IDM身份管理系統為解決企業内部多系統之間的使用者資訊不一緻而開發,主要定位于解決企業在5A功能上的需求,即:5個方面的實際需求,進而規範使用者身份資訊,保證系統安全,提高工作效率。
,提供多種認證手段,加強員工身份和權限管理,建立面向集團全體使用者的通路控制中心。同時在落地的過程中結合平台建立資料同步、分發對接規範、統一賬号管理流程、統一認證體系規範,一方面便于客戶資訊的統一、規範的管理,另一方面減少員工重複工作量的同時在資料、操作、業務多個層面審計管理,保證資料分發前有審批管理,分發過程中有監管、有管控,分發資料後可追溯回查。
整體介紹
IDM身份管理平台滿足對企業資訊系統的統一使用者管理、統一身份認證、統一授權管理以及安全審計的要求,能夠,實作使用者身份和權限的統一認證與授權管理,為企業不同的業務系統提供統一的使用者管理和認證服務。
1.系統架構
IDM主要是實作統一認證、授權、審計管理,提高企業身份認證及通路安全,建立授權流程審批機制,使使用者身份資訊、授權資訊、審批資訊等操作更加規範化、标準化,提高整體IT架構的風險防範能力。
消除企業系統間的資訊孤島,為各系統提供統一身份認證、使用者身份管理服務,逐漸實作系統身份系統的整合,,使業務操作更流暢。為簡化IT運維提供強大的技術手段和标準,實作賬戶資料自動化同步操作,同時制定合規的安全服務規範,建構統一的、支撐企業級的認證授權安全服務基礎設施。
2.功能架構
,并對其所有的狀态進行記錄,如:初始化、審批中、已啟用、已禁用等,賬戶統一管理可以實作從HR系統中擷取組織使用者資料,也可直接在IDM系統中錄入資料,使用者資訊中的部分屬性資訊根據同步政策由HR系統或其它指定系統同步更新到使用者目錄,其它使用者資訊可在應用系統中各自進行維護,通過IDM統一使用者資訊後,發送到各個業務系統。
3.5A管控
1.:為使用者提供統一集中的帳号(組織/崗位/人員)管理及分發,能夠實作被管理資源帳号的建立、删除及同步等帳号管理生命周期所包含的基本功能,也可以通過平台進行帳号密碼政策,密碼強度、生存周期的設定。
2.:可以根據使用者應用的實際需要,為使用者提供統一的身份認證,各系統采用統一認證體系,不同強度的認證方式,既可以保持原有的靜态密碼方式,又可以提供具有雙因子認證方式的高強度認證。
3.:在IDM管理業務系統下的角色和對應的功能資源(菜單資源、API資源、資料資源),通過對功能資源的角色授權,及下發權限資源的操作,進行業務系統下權限資源的統一管理。
4.:主要對建立賬号的流程審批、授權管理的流程審批、使用者使用/通路的日志記錄進行審計和分析,不僅可以對使用者行為進行監控,還可以通過集中的審計資料進行追溯定位,以便于事後的安全事故責任的認定。
5.:以使用者身份為中心,解決企業目前權限管理面臨的開通難、查詢難、回收難和管理難的問題,實作企業全景業務權限的集中化、自動化、标準化、安全化、可視化、智能化、合理化、高效化,通過權限畫像能力,加速企業權限管理建設,提升安全、效率、體驗,降低權限管理與維護成本。
統一賬号
為使用者提供統一集中的賬号(組織、人員、崗位)管理及分發,實作員工入職、離職的一鍵式同步及分發,一方面解決員工賬号在多個系統需要重複錄入問題而造成的備援工作,提升員工的工作效率;另一方面避免因系統各異,賬号系統賬戶管理各自為戰,無法從集團層面進行統一管控。
1.業務場景
企業一般使用者是以人力部門為标準,一般是,通過IDM接收接口将組織、人員、崗位資訊同步到IDM中,在IDM進行統一管理,然後通過分發接口分發到下遊各個業務系統。
2.相關功能
1.: 管理組織的相關資訊,可以對組織資訊進行增删改查操作,修改組織資訊後可以生成對應的任務将對應的組織資訊分發到對應的系統。
