統(tǒng)一身份認(rèn)證管理系統(tǒng)建設(shè)方案

統(tǒng)一身份認(rèn)證管理系統(tǒng)建設(shè)方案TENDERREPORTOFIAM目錄CONTENTS01公司介紹02現(xiàn)狀分析03技術(shù)方案04案例介紹現(xiàn)狀分析登錄入口眾多登錄帳號(hào)不統(tǒng)一用戶生命周期過(guò)程混亂系統(tǒng)帳號(hào)權(quán)限分散管理缺少系統(tǒng)建設(shè)標(biāo)準(zhǔn)規(guī)范缺少授權(quán)管理流程隨著企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)不斷擴(kuò)展，以及所管轄的應(yīng)用系統(tǒng)日趨增多，同時(shí)各應(yīng)用系統(tǒng)的具有不同的用戶帳號(hào)，以及不同管理方式，同時(shí)具有不同的登錄與管理入口，給最終用戶的日常辦公帶來(lái)了麻煩（需要記多套用戶名/口令），同時(shí)給管理員日常的管理工作帶來(lái)了麻煩，需要進(jìn)入不同的應(yīng)用入口進(jìn)行不同的帳號(hào)和權(quán)限管理操作。等級(jí)保護(hù)2.0、ISO27001、塞班斯法案等要求合規(guī)問(wèn)題安全問(wèn)題管理問(wèn)題用戶體驗(yàn)密碼安全、越權(quán)訪問(wèn)、僵尸賬號(hào)等賬號(hào)權(quán)限管理、密碼服務(wù)、安全審計(jì)單點(diǎn)登錄、賬號(hào)申請(qǐng)流程現(xiàn)狀及痛點(diǎn)現(xiàn)狀分析現(xiàn)有身份管理體系中，僅針對(duì)內(nèi)部員工進(jìn)行管控，對(duì)外部用戶，如外包、臨時(shí)用戶等用戶無(wú)法進(jìn)行集中管理。同時(shí)對(duì)用戶信息的管理存在不規(guī)范、不安全等隱患。人員生命周期不完整各業(yè)務(wù)系統(tǒng)獨(dú)立維護(hù)各自帳號(hào)及權(quán)限，無(wú)法進(jìn)行集中控制。用戶的各系統(tǒng)權(quán)限無(wú)法進(jìn)行合規(guī)審計(jì)，權(quán)限分配過(guò)程難以追蹤。缺少帳號(hào)及權(quán)限管理流程目前系統(tǒng)僅基于AD域密碼進(jìn)行認(rèn)證，缺少其他安全認(rèn)證手段和能力，以及針對(duì)IP、設(shè)備等因素的風(fēng)險(xiǎn)訪問(wèn)控制能力。同時(shí)基于Cookie的單點(diǎn)登錄標(biāo)準(zhǔn)存在泄漏、盜取的風(fēng)險(xiǎn)安全等級(jí)較低各業(yè)務(wù)系統(tǒng)獨(dú)立維護(hù)各自的帳號(hào)及權(quán)限，對(duì)用戶體驗(yàn)（申請(qǐng)過(guò)程）以及管理員運(yùn)維都造成不好的影響。同時(shí)對(duì)權(quán)限的統(tǒng)計(jì)分析難以進(jìn)行。權(quán)限管控分散各類(lèi)系統(tǒng)分散的運(yùn)維管理方式，以及未整合集中管控的業(yè)務(wù)系統(tǒng)，對(duì)各類(lèi)數(shù)的統(tǒng)計(jì)分析產(chǎn)生障礙。同時(shí)缺乏對(duì)用戶安全行為審計(jì)的能力。缺少統(tǒng)計(jì)分析及安全審計(jì)能力現(xiàn)有的管理體系中，缺乏對(duì)業(yè)務(wù)系統(tǒng)建設(shè)的參考依據(jù)和標(biāo)準(zhǔn)，降低系統(tǒng)建設(shè)周期及成本。更好的進(jìn)行系統(tǒng)集中管控和運(yùn)維。應(yīng)用系統(tǒng)缺少建設(shè)標(biāo)準(zhǔn)權(quán)限申請(qǐng)：入職時(shí)，如何申請(qǐng)多系統(tǒng)帳號(hào)與權(quán)限；系統(tǒng)訪問(wèn)：訪問(wèn)不同的系統(tǒng)，需要輸入不同的地址，多次輸入帳號(hào)和密碼；身份認(rèn)證：不同系統(tǒng)擁有不同身份認(rèn)證方式；自助服務(wù)：信息變更，需要在多個(gè)系統(tǒng)內(nèi)重復(fù)操作、處理；管理層面運(yùn)維層面用戶層面流程管理：如何規(guī)范化用戶入職、權(quán)限申請(qǐng)、離職流程；管控：誰(shuí)應(yīng)該有什么系統(tǒng)的什么權(quán)限；管控：如何快速審計(jì)出，什么人在哪些系統(tǒng)有哪些權(quán)限；什么人什么時(shí)間登錄了什么系統(tǒng)；安全問(wèn)題：系統(tǒng)使用的密碼是否安全，認(rèn)證手段是否符合要求，加密方式是否可信；數(shù)據(jù)問(wèn)題：業(yè)務(wù)系統(tǒng)、用戶數(shù)據(jù)、組織數(shù)據(jù)、賬戶數(shù)據(jù)、認(rèn)證方式、授權(quán)體系相互獨(dú)立，數(shù)據(jù)非常分散，無(wú)法橫向打通。