄”)并導(dǎo)入頁面密碼修改頁面,讓用戶自行修改密碼。
帳號密碼強度檢測:統(tǒng)一用戶管理平臺提供密碼強度檢測功能,即用戶在修改密碼時,用戶設(shè)置的密碼沒有達到指定的強度時,系統(tǒng)會提示用戶設(shè)置的密碼沒有達到指定的強度,請用戶重新設(shè)置。
自助申請帳號
提供頁面為提供臨時用戶帳號自助申請,臨時帳號需要進行審批后才能使用,并且在審批時設(shè)定帳號有效期。
用戶自服務(wù)管理
用戶自服務(wù)管理是指用戶管理員通過用戶管理系統(tǒng)的UI界面,對允許用戶進行自助服務(wù)的個人信息進行范圍設(shè)定。
用戶自服務(wù)管理系統(tǒng)必須能夠保障用戶的自助編輯服務(wù)范圍是限制在用戶個人基本信息中,不能超出這個設(shè)定范圍,且必須符合目錄存儲規(guī)范中對用戶各項信息屬性類型的要求。
用戶自助服務(wù)系統(tǒng)必須保證用戶只能查看和編輯自身的用戶信息。
用戶個人信息自助服務(wù)
用戶個人信息自助服務(wù)是指用戶自身通過用戶管理系統(tǒng)的UI界面(通常為Web UI界面),對其自身的個人基本信息進行登記和編輯等操作。
用戶可以通過自助服務(wù)查看本人的身份信息和授權(quán),并能夠?qū)ζ渲械膫人基本信息進行編輯,例如:用戶手機號碼這種個人信息允許用戶自助編輯,而用戶的公司信息,包括用戶ID、用戶工號、用戶組織等信息是不允許用戶編輯,以保證用戶信息的合法性。
領(lǐng)導(dǎo)可以自行指定一個代理人來處理用戶的事務(wù)。
用戶自助服務(wù)UI界面應(yīng)能夠?qū)⒂脩粜畔⒅械膫人信息和公司信息,可自助服務(wù)信息和非自助服務(wù)信息,以及必選信息和可選信息清晰區(qū)分開來;
用戶管理系統(tǒng)必須能夠保障用戶的自助服務(wù)范圍是滿足用戶管理員設(shè)定范圍。
用戶通過自服務(wù)系統(tǒng)能夠修改授權(quán)用戶修改的個人信息,包括密碼信息。
被集成的應(yīng)用系統(tǒng)應(yīng)該調(diào)用統(tǒng)一用戶管理平臺的自服務(wù)管理模塊,不再使用原有的自服務(wù)模塊。
系統(tǒng)管理
統(tǒng)一用戶管理平臺的管理服務(wù)功能包括:數(shù)據(jù)字典設(shè)置、菜單管理設(shè)置、角色管理、數(shù)據(jù)導(dǎo)入、同步訂閱。
系統(tǒng)提供分級管理功能,系統(tǒng)管理員可以定義為總部、下屬公司兩級或更多級,分別對能管理的用戶、角色等信息進行管理。
安全審計與日志報表
系統(tǒng)提供一個集中的存儲中心以日志的形式記錄用戶所作的所有操作。審計人員、安全管理人員可以隨時察看這些記錄用戶、系統(tǒng)和應(yīng)用的日志信息。并為所有系統(tǒng)和用戶提供一個基于關(guān)系型數(shù)據(jù)庫的準(zhǔn)確而且安全的日志記錄方式。
管理人員可以根據(jù)日志中記錄的信息,進行靈活地日志查詢和報表功能。
單點登錄功能實現(xiàn)
單點登錄的實現(xiàn)原理:統(tǒng)一用戶管理平臺的用戶信息數(shù)據(jù)獨立于各應(yīng)用系統(tǒng),形成統(tǒng)一的用戶唯一ID,并將其作為統(tǒng)一認證平臺用戶的主帳號。
(1)在通過統(tǒng)一用戶管理平臺統(tǒng)一認證后,可以從登錄認證結(jié)果中獲取統(tǒng)一用戶管理平臺用戶唯一ID(主帳號);
(2)再由其關(guān)聯(lián)不同應(yīng)用系統(tǒng)的用戶帳號(從帳號);
(3)最后用關(guān)聯(lián)后的帳號訪問相應(yīng)的應(yīng)用系統(tǒng)。
當(dāng)增加一個應(yīng)用系統(tǒng)時,只需要增加統(tǒng)一用戶管理平臺用戶唯一ID(主帳號)與該應(yīng)用系統(tǒng)帳號(從帳號)的一個關(guān)聯(lián)信息即可,不會對其它應(yīng)用系統(tǒng)產(chǎn)生任何影響,從而解決登錄認證時不同應(yīng)用系統(tǒng)之間用戶交叉和用戶帳號不同的問題。單點登錄過程均通過安全通道來保證數(shù)據(jù)傳輸?shù)陌踩?br />  
B/S結(jié)構(gòu)應(yīng)用系統(tǒng)的接入與認證:B/S結(jié)構(gòu)應(yīng)用系統(tǒng)用戶均采用瀏覽器登錄和訪問應(yīng)用系統(tǒng),因此使用瀏覽器訪問統(tǒng)一用戶管理平臺,在統(tǒng)一用戶管理平臺登錄認證成功后,再訪問具體B/S應(yīng)用應(yīng)用系統(tǒng)。B/S應(yīng)用系統(tǒng)接入統(tǒng)一用戶管理平臺的架構(gòu)如下圖所示:

