IDM身份管理系統為解決企業內部多系統間使用者資訊不一致而開發的,主要定位於解決企業在5A功能上的需求,即:
Account賬號管理、Authentication認證管理、Authorization授權管理、Audit審計管理、App Control應用管控
5個方面的實際需求,進而規範使用者身份資訊,保證系統安全,提高工作效率。
IDM能夠實現集團全系統的使用者身份資訊管理,提供多種認證手段,加強員工身份和許可權管理,建立面向集團全體使用者的訪問控制中心。同時在落地的過程中結合平臺建立資料同步、分發對接規範、
統一賬號管理流程、統一認證體系規範
,一方面便於客戶資訊的統一、規範管理;另一方面減少員工重複工作量的同時在資料、操作、業務多個層面審計管理,保證資料分發前有審批管理,分發過程中有監管、有管控,分發資料後可追溯回查。
整體介紹
IDM身份管理平臺滿足對企業資訊系統的統一使用者管理、統一身份認證、統一授權管理以及安全審計要求,能夠實現各業務系統的統一登入和集中訪問,實現使用者身份和許可權的統一認證與授權管理,
為企業不同的業務系統提供統一的使用者管理和認證服務
。
1.功能架構
IDM主要對組織、角色、人員進行管理,並
對其所有的狀態進行記錄
,如:初始化、審批中、已啟用、已禁用等,賬戶統一管理可以實現從HR系統中獲取組織使用者資料,也可直接在IDM系統中錄入資料,使用者資訊中的部分屬性資訊根據同步策略由HR系統或其它指定系統同步更新到使用者目錄,其它使用者資訊可在應用系統中各自進行維護,透過IDM統一使用者資訊後,傳送到各個業務系統。
2.系統架構
IDM主要是
實現統一認證、授權、審計管理
,提高企業身份認證及訪問安全,建立授權流程審批機制,使使用者身份資訊、授權資訊、審批資訊等操作更加規範化、標準化,提高整體IT架構的風險防範能力。
消除企業系統間的資訊孤島
,為各系統提供統一身份認證、使用者身份管理服務,逐步實現系統身份系統的整合,構建面向使用者的認證和授權服務,使業務操作更流暢。為簡化IT運維提供強大的技術手段和標準,實現賬戶資料自動化同步操作,同時制定合規的安全服務規範,構建統一的、支撐企業級的認證授權安全服務基礎設施。
3.5A管控
1。賬號管理:為使用者提供統一集中的賬號(組織、人員、崗位)管理,然後透過介面分發到各個業務系統。
2。認證管理:為使用者提供統一的身份認證,各個系統採用統一認證體系。
3。授權管理:對與組織、人員、崗位相關的關聯關係在IDM中進行統一管理,然後將關聯關係分發到各個業務系統。
4。審計管理:主要記錄賬戶管理的流程審批、授權管理的流程審批、統一認證的訪問日誌等。
5。應用管控:對當前系統使用者認證情況、分發、許可權、賬戶情況進行統一管控。
賬號管理
為使用者提供統一集中的帳號(組織、人員、崗位)管理及分發,實現
員工入職、離職的一鍵式同步及分發
,一方面解決員工賬號在多個系統需要重複錄入問題而造成的冗餘工作,提升員工的工作效率;另一方面避免因系統各異,賬號系統賬戶管理各自為戰,無法從集團層面進行統一管控。
1.業務場景
企業一般使用者是以人力部門為標準,一般是以HR為源頭,透過IDM接收介面將組織、人員、崗位資訊同步到IDM中,在IDM進行統一管理,隨後透過分發介面分發到下游各個業務系統。
2.相關功能
1。組織管理: 管理組織的相關資訊,可以對組織資訊進行增刪改查,修改組織資訊後可以生成對應任務將對應的組織資訊分發到對應系統。
2。崗位管理:對崗位資訊進行管理,透過生成任務的方式下發到各個業務系統。
3。人員管理:管理人員的相關資訊,透過點選左側組織列表可以查詢對應組織或角色下的人員資訊, 透過生成任務的方式下發到各個業務系統。
3.功能特性
