系統現狀
某集團公司擁有多個(gè)下屬公司,均進(jìn)行了卓有成效的信息化建設,但由于開(kāi)展時(shí)間較早,也沒(méi)有統一規劃,目前處于應用各自獨立建設、獨立維護的狀態(tài)。
需求分析
為了發(fā)揮信息應用系統在服務(wù)決策、促進(jìn)溝通、交流經(jīng)驗、推動(dòng)工作等方面的作用,加強高效工作的信息化支撐力度,提高總部、下屬單位的工作效率,需要改變現有各應用系統用戶(hù)管理分散、認證分散的現狀,構建企業(yè)用戶(hù)的統一管理,打造企業(yè)綜合信息平臺。
建設目標
“某集團公司”統一用戶(hù)管理平臺由統一用戶(hù)管理服務(wù)、統一認證服務(wù)、單點(diǎn)登錄服務(wù)組成,形成對總部和集團公司應用系統的安全支撐,促進(jìn)信息系統的應用和發(fā)展。
“某集團公司”統一用戶(hù)管理平臺具體建設目標如下:
(1)建設企業(yè)統一目錄
編制企業(yè)目錄規范,并按照規范建立統一目錄系統,按照規范要求存儲用戶(hù)信息各項屬性和組織機構信息各項屬性,并提供數據同步接口。
(2)建設統一用戶(hù)管理平臺
建立統一用戶(hù)管理系統,統一管理全公司用戶(hù)信息和組織機構信息,并負責向各應用系統提供標準可用的數據,同時(shí)完成各應用的用戶(hù)帳號統一管理、用戶(hù)授權集中管理與安全策略集中設置。
(3)建設統一認證平臺
建立統一認證平臺,實(shí)現對應用系統的集中認證和單點(diǎn)登錄。
統一認證平臺根據統一用戶(hù)管理系統提供的授權信息進(jìn)行用戶(hù)應用系統訪(fǎng)問(wèn)控制。
2 解決方案總體設計
部署方式設計
圖1 部署方式設計圖
“某集團公司”統一用戶(hù)管理平臺依據“分級部署、分級管理”的原則,采用分布式部署,中心節點(diǎn)建設在總部,分中心建設在各集團公司。
部署方式示意圖如下:
中心節點(diǎn)承擔總部統一用戶(hù)管理平臺數據負載,負責對總部應用系統及全國應用系統進(jìn)行用戶(hù)管理、認證和單點(diǎn)登錄。
分中心承擔集團公司統一用戶(hù)管理平臺數據負載,各分中心獨立運行互不干擾,負責對集團公司應用系統進(jìn)行用戶(hù)管理、認證和單點(diǎn)登錄。
中心節點(diǎn)和分中心分別從同級的HR系統同步用戶(hù)信息,由HR系統負責發(fā)起用戶(hù)管理操作,由統一用戶(hù)管理平臺進(jìn)行用戶(hù)信息分發(fā)。同時(shí),兩級統一用戶(hù)管理平臺也實(shí)現了用戶(hù)同步,可在總部形成全集團用戶(hù)信息視圖。
中心節點(diǎn)和分中心分別建立企業(yè)目錄,負責存儲本公司的用戶(hù)信息、組織機構信息、角色信息等數據。
統一用戶(hù)管理平臺采用分級部署方式,為應用系統提供本地化的用戶(hù)管理、認證和單點(diǎn)登錄服務(wù),確保了內部網(wǎng)絡(luò )暢通,實(shí)現辦公現代化、信息電子化、傳輸網(wǎng)絡(luò )化和管理科學(xué)化提供高保障、高質(zhì)量的安全基礎平臺。
部署內容設計
總部部署:總部部署兩臺統一用戶(hù)管理平臺服務(wù)器,構成總部的統一用戶(hù)管理平臺,負責對總部或全集團應用系統提供用戶(hù)管理、認證和單點(diǎn)登錄服務(wù)。
集團公司部署:集團部署兩臺統一用戶(hù)管理平臺服務(wù)器,構成集團的統一用戶(hù)管理平臺,負責對集團應用系統提供用戶(hù)管理、認證和單點(diǎn)登錄服務(wù)。
系統接口設計
統一用戶(hù)管理平臺作為用戶(hù)信息的集中管理與整合的信息設施,涉及與各個(gè)業(yè)務(wù)系統的交互,系統必須具有良好、完善的接口,以滿(mǎn)足應用系統在多種應用場(chǎng)景下的使用需求。
認證與單點(diǎn)登錄接口規范
統一用戶(hù)管理平臺產(chǎn)品提供應用系統認證與單點(diǎn)登錄接口規范,方便應用系統進(jìn)行認證和單點(diǎn)登錄接入。根據應用系統的實(shí)際情況,可選擇HTTP協(xié)議或TCP協(xié)議。
HTTP協(xié)議接口規范:提供HTTP協(xié)議接口包及開(kāi)發(fā)規范,進(jìn)行應用系統的單點(diǎn)登錄接入。
TCP協(xié)議接口規范:提供TCP協(xié)議接口包及開(kāi)發(fā)規范,進(jìn)行應用系統的單點(diǎn)登錄接入。
組織機構用戶(hù)數據同步接口
統一用戶(hù)管理平臺組織機構、用戶(hù)數據同步接口分為兩類(lèi):從數據源接收數據同步和向應用系統同步數據。
從數據源接收數據同步接口