\
圖2  應(yīng)用系統(tǒng)接入與認證架構(gòu)

統(tǒng)一用戶管理平臺提供兩種B/S結(jié)構(gòu)應(yīng)用系統(tǒng)接入方式,以滿足不同應(yīng)用系統(tǒng)的需求,快速實現(xiàn)單點登錄:
 
反向代理方式:在完成客戶端與認證服務(wù)器的交互認證后,用戶先登錄進入統(tǒng)一用戶管理平臺系統(tǒng),然后利用反向代理技術(shù)完成服務(wù)器端代理用戶認證,并將應(yīng)用系統(tǒng)信息推送給客戶端瀏覽器,從而實現(xiàn)用戶對該應(yīng)用系統(tǒng)的訪問。
這種方式下應(yīng)用系統(tǒng)基本不需改動和開發(fā),對于不能作改動或沒有原廠商配合改動的應(yīng)用系統(tǒng),可以使用該方式接入統(tǒng)一用戶管理平臺。實現(xiàn)上,采用SSO認證服務(wù)和SSO Agent進行交互驗證用戶信息,完成應(yīng)用系統(tǒng)單點登錄。

\
圖3 反向代理方式接入應(yīng)用系統(tǒng)

反向代理方式下通過統(tǒng)一用戶管理平臺訪問應(yīng)用系統(tǒng)的流程如下:
(1)用戶在統(tǒng)一用戶管理平臺上點擊訪問的應(yīng)用系統(tǒng)URL鏈接;
(2)由統(tǒng)一用戶管理平臺驗證用戶權(quán)限,有權(quán)限則在統(tǒng)一用戶管理平臺數(shù)據(jù)庫中查詢用戶和應(yīng)用系統(tǒng)的關(guān)聯(lián)表,無權(quán)限則提示用戶無權(quán)訪問;
(3)如關(guān)聯(lián)表中無相應(yīng)記錄,則瀏覽器彈出建立關(guān)聯(lián)的頁面;如關(guān)聯(lián)表中有相應(yīng)記錄,則統(tǒng)一用戶管理平臺服務(wù)器提取用戶和應(yīng)用系統(tǒng)的關(guān)聯(lián)信息,送至SSO服務(wù)加密簽名形成數(shù)字信封后,返還給統(tǒng)一用戶管理平臺;
(4)由統(tǒng)一用戶管理平臺將加密信息發(fā)送給應(yīng)用系統(tǒng)前端的SSO Agent;
(5)SSO Agent收到加密信息后進行解密,并向應(yīng)用系統(tǒng)提交用戶關(guān)聯(lián)信息;
(6)應(yīng)用系統(tǒng)收到用戶關(guān)聯(lián)信息后進行驗證,驗證成功則允許用戶訪問應(yīng)用,失敗則提示用戶更新關(guān)聯(lián)信息。
 
插件方式:插件方式采用SSO認證服務(wù)和集成插件(SSO API)的方式進行交互驗證用戶信息,完成應(yīng)用系統(tǒng)單點登錄。插件方式提供多種API,通過簡單調(diào)用即可實現(xiàn)SSO。

