随着信息技术的发展和信息化建设的进步,业务应用、办公系统、商务平台不断推出和投入运行,其中大型企业尤其是集团型企业在支撑起信息化建设过程中需使用数量众多的网络设备、服务器主机来保证基础网络服务、运行关键业务。由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生。由于平台中异构的技术和设计架构,导致系统之间都是独立分散的,随着用户名/密码增多,企业缺乏统一的账号安全管理策略,而且异构系统无统一的身份认证和授权机制,实现方式各不相同,系统缺乏统一授权及访问审计机制,相关操作无法快速定位追溯。因此对于目前大多数企业统一用户、统一认证、统一授权、统一审计等需求亟待解决。
平台介绍
基于大环境下企业信息化现状的管理述求,企业急需一款平台满足内部的管控述求,解决账号管理复杂程度高、无统一认证/单点登录、无可统一调用身份数据、无统一授权审计、不便自助统一维护账号信息等问题,降低企业的IT维护成本。
1 管理理念
结合平台能力实现集团全系统的用户身份信息管理,提供多种认证手段,加强员工身份和权限管理,建立面向集团全体用户的访问控制中心。同时在落地的过程中结合平台建立数据同步、分发对接规范、统一账号管理流程、统一认证体系规范,一方面便于客户信息的统一、规范的管理,另一方面减少员工重复工作量的同时在数据、操作、业务多个层面审计管理,保证数据分发前有审批管理,分发过程中有监管及管控,分发数据后可追溯回查。
2 管控模型
- 基础管理
平台包含账户管理及审计管理,同时为用户提供基础管理。实现统一基础信息管理,包含组织、角色、人员等;落地统一权限管控,实现业务系统权限的一站式发放及收回;过程中为企业落地统一认证标准,避免用户在处理业务过程中需要频繁的登录、退出;平台落地多维度的审计管理,包含操作审计、认证审计、流程审计等。
- 数据对接
平台内置丰富的对接接口,包含数据初始化,日常维护的增、改、删、查及日志管控,同时平台预置对接认证过程中的统一认证协议接口,包含内置标准AD域、OAuth、CAS等,满足面向不同协议、架构的系统进行统一认证的管控及管理;权限注册后可通过平台预置的权限管控接口进行系统权限的统一托管,满足一次注册全局管控。
应用场景
目前企业正处在信息化快速发展时期,在主营业务领域已经具备多个支撑业务开展与基础运营的业务系统,数个在建与待建系统,但从战略-管控-经营-技术的闭环管理角度来看,仍需继续构建IDM统一身份管理平台,实现业务统一管理、统一管控全面支撑,达到完整、统一、标准,满足未来不断增长和动态变化的企业信息化需求。在不同阶段及管理侧重维度IDM主要应用划分为以下四种场景。
1 4A管控
4A管控主要是统一用户(Account)、统一认证(Authentication)、统一授权(Authorization)、统一审计(Audit),助力用户全方位管理。
- 统一用户
统一认证的前提,为用户提供统一集中的帐号(组织/岗位/人员)管理及分发,实现员工入职、离职的一键式同步及分发,一方面解决员工账号在多个系统需要重复录入问题而造成的冗余工作,提升员工的工作效率;另一方面避免因系统各异,账号系统账户管理各自为站,无法从集团层面进行统一管控。
- 统一认证
为用户提供统一的身份认证,各系统采用的统一认证体系,实现用户一次性登录,只需要输入一次用户名及密码即可实现全部业务系统登录,避免由于员工在业务处理过程中因为工作需要频繁的在不同系统中进行登录及退出。包含标准CAS、OAuth、模拟表单、AD域、LDAP等多种认证模式。支持多个安全级别的身份认证方式,参与的各个应用系统和受保护资源可以根据自身的安全需要设置安全等级;支持多种认证方式的组合认证;支持密码策略的统一化管理。
- 统一授权
统一授权实现对数据的操作管理、任务审批、数据分发进行管理,包括对组织、用户、角色需要同步的任务操作、流程审批后通过企业服务总线实现的业务系统中的同步分发、对操作进行监控统计等功能,保证了业务资源和数据资源访问权限可以进行集中管控,通过对角色、组织、用户关联关系的建立以及授权的分配,形成了完整的授权体系表。
