时代亿信统一权限管理解决方案

1、统一权限管理解决方案0 wftlzfleetrust ye6noiaa/cartpany5m北京时代亿信科技有限公司2011年10月1需求概述在企业实施信息化建设的过程中，由于业务定位、用户范围的不同，存在着 各类应用系统。随着系统的逐步增多，出于用户信息和权限分别在每个系统各种 独自维护，往往出现了如下问题：1、用户信息缺乏统一用户在所有应用系统中都存在用户和组织机构信息，而由于对用户信息的管 理没冇统一的规划设计，造成一个用户在多个应用系统屮冇不同的用户信息，信 息重复且不准确，造成数据冗余且不统一。2、用户权限管理困难在众多的应用系统中，哪些用户能够进入哪些应用系统需要管理员在每个应 用

2、系统屮进行配置，既不方使、也容易出错。另外，在应用系统内部，每一个人 的业务操作权限都是由相应系统管理员进行分配，每个人的职务、岗位分散在各 个系统屮，且叫法不一。这就造成了这些岗位、角色、部门信息的混乱、不一致, 并且进行修改维护也需要在每一个系统中进行更改。造成管理员工作繁重，也带 來了安全隐患。上述问题的存在，制约了企业信息化建设的进一步发展，从系统整体规划， 统一管理的角度出发，需要对企业系统的用户信息及权限进行统一管理。通过对 企业内部数据和权限的梳理，实施统一用户及权限管理系统，建立标准化管理规 范。2解决方案针对企业用户普遍存在的统一用户及权限管理需求，时代亿信推出了基于 uap

3、统一用户管理产品的整休解决方案。统-权限管理的实施-般需要在统-用户管理实施的基础上进行，只有保证 了各个应用系统账号的统一和管理，才能对用户的权限进行集中和统一管理。下 面对uap统一用户管理进行简单介绍，然后进一步围绕统一权限管理范畴进行 说明。2.1统一用户管理uap统一用户管理系统能够建立企业内部统一的用户及组织机构信息來源, 并建立向各业务系统同步机制，保持企业内部数据的统一。统-用户管理的实施 一般涵盖如下内容：（-）企业组织机构管理对企业组织机构的创建、维护、删除操作，形成企业组织机构目录树。（二）用户生命周期管理对用户的入职、兼职、离职、调动、借调等管理并形成相应的审批流程。（

4、三）用户信息管理对用户的新増、修改、删除、停用/启用操作，对用户组、用户属性的管理。 提供用户检索、用户信息查询获取的公共服务和统一接口。（四）用户凭证管理对用户口令认证方式的口令管理，对数字证书认证方式的用户数字证书中请 和管理。（五）用户权限管理用户对应用系统访问权限的授权管理。（六）用户信息同步服务统一用户管理系统与本地各应用系统间的用户同步服务。2.2统一权限管理统一权限管理属于uap统一用户管理平台的一部分，主要包括对于应用系统的管理、角色管理及权限管理。221应用管理用户管理员完成对应用系统的添加、修改、删除、停用/启用操作。2.2.2角色管理用户管理员完成对角色的添加、修改、删除

5、操作。角色支持以下儿种方式进 行归类：(1) 按所属部门定义角色，女m综合部、财务部等；(2) 按用户的职务级别定义角色，女口： 一级经理、二级经理、三级经理等;(3) 按用户的职位定义角色，如：综合秘书岗、财务岗等；(4) 按群组定义角色，女ii： xxx项目组。2.2.3权限管理用户管理员在其管理范围内对用户组与应用系统的关联关系，角色与应用系 统的关联关系进行创建和维护，以此来完成用户对应用系统访问的授权。223.1实体级授权实体级授权主要指主账号代表的口然人可以访问哪些资源(包括系统和应 用)的授权。应用的实体级授权主要通过统一用户管理系统和统一认证、授权系 统的整合完成：/根据用户的

