統(tǒng)一身份與訪問管理系統(tǒng)解決方案

1、統(tǒng)一身份與訪問管理系統(tǒng)方案建議書xxxx統(tǒng)一身份與訪問管理系統(tǒng)解決方案2014年10月2014年10月 28/28 版本1.0聯(lián)系信息關(guān)于本文中的任何信息，請聯(lián)系技術(shù)工程師王慶先生，他的詳細聯(lián)系方式為：電話子郵件：TWang版本歷史版本日期備注1.02014年10月第1版免責(zé)聲明 本建議書不得視為或解釋為Novell和xxxx之間有效而且有約束力的協(xié)議。建議書根據(jù)從xxxx獲得的信息而編制，Novell 對本建議書內(nèi)容的準(zhǔn)確性、完整性或充分性或建議書的使用不做任何擔(dān)保，而且特別明確表示，對于本建議書的適銷性和對特定目的的適用性，不做任何明示或暗示的擔(dān)保。此外，Nove

2、ll 公司保留修訂本建議書及其內(nèi)容的權(quán)利。版權(quán) 2014 版權(quán)所有。未經(jīng)Novell公司同意，嚴(yán)禁復(fù)制或者修訂本建議書的任何內(nèi)容。xxxx僅能夠在內(nèi)部復(fù)制和傳播。目 錄1項目概述51.1項目背景51.2項目目標(biāo)61.2.1一期建設(shè)目標(biāo):61.3建設(shè)原則71.4使用范圍72技術(shù)方案建議82.1系統(tǒng)總體架構(gòu)82.2系統(tǒng)功能92.2.1用戶身份信息管理112.2.2統(tǒng)一訪問控制管理122.2.3用戶生命周期管理132.3系統(tǒng)設(shè)計和工作原理142.3.1中央身份庫142.3.2用戶生命周期管理（身份數(shù)據(jù)同步）152.3.3單點登錄和統(tǒng)一認證182.4高可用性設(shè)計212.4.1目錄服務(wù)212.4.2訪問

3、控制222.4.3身份管理223項目實施流程及進度規(guī)劃224系統(tǒng)軟硬件配置234.1軟件配置235其他工作245.1身份管理實施階段245.2單點登錄實施階段246成功案例256.1深圳國稅256.2南海農(nóng)信267技術(shù)支持297.1技術(shù)支持方案297.2支持與維護298公司信息318.1公司簡介318.2北京絡(luò)威爾軟件有限公司321 項目概述感謝xxxx邀請Novell對其統(tǒng)一身份認證與訪問管理系統(tǒng)做相應(yīng)的解決方案。本建議書介紹了Novell公司為xxxx的解決方案，提供了關(guān)于Novell Privileged User Manager產(chǎn)品的功能架構(gòu)，并詳細介紹了我們在實施方面的能力和計劃。N

4、ovell Privileged User Manager是100%的記錄用戶對服務(wù)器的鍵入操作，收集用戶對Linux/Unix以及Windows和SSH/Telnet管理網(wǎng)絡(luò)設(shè)備系統(tǒng)上的任何操作行為并記錄用戶的操作結(jié)果。并將這些日志存儲在數(shù)據(jù)庫中供管理員查找和回放。1.1 項目背景隨著xxxx信息平臺化建設(shè)的日趨成熟，目前整個運維服務(wù)器達到了200臺,網(wǎng)絡(luò)設(shè)備40臺左右,每臺服務(wù)器各種帳號眾多,管理不便,網(wǎng)絡(luò)設(shè)備管理帳號被多用戶共享,為管理員和用戶帶來了幾個問題：1、服務(wù)器帳號眾多，每個帳號的歸屬，無法確認，導(dǎo)致系統(tǒng)存在安全漏洞；2、每個網(wǎng)絡(luò)設(shè)備管理帳號被多個人員共享，一些人為操作問題，無法

