IDM身份管理系統為解決企業内部多系統之間的使用者資訊不一緻而開發的,主要定位于解決企業在5A功能上的需求,即:Account賬号管理、Authentication認證管理、Authorization授權管理、Audit審計管理、App Control應用管控5個方面的實際需求,進而規範使用者身份資訊,保證系統安全,提高工作效率。
IDM平台支援很多配置功能,例如5A中的應用管控可以對不同的應用系統進行相應的配置、政策中可以對認證和密碼進行一些檢測、同時我們也支援在全局變量中設定一些功能的屬性。這種多樣的開關配置,也是我們身份管理平台的特色之一,能很好地滿足使用者的一系列需求。接下來,我們就來詳細地介紹前文說到的IDM可以配置的開關,以及開關能解決什麼特定環境下的需求。
1總體說明
IDM身份管理平台滿足對企業資訊系統的統一使用者管理、統一身份認證、統一授權管理以及安全審計的要求,能夠實作各業務系統的統一登入和集中通路,實作使用者身份和權限的統一認證與授權管理,為企業不同的業務系統提供統一的使用者管理和認證服務。
1.1功能架構
IDM主要對組織、崗位、人員進行管理,并對其所有的狀态進行記錄,如:初始化、審批中、已啟用、已禁用等,賬戶統一管理可以實作從HR系統中擷取組織使用者資料,也可直接在IDM系統中錄入資料,使用者資訊中的部分屬性資訊根據同步政策由HR系統或其它指定系統同步更新到使用者目錄,其它使用者資訊可在應用系統中各自進行維護,通過IDM統一使用者資訊後,發送到各個業務系統。
1.2系統架構
IDM主要是實作統一認證、授權、審計管理,提高企業身份認證及通路安全,建立授權流程審批機制,使使用者身份資訊、授權資訊、審批資訊等操作更加規範化、标準化,提高整體IT架構的風險防範能力。
消除企業系統間的資訊孤島,為各系統提供統一身份認證、使用者身份管理服務,逐漸實作系統身份系統的整合,建構面向使用者的認證和授權服務,使業務操作更流暢。為簡化IT運維提供強大的技術手段和标準,實作賬戶資料自動化同步操作,同時制定合規的安全服務規範,建構統一的、支撐企業級的認證授權安全服務基礎設施。
1.3政策優勢
那麼我們為什麼會選擇開關政策,作為我們産品的特色政策之一呢。首先,在某些特定的場景下,我們所能提供的功能是遠遠多于需求實作所需的功能的,這樣使用者可以根據自己的需求來完成相應需求實作的配置。大大地提升了使用者的體驗感,同時,關閉了實作某一需求的部分功能,也能使得該功能的執行效率得到提升。并且除了關閉外,我們也可以根據特定的需求設定,如時間、大小等參數,能夠滿足需求的動态調整。
介紹了開關政策的優勢,接下來我們通過應用配置、政策配置以及全局變量中的開關變量來體驗開關政策給産品帶來的提升。
2應用配置
首先,我們來介紹5A中應用管控所涉及到的應用配置功能的明細配置頁面。
2.1屬性介紹
首先,我們對該功能頁面上所涉及到的屬性做簡單的介紹。我們以上面的大标簽為例,如下:
其中,應用配置為基礎的應用管理資訊,認證配置為對CAS、Oauth以及表單認證的配置,這裡我們IDM主推采取Oauth認證的方式,分發管理為IDM分發資料的政策,包括分發方式、自動分發、分發URL。安全管理為對應的應用系統權限,如上圖,安全管理中設定的人員,将會擁有ESB的權限。關聯字段可以設定屬于該應用系統的拓展字段,為特定的應用系統設定特定的權限。
2.2場景說明
對于應用配置,我們就以IDM 5A管理中的統一使用者以及同意權限為例,進行介紹,也就是在IDM中如何進行配置才能把上有系統同步到IDM中的資料,通過一系列的配置在把資料分發給下遊系統。同時,我們也可以在應用中設定為統一角色,這樣IDM的标準角色将轉變為IDM中的權限崗位,也就是在統一角色後,我們的标準角色資料将轉變為權限崗位資料。那麼接下來介紹要實作這兩種場景我們要在IDM,中如何進行相關的配置。