1。擴充套件性:支援欄位擴充套件,適配業務系統分發必要內容;按鈕擴充套件實現服務、流程呼叫,流程擴充套件適配多種流程形式。
2。場景豐富:支援組織、崗位變動調整、人員的入轉調離,系統資料初始化匯入,業務系統許可權整合。
3。靈活整合:提供業內標準對接介面,支援多種服務對接呼叫,擴充套件按鈕、流程支援服務、介面對接、呼叫。
認證管理
為使用者
提供統一的身份認證,各系統採用統一認證體系
,實現使用者一次性登入,只需要輸入一次使用者名稱及密碼即可實現全部業務系統登入,避免員工在業務處理過程中在不同系統中頻繁登入、退出。
1.業務場景
IDM認證功能
包含標準CAS、OAuth、模擬表單、AD域、LDAP等多種認證模式
。支援多個安全級別的身份認證方式,參與的各個應用系統和受保護資源可以根據自身的安全需要設定安全等級,支援多種認證方式的組合認證,支援密碼策略的統一化管理。
2.相關功能
業務系統在系統登入認證時,向IDM身份管理平臺發起請求URL跳轉至IDM統一認證登入頁面,帶有系統編碼、系統密碼、返回的URL地址,IDM系統認證後跳轉至redirect_uri中,同時帶有code資訊。
1。系統請求認證:
(1)呼叫地址:
(2)入參說明:
(3)出參說明:
2。獲取認證票據:
(1)呼叫地址:
(2)入參說明:
(3)出參說明:
3。獲取使用者資訊:
(1)呼叫地址:
(2)入參說明:
(3)出參說明:
3.功能特性
1。易用性:支援多種認證方式,易認證;功能模組化設計,易管理。
2。開放性:提供Oauth、SAML、CAS等標準協議認證介面,支援多種協議認證,同時平臺提供各種標準資料介面、靈活支援整合與被整合。
3。穩定性:認證支援高併發(5000+)、高可用(十萬級同時線上),具備分散式、快取、非同步處理、雲平臺擴充套件機制。
授權管理
統一授權實現
對資料的操作管理、任務審批、資料分發進行管理
,包括對組織、使用者、角色需要同步的任務操作、流程審批後透過企業服務匯流排實現業務系統中的同步分發、對操作進行監控統計等功能,保證了業務資源和資料資源訪問許可權可以進行集中管控,透過對角色、組織、使用者關聯關係的建立以及授權的分配,形成了完整的授權體系。
1.業務場景
實現統一授權後,使用者可以透過應用配置實現單點登入、登出,並且登入認證採用的是SSO等主要單點登入模式,在架構上是支援SSO擴充套件的,同時滿足對使用者的資源訪問許可權進行集中控制。各個系統的入口和功能選單與使用者、角色關聯
分配許可權完成授權,形成許可權控制表
。
2.相關功能
1。功能資源:
管理各個業務系統的功能資源相關資訊
,包括功能選單、控制器資訊、操作資訊等。
2。資料資源:主要對各個應用系統下的通用列舉類資料進行管理,頁面左側為資料分組樹形選單(可編輯),右側為該分組下的資料列表資訊,可以透過切換應用系統顯示不同應用系統下的資料資訊。
3。介面資源:介面資源主要是對各個應用系統下的介面資訊進行管理,頁面左側為介面分組樹形選單(可編輯),右側為該分組下的介面列表資訊,可以透過切換應用系統來顯示不同應用系統下的介面資訊。
4。授權管理:授權管理模組主要
為各個應用系統的不同許可權資源建立和標準角色、實際角色、人員、組織的關聯關係
。分為功能選單、資料資源、API介面三個標籤,分別為這三個許可權資源賦予許可權。
3.功能特性
1。安全性:實現三權分立,可進行
分級授權,平臺預置報警、預警策略配置
;底層具備攔截XSS攻擊、防止SQL注入等機制。
2。支援按使用者、組織機構分配角色,支援角色增刪改查和應用許可權分配。
3。滿足對使用者的資源訪問許可權進行集中控制。
審計管理
審計管理提供了平臺核心服務的監控功能,提供系統線上監控,對系統的執行資訊進行監控管理,並支援對系統執行狀況、操作情況進行統計、分析和告警,提供各類日誌管理。
