统一身份与访问管理系统解决方案.doc
《统一身份与访问管理系统解决方案.doc》由会员分享,可在线阅读,更多相关《统一身份与访问管理系统解决方案.doc(28页珍藏版)》请在冰点文库上搜索。
统一身份与访问管理系统方案建议书
xxxx
统一身份与访问管理系统解决方案
2014年10月
2014年10月28/28
版本1.0
联系信息
关于本文中的任何信息,请联系技术工程师王庆先生,他的详细联系方式为:
电话:
13813992658@
电子邮件:
TWang@
版本历史
版本
日期
备注
1.0
2014年10月
第1版
免责声明
本建议书不得视为或解释为Novell和xxxx之间有效而且有约束力的协议。
建议书根据从xxxx获得的信息而编制,Novell对本建议书内容的准确性、完整性或充分性或建议书的使用不做任何担保,而且特别明确表示,对于本建议书的适销性和对特定目的的适用性,不做任何明示或暗示的担保。
此外,Novell公司保留修订本建议书及其内容的权利。
版权©2014
版权所有。
未经Novell公司同意,严禁复制或者修订本建议书的任何内容。
xxxx仅能够在内部复制和传播。
目录
1 项目概述 5
1.1 项目背景 5
1.2 项目目标 6
1.2.1 一期建设目标:
6
1.3 建设原则 7
1.4 使用范围 7
2 技术方案建议 8
2.1 系统总体架构 8
2.2 系统功能 9
2.2.1 用户身份信息管理 11
2.2.2 统一访问控制管理 12
2.2.3 用户生命周期管理 13
2.3 系统设计和工作原理 14
2.3.1 中央身份库 14
2.3.2 用户生命周期管理(身份数据同步) 15
2.3.3 单点登录和统一认证 18
2.4 高可用性设计 21
2.4.1 目录服务 21
2.4.2 访问控制 22
2.4.3 身份管理 22
3 项目实施流程及进度规划 22
4 系统软硬件配置 23
4.1 软件配置 23
5 其他工作 24
5.1 身份管理实施阶段 24
5.2 单点登录实施阶段 24
6 成功案例 25
6.1 深圳国税 25
6.2 南海农信 26
7 技术支持 29
7.1 技术支持方案 29
7.2 支持与维护 29
8 公司信息 31
8.1 公司简介 31
8.2 北京络威尔软件有限公司 32
1项目概述
感谢xxxx邀请Novell对其统一身份认证与访问管理系统做相应的解决方案。
本建议书介绍了Novell公司为xxxx的解决方案,提供了关于NovellPrivilegedUserManager产品的功能架构,并详细介绍了我们在实施方面的能力和计划。
NovellPrivilegedUserManager是100%的记录用户对服务器的键入操作,收集用户对Linux/Unix以及Windows和SSH/Telnet管理网络设备系统上的任何操作行为并记录用户的操作结果。
并将这些日志存储在数据库中供管理员查找和回放。
1.1项目背景
随着xxxx信息平台化建设的日趋成熟,目前整个运维服务器达到了200台,网络设备40台左右,每台服务器各种帐号众多,管理不便,网络设备管理帐号被多用户共享,为管理员和用户带来了几个问题:
1、服务器帐号众多,每个帐号的归属,无法确认,导致系统存在安全漏洞;
2、每个网络设备管理帐号被多个人员共享,一些人为操作问题,无法定位到具体操作人员;
3、某些帐号权限过大,比如应用程序的帐号为了方便一般都赋予超级帐号权限,导致赋权混乱;
4、帐号操作,无法获悉,用户具体操作命令无法100%获取,导致有些信息事故无法排查,无法实现100%操作监控;
5、主机帐号密码策略无法统一,有的服务器90天,有的180天,有的没有设置密码策略,未来希望帐号密码策略统一;
6、目前维护人员分为主机操作系统维护、数据库维护两种,每个维护人员拥有不下100个帐号,密码记忆对用户是困难的。
基于以上几个主要的原因,需要建立一用户维护操作行为审计平台,一方面提高员工访问系统的效率,另一方面增强系统的整体安全性。
1.2项目目标
项目目标建设一套服务器行为审计平台建设目标:
n建立用户维护操作行为审计平台;
n接入目前所有的服务器包括Unix/linux/Windows类型主机及通过SSH/TELNET协议接入所有网络设备
n对命令操作可以进行祥尽的审计,对图形操作可以以录像按照会话纪录;
