统一身份管理解决方案.docVIP

目录 第一章 背景与需求分析 2 第二章 解决方案 4 第三章 相关产品介绍 5 3.1 统一用户及授权管理系统 5 3.1.1 产品架构 5 3.1.2 功能概述 6 3.2 统一身份认证及单点登录服务系统 7 3.2.1 产品架构 7 3.2.2 功能概述 8 3.3 与微软产品关系 9 第四章 应用场景 10 第五章 部署规划 11 5.1 少于500用户 11 5.2 500—5000用户 12 5.3 5000-10000用户 13 5.4 10000以上用户 14 第六章 客户收益 14 6.1 给企业主带来的好处 14 6.2 给管理部门带来的好处 14 6.3 为最终用户带来的好处 15 背景与需求分析 随着信息技术和网络技术的发展 随着信息化内外部环境的不断变化，企业的业务流程也在不断的变化和发展； 企业逐渐建立起多应用、多服务的IT架构（包括Java、.Net、ASP等技术平台）的应用系统； 各应用系统面向不同的管理方向，有其对应的用户群体、权限体系； 以某企业为例，目前企业已经拥有五个应用系统，如下图： 用户在使用各种应用系统时，需要在不同应用系统中管理不同的用户信息，这样不仅极大的增加了工作量，也容易出现数据不统一，无法共享信息的局面，且各系统使用自己的登陆验证模块，无法实现统一的单点登陆，增加了系统使用的复杂度，具体如下： 各应用系统中均有用户管理，且信息不全，不统一； 企业对用户信息重复维护； 用户存在多套用户名和密码； 企业内无法实现统一认证和单点登录； 然而，对于企业来说，用户信息属于基本信息，对他们的管理都是相同的，是可以不用重复建设和投入的。因此，企业对信息进行整合、共享和优化以达到资源的有效利用就成为一种必然的趋势。这就要求企业有一套解决方案，可达成以下基本目标： 实现用户基本信息统一管理； 实现统一的身份认证和单点登陆。 解决方案 基于以上分析，我们提出一套解决方案，如下图： 由图可见，我们用统一用户及授权管理系统取代之前各应用系统用户管理模块，各应用系统通过与统一用户及授权系统整合，获取所需要的用户信息，解决用户等基础信息共享相关的问题。 各业务系统与统一身份认证及单点登陆服务系统整合，实现单点登陆，又可解决统一认证及单点登陆问题。 统一用户及授权服务系统、统一身份认证及单点登陆服务系统作为企业信息化建设的基础服务，共同构成用户身份管理的支撑平台，形成企业统一身份管理解决方案。 相关产品介绍 该方案中涉及到我们提供的两个产品： 统一用户及授权服务系统 统一身份认证及单点登录服务系统 统一用户及授权管理系统 统一用户及授权系统基于微软平台开发，主要实现对组织机构、用户、应用系统、权限及授权关系的集中管理，解决各应用系统建设中存在的基础功能的重复建设和投入等问题，为实现数据整合、信息共享、流程优化提供基础保障。 产品架构 系统主要分为以下三个部分： 同步服务 系统通过该服务实现到第三方系统的用户及组织机构信息实时同步。系统默认提供有到AD、OCS、Exchange的同步功能。 接口服务 第三方业务系统通过该服务来访问和管理用户、组织、应用系统、权限、授权关系等数据。 管理控制台 系统通过Web管理控制台来为各级别的管理员提供管理操作界面。 功能概述 组织机构及用户管理 实现一用户隶属多组织机构功能 提供用户扩展属性和组织机构扩展属性功能，增强用户信息的可扩展性 提出单位概念和本单位管理角色，方便按单位划分进行管理和授权 提供单位类型的划分，使管理更直观 通过设置组织机构授权范围，实现多层次管理，并提供组织机构授权范围优先级功能，简化授权范围的操作 应用系统、角色、权限管理 通过设置应用系统授权范围，实现各应用系统的独立管理。 通过业务系统管理员角色，方便统一授权系统管理员的授权操作。 提出属性权限概念，实现动态权限功能 授权 授权级别有可访问、可授权和可访问可授权，通过可授权实现多级授权 内置多个系统角色，在实际使用时，简化授权管理 授权清晰化，把授权从应用系统和权限管理中独立出来，显得更加清晰，易于管理 授权载体单一化，授权载体全部采用角色，使授权逻辑更加清晰 权限直观化，采用树形结构展示，使权限管理更加直观明了 实现精确授权，严格限制哪个IP地址、哪个时间段的可以访问操作 提出权限范围概念，明确在授予某个权限时，在一定范围内有效，范围可以是组织机构、用户范围 审计功能 全面记录用户信息变更审计信息、用户登录审计信息、用户与角色关系变更审计信息、角色与权限关系变更审计信息。 审计员能够对用户的权限来源进行历史追踪，可以清晰的查询到是谁、在什么时候把什么权限授予什么人，再向上，还可以查询是谁、在什么时候把该可授权权限授予他，直到统一授权的系统管理员。 审计员能够对权限被授予了