统一身份管理解决方案.docx
《统一身份管理解决方案.docx》由会员分享,可在线阅读,更多相关《统一身份管理解决方案.docx(15页珍藏版)》请在冰点文库上搜索。
统一身份管理解决方案
统一身份管理解决方案
目录
第一章背景与需求分析2
第二章解决方案4
第三章相关产品介绍5
3.1统一用户及授权管理系统5
3.1.1产品架构5
3.1.2功能概述6
3.2统一身份认证及单点登录服务系统7
3.2.1产品架构7
3.2.2功能概述8
3.3与微软产品关系9
第四章应用场景10
第五章部署规划11
5.1少于500用户11
5.2500—5000用户12
5.35000-10000用户13
5.410000以上用户14
第六章客户收益14
6.1给企业主带来的好处14
6.2给管理部门带来的好处14
6.3为最终用户带来的好处15
第1章
背景与需求分析
随着信息技术和网络技术的发展,企业在信息化建设过程中,凸显出如下一些特征:
v随着信息化内外部环境的不断变化,企业的业务流程也在不断的变化和发展;
v企业逐渐建立起多应用、多服务的IT架构(包括Java、.Net、ASP等技术平台)的应用系统;
v各应用系统面向不同的管理方向,有其对应的用户群体、权限体系;
以某企业为例,目前企业已经拥有五个应用系统,如下图:
用户在使用各种应用系统时,需要在不同应用系统中管理不同的用户信息,这样不仅极大的增加了工作量,也容易出现数据不统一,无法共享信息的局面,且各系统使用自己的登陆验证模块,无法实现统一的单点登陆,增加了系统使用的复杂度,具体如下:
v各应用系统中均有用户管理,且信息不全,不统一;
v企业对用户信息重复维护;
v用户存在多套用户名和密码;
v企业内无法实现统一认证和单点登录;
然而,对于企业来说,用户信息属于基本信息,对他们的管理都是相同的,是可以不用重复建设和投入的。
因此,企业对信息进行整合、共享和优化以达到资源的有效利用就成为一种必然的趋势。
这就要求企业有一套解决方案,可达成以下基本目标:
v实现用户基本信息统一管理;
v实现统一的身份认证和单点登陆。
第2章解决方案
基于以上分析,我们提出一套解决方案,如下图:
由图可见,我们用统一用户及授权管理系统取代之前各应用系统用户管理模块,各应用系统通过与统一用户及授权系统整合,获取所需要的用户信息,解决用户等基础信息共享相关的问题。
各业务系统与统一身份认证及单点登陆服务系统整合,实现单点登陆,又可解决统一认证及单点登陆问题。
统一用户及授权服务系统、统一身份认证及单点登陆服务系统作为企业信息化建设的基础服务,共同构成用户身份管理的支撑平台,形成企业统一身份管理解决方案。
第3章相关产品介绍
该方案中涉及到我们提供的两个产品:
v统一用户及授权服务系统
v统一身份认证及单点登录服务系统
3.1统一用户及授权管理系统
统一用户及授权系统基于微软平台开发,主要实现对组织机构、用户、应用系统、权限及授权关系的集中管理,解决各应用系统建设中存在的基础功能的重复建设和投入等问题,为实现数据整合、信息共享、流程优化提供基础保障。
3.1.1产品架构
系统主要分为以下三个部分:
v同步服务
系统通过该服务实现到第三方系统的用户及组织机构信息实时同步。
系统默认提供有到AD、OCS、Exchange的同步功能。
v接口服务
第三方业务系统通过该服务来访问和管理用户、组织、应用系统、权限、授权关系等数据。
v管理控制台
系统通过Web管理控制台来为各级别的管理员提供管理操作界面。
3.1.2功能概述
组织机构及用户管理
✓实现一用户隶属多组织机构功能
✓提供用户扩展属性和组织机构扩展属性功能,增强用户信息的可扩展性
✓提出单位概念和本单位管理角色,方便按单位划分进行管理和授权
✓提供单位类型的划分,使管理更直观
