IAM系統(tǒng)平臺(tái)簡要介紹課件

IAM系統(tǒng)平臺(tái)簡要介紹2015.3IAM系統(tǒng)平臺(tái)簡要介紹2015.3IAM平臺(tái)介紹需求分析架構(gòu)介紹實(shí)施過程……IAM平臺(tái)介紹需求分析身份管理和訪問控制面臨的挑戰(zhàn)用戶賬號(hào)不統(tǒng)一，沒有實(shí)現(xiàn)賬號(hào)之間的信息同步；一個(gè)賬號(hào)多人使用；在員工離職、換崗過程中無法對(duì)賬號(hào)變更進(jìn)行及時(shí)有效的管理。用戶身份認(rèn)證相對(duì)獨(dú)立，沒有統(tǒng)一規(guī)劃；各個(gè)信息系統(tǒng)訪問控制獨(dú)立，沒有建立統(tǒng)一的單點(diǎn)登錄體系；大多數(shù)系統(tǒng)采用賬號(hào)與口令認(rèn)證方式，安全強(qiáng)度低；所有授權(quán)管理和訪問控制缺少完整性、真實(shí)性、抗抵賴性等安全信任保障。用戶管理分散，管理的流程各自獨(dú)立，缺少一套用戶身份管理系統(tǒng)；賬號(hào)和員工沒有對(duì)應(yīng)關(guān)系，賬號(hào)以通用的名稱作為用戶名身份管理和訪問控制面臨的挑戰(zhàn)用戶賬號(hào)不統(tǒng)一，沒有實(shí)現(xiàn)賬號(hào)之間身份管理和訪問控制面臨的挑戰(zhàn)1，用戶提出帳號(hào)申請(qǐng)2，不同的申請(qǐng)?zhí)幚砹鞒?，策略、角色安全合規(guī)檢查4，審核批準(zhǔn)5，服務(wù)請(qǐng)求流轉(zhuǎn)6，系統(tǒng)管理員手工創(chuàng)建帳號(hào)7，用戶開始使用帳號(hào)審計(jì)信息丟失請(qǐng)求積壓請(qǐng)求延遲處理不斷增長的資源策略檢查不合規(guī)申請(qǐng)信息不完善身份管理和訪問控制面臨的挑戰(zhàn)1，用戶提出帳號(hào)申請(qǐng)2，不同的申身份管理和訪問控制需求身份管理需求提供用戶身份信息的集中管理和用戶賬號(hào)信息的統(tǒng)一與同步功能；提供全生命周期的用戶信息管理，包括注冊(cè)、審批、修改、禁用、刪除等流程化的操作；提供支持全局唯一的用戶身份標(biāo)識(shí)功能；提供支持多重身份的對(duì)應(yīng)關(guān)系及屬性連接功能；提供支持多種業(yè)務(wù)平臺(tái)的賬號(hào)管理連接功能；提供唯一用戶身份管理端口功能，實(shí)現(xiàn)自動(dòng)化用戶信息更新；提供系統(tǒng)用戶自助服務(wù)訪問控制需求與各信息系統(tǒng)集成，為信息系統(tǒng)提供統(tǒng)一身份認(rèn)證及授權(quán)功能；提供多種認(rèn)證方式的連接和集成；提供單點(diǎn)登錄SSO功能提供基于策略的訪問控制支持大規(guī)模用戶信息存儲(chǔ)及訪問支持分級(jí)授權(quán)身份管理和訪問控制需求身份管理需求訪問控制需求系統(tǒng)框架設(shè)計(jì)根據(jù)以往實(shí)施經(jīng)驗(yàn)得到的建設(shè)需求與功能需求，結(jié)合對(duì)身份管理與認(rèn)證權(quán)限管理框架，企業(yè)用戶身份和認(rèn)證訪問管理系統(tǒng)框架如右圖所示：PortalMailOA主機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)框架設(shè)計(jì)根據(jù)以往實(shí)施經(jīng)驗(yàn)得到的建設(shè)需求與功能需求，結(jié)合對(duì)系統(tǒng)邏輯框架系統(tǒng)邏輯框架用戶身份全生命周期管理集中的、主動(dòng)的、基于策略的賬號(hào)管理用戶身份全生命周期管理集中的、主動(dòng)的、基于策略的賬號(hào)管理用戶身