5、定位到具體操作人員;3、某些帳號權(quán)限過大，比如應(yīng)用程序的帳號為了方便一般都賦予超級帳號權(quán)限，導(dǎo)致賦權(quán)混亂；4、帳號操作，無法獲悉，用戶具體操作命令無法100%獲取，導(dǎo)致有些信息事故無法排查，無法實現(xiàn)100%操作監(jiān)控；5、主機帳號密碼策略無法統(tǒng)一，有的服務(wù)器90天，有的180天，有的沒有設(shè)置密碼策略，未來希望帳號密碼策略統(tǒng)一；6、目前維護人員分為主機操作系統(tǒng)維護、數(shù)據(jù)庫維護兩種，每個維護人員擁有不下100個帳號，密碼記憶對用戶是困難的?；谝陨蠋讉€主要的原因，需要建立一用戶維護操作行為審計平臺，一方面提高員工訪問系統(tǒng)的效率，另一方面增強系統(tǒng)的整體安全性。1.2 項目目標(biāo)項目目標(biāo)建設(shè)一套服務(wù)器行為

6、審計平臺建設(shè)目標(biāo):n 建立用戶維護操作行為審計平臺；n 接入目前所有的服務(wù)器包括Unix/linux/Windows類型主機及通過SSH/TELNET協(xié)議接入所有網(wǎng)絡(luò)設(shè)備n 對命令操作可以進行祥盡的審計，對圖形操作可以以錄像按照會話紀(jì)錄；n 對主機及網(wǎng)絡(luò)設(shè)備敏感命令進行監(jiān)控并可以執(zhí)行禁止、允許、申請等操作，如reboot/reload/halt/restart/shutdown/write memory等命令n 建立一套統(tǒng)一帳號管理服務(wù)器，管理目前主機系統(tǒng)中所有帳號，未來在此平臺實現(xiàn)帳號分配；n 實現(xiàn)用戶信息生命周期的管理，從帳號的創(chuàng)建到員工離職后帳號的消除實現(xiàn)統(tǒng)一化和自動化管理而不需人工干預(yù)

7、；總之，通過技術(shù)的整合來管理和使用數(shù)字化的用戶身份，以確保只有經(jīng)過授權(quán)的用戶才能對相關(guān)的設(shè)備進行操作，使最終用戶僅需申請一次唯一的用戶ID，用戶僅需在統(tǒng)一登陸平臺進行一次身份認證就可以訪問所有授權(quán)的服務(wù)器。建成后的統(tǒng)一用戶身份與訪問管理系統(tǒng)將為xxxx應(yīng)用系統(tǒng)的提供標(biāo)準(zhǔn)化用戶數(shù)據(jù)，待建信息系統(tǒng)可以直接使用Novell eDirectory用戶目錄作為數(shù)據(jù)源，已建信息系統(tǒng)以IDM為根數(shù)據(jù)源進行用戶信息同步。1.3 建設(shè)原則為了規(guī)范xxxx身份與訪問管理系統(tǒng)建設(shè)，應(yīng)遵循以下原則：n 標(biāo)準(zhǔn)化原則：必須遵循統(tǒng)一的用戶數(shù)據(jù)標(biāo)準(zhǔn)，來指導(dǎo)應(yīng)用系統(tǒng)用戶管理。n 分類管理原則：NPUM應(yīng)能夠支持管理員對用戶身份