系統(tǒng)運(yùn)維：不同的系統(tǒng)，不同的用戶管理界面、管理流程，組織管理、用戶管理、權(quán)限管理，太復(fù)雜繁瑣；新系統(tǒng)建設(shè)：需要重復(fù)建設(shè)身份認(rèn)證模塊；建設(shè)成本高。面臨問(wèn)題需求總結(jié)制定不同類(lèi)別用戶生命周期管理流程，針對(duì)用戶自助的信息維護(hù)、帳號(hào)權(quán)限提供自動(dòng)化流程管理。管理流程制定規(guī)范、標(biāo)準(zhǔn)的系統(tǒng)接入方案，及平臺(tái)運(yùn)營(yíng)管理方案。安全規(guī)范及標(biāo)準(zhǔn)對(duì)人、組織機(jī)構(gòu)、崗位、應(yīng)用、帳號(hào)、權(quán)限、日志等信息的集中化管理。身份管理統(tǒng)一安全標(biāo)準(zhǔn)建立統(tǒng)一的身份認(rèn)證標(biāo)準(zhǔn)體系及服務(wù)平臺(tái)，構(gòu)建標(biāo)準(zhǔn)化管理流程及認(rèn)證服務(wù)體系，個(gè)性化業(yè)務(wù)配置及個(gè)性化需求管控。建立集團(tuán)公司企業(yè)級(jí)用戶中心，整合員工、外部用戶等用戶群體，建立統(tǒng)一的數(shù)據(jù)中心。制定標(biāo)準(zhǔn)化的生命周期管理過(guò)程。數(shù)據(jù)集中化認(rèn)證體系服務(wù)、應(yīng)用權(quán)限管理、數(shù)據(jù)服務(wù)制定標(biāo)準(zhǔn)化管理過(guò)程。實(shí)現(xiàn)統(tǒng)一身份認(rèn)證的平臺(tái)級(jí)服務(wù)能力。服務(wù)標(biāo)準(zhǔn)化集成集團(tuán)及下屬單位的業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)系統(tǒng)的統(tǒng)一認(rèn)證、帳號(hào)及權(quán)限的統(tǒng)一分配。應(yīng)用整合向各應(yīng)用系統(tǒng)提供規(guī)范化的系統(tǒng)集成方案，從認(rèn)證、管理及用戶訪問(wèn)層面保證系統(tǒng)及數(shù)據(jù)的安全性。安全規(guī)范化平臺(tái)建設(shè)目標(biāo)全生命周期人員管理體系，權(quán)威數(shù)據(jù)中心，高效便捷的管理模式，個(gè)性化策略管理。

人員管理機(jī)構(gòu)管理多維度組織機(jī)構(gòu)管理，個(gè)性化機(jī)構(gòu)策略，樹(shù)形組織結(jié)構(gòu)，機(jī)構(gòu)分級(jí)管理。

授權(quán)管理RBAC權(quán)限管理體系，應(yīng)用系統(tǒng)深度權(quán)限管理模式，細(xì)化用戶權(quán)限職責(zé)。項(xiàng)目過(guò)程中需要跟系統(tǒng)實(shí)現(xiàn)深度集成。

基于BPM流程實(shí)現(xiàn)自助化管理流程，實(shí)現(xiàn)帳號(hào)、權(quán)限的自助式管理，個(gè)性化流程審批模式及表單管理。自助流程安全控制基于訪問(wèn)控制模塊，通過(guò)IP、時(shí)間等因素實(shí)現(xiàn)安全的訪問(wèn)控制，提供多因素安全認(rèn)證服務(wù)。運(yùn)維規(guī)范建設(shè)標(biāo)準(zhǔn)的運(yùn)維管理規(guī)范，系統(tǒng)集成接入規(guī)范等。

建立權(quán)威、標(biāo)準(zhǔn)的數(shù)據(jù)中心，提供業(yè)務(wù)系統(tǒng)標(biāo)準(zhǔn)化數(shù)據(jù)服務(wù)。

基于關(guān)系型數(shù)據(jù)庫(kù)以及LDAP協(xié)議提供基礎(chǔ)服務(wù)。用戶數(shù)據(jù)中心統(tǒng)一認(rèn)證/SSOPC端、移動(dòng)端統(tǒng)一登錄入口，集中展示訪問(wèn)系統(tǒng)列表，通過(guò)門(mén)戶實(shí)現(xiàn)一站式訪問(wèn)及自助服務(wù)。

