時代億信統一使用者管理平臺在某集團公司的應用

shidaiyixin發表於2013-09-23
1 概述
系統現狀
某集團公司擁有多個下屬公司,均進行了卓有成效的資訊化建設,但由於開展時間較早,也沒有統一規劃,目前處於應用各自獨立建設、獨立維護的狀態。
需求分析
為了發揮資訊應用系統在服務決策、促進溝通、交流經驗、推動工作等方面的作用,加強高效工作的資訊化支撐力度,提高總部、下屬單位的工作效率,需要改變現有各應用系統使用者管理分散、認證分散的現狀,構建企業使用者的統一管理,打造企業綜合資訊平臺。
建設目標
“某集團公司”統一使用者管理平臺由統一使用者管理服務、統一認證服務、單點登入服務組成,形成對總部和集團公司應用系統的安全支撐,促進資訊系統的應用和發展。
“某集團公司”統一使用者管理平臺具體建設目標如下:
(1)建設企業統一目錄
編制企業目錄規範,並按照規範建立統一目錄系統,按照規範要求儲存使用者資訊各項屬性和組織機構資訊各項屬性,並提供資料同步介面。
(2)建設統一使用者管理平臺
建立統一使用者管理系統,統一管理全公司使用者資訊和組織機構資訊,並負責向各應用系統提供標準可用的資料,同時完成各應用的使用者帳號統一管理、使用者授權集中管理與安全策略集中設定。
(3)建設統一認證平臺
建立統一認證平臺,實現對應用系統的集中認證和單點登入。
統一認證平臺根據統一使用者管理系統提供的授權資訊進行使用者應用系統訪問控制。
2 解決方案總體設計
部署方式設計
圖1 部署方式設計圖
“某集團公司”統一使用者管理平臺依據“分級部署、分級管理”的原則,採用分散式部署,中心節點建設在總部,分中心建設在各集團公司。
部署方式示意圖如下:
中心節點承擔總部統一使用者管理平臺資料負載,負責對總部應用系統及全國應用系統進行使用者管理、認證和單點登入。
分中心承擔集團公司統一使用者管理平臺資料負載,各分中心獨立執行互不干擾,負責對集團公司應用系統進行使用者管理、認證和單點登入。
中心節點和分中心分別從同級的HR系統同步使用者資訊,由HR系統負責發起使用者管理操作,由統一使用者管理平臺進行使用者資訊分發。同時,兩級統一使用者管理平臺也實現了使用者同步,可在總部形成全集團使用者資訊檢視。
中心節點和分中心分別建立企業目錄,負責儲存本公司的使用者資訊、組織機構資訊、角色資訊等資料。
統一使用者管理平臺採用分級部署方式,為應用系統提供本地化的使用者管理、認證和單點登入服務,確保了內部網路暢通,實現辦公現代化、資訊電子化、傳輸網路化和管理科學化提供高保障、高質量的安全基礎平臺。
部署內容設計
總部部署:總部部署兩臺統一使用者管理平臺伺服器,構成總部的統一使用者管理平臺,負責對總部或全集團應用系統提供使用者管理、認證和單點登入服務。
集團公司部署:集團部署兩臺統一使用者管理平臺伺服器,構成集團的統一使用者管理平臺,負責對集團應用系統提供使用者管理、認證和單點登入服務。
系統介面設計
統一使用者管理平臺作為使用者資訊的集中管理與整合的資訊設施,涉及與各個業務系統的互動,系統必須具有良好、完善的介面,以滿足應用系統在多種應用場景下的使用需求。
認證與單點登入介面規範
統一使用者管理平臺產品提供應用系統認證與單點登入介面規範,方便應用系統進行認證和單點登入接入。根據應用系統的實際情況,可選擇HTTP協議或TCP協議。
HTTP協議介面規範:提供HTTP協議介面包及開發規範,進行應用系統的單點登入接入。
TCP協議介面規範:提供TCP協議介面包及開發規範,進行應用系統的單點登入接入。
組織機構使用者資料同步介面