份管理邏輯流程用戶目錄用戶身份管理系統(tǒng)系統(tǒng)管理員業(yè)務(wù)系統(tǒng)/設(shè)備管理員審批流程賬號(hào)同步適配器用戶身份管理用戶同步工具原始用戶信息（HR、OA等）業(yè)務(wù)系統(tǒng)審計(jì)系統(tǒng)用戶身份管理邏輯流程用戶目錄用戶身份管理系統(tǒng)系統(tǒng)管理員業(yè)務(wù)系訪問控制邏輯架構(gòu)用戶目錄訪問授權(quán)策略庫Web瀏覽器統(tǒng)一訪問認(rèn)證服務(wù)器系統(tǒng)資源訪問管理服務(wù)器AIXLinux企業(yè)級(jí)服務(wù)總線系統(tǒng)票據(jù)管理系統(tǒng)農(nóng)村服務(wù)金融系統(tǒng)……票交系統(tǒng)中間業(yè)務(wù)平臺(tái)強(qiáng)認(rèn)證服務(wù)器審計(jì)系統(tǒng)訪問控制邏輯架構(gòu)用戶目錄訪問授權(quán)策略庫Web統(tǒng)一訪問認(rèn)證系統(tǒng)業(yè)務(wù)系統(tǒng)資源用戶身份管理用戶授權(quán)邏輯架構(gòu)訪問授權(quán)策略庫賬號(hào)信息回收賬號(hào)和角色信息同步業(yè)務(wù)/主機(jī)/系統(tǒng)管理員業(yè)務(wù)人員用戶目錄統(tǒng)一訪問認(rèn)證主帳號(hào)授權(quán)從帳號(hào)授權(quán)賬號(hào)同步工具實(shí)體內(nèi)鑒權(quán)審計(jì)系統(tǒng)業(yè)務(wù)系統(tǒng)資源用戶身份管理用戶授權(quán)邏輯架構(gòu)訪問授權(quán)策略庫賬號(hào)信集中的審計(jì)中心哪些人訪問了系統(tǒng)？具體時(shí)間段訪問量的大小?今天上午有多少人訪問郵箱？上個(gè)月有多少人進(jìn)行了賬號(hào)申請(qǐng)？具體權(quán)限？管理員上周的賬號(hào)操作都有哪些？誰審批了我的流程？有哪些不合規(guī)的操作？系統(tǒng)中有哪些警告？集中的審計(jì)中心哪些人訪問了系統(tǒng)？系統(tǒng)架構(gòu)設(shè)計(jì)-身份管理和訪問控制信息流根據(jù)現(xiàn)狀與需求分析得到的建設(shè)需求與功能需求，結(jié)合對(duì)身份管理與認(rèn)證權(quán)限管理技術(shù)的選擇，我們可以進(jìn)一步細(xì)化和充實(shí)系統(tǒng)框架，從而設(shè)計(jì)出身份管理與認(rèn)證平臺(tái)的功能架構(gòu)。系統(tǒng)架構(gòu)設(shè)計(jì)-身份管理和訪問控制信息流根據(jù)現(xiàn)狀與需求分析得到項(xiàng)目實(shí)施思路測試環(huán)境部署與實(shí)施帳號(hào)梳理和建立企業(yè)目錄測試環(huán)境準(zhǔn)備與搭建身份管理和訪問控制組件開發(fā)和測試應(yīng)用集成測試和聯(lián)調(diào)生產(chǎn)環(huán)境部署與實(shí)施生產(chǎn)系統(tǒng)部署數(shù)據(jù)初始化身份管理和訪問控制組件開發(fā)和測試應(yīng)用集成測試和聯(lián)調(diào)系統(tǒng)培訓(xùn)運(yùn)行和維護(hù)生產(chǎn)環(huán)境試運(yùn)行系統(tǒng)正式運(yùn)行系統(tǒng)總體架構(gòu)設(shè)計(jì)總體邏輯架構(gòu)設(shè)計(jì)總體部署架構(gòu)選擇系統(tǒng)高可用性設(shè)計(jì)帳號(hào)生命周期管理設(shè)計(jì)帳號(hào)管理策略設(shè)計(jì)密碼管理策略設(shè)計(jì)LDAP架構(gòu)規(guī)劃帳號(hào)命名規(guī)則設(shè)計(jì)數(shù)據(jù)初始化策略設