统一身份管理解决方案.docx

1、统一身份管理解决方案统一身份管理解决方案目录第一章 背景与需求分析 2第二章 解决方案 4第三章 相关产品介绍 53.1 统一用户及授权管理系统 53.1.1 产品架构 53.1.2 功能概述 63.2 统一身份认证及单点登录服务系统 73.2.1 产品架构 73.2.2 功能概述 83.3 与微软产品关系 9第四章 应用场景 10第五章 部署规划 115.1 少于500用户 115.2 5005000用户 125.3 5000-10000用户 135.4 10000以上用户 14第六章 客户收益 146.1 给企业主带来的好处 146.2 给管理部门带来的好处 146.3 为最终用户带来的好

2、处 15第1章 背景与需求分析随着信息技术和网络技术的发展，企业在信息化建设过程中，凸显出如下一些特征：v 随着信息化内外部环境的不断变化，企业的业务流程也在不断的变化和发展；v 企业逐渐建立起多应用、多服务的IT架构（包括Java、.Net、ASP等技术平台）的应用系统；v 各应用系统面向不同的管理方向，有其对应的用户群体、权限体系；以某企业为例，目前企业已经拥有五个应用系统，如下图：用户在使用各种应用系统时，需要在不同应用系统中管理不同的用户信息，这样不仅极大的增加了工作量，也容易出现数据不统一，无法共享信息的局面，且各系统使用自己的登陆验证模块，无法实现统一的单点登陆，增加了系统使用的复

3、杂度，具体如下：v 各应用系统中均有用户管理，且信息不全，不统一；v 企业对用户信息重复维护；v 用户存在多套用户名和密码；v 企业内无法实现统一认证和单点登录；然而，对于企业来说，用户信息属于基本信息，对他们的管理都是相同的，是可以不用重复建设和投入的。因此，企业对信息进行整合、共享和优化以达到资源的有效利用就成为一种必然的趋势。这就要求企业有一套解决方案，可达成以下基本目标：v 实现用户基本信息统一管理；v 实现统一的身份认证和单点登陆。第2章 解决方案基于以上分析，我们提出一套解决方案，如下图： 由图可见，我们用统一用户及授权管理系统取代之前各应用系统用户管理模块，各应用系统通过与统一用

4、户及授权系统整合，获取所需要的用户信息，解决用户等基础信息共享相关的问题。各业务系统与统一身份认证及单点登陆服务系统整合，实现单点登陆，又可解决统一认证及单点登陆问题。统一用户及授权服务系统、统一身份认证及单点登陆服务系统作为企业信息化建设的基础服务，共同构成用户身份管理的支撑平台，形成企业统一身份管理解决方案。第3章 相关产品介绍该方案中涉及到我们提供的两个产品：v 统一用户及授权服务系统v 统一身份认证及单点登录服务系统3.1 统一用户及授权管理系统统一用户及授权系统基于微软平台开发，主要实现对组织机构、用户、应用系统、权限及授权关系的集中管理，解决各应用系统建设中存在的基础功能的重复建设

5、和投入等问题，为实现数据整合、信息共享、流程优化提供基础保障。3.1.1 产品架构系统主要分为以下三个部分：v 同步服务 系统通过该服务实现到第三方系统的用户及组织机构信息实时同步。系统默认提供有到AD、OCS、Exchange的同步功能。v 接口服务第三方业务系统通过该服务来访问和管理用户、组织、应用系统、权限、授权关系等数据。v 管理控制台 系统通过Web管理控制台来为各级别的管理员提供管理操作界面。3.1.2 功能概述组织机构及用户管理 实现一用户隶属多组织机构功能 提供用户扩展属性和组织机构扩展属性功能，增强用户信息的可扩展性 提出单位概念和本单位管理角色，方便按单位划分进行管理和授权

6、 提供单位类型的划分，使管理更直观 通过设置组织机构授权范围，实现多层次管理，并提供组织机构授权范围优先级功能，简化授权范围的操作应用系统、角色、权限管理 通过设置应用系统授权范围，实现各应用系统的独立管理。 通过业务系统管理员角色，方便统一授权系统管理员的授权操作。 提出属性权限概念，实现动态权限功能授权 授权级别有可访问、可授权和可访问可授权，通过可授权实现多级授权 内置多个系统角色，在实际使用时，简化授权管理 授权清晰化，把授权从应用系统和权限管理中独立出来，显得更加清晰，易于管理 授权载体单一化，授权载体全部采用角色，使授权逻辑更加清晰 权限直观化，采用树形结构展示，使权限管理更加直观

7、明了 实现精确授权，严格限制哪个IP地址、哪个时间段的可以访问操作 提出权限范围概念，明确在授予某个权限时，在一定范围内有效，范围可以是组织机构、用户范围审计功能 全面记录用户信息变更审计信息、用户登录审计信息、用户与角色关系变更审计信息、角色与权限关系变更审计信息。 审计员能够对用户的权限来源进行历史追踪，可以清晰的查询到是谁、在什么时候把什么权限授予什么人，再向上，还可以查询是谁、在什么时候把该可授权权限授予他，直到统一授权的系统管理员。 审计员能够对权限被授予了哪些角色进行历史追踪。数据字典服务 提供公共的基础数据字典，方便第三方应用系统使用 为每个注册的应用系统提供独立的数据字典，提供

8、数据字典的个性化服务3.2 统一身份认证及单点登录服务系统系统实现统一的登陆认证。各第三方应用整合该系统后，用户只需登陆一次，即可使用各第三方应用，不需多次登陆验证。3.2.1 产品架构系统包括两个部分：v SSO Client 与第三方Web业务系统集成，负责与单点登陆服务器的认证沟通。v SSO Server 独立的Web站点，负责身份验证。3.2.2 功能概述 实现单点登录第三方业务系统整合单点登陆后，无论用户从哪个系统地址进入，均会导航到统一的登陆页面，实现统一的登陆。 实现统一的身份认证登陆验证时，账号/密码 均到该系统指定的用户信息数据源进行验证，实现统一身份验证。帐号验证数据源可

