统一身份及访问安全管理系统
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 神州泰岳产品:
– Ultra-IAM——Account、Authentication、Authorization、Audit and Access Control Management Sysytem
• 中国移动叫法:
– 安全管控平台 或者 4A,涵盖三个子中心
• 集中维护接入平台 SMAP:对应Access Control • 帐号口令管理系统:对应Account、Authentication、
通过系统定时任务,或相关管理员执行密码检查,找出系统 中存在不满足要求的用户口令 • 密码同步策略
认证管理
•主从帐号管理 •用户同步 •生命周期管理 •密码管理 •用户自管理
4A解决什么问题?——安全管控平台的作用
企业员工 张三在公司
企业员工 李四在出差
王五是远程的 第三方维护人员
小刘是现场的 第三方维护人员
集中安全维护接入平台 集中帐号口令管理平台
集中安全 审计平台
企业各类IT资源
建设现状分析
独立的审计,缺乏关联分析。运营出现 的安全问题无法明确定位
审计
维护
安全问题不断出现, 系统维护和管理工作 负担大,效率低
现状
认证
接入网络没有强制检测手段;
访问系统没有强身份认证 手段;
各应用系统都独立认证;
独立的用户数据库和独立的 系统管理员;
自然人身份和业务系统帐号 重叠 ;
多系统都基于独立的帐 号管理实现访问频繁切 换
帐号
授权
独立的系统授权机制和 独立的应用授权管理
Ultra-IAM系统概述
• 神州泰岳Ultra-IAM是集账号管理、授权管理、认证管理和 综合审计、安全访问控制于一体的集中账号及安全访问管理 系统(业界称为4A)。
同步功能-技术实现
• 主机:
– 同步方式:使用标准的通信接口telnet、ssh,通过发送用户操作指令 的方式对主机从帐号进行相应的维护。
• 网络设备:
– 驱动主要通过Radius协议和建立内置Radius服务器的方式进行帐号的 管理,以及进行帐号的访问控制等授权管理。
• 数据库:
– 通过JDBC协议与数据进行交换,进行数据库帐号等的权限信息的管 理。
流程设计
• 4A系统内置流程引擎,并内置图形化流程设计器,满足帐号 申请、审批、分配、通知等流程管理制度的需要
提供多种密码管理策略
• 密码安全策略 密码强度(长度、字符、有效期等),系统还提供多种密码
制定策略,满足不同系统对密码安全的需要 • 密码修改任务
用户从帐号密码的定期变更,提高密码的安全性 • 密码定期检查
– 分级管理:以适应分部门、分管理层次的分级管理要求; 不同级别的帐号可以行使不同级别的权限
– 属性管理:包括帐号基本信息、时效策略、密码策略、组 织标识、角色标识。
– 生命周期管理:对用户从产生到删除各存在状态进行管理 – 帐号监控:口令系统对幽灵帐号、弱口令和交叉帐号(不
能修改口令的程序帐号)进行监控,并提供相应的 告警报表 – 自服务功能 :对自己的属性进行修改
• 应用系统:
通过标准接口来实现帐号同步,如JDBC/ODBC 、标准LDAP 通过私有协议来实现和应用系统间帐号接口,提供java或c的标准api 接口,webservice jmx 等接口
完整的生命周期管理
• 对用户从产生到删除各存在状态进行管理,包括统一的用户创 建、维护、删除等功能,并同步到各个系统中去。
同步功能
• 神州泰岳Ultra-IAM 通过多种方式来实现对操作系统、数据 库系统、网络设备、应用系统、业务系统的用户同步管理
– Telnet/SSH方式 – AD域方式 – JDBC/ODBC – LDAP方式 – 模拟客户端 – Radius协议 – Agent – Web Service – 专用API方式
B/S应用
安装filter拦截器
集中应用发布系统 SSO
C/S应用
帐号管理员 审计管理员
LDAP
Ultra-IAM Server Ultra-IAM Resource Management Driver suites
Ultra-IAM系统架构
系统功能