(shè)計(jì)認(rèn)證和授權(quán)設(shè)計(jì)認(rèn)證和授權(quán)策略設(shè)計(jì)應(yīng)用集成方案設(shè)計(jì)帳號(hào)同步方案設(shè)計(jì)單點(diǎn)登錄方案設(shè)計(jì)帳號(hào)管理調(diào)研和分析調(diào)研人員、組織機(jī)構(gòu)應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)帳號(hào)信息確定組織權(quán)威用戶數(shù)據(jù)源分析應(yīng)用、主機(jī)帳號(hào)數(shù)據(jù)和權(quán)威數(shù)據(jù)的差異功能性需求定義帳號(hào)管理訪問控制授權(quán)管理審計(jì)管理非功能性需求定義系統(tǒng)高可用性需求可擴(kuò)展性需求可維護(hù)性需求可操作性需求需求定義系統(tǒng)設(shè)計(jì)系統(tǒng)部署TIM(TivoliImplementationMethodology)實(shí)施方法論支撐項(xiàng)目管理（項(xiàng)目管理方法論支撐）項(xiàng)目實(shí)施思路測試環(huán)境部署與實(shí)施系統(tǒng)總體架構(gòu)設(shè)計(jì)帳號(hào)管理調(diào)研和項(xiàng)目實(shí)施規(guī)劃(案例，僅供參考)M12M9M8M7M6M5M4M3M2M1需求分析與設(shè)計(jì)用戶管理和訪問控制集成測試與二次開發(fā)系統(tǒng)集成聯(lián)調(diào)測試系統(tǒng)投產(chǎn)部署試運(yùn)行項(xiàng)目管理需求調(diào)研與分析系統(tǒng)架構(gòu)設(shè)計(jì)測試環(huán)境搭建用戶身份管理集成&開發(fā)測試聯(lián)調(diào)測試系統(tǒng)試運(yùn)行時(shí)間管理風(fēng)險(xiǎn)管理溝通管理資源管理設(shè)計(jì)完成開發(fā)測試完成用戶數(shù)據(jù)梳理統(tǒng)一認(rèn)證集成&開發(fā)測試生產(chǎn)環(huán)境部署生產(chǎn)環(huán)境集成上線系統(tǒng)上線項(xiàng)目啟動(dòng)系統(tǒng)驗(yàn)收運(yùn)行維護(hù)項(xiàng)目實(shí)施規(guī)劃(案例，僅供參考)M12M9M8M7M6M5M4IAM系統(tǒng)平臺(tái)簡要介紹2015.3IAM系統(tǒng)平臺(tái)簡要介紹2015.3IAM平臺(tái)介紹需求分析架構(gòu)介紹實(shí)施過程……IAM平臺(tái)介紹需求分析身份管理和訪問控制面臨的挑戰(zhàn)用戶賬號(hào)不統(tǒng)一，沒有實(shí)現(xiàn)賬號(hào)之間的信息同步；一個(gè)賬號(hào)多人使用；在員工離職、換崗過程中無法對(duì)賬號(hào)變更進(jìn)行及時(shí)有效的管理。用戶身份認(rèn)證相對(duì)獨(dú)立，沒有統(tǒng)一規(guī)劃；各個(gè)信息系統(tǒng)訪問控制獨(dú)立，沒有建立統(tǒng)一的單點(diǎn)登錄體系；大多數(shù)系統(tǒng)采用賬號(hào)與口令認(rèn)證方式，安全強(qiáng)度低；所有授權(quán)管理和訪問控制缺少完整性、真實(shí)性、抗抵賴性等安全信任保障。用戶管理分散，管理的流程各自獨(dú)立，缺少一套用戶身份管理系統(tǒng)；賬號(hào)和員工沒有對(duì)應(yīng)關(guān)系，賬號(hào)以通用的名稱作為用戶名身份管理和訪問控制面臨的挑戰(zhàn)用戶賬號(hào)不統(tǒng)一，沒有實(shí)現(xiàn)賬號(hào)之間身份管理和訪問控制面臨的挑戰(zhàn)1，用戶提出帳號(hào)申請(qǐng)2，不同的申請(qǐng)?zhí)幚砹鞒?