En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>IAM(身份與訪問控制)> 身份安全 | 統(tǒng)一身份管理項目落地,需要幾個步驟?

身份安全 | 統(tǒng)一身份管理項目落地,需要幾個步驟?

文章

2020-08-27瀏覽次數(shù):300

上周帶領(lǐng)大家初步了解統(tǒng)一身份管理項目、一些常見問題分析身份安全 | 統(tǒng)一身份管理如何實現(xiàn)?實踐出真知!今天具體講講統(tǒng)一身份管理項目的落地實施步驟。

 

 

 
 
 
具體實施步驟
 
 

 

IAM統(tǒng)一身份管理平臺落地,不單單是系統(tǒng)集成這么簡單,完整的項目落地,包含前期的調(diào)研,需求確認、方案設(shè)計(規(guī)劃統(tǒng)籌結(jié)合客戶實際情況給出合理的方案),具體功能實現(xiàn)、集成聯(lián)調(diào)、上線、以及平臺上線后的運營及推廣辦法,另外針對不同的行業(yè),調(diào)研的側(cè)重點可能不一樣,都需要有針對性的設(shè)計相應(yīng)的關(guān)注點、從系統(tǒng)調(diào)研結(jié)束,到功能需求的實現(xiàn)落地,到功能測試聯(lián)調(diào),上線,試運行等一系列工作,通常這個項目持續(xù)周期在12—16周區(qū)間。

 

IAM項目實施分工合作界面主要如下:

 

 

需求調(diào)研

 

IAM項目實施,清楚的理解客戶的需求是項目成功的關(guān)鍵,同樣需求調(diào)研是對接每一個應(yīng)用系統(tǒng)必不可少的一個環(huán)節(jié),需求得到清晰的理解,才能保證項目順利進行、直至成功的落地,從而保證項目達到客戶預(yù)期,完整的交付及驗收。

 

IAM項目的需求調(diào)研一般包含如下內(nèi)容:

 

基本信息:

管理流程、網(wǎng)絡(luò)環(huán)境、安全標準等IT現(xiàn)狀調(diào)研。

 

企業(yè)IT用戶總數(shù)大概多少(使用單點登錄系統(tǒng)的用戶總數(shù))

企業(yè)IT用戶類型有哪些?(如內(nèi)部員工,供應(yīng)商,合作商、外部用戶、互聯(lián)網(wǎng)用戶等)

企業(yè)是否有權(quán)威數(shù)據(jù)來源(如EHR、主數(shù)據(jù)管理等系統(tǒng))?

企業(yè)權(quán)威數(shù)據(jù)來源是否有對外數(shù)據(jù)接口?

企業(yè)是否使用LDAP/AD域進行用戶帳號管理?

企業(yè)是否有用戶帳號管理制度、流程?(如用戶增加、修改、鎖定、刪除等)

企業(yè)是否有內(nèi)部門戶網(wǎng)站?如無,是否需要建設(shè)簡易內(nèi)部門戶?如有,是否需要集成單點登錄系統(tǒng)?

企業(yè)是否需要實現(xiàn)移動設(shè)備上的應(yīng)用系統(tǒng)單點登錄?

企業(yè)需要什么類型的強認證方式?(如短信、二維碼、動態(tài)口令、數(shù)字證書或者其他等)

企業(yè)相關(guān)IT基礎(chǔ)設(shè)施描述(如數(shù)據(jù)中心數(shù)量,位置,是否有專線,專線帶寬多少等)

企業(yè)是否需要對應(yīng)用系統(tǒng)的帳號進行集中自動化管理?(如統(tǒng)一創(chuàng)建、修改、禁用、注銷等)

 

詳細信息:

應(yīng)用名稱、用戶數(shù)量、產(chǎn)品廠商、集成商、

使用用戶群(如內(nèi)部員工、供應(yīng)商、經(jīng)銷商、外部人員、臨時人員等)、

用戶使用接入方式(B/S、CS、移動端)、自主開發(fā)/商務(wù)套件、能否進行改造、

部署環(huán)境(如單機房、多地機房、Saas應(yīng)用)、

開發(fā)語言(系統(tǒng)開發(fā)語言,如Java,.Net,PHP等)、

數(shù)據(jù)庫類型和版本單機實例/多機集群架構(gòu)(例如系統(tǒng)考慮到高可用,同時安裝了多于一套的實例)、

系統(tǒng)用戶庫(如本地數(shù)據(jù)庫存儲、外部數(shù)據(jù)庫存儲、AD、外部LDAP存儲、本地LDAP存儲等)、

賬號命名規(guī)則(如使用工號、姓名全拼、姓名拼音首字母、隨機幾位字符等)、

密碼規(guī)則(如最少幾位數(shù)字、最少幾個字母、最小長度等)、

賬號增加(是否需要為用戶在應(yīng)用系統(tǒng)上創(chuàng)建賬號)、

賬號修改(是否需要為用戶在應(yīng)用系統(tǒng)上修改賬號相關(guān)信息)、

賬號禁用(是否需要為用戶在應(yīng)用系統(tǒng)上禁用賬號)、

密碼同步(是否需要為用戶同步密碼到應(yīng)用系統(tǒng))、

賬號開通方式((紙質(zhì)、郵件、系統(tǒng)申請))、

應(yīng)用是否存在賬號管理接口(系統(tǒng)提供webservice接口實現(xiàn)賬號添加,刪除禁用,修改密碼功能)、

是否需要單點登錄(一次輸入賬號和密碼后,無需再次輸入即可登錄多個系統(tǒng))等。

需求調(diào)研需要明確企業(yè)權(quán)威數(shù)據(jù)源及下游各個系統(tǒng)集成到何種程度,及下游應(yīng)用系統(tǒng)可改造的程度,以及是否存在特殊的需求及場景。

在需求調(diào)研階段,需要輸出的文檔交付物:《用戶需求說明書》,同時可以先行準備應(yīng)用系統(tǒng)的開發(fā)與集成標準規(guī)范,便于在第二輪的調(diào)研中更好的和客戶及集成廠商明確對接形式,各方職權(quán),分工等。

 

功能設(shè)計

 

項目的功能設(shè)計與前期的需求調(diào)研是環(huán)環(huán)緊扣,這兩部分是緊密相連,在客戶的需求明確后,接下來需要進入項目總體功能設(shè)計階段,在這期間要出具《項目設(shè)計規(guī)格說明書》。

 

方案設(shè)計階段通常涉及如下交付物:

  • 《詳細設(shè)計說明書》

  • 《數(shù)據(jù)庫設(shè)計說明書》

  • 《接口設(shè)計說明書》

  • 《技術(shù)標準與規(guī)范》

  • 《數(shù)據(jù)庫設(shè)計規(guī)范》

  • 《二次開發(fā)說明》

  • 《數(shù)據(jù)同步及功能說明》

  • 《安全管理文檔及規(guī)范》

 

在功能設(shè)計階段通常包括需求的原型設(shè)計、應(yīng)用系統(tǒng)的集成方案等,對于統(tǒng)一身份管理項目需要制定并出具統(tǒng)一的規(guī)范,平臺提供系統(tǒng)接入標準,各應(yīng)用系統(tǒng)遵循標準接入。

 

其中包括:

  • 應(yīng)用集成指南

  • 系統(tǒng)架構(gòu)規(guī)范

  • 數(shù)據(jù)定義規(guī)范

  • 系統(tǒng)帳號供應(yīng)接口規(guī)范

  • 認證規(guī)范

 

實施開發(fā)

  • 統(tǒng)一用戶管理

統(tǒng)一用戶管理(簡稱IDM)主要為企業(yè)提供集中的用戶存儲目錄,其中包括上游數(shù)據(jù)源獲取,下下游數(shù)據(jù)供給,主要同步內(nèi)容包括,組織、崗位、用戶、角色等基本信息,通過集中的用戶信息供給,保證數(shù)據(jù)在下游業(yè)務(wù)系統(tǒng)的高度一致。

 

IDM和應(yīng)用系統(tǒng)的集成,主要在權(quán)威數(shù)據(jù)源同步和下游系統(tǒng)數(shù)據(jù)提供,企業(yè)統(tǒng)一用戶管理最終的落地,首先需要明確數(shù)據(jù)源來自哪里,多數(shù)企業(yè)建立有自己的HR系統(tǒng),建議企業(yè)以HR系統(tǒng)作為權(quán)威數(shù)據(jù)源,對于部分客戶存在多數(shù)據(jù)源的情況,IDM需要分情況對待,實現(xiàn)多數(shù)據(jù)源的對接,此時需要注意的是多數(shù)據(jù)源情況下要保證用戶唯一性,對應(yīng)企業(yè)暫無權(quán)威數(shù)據(jù)源的情況,也可以直接以IDM作為數(shù)據(jù)源,企業(yè)提供用戶、組織的基礎(chǔ)信息平臺上線初始化到IDM,后續(xù)所以的變更操作在IDM進行,由IDM把變更信息同步至各個應(yīng)用系統(tǒng)。