在企業(yè)內部已擁有組織機構、用戶(hù)數據權威數據源的情況下,統一用戶(hù)管理平臺提供數據接收同步服務(wù)。在權威數據源的組織機構、用戶(hù)數據發(fā)生變更時(shí),可自動(dòng)同步到統一用戶(hù)管理平臺。
1)組織機構操作接口:可接收組織機構信息的增加、刪除、修改、啟用、停用、重命名、修改父級等變更信息;
2)用戶(hù)操作接口:可接收用戶(hù)信息的增加、刪除、修改、啟用、停用、重命名、修改父級、變更用戶(hù)組、變更角色等變更信息;
3)用戶(hù)組操作接口:可接收用戶(hù)組信息的增加、刪除、修改等變更信息;
4)角色操作接口:可接收角色信息的增加、刪除、修改等變更信息;
5)密碼操作接口:可接收管理員重置密碼、用戶(hù)自助修改密碼、用戶(hù)自助重置密碼的變更信息。
向應用系統同步數據接口
在統一用戶(hù)管理平臺內進(jìn)行企業(yè)內部組織機構、用戶(hù)數據的統一管理,或者接收到權威數據源的同步數據,產(chǎn)生增量變化數據后,統一用戶(hù)管理平臺提供數據同步分發(fā)服務(wù),根據應用系統的數據需求,進(jìn)行相應數據的分發(fā)與同步。
1)同步接口:可同步組織機構、用戶(hù)、用戶(hù)組、角色、密碼等信息的增加、刪除、修改、啟用、停用、重命名、修改父級等變更信息。
公共服務(wù)接口
統一用戶(hù)管理平臺作為企業(yè)內部的IT基礎設施,集中存儲企業(yè)的組織機構和用戶(hù)數據。統一用戶(hù)管理平臺提供公共服務(wù),方便有需要的應用系統進(jìn)行組織機構和用戶(hù)數據的查詢(xún)。
組織機構查詢(xún)接口
為應用系統提供組織機構查詢(xún)條件,可根據任意屬性、父級屬性查詢(xún),查詢(xún)組織機構的詳細信息,查詢(xún)結果支持分頁(yè)顯示。
用戶(hù)查詢(xún)接口
為應用系統提供用戶(hù)信息查詢(xún)條件,可根據任意屬性、父級屬性查詢(xún),查詢(xún)用戶(hù)的詳細信息,查詢(xún)結果支持分頁(yè)顯示。
用戶(hù)組查詢(xún)接口
為應用系統提供用戶(hù)組信息查詢(xún)條件,可根據用戶(hù)組名稱(chēng)、編碼查詢(xún),查詢(xún)用戶(hù)組的詳細信息,查詢(xún)結果支持分頁(yè)顯示。
角色查詢(xún)接口
為應用系統提供角色信息查詢(xún)條件,可根據角色名稱(chēng)、編碼查詢(xún),查詢(xún)角色的詳細信息,查詢(xún)結果支持分頁(yè)顯示。
3 統一用戶(hù)管理平臺設計
根據部署方式設計圖所示,統一用戶(hù)管理平臺分級部署在總部和集團公司,分別為總部應用系統和集團公司應用系統提供身份認證、單點(diǎn)登錄、用戶(hù)管理服務(wù)。
總部統一用戶(hù)管理平臺除了承擔本公司應用的用戶(hù)認證功能外,還為集中部署的應用系統提供下屬集團公司用戶(hù)認證功能,即支持總部集中部署,總部、集團公司分級使用的全國應用系統用戶(hù)認證。總部統一用戶(hù)管理平臺所制定的安全策略針對全部應用系統生效。
集團公司統一用戶(hù)管理平臺承擔本公司應用的用戶(hù)認證功能,應用可以是統一建設部署的,也可以是本集團自行建設的應用系統。集團公司統一用戶(hù)管理平臺繼承總部統一用戶(hù)管理平臺安全策略,并可針對本集團特定應用或本地應用制定單獨的安全策略。
設計依據
統一用戶(hù)管理平臺采用分級部署、分級管理的設計方式,其主要優(yōu)點(diǎn)有:
(1)適應不同部署形式的應用系統,更好地貼近應用系統實(shí)際安全需要;
(2)集團公司有自建應用系統,也需要統一用戶(hù)管理,本地的統一用戶(hù)管理平臺提供了實(shí)現手段;
(3)分級部署提供了本地認證能力,減少了對網(wǎng)絡(luò )的依賴(lài),提高了系統可靠性;
(4)分級部署為本地提供了應用管理能力,可為本地建設的單獨應用系統提供單點(diǎn)登錄;
(5)總部統一用戶(hù)管理平臺可靈活使用,既為總部服務(wù)又可為全國應用服務(wù),還具有認證托管能力,可為人數較少的集團公司直接提供認證服務(wù)。
統一用戶(hù)管理功能
用戶(hù)管理
用戶(hù)管理是指各級用戶(hù)管理員通過(guò)統一用戶(hù)管理平臺提供的頁(yè)面,在其管理范圍內完成對用戶(hù)的新增、查詢(xún)、修改、刪除和應用分配等操作。
用戶(hù)類(lèi)別可分為:內部用戶(hù)、外部用戶(hù)、臨時(shí)用戶(hù)等多種類(lèi)型。
臨時(shí)用戶(hù)在申請統一用戶(hù)管理平臺帳號需要進(jìn)行層級審批。
用戶(hù)主帳號管理:新增一個(gè)用戶(hù),主要填寫(xiě)包括用戶(hù)姓名、身份證號、選擇所在公司和部門(mén)等信息,創(chuàng )建用戶(hù)信息的同時(shí)為用戶(hù)分配員工編碼,才能生效。
