统一身份认证平台讲解-共38页知识分享
统一身份认证平台功能描述
统一身份认证平台功能描述Revised on November 25, 2020数字校园系列软件产品统一身份认证平台功能白皮书目录1产品概述1.1产品简介随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:➢用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登录系统时需要多次输入用户名/密码,操作繁琐。
➢各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工作重复,增加学校管理工作成本。
➢新开发的系统不可避免的需要用户和权限管理,每一个新开发的系统都需要针对用户和权限进行新开发,既增加了学校开发投入成本,又增加了日常维护工作量➢针对学生、教职工应用的各种系统,不能有效的统一管理用户信息,导致学生在毕业时、教职工在离退休时不能及时地在系统中清除这部分账号,为学校日后的工作带来隐患。
➢缺乏统一的审计管理,出现问题,难以及时发现问题原因。
➢缺乏统一的授权管理,出现权限控制不严,造成信息泄露。
统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。
1.2应用范围2产品功能结构统一身份认证平台功能结构图3产品功能3.1认证服务3.1.1用户集中管理统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。
通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。
为所有的用户设置权限生效起止日期,即使不对用户做任何操作,在权限生效期外的用户也无法通过认证,保证了系统的安全性。
用户管理3.1.2认证服务认证服务是统一身份认证平台的核心服务,通过认证服务,可以实现如下功能:➢为用户提供单点登录功能,实现“一次登录、处处登录”。
统一用户身份认证管理平台
统一用户身份认证管理平台什么是统一用户身份认证管理平台统一用户身份认证管理平台是一种基于现代化的技术手段来实现用户身份认证的统一平台。
它能够将各种身份认证方式整合在一起,让用户可以使用同一个账号密码来登录所有的系统和服务。
它可以有效地增强用户信息的安全性和可控性,降低用户登录的管理难度,促进各种系统之间的协同工作。
统一用户身份认证管理平台的意义管理企业和机构中各种不同的系统和应用,往往需要各自单独的账号及密码。
这种繁琐复杂的用户身份验证方式,往往使许多系统的使用者感到困扰。
此外,各种网站的账号密码通常是相同的,如果遇到系统的安全漏洞,所有账号密码都将面临被泄露的风险。
此时,统一用户身份认证管理平台可以将各系统的账号管理统一起来,大大方便了用户的登录,同时也提高了用户信息安全性。
统一用户身份认证管理平台的工作原理统一用户身份认证管理平台的工作原理可以分为两个部分:身份认证和授权。
身份认证是指通过验证用户输入的账号和密码等信息,确定用户的身份是否合法。
授权是指根据认证结果,决定用户是否具有使用系统资源的权限。
具体实现时,统一用户身份认证管理平台一般采用一种密钥管理方式,将用户的认证信息和授权信息加密后进行管理,并在需要校验用户身份的时候进行解密校验。
统一用户身份认证管理平台的应用统一用户身份认证管理平台的应用非常广泛,几乎所有需要用户身份管理的应用都可以使用此类平台。
以下是一些常见的应用场景。
企业内部应用企业内部应用指的是企业内部各个部门使用的各类管理软件,如财务管理、人事管理、客户关系管理、企业资源规划等软件。
这些软件常常需要许多不同的用户登录,以使用不同的功能,采用统一用户身份认证管理平台可以将这些不同的用户信息进行整合,让用户通过一个登录页面就能访问这些不同的应用。
