近期�����,拜訪不少對“數(shù)字化工廠”有興趣的客戶��,在走訪中發(fā)現(xiàn)很多企業(yè)信息系統(tǒng)的不斷增加,企業(yè)在相關(guān)信息系統(tǒng)的安全管理與使用方面也讓許多高層管理者與信息部負(fù)責(zé)感到迷惑,比如:- 系統(tǒng)用戶管理分散����,給IT帶來管理工作帶來巨大的負(fù)擔(dān)���,形成諸多不便�����;
- 分散管理導(dǎo)致安全策略在實施中容易出偏差,產(chǎn)生安全隱患;
- 賬戶太多�����,多次登錄����,用戶體驗差����,系統(tǒng)安全難保障;
- 用戶行為難審計����,責(zé)任難追蹤�����;
- 各應(yīng)用用戶信息資源不能獲得充分利用��,未充分發(fā)揮其效能�����。
針對如何解決以上問題�?近幾天結(jié)合以前的一點經(jīng)驗查詢相關(guān)資料,提出了以下幾點�,希望能給各位信息化管理朋友有所幫助��。 企業(yè)需要建立用戶統(tǒng)一認(rèn)證系統(tǒng),提供統(tǒng)一賬戶管理�����、統(tǒng)一授權(quán)管理、統(tǒng)一認(rèn)證服務(wù)和統(tǒng)一日志審計管理等功能�����?�?傮w架構(gòu)如圖所示。
1����、統(tǒng)一身份認(rèn)證服務(wù)系統(tǒng):為應(yīng)用系統(tǒng)提供統(tǒng)一的用戶在線身份認(rèn)證功能��,包括統(tǒng)一登錄入口����、在線身份認(rèn)證��、在線安全令牌簽發(fā)�����、用戶登錄狀態(tài)維護(hù)����、單點登錄/單點登出處理等��。2�����、統(tǒng)一身份與授權(quán)管理系統(tǒng):為安全管理提供統(tǒng)一賬戶管理、統(tǒng)一授權(quán)管理����、統(tǒng)一證書管理及統(tǒng)一配置管理的人機(jī)界面��。3�、用戶統(tǒng)一身份管理系統(tǒng):集中保存用戶身份相關(guān)信息及應(yīng)用訪問授權(quán)信息,如用戶賬戶���、用戶組、角色����、應(yīng)用訪問控制策略等信息��;所使用的數(shù)據(jù)庫包括LDAP(輕型目錄訪問協(xié)議)和關(guān)系數(shù)據(jù)庫。4、日志審計系統(tǒng):對管理員登錄統(tǒng)一信任管理平臺的操作日志和用戶登錄應(yīng)用系統(tǒng)的操作日志進(jìn)行集中保存和管理���,功能包括日志保存����、查看�、制表導(dǎo)出(RTF、PDF)、歸檔(日志數(shù)據(jù)導(dǎo)出)等。5�����、服務(wù)引擎:針對系統(tǒng)共性服務(wù)功能�����,全部通過采用單獨服務(wù)引擎的方式來實現(xiàn)��,并提供完善的調(diào)用接口,方便當(dāng)前系統(tǒng)或者第三方系統(tǒng)進(jìn)行調(diào)用,其中數(shù)據(jù)流引擎和數(shù)據(jù)交換引擎主要目的是為了實現(xiàn)異構(gòu)數(shù)據(jù)庫應(yīng)用之間的數(shù)據(jù)同步和訂閱功能,方便于對多應(yīng)用的數(shù)據(jù)管理,消息引擎主要功能為針對系統(tǒng)待發(fā)送的消息、通知等內(nèi)容可以通過第三方消息服務(wù)來完成,如短信、郵件等,審計服務(wù)引擎主要為了實現(xiàn)對第三方系統(tǒng)提供標(biāo)準(zhǔn)日志服務(wù)�����。
