企业统一身份认证

企业统一身份认证

背景分析

为实现大型企业应用多系统帐号资源的统一,规范用户验证授权标准,以提升信息安全,降低管理成本,提高用户访问的友好性,建立集团总部与下属企业之间的统一认证平台,实现统一用户帐号管理、统一认证管理、统一授权管理和统一安全审计等功能,为集团应用系统用户提供功能完善、高安全性的认证、授权、审计和帐号管理。

方案目的

  • 建成高效的统一账号管理整合平台:实现对用户的全生命周期的管理,提供一个更加自动化、安全、可审计、灵活的安全访问与身份管理系统;
  • 建成良好的统一身份认证管理整合平台:认证是验证用户身份的过程;实现对用户访问的单点登录(SSO,英文全称Single Sign On),提高用户的工作效率、改善用户的使用体验;
  • 建成安全的统一帐号授权管理整合平台:提供强制的安全策略实施,包括使用角色、规则、策略实现用户对应用的访问权限管理;
  • 建立符合遵从性法规的统一集中审计整合平台:满足安全审计要求;提供通用以及客户定制的审计报表:如员工可以访问哪些系统;
  • 优化用户的密码管理,提供用户自助密码重置功能,规范密码策略。

建设内容

  • 身份存储目录服务平台的设计、部署;
  • 统一身份管理平台的设计、部署与管理、运维等;
  • 单点登录平台的设计、部署与管理、运维等;
  • 定制基于业务流程的身份管理模式;
  • 对未来应用系统的支持和业务模式调整的适应性;
  • 技术标准与管理规范的梳理建立;
  • 硬件部署架构及运行环境建议配置;
  • 对已有应用系统集成的设计和评估;

其他为保证系统可靠运行、具备良好的扩展推广性等的技术措施。

总体方案设计

系统逻辑图

如上图所示,统一认证建设包括以下几部分内容:

建设统一用户管理系统

该系统统一管理所有使用集团业务应用的用户账户信息,实现用户账号的全生命周期管理。该系统为业务应用系统提供用户的身份验证、权限控制、安全日志审计等功能。下图所示为统一身份认证过程:

单点登录系统

该系统为所有业务应用系统提供统一用户登录功能。用户验证可采用用户名密码、短信密码、数字证书等多种方式,并可根据业务发展考虑移动身份认证等方式。如下图所示

统一应用门户

所有用户身份验证通过后,进入统一应用门户。该门户显示当前用户信息,根据当前登录用户的权限,提供各应用模块列表。

支持管理员后台的应用发布,如选择图标,编辑应用名称、应用简介、支持热线等;在门户中提供公告栏功能,由集团信息部门管理员进行发布。下图为“上海市国资委统一身份认证平台”应用门户案例