HR用戶群體上游數(shù)據(jù)源下游系統(tǒng)內(nèi)部人員外包用戶臨時(shí)用戶外部人員管理流程……OAERPCRM財(cái)務(wù)郵箱…….費(fèi)控其他用戶技術(shù)方案IAM統(tǒng)一身份認(rèn)證MFA多因素安全認(rèn)證UIP統(tǒng)一信息門(mén)戶WFM自助流程引擎IAM-SA身份認(rèn)證審計(jì)FPG細(xì)粒度權(quán)限管理產(chǎn)品基礎(chǔ)：全面的身份認(rèn)證解決方案SENSE解決方案概覽IAM統(tǒng)一身份認(rèn)證提供企業(yè)內(nèi)、外部用戶全生命周期的身份管理及訪問(wèn)安全體系及標(biāo)準(zhǔn)，構(gòu)建人員、機(jī)構(gòu)、崗位、帳號(hào)、權(quán)限等基礎(chǔ)身份信息的標(biāo)準(zhǔn)化管理，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的集中認(rèn)證。UIP統(tǒng)一信息門(mén)戶基于輕量級(jí)門(mén)戶服務(wù)框架，構(gòu)建企業(yè)用戶統(tǒng)一信息門(mén)戶，旨在向企業(yè)用戶提供輕便、快捷、友好的統(tǒng)一登錄及自助服務(wù)門(mén)戶。WFM自助流程引擎基于Activity流程引擎，提供人員管理、帳號(hào)管理、權(quán)限管理及個(gè)性化自助服務(wù)等功能的電子化、標(biāo)準(zhǔn)化、可追溯化的管理方式。同時(shí)可向企業(yè)業(yè)務(wù)流程、辦公流程提供支持。MFA多因素安全認(rèn)證整合基于口令、證書(shū)、移動(dòng)設(shè)備、生物特征等多維度的認(rèn)證手段，構(gòu)建企業(yè)多因素安全認(rèn)證體系，向不同業(yè)務(wù)場(chǎng)景、業(yè)務(wù)系統(tǒng)、用戶群體提供不同的安全認(rèn)證服務(wù)體系。FPG細(xì)粒度權(quán)限管理面向不同業(yè)務(wù)系統(tǒng)、不同的崗位、組織、角色、功能、數(shù)據(jù)項(xiàng)等不同維度的權(quán)限，構(gòu)建統(tǒng)一權(quán)限管理中心，提供更高效、安全、便捷的運(yùn)維管理模式。IAM-SA身份認(rèn)證審計(jì)針對(duì)身份認(rèn)證體系中的人員、機(jī)構(gòu)、帳號(hào)、權(quán)限、訪問(wèn)行為等的集中審計(jì)，一方面構(gòu)建標(biāo)準(zhǔn)的日志存儲(chǔ)、審查中心，以及相關(guān)的報(bào)表統(tǒng)計(jì)分析，同時(shí)針對(duì)用戶訪問(wèn)行為進(jìn)行相關(guān)的安全控制。IAM解決方案，致力于解決企事業(yè)單位中應(yīng)用帳號(hào)、權(quán)限不統(tǒng)一、入口分散、越權(quán)訪問(wèn)、應(yīng)用安全不合規(guī)等信息安全問(wèn)題。解決方案應(yīng)用于內(nèi)控身份認(rèn)證、互聯(lián)網(wǎng)渠道整合、云身份認(rèn)證、物聯(lián)網(wǎng)身份認(rèn)證、多因素安全認(rèn)證、企業(yè)用戶主數(shù)據(jù)管理、企業(yè)級(jí)權(quán)限整合等場(chǎng)景。提升企業(yè)各方面綜合能力，提升用戶體驗(yàn)、提升身份管理運(yùn)營(yíng)效率、提升訪問(wèn)控制安全性、滿足安全審計(jì)合規(guī)性。構(gòu)建6個(gè)“A”的全面管理體系，實(shí)現(xiàn)對(duì)信息系統(tǒng)關(guān)聯(lián)對(duì)象進(jìn)行全面管控。Account企業(yè)人員及業(yè)務(wù)系統(tǒng)帳號(hào)的全生命周期管理，針對(duì)不同類(lèi)型的人員及帳號(hào)建立不同的管理模式及規(guī)范制度。構(gòu)建標(biāo)準(zhǔn)化認(rèn)證服務(wù)體系，接管各業(yè)務(wù)系統(tǒng)的登錄認(rèn)證服務(wù)，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄功能。Authentication實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的集中授權(quán)管理功能，通過(guò)統(tǒng)一管理中心分配用戶在各系統(tǒng)中的訪問(wèn)權(quán)限及深度的功能權(quán)限。