IAM系统平台简要介绍PPT培训课件

请求积压
2，不同的申请 处理流程
6，系统管理员 手工创建帐号
1，用户提出帐号申请
7，用户开始 使用帐号
请求延迟 处理
不断增长的资源
审计信息丢失
5，服务请求 流转
申请信息不完善
3，策略、 角色安全合 规检查
策略检查 不合规
4，审核批准
身份管理和访问控制需求
身份管理需求 提供用户身份信息的集中管理和用户账号信息的统一与同步功能； 提供全生命周期的用户信息管理，包括注册、审批、修改、禁用、删除等流程化的操作； 提供支持全局唯一的用户身份标识功能； 提供支持多重身份的对应关系及属性连接功能； 提供支持多种业务平台的账号管理连接功能； 提供唯一用户身份管理端口功能，实现自动化用户信息更新； 提供系统用户自助服务
系统架构设计-身份管理和访问控制信息流
图例
访问信息流 身份信息流 鉴别信息流
用户
管理员
运维
审计
统一认证授权
根据现状与需求分析得到的建设 需求与功能需求，结合对身份管 理与认证权限管理技术的选择， 我们可以进一步细化和充实系统 框架，从而设计出身份管理与认 证平台的功能架构。
获取身 份信息
HTTP/HT TPS过滤
业务/主机/ 系统管理员
用户身份管理
主帐号 从帐号
授权
授权
账号信息回收 账号同步工
具
账号和角色 信息同步
业务系统资源 实体内鉴权
业务人员
用户目录
访问授权 策略库
统一访问认证
审计系统
集中的审计中心
哪些人访问了系统？ 具体时间段访问量的大小? 今天上午有多少人访问邮箱？ 上个月有多少人进行了账号申请？具体权限？ 管理员上周的账号操作都有哪些？ 谁审批了我的流程？ 有哪些不合规的操作？ 系统中有哪些警告？
IAM系统平台简要介绍
IAM平台介绍
需求分析 架构介绍 实施过程 ……
身份管理和访问控制面临的挑战
用户管理分散，管理的流程 各自独立，缺少一套用户身 份管理系统；
用户账号不统一，没有实 现账号之间的信息同步；
账号和员工没有对应关系， 账号以通用的名称作为用户 名
一个账号多人使用；
用户
获取认 证请求
获取权 限信息
获取身 份信息
权限判 定服务
管理员
运维
集中身份和权限管理
统一认证授权 认证服务
数字证 书验证
动态口 令验证
静态口 令验证
审计
报表 日志记
录
身份信 息管理 流程
静态口 令管理
集中身份管理
身份信 息配给
身份信 息一致 性检查
日志记 录
报表
用户管 理接口
集成接口
统一认 证接口
系统设计
系统总体架构设计 总体逻辑架构设计 总体部署架构选择 系统高可用性设计 帐号生命周期管理设计 帐号管理策略设计 密码管理策略设计 LDAP架构规划 帐号命名规则设计 数据初始化策略设计 认证和授权设计 认证和授权策略设计 应用集成方案设计 帐号同步方案设计 单点登录方案设计
统一授 权接口
统一身份存储 统一认证所需身
份信息 鉴别信息存储与
查询
集中审 计接口
PoSArtPal
应用系统
MPBaSil
知O识 理A管
主KO机A
IT基础设施
D网om络ino
数S据MS库
系统逻辑框架
浏览器
HTTP HTTPS
防火墙
隔离区
防火墙
内部网络
Internet/IntranHTTP/HTTPS et
统一身份认证 单点登录服务器
Server
HHTTTTPPS
C/S系统访问 管理服务器
Server
HTTP HTTPS
认证
第三方认证 服务器
Server
业务系统
Server
HTTP HTTPS
C/S业务 系统
Server
业务系统
. Server . .
账同号步 账号供应
认证
HR系统
Server
防火墙
统一身份认证 策略服务器
SDMBS
项目实施思路
需求定义
帐号管理调研和分析 调研人员、组织机构应用
系统、主机系统帐号信息 确定组织权威用户数据源 分析应用、主机帐号数据
和权威数据的差异 功能性需求定义 帐号管理 访问控制 授权管理 审计管理 非功能性需求定义 系统高可用性需求 可扩展性需求 可维护性需求 可操作性需求
系统部署
测试环境部署与实施 帐号梳理和建立企业目录 测试环境准备与搭建 身份管理和访问控制组件开发
访问控制需求 与各信息系统集成，为信息系统提供统一身份认证及授权功能； 提供多种认证方式的连接和集成； 提供单点登录SSO功能 提供基于策略的访问控制 支持大规模用户信息存储及访问 支持分级授权
系统框架设计
根据以往实施经 验得到的建设需 求与功能需求， 结合对身份管理 与认证权限管理 框架，企业用户 身份和认证访问 管理系统框架如 右图所示：
Server
认证
统一身份认证 LDAP服务器
Server
LDAP
账号供应
统一用户管理 服务器
Server
LDAP
策略 同步 业务系统 账号供应
用户身份全生命周期管理
集中的、主动的、基于策略的账号管理
用户身份管理逻辑流程
业务系统 /设备管理员
用户身份 管理系统
审批流程 用户身份管理
账号同步适配器
认证服 务
获取身 份信息
权限判 定服务
获取权 限信息
集中身份管理
身份管 理服务
身份管 理应用
集中身份管 理数据库
用户管 理接口
LDAP服务
目录服务 关系数据库
LDAP管理
集成接口
统一认 证接口
统一授 权接口
集中审 计接口
应用系统
SOAAP
MPBaSil
知信识理贷管
UKnOiAx
IT基础设施
NDeomtwinoork
系统管理员 用户目录
业务系统
原始用户信息 （HR、OA等） 用户同步工具
审计系统
访问控制逻辑架构
Web 浏览器
用户目录
访问授权 策略库
统一访问认证 服务器
强认证服务器
系统资源访问管理 服务器
企业级服务总线系统 票据管理系统
农村服务金融系统
AIX Linux 票交系统 中间业务平台 …… 审计系统
用户授权百度文库辑架构
在员工离职、换岗过程中无法
对账号变更进行及时有效的管
理。
用户身份认证相对独立，没有
统一规划；
各个信息系统访问控制独立，
没有建立统一的单点登录体系
大多数系统采用账号与口令认 ；
证方式，安全强度低；
所有授权管理和访问控制缺少完整
性、真实性、抗抵赖性等安全信任
保障。
身份管理和访问控制面临的挑战