随着信息技术的发展和信息化建设的进步,各个企业在信息化建设上不断投入运行应用系统、商务平台、系统设备等,随着系统的加深投入,因不同时期为不同部门分别建设的各类信息化系统在技术架构与应用模式上差异明显,信息化建设逐渐遇到了新问题,例如由于系统、设备、服务器众多,出现用户管理混乱、越权访问、误操作、滥用、恶意攻击等现象。
随着各公司对信息化建设的日益重视,上述问题的影响逐渐凸显。数通畅联作为SOA综合集成产品及解决方案的提供商,统一身份管理方案是基本方案之一,本文主要分享在各行业统一身份管理项目交付中沉淀的最佳实践。
企业越来越重视对“人”的风险的识别和控制。成熟的身份认证体系可以通过确保在整个组织中一致地应用用户访问规则和策略来增加企业对信息资产的保护、解决企业的身份权限管理需求,以及应对合规和安全要求,下面将从管理需求、安全需求、使用需求角度分析身份管理平台的驱动要素。
1.管理需求
信息化系统数量逐渐增多,部分企业存在成百上千套信息化系统,每套信息化系统的身份管理、认证、权限等部分均各自独立建设,不仅重复建设、成本较高,而且易形成信息孤岛,从而为管理以及运维带来很大难度,影响企业运行效率,存在安全漏洞与隐患。
2.安全需求
数字创新迫使传统网络发生了彻底的变革。多云环境和数字中心由实体基础设施和虚拟基础设施组成,分散的分支机构、移动办公员工、家庭办公室等割裂了传统边界,打破了网络边传统安全模式,现在身份安全问题越来越严重。很多企业与单位内部存在大量孤儿账号、僵尸账号,成为被黑客掌握和攻击的短板;个人信息大规模泄露事件频繁出现;物联网设备存在弱密码和默认密码,进而被攻破与控制等等。尤其是零信任体系的快速发展且得到普遍认可,身份管理平台成为越来越多单位开展信息化建设的核心基础设施。
3.使用需求
随着数字化建设的深入推进,各单位期望将原先多种渠道下的用户做统筹管理,从而形成用户中心、认证中心、权限中心、审计中心、应用管控中心等通用共享功能模块,通过敏捷地方式快速响应外部未知业务需求,提升用户体验,促进业务发展。
1.架构介绍
通过统一用户管理及认证体系,建立统一用户资源库,对企业信息系统用户进行合理分类,实现用户身份和权限的统一认证与授权管理,并对企业应用集成的运行环境、服务互操作、数据交换和通用服务等全过程进行统一系统监控安全审计,满足对信息系统统一用户管理、统一身份认证、统一授权管理、应用权限管控以及安全审计的要求,具体包括IDM身份管理平台、ESB企业服务总线,方案体系架构如下图所示:
2.IDM作用
IDM主要对组织、角色、人员进行管理,并对其所有的状态进行记录,如:初始化、审批中、已启用、已禁用等,账户统一管理可以实现从HR系统中获取组织用户数据,也可直接在IDM系统中录入数据,用户信息中的部分属性信息根据同步策略由HR系统或其它指定系统同步更新到用户目录,其它用户信息可在应用系统中各自进行维护,通过IDM统一用户信息后,发送到各个业务系统。
3.ESB作用
ESB打破传统业务系统通过点对点的网状集成模式,将所有接口转化为服务,直接接入到ESB总线上,服务遵循严格的标准规范,形成企业内应用集成架构的统一标准管控环境。通过集成场景配置实现IDM数据写入及IDM同步日志插入,并实现IDM数据变动时,数据实时分发到下游系统,实现应用和数据之间的统一管理、标准封装和松耦合。
目前企业正处在信息化快速发展时期,在主营业务领域已经具备多个支撑业务开展与基础运营的业务系统,数个在建与待建系统,但从战略 — 管控 — 经营 — 技术的闭环管理角度来看,仍需继续构建IDM统一身份管理平台,实现业务统一管理、应用统一管控的全面支撑,达到完整、统一、标准的管理,满足未来不断增长和动态变化的企业信息化需求。在不同阶段及管理侧重维度IDM主要应用划分为以下五种场景。
1.统一用户
企业一般用户是以人力部门为标准,一般是以HR为源头,通过IDM接收接口将组织、人员、岗位信息同步到IDM中,在IDM进行统一管理,然后通过分发接口分发到下游各个业务系统。通过基础管理功能对组织、人员、岗位进行管理,并对其所有的状态进行记录,如:初始化、审批中、已启用、已禁用等。
·组织管理
管理组织的相关信息,可以对组织信息进行增、删、改、查操作,修改组织信息后可以生成对应的任务,将对应的组织信息分发到对应的系统,可在组织下添加岗位。
·岗位管理
对岗位信息进行管理,通过生成任务的方式将岗位信息下发到各业务系统。岗位分为行政岗位和权限岗位。