互联网应用互联网应用是指向公众开放的各种网站和网络服务。
由于这些网站面向公众,必须考虑到用户账号密码的安全性。
采用统一用户身份认证管理平台可以降低用户因使用相同账号密码而造成的风险,也可以让用户在几乎所有网站中使用同一个账号密码,从而方便管理。
门户网站基础:统一认证身份平台
统一身份认证平台是门户网站建设的基础,主要实现用户管理、身份认证、分级权限管理和单点登录等功能,以解决门户建设过程中用户定义模糊、用户身份组织零乱、交叉权限管理和应用系统出口多样性等棘手的问题。
统一认证三大部分集成身份认证门户网站的集成身份认证是指多个系统的用户账号、密码等信息资源集中在网站统一认证鉴权中心,各个系统以中心数据作为用户认证的唯一依据。
用户可以通过相应接口来实现网站已有用户账号密码信息对于相关业务系统的共享,同时通过专有模块来进行各子系统权限控制。
单点登录(SSO)网站系统的SSO是指以网站的统一认证(鉴权信息集中)为基础,各个数据业务系统的用户认证采用单点登录认证模式,一次登录即可在各个业务子系统中完成相应的认证工作。
Passport会员服务会员服务是指在网站统一认证的前提下,按照指定的规则将用户划分为不同用户群,可以为相关业务系统提供会员鉴权服务,还能为各个子系统定制不同的会员服务等级。
统一认证体系架构设计系统架构与接口设计门户网站的统一认证鉴权中心建议基于C/S模式设计,保障执行效率,并形成以J2EE 为核心的应用体系构架,用DB+LDAP方式完成对用户各类信息的存储,可以保障存储和查询效率。
统一认证的核心问题是鉴权中心和各子系统之间的通信接口问题,用户认证接口协议可以基于标准化HTTP/HTTPS方式实现,使得第三方业务系统的接入不完全依赖于网络环境。
安全性设计对于接入系统,认证中心接口协议调用采用HTTPS传输(128位SSL通道加密)的方式,通信安全问题将转化到HTTPS传输的安全性问题上,而对于HTTPS通道的攻击,可以由安全体系中监控管理单元的网络扫描等模块专门负责监控。
对于统一认证和SSO接口参数的信息安全,一方面网站可采用专有加密算法对参数内容进行加密,另一方面,可以采用IP认证策略来保证对接口双方的信任,系统通过通道安全和信息加密双保险的措施来保证统一认证体系的接口安全。
统一门户认证
统一门户认证
统一身份认证,即不同的应用系统采用统一的用户身份认证系统进行身份认证。
解决高校在访问控制(Authentication)、身份管理(Account)、统一授权(Authorization)、安全审计(Audit)四个方面存在的安全和管理难题。
通过统一身份认证实现单点登录(SSO,Single Sign On),当用户同时访问多个不同(类型的)应用系统时,他们只需要提供自身的用户凭证信息(比如用户名/密码)一次,仅仅一次,即可访问所授权的不同业务系统。
康赛统一身份认证平台(ComsysUIA)是一个统一的、安全的、可靠的身份认证平台系统。
统一身份认证平台为各类信息系统提供统一的身份认证,访问控制和安全审计等服务。
统一身份认证平台讲解
统⼀⾝份认证平台讲解统⼀⾝份认证平台设计⽅案1)系统总体设计为了加强对业务系统和办公室系统的安全控管,提⾼信息化安全管理⽔平,我们设计了基于PKI/CA技术为基础架构的统⼀⾝份认证服务平台。
1.1.设计思想为实现构建针对⼈员帐户管理层⾯和应⽤层⾯的、全⾯完善的安全管控需要,我们将按照如下设计思想为设计并实施统⼀⾝份认证服务平台解决⽅案:内部建设基于PKI/CA技术为基础架构的统⼀⾝份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应⽤模块实现所提出的员⼯帐户统⼀、系统资源整合、应⽤数据共享和全⾯集中管控的核⼼⽬标。