統一使用者管理平臺組織機構、使用者資料同步介面分為兩類:從資料來源接收資料同步和嚮應用系統同步資料。
從資料來源接收資料同步介面
在企業內部已擁有組織機構、使用者資料權威資料來源的情況下,統一使用者管理平臺提供資料接收同步服務。在權威資料來源的組織機構、使用者資料發生變更時,可自動同步到統一使用者管理平臺。
1)組織機構操作介面:可接收組織機構資訊的增加、刪除、修改、啟用、停用、重新命名、修改父級等變更資訊;
2)使用者操作介面:可接收使用者資訊的增加、刪除、修改、啟用、停用、重新命名、修改父級、變更使用者組、變更角色等變更資訊;
3)使用者組操作介面:可接收使用者組資訊的增加、刪除、修改等變更資訊;
4)角色操作介面:可接收角色資訊的增加、刪除、修改等變更資訊;
5)密碼操作介面:可接收管理員重置密碼、使用者自助修改密碼、使用者自助重置密碼的變更資訊。
嚮應用系統同步資料介面
在統一使用者管理平臺內進行企業內部組織機構、使用者資料的統一管理,或者接收到權威資料來源的同步資料,產生增量變化資料後,統一使用者管理平臺提供資料同步分發服務,根據應用系統的資料需求,進行相應資料的分發與同步。
1)同步介面:可同步組織機構、使用者、使用者組、角色、密碼等資訊的增加、刪除、修改、啟用、停用、重新命名、修改父級等變更資訊。
公共服務介面
統一使用者管理平臺作為企業內部的IT基礎設施,集中儲存企業的組織機構和使用者資料。統一使用者管理平臺提供公共服務,方便有需要的應用系統進行組織機構和使用者資料的查詢。
組織機構查詢介面
為應用系統提供組織機構查詢條件,可根據任意屬性、父級屬性查詢,查詢組織機構的詳細資訊,查詢結果支援分頁顯示。
使用者查詢介面
為應用系統提供使用者資訊查詢條件,可根據任意屬性、父級屬性查詢,查詢使用者的詳細資訊,查詢結果支援分頁顯示。
使用者組查詢介面
為應用系統提供使用者組資訊查詢條件,可根據使用者組名稱、編碼查詢,查詢使用者組的詳細資訊,查詢結果支援分頁顯示。
角色查詢介面
為應用系統提供角色資訊查詢條件,可根據角色名稱、編碼查詢,查詢角色的詳細資訊,查詢結果支援分頁顯示。
3 統一使用者管理平臺設計
根據部署方式設計圖所示,統一使用者管理平臺分級部署在總部和集團公司,分別為總部應用系統和集團公司應用系統提供身份認證、單點登入、使用者管理服務。
總部統一使用者管理平臺除了承擔本公司應用的使用者認證功能外,還為集中部署的應用系統提供下屬集團公司使用者認證功能,即支援總部集中部署,總部、集團公司分級使用的全國應用系統使用者認證。總部統一使用者管理平臺所制定的安全策略針對全部應用系統生效。
集團公司統一使用者管理平臺承擔本公司應用的使用者認證功能,應用可以是統一建設部署的,也可以是本集團自行建設的應用系統。集團公司統一使用者管理平臺繼承總部統一使用者管理平臺安全策略,並可針對本集團特定應用或本地應用制定單獨的安全策略。
設計依據
統一使用者管理平臺採用分級部署、分級管理的設計方式,其主要優點有:
(1)適應不同部署形式的應用系統,更好地貼近應用系統實際安全需要;
(2)集團公司有自建應用系統,也需要統一使用者管理,本地的統一使用者管理平臺提供了實現手段;
(3)分級部署提供了本地認證能力,減少了對網路的依賴,提高了系統可靠性;
(4)分級部署為本地提供了應用管理能力,可為本地建設的單獨應用系統提供單點登入;
(5)總部統一使用者管理平臺可靈活使用,既為總部服務又可為全國應用服務,還具有認證託管能力,可為人數較少的集團公司直接提供認證服務。
統一使用者管理功能
使用者管理