統(tǒng)一身份管理系統(tǒng)提供了四種與應(yīng)用集成的方式:1��、插入登錄頁面方式:通過在應(yīng)用系統(tǒng)中插入新的登錄頁面實現(xiàn)集成���,插入的頁面對用戶完全透明���,對應(yīng)用系統(tǒng)的性能和處理邏輯不造成任何影響的改變����;對應(yīng)的集成組件是標(biāo)準(zhǔn)化的登錄頁面����。2、修改登錄頁面方式:對應(yīng)用原有登錄頁面進(jìn)行修改�����,調(diào)用統(tǒng)一身份管理系統(tǒng)提供的API���;支持目前常用的Web編程語言���,如java/.net/php�;對應(yīng)的集成組件是單點登錄API���。3��、HTTP插件和擴(kuò)展模塊方式:利用Web平臺提供的擴(kuò)展機(jī)制,在不對應(yīng)用系統(tǒng)本身做任何修改的情況下,插入(如Filter)或加入實現(xiàn)單點登錄功能的模塊(如JAASLoginModule);這種方式只需要修改Web系統(tǒng)的配置信息���,插入或加入額外的單點登錄模塊,對用戶和應(yīng)用系統(tǒng)都是透明的;對應(yīng)的集成組件是HTTP插件或登錄擴(kuò)展模塊�。4�、安全網(wǎng)關(guān)接入模式:采用安全認(rèn)證網(wǎng)關(guān)實現(xiàn)應(yīng)用的接入,這種接入方式對信息系統(tǒng)不需要做任何的修改,一個安全網(wǎng)關(guān)可以接入多個應(yīng)用系統(tǒng)����,一個應(yīng)用系統(tǒng)也可以對應(yīng)多個安全認(rèn)證網(wǎng)關(guān)實現(xiàn)負(fù)載均衡;主要針對采用Form身份認(rèn)證方式且無法修改�����、插入或加入擴(kuò)展模塊的Web應(yīng)用系統(tǒng)�����;對應(yīng)的集成組件是安全網(wǎng)關(guān)��、如圖所示。
實現(xiàn)功能
應(yīng)用通過以上方式完成同一身份管理系統(tǒng)的集成��,即可實現(xiàn)統(tǒng)一認(rèn)證��,企業(yè)門戶調(diào)用相應(yīng)的接口即可實現(xiàn)單點登錄登出功能����。 通過統(tǒng)一身份管理系統(tǒng)��,可以達(dá)到以下的效果:1�����、統(tǒng)一賬戶管理:通過統(tǒng)一的管理入口,在企業(yè)范圍內(nèi)對員工在信息系統(tǒng)中的身份或賬戶進(jìn)行集中�����、統(tǒng)一的管理�����。2、統(tǒng)一權(quán)限或授權(quán)管理:通過統(tǒng)一的管理入口�,在企業(yè)范圍內(nèi)對員工在信息系統(tǒng)中的訪問權(quán)限訪問控制策略進(jìn)行集成����、統(tǒng)一的管理以及基于角色的訪問授權(quán)與控制���。3�����、統(tǒng)一身份認(rèn)證入口與單點登錄:通過采用提供統(tǒng)一身份認(rèn)證(登錄)入口�,實現(xiàn)企業(yè)范圍內(nèi)信息系統(tǒng)訪問的統(tǒng)一身份認(rèn)證和單點登錄��,在保證安全的同時�����,為用戶訪問企業(yè)信息系統(tǒng)提供便捷,改善用戶體驗。4����、統(tǒng)一的系統(tǒng)安全配置管理:通過集中的管理界面和平臺���,對企業(yè)信息系統(tǒng)的與身份認(rèn)證有關(guān)的安全配置進(jìn)行統(tǒng)一管理�����。5���、統(tǒng)一安全審計:能對用戶訪問企業(yè)信息系統(tǒng)的情況以及系統(tǒng)管理人員進(jìn)行管理的操作行為進(jìn)行統(tǒng)一記錄���,并以日志記錄的形式集中保存在專門的審計數(shù)據(jù)庫中,在出現(xiàn)問題時,能夠通過操作日志�����,及時確定產(chǎn)生問題的原因�����,并確定相關(guān)的責(zé)任人�����。 總結(jié):“數(shù)字化工廠”沒有完美的實施方案,只會不斷行走在向完美追求的路上。
該文章在 2023/5/25 10:06:49 編輯過
400 186 1886
