13 集团型企业信息化身份认证与权限管理技术规范Word文件下载.docx
《13 集团型企业信息化身份认证与权限管理技术规范Word文件下载.docx》由会员分享,可在线阅读,更多相关《13 集团型企业信息化身份认证与权限管理技术规范Word文件下载.docx(16页珍藏版)》请在冰豆网上搜索。
目录存储:
企业目录是该系统的功能基础,主要提供对组织机构、用户、企业角色、应用信息、应用角色等数据的存储与查询。
统一认证:
作为用户认证的统一网关访问入口,来提升总体门户与应用的访问安全。
用户登录后,可以通过单点登录访问不同的应用系统,在不同的应用之间自由切换,无需重复登录。
身份管理:
作为身份认证与授权管理产品运行的核心,主要用于企业身份对象的管理以及企业目录与外部系统之间实现身份数据同步交换的基础服务。
权限管理:
需要向用户和应用程序提供统一的授权控制管理服务,提供用户身份到应用授权的映射功能,提供基于多种业务属性组合条件下灵活的授权策略,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。
审计与监控:
对认证、身份信息、权限集成以及流程运行进行审计分析;
对系统运行状态、对流程运行的情况进行分析与统计。
管理控制台:
身份认证与授权管理的管理应用平台,用于对企业目录中的组织机构、用户、企业角色、应用等对象信息进行分级管理,定义企业角色与应用角色的映射关系,提供对应用系统的账号开通、集中授权,提供账号禁用/启用。
4 功能性规范
4.1 目录存储
企业目录主要用于统一存储企业中的组织机构、用户、应用、角色等资源信息的基础服务,是统一身份认证管理系统所依赖的功能支撑。
功能名称
功能描述
LDAPV3
需要支持LDAPV3轻量级目录访问协议,应用系统可以通过LDAPV3协议对目录中存储的信息对象进行快速查询。
X.500目录协议支持
要基于国际标准的X.500目录协议,能够提供比较完整的授权与访问控制机制。
X.509协议支持
包含基于数字证书认证访问的应用。
支持分级管理
能够基于目录的层次结构实现对目录中大量信息对象的分级管理。
支持目录复制功能
保障目录分区内部数据的完整、一致;
实现容错功能,并分散访问负载。
数据备份恢复
支持数据库热备份以及数据的增量备份。
支持数据的快速恢复。
4.2 统一认证
主要用于对用户进行统一认证,对各应用系统提供统一的跨平台用户身份认证服务。
身份认证服务需要以企业目录作为用户身份的认证源,能够支持多种认证方式,提供对用户的统一认证。
同时,身份认证服务需要基于国际标准的Liberty协议,提供对跨域用户的“级联认证”。
认证管理服务需要提供以下主要功能:
反向代理
支持反向代理与安全反向代理
需以代理服务器来接受外部网络上的连接请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给外部上请求连接的客户端。
安全反向代理需提供从防火墙外部代理服务器到防火墙内部安全内容服务器的加密连接。
访问控制
支持统一认证
当用户访问企业中的不同应用系统时,基于统一的身份鉴别认证服务、统一的认证方式和安全机制对用户身份的合法性进行识别,应用系统通过集中的认证服务验证用户的登录账号与口令。
统一用户认证是实现应用系统单点登录的功能基础。
支持资源保护
基于应用系统的资源访问路径(URL)建立应用系统的被保护资源,通过为被保护资源指定不同的认证保护策略和授权策略,实现用户对应用系统的访问控制。
支持访问控制
对应用系统的被保护资源可以指定不同的认证保护策略和授权策略,认证保护策略要求用户访问相关资源时必须经过认证,授权策略要求用户访问相关资源时必须满足一定的授权条件(如拥有指定的企业角色)。
支持级联认证
不同认证管理服务之间通过Liberty联盟认证协议,建立多个认证管理服务之间的互信关联,实现用户对不同认证管理服务所控制的应用系统的平滑访问。
支持缓存加速
支持对应用系统中的部分静态资源(如静态页面、图片)进行缓存,提高用户对这些资源的访问速度。
认证方式支持
包括密码认证、数字证书认证、指纹识别认证、LDAP认证、动态密码认证等多种身份认证技术,可以支持密码、智能卡、USBKEY、指纹识别、密码卡片等多种身份认证手段。
单点登录
支持遵循国际主流规范
支持SAML和LibertyAlliance规范;
支持WS-Federation规范。
支持SSLVPN
支持SSLVPN桌面清理和安全文件夹;
支持基于SSLVPN客户端完整性的访问。