·人员管理
管理人员的相关信息,通过点击左侧组织列表可以查询对应组织或角色下的人员信息,通过生成任务的方式可将人员信息下发到各业务系统。
2.统一授权
统一授权是在IDM管理业务系统下的角色和对应的功能资源(菜单资源、API资源、数据资源),通过对功能资源的角色授权,及下发权限资源的操作,进行业务系统下权限资源的统一管理。使其他业务系统的功能资源被IDM集中管控,从而实现统一授权。
·标准角色
管理业务下的标准角色(增、删、改、查),标准角色下可以添加人员。
·实际角色
管理业务系统下的标准角色关联组织,生成实际角色,实际角色关联人员 。
·权限资源
权限资源分为菜单资源、API资源、数据资源,通过上述三个部分注册业务系统的数据、菜单、接口。
·授权管理
对菜单资源、API资源、数据资源进行授权,生成对应的权限任务并下发至业务系统。
3.统一认证
统一认证以统一用户管理为基础,对所有应用系统提供统一的认证方式和认证策略。通过单点登录技术,用户经过统一身份认证系统认证后,无需再次登录即可访问其它具有访问权限的应用系统。统一认证提供账号同步模块及接口,可通过账户管理中预置的接口实现,也可以与ESB集成平台协作,完成接口同步功能。统一认证的系统管理功能能够对业务系统的信息进行管理配置,用户可以对已录入的用户信息进行查询以及删除,信息修改可以修改当前用户的密码。
·CAS认证
CAS原生认证方式根据不同平台语言( JAVA/.NET/PHP )提供不同认证模式,通过参考给出的配置教程,在需要单点登录的系统中进行Jar包替换即可。
·Oauth认证
Oauth认证方式为根据Oauth协议,采用多平台关联登录方式, IDM作为Oauth Server(客户端),用户向IDM注册,IDM安全地获取用户的授权,实现验证服务器与应用服务器的交互,获取系统里的基本信息进行认证。
·Open API认证
IDM平台提供认证的Open API,通过对用户名和密码加密传输的方式完成认证,可以满足客户端、APP、小程序等灵活认证的应用场景需求。
4.统一审计
统一审计功能主要实现用户对应用系统访问情况进行统一监控、记录和为后续发生事故时提供可追查的机制。
1.支持审计管理员对统一管理及认证系统的安全审计管理行为;
2.提供系统在线监控,对系统的运行信息进行监控管理,并支持系统运行状况、操作情况进行统计、分析和告警;
3.提供各类日志管理,包括认证日志、AEAI IDM身份管理平台系统访问日志、异常操作日志、登录日志查询等,不仅可以对用户行为进行监控,还可以通过集中的审计数据进行追溯定位,以便于事后的安全事故责任的认定;
4.支持审计信息的分析统计,其结果可以报表或图形的方式进行展现;
5.支持对保存的审计信息数据进行有效管理,防止人为修改系统记录的审计内容;
6.对角色关联用户、角色关联群组、组织(群组)中添加人员等操作(哪位人员、哪些时间、做了哪些操作),进行审查,同时基于这些记录提供查询功能。
5.应用管控
应用管控是针对应用系统的分发权限(用户、组织、岗位哪些系统有权限)、应用系统的认证配置、应用系统的访问权限进行统一管控,实现AEAI IDM身份管理平台和其他系统的集成管理、用户管理以及认证管理。以用户身份为中心,解决企业当前权限管理面临的开通难、查询难、回收难和管理难的问题,实现企业全景业务权限的集中化、自动化、标准化、安全化、可视化、智能化、合理化、高效化,通过权限画像能力,加速企业权限管理建设,提升安全、效率、体验和降低权限管理与维护成本。
虽然统一身份管理项目不像主数据治理、业务流程再造项目那样具备严格的行业特征,需要实施人员具备很强的业务熟悉度与理解力,但并不代表统一身份管理项目就不需要对客户的业务场景进行深入了解,整理分析。除使用高质的平台工具外,与客户之间的协调配合、充分调研、需求封闭、加强测试、复盘反思等环节一个都不能少。
1.充分调研
调研阶段一定要做到充分调研,最佳效果是在调研阶段对客户业务场景进行深入了解,将项目中所有已知或预测的问题全部清晰化,例如人员同步分发工作,对客户需要的数据源进行业务场景全面分析整理。分析过程中除常规业务外,还要将特殊情况进行分析、调研,明确一人多岗、临时调派、退休/离职、二级单位等情况下,数据源如何分发至业务系统,相应出具集成标准规范。充分的调研可以避免项目中出现成果与客户实际业务偏差,不得不临时调整对接业务的情况,保证项目的进度,避免中途反复。