8、信息進行分類管理的要求，保證管理員能且只能管理到其職責(zé)范圍內(nèi)的服務(wù)器及網(wǎng)絡(luò)設(shè)備的帳號。n 集中化原則：NPUM集中管理所有服務(wù)器及網(wǎng)絡(luò)設(shè)備的帳號信息。1.4 使用范圍IDM系統(tǒng)主要的使用者包括：n 普通用戶：即網(wǎng)管監(jiān)控人員及內(nèi)部開發(fā)人員n 主機系統(tǒng)管理員：即IT部運維人員，負責(zé)服務(wù)器系統(tǒng)的日常運行，分為系統(tǒng)維護及數(shù)據(jù)庫維護。n 網(wǎng)絡(luò)設(shè)備維護人員:負責(zé)網(wǎng)絡(luò)設(shè)備維護人員n 應(yīng)用程序管理員：維護服務(wù)器系統(tǒng)中應(yīng)用程序的專屬帳號。2 技術(shù)方案建議2.1 系統(tǒng)總體架構(gòu)該系統(tǒng)需要建立一套帳號同步管理服務(wù)器及操作行為稽核服務(wù)器，都采用虛擬機方式，并采用虛擬機副本方式進行備份。整個系統(tǒng)以Novell eDire

9、ctory為帳號存儲池，可以作為認證網(wǎng)關(guān)，配合NPUM完成多因素方式的單點登錄。2.2 系統(tǒng)功能Novell PUM有三個主要組件：Novell PUM管理控制中心、Novell PUM Agent及SSH/TELNET協(xié)議重定向支持。管理控制中心提供統(tǒng)一的管理人員界面和審計人員界面，管理人員界面可以用于設(shè)置被管理的服務(wù)器、這些服務(wù)器帳戶、帳戶權(quán)限策略、審計策略以及進行管理控制中心本身的使用者管理；審計人員界面提供對帳戶的行為進行回放和審計的功能。Agent被安裝在每個被管理的服務(wù)器上，從而是PUM各個管理策略、審計策略、權(quán)限策略的具體執(zhí)行者。SSH/TELNET協(xié)議重定向，支持所有通過ssh

10、/telent訪問的網(wǎng)絡(luò)設(shè)備，并紀(jì)錄相應(yīng)的操作，實現(xiàn)對網(wǎng)絡(luò)設(shè)備的帳號管理及操作行為監(jiān)控在本方案中所采用的NPUM工作機理如下：1. 系統(tǒng)驗證用戶登錄信息并建立安全用戶操作會話；2. 在NPUM中建立審計策略及定義風(fēng)險管控級別；3. 系統(tǒng)自動記錄用戶會話時所鍵入的指令和操作結(jié)果；4. 系統(tǒng)根據(jù)預(yù)先制定好的自動化規(guī)則和所設(shè)定風(fēng)險過濾級別將所記錄的用戶操作事件放到合規(guī)審計數(shù)據(jù)庫中；5. 領(lǐng)導(dǎo)或系統(tǒng)管理員可以登錄到合規(guī)審計庫中參看是否有不合規(guī)的事件發(fā)生；6. 如果用戶有特別的請求，系統(tǒng)可以向管理員或領(lǐng)導(dǎo)發(fā)送郵件等通知供審批。下圖為NPUM所記錄的用戶操作指令，可供管理員或領(lǐng)導(dǎo)查詢：下圖為管理員對用戶所

11、鍵入的指令所執(zhí)行的結(jié)果進行回放：2.2.1 審計分權(quán)管理在本方案中，在NPUM系統(tǒng)中可以對系統(tǒng)審計人員進行分權(quán)管理，可以指定某個管理員可以指定查看那一臺服務(wù)器上的用戶操作日志。下圖為配置審計用戶審計權(quán)限界面：2.2.2 系統(tǒng)部署Novell PUM管理中心系統(tǒng)部署在一套服務(wù)器上，而Novell PUM Agent安裝在各個被監(jiān)控的Unix/Linux服務(wù)器上，另需要一臺服務(wù)器安裝SSH/TELNET重定向服務(wù)。2.3 方案總結(jié)通過實施本方案，用戶將擁有以下好處：1. 控制并記錄“哪些特權(quán)用戶訪問什么內(nèi)容”，提高了安全性；2. 從單點集中管理安全策略，簡化了管理復(fù)雜度；3. 強大的風(fēng)險分析工具能