2.3配置說明
首先,我們先來介紹基本的資料的下發過程,這裡我們需要了解應用管理的基本資訊中的一些屬性,如下:
圖中所标出的幾個屬性便是需要配置的幾個屬性。當我們在進行資料下發的過程中,我們需要對基礎資料進行下發權限的配置,這裡我們除了在相關的位置進行選擇應用系統的設定外,我們應用系統管理也提供了兩種權限配置的方式:一種是自動權限、一種是繼承權限,這裡自動權限,代表我下發的資料自動帶有下遊系統的權限,繼承權限則是當我沒有給下發資料賦予權限時,他會預設去找其父節點帶有的權限并繼承下來,這裡我們以組織資料為例,如下:
如上也就是當我為給研發部配置權限的時候,當我的北京分公司被賦予了對應應用系統的權限,那麼我們下發研發部的時候,他就會帶上北京分公司的權限。
接下來是角色政策,這裡需要注意一點,上面的相關權限是否與統一角色無關,但是角色政策統一角色以後将無法進行使用,這裡統一角色後,角色并不專屬于某一個應用,而是IDM中的權限崗位。
這裡當我們在未統一角色的情況下,我們選中标準角色直接關聯使用者後,我們可以在标準角色中直接關聯相關的使用者,标準角色的明細頁面會多出一個标簽,如下:
而另一個實際角色的政策選中後,相對應的實際角色明細中可以挂的人員将不在隻是該組織下的,而可以是其他所有組織下的人員。
點選實際角色進入到的明細頁面,明細頁面中實際角色可挂的人員樹,是所有組織的,如下:
除此之外統一組織則是判斷下發的資料是否采取與IDM相同的組織,也就是在下發的系統中要有與IDM組織編碼一緻的組織,如果選擇為否,則會調用相應的接口擷取下發系統的組織資料。
最後統一角色的選擇則是切換兩種不同的模式,統一角色時下發的标準角色轉變為IDM的權限崗位,而非其他應用系統所特有的角色資訊。
由于我們以統一使用者與同意權限為例進行說明,其中還有部分設定在其他功能上,這裡就不再進行介紹了,相關的部分開關我們已經進行了詳細的說明。
3政策配置
上面說完應用配置中的部分設定後,接下來我們來介紹IDM中提供的監控政策,以及監控政策可以滿足的場景。
3.1屬性介紹
首先IDM目前提供了兩種監控政策,分别是密碼政策和認證政策,後續我們依然會添加更多的政策配置進來,接下來我們先介紹現存的兩種政策都可以監控什麼情況。
認證政策,我們可以對二次認證進行配置、檢測使用者異時異地的登入情況、配置監控賬戶被暴力破解、多次登入失敗,以及賬戶鎖定的時間設定。
密碼認證,我們可以對密碼的基本規則、拓展規則、密碼有效期配置、密碼監控政策。下面我們将分場景來說明其中一些開關的配置資訊。
3.2場景說明
接下來,我們來之指定幾個場景,我們将在下一小節,介紹如何使用政策配置出解決特定場景的方案。如下:
1.異時登入;
2.異地登入;
3.防暴力破解;
4.驗證密碼不包含使用者資訊。
我們指出的上述四個場景,我們接下來将介紹,如何使用IDM的政策解決上述實際場景的問題。
3.3配置說明
1.接下來我們一一介紹,上小節指出的實際場景,需要如何配置IDM的政策解決,首先是異時登入政策,該政策配置的是當使用者在不常用的時間段登入的時候需要進行驗證。我們可以看到相關的政策配置資訊,有登入日志數量,是否啟用二次認證等如下:
2.接下來是異地登入政策,和異時登入政策類似,異地是在發現使用者的登入ip不是常用ip後,需要進行二次認證,相關配置資訊如下:
在配置結束後,我們在首頁進行登入5分鐘内超過三次将進行賬戶的鎖死,而賬戶鎖死的設定我們可以在鎖定時間配置處進行設定,如下:
