上广科技统一身份认证管理系统.doc

在企业的信息化建设过程中，不同的阶段建设了许多信息化系统，例如企：呼叫中心系统、即时通讯系统、邮件系统、门户平台系统、财务系统、办公自动化系统、业务支撑系统等等。由于这些系统彼此独立，每个系统都有各自的用户帐号和密码，而且由于系统建设有先有后，目前用户在各个系统中的帐号和密码存在不一致的情况。对于用户来说，用户需要维护各个系统的帐号和密码，容易造成忘记帐号和密码的情况；对于管理员来说，管理员同时要维护多个系统的帐号和密码，增加管理员工作任务；对于公司来说，由于用户管理不统一，不能迅速的为各种用户提供服务，从而影响了企业和各种用户的关系。 因此，建立统一的用户身份管理系统就是通过建立标准的企业用户目录，并建立企业用户目录信息与各相关应用系统的帐户信息的映射，对用户和用户帐户信息进行统一的管理.通过企业目录服务存储的用户ID、口令以及登陆信息来认证用户身份，实现内部信息化系统的一次登陆。从而实现用户的统一管理和系统访问权限的集中控制，增强了企业信息化的安全性，减轻了系统管理员的维护工作的负担。整合系统用户数据，实现统一管理为企业的信息化搭建了一个稳健的基础平台。实现各信息化系统的单点登陆，消除了企业的信息孤岛，使企业的信息化水平更上一个台阶。 上广科技在统一用户身份认证和系统集成门户平台方面有着丰富的项目实施和开发经验，掌握成熟的解决方案，并拥有大量成功的案例，包括湖北电信、湖北移动，青海移动，安徽移动，东风集团，武汉钢铁集团等。 上广科技的统一用户身份认证管理解决方案采用IBM提供的TIM和TAM产品，根据客户和系统的需求，定制开发和实施，提供综合的解决方案。 在金山软件股份有限公司客户服务中心项目中，我们不能将客户服务中心系统作为一个独立的系统来建设。我们的目标是要将客户服务中心作为企业综合的信息化系统的一部分，而且是非常重要的一部分来建设，整合客户服务中心系统和其他业务系统，防止出现信息孤岛。 利用成熟的统一用户身份认证管理系统来整合客户服务中心系统的用户，建立一套标准的企业用户目录数据，实现对呼叫中心、企业的即时通讯软件(sametime or rtx)、企业的邮件系统、企业的门户系统以及企业办公自动化系统和其他业务支撑系统的用户的整合，为下一步客户服务中心系统与企业门户，企业办公自动化系统等其他系统实现应用的整合，从而为未来的融合通信的建设打下一个良好的基础。 统一用户身份认证系统技术架构构图 企业级目录的建立 对于企业来说，传统的目录解决方案已经无法满足用户、单位和资源数量高速增长的需要。公司为各个级别的单位都部署了部门级的应用，每个这样的应用都拥有自己的目录，通常每个目录还拥有100个甚至更多的个体目录。这些错综复杂的目录通常会含有部分冗余的，或者不一致的身份信息，同时也不能提供公司所需要的企业级的扩展能力和数据完整性，无法满足执行安全机制以及Web服务等解决方案的需要。为了增强竞争力、提高工作效率，公司需要为这些信息指定一个权威的来源，对这些目录进行同步，以及执行目录整合，从而能够在多个身份库之间维持数据的一致性。 要实现对各系统登录用户的统一管理，首先需建立一套完善的目录服务：人员信息的集成、策略管理的集成、访问人口的集成 统一用户管理 当一个企业需要扩展到电子商务或者需要对动态改变的业务环节及时做出反应，就必须改变企业原先建立的处于用户和企业资源之间的关系-管理谁可以获得访问控制及其可以访问的对象。更多的人需要能够访问企业的关键商业资源，人员数量的变动以及快速的人员变化使得主动性的访问变得更为复杂。为了补偿这些业务上的限制，企业必须增加灵活性，减少管理用户信息的费用。 针对金山软件股份有限公司客户服务中心、邮件系统、即时通讯以及其他业务系统进行统一用户管理的需求，我们使用 Tivoli Identity Manager（简称：TIM）来进行统一的用户管理。 TIM提供了一个安全、自动和基于策略的用户管理解决方案，以在传统或基于电子商务的企业中解决这些关键的商业问题。