支持单点登录
通过与后端应用系统协商的集成策略,如FormFill自动填表策略或HTTP头传值策略,将用户身份信息自动传递给后端应用系统,从而避免用户重复登录。
支持单点注销
用户可以通过一个单一的退出操作,自动关闭已建立的与后端多个应用系统服务器的会话连接,提高用户访问应用系统的安全性。
支持B/S架构系统。
支持会话管理
用户通过统一认证登录后,用户浏览器与身份认证服务之间会建立会话连接,提供查看会话、强制注销会话等功能。
集群环境中的会话共享
保持会话在集群服务器上一致;
搜索、结束、显示用户会话;
会话副本,支持高可用性。
会话策略
通过定义会话策略来支持控制会话个数,控制最大、最小会话时间,控制会话缓存大小等功能。
4.3 身份管理
身份管理主要用于在企业身份管理系统与业务应用系统之间实现身份数据同步交换的基础服务,是统一身份认证管理系统的两大核心功能之一。
身份对象管理
身份管理对象是身份管理中的基础单元,身份管理的具体工作内容都与其息息相关。
身份管理应支持对基础单元的管理功能。
支持对人员管理
支持对人员信息管理,提供增加、删除、更改、查询功能。
支持对人员账号管理
支持人员与账号的映射管理,包括为人员创建账号、修改账号、删除账号、查询人员的所有账号等功能。
支持人员与角色管理
通过角色与人员的关系灵活实现了身份管理中用户权限的控制。
存储在身份管理系统中的不同业务应用系统角色信息与用户的关系实现了用户在业务应用中的权限控制功能。
支持对用户组管理
身份管理支持用户组管理,实现对多用户统一批量操作的功能,减少管理员操作步骤,降低管理员维护成本,提高企业管理效率。
支持对企业组织机构和其他组织机构管理
身份管理支持对组织机构管理,支持对不同业务应用组织机构管理。
身份功能管理
支持身份管理策略
使用灵活的策略来对身份进行管理,策略至少包括但不限于下列几种:
密码管理策略、人员管理策略、账户管理策略、组织机构管理策略等身份对象管理策略
1、密码管理策略。
身份管理应支持自定义密码策略。
管理员能自定义用户密码管理策略。
身份管理系统可以为管理员提供密码规则编制、密码长度、密码强度、密码过期检查等功能。
2、用户管理策略。
身份管理应支持对用户新增、更改、删除(禁用)管理。
应灵活支持对人员部分信息加密(解密),如密码信息;
人员信息与其他身份管理对象关系查询、更改、删除;
人员信息快速读取、批量快速查询功能。
3、账户管理策略。
身份管理应支持对用户账户新增、更改、删除(禁用)管理。
能灵活为人员添加业务应用系统账号;
能快速进行账户信息读取、批量快速查询以及相关身份管理对象信息查询。
4、组织机构管理策略。
身份管理应支持对组织机构新增、更改、删除(禁用)管理;
支持对组织机构信息快速读取、批量快速查询功能。
支持身份同步功能
身份信息同步是身份管理与业务应用系统数据交换的主要的方式之一。
身份同步包括两方面:
1、由权威数据源同步至身份管理系统。
人资权威源同步用户、组织机构、角色(岗位)信息至身份管理系统。
2、由身份管理系统同步至业务应用系统。
。
3、身份同步应支持与主流操作系统、主流数据库、主流应用服务器、主流LDAP服务器、主流ERP套装软件等同步
支持同步缓存
身份管理服务能够将事件信息按照先后顺序写入到同步缓存中,当系统从故障中恢复时,同步驱动将继续处理同步缓存中的事件,确保数据变化事件能被可靠地处理和发送到目标系统。
密码管理
身份管理应支持用户密码统一管理,实现密码一次修改多处生效模式,达到统一管理不同业务应用系统用户密码的功能效果;
身份管理应支持口令找回功能。
委托管理
支持层级式委托管理方式。
生命周期管理
新增用户(账号)流程管理
支持不同用户(账号)类型采用不同新增流程。
更改用户(账号)流程管理
支持不同用户(账号)类型采用不同更改流程。
删除(禁用)用户(账号)流程管理
支持不同类型用户(账号)采用不同删除(禁用)流程。
新增企业组织机构流程管理
支持不同类型组织机构采用不同新增流程。
更改企业组织组织机构管理
支持不同类型组织机构采用不同更改流程。
删除(禁用)企业组织机构管理
不同类型组织机构采用不同删除(禁用)流程。
4.4 权限管理
权限管理需要对业务应用系统、操作系统、数据库、应用服务器等提供统一的授权控制管理服务,提供用户身份到应用授权的映射功能,提供用户控制的基于多种业务属性组合条件下灵活的授权策略,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。