使用者管理是指各級使用者管理員透過統一使用者管理平臺提供的頁面,在其管理範圍內完成對使用者的新增、查詢、修改、刪除和應用分配等操作。
使用者類別可分為:內部使用者、外部使用者、臨時使用者等多種型別。
臨時使用者在申請統一使用者管理平臺帳號需要進行層級審批。
使用者主帳號管理:新增一個使用者,主要填寫包括使用者姓名、身份證號、選擇所在公司和部門等資訊,建立使用者資訊的同時為使用者分配員工編碼,才能生效。
員工編號必須在全公司範圍內唯一。
使用者主帳號修改功能中的口令修改能夠自動同步到各子帳號中,使使用者口令保持一致。
使用者主帳號中的資訊修改,如果資訊在子帳號中也存在,需要自動的更新到子帳號中,使得使用者資訊保持一致。
使用者刪除時,使用者的許可權等資訊也將隨之刪除。
使用者從帳號管理:使用者管理員透過統一使用者管理平臺頁面可以對使用者從帳號進行建立、修改、刪除等操作,建立的從帳號透過管理介面同步到各個應用系統中。
從帳號與主帳號自動進行關聯,透過主帳號檢視可以看到和子帳號的關聯關係。
如果修改的資訊是使用者主帳號包括的基本資訊,應當修改主帳號資訊,由主帳號自動同步到從帳號,是資訊保持一致。
使用者管理員透過統一使用者管理平臺頁面可以對使用者從帳號進行刪除,刪除操作透過介面同步到各個應用系統。
使用者帳號的修改:使用者管理員透過統一使用者管理平臺WEB UI介面可以對使用者資訊進行修改,使用者帳號修改功能中的口令修改應當能夠自動同步到各子帳號中,使其使用者口令保持一致。
使用者帳號中的資訊修改,如果資訊在子帳號中也存在,需要自動的更新到子帳號中,使得使用者資訊保持一致。
使用者帳號的刪除:使用者管理員透過統一使用者管理平臺WEB UI介面可以刪除使用者。
使用者帳號的刪除應當在生命週期管理中透過離職等流程完成,儘量避免直接刪除使用者。
使用者刪除時,此時使用者的許可權等資訊也將隨之刪除。
使用者帳號的啟用:使用者管理員透過統一使用者管理平臺WEB UI介面可以對使用者進行啟用,啟用後使用者的主帳號狀態變成“正常”,但使用者所關聯的子帳號,需要管理員手工的進行啟用管理。
使用者帳號的禁用:使用者管理員透過統一使用者管理平臺WEB UI介面可以禁用使用者帳號,禁用後,使用者帳號所關聯的子帳號應自動禁用。
使用者帳號的轉移:使用者管理員透過統一使用者管理平臺WEB UI介面可以對使用者帳號進行轉移,該轉移是轉移使用者所在組織節點,轉移後使用者屬性中組織資訊需要自動的進行變更,與轉移後的組織資訊保持一致。
組織機構管理
統一使用者管理平臺提供組織機構管理頁面,在頁面中提供新增,查詢,登出,刪除等功能。
組織機構管理圖形化,已經新增在統一使用者管理平臺中的組織機構,系統將現有的組織機構已樹狀形式顯示。此管理頁面能夠被維護並實時更新。
組織結構資訊能夠匯出成圖片、Excel資料,能夠形成XML格式資料提供介面被其他系統實時引用。
組織機構的建立:新增一個組組機構,主要填寫包括組織機構的名稱、編碼、型別(部門或公司)等資訊,並指定其上級組織機構。
組織機構的編碼必須在全域性範圍內唯一,其編碼規則在企業目錄規範中統一規定。
組織機構的查詢:統一使用者管理平臺既提供查詢組織機構的WEB UI介面,也提供基於Web Service規範的組織機構查詢介面。後者主要便於應用系統在其應用中嵌入企業組織目錄樹。
支援透過組織機構名稱、編碼、型別等屬性進行組織機構的精確查詢、模糊查詢、組合查詢。
組織機構的修改:使用者管理員透過統一使用者管理平臺WEB UI介面可以對組織機構的名稱、編碼、型別進行修改。
支援對組織機構的合併和轉移。