Authorization建立集中化的應(yīng)用管理中心，提供統(tǒng)一的運(yùn)維管理中心，實(shí)現(xiàn)帳號(hào)、密碼、權(quán)限等基礎(chǔ)化運(yùn)維工作。Application針對(duì)系統(tǒng)間的數(shù)據(jù)交互API服務(wù)集中管控，建立API服務(wù)的標(biāo)準(zhǔn)身份驗(yàn)證，同時(shí)通過(guò)API服務(wù)網(wǎng)關(guān)進(jìn)一步提升服務(wù)安全性。API建立集中審計(jì)服務(wù)中心，整合各類(lèi)管理行為日志、訪問(wèn)行為日志以及統(tǒng)計(jì)分析類(lèi)數(shù)據(jù)集中展示，并提供可視化報(bào)表。Audit6AIAM統(tǒng)一身份認(rèn)證解決方案整體平臺(tái)架構(gòu)統(tǒng)一門(mén)戶（現(xiàn)有門(mén)戶）WEB管理中心人員管理應(yīng)用管理策略配置……登錄入口應(yīng)用登錄中心權(quán)限管理……管理控制中心人員維護(hù)機(jī)構(gòu)維護(hù)帳號(hào)配置……風(fēng)險(xiǎn)分析引擎規(guī)則管理預(yù)警管理環(huán)境采集……身份數(shù)據(jù)中心人員信息機(jī)構(gòu)信息崗位信息應(yīng)用信息帳號(hào)信息權(quán)限信息策略數(shù)據(jù)日志數(shù)據(jù)認(rèn)證數(shù)據(jù)……認(rèn)證服務(wù)中心多因素認(rèn)證服務(wù)應(yīng)用分級(jí)認(rèn)證單點(diǎn)登錄……日志審計(jì)中心管理日志訪問(wèn)行為日志統(tǒng)計(jì)分析報(bào)表……對(duì)外服務(wù)數(shù)據(jù)服務(wù)API接口服務(wù)目錄服務(wù)接口服務(wù)認(rèn)證API數(shù)據(jù)管理API……管理規(guī)范制度人員管理規(guī)范自助服務(wù)規(guī)范應(yīng)用集成規(guī)范系統(tǒng)擴(kuò)展規(guī)范系統(tǒng)運(yùn)維規(guī)范…….應(yīng)用系統(tǒng)SAPOABPMACADVPNERP財(cái)務(wù)郵件……前端入口應(yīng)用層對(duì)外服務(wù)層對(duì)接層統(tǒng)一認(rèn)證中心身份管理中心用戶管理流程IM身份管理系統(tǒng)API服務(wù)同步服務(wù)/ESB數(shù)據(jù)源HR應(yīng)用中心統(tǒng)一認(rèn)證門(mén)戶新聞公告應(yīng)用中心自助服務(wù)待辦中心AM認(rèn)證及單點(diǎn)登錄服務(wù)第三方認(rèn)證服務(wù)二維碼數(shù)字證書(shū)生物識(shí)別.....統(tǒng)一登錄入口API服務(wù)外部用戶管理流程用戶/組織用戶登錄單點(diǎn)登錄帳號(hào)/機(jī)構(gòu)/權(quán)限應(yīng)用鏈接財(cái)務(wù)應(yīng)用待辦賬號(hào)管理流程權(quán)限管理流程自助注冊(cè)服務(wù)數(shù)據(jù)存儲(chǔ)中心數(shù)據(jù)存儲(chǔ)身份數(shù)據(jù)、策略數(shù)據(jù)、日志數(shù)據(jù)待辦集成認(rèn)證校驗(yàn)用戶管理員集成配置認(rèn)證&SSO供應(yīng)商管理客戶會(huì)員內(nèi)網(wǎng)門(mén)戶供應(yīng)商門(mén)戶會(huì)員門(mén)戶OA郵件ERP費(fèi)控......BIMESBPM合同管理文檔管理......ToE應(yīng)用ToB應(yīng)用企業(yè)微信有度釘釘會(huì)員管理產(chǎn)品體驗(yàn)......ToC應(yīng)用內(nèi)部用戶B端用戶C端用戶總體邏輯功能架構(gòu)AD用戶全生命周期管理內(nèi)部員工外部用戶擴(kuò)展用戶企業(yè)內(nèi)部合同編制內(nèi)的員工，制定員工的入職、離職等標(biāo)準(zhǔn)的生命周期管理流程。對(duì)外包用戶的全生命周期管理功能，提供用戶的注冊(cè)、變更、離場(chǎng)、權(quán)限申請(qǐng)等功能。