員工編號必須在全公司范圍內唯一。
用戶(hù)主帳號修改功能中的口令修改能夠自動(dòng)同步到各子帳號中,使用戶(hù)口令保持一致。
用戶(hù)主帳號中的信息修改,如果信息在子帳號中也存在,需要自動(dòng)的更新到子帳號中,使得用戶(hù)信息保持一致。
用戶(hù)刪除時(shí),用戶(hù)的權限等信息也將隨之刪除。
用戶(hù)從帳號管理:用戶(hù)管理員通過(guò)統一用戶(hù)管理平臺頁(yè)面可以對用戶(hù)從帳號進(jìn)行創(chuàng )建、修改、刪除等操作,創(chuàng )建的從帳號通過(guò)管理接口同步到各個(gè)應用系統中。
從帳號與主帳號自動(dòng)進(jìn)行關(guān)聯(lián),通過(guò)主帳號視圖可以看到和子帳號的關(guān)聯(lián)關(guān)系。
如果修改的信息是用戶(hù)主帳號包括的基本信息,應當修改主帳號信息,由主帳號自動(dòng)同步到從帳號,是信息保持一致。
用戶(hù)管理員通過(guò)統一用戶(hù)管理平臺頁(yè)面可以對用戶(hù)從帳號進(jìn)行刪除,刪除操作通過(guò)接口同步到各個(gè)應用系統。
用戶(hù)帳號的修改:用戶(hù)管理員通過(guò)統一用戶(hù)管理平臺WEB UI界面可以對用戶(hù)信息進(jìn)行修改,用戶(hù)帳號修改功能中的口令修改應當能夠自動(dòng)同步到各子帳號中,使其用戶(hù)口令保持一致。
用戶(hù)帳號中的信息修改,如果信息在子帳號中也存在,需要自動(dòng)的更新到子帳號中,使得用戶(hù)信息保持一致。
用戶(hù)帳號的刪除:用戶(hù)管理員通過(guò)統一用戶(hù)管理平臺WEB UI界面可以刪除用戶(hù)。
用戶(hù)帳號的刪除應當在生命周期管理中通過(guò)離職等流程完成,盡量避免直接刪除用戶(hù)。
用戶(hù)刪除時(shí),此時(shí)用戶(hù)的權限等信息也將隨之刪除。
用戶(hù)帳號的啟用:用戶(hù)管理員通過(guò)統一用戶(hù)管理平臺WEB UI界面可以對用戶(hù)進(jìn)行啟用,啟用后用戶(hù)的主帳號狀態(tài)變成“正常”,但用戶(hù)所關(guān)聯(lián)的子帳號,需要管理員手工的進(jìn)行啟用管理。
用戶(hù)帳號的禁用:用戶(hù)管理員通過(guò)統一用戶(hù)管理平臺WEB UI界面可以禁用用戶(hù)帳號,禁用后,用戶(hù)帳號所關(guān)聯(lián)的子帳號應自動(dòng)禁用。
用戶(hù)帳號的轉移:用戶(hù)管理員通過(guò)統一用戶(hù)管理平臺WEB UI界面可以對用戶(hù)帳號進(jìn)行轉移,該轉移是轉移用戶(hù)所在組織節點(diǎn),轉移后用戶(hù)屬性中組織信息需要自動(dòng)的進(jìn)行變更,與轉移后的組織信息保持一致。
組織機構管理
統一用戶(hù)管理平臺提供組織機構管理頁(yè)面,在頁(yè)面中提供添加,查詢(xún),注銷(xiāo),刪除等功能。
組織機構管理圖形化,已經(jīng)添加在統一用戶(hù)管理平臺中的組織機構,系統將現有的組織機構已樹(shù)狀形式顯示。此管理頁(yè)面能夠被維護并實(shí)時(shí)更新。
組織結構信息能夠導出成圖片、Excel數據,能夠形成XML格式數據提供接口被其他系統實(shí)時(shí)引用。
組織機構的創(chuàng )建:新增一個(gè)組組機構,主要填寫(xiě)包括組織機構的名稱(chēng)、編碼、類(lèi)型(部門(mén)或公司)等信息,并指定其上級組織機構。
組織機構的編碼必須在全局范圍內唯一,其編碼規則在企業(yè)目錄規范中統一規定。
組織機構的查詢(xún):統一用戶(hù)管理平臺既提供查詢(xún)組織機構的WEB UI界面,也提供基于Web Service規范的組織機構查詢(xún)接口。后者主要便于應用系統在其應用中嵌入企業(yè)組織目錄樹(shù)。
支持通過(guò)組織機構名稱(chēng)、編碼、類(lèi)型等屬性進(jìn)行組織機構的精確查詢(xún)、模糊查詢(xún)、組合查詢(xún)。
組織機構的修改:用戶(hù)管理員通過(guò)統一用戶(hù)管理平臺WEB UI界面可以對組織機構的名稱(chēng)、編碼、類(lèi)型進(jìn)行修改。
支持對組織機構的合并和轉移。
在修改組織機構后,用戶(hù)信息中組織的信息將自動(dòng)變更。
組織機構的刪除:用戶(hù)管理員通過(guò)統一用戶(hù)管理平臺WEB UI界面可以刪除組織機構。