在修改組織機構後,使用者資訊中組織的資訊將自動變更。
組織機構的刪除:使用者管理員透過統一使用者管理平臺WEB UI介面可以刪除組織機構。
在刪除組織機構時,必須先對該組織機構下的所有使用者進行調離或刪除處理,否則不能刪除組織機構。
在刪除組織機構時,必須先對該組織機構的下級組織機構進行轉移或刪除處理,否則不能刪除組織機構。
從資料安全性考慮,嚴禁透過遞迴方式直接刪除組織機構。
組織機構的合併:使用者管理員透過統一使用者管理平臺WEB UI介面可以對組織機構進行合併,合併支援兩種方式:
1) A,B合併到A或B;
2) A,B合併到C;
合併時,系統需要提示組織下的組織和人員將會合併到新的組織下。
組織機構的刪除:使用者管理員透過統一使用者管理平臺WEB UI介面可以對組織機構進行刪除,系統需要檢查當前組織下是否還包含子組織和人員,如果存在,提示管理員不能刪除該組織,需要先轉移該組織下的子組織和人員。
群組管理
群組管理是指各級使用者管理員透過統一使用者管理平臺提供的頁面,在其管理範圍內完成對群組的新增、修改、刪除、群組人員分配和群組人員轉移等操作。
群組的編碼在全公司範圍內唯一。群組用於將擁有同類許可權的使用者進行彙總,以便於批次使用者的授權。
群組包括靜態組和動態組,靜態組提供對組的成員管理,管理員可以透過查詢使用者的方式,把使用者新增到改組。
動態組透過LDAP表示式實現,系統應提供LDAP表示式輸入的區域,和對LDAP表示式檢查的結果顯示,方便管理員設定。
管理員透過統一使用者管理平臺頁面可以向群組中新增人員、去除人員,群組中人員的新增/去除操作隻影響使用者的許可權。
群組刪除時,該群組與應用系統的關聯關係,群組與人員的關係將一併刪除。
許可權與角色管理
可以擴充套件提供基於角色的訪問控制能力。使用者和角色之間的關係是不斷維護的,每種角色都有各自的許可權定義,如果一個使用者被賦予一個角色之後,那麼這個使用者就擁有了那個角色所定義的許可權;當這個角色的許可權定義更改之後,所有被賦予這個角色的使用者也會自動擁有這個角色更改之後的許可權。
平臺負責目錄中角色的維護,包括角色的新增、修改、刪除、角色人員分配和角色人員轉移等功能。
應用管理
管理員透過統一使用者管理平臺提供的頁面,完成對應用系統的註冊、修改、刪除等操作。
可以指定應用系統的同步內容,包括帳號、組織、群組和角色。
支援應用的批次開通。
使用者資訊匯入
統一使用者管理平臺提供了資料初始化工具,可從單資料來源或多資料來源匯入使用者資訊。使用者資訊匯入步驟如下:
(1)選擇一個或多個應用系統資料來源作為使用者資訊匯入源;
(2)按照事先定義好的Web Service介面,匯入使用者資訊;
(3)統一使用者管理平臺會根據事先定義好的欄位設定,將使用者資訊完整的建立起來,管理員可在此基礎上對使用者進行分組或自動分組,便於進行單點登入授權。
帳號有效期管理
如果使用者型別是臨時使用者,則賬戶有效期屬於必填項。
為了滿足對使用者生命週期管理的需要,需實現如下功能:
(1)面向全體使用者,定義統一使用者管理平臺使用者身份有效期稽核管理措施;
(2)當使用者資訊接近有效期時告警;
(3)當使用者有效期到期禁用使用者、停止訪問許可權。
使用者密碼管理
對於使用者名稱密碼認證,統一使用者管理平臺支援使用者密碼的安全策略管理和密碼同步管理。
密碼安全策略管理:對於密碼安全策略,系統支援如下要求:
(1)可定義口令的複雜度策略:包括口令的長度、口令的組成、定義非重複口令、禁用的字元短語等;
(2)可定義口令的過期策略,使使用者在一定週期過後就強制要求修改密碼;