，策略、角色安全合規(guī)檢查4，審核批準(zhǔn)5，服務(wù)請(qǐng)求流轉(zhuǎn)6，系統(tǒng)管理員手工創(chuàng)建帳號(hào)7，用戶開始使用帳號(hào)審計(jì)信息丟失請(qǐng)求積壓請(qǐng)求延遲處理不斷增長的資源策略檢查不合規(guī)申請(qǐng)信息不完善身份管理和訪問控制面臨的挑戰(zhàn)1，用戶提出帳號(hào)申請(qǐng)2，不同的申身份管理和訪問控制需求身份管理需求提供用戶身份信息的集中管理和用戶賬號(hào)信息的統(tǒng)一與同步功能；提供全生命周期的用戶信息管理，包括注冊(cè)、審批、修改、禁用、刪除等流程化的操作；提供支持全局唯一的用戶身份標(biāo)識(shí)功能；提供支持多重身份的對(duì)應(yīng)關(guān)系及屬性連接功能；提供支持多種業(yè)務(wù)平臺(tái)的賬號(hào)管理連接功能；提供唯一用戶身份管理端口功能，實(shí)現(xiàn)自動(dòng)化用戶信息更新；提供系統(tǒng)用戶自助服務(wù)訪問控制需求與各信息系統(tǒng)集成，為信息系統(tǒng)提供統(tǒng)一身份認(rèn)證及授權(quán)功能；提供多種認(rèn)證方式的連接和集成；提供單點(diǎn)登錄SSO功能提供基于策略的訪問控制支持大規(guī)模用戶信息存儲(chǔ)及訪問支持分級(jí)授權(quán)身份管理和訪問控制需求身份管理需求訪問控制需求系統(tǒng)框架設(shè)計(jì)根據(jù)以往實(shí)施經(jīng)驗(yàn)得到的建設(shè)需求與功能需求，結(jié)合對(duì)身份管理與認(rèn)證權(quán)限管理框架，企業(yè)用戶身份和認(rèn)證訪問管理系統(tǒng)框架如右圖所示：PortalMailOA主機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)框架設(shè)計(jì)根據(jù)以往實(shí)施經(jīng)驗(yàn)得到的建設(shè)需求與功能需求，結(jié)合對(duì)系統(tǒng)邏輯框架系統(tǒng)邏輯框架用戶身份全生命周期管理集中的、主動(dòng)的、基于策略的賬號(hào)管理用戶身份全生命周期管理集中的、主動(dòng)的、基于策略的賬號(hào)管理用戶身份管理邏輯流程用戶目錄用戶身份管理系統(tǒng)系統(tǒng)管理員業(yè)務(wù)系統(tǒng)/設(shè)備管理員審批流程賬號(hào)同步適配器用戶身份管理用戶同步工具原始用戶信息（HR、OA等）業(yè)務(wù)系統(tǒng)審計(jì)系統(tǒng)用戶身份管理邏輯流程用戶目錄用戶身份管理系統(tǒng)系統(tǒng)管理員業(yè)務(wù)系訪問控制邏輯架構(gòu)用戶目錄訪問授權(quán)策略庫Web瀏覽器統(tǒng)一訪問認(rèn)證服務(wù)器系統(tǒng)資源訪問管理服務(wù)器AIXLinux企業(yè)級(jí)服務(wù)總線系統(tǒng)票據(jù)管理系統(tǒng)農(nóng)村服務(wù)金融系統(tǒng)……票交系統(tǒng)中間業(yè)務(wù)平臺(tái)強(qiáng)認(rèn)證服務(wù)器審計(jì)系統(tǒng)訪問控制邏輯架構(gòu)用戶目錄訪問授權(quán)策略庫Web統(tǒng)一訪問認(rèn)證系統(tǒng)業(yè)務(wù)系統(tǒng)資源用戶身份管理用戶授權(quán)邏輯架構(gòu)訪問授權(quán)策略庫賬號(hào)信息回收賬號(hào)和角色信息同步業(yè)務(wù)/主機(jī)/系統(tǒng)管理員業(yè)務(wù)人員用戶目錄統(tǒng)一訪問認(rèn)證主帳號(hào)授權(quán)從帳號(hào)授權(quán)賬號(hào)同步工具實(shí)體內(nèi)鑒權(quán)審計(jì)系統(tǒng)業(yè)務(wù)系統(tǒng)資源用戶身份管理用戶授權(quán)邏輯架構(gòu)訪問授權(quán)策略庫賬號(hào)信集中的審計(jì)中心哪些人訪問了系統(tǒng)？