2.:對崗位資訊進行管理,通過生成任務的方式下發到各個業務系統。
3.:管理人員的相關資訊,通過點選左側組織清單可以查詢對應組織或角色下的人員資訊, 通過生成任務的方式下發到各個業務系統。
3.功能特性
1.:支援字段擴充,适配業務系統分發必要内容;按鈕擴充實作服務、流程調用,流程擴充适配多種流程形式。
2.:支援組織、崗位變動調整、人員的入轉調離,系統資料初始化導入,業務系統權限內建。
3.:提供業内标準對接接口,支援多種服務對接調用,擴充按鈕、流程支援服務、接口對接、調用。
統一認證
為使用者提供統一的身份認證,各系統采用的統一認證體系,實作使用者一次性登入,隻需要輸入一次使用者名及密碼即可實作全部業務系統登入,避免由于員工在業務處理過程中因為工作需要頻繁的在不同系統中進行登入及退出。
1.業務場景
等多種認證模式。支援多個安全級别的身份認證方式,參與的各個應用系統和受保護資源可以根據自身的安全需要設定安全等級;支援多種認證方式的組合認證;支援密碼政策的統一化管理。
2.相關功能
業務系統在系統登入認證時,向IDM身份管理平台發起請求URL跳轉至IDM統一認證登入頁面,帶有、傳回的URL位址,IDM系統認證後跳轉至redirect_uri中,同時帶有code資訊。
1.系統請求認證:
(1)調用位址:
(2)入參說明:
(3)出參說明:
2.擷取認證票據:
(1) 調用位址:
(2) 入參說明:
(3) 出參說明:
3.擷取使用者資訊:
(1)調用位址:
(2)入參說明:
(3)出參說明:
3.功能特性
1.:支援多種認證方式,易認證;功能子產品化設計,易管理。
2.:提供Oauth、SAML、CAS等标準協定認證接口,支援多種協定認證,同時平台提供各種标準資料接口、靈活支援內建與被內建。
3.:認證支援高并發(5000+)、高可用(十萬級同時線上),具備分布式、緩存、異步處理、雲平台擴充機制。
統一授權
統一授權實作對資料的進行管理,包括對組織、使用者、角色需要同步的任務操作、流程審批後通過企業服務總線實作的業務系統中的同步分發、對操作進行監控統計等功能,保證了業務資源和資料資源通路權限可以進行集中管控,通過對角色、組織、使用者關聯關系的建立以及授權的配置設定,形成了完整的授權體系。
1.業務場景
實作統一授權後,使用者可以通過應用配置實作單點登入、登出,并且登入認證采用的是SSO等主要單點登入模式,在架構上支援SSO的擴充,同時滿足對使用者的資源通路權限進行集中控制。各個系統的入口和功能菜單與使用者、角色關聯配置設定權限,完成授權,形成權限控制表。
2.相關功能
1.:管理各個業務系統的功能資源相關資訊,包括功能菜單、控制器資訊、操作資訊等。
2.:主要對各個應用系統下的通用枚舉類資料進行管理,頁面左側為資料分組樹形菜單(可編輯),右側為該分組下的資料清單資訊,可以通過切換應用系統顯示不同應用系統下的資料資訊。
3.:接口資源主要是對各個應用系統下的接口資訊進行管理,頁面左側為接口分組樹形菜單(可編輯),右側為該分組下的接口清單資訊,可以通過切換應用系統來顯示不同應用系統下的接口資訊。
4.:授權管理子產品主要為各個應用系統的不同權限資源建立和标準角色、實際角色、人員、組織的關聯關系。分為功能菜單、資料資源、API接口三個标簽,分别為這三個權限資源賦予權限。
3.功能特性
1.:實作三權分立,可進行分級授權,平台預置報警、預警政策配置;底層具備攔截XSS攻擊、防止SQL注入等機制。
2.支援按使用者、組織機構配置設定角色,支援角色增删改查和應用權限配置設定。
3.滿足對使用者的資源通路權限進行集中控制。
統一審計