同时通过对应用配置,实现单点登录、登出,并且登录认证采用的是SSO等主要单点登录模式,在架构上是支持SSO的扩展的,同时满足对用户的资源访问权限进行集中控制。各个系统的入口和功能菜单与用户、角色关联分配权限,完成授权,形成权限控制表。
- 统一审计
审计管理主要实现基于企业系统管理员,安全保密员和安全审计员的三权分立管理。系统管理员负责系统管理如群组、用户、角色权限等;安全保密员负责群组、用户、角色权限变更的审批、安全策略设计;安全审计员负责日志管理等。提供平台核心服务的监控功能。
提供系统在线监控,对系统的运行信息进行监控管理,并支持系统运行状况、操作情况进行统计、分析和告警,提供各类日志管理,包括认证日志、IDM系统访问日志、异常操作日志、登录日志查询等,日志支持有效期设定和自动归档,不仅可以对用户行为进行监控,还可以通过集中的审计数据进行追溯定位,以便于事后的安全事故责任的认定,支持审计信息的分析统计,其结果可以以报表或图形的方式进行展现。
2 集团管控
搭建集团统一的认证平台,主要实现四大功能,统一用户、统一权限、统一认证、统一业务审计,并实现集团公司集团各级成员企业的系统全面覆盖,并满足公司集团管控需求。
为用户提供统一集中的帐号管理,不仅能够实现管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,同时对系统用户进行相应名称和密码的修改,对在线人员、组织统计、人员统计、分发统计、密码分发统计进行展现,并且也支持对平台分析组件按照实际需求进行调整、展现;并支持附件、视频等内容的上传和存储。将用户所有的操作日志集中记录管理和分析,不仅可以对用户行为进行监控,并且可以通过集中的审计数据进行数据挖掘,以便于事后的安全事故责任的认定。
通过对集团统一认证平台的搭建,达到以下三个目的:
- 加强管理
实现统一认证、授权、审计管理,提高企业身份认证及访问安全,建立授权流程审批机制,使用户身份信息、授权信息、审批信息等操作更加规范化、标准化,提高整体IT架构的风险防范能力。
- 支撑业务
消除企业系统间的信息孤岛,为各系统提供统一身份认证、用户身份管理服务,逐步实现身份系统的整合,构建面向用户的认证和授权服务,使业务操作更流畅。
- 简化运维
为简化IT运维提供强大的技术手段和标准,实现账户数据自动化同步操作,同时制定合规的安全服务规范,构建统一的、支撑企业级的认证授权安全服务基础设施。
3 信息管控
作为独立运营的信息公司,一方面承建集团的信息化建设,另一方面可作为第三产业可承接包含体系内及伙伴、上/下游产业的信息化建设,可以以身份管理平台作为管理力度的支撑,结合IDM身份管理平台进行统一用户管理的同时支撑集团、伙伴、生态下的账户统一管理。以信息化建设工作作为第三方业务承接方,秉承着统一规划、统一设计、统一标准、统一建设、统一管控的原则,实现服务的提供。
遵循各类公司信息系统建设相关技术标准和管理要求,统一规范,满足业务需求、提升业务绩效,提高业务自动化、改进工作效率,保证数据质量的提升,保障决策的准确性,保证更安全、更可靠的业务信息,形成面向业务的IT组织和管控体系。
4 分公司管理
在集团统一管控的前提下,分子公司由于各自的领域及业务模式均不相同,因此各分子公司可以建立自身的管理平台满足集团统一管控的前提也支持自身结合行业领域的个性发展。在符合总体集团管控的前提下,融合行业最佳实践,应用先进、开放、经市场证明的成熟技术体系,定制的用户信息门户,根据不同的用户提供不同的操作界面,保持操作界面简洁,显示给用户始终是其当前需要处理的工作,从而方便用户使用。
价值意义
通过IDM为企业建设一个平台即建立统一身份管理平台,两条管控主线实现用户身份与权限审计管控,搭建三种治理方式包含统一用户、统一认证、权限及审计管理,构建四项增值服务平台落地的同时建立标准、加强管理、支撑业务、简化运维。
1 IT架构