\

通常情況下,對于有原廠商配合開發(fā)的應(yīng)用系統(tǒng),推薦使用該方式接入統(tǒng)一用戶管理平臺,以實現(xiàn)高效率高可靠的單點登錄。

\
圖4 插件方式接入應(yīng)用系統(tǒng)

(1)用戶在統(tǒng)一用戶管理平臺上點擊訪問的應(yīng)用系統(tǒng)URL鏈接;
(2)由統(tǒng)一用戶管理平臺驗證用戶權(quán)限,有權(quán)限則在統(tǒng)一用戶管理平臺數(shù)據(jù)庫中查詢用戶和應(yīng)用系統(tǒng)的關(guān)聯(lián)表,無權(quán)限則提示用戶無權(quán)訪問;
(3)如關(guān)聯(lián)表中無相應(yīng)記錄,則該用戶未授權(quán),不允許訪問;如關(guān)聯(lián)表中有相應(yīng)記錄,則統(tǒng)一用戶管理平臺服務(wù)器提取用戶在該應(yīng)用系統(tǒng)中的身份信息,送至SSO服務(wù)加密簽名形成數(shù)字信封后,返還給統(tǒng)一用戶管理平臺;
(4)由統(tǒng)一用戶管理平臺將加密信息發(fā)送給相應(yīng)的應(yīng)用系統(tǒng);
(5)應(yīng)用系統(tǒng)調(diào)用SSO API,對加密信息進行解密,得到用戶身份信息并返回給應(yīng)用系統(tǒng);
(6)應(yīng)用系統(tǒng)收到用戶身份信息后通過信任機制允許用戶訪問應(yīng)用系統(tǒng)。
 
