1、IAM系统平台简要介绍2015.3IAM平台介绍需求分析架构介绍实施过程身份管理和访问控制面临的挑战n用户账号不统一,没有实现账号之间的信息同步;n一个账号多人使用;n在员工离职、换岗过程中无法对账号变更进行及时有效的管理。n用户身份认证相对独立,没有统一规划;n各个信息系统访问控制独立,没有建立统一的单点登录体系;n大多数系统采用账号与口令认证方式,安全强度低;n所有授权管理和访问控制缺少完整性、真实性、抗抵赖性等安全信任保障。n用户管理分散,管理的流程各自独立,缺少一套用户身份管理系统;n账号和员工没有对应关系,账号以通用的名称作为用户名身份管理和访问控制面临的挑战1,用户提出帐号申请,用
2、户提出帐号申请2,不同的申请,不同的申请处理流程处理流程3,策略、,策略、角色安全合角色安全合规检查规检查4,审核批准,审核批准5,服务请求,服务请求流转流转6,系统管理员,系统管理员手工创建帐号手工创建帐号7,用户开始使,用户开始使用帐号用帐号身份管理和访问控制需求u身份管理需求提供用户身份信息的集中管理和用户账号信息的统一与同步功能;提供全生命周期的用户信息管理,包括注册、审批、修改、禁用、删除等流程化的操作;提供支持全局唯一的用户身份标识功能;提供支持多重身份的对应关系及属性连接功能;提供支持多种业务平台的账号管理连接功能;提供唯一用户身份管理端口功能,实现自动化用户信息更新;提供系统用
3、户自助服务u访问控制需求与各信息系统集成,为信息系统提供统一身份认证及授权功能;提供多种认证方式的连接和集成;提供单点登录SSO功能提供基于策略的访问控制支持大规模用户信息存储及访问支持分级授权系统框架设计根据以往实施经验得到的建设需求与功能需求,结合对身份管理与认证权限管理框架,企业用户身份和认证访问管理系统框架如右图所示:PortalMailOA主机网络数据库系统逻辑框架用户身份全生命周期管理集中的、主动的、基于策略的账号管理用户身份管理逻辑流程用户目录用户身份管理系统系统管理员业务系统/设备管理员审批流程账号同步适配器用户身份管理用户同步工具原始用户信息(HR、OA等)业务系统审计系统访
4、问控制逻辑架构用户目录访问授权策略库Web浏览器统一访问认证服务器系统资源访问管理服务器AIXLinux企业级服务总线系统票据管理系统农村服务金融系统票交系统中间业务平台强认证服务器审计系统业务系统资源用户身份管理用户授权逻辑架构访问授权策略库账号信息回收账号和角色信息同步业务/主机/系统管理员业务人员用户目录统一访问认证主帐号授权从帐号授权账号同步工具实体内鉴权审计系统集中的审计中心哪些人访问了系统?具体时间段访问量的大小?今天上午有多少人访问邮箱?上个月有多少人进行了账号申请?具体权限?管理员上周的账号操作都有哪些?谁审批了我的流程?有哪些不合规的操作?系统中有哪些警告?系统架构设计-身份
5、管理和访问控制信息流根据现状与需求分析得到的建设需求与功能需求,结合对身份管理与认证权限管理技术的选择,我们可以进一步细化和充实系统框架,从而设计出身份管理与认证平台的功能架构。项目实施思路测试环境部署与实施u 帐号梳理和建立企业目录u 测试环境准备与搭建u 身份管理和访问控制组件开发和测试u 应用集成测试和联调生产环境部署与实施u 生产系统部署u 数据初始化u 身份管理和访问控制组件开发和测试u 应用集成测试和联调系统培训运行和维护u 生产环境试运行u 系统正式运行系统总体架构设计u 总体逻辑架构设计u 总体部署架构选择u 系统高可用性设计帐号生命周期管理设计u 帐号管理策略设计u 密码管理
6、策略设计u LDAP架构规划u 帐号命名规则设计u 数据初始化策略设计认证和授权设计u 认证和授权策略设计应用集成方案设计u 帐号同步方案设计u 单点登录方案设计帐号管理调研和分析u调研人员、组织机构应用系统、主机系统帐号信息u确定组织权威用户数据源u分析应用、主机帐号数据和权威数据的差异功能性需求定义u帐号管理u访问控制u授权管理u审计管理非功能性需求定义u系统高可用性需求u可扩展性需求u可维护性需求u可操作性需求需求定义系统设计系统部署TIM(Tivoli Implementation Methodology)实施方法论支撑项目管理(项目管理方法论支撑)项目实施规划(案例,仅供参考)M12M9M8M7M6M5M4M3M2M1需求分析与设计用户管理和访问控制集成测试与二次开发系统集成联调测试系统投产部署试运行项目管理需求调研与分析系统架构设计测试环境搭建用户身份管理集成&开发测试联调测试系统试运行时间管理 风险管理 沟通管理 资源管理设计完成开发测试完成用户数据梳理统一认证集成&开发测试生产环境部署生产环境集成上线系统上线项目启动系统验收运行维护