在刪除組織機構時(shí),必須先對該組織機構下的所有用戶(hù)進(jìn)行調離或刪除處理,否則不能刪除組織機構。
在刪除組織機構時(shí),必須先對該組織機構的下級組織機構進(jìn)行轉移或刪除處理,否則不能刪除組織機構。
從數據安全性考慮,嚴禁通過(guò)遞歸方式直接刪除組織機構。
組織機構的合并:用戶(hù)管理員通過(guò)統一用戶(hù)管理平臺WEB UI界面可以對組織機構進(jìn)行合并,合并支持兩種方式:
1) A,B合并到A或B;
2) A,B合并到C;
合并時(shí),系統需要提示組織下的組織和人員將會(huì )合并到新的組織下。
組織機構的刪除:用戶(hù)管理員通過(guò)統一用戶(hù)管理平臺WEB UI界面可以對組織機構進(jìn)行刪除,系統需要檢查當前組織下是否還包含子組織和人員,如果存在,提示管理員不能刪除該組織,需要先轉移該組織下的子組織和人員。
群組管理
群組管理是指各級用戶(hù)管理員通過(guò)統一用戶(hù)管理平臺提供的頁(yè)面,在其管理范圍內完成對群組的新增、修改、刪除、群組人員分配和群組人員轉移等操作。
群組的編碼在全公司范圍內唯一。群組用于將擁有同類(lèi)權限的用戶(hù)進(jìn)行匯總,以便于批量用戶(hù)的授權。
群組包括靜態(tài)組和動(dòng)態(tài)組,靜態(tài)組提供對組的成員管理,管理員可以通過(guò)查找用戶(hù)的方式,把用戶(hù)添加到改組。
動(dòng)態(tài)組通過(guò)LDAP表達式實(shí)現,系統應提供LDAP表達式輸入的區域,和對LDAP表達式檢查的結果顯示,方便管理員設置。
管理員通過(guò)統一用戶(hù)管理平臺頁(yè)面可以向群組中添加人員、去除人員,群組中人員的添加/去除操作只影響用戶(hù)的權限。
群組刪除時(shí),該群組與應用系統的關(guān)聯(lián)關(guān)系,群組與人員的關(guān)系將一并刪除。
權限與角色管理
可以擴展提供基于角色的訪(fǎng)問(wèn)控制能力。用戶(hù)和角色之間的關(guān)系是不斷維護的,每種角色都有各自的權限定義,如果一個(gè)用戶(hù)被賦予一個(gè)角色之后,那么這個(gè)用戶(hù)就擁有了那個(gè)角色所定義的權限;當這個(gè)角色的權限定義更改之后,所有被賦予這個(gè)角色的用戶(hù)也會(huì )自動(dòng)擁有這個(gè)角色更改之后的權限。
平臺負責目錄中角色的維護,包括角色的添加、修改、刪除、角色人員分配和角色人員轉移等功能。
應用管理
管理員通過(guò)統一用戶(hù)管理平臺提供的頁(yè)面,完成對應用系統的注冊、修改、刪除等操作。
可以指定應用系統的同步內容,包括帳號、組織、群組和角色。
支持應用的批量開(kāi)通。
用戶(hù)信息導入
統一用戶(hù)管理平臺提供了數據初始化工具,可從單數據源或多數據源導入用戶(hù)信息。用戶(hù)信息導入步驟如下:
(1)選擇一個(gè)或多個(gè)應用系統數據源作為用戶(hù)信息導入源;
(2)按照事先定義好的Web Service接口,導入用戶(hù)信息;
(3)統一用戶(hù)管理平臺會(huì )根據事先定義好的字段設置,將用戶(hù)信息完整的建立起來(lái),管理員可在此基礎上對用戶(hù)進(jìn)行分組或自動(dòng)分組,便于進(jìn)行單點(diǎn)登錄授權。
帳號有效期管理
如果用戶(hù)類(lèi)型是臨時(shí)用戶(hù),則賬戶(hù)有效期屬于必填項。
為了滿(mǎn)足對用戶(hù)生命周期管理的需要,需實(shí)現如下功能:
(1)面向全體用戶(hù),定義統一用戶(hù)管理平臺用戶(hù)身份有效期審核管理措施;
(2)當用戶(hù)信息接近有效期時(shí)告警;
(3)當用戶(hù)有效期到期禁用用戶(hù)、停止訪(fǎng)問(wèn)權限。
用戶(hù)密碼管理
對于用戶(hù)名密碼認證,統一用戶(hù)管理平臺支持用戶(hù)密碼的安全策略管理和密碼同步管理。
密碼安全策略管理:對于密碼安全策略,系統支持如下要求:
(1)可定義口令的復雜度策略:包括口令的長(cháng)度、口令的組成、定義非重復口令、禁用的字符短語(yǔ)等;
(2)可定義口令的過(guò)期策略,使用戶(hù)在一定周期過(guò)后就強制要求修改密碼;
(3)可針對不同崗位和角色應用不同的口令安全策略;
(4)支持口令加密存儲及口令重置。
對于需要采用口令同步的系統,系統支持用戶(hù)口令的同步,當在統一用戶(hù)管理平臺修改口令后,系統將用戶(hù)口令同步到后臺各應用系統中。
初始密碼修改:統一用戶(hù)管理平臺提供設置初始密碼功能,此功能能夠提供初始密碼設置。