(3)可針對不同崗位和角色應用不同的口令安全策略;
(4)支援口令加密儲存及口令重置。
對於需要採用口令同步的系統,系統支援使用者口令的同步,當在統一使用者管理平臺修改口令後,系統將使用者口令同步到後臺各應用系統中。
初始密碼修改:統一使用者管理平臺提供設定初始密碼功能,此功能能夠提供初始密碼設定。
在統一使用者管理平臺註冊新使用者後,統一使用者管理平臺會自動為使用者設定初始密碼。當使用者在初始登入時,使用初始密碼登入。統一使用者管理平臺檢查登入密碼,如果檢測登入密碼為初始密碼系統則彈出提示資訊(如:“不能使用初始密碼登入”)並匯入頁面密碼修改頁面,讓使用者自行修改密碼。
帳號密碼強度檢測:統一使用者管理平臺提供密碼強度檢測功能,即使用者在修改密碼時,使用者設定的密碼沒有達到指定的強度時,系統會提示使用者設定的密碼沒有達到指定的強度,請使用者重新設定。
自助申請帳號
提供頁面為提供臨時使用者帳號自助申請,臨時帳號需要進行審批後才能使用,並且在審批時設定帳號有效期。
使用者自服務管理
使用者自服務管理是指使用者管理員透過使用者管理系統的UI介面,對允許使用者進行自助服務的個人資訊進行範圍設定。
使用者自服務管理系統必須能夠保障使用者的自助編輯服務範圍是限制在使用者個人基本資訊中,不能超出這個設定範圍,且必須符合目錄儲存規範中對使用者各項資訊屬性型別的要求。
使用者自助服務系統必須保證使用者只能檢視和編輯自身的使用者資訊。
使用者個人資訊自助服務
使用者個人資訊自助服務是指使用者自身透過使用者管理系統的UI介面(通常為Web UI介面),對其自身的個人基本資訊進行登記和編輯等操作。
使用者可以透過自助服務檢視本人的身份資訊和授權,並能夠對其中的個人基本資訊進行編輯,例如:使用者手機號碼這種個人資訊允許使用者自助編輯,而使用者的公司資訊,包括使用者ID、使用者工號、使用者組織等資訊是不允許使用者編輯,以保證使用者資訊的合法性。
領導可以自行指定一個代理人來處理使用者的事務。
使用者自助服務UI介面應能夠將使用者資訊中的個人資訊和公司資訊,可自助服務資訊和非自助服務資訊,以及必選資訊和可選資訊清晰區分開來;
使用者管理系統必須能夠保障使用者的自助服務範圍是滿足使用者管理員設定範圍。
使用者透過自服務系統能夠修改授權使用者修改的個人資訊,包括密碼資訊。
被整合的應用系統應該呼叫統一使用者管理平臺的自服務管理模組,不再使用原有的自服務模組。
系統管理
統一使用者管理平臺的管理服務功能包括:資料字典設定、選單管理設定、角色管理、資料匯入、同步訂閱。
系統提供分級管理功能,系統管理員可以定義為總部、下屬公司兩級或更多級,分別對能管理的使用者、角色等資訊進行管理。
安全審計與日誌報表
系統提供一個集中的儲存中心以日誌的形式記錄使用者所作的所有操作。審計人員、安全管理人員可以隨時察看這些記錄使用者、系統和應用的日誌資訊。併為所有系統和使用者提供一個基於關係型資料庫的準確而且安全的日誌記錄方式。
管理人員可以根據日誌中記錄的資訊,進行靈活地日誌查詢和報表功能。
單點登入功能實現
單點登入的實現原理:統一使用者管理平臺的使用者資訊資料獨立於各應用系統,形成統一的使用者唯一ID,並將其作為統一認證平臺使用者的主帳號。
(1)在透過統一使用者管理平臺統一認證後,可以從登入認證結果中獲取統一使用者管理平臺使用者唯一ID(主帳號);
(2)再由其關聯不同應用系統的使用者帳號(從帳號);
(3)最後用關聯後的帳號訪問相應的應用系統。
