IDM安全監控功能說明

IDM身份管理平台可以實作各個業務系統的單點登入，通過CAS認證、OAuth認證、接口認證模式實作，通過三種不同方式實作不同場景下的統一認證。

IDM身份管理系統為解決企業内部多系統之間的使用者資訊不一緻而開發，主要定位于解決企業在5A功能上的需求，即：5個方面的實際需求，進而規範使用者身份資訊，保證系統安全，提高工作效率。

總體介紹

IDM身份管理平台滿足對企業資訊系統的統一使用者管理、統一身份認證、統一授權管理以及安全審計的要求，能夠實作各業務系統的，實作使用者身份和權限的統一認證與授權管理，為企業不同的業務系統提供統一的使用者管理和認證服務。

1.産品介紹

通過IDM身份管理平台進行統一認證，保證業務系統可以單點登入，既可以根據CAS配置正常登入，也可以通過OAuth認證，下面分别介紹CAS和OAuth認證模式和接口認證。

2.産品體系

首先介紹一下數通暢聯的産品體系：

數通暢聯所有産品都是通過K8S雲管理平台UMC進行部署搭建産品環境，通過不同的産品組合方案解決企業面臨的不同資訊化困境，幫助企業完善資訊化發展，數通暢聯的産品支援多種認證方式，如。

數通暢聯的産品中都預置了CAS模式和OAuth模式的配置環境和相關攔截器，是以可以直接通過CAS模式或OAuth模式進行單點登入，無需擴充開發實作。

3.政策優勢

在某些特定的場景下，我們所能提供的功能是遠遠多于需求要求的功能，這樣使用者可以根據自己的需求來完成相應需求實作的配置。大大提升了使用者的體驗感，同時關閉了實作某一需求的部分功能，也能使得該功能的執行效率得到提升。并且除了關閉外，我們也可以根據特定的需求設定，如時間、大小等參數，随時滿足需求的動态調整。

異時異地政策

IDM的認證政策需要支援異時、異地的判斷，可以通過賬戶的異時與異地登入來進行報警。賬戶不在常用的地點與常用的IP進行登入，就會觸發異時、異地提醒政策，下面詳細介紹異時、異地政策。

1.功能介紹

認證政策，異時、異地配置調整，支援在上個月尋找登入次數最多的時段，當使用者登入的時間段不是常登入的時間段則會進行相應的報警，支援異地政策，，當使用者登入的IP非該IP段上的IP則會進行相應的報警。

異時政策：

異地政策：

2.功能配置

首先是異時登入政策，該政策配置的是當使用者在不常用的時間段登入的時候需要進行驗證。我們可以看到相關的政策配置資訊，基礎配置有是否啟用異時政策以及綁定類型，，當選擇指定綁定時隻有将使用者與政策綁定後政策才會生效。

擴充配置就是政策模闆所配置的屬性，登入日志數量即查詢資料庫的條數，最低日志數量即查詢資料庫最少的條數，如果低于查詢出的日志條數或者低于配置的條數則不進行異時政策的校驗。

然後是時間頻率以及定時配置，當時間類型選擇間隔時系統會定時多長時間進行一次資料庫的查詢，當選擇每天時系統會每天多長時間進行一次資料庫的查詢，當選擇每周時系統會每周多長時間進行一次資料庫的查詢。

接下來是異地登入政策，和異時登入政策類似這裡就不再複述，異地是在發現使用者的登入IP不是常用IP後，，異地登入次數過多就會進行賬戶鎖定，相關配置如下:

3.功能展現

使用者在異時或異地登入時會觸發相應政策，并且鎖定時間與鎖定遞增時間都可以配置。

異時或異地登入次數大于配置的次數就會被鎖定，賬戶鎖定後有兩種解決方式:。

然後點選鎖定人員的登入解鎖按鈕，就可以正常登入了。

登入失敗政策

IDM的認證政策需要支援對密碼的判斷，可以通過賬戶的登入來進行失敗次數的判斷。

:可以在設定幾分鐘裡超過幾次登入就會進行賬戶的鎖死。

: 鎖定的時長将根據使用者自己的設定來執行，同時為防止黑客的暴力破解，我們在鎖定賬戶的同時支援設定通知的方式，我們可以在遭遇暴力破解時第一時間知道。

1.功能介紹

失敗次數配置:支援配置失敗上限，支援配置提醒方式，支援配置鎖定時間與鎖定遞增時間。

2.功能配置

失敗次數: 支援配置失敗次數上限與對應的提醒方式以及是否啟用二次認證和它對應的方式。

在平時的使用中我們面對黑客的攻擊或者蓄意的賬号盜取，需要對暴力破解進行一些設定， 配置了鎖定的時間後，當超出次數後将進行賬戶的鎖死操作，而鎖定的時長将根據使用者自己的設定來執行，同時為防止黑客的暴力破解，我們，我們可以在遭遇暴力破解的時候第一時間知道。

3.功能展現

在頁面點選登入并失敗次數過多後，頁面會提示目前登入失敗次數過多，請在幾秒後重新登入，并且在鎖定中不可登入。

賬戶鎖定後有兩種解決方式：第一種是等待鎖定時間過後登入，第二種是通過管理者進行解鎖後登入。

然後點選鎖定人員的登入解鎖按鈕就可以正常登入。

密碼失敗政策

IDM的認證政策需要支援對密碼的判斷，可以通過賬戶的登入來進行失敗次數的判斷。

密碼修改失敗次數上限政策可以在修改密碼時判斷修改密碼是否成功，，下面詳細進行介紹。

1.功能介紹

密碼修改失敗次數上限政策: 支援配置失敗上限，支援配置提醒方式，支援配置鎖定時間。

2.功能配置

密碼修改失敗次數上限配置：支援配置解鎖時間與修改次數上限、提醒方式與對應的提醒内容。

3.功能展現

在修改密碼頁面進行修改密碼，在開啟密碼校驗政策後如果修改密碼次數超過5次，修改密碼頁面會出現對應的提示資訊，并在一段時間内本賬戶将不可修改密碼。

密碼校驗政策

IDM的認證政策需要支援對密碼的判斷，可以通過賬戶的登入來進行失敗次數的判斷。

:可以設定我們密碼的類型如:含大小寫，數字字母組合，特殊符号等，還可以設定密碼的有效期，也可以自定義天數，還可以修改解鎖時間與修改次數上限。

1.功能介紹

密碼校驗配置支援配置密碼推薦組合也可自定義，支援配置密碼強弱監控入口如:登入入口，修改密碼，認證入口等。

2.功能配置

:可以配置比較強的密碼，也可以配置弱一些的密碼，也可以選擇密碼的監控入口。

:可以配置時間稍長的密碼也可以配置時間稍短的密碼，還可以配置相應的提醒方式。

密碼校驗配置，首先我們可以選擇是否啟用自定義配置，如果不啟用自定義配置，我們可以選擇隻校驗推薦組合，也可以選擇推薦組合與校驗規則一起校驗，密碼強弱監控入口可以選擇在那些地方判斷目前密碼是強是弱。如下：

如果啟用自定義配置我們選擇推薦組合對應的校驗規則也會相應改變，強弱密碼也是如此。

3.功能展現

密碼校驗可以通過擴充配置的推薦組合與規則檢驗來進行修改密碼時的校驗，修改密碼頁面觸發密碼檢驗政策:

登入頁面密碼強度校驗:

密碼有效政策

1.功能介紹

密碼有效期配置支援配置密碼有效期，支援配置自定義天數，支援配置提前提醒時間，支援配置提醒方式。

2.功能配置

密碼有效期政策：在登入時會判斷密碼是否在有效期内，如果不在有效期内則會彈出修改密碼視窗，如果在有效期則會彈出提示。

3.功能展現

密碼有效期:在點選登入時校驗密碼是否在有效期内，如果有效期到了，就彈出修改密碼界面來進行密碼的修改。

在有效期内：

不在有效期内：

使用者點選修改密碼會進入到短信、郵箱驗證頁面：

使用者在此頁面輸入對應的手機号或郵箱後點選發送驗證碼，使用者的手機号或郵箱會收到數字驗證碼，輸入驗證碼點選找回密碼驗證通過後就會進入到修改密碼頁面。

登入頁面密碼有效期政策校驗:

賬号時效政策

1.長時間未登入-賬戶鎖定政策

，當機後需要聯系管理者/分級管理者來對當機的賬戶進行解鎖。

> > > > 功能介紹

長時間未登入-賬戶鎖定政策: 支援配置不操作時效，支援配置提醒方式，支援配置提醒内容。

> > > > 功能配置

長時間未登入-賬戶鎖定政策：在登入時會判斷使用者上一次登入時間與這次登入時間間隔是否大于不操作時效的天數，如果大于賬戶鎖定，如果小于正常登入。

> > > > 功能展現

在長時間未登入-賬戶鎖定政策裡綁定兩個使用者。

分别測試兩個使用者，一個長時間未登入後登陸時是否被鎖定。

然後通過管理者進行解鎖。

解鎖後通過剛剛被鎖定的使用者進行登入檢視是否登入成功。

再通過另一個活躍的賬戶進行登入檢視是否發送郵件并成功登入。

2.長時間未登入-二次認證政策

實際場景中賬戶長時間未登入賬戶可以進行二次認證後成功登入。

> > > > 功能介紹

長時間未登入-二次認證政策: 支援配置不操作時效，支援配置提醒方式，支援配置提醒内容以及配置二次認證方式。

> > > > 功能配置

長時間未登入-二次認證政策：在登入時會判斷使用者上一次登入時間與這次登入時間間隔是否大于不操作時效的天數，，二次認證成功後正常登入，如果小于正常登入。

> > > > 功能展現

在長時間未登入-二次認證政策裡綁定兩個使用者。

分别測試兩個使用者，一個長時間未登入後登陸時是否需要進行二次認證，認證通過後是否登入成功。

再通過另一個活躍的賬戶進行登入檢視是否發送郵件并成功登入。

心得體會

通過撰寫本次安全政策工作說明文檔，我認識到我在安全政策認證方面的知識掌握得還不夠深入，也讓我對安全政策有了一個整體的認知，也明白了一個賬号的安全對于平台來說是多麼重要。

1.業務場景

針對不同的安全政策配置方式，有相應的安全政策場景，根據不同的使用場景情況，選擇相應的安全政策方式，不僅，同時也能快速地給出客戶最合理的安全政策方式，并且成熟的方案以及對接樣例也能極大的減少實施的成本，保證項目的快速推進。

2.産品了解

對任何企業來講，身份資訊管理都是一項繁重的工作，一是要保證人員群組織架構資訊的準确性，二是使這些資訊能夠在不同的目錄或應用中高效地互動。

在複雜的商業環境下，IT人員不僅要管理内部員工，還有大量的合作夥伴、供應商等多種類型人員需要進行身份資訊和權限的管理。不同類型的大量人員群組織架構資訊分布在不同的系統中，使身份資訊管理工作的難度大大增加。

通過身份管理平台能夠，将分布在不同系統中的不同類型人員群組織架構資訊進行集中管理，也可将資訊推送至已內建的本地業務系統中，既能保證資訊的準确性，又可以使資訊在不同系統和應用中高效地互動。

3.産品發展

IDM身份管理平台主要提供統一認證、統一使用者、統一授權、統一審計、統一應用管控的功能，IDM的設計理念在于加強企業賬戶管理、支撐企業業務營運、簡化企業内部運維，實作統一認證、授權、審計管理，提高企業身份認證及通路安全，建立授權流程審批機制，使使用者身份資訊、授權資訊、審批資訊等操作更加規範化、标準化，提高整體IT架構的風險防範能力，為簡化IT運維提供強大的技術手段和标準，實作賬戶資料自動化同步操作的同時制定合規的安全服務規範，建構統一的、。

後續IDM也将繼續完善優化，強化與其它産品之間的互相組合，會在項目中不斷地打磨去讓産品變得更好，能适用越來越多使用場景，能滿足越來越多市場的需求。

本文由@數通暢聯原創，歡迎轉發，僅供學習交流使用，引用請注明出處！謝謝~