配置了鎖定的時間後,當超出次數後首頁将進行賬戶的鎖死操作,而鎖定的時長将根據使用者自己的設定來執行,同時為防止黑客的暴力破解我們在鎖定賬戶的同時支援設定通知的方式,我們可以在遭遇暴力破解的時候第一時間知道。
其餘的兩種情況為密碼政策配置,首先基礎的校驗規則就是在密碼政策的基本規則中使用,具體配置如下:
其中左側的組合就是字面上設定的校驗規則,在這裡就不再講解了,右側的密碼監控入口在設定後,我們對密碼的校驗将僅在特定的位置進行。
第二種校驗密碼是否包含人員資訊,我們是在拓展規則種進行校驗的,如下:
我們可以看到這裡可以驗證所有登入相關的資訊。以上便是我們在上節中提到的場景的解決方案。
4 全局變量
接下來,介紹全局變量中涉及到的幾個相關開關,我們先來整體介紹全局變量,然後介紹幾個常用的相關開關功能。
4.1整體介紹
我們先來整體介紹IDM的全局變量,也就是我們在整個産品種涉及到的共有部分,我們可以簡單地了解為,産品中的每個功能都能在該功能子產品讀取到其中的某些屬性。下面時我們IDM平台提供的幾個全局變量,如下:
其中涉及到認證日志、加密密鑰、ip白名單等多處IDM的全局屬性,下面我們會調幾個常用的全局變量介紹其中的屬性,以及涉及到的相關功能。
4.2屬性說明
我們調其中常用的幾個全局變量做詳細的介紹,首先authorityConfig權限配置的相關資訊,明細頁面如下:
其中包含兩個屬性:一個是自動合并任務,一個是合并任務的時間間隔。
然後是empConfigs,也就是人員資料的相關配置,具體的屬性如下:
其中包括人員自動生成編碼、excel導入是否開啟校驗、人員導入是否需要錄入拼音。
接下來是加密相關的encrypt,其中包括了加密使用的公鑰和私鑰,如下:
最後是IpWhiteList也就是ip白名單,具體的屬性如下:
其中涉及到的幾個接口是需要使用ip的接口,隻有在ip白名單内才能使用。
4.3功能介紹
首先是權限相關的配置,裡面的屬性都是作用在授權管理中的,其中當我們完成授權的時候會生成對應的任務,當我們設定任務自動合并時,我們所有的新增和删除操作,在生成任務後會合并在一起,而時間間隔的設定,也就是當任務超出合并的間隔時間後,将不再合并,分别獨立存在兩個任務。如下:
如上我們添加了三個使用者,這樣在設定任務合并後,我們會在工作管理中得到一個任務,而不是三個,如下:
接下來,我們來看人員相關的設定,這裡涉及到三個開關,分别對應人員的明細、excel導入以及導入是否導入拼音,這裡我們看下開關實作的功能。
首先是人員自動生成編碼,當我們啟用該功能時,我們人員的明細調整為不可編輯,效果如下:
接下來我們來介紹加密相關内容,加密相關的其實就是我們IDM中非對稱加密所采用的公鑰與私鑰。這裡IDM支援在全局變量中直接擷取。
最後是ip白名單,這裡我們可以看到屬性值設定的為幾個接口,也就是在請求接口時,隻有這幾個ip段才能進行調用,否者不在白名單内無法調用。
5心得總結
上文介紹了我們涉及到開關政策的幾個功能,接下來我們來說說産品的了解、政策的價值以及政策給産品帶來的發展。
5.1産品了解
IDM身份管理平台主要提供統一認證、統一使用者、統一權限、統一審計、統一應用管控的功能,IDM的設計理念在于加強企業賬戶管理、支撐企業業務營運、簡化企業内部運維,實作統一認證、授權、審計管理,提高企業身份認證及通路安全,建立授權流程審批機制,使使用者身份資訊、授權資訊、審批資訊等操作更加規範化、标準化,提高整體IT架構的風險防範能力,為簡化IT運維提供強大的技術手段和标準,實作賬戶資料自動化同步操作的同時制定合規的安全服務規範,建構統一的、支撐企業級的認證授權安全服務基礎設施。