权限功能管理
权限策略
1、提供符合职责分离原则的策略配置;
2、提供符合最少权限原则的策略配置;
3、应提供实现用户与访问权限逻辑分离的策略配置
1、支持对象、对象空间的委托管理;
2、支持域的委托管理
权限规则
支持通过规则来分配、验证权限,包括:
1、需要支持从下列源获得访问控制判决信息:
用户认证信息、应用上下文、权限引擎上下文、提供接口、外部系统等。
2、权限规则必须使用XML格式。
3、支持规则的增加、删除、查询、修改、克隆、导入/导出等功能,支持列出某个对象涉及的权限规则的功能,支持列出某个权限规则涉及的对象的功能。
4、指定/撤销权限规则给某个对象。
5、对规则进行评估。
权限集成
支持集成对象
1、支持与各种主流的操作系统、数据库、应用服务器、商业套件的权限集成。
2、支持与某企业业务系统的权限集成,比如营销、商业智能、项目管理等。
3、支持某企业开发平台权限集成,如Sotower,PI3000平台。
4、支持与成熟套装软件的权限集成,比如ERP系统。
权限的双向同步
支持自动同步与手工同步。
如果某些成熟套装软件不对外提供权限接口,平台需要提供手工同步的实现。
提供对外服务接口
1、提供WebServices接口,供业务系统集成
2、提供Java扩展API,供业务系统定制。
3、提供插件,供平台与操作系统、数据库、应用服务器等之间进行权限同步。
集中权限管理
集中对机构用户进行统一的权限管理,并采用基于角色的方式统一灵活地管理。
4.5 审计与监控
审计功能
审计服务主要用于对企业目录、身份管理服务、认证管理服务中的重要操作、关键事件、故障异常等日志信息进行集中采集和存储,是统一身份认证管理系统的审计监控功能基础。
审计服务需要提供以下主要功能:
集中存储
集中存储所有的审计事件数据。
审计事件管理
支持对接收到的事件信息进行过滤、分类,并将事件信息发送给相关的审计组件。
审计事件可以分为认证事件审计、身份管理事件审计、权限管理事件审计等方面事件审计。
1、认证事件审计,支持对用户通过统一认证功能过程中进行的事件进行审计。
可能事件包括用户登录事件、用户在系统中操作审计、用户对关键数据更改审计、用户登出审计等;
2、身份管理事件审计,支持对身份管理事件过程中的数据新增、更改、删除等操作的审计。
包括新增、更改、删除(禁用)用户(组织机构、角色权限)等身份管理对象的事件审计;
3、权限管理事件审计,支持对权限事件管理过程中,关于权限授权、定义、新增、更改、删除等事件审计。
报表生成
应能自动生成常用报表,包括但是不限于如下内容:
用户报表、账号报表、审计事件报表、登录事件信息报表、性能监控报表、访问报表,访问控制信息报表等。
定期任务
定时触发流程,定时发提醒。
定时执行后台任务,比如检查没有与人员关联的账号(孤儿账号)、权限分配校验、组织机构分配校验等。
支持创建自定义的报表
能够灵活定制审计数据的展现。
监控功能
统一认证事件监控
支持统一认证事件中用户的登录(登出)时间、登录后对关键数据增加、更改、删除事件监控。
对统一认证实时在线人数监控。
身份管理事件监控
支持对身份管理对象(用户、组织机构、角色等)身份管理系统中数据存储情况、实时变化情况的监控。
权限管理事件监控
支持对权限管理对象数据的存储、其实时新增、更改、删除等变化情况的监控。
系统状态监控
支持对身份管理系统的系统运行情况的实时数据监控。
4.6 管理控制台
流程管理
系统工作流管理服务,主要包括对系统的业务功能进行待办审批以及流程的管理,主要包括流程的创建、修改、删除以及对流程的分级管理。
工作流管理
流程搜索、流程创建、流程修改、流程图绘制、流程删除、流程分级管理等功能。
生命周期流程
提供对身份、权限生命周期流程的支持。
支持管理员对流程运行实例进行挂起/恢复/终止等人工干预
管理员可以通过界面方式对流程运行实例进行挂起/恢复/终止等人工干预。
提供API可以实现对流程实例的挂起/恢复/终止等人工干预。
流程异常处理
支持对流程的异常处理。
待办管理
主要包括对新增用户、用户部门变动、账号开通、权限分配等功能的待办管理。
系统安全
支持网络通信安全
支持使用SSL加密传输,保证身份管理系统与用户客户端、被代理的应用系统端通信方式为加密信道传输方式。
支持数据存储安全
支持数据全备份和增量备份。
如果出现系统宕机,备份数据可以在短时间内将数据还原至最新状态。
支持7*24小时高可用对外提供服务。
支持访问控制安全
支持对平台本身的访问与操作进行权限控制。
安全指标