TIM包括了必要的工具来在线更有效地获得用户。TIM提供了： 一个Web管理界面。 一个成熟的基于角色的管理模式来下放管理特权。 Web自我服务和询问/回答界面。 一个内嵌的工作流引擎以用于自动的提出和批准用户的请求。 一个内嵌的主动服务引擎用于管理要求的自动实现。 一个应用管理开发包用于将管理模式扩展到新的和客户化环境中 实现集中控制 在企业系统里，必须确保只有合适的人员才有权访问合适的系统、应用和数据，这主要是因为从多个界面来进行管理是相当复杂的一个问题。TIM通过集中化的用户定义、企业级用户服务的主动化、指导这些管理流程的公司策略来满足这个挑战。这可以减少通过多个管理窗口和界面来进行管理而造成的不一致性和人为错误。TIM简单的基于任务的管理界面可以从一个控制点来设置用户访问权限。这些身份管理服务可以帮助在整个环境中获得控制能力，而不需要将关键的应用、系统和流程延伸到外部网上。 下放管理任务 当整个企业的责任和用户数量发生改变和增长时，就往往需要在组织和地域的边界进行分布式的管理，以维护整个访问控制。TIM则通过自我服务的、基于角色、可下放的管理来解决这一问题，从而实现用户增加、删除、修改、查询，以及重置用户密码。登录到一个基于任务的界面，被下放权限的管理员仅仅可以查看到他们被赋予的能力。 自动化管理流程 为了保持竞争力，企业必须将其管理流程线性化，以减少总的费用。这意味着IT部门必须关注服务提供，并且在企业内建立SLA(服务水平管理)。TIM允许通过提供自动化的工具和下放大量的管理任务来实现这些SLA。通过TIM Web自我服务接口和内嵌的工作流引擎，用户可以在不需要HelpDesk和其他IT员工的干涉下更为安全和容易地管理他们自己记录的一部分。 使用TIM自我服务接口，用户可以执行口令重置和口令同步的工作，就如同从一个Web Browser来修改一组管理员可配置的个人属性。这些可以自我服务的属性被定义在一个XML格式的文件中，从而使得管理员可以定义哪些属性可以被允许自我服务，哪些属性需要通过工作流来进行批准。一个询问/回应系统来处理各种情况，如用户忘记他自己的密码、并且属性改变可以通过将其送到一个批准的流程中。 工作流引擎自动化了用户管理请求的提出和批准，从而可以减少手工处理的潜在错误和不一致的可能性。管理员可以通过浏览器来批准、修改和拒绝电子化的申请，并且当请求被批准后可以被自动通知。工作流协调多个批准层面，并且通过基于XML的脚本文件被设置成符合客户的需求。如果必须，新的业务处理对象(BPOs)能够被加入以处理另外的商业流程。另外，一个登记CLI提供了工作流和人力资源系统、企业资源计划系统，或者用于收集和处理来自于企业内多个方面的接触点的工作流产品集成的接口。 提供工作流的Web自我服务基于Web的口令重置 扩展数据 和Tivoli其它产品的集成 访问安全控制和单点登录 集中的安全策略管理 集中的WEB资源管理 通过IBM Tivoli Access Manager for e-Business可以管理在企业Web环境中存在的各种各样的Web资源，例如： Web服务器上的静态页面（HTML） Web服务器上的动态页面（CGI、JSP、ASP等），如下图所示： 灵活多样的用户身份认证方式 WebSEAL提供了一个灵活的身份认证服务，并能够通过IBM Tivoli Access Manager交叉域身份认证服务（CDAS）与各种身份认证机制集成在一起。 1、 基于表格的登录 2、 HTTP 基本认证 3、 数字证书 (X.509v3) - IBM Tivoli Access Manager可与大量流行的公钥基础架构（PKI）解决方案集成，其中包括Tivoli SecureWay Public Key Infrastructure和Entrust PKI。IBM Tivoli Access Manager支持证书签名和撤销检查。它还能够支持将公钥证书映射为访问许可。 4、 RSA SecurID Token 5、 WAP身份认证机置 6、 资