En 400-6655-581
5
返回列表
> 资源中心 > 文章>产品>IAM(身份与访问控制)> 身份安全 | 统一身份管理如何实现?实践出真知!

身份安全 | 统一身份管理如何实现?实践出真知!

文章

2020-07-28浏览次数:317

伴随着信息技术不断的发展革新和信息化建设的飞速进步,以及企业自身业务的扩张,企业在信息化建设的投入不断加大,各个应用系统,服务平台、以及相关的资源设备都在大量的投入,随着系统的不断投入,处在不同时期,不同部门建设的各类信息化系统在技术、架构上及应用模式上存在的差异明显,企业的信息化建设逐渐暴露出新问题。

 

企业

的应用系统、设备、硬件资源众多,伴随着用户管理混乱,越权访问,权限管控不当,审计不全,为解决这一问题统一身份管理需求出现。

 

 
相关定义理解
 
 

统一身份管理主要是实现用户身份统一及帐号集中管理、用户认证统一,系统授权统一管理,安全审计统一管理的功能,达到企业多个系统之间用户,认证高度的统一管理,实现高效集成,安全监管,从而提升企业信息化应用能力。往往很多人把统一身份管理和4A项目,主数据管理项目混为一谈,这在一定程度上存在理解错误,以下对这两个歧义进行说明。

 

 
与4A概念的关系
 
 

4A是指:认证Authentication、账号Account、授权Authorization、审计Audit,即统一安全管理平台,也就是把账号、认证、授权、审计定义为网络安全的四大组成部分,从而确立了身份认证在整个网络安全系统中的地位与作用。

在某些软件项目中统一身份管理也被称作为4A项目,解决问题及实施方案包括4A中提到的内容,只不过很多时候对于不同用户的需求场景与个性化业务,会在4A实施内容范围上多实现一些功能,例如开发简单的工作台门户,展现系统集成成果或与不同的集成类平台产品结合,打造不同的解决方案等,加深项目的价值与作用。

 

 
与主数据管理的区别
 
 

主数据管理是解决企业经营中各类主数据在不同系统中的名称、编码等信息不一致现象,保证企业内主数据单一视图的准确性、一致性及完整性。两者在企业IT架构的层面、管理内容、功能、业务交互等方面都具备一定的差异。在企业IT架构中统一身份管理项目属于IT治理层面,注重技术架构的实现;主数据管理项目属于数据治理层面,注重业务、数据架构的实现,两者从不同层面、维度分别作为基础支撑为更高层次的服务治理、业务治理奠定基础。

 

 

 

? 在管理内容方面,统一身份管理企业内部的用户、群组、角色;主数据管理企业内部的组织、人员、岗位,除此之外还管理其它如:客户、供应商等主数据。

? 在功能方面,统一身份管理具备统一身份认证功能,弱化案例功能,很少或不预置管理案例;主数据管理不具备统一身份认证功能,提供基础数据管理样例。

? 在业务交互方面,统一身份管理主要与信息中心人员进行交互;主数据管理主要与业务人员进行交互,注重数据、业务的梳理。

 

 

 

常见问题分析
 

 

统一身份管理项目属于IT整合阶段的集成类问题,谈到集成类问题,企业信息化建设的历史原因不可避免,为解决运营管理问题由下至上无规划的建设,造成不同时期、不同厂商、不同技术、不同平台、不同规模的系统杂乱无序的构建,随着系统增多到一定程度,新一阶段的信息化问题一触即发,具体表现如下: 

业务处理方面

 
 
 

? 用户处理业务必须记住多个系统的用户名及密码,容易遗忘;

? 处理一个业务需要频繁登录与切换不同系统,繁琐且效率低下;

? 信息分散难以获取,缺少有效整合,用户难以进行信息综合利用;

? 用户信息修改多个入口,且不能统一在一个平台;

? 各个业务系统分散管理,在信息更新、同步方面存在瓶颈;

 

IT运维方面
 
 
 

系统用户名/密码遗忘现象严重,IT维护难度及成本增大;

? IT开发成本较大,标准不统一,应用系统各自为王,用户,认证体系进行重复建设;

? 随着用户名/密码增多,企业缺乏统一的账号安全管理策略;

? 缺乏统一授权及访问审计机制,非法操作无法快速定位追溯;

 

 

具体实施步骤

 

项目解决方案

对于统一身份管理项目主要使用IDM身份管理平台或4A系统进行解决,通常情况下除了使用单一产品,还会搭配集成套件中的其它产品更好的辅助完成项目,如ESB企业服务总线,共同打造统一身份管理项目。

方案总体介绍

 

通过统一用户管理及认证体系,建立统一用户资源库,对企业信息系统用户进行合理分类,实现用户身份和权限的统一认证与授权管理,并对企业应用集成的运行环境、服务互操作、数据交换和通用服务等全过程进行统一系统监控安全审计,满足对信息系统统一用户管理、统一身份认证、统一授权管理以及安全审计的要求。

具体包括统一身份管理平台、ESB企业服务总线,方案体系架构如下图所示:

 

 

 

统一身份管理平台主要实现企业用户、群组、角色统一管理、认证管理及内置工作流功能实现对创建账号、授权管理时的流程审批功能,审计功能实现行为的审计分析、追溯管理。

ESB企业服务总线在统一身份管理方案中主要作为提供数据同步接口、流程触发、实现数据间抽取、转换、同步、分发的工具。

 

 

下周将给大家讲讲具体实施步骤、最佳实践输出等内容。