6、权限策略制定相应的acl和pop；/将制定的acl和pop通过附属到组屮形成一定颗粒度的授权单元；/统一用户管理系统和统一认证、授权系统整合后，由统一用户管理系统 回收了统一认证、授权系统中的组；/当一个用户进行实体级授权时，可以通过在统一用户管理系统中分配权 限组的方式对用户进行授权。统-用户管理系统：统一认证授权糸统2232实体内授权实体内授权主要指包括基丁角色的授权和细粒度权限授权，对于应用系统的 实体内授权主要通过整合应用中的角色模块实现：/与应用的整合需要开发统一用户管理系统agent实现；/统一用户管理系统agent会冋收帐户的角色以及系统所有的角色；/当对用户进行授权管理时，通过

7、对用户的角色属性进行。权限功能3 uap产品介绍3.1产品概述时代亿信uap统一用户管理平台提供企业组织机构和用户信息统一管理， 整合分散在各个应用系统的用户基本信息及账号信息，实现跨应用、跨部门的用 户生命周期全过程管理的产品。企业可在一点操作，实现对齐应用系统用户信息 的注册、变更和注销等同步管理，可提供对用户身份生命周期管理的基础架构, 具有较强的扩展性和开放性，支持与企业现有it基础设施无缝结合，支持多种 类型的连接和互操作标准。其核心管理功能支持灵活的配置，可满足不同企业的 需求，通过与现有应用的服务扩展结合起来，实现资源整合，对今后企业的应用 系统扩展打下坚实基础。3/i/i产品功

8、能用.统一川八管理变更管理员n 理步 服 务资 源 n 理丿i八川.八 忆界 血组：用户 织 qi耸 服理 务应 权用 限i 骨 管理 理糸统n理wcbscrviccadapter/ 同步工具sap系统用户库diiopjava 接 u企业门户生命周期管理用户库企业目求服务吋代亿信uap统一用户管理平台主要功能包括:1）统一用户管理：提供组织机构和用户的统一管理，整合分散的用户基本 信息及帐号信息，实现一处操作，完成各应用系统用户的注册、变更和 注销等同步管理。支持用户分级管理，只需木地管理员进行维护。支持 用户属性扩展，可满足企业应用对用户属性的特定需求。2）统一权限管理：整合企业内部资源，实

9、现统一权限划分，支持角色的定 义和管理，支持部门角色，并对部门所厲用户进行统一授权，支持用户 基于角色的访问控制。3）用户自服务：提供用户自服务管理界面，方便用户自行完成应用系统相 关关联映射、身份认证凭证（密码、用户证书）管理等操作，减少管理 员负担。4）用户信息批量导入：支持文件（.txt、.xls、.cvs等格式）批量方式导入/ 导出用户，支持第三方ca导入用户及证书,支持从windows ad.ldap 导入用户，支持证书链文件导入证书用户，支持csp密钥导入用户证 书。5）应用系统同步订阅：应用系统通过同步订阅，可定制本系统所需的用户 信息和组织机构信息，避免了对不需要数据的同步，提

10、高了数据同步效 率，也避免了将重要信息同步给不必要的应用系统。6）eda数据整理工具：提供数据源数据整理功能，可以通过灵活的配置， 实现数据的规则校验、逻辑校验、数值转换、数据填充等规范化数据的 功能。整理工具可进行来源、目标对彖的灵活配置，支持多数据源映射 到同一目标对象，并可针对每个数据源的每个屈性设定优先级，解决多 数据源的数据冲突问题。4成功案例中央国债uap统一用户及权限管理系统中央国债经过严格的产品筛选和系统招标，选择了时代亿信的uap统一用 户管理平台产品。系统部署示意图如下所示：uap统一用户管理平台实现了簿记、资金、发行、支付等子系统的统一用户 及统一权限管理。平台由管理服务和完成不同功能的各服务器构成，平台数据库 部署在as/400主机上。系统架构图如下所示:实施后效果如下:1. 业务子系统统一登录认证：应用系统接入到uap统一用户管理平台，各 应用系统不再单独登录，登录uap单点登录门户后点击链接即可登录；2. 实现统一用户管理：在uap管理页而对用户进行增加、删除、修改的操 作页面；3. 实现了子系统权限统一