提供现有统⼀门户系统,通过集成单点登录模块和调⽤统⼀⾝份认证平台服务,实现针对不同的⽤户登录,可以展⽰不同的内容。
可以根据⽤户的关注点不同来为⽤户提供定制桌⾯的功能。
建⽴统⼀⾝份认证服务平台,通过使⽤唯⼀⾝份标识的数字证书即可登录所有应⽤系统,具有良好的扩展性和可集成性。
提供基于LDAP⽬录服务的统⼀账户管理平台,通过LDAP中主、从账户的映射关系,进⾏应⽤系统级的访问控制和⽤户⽣命周期维护管理功能。
⽤户证书保存在USB KEY中,保证证书和私钥的安全,并满⾜移动办公的安全需求。
1.2.平台介绍以PKI/CA技术为核⼼,结合国内外先进的产品架构设计,实现集中的⽤户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供⽤户⾝份、系统资源、权限策略、审计⽇志等统⼀、安全、有效的配置和服务。
如图所⽰,统⼀信任管理平台各组件之间是松耦合关系,相互⽀撑⼜相互独⽴,具体功能如下:a)集中⽤户管理系统:完成各系统的⽤户信息整合,实现⽤户⽣命周期的集中统⼀管理,并建⽴与各应⽤系统的同步机制,简化⽤户及其账号的管理复杂度,降低系统管理的安全风险。
b)集中证书管理系统:集成证书注册服务(RA)和电⼦密钥(USB-Key)管理功能,实现⽤户证书申请、审批、核发、更新、吊销等⽣命周期管理功能,⽀持第三⽅电⼦认证服务。
统一身份认证平台
统一身份认证平台一、主要功能1.统一身份识别;2.要求开放性接口,提供源代码,扩展性强,便于后期与其他系统对接;3.支持移动终端应用(兼容IOS系统、安卓系统;手机端、PAD端;)4.教师基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现)5.学生基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现)二、系统说明2.1单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。
后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。
2.2即插即用:通过简单的配置,无须用户修改任何现有B/S、即可使用。
解决了当前其他SSO解决方案实施困难的难题。
2.3多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用。
2.4基于角色访问控制:根据用户的角色和URL实现访问控制功能。
基于Web界面管理:系统所有管理功能都通过Web方式实现。
网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。
此外,可以使用HTTPS安全地进行管理。
三、系统设计要求3.1业务功能架构通过实施单点登录功能,使用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性;在此基础上进一步实现用户在异构系统(不同平台上建立不同应用服务器的业务系统),高速协同办公和企业知识管理功能。
单点登录系统能够与统一权限管理系统实现无缝结合,签发合法用户的权限票据,从而能够使合法用户进入其权限范围内的各应用系统,并完成符合其权限的操作。
单点登录系统同时可以采用基于数字证书的加密和数字签名技术,对用户实行集中统一的管理和身份认证,并作为各应用系统的统一登录入口。
单点登录系统在增加系统安全性、降低管理成本方面有突出作用,不仅规避密码安全风险,还简化用户认证的相关应用操作。
《统一身份认证介绍》课件
本PPT课件将介绍什么是统一身份认证,其应用场景、技术原理、优缺点以 及实践案例。了解这些对于保障数字安全至关重要。
什么是统一身份认证?