1.業務場景
在IDM中可以檢視一些操作的日誌,包括認證日誌、IDM系統訪問日誌、異常操作日誌、登入日誌查詢等,日誌支援有效期設定和自動歸檔。不僅可以對使用者行為進行監控,還可以透過集中的審計資料進行追溯定位,以
便於事後的安全事故責任認定
,支援審計資訊的分析統計,其結果能夠以報表或圖形的方式進行展現。
2.相關功能
1。認證日誌:主要記錄使用者登入IMD系統的認證資訊。
2。同步日誌:主要記錄了資料來源系統資料傳送至IDM時的狀態成功或失敗,從而與資料來源系統管理人員互動解決人員同步問題。
3。分發日誌:主要用於記錄工作任務內操作分發業務系統的結果,可以根據系統列表、分發狀態、起止時間等條件進行查詢。
4。密碼日誌:記錄使用者修改密碼的相關資訊,統計並記錄密碼分發情況,同時為分發失敗的系統提供再次分發的方法。
5。系統日誌:主要記錄使用者操作IDM系統的日誌資訊。
3.功能特性
1。監控能力:對認證、管理、同步、分發、許可權、任務等資料監控,
提供預警、提醒多種通知方式配置
。
2。高效率:預置快取處理機制,介面、流程支援非同步操作,認證、同步分發等服務支援高併發。
3。結合BPM發揮工作流作用,實現對建立賬號、授權管理時的流程審批功能。
應用管控
以使用者身份為中心,解決企業當前許可權管理面臨的開通難、查詢難、回收難和管理難的問題,實現企業全景業務許可權的集中化、自動化、標準化、安全化、視覺化、智慧化、合理化、高效化,透過許可權畫像能力,
加速企業許可權管理建設,提升安全、效率、體驗,降低許可權管理與維護成本
。
1.業務場景
應用管控是針對應用系統的分發許可權(使用者、組織、崗位哪些系統有許可權)、應用系統的認證配置、應用系統的訪問許可權進行統一管控,實現IDM和其他系統的整合管理、使用者管理以及認證管理。
2.相關功能
1。基礎管理:在基礎管理模組可以為組織、人員、崗位配置應用系統許可權。
2。統一許可權:可以管理各個應用系統的許可權資源資訊,並進行授權操作。
3.功能特性
1。對當前系統使用者認證情況、分發、許可權、賬戶情況進行統一管控。
2。加速企業許可權管理建設,提升安全、效率、體驗和降低許可權管理與維護成本。
3。以使用者身份為中心,解決企業當前許可權管理面臨的開通難、查詢難、回收難和管理難的問題。
心得體會
在學習IDM身份管理平臺的過程中,自己的技術能力及意識形態等方面都得到了很大提升,並且有了很多感悟,現在將我在本次工作中的收穫總結如下。
1.產品理解
IDM身份管理平臺滿足企業資訊系統的統一使用者管理、統一身份認證、統一授權管理以及安全審計的要求,能夠實現各業務系統的統一登入和集中訪問,實現使用者身份和許可權的統一認證與授權管理,
為企業各業務系統提供統一的使用者管理及認證服務
。
2.功能理解
IDM能夠迎合企業集團化統一管控的需求,
滿足企業全面管理,解決企業資訊孤島問題
,從安全、架構、管理、運維多層面進行整體規劃、分佈建設、實時同步、檢查審計。在企業實現5A管控、集團統一管控、資訊公司承建託管、子公司管理的過程中,落地實現人員、資訊、流程的大整合,為集團整合內部資源、推動戰略執行、防範專案風險提供全面的資料支援。
3.能力提升
在完善IDM功能的過程中,我在意識形態方面有了明顯的提升,比如在開發功能的過程中要考慮全面,不僅要考慮功能實現、多方面的因素,還
要換位思考,以客戶的角度驗證功能
,測試功能是否能滿足客戶需求。在開發過程中還需要考慮程式碼質量,這樣開發的功能才能更完善。另外在工作過程中要不斷學習和總結,只有這樣才能不斷提高自身的能力。
本文由@數通暢聯原創,歡迎轉發,僅供學習交流使用,引用請註明出處!謝謝~