应达到GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》的第二级标准。
系统维护
系统维护主要由系统安全、日志管理、系统备份构成。
主要提供对系统的功能、数据进行权限控制和管理员的权限分配功能,主要由管理员维护、角色维护、系统授权构成。
服务器维护
服务器的启动、停止等操作。
日志管理
支持统一认证日志功能
支持统一认证中对统一用户认证、单点注销、实时在线人数、并发访问人数等信息查看的日志管理功能
支持身份管理日志管理功能
支持包括但不限于身份管理同步事件、身份管理对象新增、更改、删除(禁用)变化的信息日志查看、汇总、统计、报表等功能。
支持权限管理日志管理功能
支持包括但不限于角色新增、更改、删除,角色权限范围定义,角色授予事件日志查看、汇总、统计、报表等功能。
支持审计与监控日志管理功能
支持包括但不限于统一认证、身份管理、权限管理等审计和监控事件日志查看、汇总、统计、报表等功能。
系统日志管理功能
支持包括但不限于系统运行状态、系统问题信息(如系统开始运行、宕机信息)的日志查看、汇总、统计、报表等功能。
日志级别
可以为不同类型的日志设置不同的记录级别
所谓不同类型的日志是指根据维护的需要将日志分为不同的级别,比如错误、警告、调试等。
日志下载
支持日志的打包下载。
消息管理
系统通过消息中心对用户进行相关待办或业务处理的提醒,消息中心主要由消息管理、消息提醒、消息提醒方式集成构成。
消息管理主要包括:
消息发送、已发消息搜索、已发消息删除、接收消息搜索、接收消息删除等。
其详细的功能内容说明如下:
系统消息管理
支持与企业的第三方消息发送系统进行集成,主要包括对邮件服务中心、短信服务中心的集成。
1、发送消息
提供已经集成的消息提醒方式为用户发送消息。
2、已发消息管理
管理用户自身已经发送的消息,包括:
消息搜索、消息删除。
3、接收消息管理
管理用户接收到的消息,包括:
消息通知
通过用户个人桌面对用户进行系统消息通知-消息管理包括已发消息、接收消息、消息提醒功能。
自定义界面
自定义配置功能支持用户对管理控制台的界面进行定制。
支持界面自定义
支持用户对界面的自定义功能。
5 非功能性规范
5.1 兼容性
身份认证与授权管理产品需要支持主流的操作系统、应用服务器、数据库。
操作系统
支持AIX、HP-UNIX、Linux、Solaris、Windows等主流操作系统。
数据库
支持Oracle、DB2等主流数据库。
应用服务器
支持WebLogic、Websphere等主流应用服务器。
5.2 可靠性
身份认证与授权管理平台在规定的容量设计范围的压力下,正常不间断的运行7*24个小时,同时能够保证平台运行稳定和一定的处理速度;
在出现各种严重异常的情况下,平台能够容错,并快速建立一系列的处理机制。
5.3 负载要求
压力超过设计容量的30%的情况下,能维持稳定24小时,超过100%的情况下能维持稳定1小时,并在压力恢复的时候,平台恢复正常(CPU以及内存等各种资源)。
5.4 容错处理
身份认证与授权管理平台应能捕获业务应用错误,并屏蔽其对平台造成的影响,同时,提供相应的错误处理机制。
5.5 安全性
身份认证与授权管理平台安全标准应达到GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》的第二级标准。
5.6 集群部署
身份认证与授权管理平台可适应集群环境部署,并能正确处理多服务器集群环境的消息同步处理、定时服务、缓存同步等,故障情况下,支持整体服务器迁移,通过自动和手动把集群服务器实例从一台计算机上迁移到另一台计算机上,确保集群化服务器的故障恢复。
6 部署规范
身份认证与授权管理平台需要支持多种部署方式。
支持身份认证与授权管理产品访问控制、身份管理、统一认证采用集中部署和分布式部署
支持身份认证与授权管理平台集中部署方式
支持身份认证与授权管理平台部署在同一物理区域,对外部业务应用提供统一认证、统一身份管理和统一权限管理服务
支持身份认证与授权管理平台系统分布式部署方式
支持身份认证与授权管理平台各功能模块部署在不同物理区域的情况下,对外部业务应用提供统一认证、统一身份管理和统一权限管理服务。
如采用liberty等方式完成不同物理区域中的身份认证功能,采用目录之间数据同步方式是实现数据共享和数据交换。
支持身份认证与授权管理平台集群部署
支持身份认证与授权管理平台的集群部署,保证身份认证与授权管理产品在7*24小时内不间断对外提供服务。
升级会员 