✓通过设置组织机构授权范围,实现多层次管理,并提供组织机构授权范围优先级功能,简化授权范围的操作
应用系统、角色、权限管理
✓通过设置应用系统授权范围,实现各应用系统的独立管理。
✓通过业务系统管理员角色,方便统一授权系统管理员的授权操作。
✓提出属性权限概念,实现动态权限功能
授权
✓授权级别有可访问、可授权和可访问可授权,通过可授权实现多级授权
✓内置多个系统角色,在实际使用时,简化授权管理
✓授权清晰化,把授权从应用系统和权限管理中独立出来,显得更加清晰,易于管理
✓授权载体单一化,授权载体全部采用角色,使授权逻辑更加清晰
✓权限直观化,采用树形结构展示,使权限管理更加直观明了
✓实现精确授权,严格限制哪个IP地址、哪个时间段的可以访问操作
✓提出权限范围概念,明确在授予某个权限时,在一定范围内有效,范围可以是组织机构、用户范围
审计功能
✓全面记录用户信息变更审计信息、用户登录审计信息、用户与角色关系变更审计信息、角色与权限关系变更审计信息。
✓审计员能够对用户的权限来源进行历史追踪,可以清晰的查询到是谁、在什么时候把什么权限授予什么人,再向上,还可以查询是谁、在什么时候把该可授权权限授予他,直到统一授权的系统管理员。
✓审计员能够对权限被授予了哪些角色进行历史追踪。
数据字典服务
✓提供公共的基础数据字典,方便第三方应用系统使用
✓为每个注册的应用系统提供独立的数据字典,提供数据字典的个性化服务
3.2统一身份认证及单点登录服务系统
系统实现统一的登陆认证。
各第三方应用整合该系统后,用户只需登陆一次,即可使用各第三方应用,不需多次登陆验证。
3.2.1产品架构
系统包括两个部分:
vSSOClient
与第三方Web业务系统集成,负责与单点登陆服务器的认证沟通。
vSSOServer
独立的Web站点,负责身份验证。
3.2.2功能概述
✓实现单点登录
第三方业务系统整合单点登陆后,无论用户从哪个系统地址进入,均会导航到统一的登陆页面,实现统一的登陆。
✓实现统一的身份认证
登陆验证时,账号/密码均到该系统指定的用户信息数据源进行验证,实现统一身份验证。
帐号验证数据源可以是统一用户及授权服务系统、AD、CA,也可以是第三方的用户帐号信息库。
3.3与微软产品关系
如下表:
产品名称
必须依赖
可选依赖
统一用户及授权服务系统
WindowsServer;SqlServer;IIS服务
AD、Exchange、OCS
统一身份认证及单点登录服务系统
WindowsServer;IIS
AD
用图形的方式表示如下:
两系统均基于.net平台开发,依赖WindowsServer操作系统及IIS服务;统一用户及授权系统基于微软Sqlserver数据库,依赖sqlserver服务。
对于统一用户及授权系统来说,可选依赖主要体现在同步服务部分,系统可通过同步服务实现
v开启AD帐号
v开设Exchange邮箱账号
v开启OCS账号
而对于单点登陆而言,AD可以是其帐号密码验证方式的一种(需要说明的是:
统一用户及授权系统所维护的帐号密码也是验证的可选数据源之一)。
所以,AD仅是单点登陆的可选依赖。
第4章应用场景
如上图,描述了两种典型应用场景:
v新员工入职后,人事部门通知IT管理员到统一用户及授权管理系统中新开设帐号,开设的帐号实时同步到AD、Exchange、OCS等第三方系统;
v普通用户登录信息门户时,被单点登陆客户端拦截,其登陆账号及密码到统一用户及授权系统中验证通过后进入信息门户,用户再选择进入会议系统,选取与会人员后发送会议通知;
第5章部署规划
我们按用户数的多少分以下四个级别来讨论部署规划。
5.1少于500用户
无AD、Exchange 的情况
如果不需要邮件系统,则可不部署Exchange服务器。
✓需要至少3台服务器。