其他類(lèi)型的用戶可自定義擴(kuò)展管理命名規(guī)范；管理流程；集中管理；自助中心；身份數(shù)據(jù)流向自助流程……HR源數(shù)據(jù)聚合數(shù)據(jù)處理數(shù)據(jù)加工數(shù)據(jù)融合數(shù)據(jù)梳理策略引擎組織架構(gòu)策略行政崗位策略應(yīng)用系統(tǒng)策略定義條件策略用戶類(lèi)型策略分級(jí)管理策略屬性篩選策略用戶組策略崗位數(shù)據(jù)帳號(hào)數(shù)據(jù)組織數(shù)據(jù)人員數(shù)據(jù)權(quán)限數(shù)據(jù)數(shù)據(jù)輸出門(mén)戶AC……OABPMVPNADAPI輸出統(tǒng)一身份認(rèn)證平臺(tái)內(nèi)部員工入職流程內(nèi)部員工入職流程示例：財(cái)務(wù)部分用戶人力資源系統(tǒng)中辦理入職后，自動(dòng)在統(tǒng)一認(rèn)證系統(tǒng)中創(chuàng)建用戶身份，同時(shí)根據(jù)策略，默認(rèn)分配OA、郵件、財(cái)務(wù)等財(cái)務(wù)部門(mén)基礎(chǔ)的賬號(hào)權(quán)限。統(tǒng)一認(rèn)證系統(tǒng)用戶自動(dòng)同步策略校驗(yàn)··部門(mén)策略/崗位策略用戶身份創(chuàng)建···默認(rèn)賬號(hào)分配···人力資源······員工入職流程新入職員工業(yè)務(wù)系統(tǒng)自動(dòng)創(chuàng)建帳號(hào)AD飯卡……OAERP知識(shí)管理門(mén)禁內(nèi)部員工變更流程內(nèi)部員工入職流程示例：財(cái)務(wù)部門(mén)員工，因崗位調(diào)整后，調(diào)至法務(wù)部門(mén)，人力資源中變更信息后，統(tǒng)一認(rèn)證系統(tǒng)自動(dòng)完成崗位的變更，同時(shí)自動(dòng)更新該員工所有系統(tǒng)中的信息，并為用戶分配法務(wù)部門(mén)下的默認(rèn)用戶帳號(hào)權(quán)限。統(tǒng)一認(rèn)證系統(tǒng)用戶自動(dòng)同步策略校驗(yàn)··部門(mén)策略/崗位策略用戶身份變更···崗位權(quán)限調(diào)整···人力資源·······員工調(diào)崗流程調(diào)崗員工內(nèi)部員工調(diào)崗流程分配新崗位賬號(hào)業(yè)務(wù)系統(tǒng)自動(dòng)更新信息AD飯卡……OAERP知識(shí)管理門(mén)禁內(nèi)部員工離職更流程內(nèi)部員工入職流程示例：?jiǎn)T工離職，人力資源完成相關(guān)離職手續(xù)后，統(tǒng)一認(rèn)證系統(tǒng)自動(dòng)進(jìn)行離職用戶處理，置用戶離職狀態(tài)，根據(jù)不同系統(tǒng)的回收策略，或離職注銷(xiāo)系統(tǒng)帳號(hào)，或指定時(shí)間后再進(jìn)行回收。統(tǒng)一認(rèn)證系統(tǒng)用戶自動(dòng)同步權(quán)限回收策略··立即回收/指定時(shí)間回收用戶身份離職處理···權(quán)限回收···人力資源·······員工離職流程離職員工內(nèi)部員工調(diào)崗流程內(nèi)部員工離職流程業(yè)務(wù)系統(tǒng)自動(dòng)注銷(xiāo)各系統(tǒng)帳號(hào)ADCRM……OAERP知識(shí)管理郵箱人與帳號(hào)的集中化管理IAM統(tǒng)一身份認(rèn)證OA郵件RESTFULLDAPJDBCWebservice財(cái)務(wù)ERP……RESTFUL內(nèi)部員工外部員工帳號(hào)OA帳號(hào)郵件帳號(hào)財(cái)務(wù)帳號(hào)……映射ERP帳號(hào)CRM帳號(hào)映射N(xiāo)NNN建立人與帳號(hào)多對(duì)多的關(guān)系（可一對(duì)一）。帳號(hào)策略規(guī)則一般帳號(hào)：一般應(yīng)用系統(tǒng)登錄帳號(hào)；公共帳號(hào)：多個(gè)公用類(lèi)帳號(hào)，多用于部門(mén)公共使用，如公共郵箱、發(fā)文帳號(hào)等；服務(wù)帳號(hào)：系統(tǒng)接口服務(wù)帳號(hào)，用于管理接口服務(wù)調(diào)用權(quán)限驗(yàn)證；特權(quán)帳號(hào)：服務(wù)器或應(yīng)用系統(tǒng)管理員類(lèi)帳號(hào)；帳號(hào)分類(lèi)MFA多因素認(rèn)證服務(wù)基于密碼基于動(dòng)態(tài)口令基于證書(shū)基于生物認(rèn)證基于移動(dòng)設(shè)備AD/LDAP數(shù)據(jù)庫(kù)…….短信軟令牌…….CPKPKI…….指紋人臉識(shí)別…….二維碼NFC…….