當增加一個應用系統時,只需要增加統一使用者管理平臺使用者唯一ID(主帳號)與該應用系統帳號(從帳號)的一個關聯資訊即可,不會對其它應用系統產生任何影響,從而解決登入認證時不同應用系統之間使用者交叉和使用者帳號不同的問題。單點登入過程均透過安全通道來保證資料傳輸的安全。
B/S結構應用系統的接入與認證:B/S結構應用系統使用者均採用瀏覽器登入和訪問應用系統,因此使用瀏覽器訪問統一使用者管理平臺,在統一使用者管理平臺登入認證成功後,再訪問具體B/S應用應用系統。B/S應用系統接入統一使用者管理平臺的架構如下圖所示:
圖2 應用系統接入與認證架構
統一使用者管理平臺提供兩種B/S結構應用系統接入方式,以滿足不同應用系統的需求,快速實現單點登入:
反向代理方式:在完成客戶端與認證伺服器的互動認證後,使用者先登入進入統一使用者管理平臺系統,然後利用反向代理技術完成伺服器端代理使用者認證,並將應用系統資訊推送給客戶端瀏覽器,從而實現使用者對該應用系統的訪問。
這種方式下應用系統基本不需改動和開發,對於不能作改動或沒有原廠商配合改動的應用系統,可以使用該方式接入統一使用者管理平臺。實現上,採用SSO認證服務和SSO Agent進行互動驗證使用者資訊,完成應用系統單點登入。
圖3 反向代理方式接入應用系統
反向代理方式下透過統一使用者管理平臺訪問應用系統的流程如下:
(1)使用者在統一使用者管理平臺上點選訪問的應用系統URL連結;
(2)由統一使用者管理平臺驗證使用者許可權,有許可權則在統一使用者管理平臺資料庫中查詢使用者和應用系統的關聯表,無許可權則提示使用者無權訪問;
(3)如關聯表中無相應記錄,則瀏覽器彈出建立關聯的頁面;如關聯表中有相應記錄,則統一使用者管理平臺伺服器提取使用者和應用系統的關聯資訊,送至SSO服務加密簽名形成數字信封后,返還給統一使用者管理平臺;
(4)由統一使用者管理平臺將加密資訊傳送給應用系統前端的SSO Agent;
(5)SSO Agent收到加密資訊後進行解密,並嚮應用系統提交使用者關聯資訊;
(6)應用系統收到使用者關聯資訊後進行驗證,驗證成功則允許使用者訪問應用,失敗則提示使用者更新關聯資訊。
外掛方式:外掛方式採用SSO認證服務和整合外掛(SSO API)的方式進行互動驗證使用者資訊,完成應用系統單點登入。外掛方式提供多種API,透過簡單呼叫即可實現SSO。
通常情況下,對於有原廠商配合開發的應用系統,推薦使用該方式接入統一使用者管理平臺,以實現高效率高可靠的單點登入。
圖4 外掛方式接入應用系統
(1)使用者在統一使用者管理平臺上點選訪問的應用系統URL連結;
(2)由統一使用者管理平臺驗證使用者許可權,有許可權則在統一使用者管理平臺資料庫中查詢使用者和應用系統的關聯表,無許可權則提示使用者無權訪問;
(3)如關聯表中無相應記錄,則該使用者未授權,不允許訪問;如關聯表中有相應記錄,則統一使用者管理平臺伺服器提取使用者在該應用系統中的身份資訊,送至SSO服務加密簽名形成數字信封后,返還給統一使用者管理平臺;
(4)由統一使用者管理平臺將加密資訊傳送給相應的應用系統;
(5)應用系統呼叫SSO API,對加密資訊進行解密,得到使用者身份資訊並返回給應用系統;
(6)應用系統收到使用者身份資訊後透過信任機制允許使用者訪問應用系統。
C/S結構應用系統的接入與認證:對於C/S架構的應用系統,統一使用者管理平臺採用Windows訊息機制方式,自動地向客戶端傳遞認證引數,從而實現單點登入。其具體認證過程如下:
(1)在統一使用者管理平臺上啟用CS Agent,由管理員配置好CS Agent所需要的客戶端使用者認證引數;
(2)使用者登入統一使用者管理平臺;