 

打通企業(yè)上下游系統(tǒng)的對接,最終實現(xiàn)用戶全生命周期自動化管理,從而避免管理員過多的手工干預(yù),在保證數(shù)據(jù)準確性的同時提高效率。

 

 

 

  • 統(tǒng)一身份認證

實現(xiàn)用戶的集中存儲是實現(xiàn)用戶統(tǒng)一認證的前提,平臺實現(xiàn)了用戶的”注冊”,即可開始對接用戶的統(tǒng)一認證工作,一般統(tǒng)一認證單點登錄基于OAuth、SAML、CAS等認協(xié)議,統(tǒng)一身份認證平臺(IAM)提供標準的接入方式(api、SDK等)為應(yīng)用系統(tǒng)提供統(tǒng)一的認證方式和認證策略,通過應(yīng)用系統(tǒng)的單點登錄集成,實現(xiàn)用戶一次認證,網(wǎng)內(nèi)通用,即:用戶經(jīng)過統(tǒng)一身份認證系統(tǒng)認證后,無需再次登錄即可訪問其具有訪問權(quán)限的應(yīng)用系統(tǒng)。

 

應(yīng)用系統(tǒng)的單點登錄集成過程中,不同的應(yīng)用系統(tǒng)可能支持的協(xié)議不一樣,平臺需要提供多種協(xié)議便于應(yīng)用系統(tǒng)接入,另外針對不同開發(fā)語言的也需要有相應(yīng)的支持。

 

 

 

 

  • 集中行為審計

IDM身份管理提供了一個集中的存儲中心以日志的形式記錄用戶所做的所有操作。審計人員、安全管理人員可以隨時查看這些記錄用戶、系統(tǒng)和應(yīng)用的日志信息。

IDM的審計功能可以記錄所有用戶帳號管理的行為,因此,企業(yè)用于準備和實行審計的人力、時間和財力都會有很大程度的減少,從而也會加快對審計人員的響應(yīng)速度。

審計系統(tǒng)負責(zé)采集審計日志,進行格式化,并將審計日志存儲在數(shù)據(jù)庫中,供報表展現(xiàn)。

被審計的系統(tǒng)包括:SSO系統(tǒng)、IDM系統(tǒng),以及應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)如果沒有針對安全時間的審計日志,可能需要對應(yīng)用日志進行調(diào)整。

今后可制定應(yīng)用審計日志規(guī)范,對于新開發(fā)應(yīng)用,要求按照日志規(guī)范的格式輸出日志,以便快速方便的與審計系統(tǒng)集成。

 

審計系統(tǒng)將每條審計日志解析成如下字段:

1)Who:誰

2)What:什么事件

3)On What:在什么設(shè)備

4)When:什么時間

5)Where:在哪里:

6)Where From:從哪里

7)Where To:到哪里

 

 

 

  • 測試驗收

需求功能開發(fā)完成,往往伴隨的只是開發(fā)人員自測完畢,此時還需要測試團隊的介入,進行專業(yè)全流程的測試,完整的測試是對交付項目質(zhì)量一個驗證,有效的測試可以及時發(fā)現(xiàn)前期需求功能實現(xiàn)是否存在問題,嚴謹?shù)臏y試,才能保證項目上線質(zhì)量。

 

項目中的測試需要多輪測試,包括單元測試、整體測試、業(yè)務(wù)聯(lián)測及UAT測試、性能測試。

單元測試通常為開發(fā)階段開發(fā)人員最功能自行測試,檢測邏輯、代碼、功能是否合理、可用;

整體測試(全流程)是把完整的客戶業(yè)務(wù)場景進行串聯(lián),從整體應(yīng)用環(huán)境上進行測試,看功能是否貫穿滿足客戶業(yè)務(wù);

業(yè)務(wù)聯(lián)測(UAT)需要客戶方業(yè)務(wù)人員共同參與,模擬真實業(yè)務(wù)場景,最終驗證是否具備上線驗收資格,需要得到客戶的簽字確認。

 