12、夠記錄和回放用戶活動具體到擊鍵級別，使風(fēng)險可控可管；4. 借助全天候的永久審計記錄，而不只是在合規(guī)性審計中證明合規(guī)性，實現(xiàn)合規(guī)的連續(xù)證明。Novell PUM產(chǎn)品Novell PUM特權(quán)用戶管理產(chǎn)品是一款對Unix/Linux系統(tǒng)上的超級用戶行為進行管理、審計的產(chǎn)品，它具有以下特點：高安全性Novell Privileged User Manager可以集中定義特權(quán)用戶能在任何 UNIX 或 Linux 平臺上執(zhí)行的命令，確保了只有授權(quán)用戶才能執(zhí)行特定管理任務(wù)。這種委托管理消除了將根帳戶憑證分發(fā)給所有管理人員的需要并降低組織面臨的風(fēng)險。Novell Privileged User Manage

13、r 通過集中化策略機制來主管委托管理。這讓定義根據(jù)用戶名、輸入的命令、主機名和時間（何人、何物、何地、何時）的組合來允許或拒絕用戶活動的規(guī)則成為可能。Novell Privileged User Manager 通過以這種方式管理 UNIX 和 Linux 權(quán)限，就可以控制用戶獲得授權(quán)而運行的命令、運行時間和運行地點。所有用戶活動均記錄在一個功能強大的審計報告和管理工具中，因此管理人員能夠在出現(xiàn)可疑活動時立即采取措施。簡單的策略管理Novell Privileged User Manager 讓管理人員可以從單點集中管理安全策略。直觀的拖放可視界面易于管理員創(chuàng)建規(guī)則，而不需要依賴于復(fù)雜且耗時的

14、人工腳本編寫。規(guī)則一旦創(chuàng)建，就將在所有受管 UNIX 和 Linux 系統(tǒng)內(nèi)強制執(zhí)行。在更新或更改這些規(guī)則時，所做更改會立即適用于企業(yè)中的所有整套主機。與其他需要單個升級系統(tǒng)的超級用戶特權(quán)管理產(chǎn)品不同，Novell Privilege User Manager 使管理人員能夠?qū)Ｗ⒂诨A(chǔ)設(shè)施保護，而不是將精力花在安裝規(guī)則更新上。而且，集成的測試套件工具讓管理人員可以建立和測試新的規(guī)則組合，再將其投入生產(chǎn)使用?？梢詫⒁?guī)則輕松拖入嵌套的層次結(jié)構(gòu)，建立精密的控制結(jié)構(gòu)，該種結(jié)構(gòu)在與腳本同時使用時，能夠提供更加精細的控制，滿足最為苛刻的環(huán)境要求。詳細的風(fēng)險分析Novell Privileged User

15、Manager 通過一個智能風(fēng)險分析引擎，平衡細節(jié)與數(shù)量的需求。引擎分析用戶活動，并根據(jù)執(zhí)行的命令、執(zhí)行該命令的用戶以及位置，賦予該用戶活動從 0 到 9 的某個風(fēng)險級別。高風(fēng)險命令的標(biāo)識顏色為紅色，低風(fēng)險命令的標(biāo)識顏色為綠色。這些顏色和介于兩者之間的各種色度幫助管理人員立即識別可能構(gòu)成安全風(fēng)險的事件。審計人員通過帶有回放功能的直觀界面，可以查看任何已記錄的擊鍵活動。如果事件要求做進一步分析，那么工作流程會使事件上升至可立即操作的適當(dāng)管理器（可通過發(fā)送電子郵件通知或標(biāo)記合合規(guī)性審計員控制臺中的事件來執(zhí)行）。借助 Novell Privileged User Manager 與眾不同的風(fēng)險評估功