應(yīng)用系統(tǒng)訪問(wèn)控制服務(wù)規(guī)則配置中心基于用戶規(guī)則基于應(yīng)用規(guī)則基于帳號(hào)規(guī)則基于時(shí)間規(guī)則基于IP規(guī)則基于設(shè)備規(guī)則基于用戶組規(guī)則基于條件組合規(guī)則……風(fēng)險(xiǎn)分析引擎多因素認(rèn)證解決方案多因素認(rèn)證服務(wù)實(shí)現(xiàn)分級(jí)認(rèn)證的總體目標(biāo)如下：應(yīng)用資源分級(jí)管理：實(shí)現(xiàn)應(yīng)用系統(tǒng)資源信息的集中管控，配置不同資源的認(rèn)證級(jí)別即認(rèn)證方式等；用戶身份驗(yàn)證：完成用戶認(rèn)證時(shí)的身份校驗(yàn)；單點(diǎn)登錄：訪問(wèn)不同資源時(shí)，實(shí)現(xiàn)用戶的單點(diǎn)登錄，一站式訪問(wèn)方式。MFA&應(yīng)用分級(jí)認(rèn)證驗(yàn)證級(jí)別基礎(chǔ)認(rèn)證1密碼/圖片組合2密碼/動(dòng)態(tài)口令3二維碼強(qiáng)認(rèn)證4匿名訪問(wèn)0自定義n驗(yàn)證強(qiáng)度等級(jí)……圖片驗(yàn)證碼動(dòng)態(tài)口令二維碼認(rèn)證指紋認(rèn)證密碼驗(yàn)證認(rèn)證模塊應(yīng)用資源OA郵件財(cái)務(wù)ERPCRM…….認(rèn)證策略SSO方案CASSAMLHttpHeaderOAuthSSOFormBase代填第三方API通過(guò)模擬用戶的輸入，完成用戶名和密碼的代填。一種開(kāi)放認(rèn)證協(xié)議，為用戶提供基于令牌式的安全認(rèn)證，支持跨域和單點(diǎn)登錄，一般用于移動(dòng)應(yīng)用單點(diǎn)登錄實(shí)現(xiàn)基于第三方應(yīng)用API實(shí)現(xiàn)SSO，如OA、CRM、郵件等。標(biāo)準(zhǔn)聯(lián)邦認(rèn)證協(xié)議，通過(guò)IDP和SP進(jìn)行單點(diǎn)登錄，支持跨域認(rèn)證和單點(diǎn)一種開(kāi)放認(rèn)證協(xié)議，為用戶資源的授權(quán)提供了一個(gè)安全的、開(kāi)放而又簡(jiǎn)易的標(biāo)準(zhǔn)，一般用于移動(dòng)應(yīng)用單點(diǎn)登錄通過(guò)HTTPHeader傳輸用戶名，組到應(yīng)用，應(yīng)用要獲取USERID或其他信息完成登錄。移動(dòng)APPSSO整合Authorization-統(tǒng)一授權(quán)體系OA郵件RESTFULLDAPJDBCWebserviceBICRM……RESTFULIAM統(tǒng)一身份認(rèn)證HR系統(tǒng)經(jīng)銷(xiāo)商/供應(yīng)商人員組織崗位人員崗位權(quán)限管理引擎統(tǒng)一授權(quán)管理中心，實(shí)現(xiàn)系統(tǒng)入口及深度的權(quán)限管理，包括帳號(hào)/組織/崗位/角色/菜單/功能/數(shù)據(jù)級(jí)權(quán)限等。權(quán)限元素應(yīng)用權(quán)限整合步驟實(shí)現(xiàn)權(quán)限集中管理的五個(gè)過(guò)程：在用戶權(quán)限中心中，維護(hù)對(duì)應(yīng)系統(tǒng)的權(quán)限元素，角色、部門(mén)、項(xiàng)目、數(shù)據(jù)范圍等均是權(quán)限元素，包括各元素的基礎(chǔ)屬性；權(quán)限元素定義為應(yīng)用授權(quán)進(jìn)行建模，以用戶為中心進(jìn)行權(quán)限模型的配置，通過(guò)角色進(jìn)行授權(quán)，角色下關(guān)聯(lián)菜單、按鈕等授權(quán)方式；多維權(quán)限建模定義權(quán)限數(shù)據(jù)同步方式，由各系統(tǒng)通過(guò)用戶權(quán)限中心的標(biāo)準(zhǔn)API進(jìn)行同步，或是應(yīng)用系統(tǒng)提供接口來(lái)完成推送；權(quán)限接口定義梳理系統(tǒng)中用戶授權(quán)的維度，明確是按角色、部門(mén)、項(xiàng)目、數(shù)據(jù)范圍等不同維度授權(quán)，便于構(gòu)建權(quán)限模型；業(yè)務(wù)權(quán)限梳理制定授權(quán)流程，由系統(tǒng)管理員手工完成授權(quán)，亦或是通過(guò)個(gè)性化流程完成權(quán)限自助管理；授權(quán)模式定義業(yè)務(wù)系統(tǒng)ORBAC：ObjectRule-BasedAccessControl，基于對(duì)象規(guī)則的訪問(wèn)控制機(jī)制，將應(yīng)用權(quán)限轉(zhuǎn)化為對(duì)象概念，將對(duì)象的管理規(guī)則化，不同的對(duì)象資源設(shè)置不同的授權(quán)規(guī)則，滿足集中化管理。