 

<section data-tools="135編輯器" data-id="98470" style="margin:0px;padding:0px;max-inline-size:100%;border-width:0px;border-style:none;border-color:initial;z-index:0;min-width:90px;caret-color:#FF0000;font-size:17px;font-family:微軟雅黑, " box-sizing:border-box="" !important;outline:none="" 0px="" !important;"="">
 
 

 

 
 
 
最佳實踐輸出
 
 

 

雖然統(tǒng)一身份管理項目不像主數(shù)據(jù)治理、業(yè)務(wù)流程再造項目那樣具備嚴格的行業(yè)特征,需要實施人員具備很強的業(yè)務(wù)熟悉度與理解力,但并不代表統(tǒng)一身份管理項目就不需要對客戶的業(yè)務(wù)場景進行深入了解,整理分析。

 

除使用高質(zhì)的平臺工具外,與客戶之間的協(xié)調(diào)配合、充分調(diào)研、需求封閉、加強測試、快速上線等環(huán)節(jié)一個都不能少。

 

明確需求

項目啟動之后,做好需求調(diào)研準備工作,需求調(diào)研計劃準備(調(diào)研問卷模版、調(diào)研方式、時間計劃)充分,主要包括對客戶行業(yè)背景,項目痛點,項目范圍,邊界及客戶的期望進行深入了解,將項目中客戶的需求清晰化,例如應(yīng)用系統(tǒng)集成是否實現(xiàn)賬號統(tǒng)一管理和單點登錄兩部分,應(yīng)用系統(tǒng)對于數(shù)據(jù)同步的要求是全員同步還是部分用戶同步。

 

在需求確認過程中除了客戶的常規(guī)的業(yè)務(wù)場景之外,特殊業(yè)務(wù)場景也需要明確,例如客戶是否存在一人多組織,多角色、多崗位等情況,用戶離職返聘賬號是否新開還是沿用之前的賬號等等。

 

充分細致的需求調(diào)研可以避免后續(xù)項目需求的擴大,甚至出現(xiàn)落地效果與客戶實際業(yè)務(wù)存在偏差,進一步再次調(diào)整對接。

 

防止需求擴散

在需求調(diào)研階段對客戶的需求,項目的范圍、邊界進行鎖定,在項目進行正式實施前必須和客戶明確接下來項目落地的范圍,該過程需要得到客戶的確認(簽字、郵件等形式)如果對于客戶集成范圍存在待建系統(tǒng),則需要與客戶明確相關(guān)風(fēng)險,明確本期范圍,防止后續(xù)需求蔓延擴散,保證項目交付不超期。

 

暴露問題

在實際項目實施落地過程中,會存在各種各樣的問題/風(fēng)險,例如客戶系統(tǒng)無法改造,、架構(gòu)技術(shù)等等,不同的情況,對應(yīng)統(tǒng)一身份管理系統(tǒng)來說面臨的解決辦法存在不同形式,對于實施交付團隊而言需要在平時的項目中沉淀出最佳實踐及復(fù)用代碼等方法,可以較為穩(wěn)定的實現(xiàn)應(yīng)對。

 

如果是由于產(chǎn)品層面或難以實現(xiàn)的需求,而客戶需要快速上線,在項目過程中提前暴露出來,不管是實施過程中技術(shù),商務(wù)問題都需要盡早暴露出來,請求相關(guān)技術(shù)人員,商務(wù)支持協(xié)助。

 

加強測試

測試是對開發(fā)人員交付物質(zhì)量的檢驗,測試的結(jié)果決定了項目上線節(jié)點,測試不僅僅是對產(chǎn)品、功能、性能方面的驗證,更是對客戶需求把握的考量,需要對需求、業(yè)務(wù)場景深刻理解。

 

對應(yīng)測試過程中風(fēng)險的問題,及時的暴露出來,防止后續(xù)上線期間因處理測試出來的問題影響上線進度。

 

測試意味著對項目質(zhì)量負責(zé),客戶是否愿意繼續(xù)二期,其中重要的一方面是源自于對系統(tǒng)質(zhì)量的信任度。

 

知識沉淀

統(tǒng)一身份管理項目落地交付,在整個項目中或多或少都會遇到問題,項目組一定要及時總結(jié),并且定期召開項目復(fù)盤會議,進行相關(guān)的分享交流,沉淀項目過程中經(jīng)驗和教訓(xùn)。