16、能，用戶能夠快速輕松地識別已收集的任何構(gòu)成更高級別風(fēng)險的用戶輸入信息，從而降低由惡意活動或意外誤用造成的潛在損害。連續(xù)的合規(guī)性證明Novell Privileged User Manager 生成用戶活動的詳細日志。這些記錄提供的主要信息是在組織中證明合規(guī)性并確保統(tǒng)一最佳實踐所需的有價值信息。每個事件都記錄在功能強大的審計報告和管理工具 Compliance Auditor 中，該工具使審計員能夠了解整個企業(yè)內(nèi)的情況，并允許他們排列響應(yīng)異常活動的優(yōu)先次序。Compliance Auditor 根據(jù)可以通過圖形用戶界面自定義的規(guī)則，將業(yè)務(wù)邏輯應(yīng)用于用戶活動和系統(tǒng)事件。然后評估每個事件的潛在風(fēng)險，

17、并賦予適當(dāng)?shù)娘L(fēng)險級別。事件記錄以易于閱讀的列表格式顯示，可將用戶活動顯示到擊鍵級別。審計員可以記錄每條記錄的“通過”、“失敗”或“提出”狀態(tài)，同時每項更改將自動添加到審計跟蹤中并作為永久性記錄。Novell Privileged User Manager 還包括一項自動數(shù)據(jù)過濾功能，可讓審計員按每小時、每日、每周或每月的間隔從主要審計數(shù)據(jù)庫中提取現(xiàn)有數(shù)目的記錄。審計員還可應(yīng)用其他過濾標(biāo)準(zhǔn)，僅顯示指定時段內(nèi)所發(fā)生的高風(fēng)險事件。例如，管理員每小時可過濾風(fēng)險級別大于 3 的事件，這樣可使他們集中關(guān)注對組織造成最大風(fēng)險的事件。信息顯示在用顏色標(biāo)識的直觀界面上，可使管理人員和審計員查看安全交易，回放用戶

18、活動和制裁事件的記錄。2.3.1 支持的平臺Linux: SUSE Linux Enterprise Server (SLES) (32-bit and 64-bit) on versions 10 and 11 Red Hat (32-bit and 64-bit) on versions 5.x and 6.x Open Enterprise Server (32-bit and 64-bit) on versions 2 and 11Unix IBM AIX (32-bit and 64-bit) on versions 5.3 and 6.1 and version 7.1 (64-b

19、it) HP-UX (PA-RISC) (32-bit and 64-bit) on versions 11.11 and 11.23 HP-UX (Itanium) 64-bit on versions 11.23 and 11.31 Sun Solaris (SPARC) (32-bit and 64-bit) on versions 9 and 10 Sun Solaris (Intel) (32-bit and 64-bit) on version 10 HP Tru64 UNIX 64-bit on 5.1a and 5.1bWindows平臺 Windows Server 2003

20、 (32-bit and 64-bit) Windows Server 2008 (32-bit and 64-bit) and 2008 R2 64-bit Windows Server 2012 64-bit GUI version虛擬化平臺 VMWare ESX and ESXi協(xié)議 TELNET SSH2.3.2 Novell Privileged User Manager 功能： 安全性特權(quán)賬戶委托:安全地委托 UNIX/Linux 特權(quán)賬戶權(quán)力，而不需要影響用戶完成工作的能力。單個可配置端口:所有代理流量都可通過單個端口加密和引導(dǎo)，在多個防火墻環(huán)境中輕松配置和部署產(chǎn)品

21、。數(shù)據(jù)庫加密:Novell Privileged User Manager 包括一個嵌入式 SQL 數(shù)據(jù)庫后端，可以在這里對部分或全部數(shù)據(jù)庫進行 AES 加密。 策略管理基于 Web 的控制臺：Novell Privileged User Manager 通過基于 Web 的直觀控制臺進行管理，在整個內(nèi)部網(wǎng)和外部網(wǎng)區(qū)域均可訪問該控制臺。該界面包括一個“命令控制”控制臺，讓您可以配置特權(quán)用戶管理策略。重復(fù)利用腳本和命令庫:Novell Privileged User Manager 包括策略對象的樣本庫，這些樣本庫可被輕松拖放以建立強大但直觀易懂的安全規(guī)則。層次規(guī)則結(jié)構(gòu):無需腳本編

