IAM系统平台简要介绍.ppt

IAM系统平台简要介绍,2015.3,IAM平台介绍,需求分析 架构介绍 实施过程 ,身份管理和访问控制面临的挑战,用户账号不统一，没有实现账号之间的信息同步；,一个账号多人使用；,在员工离职、换岗过程中无法对账号变更进行及时有效的管理。,用户身份认证相对独立，没有统一规划；,各个信息系统访问控制独立，没有建立统一的单点登录体系；,大多数系统采用账号与口令认证方式，安全强度低；,所有授权管理和访问控制缺少完整性、真实性、抗抵赖性等安全信任保障。,用户管理分散，管理的流程各自独立，缺少一套用户身份管理系统；,账号和员工没有对应关系，账号以通用的名称作为用户名,身份管理和访问控制面临的挑战,1，用户提出帐号申请,2，不同的申请 处理流程,3，策略、角色安全合规检查,4，审核批准,5，服务请求 流转,6，系统管理员 手工创建帐号,7，用户开始使用帐号,身份管理和访问控制需求,身份管理需求 提供用户身份信息的集中管理和用户账号信息的统一与同步功能； 提供全生命周期的用户信息管理，包括注册、审批、修改、禁用、删除等流程化的操作； 提供支持全局唯一的用户身份标识功能； 提供支持多重身份的对应关系及属性连接功能； 提供支持多种业务平台的账号管理连接功能； 提供唯一用户身份管理端口功能，实现自动化用户信息更新； 提供系统用户自助服务,访问控制需求 与各信息系统集成，为信息系统提供统一身份认证及授权功能； 提供多种认证方式的连接和集成； 提供单点登录SSO功能 提供基于策略的访问控制 支持大规模用户信息存储及访问 支持分级授权,系统框架设计,根据以往实施经验得到的建设需求与功能需求，结合对身份管理与认证权限管理框架，企业用户身份和认证访问管理系统框架如右图所示：,Portal,Mail,OA,主机,网络,数据库,系统逻辑框架,用户身份全生命周期管理,集中的、主动的、基于策略的账号管理,用户身份管理逻辑流程,用户目录,用户身份管理系统,系统管理员,业务系统 /设备管理员,审批流程,账号同步适配器,用户身份管理,用户同步工具,原始用户信息 （HR、OA等）,业务系统,审计系统,访问控制逻辑架构,用户目录,访问授权策略库,Web 浏览器,统一访问认证 服务器,系统资源访问管理服务器,AIX,Linux,企业级服务总线系统,票据管理系统,农村服务金融系统,票交系统,中间业务平台,强认证服务器,审计系统,业务系统资源,用户身份管理,用户授权逻辑架构,访问授权策略库,账号信息回收,账号和角色信息同步,业务/主机/系统管理员,业务人员,用户目录,统一访问认证,主帐号授权,从帐号授权,账号同步工具,实体内鉴权,审计系统,集中的审计中心,哪些人访问了系统？ 具体时间段访问量的大小? 今天上午有多少人访问邮箱？ 上个月有多少人进行了账号申请？具体权限？ 管理员上周的账号操作都有哪些？ 谁审批了我的流程？ 有哪些不合规的操作？ 系统中有哪些警告？,系统架构设计-身份管理和访问控制信息流,根据现状与需求分析得到的建设需求与功能需求，结合对身份管理与认证权限管理技术的选择，我们可以进一步细化和充实系统框架，从而设计出身份管理与认证平台的功能架构。,项目实施思路,测试环境部署与实施 帐号梳理和建立企业目录 测试环境准备与搭建 身份管理和访问控制组件开发和测试 应用集成测试和联调 生产环境部署与实施 生产系统部署 数据初始化 身份管理和访问控制组件开发和测试 应用集成测试和联调 系统培训 运行和维护 生产环境试运行 系统正式运行,系统总体架构设计 总体逻辑架构设计 总体部署架构选择 系统高可用性设计 帐号生命周期管理设计 帐号管理策略设计 密码管理策略设计 LDAP架构规划 帐号命名规则设计 数据初始化策略设计 认证和授权设计 认证和授权策略设计 应用集成方案设计 帐号同步方案设计 单点登录方案设计,帐号管理调研和分析 调研人员、组织机构应用系统、主机系统帐号信息 确定组织权威用户数据源 分析应用、主机帐号数据和权威数据的差异 功能性需求定义 帐号管理 访问控制 授权管理 审计管理 非功能性需求定义 系统高可用性需求 可扩展性需求 可维护性需求 可操作性需求,需求定义,系统设计,系统部署,TIM (Tivoli Implementation Methodology)实施方法论支撑,项目管理（项目管理方法论支撑）,项目实施规划(案例，仅供参考),M12,M9,M8,M7,M6,M5,M4,M3,M2,M1,需求分析 与设计,用户管理和访问控制集成测试与二次开发,系统集成 联调测试,系统投产部署,试运行,项目管理,需求调研与分析,系统架构设计,测试环境搭建,用户身份管理集成&开发