定义和概念
统一身份认证是一种基于互联网的身份认证方式,即用户在一个系统认证后,可以使用其身 份信息登录其他系统,无需重复认证。
需要统一身份认证的原因
通过统一管理和控制用户身份,可以提高系统安全性,减少用户账号管理成本,提高用户体 验。
统一身份认证的应用场景
学校教务系统
学生可以使用同一个账号登录选课系统、成绩查询 系统等教务系统。
图书馆管理系统
读者可以使用同一个账号登录借书系统、预约系统 等图书馆管理系统。
人事管理系统
员工可以使用同一个账号登录考勤系统、工资系统 等人事管理系统。
财务管理系统
使用单一身份认证的账户可以登录各种财务系统, 如开票、报销等。
统一身份认证的技术原理
1
单点登录(SSO)
用户在一个平台认证后,就可以在其他
统一标识符的生成和管理
2
系统登录而无需再次认证。
采等。
3
认证协议的实现
主要有SAML、OAuth等认证协议。
统一身份认证的优缺点
1 优点:
提高用户体验、提高安全性、降低IT管理成本。
2 缺点:
可能出现拒绝服务攻击、特定场景下可能出现问题。
统一身份认证的实践案例
清华大学
统一身份认证系统
学生、职工使用同一个账号能够登录校园网络、邮 箱、教务管理系统、图书馆管理系统等。
北京师范大学
统一身份认证系统
学生、职工一卡通可在校内实现自助借还图书,出 门识别、加热食品等功能。
总结
统一身份认证的详解
统一身份认证的详解统一身份认证(Single Sign-On, 简称SSO)是一种身份验证机制,允许用户使用一组凭据在多个应用程序或系统中进行认证和访问。
它的目的是简化用户对多个应用程序的登录过程,提高用户体验,并增强数据安全性。
统一身份认证的工作原理是通过集中式认证服务器来验证用户的身份凭据。
当用户首次尝试访问需要身份验证的应用程序时,他们需要输入其凭据(如用户名和密码)进行登录。
认证服务器会验证这些凭据的有效性,并向应用程序发送一个令牌或授权代码。
这个令牌或授权代码将被应用程序用于后续的访问请求,无需再次输入凭据。
使用统一身份认证有多个优势。
首先,它简化了用户的登录过程。
用户只需一次输入凭据,即可访问多个应用程序,无需重复登录或记住多个用户名和密码。
这减少了用户的负担并提升了效率。
其次,统一身份认证提高了数据安全性。
通过集中式认证服务器,公司或组织可以更好地管理用户的身份验证信息,包括强化密码策略、限制访问权限等。
这样可以减少安全漏洞和黑客攻击的风险。
另外,统一身份认证也促进了跨平台和跨系统的互操作性。
不同的应用程序可以共享同一个认证服务,并在用户同意的情况下共享用户信息,从而提供更加个性化的服务。
然而,统一身份认证也面临一些挑战。
首先,部署和集成统一身份认证需要一定的技术和资源投入。
尤其是在大型组织或企业中,涉及到多个应用程序和系统的集成可能会面临复杂性和难度。
其次,对用户来说,一旦单点登录的身份凭据被攻破或泄露,所有应用程序都可能受到威胁。
因此,确保统一身份认证系统的安全性是至关重要的。
综上所述,统一身份认证是一种方便、安全和高效的身份验证机制。
它通过简化登录过程、提升数据安全性和促进互操作性,为用户提供了更好的体验。
然而,部署和维护统一身份认证系统需要谨慎考虑安全性和技术要求,以确保最佳的运行效果。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
统一身份认证平台讲解-共38页统一身份认证平台设计方案1)系统总体设计为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。
1.1.设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案:内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。
提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。
可以根据用户的关注点不同来为用户提供定制桌面的功能。
建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。
用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。
1.2.平台介绍以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。