權(quán)限管控中心權(quán)限元素權(quán)限元素定義多維權(quán)限建模權(quán)限接口定義業(yè)務(wù)權(quán)限梳理授權(quán)模式定義權(quán)限管理引擎帳號(hào)機(jī)構(gòu)崗位角色用戶組流程菜單讀權(quán)限寫(xiě)權(quán)限刪除權(quán)限業(yè)務(wù)權(quán)限管理解決方案Audit-安全審計(jì)服務(wù)行為審計(jì)用戶登錄用戶登出信息修改密碼修改應(yīng)用訪問(wèn)申請(qǐng)服務(wù)員工入職員工離職員工轉(zhuǎn)崗組織調(diào)整帳號(hào)分配權(quán)限分配配置操作用戶統(tǒng)計(jì)帳號(hào)統(tǒng)計(jì)異常登錄統(tǒng)計(jì)接口服務(wù)統(tǒng)計(jì)不活動(dòng)用戶統(tǒng)計(jì)密碼數(shù)據(jù)統(tǒng)計(jì)越權(quán)訪問(wèn)異常數(shù)據(jù)管理員管理行為用戶訪問(wèn)行為數(shù)據(jù)安全審計(jì)Audit-安全審計(jì)服務(wù)“安全審計(jì)中心”全方位記錄行為日志。對(duì)不符合策略的非法訪問(wèn)或操作行為，進(jìn)行實(shí)時(shí)記錄并報(bào)警形成審計(jì)日志與報(bào)表，為IT的安全合規(guī)審計(jì)提供依據(jù)能夠?yàn)榉治鲇脩粜袨?、領(lǐng)導(dǎo)決策提供數(shù)據(jù)幫助報(bào)表設(shè)計(jì)器報(bào)表管理中心WEB服務(wù)數(shù)據(jù)源報(bào)表數(shù)據(jù)檢索報(bào)表呈現(xiàn)數(shù)據(jù)安全報(bào)表推送報(bào)表服務(wù)提供可視化界面查詢(xún)及統(tǒng)計(jì)報(bào)表功能。安全審計(jì)&風(fēng)險(xiǎn)控制用戶移動(dòng)設(shè)備PC設(shè)備公有云網(wǎng)絡(luò)私有網(wǎng)絡(luò)專(zhuān)線本地網(wǎng)絡(luò)VPN網(wǎng)絡(luò)用戶注冊(cè)登錄行為密碼修改資源訪問(wèn)注銷(xiāo)登錄注冊(cè)風(fēng)險(xiǎn)識(shí)別高危IP檢測(cè)登錄風(fēng)險(xiǎn)識(shí)別用戶行為畫(huà)像設(shè)備風(fēng)險(xiǎn)檢測(cè)應(yīng)用風(fēng)險(xiǎn)識(shí)別……風(fēng)險(xiǎn)分值風(fēng)險(xiǎn)標(biāo)簽強(qiáng)認(rèn)證請(qǐng)求攔截消息通知平臺(tái)告警……結(jié)果應(yīng)用構(gòu)建統(tǒng)一規(guī)范制度和集成標(biāo)準(zhǔn)03統(tǒng)一身份認(rèn)證平臺(tái)運(yùn)維管理規(guī)范02統(tǒng)一身份認(rèn)證平臺(tái)應(yīng)用集成技術(shù)指南01統(tǒng)一身份認(rèn)證平臺(tái)用戶管理辦法05統(tǒng)一身份認(rèn)證平臺(tái)平臺(tái)定制化開(kāi)發(fā)規(guī)范04統(tǒng)一身份認(rèn)證平臺(tái)用戶自助服務(wù)手冊(cè)統(tǒng)一身份管理系統(tǒng)建設(shè)從管理規(guī)范、用戶體驗(yàn)、安全審計(jì)等方面出發(fā)，根據(jù)企業(yè)現(xiàn)狀，建設(shè)具有企業(yè)特色，符合國(guó)家安全管理規(guī)范、提升IT系統(tǒng)建設(shè)水平、提升用戶體驗(yàn)。統(tǒng)一管理中心組織/用戶/賬號(hào)統(tǒng)一存儲(chǔ)，統(tǒng)一管理，解決組織和用戶信息分散管理，各系統(tǒng)數(shù)據(jù)不一致的問(wèn)題。