具體時(shí)間段訪問量的大小?今天上午有多少人訪問郵箱？上個(gè)月有多少人進(jìn)行了賬號(hào)申請(qǐng)？具體權(quán)限？管理員上周的賬號(hào)操作都有哪些？誰審批了我的流程？有哪些不合規(guī)的操作？系統(tǒng)中有哪些警告？集中的審計(jì)中心哪些人訪問了系統(tǒng)？系統(tǒng)架構(gòu)設(shè)計(jì)-身份管理和訪問控制信息流根據(jù)現(xiàn)狀與需求分析得到的建設(shè)需求與功能需求，結(jié)合對(duì)身份管理與認(rèn)證權(quán)限管理技術(shù)的選擇，我們可以進(jìn)一步細(xì)化和充實(shí)系統(tǒng)框架，從而設(shè)計(jì)出身份管理與認(rèn)證平臺(tái)的功能架構(gòu)。系統(tǒng)架構(gòu)設(shè)計(jì)-身份管理和訪問控制信息流根據(jù)現(xiàn)狀與需求分析得到項(xiàng)目實(shí)施思路測試環(huán)境部署與實(shí)施帳號(hào)梳理和建立企業(yè)目錄測試環(huán)境準(zhǔn)備與搭建身份管理和訪問控制組件開發(fā)和測試應(yīng)用集成測試和聯(lián)調(diào)生產(chǎn)環(huán)境部署與實(shí)施生產(chǎn)系統(tǒng)部署數(shù)據(jù)初始化身份管理和訪問控制組件開發(fā)和測試應(yīng)用集成測試和聯(lián)調(diào)系統(tǒng)培訓(xùn)運(yùn)行和維護(hù)生產(chǎn)環(huán)境試運(yùn)行系統(tǒng)正式運(yùn)行系統(tǒng)總體架構(gòu)設(shè)計(jì)總體邏輯架構(gòu)設(shè)計(jì)總體部署架構(gòu)選擇系統(tǒng)高可用性設(shè)計(jì)帳號(hào)生命周期管理設(shè)計(jì)帳號(hào)管理策略設(shè)計(jì)密碼管理策略設(shè)計(jì)LDAP架構(gòu)規(guī)劃帳號(hào)命名規(guī)則設(shè)計(jì)數(shù)據(jù)初始化策略設(shè)計(jì)認(rèn)證和授權(quán)設(shè)計(jì)認(rèn)證和授權(quán)策略設(shè)計(jì)應(yīng)用集成方案設(shè)計(jì)帳號(hào)同步方案設(shè)計(jì)單點(diǎn)登錄方案設(shè)計(jì)帳號(hào)管理調(diào)研和分析調(diào)研人員、組織機(jī)構(gòu)應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)帳號(hào)信息確定組織權(quán)威用戶數(shù)據(jù)源分析應(yīng)用、主機(jī)帳號(hào)數(shù)據(jù)和權(quán)威數(shù)據(jù)的差異功能性需求定義帳號(hào)管理訪問控制授權(quán)管理審計(jì)管理非功能性需求定義系統(tǒng)高可用性需求可擴(kuò)展性需求可維護(hù)性需求可操作性需求需求定義系統(tǒng)設(shè)計(jì)系統(tǒng)部署TIM(TivoliImplementationMethodology)實(shí)施方法論支撐項(xiàng)目管理（項(xiàng)目管理方法論支撐）項(xiàng)目實(shí)施思路測試環(huán)境部署與實(shí)施系統(tǒng)總體架構(gòu)設(shè)計(jì)帳號(hào)管理調(diào)研和項(xiàng)目實(shí)施規(guī)劃(案例，僅供參考)M12M9M8M7