在統一用戶(hù)管理平臺注冊新用戶(hù)后,統一用戶(hù)管理平臺會(huì )自動(dòng)為用戶(hù)設置初始密碼。當用戶(hù)在初始登錄時(shí),使用初始密碼登錄。統一用戶(hù)管理平臺檢查登錄密碼,如果檢測登錄密碼為初始密碼系統則彈出提示信息(如:“不能使用初始密碼登錄”)并導入頁(yè)面密碼修改頁(yè)面,讓用戶(hù)自行修改密碼。
帳號密碼強度檢測:統一用戶(hù)管理平臺提供密碼強度檢測功能,即用戶(hù)在修改密碼時(shí),用戶(hù)設置的密碼沒(méi)有達到指定的強度時(shí),系統會(huì )提示用戶(hù)設置的密碼沒(méi)有達到指定的強度,請用戶(hù)重新設置。
自助申請帳號
提供頁(yè)面為提供臨時(shí)用戶(hù)帳號自助申請,臨時(shí)帳號需要進(jìn)行審批后才能使用,并且在審批時(shí)設定帳號有效期。
用戶(hù)自服務(wù)管理
用戶(hù)自服務(wù)管理是指用戶(hù)管理員通過(guò)用戶(hù)管理系統的UI界面,對允許用戶(hù)進(jìn)行自助服務(wù)的個(gè)人信息進(jìn)行范圍設定。
用戶(hù)自服務(wù)管理系統必須能夠保障用戶(hù)的自助編輯服務(wù)范圍是限制在用戶(hù)個(gè)人基本信息中,不能超出這個(gè)設定范圍,且必須符合目錄存儲規范中對用戶(hù)各項信息屬性類(lèi)型的要求。
用戶(hù)自助服務(wù)系統必須保證用戶(hù)只能查看和編輯自身的用戶(hù)信息。
用戶(hù)個(gè)人信息自助服務(wù)
用戶(hù)個(gè)人信息自助服務(wù)是指用戶(hù)自身通過(guò)用戶(hù)管理系統的UI界面(通常為Web UI界面),對其自身的個(gè)人基本信息進(jìn)行登記和編輯等操作。
用戶(hù)可以通過(guò)自助服務(wù)查看本人的身份信息和授權,并能夠對其中的個(gè)人基本信息進(jìn)行編輯,例如:用戶(hù)手機號碼這種個(gè)人信息允許用戶(hù)自助編輯,而用戶(hù)的公司信息,包括用戶(hù)ID、用戶(hù)工號、用戶(hù)組織等信息是不允許用戶(hù)編輯,以保證用戶(hù)信息的合法性。
領(lǐng)導可以自行指定一個(gè)代理人來(lái)處理用戶(hù)的事務(wù)。
用戶(hù)自助服務(wù)UI界面應能夠將用戶(hù)信息中的個(gè)人信息和公司信息,可自助服務(wù)信息和非自助服務(wù)信息,以及必選信息和可選信息清晰區分開(kāi)來(lái);
用戶(hù)管理系統必須能夠保障用戶(hù)的自助服務(wù)范圍是滿(mǎn)足用戶(hù)管理員設定范圍。
用戶(hù)通過(guò)自服務(wù)系統能夠修改授權用戶(hù)修改的個(gè)人信息,包括密碼信息。
被集成的應用系統應該調用統一用戶(hù)管理平臺的自服務(wù)管理模塊,不再使用原有的自服務(wù)模塊。
系統管理
統一用戶(hù)管理平臺的管理服務(wù)功能包括:數據字典設置、菜單管理設置、角色管理、數據導入、同步訂閱。
系統提供分級管理功能,系統管理員可以定義為總部、下屬公司兩級或更多級,分別對能管理的用戶(hù)、角色等信息進(jìn)行管理。
安全審計與日志報表
系統提供一個(gè)集中的存儲中心以日志的形式記錄用戶(hù)所作的所有操作。審計人員、安全管理人員可以隨時(shí)察看這些記錄用戶(hù)、系統和應用的日志信息。并為所有系統和用戶(hù)提供一個(gè)基于關(guān)系型數據庫的準確而且安全的日志記錄方式。
管理人員可以根據日志中記錄的信息,進(jìn)行靈活地日志查詢(xún)和報表功能。
單點(diǎn)登錄功能實(shí)現
單點(diǎn)登錄的實(shí)現原理:統一用戶(hù)管理平臺的用戶(hù)信息數據獨立于各應用系統,形成統一的用戶(hù)唯一ID,并將其作為統一認證平臺用戶(hù)的主帳號。
(1)在通過(guò)統一用戶(hù)管理平臺統一認證后,可以從登錄認證結果中獲取統一用戶(hù)管理平臺用戶(hù)唯一ID(主帳號);
(2)再由其關(guān)聯(lián)不同應用系統的用戶(hù)帳號(從帳號);
(3)最后用關(guān)聯(lián)后的帳號訪(fǎng)問(wèn)相應的應用系統。
當增加一個(gè)應用系統時(shí),只需要增加統一用戶(hù)管理平臺用戶(hù)唯一ID(主帳號)與該應用系統帳號(從帳號)的一個(gè)關(guān)聯(lián)信息即可,不會(huì )對其它應用系統產(chǎn)生任何影響,從而解決登錄認證時(shí)不同應用系統之間用戶(hù)交叉和用戶(hù)帳號不同的問(wèn)題。單點(diǎn)登錄過(guò)程均通過(guò)安全通道來(lái)保證數據傳輸的安全。