如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:a)集中用户管理系统:完成各系统的用户信息整合,实现用户生命周期的集中统一管理,并建立与各应用系统的同步机制,简化用户及其账号的管理复杂度,降低系统管理的安全风险。
b)集中证书管理系统:集成证书注册服务(RA)和电子密钥(USB-Key)管理功能,实现用户证书申请、审批、核发、更新、吊销等生命周期管理功能,支持第三方电子认证服务。
c)集中认证管理系统:实现多业务系统的统一认证,支持数字证书、动态口令、静态口令等多种认证方式;为企业提供单点登录服务,用户只需要登录一次就可以访问所有相互信任的应用系统。
d)集中授权管理系统:根据企业安全策略,采用基于角色的访问控制技术,实现支持多应用系统的集中、灵活的访问控制和授权管理功能,提高管理效率。
e)集中审计管理系统:提供全方位的用户管理、证书管理、认证管理和授权管理的审计信息,支持应用系统、用户登录、管理操作等审计管理。
1.3.功能总体架构总体架构图如下所示:说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。
具体包含以下主要功能模块:◆身份认证中心◆存储企业用户目录,完成对用户身份、角色等信息的统一管理;◆授权和访问管理系统;◆用户的授权、角色分配;◆访问策略的定制和管理;◆用户授权信息的自动同步;◆用户访问的实时监控、安全审计;◆身份认证服务◆身份认证前置为应用系统提供安全认证服务接口,中转认证和访问请求;◆身份认证服务完成对用户身份的认证和角色的转换;◆访问控制服务◆应用系统插件从应用系统获取单点登录所需的用户信息;◆用户单点登录过程中,生成访问业务系统的请求,对敏感信息加密签名;◆CA中心及数字证书网上受理系统◆用户身份认证和单点登录过程中所需证书的签发;◆用户身份认证凭证(USB智能密钥)的制作。
1.4.平台总体部署集中部署方式:所有模块部署在同一台服务器上,为企业提供统一信任管理服务。
部署方式主要是采用专有定制硬件服务设备,将集中帐户管理、集中授权管理、集中认证管理和集中审计管理等功能服务模块统一部署和安装在该硬件设备当中,通过连接外部服务区域当中的从LDAP目录服务(现有AD目录服务)来完成对用户帐户的操作和管理。
2)技术实现方案2.1.技术原理基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。
通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。
其原理如下:a)每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保证和系统服务之间的安全通信。
b)用户登录中心后,根据用户提供的数字证书确认用户的身份。
c)访问一个具体的信息资源时,系统服务用访问代理对应的数字证书,把用户的身份信息机密后以数字信封的形式传递给相应的信息资源服务器。
d)信息资源服务器在接受到数字信封后,通过访问代理,进行解密验证,得到用户身份。
根据用户身份,进行内部权限的认证。
2.2.统一身份认证2.2.1.用户认证统一身份管理及访问控制系统用户数据独立于各应用系统,对于数字证书的用户来说,用户证书的序列号平台中是唯一的,对于非证书用户来说,平台用户ID(passport)是唯一的,由其作为平台用户的统一标识。
如下图所示:a.在通过平台统一认证后,可以从登录认证结果中获取平台用户证书的序列号或平台用户ID;b.再由其映射不同应用系统的用户账户;c.最后用映射后的账户访问相应的应用系统;当增加一个应用系统时,只需要增加平台用户证书序列号或平台用户ID与该应用系统账户的一个映射关系即可,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户账户不同的问题。
单点登录过程均通过安全通道来保证数据传输的安全。
2.2.2.系统接入应用系统接入平台的架构如下图所示:系统提供两种应用系统接入方式,以快速实现单点登录:a.反向代理(ReverseProxy)方式应用系统无需开发、无需改动。
对于不能作改动或没有原厂商配合的应用系统,可以使用该方式接入统一用户管理平台。
反向代理技术:实现方式为松耦合,采用反向代理模块和单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
b.Plug-in方式Plug-in:实现方式为紧耦合,采用集成插件的方式与单点登录(SSO)认证服务进行交互验证用户信息,完成应用系统单点登录。