9、以是统一用户及授权服务系统、AD、CA，也可以是第三方的用户帐号信息库。3.3 与微软产品关系如下表： 产品名称必须依赖可选依赖统一用户及授权服务系统Windows Server；Sql Server；IIS服务AD、Exchange、OCS统一身份认证及单点登录服务系统Windows Server；IISAD用图形的方式表示如下：两系统均基于.net平台开发，依赖Windows Server操作系统及IIS服务；统一用户及授权系统基于微软Sql server数据库，依赖sql server服务。对于统一用户及授权系统来说，可选依赖主要体现在同步服务部分，系统可通过同步服务实现v 开启AD帐号

10、v 开设Exchange邮箱账号v 开启OCS账号而对于单点登陆而言，AD可以是其帐号密码验证方式的一种（需要说明的是：统一用户及授权系统所维护的帐号密码也是验证的可选数据源之一）。所以，AD仅是单点登陆的可选依赖。第4章 应用场景如上图，描述了两种典型应用场景：v 新员工入职后，人事部门通知IT管理员到统一用户及授权管理系统中新开设帐号，开设的帐号实时同步到AD、Exchange、OCS等第三方系统；v 普通用户登录信息门户时，被单点登陆客户端拦截，其登陆账号及密码到统一用户及授权系统中验证通过后进入信息门户，用户再选择进入会议系统，选取与会人员后发送会议通知；第5章 部署规划我们按用户数的

11、多少分以下四个级别来讨论部署规划。5.1 少于500用户无AD、Exchange的情况 如果不需要邮件系统，则可不部署Exchange服务器。 需要至少3台服务器。 服务器推荐安装Window server 20032008操作系统，数据库使用Microsoft Sql Server 20052008。 服务器推荐 内存 2G ；CPU P4 3.0G。有Exchange的情况如上图，这是一种最基本的部署方式，几个相关的服务分别用一台服务器部署。 需要至少5台服务器。 服务器推荐安装Window server 20032008操作系统，数据库使用Microsoft Sql Server 200

12、52008 ，邮件服务使用 Microsoft Exchange 2007。 服务器推荐 内存 2G ；CPU P4 3.0G。5.2 5005000用户使用人数超过500以后，并发访问量就变得比较大了（按15%比例算就有至少75个并发访问），所以对统一用户及授权系统的服务要求较高，但因为人数还没有超过5000，对数据库服务要求还不是很高，所以仅对统一用户及授权服务、单点登陆系统做负载均衡部署。 需要至少7台服务器。 服务器推荐安装Window server 20032008操作系统，数据库使用Microsoft Sql Server 20052008 ，邮件服务使用 Microsoft Ex

13、change 2007。 服务器推荐 内存 2G ；CPU P4 3.0G。 负载均衡可采用微软提供的NLB(软件方式) 或则F5（硬件方式）。5.3 5000-10000用户用户数超过5000以后，对系统web服务及数据库服务的要求都比较高,所以对统一用户及授权管理系统、单点登陆系统做负载均衡部署，数据库做高性能集群部署。 需要至少8台服务器。 服务器推荐安装Window server 20032008操作系统，数据库使用Microsoft Sql Server 20052008 ，邮件服务使用 Microsoft Exchange 2007。 服务器推荐 内存 2G ；CPU P4 3.0

14、G。 负载均衡可采用微软提供的NLB(软件方式) 或则F5（硬件方式）。5.4 10000以上用户用户数超过10000，则需要根据情况增加负载均衡部署的服务器数量，或者采用其他如 集团/分公司 方式部署，可另外规划。第6章 客户收益6.1 给企业主带来的好处v 降低 TCO(总体拥有成本，Total Cost of Ownership)A、开放和易于集成的产品架构i. 减少开发和集成的成本ii. 保护原有投资B、部署的简易性和易用性i. 更低的部署成本ii. 更低的培训成本iii. 加速 ROI(投资回报率，Return Of Investment)C、减少法规遵从给企业带来的各种开销D、降低

15、劳动力成本E、减少因安全事故造成的损失6.2 给管理部门带来的好处v 提升整体安全性A、 自动化身份配给i. 可确保用户数字身份的禁用/删除在最短时间内生效，安全更有保障ii. 有效避免了在众多应用系统中的开通和收回身份时可能发生的遗漏和不一致性，确保安全B、 基于角色、基于策略的访问控制i. 有效保护企业应用资源C、 集中的可视化管理和控制i. 更好地监测和响应身份管理事件D、系统范围的身份审计和报告i. 帮助企业制定策略v 规范化管理A、 跨应用、职能部门和地理界限的统一管理i. 分工明确ii. 策略统一B、 身份属性及密码的自动同步i. 确保数据一致性和有效性C、 降低劳动强度，提升管理效率i. 简化操作，显著降低工作量，提升工作效率ii 集中的可视化管理和控制iii 缓解工作负荷重和人手紧张的矛盾D、 委托管理能力i. 建立合理的分级分权管理体系E、 一致的界面风格，操作简易6.3 为最终用户带来的好处v 统一身份管理方案可以帮助改善最终用户的体验，提升用户满意度A、 单点登录i、 改善应用的易用性，提高日常工作效率B、 自动化身份配给i、 新用户报到后，缩短其获得企业数字身份的等待期ii、 现有用户职务发生变更时，缩短其数字身份切换的等待期C、 自助式账户管理服务i、 人性化服务ii、 方便快捷