B/S結構應用系統的接入與認證:B/S結構應用系統用戶(hù)均采用瀏覽器登錄和訪(fǎng)問(wèn)應用系統,因此使用瀏覽器訪(fǎng)問(wèn)統一用戶(hù)管理平臺,在統一用戶(hù)管理平臺登錄認證成功后,再訪(fǎng)問(wèn)具體B/S應用應用系統。B/S應用系統接入統一用戶(hù)管理平臺的架構如下圖所示:
圖2 應用系統接入與認證架構
統一用戶(hù)管理平臺提供兩種B/S結構應用系統接入方式,以滿(mǎn)足不同應用系統的需求,快速實(shí)現單點(diǎn)登錄:
反向代理方式:在完成客戶(hù)端與認證服務(wù)器的交互認證后,用戶(hù)先登錄進(jìn)入統一用戶(hù)管理平臺系統,然后利用反向代理技術(shù)完成服務(wù)器端代理用戶(hù)認證,并將應用系統信息推送給客戶(hù)端瀏覽器,從而實(shí)現用戶(hù)對該應用系統的訪(fǎng)問(wèn)。
這種方式下應用系統基本不需改動(dòng)和開(kāi)發(fā),對于不能作改動(dòng)或沒(méi)有原廠(chǎng)商配合改動(dòng)的應用系統,可以使用該方式接入統一用戶(hù)管理平臺。實(shí)現上,采用SSO認證服務(wù)和SSO Agent進(jìn)行交互驗證用戶(hù)信息,完成應用系統單點(diǎn)登錄。
圖3 反向代理方式接入應用系統
反向代理方式下通過(guò)統一用戶(hù)管理平臺訪(fǎng)問(wèn)應用系統的流程如下:
(1)用戶(hù)在統一用戶(hù)管理平臺上點(diǎn)擊訪(fǎng)問(wèn)的應用系統URL鏈接;
(2)由統一用戶(hù)管理平臺驗證用戶(hù)權限,有權限則在統一用戶(hù)管理平臺數據庫中查詢(xún)用戶(hù)和應用系統的關(guān)聯(lián)表,無(wú)權限則提示用戶(hù)無(wú)權訪(fǎng)問(wèn);
(3)如關(guān)聯(lián)表中無(wú)相應記錄,則瀏覽器彈出建立關(guān)聯(lián)的頁(yè)面;如關(guān)聯(lián)表中有相應記錄,則統一用戶(hù)管理平臺服務(wù)器提取用戶(hù)和應用系統的關(guān)聯(lián)信息,送至SSO服務(wù)加密簽名形成數字信封后,返還給統一用戶(hù)管理平臺;
(4)由統一用戶(hù)管理平臺將加密信息發(fā)送給應用系統前端的SSO Agent;
(5)SSO Agent收到加密信息后進(jìn)行解密,并向應用系統提交用戶(hù)關(guān)聯(lián)信息;
(6)應用系統收到用戶(hù)關(guān)聯(lián)信息后進(jìn)行驗證,驗證成功則允許用戶(hù)訪(fǎng)問(wèn)應用,失敗則提示用戶(hù)更新關(guān)聯(lián)信息。
插件方式:插件方式采用SSO認證服務(wù)和集成插件(SSO API)的方式進(jìn)行交互驗證用戶(hù)信息,完成應用系統單點(diǎn)登錄。插件方式提供多種API,通過(guò)簡(jiǎn)單調用即可實(shí)現SSO。
通常情況下,對于有原廠(chǎng)商配合開(kāi)發(fā)的應用系統,推薦使用該方式接入統一用戶(hù)管理平臺,以實(shí)現高效率高可靠的單點(diǎn)登錄。
圖4 插件方式接入應用系統
(1)用戶(hù)在統一用戶(hù)管理平臺上點(diǎn)擊訪(fǎng)問(wèn)的應用系統URL鏈接;
(2)由統一用戶(hù)管理平臺驗證用戶(hù)權限,有權限則在統一用戶(hù)管理平臺數據庫中查詢(xún)用戶(hù)和應用系統的關(guān)聯(lián)表,無(wú)權限則提示用戶(hù)無(wú)權訪(fǎng)問(wèn);
(3)如關(guān)聯(lián)表中無(wú)相應記錄,則該用戶(hù)未授權,不允許訪(fǎng)問(wèn);如關(guān)聯(lián)表中有相應記錄,則統一用戶(hù)管理平臺服務(wù)器提取用戶(hù)在該應用系統中的身份信息,送至SSO服務(wù)加密簽名形成數字信封后,返還給統一用戶(hù)管理平臺;
(4)由統一用戶(hù)管理平臺將加密信息發(fā)送給相應的應用系統;
(5)應用系統調用SSO API,對加密信息進(jìn)行解密,得到用戶(hù)身份信息并返回給應用系統;
(6)應用系統收到用戶(hù)身份信息后通過(guò)信任機制允許用戶(hù)訪(fǎng)問(wèn)應用系統。
C/S結構應用系統的接入與認證:對于C/S架構的應用系統,統一用戶(hù)管理平臺采用Windows消息機制方式,自動(dòng)地向客戶(hù)端傳遞認證參數,從而實(shí)現單點(diǎn)登錄。其具體認證過(guò)程如下:
(1)在統一用戶(hù)管理平臺上啟用CS Agent,由管理員配置好CS Agent所需要的客戶(hù)端用戶(hù)認證參數;
(2)用戶(hù)登錄統一用戶(hù)管理平臺;