✓服务器推荐安装Windowserver2003\2008操作系统,数据库使用MicrosoftSqlServer2005\2008。
✓服务器推荐内存2G;CPUP43.0G。
有Exchange的情况
如上图,这是一种最基本的部署方式,几个相关的服务分别用一台服务器部署。
✓需要至少5台服务器。
✓服务器推荐安装Windowserver2003\2008操作系统,数据库使用MicrosoftSqlServer2005\2008,邮件服务使用MicrosoftExchange2007。
✓服务器推荐内存2G;CPUP43.0G。
5.2500—5000用户
使用人数超过500以后,并发访问量就变得比较大了(按15%比例算就有至少75个并发访问),所以对统一用户及授权系统的服务要求较高,但因为人数还没有超过5000,对数据库服务要求还不是很高,所以仅对统一用户及授权服务、单点登陆系统做负载均衡部署。
✓需要至少7台服务器。
✓服务器推荐安装Windowserver2003\2008操作系统,数据库使用MicrosoftSqlServer2005\2008,邮件服务使用MicrosoftExchange2007。
✓服务器推荐内存2G;CPUP43.0G。
✓负载均衡可采用微软提供的NLB(软件方式)或则F5(硬件方式)。
5.35000-10000用户
用户数超过5000以后,对系统web服务及数据库服务的要求都比较高,所以对统一用户及授权管理系统、单点登陆系统做负载均衡部署,数据库做高性能集群部署。
✓需要至少8台服务器。
✓服务器推荐安装Windowserver2003\2008操作系统,数据库使用MicrosoftSqlServer2005\2008,邮件服务使用MicrosoftExchange2007。
✓服务器推荐内存2G;CPUP43.0G。
✓负载均衡可采用微软提供的NLB(软件方式)或则F5(硬件方式)。
5.410000以上用户
用户数超过10000,则需要根据情况增加负载均衡部署的服务器数量,或者采用其他如集团/分公司方式部署,可另外规划。
第6章客户收益
6.1给企业主带来的好处
v降低TCO(总体拥有成本,TotalCostofOwnership)
A、开放和易于集成的产品架构
i.减少开发和集成的成本
ii.保护原有投资
B、部署的简易性和易用性
i.更低的部署成本
ii.更低的培训成本
iii.加速ROI(投资回报率,ReturnOfInvestment)
C、减少法规遵从给企业带来的各种开销
D、降低劳动力成本
E、减少因安全事故造成的损失
6.2给管理部门带来的好处
v提升整体安全性
A、自动化身份配给
i.可确保用户数字身份的禁用/删除在最短时间内生效,安全更有保障
ii.有效避免了在众多应用系统中的开通和收回身份时可能发生的遗漏和不一致性,确保安全
B、基于角色、基于策略的访问控制
i.有效保护企业应用资源
C、集中的可视化管理和控制
i.更好地监测和响应身份管理事件
D、系统范围的身份审计和报告
i.帮助企业制定策略
v规范化管理
A、跨应用、职能部门和地理界限的统一管理
i.分工明确
ii.策略统一
B、身份属性及密码的自动同步
i.确保数据一致性和有效性
C、降低劳动强度,提升管理效率
i.简化操作,显著降低工作量,提升工作效率
ii.集中的可视化管理和控制
iii.缓解工作负荷重和人手紧张的矛盾
D、委托管理能力
i.建立合理的分级分权管理体系
E、一致的界面风格,操作简易
6.3为最终用户带来的好处
v统一身份管理方案可以帮助改善最终用户的体验,提升用户满意度
A、单点登录
i、改善应用的易用性,提高日常工作效率
B、自动化身份配给
i、新用户报到后,缩短其获得企业数字身份的等待期
ii、现有用户职务发生变更时,缩短其数字身份切换的等待期
C、自助式账户管理服务
i、人性化服务
ii、方便快捷
升级会员 