紧耦合方式提供多种API,通过简单调用即可实现单点登录(SSO)。
2.2.3.统一权限管理统一身份管理及访问控制系统的典型授权管理模型如下图所示:用户授权的基础是对用户的统一管理,对于在用户信息库中新注册的用户,通过自动授权或手工授权方式,为用户分配角色、对应用系统的访问权限、应用系统操作权限,完成对用户的授权。
如果用户在用户信息库中被删除,则其相应的授权信息也将被删除。
完整的用户授权流程如下:1、用户信息统一管理,包括了用户的注册、用户信息变更、用户注销;2、权限管理系统自动获取新增(或注销)用户信息,并根据设置自动分配(或删除)默认权限和用户角色;3、用户管理员可以基于角色调整用户授权(适用于用户权限批量处理)或直接调整单个用户的授权;4、授权信息记录到用户属性证书或用户信息库(关系型数据库、LDAP目录服务)中;5、用户登录到应用系统,由身份认证系统检验用户的权限信息并返回给应用系统,满足应用系统的权限要求可以进行操作,否则拒绝操作;6、用户的授权信息和操作信息均被记录到日志中,可以形成完整的用户授权表、用户访问统计表。
2.2.4.安全通道提供的安全通道是利用数字签名进行身份认证,采用数字信封进行信息加密的基于SSL协议的安全通道产品,实现了服务器端和客户端嵌入式的数据安全隔离机制。
安全通道的主要用途是在两个通信应用程序之间提供私密性和可靠性,这个过程通过3个元素来完成:a.握手协议:这个协议负责协商用于客户机和服务器之间会话的加密参数。
当一个SSL客户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。
b.记录协议:这个协议用于交换应用数据。
应用程序消息被分割成可管理的数据块,还可以压缩,并产生一个MAC(消息认证代码),然后结果被加密并传输。
接受方接受数据并对它解密,校验MAC,解压并重新组合,把结果提供给应用程序协议。
c.警告协议:这个协议用于标示在什么时候发生了错误或两个主机之间的会话在什么时候终止。
3)平台功能说明平台主要提供集中用户管理、集中证书管理、集中认证管理、集中授权管理和集中审计等功能,总体功能模块如下图所示:4)集中用户管理随着企业整体信息化的发展,大致都经历了网络基础建设阶段、应用系统建设阶段,目前正面临着实现纳入到信息化环境中人员的统一管理和安全控制阶段。
随着企业的网络基础建设的不断完善和应用系统建设的不断扩展,在信息化促进业务加速发展的同时,企业信息化规模也在迅速扩大以满足业务的发展需要,更多的人员被融入信息化环境,由此突出反映的事件是无论是网络系统、业务系统、办公系统,其最终的主体将是企业内外的人员,每一为人员承担着使用、管理、授权、应用操作等角色。
因此对于人员的可信身份的管理显得尤为重要,必将成为信息化发展的重中之重,只有加强人员的可信身份管理,才能做到大门的安全防护,才能为企业的管理、业务发展构建可信的信息化环境,特别是采用数字证书认证和应用后,完全可以做到全过程可信身份的管理,确保每个操作都是可信得、可信赖的。
集中用户管理系统主要是完成各系统的用户信息整合,实现用户生命周期的集中统一管理,并建立与各应用系统的同步机制,简化用户及其账号的管理复杂度,降低系统用户管理的安全风险。
4.1.管理服务对象集中用户管理主要面向企业内外部的人、资源等进行管理和提供服务,具体对象可以分为以下几类:a)最终用户:自然人,包括自然人身份和相关信息。
b)主账号:与自然人唯一对应的身份标识,一个主账号只能与一个自然人对应,而一个自然人可能存在多个主账号。
c)从账号:与具体角色对应,每一个应用系统内部设置的用户账号,在统一信任管理平台中每个主账号可以拥有多个从帐号,也就是多种身份角色(即一个日然人在企业内部具备多套应用系统账号)。
d)资源:用户使用或管理的对象,主要是指应用系统及应用系统下具体功能。
具体服务对象之间的映射对应关系如下图所示:4.2.用户身份信息设计4.2.1.用户类型用户是访问资源的主体,人是最主要的用户类型:多数的业务由人发起,原始的数据由人输入,关键的流程由人控制。
人又可再分为:员工、外部用户。
员工即中心的职员,是平台主要的关注的用户群体;外部用户是指以独立身分访问中心应用系统的其他用户如投标人、招标人、招标代理等。
4.2.2.身份信息模型身份信息模型如下:对各类用户身份建立统一的用户身份标识。
用户身份标识是统一用户管理系统内部使用的标识,用于识别所有用户的身份信息。
用户标识不同于员工号或身份证号,需要建立相应的编码规范。
为了保证用户身份的真实、有效性,可以通过数字证书认证的方式进行身份鉴别并与用户身份标识进行唯一对应。