n对主机及网络设备敏感命令进行监控并可以执行禁止、允许、申请等操作,如reboot/reload/halt/restart/shutdown/writememory等命令
n建立一套统一帐号管理服务器,管理目前主机系统中所有帐号,未来在此平台实现帐号分配;
n实现用户信息生命周期的管理,从帐号的创建到员工离职后帐号的消除实现统一化和自动化管理而不需人工干预;
总之,通过技术的整合来管理和使用数字化的用户身份,以确保只有经过授权的用户才能对相关的设备进行操作,使最终用户仅需申请一次唯一的用户ID,用户仅需在统一登陆平台进行一次身份认证就可以访问所有授权的服务器。
建成后的统一用户身份与访问管理系统将为xxxx应用系统的提供标准化用户数据,待建信息系统可以直接使用NovelleDirectory用户目录作为数据源,已建信息系统以IDM为根数据源进行用户信息同步。
1.3建设原则
为了规范xxxx身份与访问管理系统建设,应遵循以下原则:
n标准化原则:
必须遵循统一的用户数据标准,来指导应用系统用户管理。
n分类管理原则:
NPUM应能够支持管理员对用户身份信息进行分类管理的要求,保证管理员能且只能管理到其职责范围内的服务器及网络设备的帐号。
n集中化原则:
NPUM集中管理所有服务器及网络设备的帐号信息。
1.4使用范围
IDM系统主要的使用者包括:
n普通用户:
即网管监控人员及内部开发人员
n主机系统管理员:
即IT部运维人员,负责服务器系统的日常运行,分为系统维护及数据库维护。
n网络设备维护人员:
负责网络设备维护人员
n应用程序管理员:
维护服务器系统中应用程序的专属帐号。
2技术方案建议
2.1系统总体架构
该系统需要建立一套帐号同步管理服务器及操作行为稽核服务器,都采用虚拟机方式,并采用虚拟机副本方式进行备份。
整个系统以NovelleDirectory为帐号存储池,可以作为认证网关,配合NPUM完成多因素方式的单点登录。
2.2系统功能
NovellPUM有三个主要组件:
NovellPUM管理控制中心、NovellPUMAgent及SSH/TELNET协议重定向支持。
管理控制中心提供统一的管理人员界面和审计人员界面,管理人员界面可以用于设置被管理的服务器、这些服务器帐户、帐户权限策略、审计策略以及进行管理控制中心本身的使用者管理;审计人员界面提供对帐户的行为进行回放和审计的功能。
Agent被安装在每个被管理的服务器上,从而是PUM各个管理策略、审计策略、权限策略的具体执行者。
SSH/TELNET协议重定向,支持所有通过ssh/telent访问的网络设备,并纪录相应的操作,实现对网络设备的帐号管理及操作行为监控
在本方案中所采用的NPUM工作机理如下:
1.系统验证用户登录信息并建立安全用户操作会话;
2.在NPUM中建立审计策略及定义风险管控级别;
3.系统自动记录用户会话时所键入的指令和操作结果;
4.系统根据预先制定好的自动化规则和所设定风险过滤级别将所记录的用户操作事件放到合规审计数据库中;
5.领导或系统管理员可以登录到合规审计库中参看是否有不合规的事件发生;
6.如果用户有特别的请求,系统可以向管理员或领导发送邮件等通知供审批。
下图为NPUM所记录的用户操作指令,可供管理员或领导查询:
下图为管理员对用户所键入的指令所执行的结果进行回放:
2.2.1审计分权管理
在本方案中,在NPUM系统中可以对系统审计人员进行分权管理,可以指定某个管理员可以指定查看那一台服务器上的用户操作日志。
下图为配置审计用户审计权限界面:
2.2.2系统部署
NovellPUM管理中心系统部署在一套服务器上,而NovellPUMAgent安装在各个被监控的Unix/Linux服务器上,另需要一台服务器安装SSH/TELNET重定向服务。
2.3方案总结
通过实施本方案,用户将拥有以下好处:
1.控制并记录“哪些特权用户访问什么内容”,提高了安全性;
2.从单点集中管理安全策略,简化了管理复杂度;
3.强大的风险分析工具能够记录和回放用户活动—具体到击键级别,使风险可控可管;
4.借助全天候的永久审计记录,而不只是在合规性审计中证明合规性,实现合规的连续证明。
NovellPUM产品
NovellPUM特权用户管理产品是一款对Unix/Linux系统上的超级用户行为进行管理、审计的产品,它具有以下特点:
高安全性
NovellPrivilegedUserManager可以集中定义特权用户能在任何UNIX或Linux平台上执行的命令,确保了只有授权用户才能执行特定管理任务。
这种委托管理消除了将根帐户凭证分发给所有管理人员的需要并降低组织面临的风险。
NovellPrivilegedUserManager通过集中化策略机制来主管委托管理。
这让定义根据用户名、输入的命令、主机名和时间(何人、何物、何地、何时)的组合来允许或拒绝用户活动的规则成为可能。
NovellPrivilegedUserManager通过以这种方式管理UNIX和Linux权限,就可以控制用户获得授权而运行的命令、运行时间和运行地点。
所有用户活动均记录在一个功能强大的审计报告和管理工具中,因此管理人员能够在出现可疑活动时立即采取措施。
简单的策略管理
NovellPrivilegedUserManager让管理人员可以从单点集中管理安全策略。
直观的拖放可视界面易于管理员创建规则,而不需要依赖于复杂且耗时的人工脚本编写。
规则一旦创建,就将在所有受管UNIX和Linux系统内强制执行。
在更新或更改这些规则时,所做更改会立即适用于企业中的所有整套主机。
与其他需要单个升级系统的超级用户特权管理产品不同,NovellPrivilegeUserManager使管理人员能够专注于基础设施保护,而不是将精力花在安装规则更新上。
而且,集成的测试套件工具让管理人员可以建立和测试新的规则组合,再将其投入生产使用。
可以将规则轻松拖入嵌套的层次结构,建立精密的控制结构,该种结构在与脚本同时使用时,能够提供更加精细的控制,满足最为苛刻的环境要求。
详细的风险分析
NovellPrivilegedUserManager通过一个智能风险分析引擎,平衡细节与数量的需求。
引擎分析用户活动,并根据执行的命令、执行该命令的用户以及位置,赋予该用户活动从0到9的某个风险级别。
高风险命令的标识颜色为红色,低风险命令的标识颜色为绿色。
这些颜色和介于两者之间的各种色度帮助管理人员立即识别可能构成安全风险的事件。
审计人员通过带有回放功能的直观界面,可以查看任何已记录的击键活动。
如果事件要求做进一步分析,那么工作流程会使事件上升至可立即操作的适当管理器(可通过发送电子邮件通知或标记合合规性审计员控制台中的事件来执行)。
借助NovellPrivilegedUserManager与众不同的风险评估功能,用户能够快速轻松地识别已收集的任何构成更高级别风险的用户输入信息,从而降低由恶意活动或意外误用造成的潜在损害。
连续的合规性证明
NovellPrivilegedUserManager生成用户活动的详细日志。
这些记录提供的主要信息是在组织中证明合规性并确保统一最佳实践所需的有价值信息。
每个事件都记录在功能强大的审计报告和管理工具ComplianceAuditor中,该工具使审计员能够了解整个企业内的情况,并允许他们排列响应异常活动的优先次序。
ComplianceAuditor根据可以通过图形用户界面自定义的规则,将业务逻辑应用于用户活动和系统事件。
然后评估每个事件的潜在风险,并赋予适当的风险级别。
事件记录以易于阅读的列表格式显示,可将用户活动显示到击键级别。
审计员可以记录每条记录的“通过”、“失败”或“提出”状态,同时每项更改将自动添加到审计跟踪中并作为永久性记录。
NovellPrivilegedUserManager还包括一项自动数据过滤功能,可让审计员按每小时、每日、每周或每月的间隔从主要审计数据库中提取现有数目的记录。
审计员还可应用其他过滤标准,仅显示指定时段内所发生的高风险事件。
例如,管理员每小时可过滤风险级别大于3的事件,这样可使他们集中关注对组织造成最大风险的事件。
信息显示在用颜色标识的直观界面上,可使管理人员和审计员查看安全交易,回放用户活动和制裁事件的记录。
2.3.1支持的平台
Linux:
ØSUSELinuxEnterpriseServer(SLES)(32-bitand64-bit)onversions10and11
ØRedHat(32-bitand64-bit)onversions5.xand6.x
ØOpenEnterpriseServer(32-bitand64-bit)onversions2and11
Unix