•主从帐号管理 •用户同步 •生命周期管理 •密码管理 •用户自管理
•授权管理 •资源管理 •访问控制 •角色管理 •授权粒度控制
1
用户管理
2
认证管理
•认证方式选择 •单点登录SSO •认证转发
系统功能
3
授权管理
4
集中审计
•日志采集 •日志分析 •审计还原 •告警处理 •审计报表
主从帐号管理
• 主帐号管理
– 组织管理:能够按照按地域、组织结构进行划分,建立相 应树状目录用于合理组织主帐号。
因为专注所以专业 因为专业所以领先
ULTRA-IAM统一身份及访问安全管理系统
北京神州泰岳软件股份有限公司 信息安全事业部
概要
1 产品概况 2 Ultra-IAM产品介绍 3 建设关注点 4 案例介绍
业界关于4A解决方案的一些名词
• 国际叫法:
– IAM——Identity and Access Management,统一身份及访问安全 管理
• 该产品实现用户账户管理(Account)、认证(Authentication)、 授权(Authorization)和审计(Audit)四方面的内在关联,是目 前国内功能最完整、控制粒度最细的综合身份认证和访问安 全管理产品。
• Ultra-IAM采用模块化设计,不但可以根据用户需要和环境 特点进行选择、组合,而且可以提供定制化的开发,能够方 便地实现与用户应用的有机结合。
Authorization • 审计系统:对应Audit
4A解决什么问题?——错综复杂的日常运行维护管理
企业员工 张三在公司
企业员工 李四在出差
王五是远程的 第三方维护人员
小刘是现场的 第三方维护人员
账户开设 无规可循
弱口令 无法控制
维护接入途径 五花八门
维护操作内容 无从知晓
违规操作 无法控制
企业各类IT资源
概要
1 产品概况 2 Ultra-IAM产品介绍 3 建设关注点 4 案例介绍
4A系统的工作场景
Ultra-IAM Portal
SSO 普通用户 运维用户
主 账 号 认 证
授 权Байду номын сангаас资 源 列
表
从帐号SSO
堡垒主机
代填
网络设备 主机系统 数据库系统
代填(HTTP模拟 、 Form代填 ) 凭证(Token、Ticket)
– Ultra-IAM——Account、Authentication、Authorization、Audit and Access Control Management Sysytem
• 中国移动叫法:
– 安全管控平台 或者 4A,涵盖三个子中心
• 集中维护接入平台 SMAP:对应Access Control • 帐号口令管理系统:对应Account、Authentication、
通过系统定时任务,或相关管理员执行密码检查,找出系统 中存在不满足要求的用户口令 • 密码同步策略
认证管理
•主从帐号管理 •用户同步 •生命周期管理 •密码管理 •用户自管理
4A解决什么问题?——安全管控平台的作用
企业员工 张三在公司
企业员工 李四在出差
王五是远程的 第三方维护人员
小刘是现场的 第三方维护人员
集中安全维护接入平台 集中帐号口令管理平台
集中安全 审计平台
企业各类IT资源
建设现状分析
独立的审计,缺乏关联分析。运营出现 的安全问题无法明确定位
审计
维护
安全问题不断出现, 系统维护和管理工作 负担大,效率低
现状
认证
接入网络没有强制检测手段;
访问系统没有强身份认证 手段;
各应用系统都独立认证;
独立的用户数据库和独立的 系统管理员;
自然人身份和业务系统帐号 重叠 ;
多系统都基于独立的帐 号管理实现访问频繁切 换
帐号
授权
独立的系统授权机制和 独立的应用授权管理
Ultra-IAM系统概述
• 神州泰岳Ultra-IAM是集账号管理、授权管理、认证管理和 综合审计、安全访问控制于一体的集中账号及安全访问管理 系统(业界称为4A)。
同步功能-技术实现
• 主机:
– 同步方式:使用标准的通信接口telnet、ssh,通过发送用户操作指令 的方式对主机从帐号进行相应的维护。
• 网络设备:
– 驱动主要通过Radius协议和建立内置Radius服务器的方式进行帐号的 管理,以及进行帐号的访问控制等授权管理。
• 数据库:
– 通过JDBC协议与数据进行交换,进行数据库帐号等的权限信息的管 理。
流程设计
• 4A系统内置流程引擎,并内置图形化流程设计器,满足帐号 申请、审批、分配、通知等流程管理制度的需要
提供多种密码管理策略
• 密码安全策略 密码强度(长度、字符、有效期等),系统还提供多种密码
制定策略,满足不同系统对密码安全的需要 • 密码修改任务
用户从帐号密码的定期变更,提高密码的安全性 • 密码定期检查
– 分级管理:以适应分部门、分管理层次的分级管理要求; 不同级别的帐号可以行使不同级别的权限
– 属性管理:包括帐号基本信息、时效策略、密码策略、组 织标识、角色标识。
– 生命周期管理:对用户从产生到删除各存在状态进行管理 – 帐号监控:口令系统对幽灵帐号、弱口令和交叉帐号(不
能修改口令的程序帐号)进行监控,并提供相应的 告警报表 – 自服务功能 :对自己的属性进行修改
• 应用系统:
通过标准接口来实现帐号同步,如JDBC/ODBC 、标准LDAP 通过私有协议来实现和应用系统间帐号接口,提供java或c的标准api 接口,webservice jmx 等接口
完整的生命周期管理
• 对用户从产生到删除各存在状态进行管理,包括统一的用户创 建、维护、删除等功能,并同步到各个系统中去。
同步功能
• 神州泰岳Ultra-IAM 通过多种方式来实现对操作系统、数据 库系统、网络设备、应用系统、业务系统的用户同步管理
– Telnet/SSH方式 – AD域方式 – JDBC/ODBC – LDAP方式 – 模拟客户端 – Radius协议 – Agent – Web Service – 专用API方式
B/S应用
安装filter拦截器
集中应用发布系统 SSO
C/S应用
帐号管理员 审计管理员
LDAP
Ultra-IAM Server Ultra-IAM Resource Management Driver suites
Ultra-IAM系统架构
系统功能
•主从帐号管理 •用户同步 •生命周期管理 •密码管理 •用户自管理
•授权管理 •资源管理 •访问控制 •角色管理 •授权粒度控制
1
用户管理
2
认证管理
•认证方式选择 •单点登录SSO •认证转发
系统功能
3
授权管理
4
集中审计
•日志采集 •日志分析 •审计还原 •告警处理 •审计报表
主从帐号管理
• 主帐号管理
– 组织管理:能够按照按地域、组织结构进行划分,建立相 应树状目录用于合理组织主帐号。
因为专注所以专业 因为专业所以领先
ULTRA-IAM统一身份及访问安全管理系统
北京神州泰岳软件股份有限公司 信息安全事业部
概要
1 产品概况 2 Ultra-IAM产品介绍 3 建设关注点 4 案例介绍
业界关于4A解决方案的一些名词
• 国际叫法:
– IAM——Identity and Access Management,统一身份及访问安全 管理
• 该产品实现用户账户管理(Account)、认证(Authentication)、 授权(Authorization)和审计(Audit)四方面的内在关联,是目 前国内功能最完整、控制粒度最细的综合身份认证和访问安 全管理产品。
• Ultra-IAM采用模块化设计,不但可以根据用户需要和环境 特点进行选择、组合,而且可以提供定制化的开发,能够方 便地实现与用户应用的有机结合。
Authorization • 审计系统:对应Audit
4A解决什么问题?——错综复杂的日常运行维护管理
企业员工 张三在公司
企业员工 李四在出差
王五是远程的 第三方维护人员
小刘是现场的 第三方维护人员
账户开设 无规可循
弱口令 无法控制
维护接入途径 五花八门
维护操作内容 无从知晓
违规操作 无法控制
企业各类IT资源
概要
1 产品概况 2 Ultra-IAM产品介绍 3 建设关注点 4 案例介绍
4A系统的工作场景
Ultra-IAM Portal
SSO 普通用户 运维用户
主 账 号 认 证
授 权Байду номын сангаас资 源 列
表
从帐号SSO
堡垒主机
代填
网络设备 主机系统 数据库系统
代填(HTTP模拟 、 Form代填 ) 凭证(Token、Ticket)