2.封闭需求
调研阶段一定要封闭用户的需求,并使其明确项目进行中需求变更或蔓延带来的影响。项目中会遇到项目开展同时伴随着客户应用系统构建的情况,这就涉及是否将待建系统算在或不算在本次实施范围内的问题,正式实施前必须严格明确实施范围,若实施范围包括待建系统,则需要与客户明确相关风险及协调配合等事宜,并在计划中打好系统构建延期、厂商不配合等时间量,保证项目交付不超期,若不算在内,则需要封闭需求并与客户明确本期范围,防止后续需求蔓延。
3.加强测试
测试验收是整个项目最重要的一环,其成果直接决定项目验收进度,测试不仅检查产品的功能和性能是否好用,还需要对业务的满足性进行测试,通过测试倒逼设计是否合理。测试工作并不是等到整体开发实施结束后统一测试,越早开展越好,对做完的功能及时测试,以最早的时间暴露问题,防止后续上线期间因处理测试出来的问题影响上线进度。另外,评定项目是否成功或产生二期需求,很重要的一点是让客户是否真正地将系统用起来,使用的人越多说明系统对用户越重要,项目中要采用分阶段功能快速上线,保证实施2个月左右即可上线部分功能供用户使用。
4.复盘反思
在项目中遇到的问题一定要及时总结,定期复盘,并与相关人员分享交流,沉淀经验教训与最佳实践,对于项目复盘的产出,不只是做事方法与实施方法论,还包括项目功能及集成认证相关代码的沉淀,统一身份管理项目是没有明确的行业划分的,不具备显著的行业特点,唯一产生差异的是不同用户的系统及集成认证形式。随着项目的展开,接触业务的增多,可以对项目中所用的技术及对接方式整理出来,不断通过方法,模式,代码的积累,逐渐加快项目交付速度及提高项目成功率。
随着数字化建设的深入推进,各单位期望将原先多种渠道下的用户做统筹管理,从而形成用户中心、认证中心、权限中心、审计中心等通用共享功能模块,通过统一身份5A管控平台的搭建,能起到加强身份管理、实现精准授权、实现统一认证、审计业务风险、加强应用管控的目的。
1.加强身份管理
实现对IT系统账号基础信息(包括用户身份信息、机构部门信息、其他公司相关信息以及生命周期信息等)的标准化管理,能够为各IT系统提供基础的用户信息源。通过统一用户信息维护入口,保证各系统的用户账号信息的唯一性和同步更新。
2.实现精准授权
实现统一的授权管理,对所有被管应用系统的授权信息进行标准化的管理,减轻管理员的管理工作,提升系统安全性。通过统一身份管控系统,管理层可便捷地对用户权限进行审查,确保用户授权的精准性。
3.实现统一认证
AEAI IDM身份管理平台通过建设集中的认证系统,为拥有多账号的用户提供方便快捷的访问途径,使用户无需记忆多种登录用户ID和口令,它通过向用户和客户提供对其个性化资源的快捷访问来提高生产效率;并结合集中账号管理的相关功能,实现用户密码管理,密码自动变更,提高系统认证的安全性。
4.业务风险审计
AEAI IDM身份管理平台提供集中的日志审计,能关联用户的操作行为,对非法登录和非法操作快速发现、分析、定位和响应,为安全审计和追踪提供依据。通过集中的日志审计,收集用户访问应用系统、网络设备、主机、数据库等操作日志记录,并对日志记录定期进行审查,满足内部控制规范中关于日志审计的需求,真正实现关联到自然人的日志审计。便于防范业务风险,追溯问题所在。
5.加强应用管控
通过人员、信息、流程、应用系统的全面整合,打通各业务系统,整合系统资源,实现针对应用系统的访控制。集中展示用户所拥有的访问权限,按照事先设置的策略,实现应用系统访问控制的功能;搭建认证及单点登录平台,实现多应用系统之间安全的单点登录与退出。
随着当前信息化的快速发展和深度改革,为了能够进一步提升企业客户体验和内部管理效率,应对更为复杂的安全挑战,身份认证体系的建设正日益变得重要,需要企业和组织进行持续性的规划和投入。本文从统一身份管理项目核心的几个方面进行全面的分析,覆盖了身份管理、登录认证、访问控制、权限管理、审计风控等内容。
数据经济时代,数据治理、大数据分析等项目占据了企业内部建设的主要位置,一定程度上削弱了企业内部对统一身份的管理,统一身份管理作为企业信息化IT治理部分的基础,是每个企业信息化建设的必经之路,也会为后续信息化建设奠定基础,不与其它信息化建设手段冲突,同样应该被企业所重视。
本文由@数通畅联原创,欢迎转发,仅供学习交流使用,引用请注明出处!谢谢~
联系客服
