En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>IAM(身份與訪問控制)> 身份安全 | 統(tǒng)一身份管理如何實(shí)現(xiàn)?實(shí)踐出真知!

身份安全 | 統(tǒng)一身份管理如何實(shí)現(xiàn)?實(shí)踐出真知!

文章

2020-07-28瀏覽次數(shù):330

伴隨著信息技術(shù)不斷的發(fā)展革新和信息化建設(shè)的飛速進(jìn)步,以及企業(yè)自身業(yè)務(wù)的擴(kuò)張,企業(yè)在信息化建設(shè)的投入不斷加大,各個(gè)應(yīng)用系統(tǒng),服務(wù)平臺、以及相關(guān)的資源設(shè)備都在大量的投入,隨著系統(tǒng)的不斷投入,處在不同時(shí)期,不同部門建設(shè)的各類信息化系統(tǒng)在技術(shù)、架構(gòu)上及應(yīng)用模式上存在的差異明顯,企業(yè)的信息化建設(shè)逐漸暴露出新問題。

 

企業(yè)

的應(yīng)用系統(tǒng)、設(shè)備、硬件資源眾多,伴隨著用戶管理混亂,越權(quán)訪問,權(quán)限管控不當(dāng),審計(jì)不全,為解決這一問題統(tǒng)一身份管理需求出現(xiàn)。

 

 
相關(guān)定義理解
 
 

統(tǒng)一身份管理主要是實(shí)現(xiàn)用戶身份統(tǒng)一及帳號集中管理、用戶認(rèn)證統(tǒng)一,系統(tǒng)授權(quán)統(tǒng)一管理,安全審計(jì)統(tǒng)一管理的功能,達(dá)到企業(yè)多個(gè)系統(tǒng)之間用戶,認(rèn)證高度的統(tǒng)一管理,實(shí)現(xiàn)高效集成,安全監(jiān)管,從而提升企業(yè)信息化應(yīng)用能力。往往很多人把統(tǒng)一身份管理和4A項(xiàng)目,主數(shù)據(jù)管理項(xiàng)目混為一談,這在一定程度上存在理解錯(cuò)誤,以下對這兩個(gè)歧義進(jìn)行說明。

 

 
與4A概念的關(guān)系
 
 

4A是指:認(rèn)證Authentication、賬號Account、授權(quán)Authorization、審計(jì)Audit,即統(tǒng)一安全管理平臺,也就是把賬號、認(rèn)證、授權(quán)、審計(jì)定義為網(wǎng)絡(luò)安全的四大組成部分,從而確立了身份認(rèn)證在整個(gè)網(wǎng)絡(luò)安全系統(tǒng)中的地位與作用。

在某些軟件項(xiàng)目中統(tǒng)一身份管理也被稱作為4A項(xiàng)目,解決問題及實(shí)施方案包括4A中提到的內(nèi)容,只不過很多時(shí)候?qū)τ诓煌脩舻男枨髨鼍芭c個(gè)性化業(yè)務(wù),會在4A實(shí)施內(nèi)容范圍上多實(shí)現(xiàn)一些功能,例如開發(fā)簡單的工作臺門戶,展現(xiàn)系統(tǒng)集成成果或與不同的集成類平臺產(chǎn)品結(jié)合,打造不同的解決方案等,加深項(xiàng)目的價(jià)值與作用。

 

 
與主數(shù)據(jù)管理的區(qū)別
 
 

主數(shù)據(jù)管理是解決企業(yè)經(jīng)營中各類主數(shù)據(jù)在不同系統(tǒng)中的名稱、編碼等信息不一致現(xiàn)象,保證企業(yè)內(nèi)主數(shù)據(jù)單一視圖的準(zhǔn)確性、一致性及完整性。兩者在企業(yè)IT架構(gòu)的層面、管理內(nèi)容、功能、業(yè)務(wù)交互等方面都具備一定的差異。在企業(yè)IT架構(gòu)中統(tǒng)一身份管理項(xiàng)目屬于IT治理層面,注重技術(shù)架構(gòu)的實(shí)現(xiàn);主數(shù)據(jù)管理項(xiàng)目屬于數(shù)據(jù)治理層面,注重業(yè)務(wù)、數(shù)據(jù)架構(gòu)的實(shí)現(xiàn),兩者從不同層面、維度分別作為基礎(chǔ)支撐為更高層次的服務(wù)治理、業(yè)務(wù)治理奠定基礎(chǔ)。

 

 

 

? 在管理內(nèi)容方面,統(tǒng)一身份管理企業(yè)內(nèi)部的用戶、群組、角色;主數(shù)據(jù)管理企業(yè)內(nèi)部的組織、人員、崗位,除此之外還管理其它如:客戶、供應(yīng)商等主數(shù)據(jù)。