(3)使用者點選C/S應用連結;
(4)CS Agent啟動客戶端,並透過Windows訊息機制向客戶端傳遞使用者認證引數;
(5)客戶端接收到認證引數,按照自身的認證方式透過使用者驗證,進入系統;
(6)使用者使用客戶端而無需進行其他操作。
應用支撐體系
統一使用者管理平臺建設採用分級部署方式,可靈活支援多種部署形式的應用系統,分別詳述如下:
集中部署應用的認證與單點登入
對於集中部署、分級使用的應用系統,由總部統一使用者管理平臺提供使用者管理、認證與單點登入服務,應用系統為集團公司使用者提供訪問連結,該訪問連結可整合在集團公司門戶中。
總部統一使用者管理平臺具有全國使用者資訊庫,因此,可以為集中部署方式的應用系統提供支援。當集團公司使用者訪問應用時,認證請求被髮送到總部統一使用者管理平臺,由平臺校驗使用者認證憑證,校驗成功則檢查使用者許可權資訊和應用訪問控制資訊,根據上述資訊單點登入到應用中。
分級部署應用的認證與單點登入
對於分級中部署、分級使用的應用系統,由總部和集團公司統一使用者管理平臺分別提供使用者管理、認證與單點登入服務,應用系統分別為總部和集團公司使用者提供訪問連結,該訪問連結可分別整合在總部和集團公司門戶中。
總部和集團公司統一使用者管理平臺分別具有本公司範圍內的使用者資訊庫,因此,可以為分級部署方式的應用系統提供支援。當集團公司使用者訪問應用時,認證請求被髮送到集團公司統一使用者管理平臺,由平臺校驗使用者認證憑證,校驗成功則檢查使用者許可權資訊和應用訪問控制資訊,根據上述資訊單點登入到應用中;當總部使用者訪問應用時,認證請求被髮送到總部統一使用者管理平臺,由平臺校驗使用者認證憑證,校驗成功則檢查使用者許可權資訊和應用訪問控制資訊,根據上述資訊單點登入到應用中。
直接使用總部統一使用者管理平臺的設計
對於部分人數較少的集團公司,可以採用直接使用總部統一使用者管理平臺提供的使用者管理、認證與單點登入服務,即採用認證託管模式建設本集團公司統一使用者管理平臺,有效節省投資成本。
在認證託管模式下,集團公司在本地不存在物理上的統一使用者管理平臺,而是由總部統一使用者管理平臺在邏輯上形成一個只針對該集團公司的統一使用者管理平臺,由該集團公司管理員維護與管理。邏輯上的統一使用者管理平臺,具有和其他集團公司所建的統一使用者管理平臺一致的功能,也可以進行本集團範圍內的分級管理授權,功能獨立運用,不受總部統一使用者管理平臺的影響。
授權管理體系
統一使用者管理平臺採用了分級部署、分級管理的實現方式,授權管理也相應的採用了分級授權管理體系。總部管理員負責管理總部應用和全集團應用,管理總部角色資訊,實現使用者基於角色或個人的授權。集團公司管理員負責管理集團公司應用應用,管理集團公司角色資訊,實現使用者基於角色或個人的授權。
對於每個公司的授權,採用了集中授權管理機制,能夠集中的對使用者與被管資源中的許可權進行分配。
把許可權(資源)賦予使用者的過程中,應該有完善的授權生命週期管理:授予許可權、修改授權、解除授權。同時存在輔助管理功能,例如:查詢、定位、報表等。
為了方便授權動作,可以將一組相同或相近型別的許可權(資源)定義為角色。同理,如果把一個角色授予一個使用者,即把角色包含的許可權(資源)全部授予使用者。
現階段實現粗粒度實體級授權,也就是完成使用者到資源的訪問層面。而應用等內部的授權由系統自身完成。
資源管理
資源管理是指對被管理資源進行錄入、編輯、刪除、查詢、報表等一系列維護管理操作。為了方便管理員管理,資源按照多種型別進行分類管理,提供給管理員的UI介面,進行友好的管理維護與展現。