IDM平台提供了平台的監控功能,,對系統的運作資訊進行監控管理,并支援系統運作狀況、操作情況進行統計、分析和告警,提供各類日志管理。
1.業務場景
在IDM中可以檢視一些操作的日志,包括認證日志、IDM系統通路日志、異常記錄檔、登入日志查詢等,,不僅可以對使用者行為進行監控,還可以通過集中的審計資料進行追溯定位,以便于事後的安全事故責任的認定,支援審計資訊的分析統計,其結果能夠以報表或圖形的方式進行展現。
2.相關功能
1.:主要記錄使用者登入IMD系統的認證資訊。
2.:主要記錄了資料源系統資料發送至IDM時的狀态成功或失敗,進而與資料源系統管理人員互動解決人員同步問題。
3.:主要用于記錄工作任務内操作分發業務系統的結果,可以根據系統清單、分發狀态、起止時間等條件進行查詢。
4.:記錄使用者修改密碼的相關資訊,統計并記錄密碼分發情況,同時為分發失敗的系統提供再次分發的方法。
5.:主要記錄使用者操作IDM系統的日志資訊。
3.功能特性
1.:對認證、管理、同步、分發、權限、任務等資料監控,提供預警、提醒多種通知方式配置。
2.:預置緩存處理機制,接口、流程支援異步操作,認證、同步分發等服務支援高并發。
3.結合BPM發揮工作流作用,實作對建立賬号、授權管理時的功能。
應用管控
以使用者身份為中心,解決企業目前權限管理面臨的開通難、查詢難、回收難和管理難的問題,實作企業全景業務權限的集中化、自動化、标準化、安全化、可視化、智能化、合理化、高效化,通過權限畫像能力,加速企業權限管理建設,提升安全、效率、體驗和降低權限管理與維護成本。
1.業務場景
應用管控是針對應用系統的分發權限(使用者、組織、崗位哪些系統有權限)、應用系統的認證配置、應用系統的通路權限進行統一管控,實作IDM和其他系統的內建管理、使用者管理以及認證管理。
2.相關功能
1.:在基礎管理子產品可以為組織、人員、崗位配置應用系統權限。
2.:可以管理各個應用系統的權限資源資訊,并進行授權操作。
3.功能特性
1.對目前系統使用者認證情況、分發、權限、賬戶情況進行統一管控。
2.加速企業權限管理建設,提升安全、效率、體驗和降低權限管理與維護成本。
3.以使用者身份為中心,解決企業目前權限管理面臨的開通難、查詢難、回收難和管理難的問題
心得體會
在學習IDM身份管理平台的過程中,自己的技術能力與産品了解等多方面都得到了很大提升,并且有了很多感悟,現在将我在本次工作中的收獲總結如下。
1.工作收獲
通過本次對于IDM功能的使用,學習了IDM的各種功能,對于這些功能的使用更為熟練,而在流程開發的過程中,通過解決出現的一些問題的時候不斷思考,邏輯思維能力也得到了提升,同時對于實際項目的開發場景也更為了解,明白了IDM的各項功能在實際場景如何進行使用。
2.能力提升
在IDM功能的使用過程中,随着對于産品的不斷使用,使我對于産品的操作更加熟練,同時也加強了對于産品的了解,使我的技術能力有了明顯的提升,同時也明白了對于産品的了解不能浮于表面,要深切的結合到實踐中進行業務上的了解,隻有這樣才能在項目中做到得心應手。
另外在工作過程中要不斷學習和總結,隻有這樣才能不斷提高自身的能力。
3.價值分析
,基于底層資訊化系統滿足企業業務管理需求,提供使用者整個生命周期的管理、使用者賬号的統一管理以及使用者屬性的統一管理,并為各個應用系統提供安全的服務與支援。
統一管理主要對群組、使用者、角色進行統一管理,包括賬戶間的狀态記錄、關聯關系、角色授權等功能,確定使用者賬戶使用和管理的安全性。通過統一使用者、統一認證、統一權限、統一審計、統一應用管控,實作對集團整體系統的內建和認證,并持續提供輔助和支撐。
本文由@數通暢聯原創,歡迎轉發,僅供學習交流使用,引用請注明出處!謝謝~