? 在功能方面,統(tǒng)一身份管理具備統(tǒng)一身份認(rèn)證功能,弱化案例功能,很少或不預(yù)置管理案例;主數(shù)據(jù)管理不具備統(tǒng)一身份認(rèn)證功能,提供基礎(chǔ)數(shù)據(jù)管理樣例。

? 在業(yè)務(wù)交互方面,統(tǒng)一身份管理主要與信息中心人員進(jìn)行交互;主數(shù)據(jù)管理主要與業(yè)務(wù)人員進(jìn)行交互,注重?cái)?shù)據(jù)、業(yè)務(wù)的梳理。

 

 

 

常見問題分析
 

 

統(tǒng)一身份管理項(xiàng)目屬于IT整合階段的集成類問題,談到集成類問題,企業(yè)信息化建設(shè)的歷史原因不可避免,為解決運(yùn)營管理問題由下至上無規(guī)劃的建設(shè),造成不同時(shí)期、不同廠商、不同技術(shù)、不同平臺、不同規(guī)模的系統(tǒng)雜亂無序的構(gòu)建,隨著系統(tǒng)增多到一定程度,新一階段的信息化問題一觸即發(fā),具體表現(xiàn)如下: 

業(yè)務(wù)處理方面

 
 
 

? 用戶處理業(yè)務(wù)必須記住多個(gè)系統(tǒng)的用戶名及密碼,容易遺忘;

? 處理一個(gè)業(yè)務(wù)需要頻繁登錄與切換不同系統(tǒng),繁瑣且效率低下;

? 信息分散難以獲取,缺少有效整合,用戶難以進(jìn)行信息綜合利用;

? 用戶信息修改多個(gè)入口,且不能統(tǒng)一在一個(gè)平臺;

? 各個(gè)業(yè)務(wù)系統(tǒng)分散管理,在信息更新、同步方面存在瓶頸;

 

IT運(yùn)維方面
 
 
 

系統(tǒng)用戶名/密碼遺忘現(xiàn)象嚴(yán)重,IT維護(hù)難度及成本增大;

? IT開發(fā)成本較大,標(biāo)準(zhǔn)不統(tǒng)一,應(yīng)用系統(tǒng)各自為王,用戶,認(rèn)證體系進(jìn)行重復(fù)建設(shè);

? 隨著用戶名/密碼增多,企業(yè)缺乏統(tǒng)一的賬號安全管理策略;

? 缺乏統(tǒng)一授權(quán)及訪問審計(jì)機(jī)制,非法操作無法快速定位追溯;

 

 

具體實(shí)施步驟

 

項(xiàng)目解決方案

對于統(tǒng)一身份管理項(xiàng)目主要使用IDM身份管理平臺或4A系統(tǒng)進(jìn)行解決,通常情況下除了使用單一產(chǎn)品,還會搭配集成套件中的其它產(chǎn)品更好的輔助完成項(xiàng)目,如ESB企業(yè)服務(wù)總線,共同打造統(tǒng)一身份管理項(xiàng)目。

方案總體介紹

 

通過統(tǒng)一用戶管理及認(rèn)證體系,建立統(tǒng)一用戶資源庫,對企業(yè)信息系統(tǒng)用戶進(jìn)行合理分類,實(shí)現(xiàn)用戶身份和權(quán)限的統(tǒng)一認(rèn)證與授權(quán)管理,并對企業(yè)應(yīng)用集成的運(yùn)行環(huán)境、服務(wù)互操作、數(shù)據(jù)交換和通用服務(wù)等全過程進(jìn)行統(tǒng)一系統(tǒng)監(jiān)控安全審計(jì),滿足對信息系統(tǒng)統(tǒng)一用戶管理、統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)管理以及安全審計(jì)的要求。

具體包括統(tǒng)一身份管理平臺、ESB企業(yè)服務(wù)總線,方案體系架構(gòu)如下圖所示:

 

 

 

統(tǒng)一身份管理平臺主要實(shí)現(xiàn)企業(yè)用戶、群組、角色統(tǒng)一管理、認(rèn)證管理及內(nèi)置工作流功能實(shí)現(xiàn)對創(chuàng)建賬號、授權(quán)管理時(shí)的流程審批功能,審計(jì)功能實(shí)現(xiàn)行為的審計(jì)分析、追溯管理。

ESB企業(yè)服務(wù)總線在統(tǒng)一身份管理方案中主要作為提供數(shù)據(jù)同步接口、流程觸發(fā)、實(shí)現(xiàn)數(shù)據(jù)間抽取、轉(zhuǎn)換、同步、分發(fā)的工具。

 

 

下周將給大家講講具體實(shí)施步驟、最佳實(shí)踐輸出等內(nèi)容。