1統(tǒng)一訪問(wèn)入口用戶從統(tǒng)一的入口登錄，不再需要從各應(yīng)用系統(tǒng)登陸，簡(jiǎn)化了登陸入口。2一站式訪問(wèn)所有用戶使用統(tǒng)一認(rèn)證方案認(rèn)證，并通過(guò)單點(diǎn)登錄提升用戶體驗(yàn)。3單點(diǎn)門(mén)戶用戶從單點(diǎn)門(mén)戶能直接看到應(yīng)用系統(tǒng)鏈接、公司公告、代辦。4自助化管理用戶通過(guò)自助的方式找回密碼、申請(qǐng)權(quán)限、修改個(gè)人信息，節(jié)省用戶等待時(shí)間。5審計(jì)報(bào)表對(duì)平臺(tái)的管理行為、用戶訪問(wèn)行為、數(shù)據(jù)安全審計(jì)，記錄日志，并轉(zhuǎn)化成數(shù)字報(bào)表。6短期項(xiàng)目收益規(guī)范化應(yīng)用系統(tǒng)的規(guī)范化建設(shè)用戶身份的規(guī)范化管理用戶訪問(wèn)規(guī)范化統(tǒng)一化統(tǒng)一的訪問(wèn)入口統(tǒng)一的管理統(tǒng)一的用戶認(rèn)證統(tǒng)一的數(shù)據(jù)存儲(chǔ)全集團(tuán)統(tǒng)一覆蓋、統(tǒng)一使用安全生產(chǎn)及等保2.0建設(shè)符合等保2.0的要求的身份管理提升系統(tǒng)安全性，保障用戶的訪問(wèn)安全標(biāo)準(zhǔn)化單點(diǎn)登錄接口標(biāo)準(zhǔn)化數(shù)據(jù)同步接口標(biāo)準(zhǔn)化應(yīng)用對(duì)接流程標(biāo)準(zhǔn)化從長(zhǎng)遠(yuǎn)來(lái)看，本系統(tǒng)的建設(shè)具有一下收益：統(tǒng)一身份管理長(zhǎng)遠(yuǎn)項(xiàng)目收益案例分享財(cái)務(wù)系統(tǒng)、OA系統(tǒng)POS系統(tǒng)、一物一碼系統(tǒng)、WMS系統(tǒng)、ERP系統(tǒng)地產(chǎn)平臺(tái)、停車(chē)場(chǎng)系統(tǒng)保理租賃系統(tǒng)、OA系統(tǒng)、HR、檔案、風(fēng)控軟件

系統(tǒng)KMP/LMPKMP郵件系統(tǒng)經(jīng)營(yíng)助手報(bào)表平臺(tái)知識(shí)管理平臺(tái)人才中心分析決策平臺(tái)BW/BO……NC系統(tǒng)立購(gòu)臺(tái)OSAPDMS系統(tǒng)O2ODDCEDI系統(tǒng)KA管理信息系統(tǒng)導(dǎo)購(gòu)管理系統(tǒng)網(wǎng)上簽收系統(tǒng)門(mén)店信息管理系統(tǒng)SFAB2C……SAP系統(tǒng)運(yùn)輸系統(tǒng)客服系統(tǒng)……域管理系統(tǒng)桌面管理VPN系統(tǒng)堡壘機(jī)郵件網(wǎng)關(guān)防火墻上網(wǎng)行為管理趨勢(shì)殺毒軟件負(fù)載均衡系統(tǒng)異地容災(zāi)系統(tǒng)防火墻網(wǎng)絡(luò)管理KVM系統(tǒng)機(jī)房環(huán)境管理防篡改系統(tǒng)……辦公類(lèi)營(yíng)銷(xiāo)類(lèi)供應(yīng)鏈類(lèi)安全運(yùn)維類(lèi)登錄入口眾多登錄帳號(hào)不統(tǒng)一人員生命周期不完整系統(tǒng)帳號(hào)及密碼分散管理應(yīng)用系統(tǒng)缺少建設(shè)標(biāo)準(zhǔn)缺少帳號(hào)及權(quán)限管理流程項(xiàng)目背景分析：系統(tǒng)現(xiàn)狀分析第一期已實(shí)現(xiàn)后期規(guī)劃陸續(xù)對(duì)接后期規(guī)劃陸續(xù)對(duì)接整體規(guī)劃目標(biāo)：構(gòu)建用戶中心把各個(gè)獨(dú)立的系統(tǒng)用戶，集中到用戶中心，實(shí)現(xiàn)統(tǒng)一用戶管理、統(tǒng)一身份認(rèn)證、單點(diǎn)登錄、授權(quán)管理、集中監(jiān)控和審計(jì)等，成為權(quán)威用戶數(shù)據(jù)中心。項(xiàng)目建設(shè)目標(biāo)用戶中心SAPNC郵箱微門(mén)戶其它……一套標(biāo)準(zhǔn)一個(gè)中心40+系統(tǒng)+∞用戶平臺(tái)級(jí)服務(wù)成本下降體驗(yàn)提升安全性提升規(guī)范流程命名規(guī)則人員標(biāo)識(shí)規(guī)范內(nèi)部員工8位員工號(hào)導(dǎo)購(gòu)員8位數(shù)字工號(hào)外部員工EXT+6位數(shù)字臨時(shí)用戶VT+6位數(shù)字供應(yīng)商供應(yīng)商編碼經(jīng)銷(xiāo)商…….其他用戶……系統(tǒng)帳號(hào)命名規(guī)范IDM登錄ID規(guī)范標(biāo)準(zhǔn)人員標(biāo)識(shí)手機(jī)號(hào)姓+名縮寫(xiě)存量帳號(hào)（保持原有方式）人員標(biāo)識(shí)