当下很多集团追求生态化的企业管理模式,面对当代CIO所面临的困扰,创新、复用、快速迭代、敏捷、共享、开放的平台才是客户所期盼的,随着业务规模不断扩大、业务创新化的发展,随之而来的是数据产生越来越多、用户范围越来越广、服务越来越碎片、集成应用越来越杂、平台化特征越来越强,从企业架构层面构建IT治理方案,通过构建统一身份管理平台有效集成企业现有IT资产,打通上级与下级资产监管渠道,结合企业统一认证需求及业务发展对整体架构进行规划,以搭建起企业内外部业务、数据闭环的架构体系。
通过统一身份管理平台将资源进行抽象解耦整合,转化为场景化应用可复用、易共享的核心能力,既包括了企业通用的基础服务组件、数据管理标准和共享运营中心,也包括面向不同行业场景中的行业共用的基础信息管理。
2 账户安全
由统一身份认证以统一用户管理为基础,对所有应用系统提供统一的认证方式和认证策略。通过单点登录技术,用户经过统一身份认证系统认证后,无需再次登录即可访问其它具有访问权限的应用系统。业务审计管理对统一管理及认证系统的安全审计管理行为,提供用户访问等情况的统一系统在线监控,对系统的运行信息进行监控管理,并支持系统运行状况、操作情况的统计、分析,以统计图的方式展现,实现人员重要信息的变更及应用账号的申请具有严谨的审核工作流程机制,从而实现整体业务的贯穿。
3 统一管控
对用户使用系统资源的具体情况进行合理的分配,实现不同用户对系统不同资源部分的访问,对群组/角色/用户关联关系进行统一管理,同时提供各系统间的授权功能集成;实现对用户与群组、群组与角色等关联关系授权,用户可以被分配多个角色,也可以被划分到不同群组,可以授权到组织、角色以及个人。平台可按用户、组织机构分配角色;支持角色增、删、改、查和功能权限分配。管理员通过web页面对用户访问策略进行控制。支持细粒度访问权限管理,包括细粒度访问权限回收、访问权限授权、访问权限取消授权等。实现用户信息、权限分发、认证协议的统一管控。保证在领导及董秘发生职位变动时相关权限一站式发放或收回,保证权限的隔离与安全。
4 服务工作
消除企业系统间的信息孤岛,为各系统提供统一身份认证、用户身份管理服务,逐步实现身份系统的整合,构建面向用户的认证和授权服务,使业务操作更流畅。适合企业和集团各级用户的使用要求,采用先进的设计思想和技术,应用先进成熟的软硬件技术进行设计,保证系统具有较强的生命力,符合当前和未来的发展趋势。具备较高的处理性能,缩短系统的响应时间,提高处理效率。
写在最后
随着数字化和互联网时代的来临,云计算、大数据、微服务、物联网、移动互联等各种新兴技术为企业业务不断发展带来支撑,新时期互联网环境下,构建集中化、多层级、多屏、高服务、高体验的平台架构对于企业来说是一个艰巨的任务,更多信息化建设将以企业管理为核心,打造一个集身份认证、权限分配、数据治理、资源共享、互联互通、协作服务、风险决策、流程串联、支撑创新为一体的战略管控体系。
1 应用领域
迎合企业集团化统一管控需求,满足企业全面管理,解决企业信息孤岛问题,从安全、架构、管理、运维多层面进行整体规划、分布建设、实时同步、检查审计,在企业实现4A管控、集团统一管控、信息公司承建托管、分子公司管理的过程中落地实现人员、信息、流程的大集成,能为集团整合内部资源、推动战略执行、防范项目风险提供全面的数据支持。
2 创造价值
建立统一认证平台,基于底层信息化系统满足企业业务管理需求,提供用户整个生命周期的管理、用户账号的统一管理以及用户属性的统一管理,并为各个应用系统提供安全的服务与支持。统一管理主要对群组、用户、角色进行统一管理,包括账户间的状态记录、关联关系、角色授权等功能,确保用户账户使用和管理的安全性。通过统一用户、统一认证、统一权限、统一审计,实现对集团整体系统的集成和认证,并持续提供辅助和支撑。
3 未来演变
在既有模式下平台未来能够更加兼容整合,支持业务系统下多元化的统一管理,实现多模式、混合模式的灵活适配,同时兼容云端应用管理模式下多租户的应用管理,平台更好的与整合中间件进行融合,实现既有数据落地的同时,兼容未来的延展,兼容企业目前的管控同时满足未来的业务模式需求及发展,为企业的一体化管控奠定坚实的数据基础。