ØIBMAIX(32-bitand64-bit)onversions5.3and6.1andversion7.1(64-bit)
ØHP-UX(PA-RISC)(32-bitand64-bit)onversions11.11and11.23
ØHP-UX(Itanium)64-bitonversions11.23and11.31
ØSunSolaris(SPARC)(32-bitand64-bit)onversions9and10
ØSunSolaris(Intel)(32-bitand64-bit)onversion10
ØHPTru64UNIX64-biton5.1aand5.1b
Windows平台
ØWindowsServer2003(32-bitand64-bit)
ØWindowsServer2008(32-bitand64-bit)and2008R264-bit
ØWindowsServer201264-bitGUIversion
虚拟化平台
ØVMWareESXandESXi
协议
ØTELNET
ØSSH
2.3.2NovellPrivilegedUserManager功能:
2.3.2.1安全性
特权账户委托:
安全地委托UNIX/Linux特权账户权力,而不需要影响用户完成工作的能力。
单个可配置端口:
所有代理流量都可通过单个端口加密和引导,在多个防火墙环境中轻松配置和部署产品。
数据库加密:
NovellPrivilegedUserManager包括一个嵌入式SQL数据库后端,可以在这里对部分或全部数据库进行AES加密。
2.3.2.2策略管理
基于Web的控制台:
NovellPrivilegedUserManager通过基于Web的直观控制台进行管理,在整个内部网和外部网区域均可访问该控制台。
该界面包括一个“命令控制”控制台,让您可以配置特权用户管理策略。
重复利用脚本和命令库:
NovellPrivilegedUserManager包括策略对象的样本库,这些样本库可被轻松拖放以建立强大但直观易懂的安全规则。
层次规则结构:
无需脚本编写,即可直观构建规则。
只需拖放即可创建用于确定处理顺序的规则层次结构。
直观的故障转移和负载均衡:
可以在分层的域结构中直观地配置主机代理,从而自动确定组件之间的负载均衡和故障转移。
2.3.2.3风险分析
使用颜色标识的命令风险评级:
可以根据运行的命令、运行命令的用户和位置,使用颜色标识事件记录的风险级别。
实时击键记录:
击键记录在整个用户对话期间实时更新。
对话回放:
在直观界面中回放已记录的用户对话击键,让您可以控制回放速度和方向。
2.3.2.4审计和报告
(1)自动数据过滤
创建预定义规则,以使用综合过滤器和时间表,从您的审计记录文件中提出事件。
(2)自动通知
可以自动以电子邮件方式向用户发送待批事件每日概要。
(3)永久性审计记录
所有审计员活动都永久性地记录在事件记录中,包括在分析过程中记录的击键记录活动查看、状态更改和任何备注。
(4)工作流
对于需要进一步分析的事件,工作流过程向相应审阅者发送事件—通过发送电子邮件通知或在ComplianceAuditor控制台标记事件。
(5)FTP审计
通过使用这个守护程序替件,为您的FTP交易多加一重保障,实现完全通过审计和身份验证的FTP交易。
(6)即用UNIX/Linux外壳替件
可以使用“usrun”语句按需执行特权命令,或更换用户外壳,以提供命令身份验证和/或总会话审计
(7)ACL限制
确定单个审计员允许查看的记录,防止用户对自己的活动进行自主授权
2.3.3用户身份信息管理
用户身份信息管理以NovelleDirectory为基础,构建xxxx身份份中心,利用元目录技术,实现将原有采用“非目录化”的应用系统与现有身份管理中心进行自动的双向交互,该方案可以在不改变现有系统的框架基础上进行实施,利用这样的方案实现身份库与现有应用系统的无缝结合。
利用元目录技术,采用自动化处理方式代替原有系统中帐号有IT管理人员手工操作的方式。
同时,这种信息的同步是双向的。
如果在一个应用程序中的数据发生了变化,利用DirXML技术和一定的转换规则,将信息传递到中央身份库中。
然后,再把这些数据传递给与这些数据相关的其它应用程序或目录服务中。
该解决方案可为用户自动开户并在用户的整个生命周期内对口令进行自动管理:
n自动完成复杂的系统开户流程,立即访问资源
n根据角色和策略向用户分配资源
n口令同步为所有系统的单一口令
n用户可通过基于Web的自助功能找回或重设自己的口令
n制定并强制执行严格的系统口令策略
n授权不当访问时收到系统报告
用户身份信息管理模块中,包含用户和组织机构信息维护、用户相关对象的维护和用户自维护几个子功能。
2.3.4用户生命周期管理
采用NovellIDM和NovelleDirectory可以管理用户生命周期的如下阶段:
1)在权威数据源中进行注册:
确定人员要注册的部门,决定其用户类型(例如:
客户或内部员工),并在权威数据系统(如OA系统)中建立用户帐号。
2)利用身份管理工具将用户信息同步至中央身份库:
身份管理工具首先获得用户帐号信息,将其根据预先制定的规则同步至统一身份目录。
3)帐号分发:
将该帐号下发到相关的应用系统中。
4)审批和授权:
各应用系统的系统管理员(如信息管理系统管理员、WindowsAD域管理员)在本系统中对新增的用户进行审批和授权,完成帐户的新建工作。
5)变更:
当用户的职位或其他个人信息发生变化后,系统管理员首先在权威数据源(如OA系统)中对帐号信息进行修改,然后采取和2、3相似的步骤将信息同步至中央身份库和各应用系统中。
6)销户:
当用户离职以后,需要在各应用系统中统一注销用户帐号。
对于xxxx用户和外部用户,可以针对不同的身份属性,定义区分策略,从而实现对内部用户跟随人事系统状态的变化而变化,对外部用户严格管理其生命周期,并严格划定范围和权限。
2.4系统设计和工作原理
2.4.1中央身份库
对各个服务器中的帐号进行单独、分散的管理是一个费时、繁琐、不安全的管理方式。
随着服务器的不断增加,以及系统管理人员的分工日益复杂,Novell推荐建立一个集中统一的中央身份库。
中央身份库的设计,必须针对所有用户创建一个单一的主帐号,管理IT平台中各个服务器系统
中央身份库拥有xxxx完整的身份认证信息,可提供xxxx公司范围内接入系统用户身份认证与存储。
根据xxxx的需要,可以自定义schema以满足个性属性的要求。
Novell所提供的中央身份库基础架构是基于NovelleDirectory。
近10年来,该目录服务已在全球销售了14亿3千万的许可证,这是该目录服务已处于行业领先水平的最好的证明。
它一向表现出高度的可靠性和高度的稳定性、以及大而复杂的企业环境中良好执行的能力。
中央身份库的安全性是非常值得关注的,一旦中央身份库的信息遭到窃取,那么NPUM系统其他安全性设置会立即失去效应。
NovelleDirectory通过几方面卓越的安全特性满足全服务目录的安全要求。
eDirectory安全使NPUM系统能够指定谁有权访问目录树,以及用户通过认证后的确切访问权限等级。
2.4.2用户生命周期管理(身份数据同步)
身份同步,泛指通过IDM实现目录与服务器的帐号双向联动,确保用户身份信息在各应用系统间的一致性。
通过IDM把各个应用系统和身份目录进行连接。
在帐号信息同步通道中设立帐号管理策略,规定用户在身份目录和各应用系统之间的同步策略。
利用IDM的身份同步引擎在应用系统和统一身份目录之间建立同步通道。
应用系统从同步通道中获得其所需要的用户身份信息,建立对应的用户帐号。
所有用户应用帐号的创建、信息变更、销户事件都由IDM进行统一维护。
当需要在一个系统中创建/变更/删除帐号时,根据既定的策略在相应的应用系统中创建、变更、销户。
3项目实施流程及进度规划
Novell建议整体项目实施工作分为如下阶段:
1.系统调研阶段(需求分析阶段)
ü了解xxxx组织结构及人员情况;
ü了解xxxx录系统相关的应用情况;
ü制定设计方案
2.系统设计阶段
ü确定用户的命名规则;
ü确定目录结构设计;
ü确定目录Schema设计;
ü用户数据的初始化导入策略、清洗策略;
ü目录到目录的用户同步策略;
ü与门户及其它应用系统的单点登录集成策略;
ü目录各类管理用户的制定及授权;
3.安装、开发阶段及测试阶段
ü系统软件的安装;
ü单点登录系统的开发和调试;
ü用户数据的初始化导入测试;
ü系统功能测试等;
ü系统集成测试;
4.系统部署阶段
ü目录到相关应用子系统的网络调整,如防火墙策略,路由定制;
ü系统压力测试;
ü用户验收测试(两轮
升级会员 