(3)用戶(hù)點(diǎn)擊C/S應用鏈接;
(4)CS Agent啟動(dòng)客戶(hù)端,并通過(guò)Windows消息機制向客戶(hù)端傳遞用戶(hù)認證參數;
(5)客戶(hù)端接收到認證參數,按照自身的認證方式通過(guò)用戶(hù)驗證,進(jìn)入系統;
(6)用戶(hù)使用客戶(hù)端而無(wú)需進(jìn)行其他操作。
應用支撐體系
統一用戶(hù)管理平臺建設采用分級部署方式,可靈活支持多種部署形式的應用系統,分別詳述如下:
集中部署應用的認證與單點(diǎn)登錄
對于集中部署、分級使用的應用系統,由總部統一用戶(hù)管理平臺提供用戶(hù)管理、認證與單點(diǎn)登錄服務(wù),應用系統為集團公司用戶(hù)提供訪(fǎng)問(wèn)鏈接,該訪(fǎng)問(wèn)鏈接可集成在集團公司門(mén)戶(hù)中。
總部統一用戶(hù)管理平臺具有全國用戶(hù)信息庫,因此,可以為集中部署方式的應用系統提供支持。當集團公司用戶(hù)訪(fǎng)問(wèn)應用時(shí),認證請求被發(fā)送到總部統一用戶(hù)管理平臺,由平臺校驗用戶(hù)認證憑證,校驗成功則檢查用戶(hù)權限信息和應用訪(fǎng)問(wèn)控制信息,根據上述信息單點(diǎn)登錄到應用中。
分級部署應用的認證與單點(diǎn)登錄
對于分級中部署、分級使用的應用系統,由總部和集團公司統一用戶(hù)管理平臺分別提供用戶(hù)管理、認證與單點(diǎn)登錄服務(wù),應用系統分別為總部和集團公司用戶(hù)提供訪(fǎng)問(wèn)鏈接,該訪(fǎng)問(wèn)鏈接可分別集成在總部和集團公司門(mén)戶(hù)中。
總部和集團公司統一用戶(hù)管理平臺分別具有本公司范圍內的用戶(hù)信息庫,因此,可以為分級部署方式的應用系統提供支持。當集團公司用戶(hù)訪(fǎng)問(wèn)應用時(shí),認證請求被發(fā)送到集團公司統一用戶(hù)管理平臺,由平臺校驗用戶(hù)認證憑證,校驗成功則檢查用戶(hù)權限信息和應用訪(fǎng)問(wèn)控制信息,根據上述信息單點(diǎn)登錄到應用中;當總部用戶(hù)訪(fǎng)問(wèn)應用時(shí),認證請求被發(fā)送到總部統一用戶(hù)管理平臺,由平臺校驗用戶(hù)認證憑證,校驗成功則檢查用戶(hù)權限信息和應用訪(fǎng)問(wèn)控制信息,根據上述信息單點(diǎn)登錄到應用中。
直接使用總部統一用戶(hù)管理平臺的設計
對于部分人數較少的集團公司,可以采用直接使用總部統一用戶(hù)管理平臺提供的用戶(hù)管理、認證與單點(diǎn)登錄服務(wù),即采用認證托管模式建設本集團公司統一用戶(hù)管理平臺,有效節省投資成本。
在認證托管模式下,集團公司在本地不存在物理上的統一用戶(hù)管理平臺,而是由總部統一用戶(hù)管理平臺在邏輯上形成一個(gè)只針對該集團公司的統一用戶(hù)管理平臺,由該集團公司管理員維護與管理。邏輯上的統一用戶(hù)管理平臺,具有和其他集團公司所建的統一用戶(hù)管理平臺一致的功能,也可以進(jìn)行本集團范圍內的分級管理授權,功能獨立運用,不受總部統一用戶(hù)管理平臺的影響。
授權管理體系
統一用戶(hù)管理平臺采用了分級部署、分級管理的實(shí)現方式,授權管理也相應的采用了分級授權管理體系。總部管理員負責管理總部應用和全集團應用,管理總部角色信息,實(shí)現用戶(hù)基于角色或個(gè)人的授權。集團公司管理員負責管理集團公司應用應用,管理集團公司角色信息,實(shí)現用戶(hù)基于角色或個(gè)人的授權。
對于每個(gè)公司的授權,采用了集中授權管理機制,能夠集中的對用戶(hù)與被管資源中的權限進(jìn)行分配。
把權限(資源)賦予用戶(hù)的過(guò)程中,應該有完善的授權生命周期管理:授予權限、修改授權、解除授權。同時(shí)存在輔助管理功能,例如:查找、定位、報表等。
為了方便授權動(dòng)作,可以將一組相同或相近類(lèi)型的權限(資源)定義為角色。同理,如果把一個(gè)角色授予一個(gè)用戶(hù),即把角色包含的權限(資源)全部授予用戶(hù)。
現階段實(shí)現粗粒度實(shí)體級授權,也就是完成用戶(hù)到資源的訪(fǎng)問(wèn)層面。而應用等內部的授權由系統自身完成。
資源管理
資源管理是指對被管理資源進(jìn)行錄入、編輯、刪除、查詢(xún)、報表等一系列維護管理操作。為了方便管理員管理,資源按照多種類(lèi)型進(jìn)行分類(lèi)管理,提供給管理員的UI界面,進(jìn)行友好的管理維護與展現。
資源管理支持以下功能:
創(chuàng )建資源:管理員能夠通過(guò)文件導入或者人工添加的方式,增加新的資源信息;