C/S結(jié)構(gòu)應(yīng)用系統(tǒng)的接入與認證:對于C/S架構(gòu)的應(yīng)用系統(tǒng),統(tǒng)一用戶管理平臺采用Windows消息機制方式,自動地向客戶端傳遞認證參數(shù),從而實現(xiàn)單點登錄。其具體認證過程如下:
(1)在統(tǒng)一用戶管理平臺上啟用CS Agent,由管理員配置好CS Agent所需要的客戶端用戶認證參數(shù);
(2)用戶登錄統(tǒng)一用戶管理平臺;
(3)用戶點擊C/S應(yīng)用鏈接;
(4)CS Agent啟動客戶端,并通過Windows消息機制向客戶端傳遞用戶認證參數(shù);
(5)客戶端接收到認證參數(shù),按照自身的認證方式通過用戶驗證,進入系統(tǒng);
(6)用戶使用客戶端而無需進行其他操作。
應(yīng)用支撐體系
統(tǒng)一用戶管理平臺建設(shè)采用分級部署方式,可靈活支持多種部署形式的應(yīng)用系統(tǒng),分別詳述如下:
集中部署應(yīng)用的認證與單點登錄
對于集中部署、分級使用的應(yīng)用系統(tǒng),由總部統(tǒng)一用戶管理平臺提供用戶管理、認證與單點登錄服務(wù),應(yīng)用系統(tǒng)為集團公司用戶提供訪問鏈接,該訪問鏈接可集成在集團公司門戶中。
總部統(tǒng)一用戶管理平臺具有全國用戶信息庫,因此,可以為集中部署方式的應(yīng)用系統(tǒng)提供支持。當(dāng)集團公司用戶訪問應(yīng)用時,認證請求被發(fā)送到總部統(tǒng)一用戶管理平臺,由平臺校驗用戶認證憑證,校驗成功則檢查用戶權(quán)限信息和應(yīng)用訪問控制信息,根據(jù)上述信息單點登錄到應(yīng)用中。
分級部署應(yīng)用的認證與單點登錄
對于分級中部署、分級使用的應(yīng)用系統(tǒng),由總部和集團公司統(tǒng)一用戶管理平臺分別提供用戶管理、認證與單點登錄服務(wù),應(yīng)用系統(tǒng)分別為總部和集團公司用戶提供訪問鏈接,該訪問鏈接可分別集成在總部和集團公司門戶中。
總部和集團公司統(tǒng)一用戶管理平臺分別具有本公司范圍內(nèi)的用戶信息庫,因此,可以為分級部署方式的應(yīng)用系統(tǒng)提供支持。當(dāng)集團公司用戶訪問應(yīng)用時,認證請求被發(fā)送到集團公司統(tǒng)一用戶管理平臺,由平臺校驗用戶認證憑證,校驗成功則檢查用戶權(quán)限信息和應(yīng)用訪問控制信息,根據(jù)上述信息單點登錄到應(yīng)用中;當(dāng)總部用戶訪問應(yīng)用時,認證請求被發(fā)送到總部統(tǒng)一用戶管理平臺,由平臺校驗用戶認證憑證,校驗成功則檢查用戶權(quán)限信息和應(yīng)用訪問控制信息,根據(jù)上述信息單點登錄到應(yīng)用中。
直接使用總部統(tǒng)一用戶管理平臺的設(shè)計
對于部分人數(shù)較少的集團公司,可以采用直接使用總部統(tǒng)一用戶管理平臺提供的用戶管理、認證與單點登錄服務(wù),即采用認證托管模式建設(shè)本集團公司統(tǒng)一用戶管理平臺,有效節(jié)省投資成本。
在認證托管模式下,集團公司在本地不存在物理上的統(tǒng)一用戶管理平臺,而是由總部統(tǒng)一用戶管理平臺在邏輯上形成一個只針對該集團公司的統(tǒng)一用戶管理平臺,由該集團公司管理員維護與管理。邏輯上的統(tǒng)一用戶管理平臺,具有和其他集團公司所建的統(tǒng)一用戶管理平臺一致的功能,也可以進行本集團范圍內(nèi)的分級管理授權(quán),功能獨立運用,不受總部統(tǒng)一用戶管理平臺的影響。
授權(quán)管理體系
統(tǒng)一用戶管理平臺采用了分級部署、分級管理的實現(xiàn)方式,授權(quán)管理也相應(yīng)的采用了分級授權(quán)管理體系?偛抗芾韱T負責(zé)管理總部應(yīng)用和全集團應(yīng)用,管理總部角色信息,實現(xiàn)用戶基于角色或個人的授權(quán)。集團公司管理員負責(zé)管理集團公司應(yīng)用應(yīng)用,管理集團公司角色信息,實現(xiàn)用戶基于角色或個人的授權(quán)。
對于每個公司的授權(quán),采用了集中授權(quán)管理機制,能夠集中的對用戶與被管資源中的權(quán)限進行分配。
把權(quán)限(資源)賦予用戶的過程中,應(yīng)該有完善的授權(quán)生命周期管理:授予權(quán)限、修改授權(quán)、解除授權(quán)。同時存在輔助管理功能,例如:查找、定位、報表等。
為了方便授權(quán)動作,可以將一組相同或相近類型的權(quán)限(資源)定義為角色。同理,如果把一個角色授予一個用戶,即把角色包含的權(quán)限(資源)全部授予用戶。
現(xiàn)階段實現(xiàn)粗粒度實體級授權(quán),也就是完成用戶到資源的訪問層面。而應(yīng)用等內(nèi)部的授權(quán)由系統(tǒng)自身完成。
資源管理
資源管理是指對被管理資源進行錄入、編輯、刪除、查詢、報表等一系列維護管理操作。為了方便管理員管理,資源按照多種類型進行分類管理,提供給管理員的UI界面,進行友好的管理維護與展現(xiàn)。
資源管理支持以下功能:
創(chuàng)建資源:管理員能夠通過文件導(dǎo)入或者人工添加的方式,增加新的資源信息;
修改資源:管理員能夠?qū)ζ涔芾矸秶鷥?nèi)的資源信息進行編輯;
查詢資源:管理員能夠通過設(shè)定查詢條件(包括精確、模糊和組合等方式)對其管理范圍內(nèi)的資源信息進行查詢;
刪除資源:管理員能夠在其管理范圍內(nèi)刪除某個或某些資源的信息;
角色管理
角色是一系列權(quán)限(資源)的集合。通過角色的定義,可以簡化授權(quán)操作,降低用戶與權(quán)限之間的耦合程度,提高授權(quán)的靈活性。
授權(quán)管理
授權(quán)管理就是把相應(yīng)的權(quán)限(資源)或角色授予用戶或用戶組的一系列維護管理操作。對用戶授權(quán)后,用戶即擁有訪問目標(biāo)資源的權(quán)限。
使用流程
單點登錄流程
單點登錄流程詳細如下:
(1)用戶在登錄后頁面中顯示的應(yīng)用程序訪問列表中點擊需要訪問的應(yīng)用程序鏈接;
(2)應(yīng)用系統(tǒng)接受用戶的訪問請求,并將訪問請求轉(zhuǎn)發(fā)到統(tǒng)一用戶管理平臺的單點登錄服務(wù)器;
(3)單點登錄服務(wù)器解析用戶訪問請求信息,并校驗用戶訪問權(quán)限,向應(yīng)用系統(tǒng)返回用戶信息;
(4)應(yīng)用系統(tǒng)獲得單點登錄服務(wù)器信息,用戶登錄成功,正常使用應(yīng)用系統(tǒng)。
單點登錄安全性說明
對于單點登錄系統(tǒng)來說,由于各個應(yīng)用系統(tǒng)是根據(jù)從單點登錄系統(tǒng)獲得的票據(jù)來獲取登錄人員身份的,因此票據(jù)的安全性是單點登錄系統(tǒng)的關(guān)鍵要素。為了保證票據(jù)的安全,采取了以下措施:
 