資源管理支援以下功能:
建立資源:管理員能夠透過檔案匯入或者人工新增的方式,增加新的資源資訊;
修改資源:管理員能夠對其管理範圍內的資源資訊進行編輯;
查詢資源:管理員能夠透過設定查詢條件(包括精確、模糊和組合等方式)對其管理範圍內的資源資訊進行查詢;
刪除資源:管理員能夠在其管理範圍內刪除某個或某些資源的資訊;
角色管理
角色是一系列許可權(資源)的集合。透過角色的定義,可以簡化授權操作,降低使用者與許可權之間的耦合程度,提高授權的靈活性。
授權管理
授權管理就是把相應的許可權(資源)或角色授予使用者或使用者組的一系列維護管理操作。對使用者授權後,使用者即擁有訪問目標資源的許可權。
使用流程
單點登入流程
單點登入流程詳細如下:
(1)使用者在登入後頁面中顯示的應用程式訪問列表中點選需要訪問的應用程式連結;
(2)應用系統接受使用者的訪問請求,並將訪問請求轉發到統一使用者管理平臺的單點登入伺服器;
(3)單點登入伺服器解析使用者訪問請求資訊,並校驗使用者訪問許可權,嚮應用系統返回使用者資訊;
(4)應用系統獲得單點登入伺服器資訊,使用者登入成功,正常使用應用系統。
單點登入安全性說明
對於單點登入系統來說,由於各個應用系統是根據從單點登入系統獲得的票據來獲取登入人員身份的,因此票據的安全性是單點登入系統的關鍵要素。為了保證票據的安全,採取了以下措施:
票據生成的唯一性和時效性:為了保證使用者登入應用系統的安全性,由單點登入系統生成票據作為使用者登入應用系統的憑據。生成的票據由單點登入系統儲存,並記錄該票據是發給哪個使用者登入哪個應用系統的。票據是一串加密的隨機數,且該串隨機數一次有效並具有一定的時效性(一般為60秒)。當使用者單點登入成功時,該票據被刪除;當超過票據有效時間時,該票據被刪除。透過這些措施可以阻止其他使用者利用中間人截獲的方式登入應用系統,也可以阻止其他應用伺服器模擬合法使用者登入到其他應用伺服器。
票據驗證還可以配合IP地址繫結等方式,透過增加客戶端可識別資訊進一步加強單點登入的安全性。
票據傳輸過程安全性:在票據傳送過程中,由單點登入系統對票據進行簽名然後才傳送到應用系統。任何對認證資訊的修改都會導致簽名驗證的失敗,從而阻止其他客戶端對認證請求的偽造,也可以驗證客戶端的唯一性。
在應用系統接收到票據後,會將票據傳送到單點登入系統進行驗證,傳送的過程中,將由單點登入系統部署於業務系統上的元件對傳輸內容進行簽名,這樣就保證了目標業務系統的不可抵賴性。
使用者資訊的安全性:在驗證票據後,單點登入系統會將使用者的登入資訊傳送給業務系統,同時,此次傳輸的使用者資訊是由單點登入系統進行加密後傳輸,因此,在此傳輸過程中保證了使用者登入資訊的安全性。
# # #
關於時代億信
北京時代億信科技有限公司是一家致力於企業應用整合及資訊保安整體解決方案的專業技術服務公司。公司依託首都科技產業優勢,專注於數字證書應用、企業應用安全、企業應用整合及相關領域的軟體研發與技術服務,為客戶提供整體的應用安全解決方案。憑藉團隊優勢和綜合技術能力,公司相繼獨立完成了身份認證、統一身份管理與訪問控制、文件安全保護、SSLVPN等一系列創新產品的研發和推廣,積累了豐厚的專業技術實力和成熟的客戶服務經驗,經過不斷努力,已經成為企業應用安全及整合領域領先的解決方案提供商。
[@more@]

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10098689/viewspace-1060933/,如需轉載,請註明出處,否則將追究法律責任。

相關文章