修改資源:管理員能夠對其管理范圍內的資源信息進(jìn)行編輯;
查詢(xún)資源:管理員能夠通過(guò)設定查詢(xún)條件(包括精確、模糊和組合等方式)對其管理范圍內的資源信息進(jìn)行查詢(xún);
刪除資源:管理員能夠在其管理范圍內刪除某個(gè)或某些資源的信息;
角色管理
角色是一系列權限(資源)的集合。通過(guò)角色的定義,可以簡(jiǎn)化授權操作,降低用戶(hù)與權限之間的耦合程度,提高授權的靈活性。
授權管理
授權管理就是把相應的權限(資源)或角色授予用戶(hù)或用戶(hù)組的一系列維護管理操作。對用戶(hù)授權后,用戶(hù)即擁有訪(fǎng)問(wèn)目標資源的權限。
使用流程
單點(diǎn)登錄流程
單點(diǎn)登錄流程詳細如下:
(1)用戶(hù)在登錄后頁(yè)面中顯示的應用程序訪(fǎng)問(wèn)列表中點(diǎn)擊需要訪(fǎng)問(wèn)的應用程序鏈接;
(2)應用系統接受用戶(hù)的訪(fǎng)問(wèn)請求,并將訪(fǎng)問(wèn)請求轉發(fā)到統一用戶(hù)管理平臺的單點(diǎn)登錄服務(wù)器;
(3)單點(diǎn)登錄服務(wù)器解析用戶(hù)訪(fǎng)問(wèn)請求信息,并校驗用戶(hù)訪(fǎng)問(wèn)權限,向應用系統返回用戶(hù)信息;
(4)應用系統獲得單點(diǎn)登錄服務(wù)器信息,用戶(hù)登錄成功,正常使用應用系統。
單點(diǎn)登錄安全性說(shuō)明
對于單點(diǎn)登錄系統來(lái)說(shuō),由于各個(gè)應用系統是根據從單點(diǎn)登錄系統獲得的票據來(lái)獲取登錄人員身份的,因此票據的安全性是單點(diǎn)登錄系統的關(guān)鍵要素。為了保證票據的安全,采取了以下措施:
票據生成的唯一性和時(shí)效性:為了保證用戶(hù)登錄應用系統的安全性,由單點(diǎn)登錄系統生成票據作為用戶(hù)登錄應用系統的憑據。生成的票據由單點(diǎn)登錄系統存儲,并記錄該票據是發(fā)給哪個(gè)用戶(hù)登錄哪個(gè)應用系統的。票據是一串加密的隨機數,且該串隨機數一次有效并具有一定的時(shí)效性(一般為60秒)。當用戶(hù)單點(diǎn)登錄成功時(shí),該票據被刪除;當超過(guò)票據有效時(shí)間時(shí),該票據被刪除。通過(guò)這些措施可以阻止其他用戶(hù)利用中間人截獲的方式登錄應用系統,也可以阻止其他應用服務(wù)器模擬合法用戶(hù)登錄到其他應用服務(wù)器。
票據驗證還可以配合IP地址綁定等方式,通過(guò)增加客戶(hù)端可識別信息進(jìn)一步加強單點(diǎn)登錄的安全性。
票據傳輸過(guò)程安全性:在票據傳送過(guò)程中,由單點(diǎn)登錄系統對票據進(jìn)行簽名然后才發(fā)送到應用系統。任何對認證信息的修改都會(huì )導致簽名驗證的失敗,從而阻止其他客戶(hù)端對認證請求的偽造,也可以驗證客戶(hù)端的唯一性。
在應用系統接收到票據后,會(huì )將票據傳送到單點(diǎn)登錄系統進(jìn)行驗證,傳送的過(guò)程中,將由單點(diǎn)登錄系統部署于業(yè)務(wù)系統上的組件對傳輸內容進(jìn)行簽名,這樣就保證了目標業(yè)務(wù)系統的不可抵賴(lài)性。
用戶(hù)信息的安全性:在驗證票據后,單點(diǎn)登錄系統會(huì )將用戶(hù)的登錄信息傳送給業(yè)務(wù)系統,同時(shí),此次傳輸的用戶(hù)信息是由單點(diǎn)登錄系統進(jìn)行加密后傳輸,因此,在此傳輸過(guò)程中保證了用戶(hù)登錄信息的安全性。
關(guān)于時(shí)代億信
北京時(shí)代億信科技有限公司是一家致力于企業(yè)應用整合及信息安全整體解決方案的專(zhuān)業(yè)技術(shù)服務(wù)公司。公司依托首都科技產(chǎn)業(yè)優(yōu)勢,專(zhuān)注于數字證書(shū)應用、企業(yè)應用安全、企業(yè)應用整合及相關(guān)領(lǐng)域的軟件研發(fā)與技術(shù)服務(wù),為客戶(hù)提供整體的應用安全解決方案。憑借團隊優(yōu)勢和綜合技術(shù)能力,公司相繼獨立完成了身份認證、統一身份管理與訪(fǎng)問(wèn)控制、文檔安全保護、SSLVPN等一系列創(chuàng )新產(chǎn)品的研發(fā)和推廣,積累了豐厚的專(zhuān)業(yè)技術(shù)實(shí)力和成熟的客戶(hù)服務(wù)經(jīng)驗,經(jīng)過(guò)不斷努力,已經(jīng)成為企業(yè)應用安全及整合領(lǐng)域領(lǐng)先的解決方案提供商。