票據(jù)生成的唯一性和時效性:為了保證用戶登錄應(yīng)用系統(tǒng)的安全性,由單點登錄系統(tǒng)生成票據(jù)作為用戶登錄應(yīng)用系統(tǒng)的憑據(jù)。生成的票據(jù)由單點登錄系統(tǒng)存儲,并記錄該票據(jù)是發(fā)給哪個用戶登錄哪個應(yīng)用系統(tǒng)的。票據(jù)是一串加密的隨機數(shù),且該串隨機數(shù)一次有效并具有一定的時效性(一般為60秒)。當(dāng)用戶單點登錄成功時,該票據(jù)被刪除;當(dāng)超過票據(jù)有效時間時,該票據(jù)被刪除。通過這些措施可以阻止其他用戶利用中間人截獲的方式登錄應(yīng)用系統(tǒng),也可以阻止其他應(yīng)用服務(wù)器模擬合法用戶登錄到其他應(yīng)用服務(wù)器。
票據(jù)驗證還可以配合IP地址綁定等方式,通過增加客戶端可識別信息進一步加強單點登錄的安全性。
 
票據(jù)傳輸過程安全性:在票據(jù)傳送過程中,由單點登錄系統(tǒng)對票據(jù)進行簽名然后才發(fā)送到應(yīng)用系統(tǒng)。任何對認證信息的修改都會導(dǎo)致簽名驗證的失敗,從而阻止其他客戶端對認證請求的偽造,也可以驗證客戶端的唯一性。
在應(yīng)用系統(tǒng)接收到票據(jù)后,會將票據(jù)傳送到單點登錄系統(tǒng)進行驗證,傳送的過程中,將由單點登錄系統(tǒng)部署于業(yè)務(wù)系統(tǒng)上的組件對傳輸內(nèi)容進行簽名,這樣就保證了目標(biāo)業(yè)務(wù)系統(tǒng)的不可抵賴性。
 
用戶信息的安全性:在驗證票據(jù)后,單點登錄系統(tǒng)會將用戶的登錄信息傳送給業(yè)務(wù)系統(tǒng),同時,此次傳輸?shù)挠脩粜畔⑹怯蓡吸c登錄系統(tǒng)進行加密后傳輸,因此,在此傳輸過程中保證了用戶登錄信息的安全性。
 
關(guān)于時代億信
北京時代億信科技有限公司是一家致力于企業(yè)應(yīng)用整合及信息安全整體解決方案的專業(yè)技術(shù)服務(wù)公司。公司依托首都科技產(chǎn)業(yè)優(yōu)勢,專注于數(shù)字證書應(yīng)用、企業(yè)應(yīng)用安全、企業(yè)應(yīng)用整合及相關(guān)領(lǐng)域的軟件研發(fā)與技術(shù)服務(wù),為客戶提供整體的應(yīng)用安全解決方案。憑借團隊優(yōu)勢和綜合技術(shù)能力,公司相繼獨立完成了身份認證、統(tǒng)一身份管理與訪問控制、文檔安全保護、SSLVPN等一系列創(chuàng)新產(chǎn)品的研發(fā)和推廣,積累了豐厚的專業(yè)技術(shù)實力和成熟的客戶服務(wù)經(jīng)驗,經(jīng)過不斷努力,已經(jīng)成為企業(yè)應(yīng)用安全及整合領(lǐng)域領(lǐng)先的解決方案提供商。

相關(guān)閱讀:

分享到: 收藏

推薦閱讀

專題