22、寫，即可直觀構(gòu)建規(guī)則。只需拖放即可創(chuàng)建用于確定處理順序的規(guī)則層次結(jié)構(gòu)。直觀的故障轉(zhuǎn)移和負載均衡:可以在分層的域結(jié)構(gòu)中直觀地配置主機代理，從而自動確定組件之間的負載均衡和故障轉(zhuǎn)移。 風(fēng)險分析使用顏色標(biāo)識的命令風(fēng)險評級:可以根據(jù)運行的命令、運行命令的用戶和位置，使用顏色標(biāo)識事件記錄的風(fēng)險級別。實時擊鍵記錄:擊鍵記錄在整個用戶對話期間實時更新。對話回放:在直觀界面中回放已記錄的用戶對話擊鍵，讓您可以控制回放速度和方向。 審計和報告(1) 自動數(shù)據(jù)過濾創(chuàng)建預(yù)定義規(guī)則，以使用綜合過濾器和時間表，從您的審計記錄文件中提出事件。(2) 自動通知可以自動以電子郵件方式向用戶發(fā)送待批

23、事件每日概要。(3) 永久性審計記錄所有審計員活動都永久性地記錄在事件記錄中，包括在分析過程中記錄的擊鍵記錄活動查看、狀態(tài)更改和任何備注。(4) 工作流對于需要進一步分析的事件，工作流過程向相應(yīng)審閱者發(fā)送事件通過發(fā)送電子郵件通知或在 Compliance Auditor 控制臺標(biāo)記事件。(5) FTP 審計通過使用這個守護程序替件，為您的 FTP 交易多加一重保障，實現(xiàn)完全通過審計和身份驗證的 FTP 交易。(6) 即用 UNIX/ Linux 外殼替件可以使用“usrun”語句按需執(zhí)行特權(quán)命令，或更換用戶外殼，以提供命令身份驗證和 / 或總會話審計(7) ACL 限制確定單個審計員允許查看的

24、記錄，防止用戶對自己的活動進行自主授權(quán)2.3.3 用戶身份信息管理用戶身份信息管理以Novell eDirectory為基礎(chǔ)，構(gòu)建xxxx身份份中心，利用元目錄技術(shù)，實現(xiàn)將原有采用“非目錄化”的應(yīng)用系統(tǒng)與現(xiàn)有身份管理中心進行自動的雙向交互，該方案可以在不改變現(xiàn)有系統(tǒng)的框架基礎(chǔ)上進行實施，利用這樣的方案實現(xiàn)身份庫與現(xiàn)有應(yīng)用系統(tǒng)的無縫結(jié)合。利用元目錄技術(shù)，采用自動化處理方式代替原有系統(tǒng)中帳號有IT管理人員手工操作的方式。同時，這種信息的同步是雙向的。如果在一個應(yīng)用程序中的數(shù)據(jù)發(fā)生了變化，利用DirXML技術(shù)和一定的轉(zhuǎn)換規(guī)則，將信息傳遞到中央身份庫中。然后，再把這些數(shù)據(jù)傳遞給與這些數(shù)據(jù)相關(guān)的其它應(yīng)用

25、程序或目錄服務(wù)中。該解決方案可為用戶自動開戶并在用戶的整個生命周期內(nèi)對口令進行自動管理：n 自動完成復(fù)雜的系統(tǒng)開戶流程，立即訪問資源n 根據(jù)角色和策略向用戶分配資源n 口令同步為所有系統(tǒng)的單一口令n 用戶可通過基于 Web 的自助功能找回或重設(shè)自己的口令n 制定并強制執(zhí)行嚴(yán)格的系統(tǒng)口令策略n 授權(quán)不當(dāng)訪問時收到系統(tǒng)報告用戶身份信息管理模塊中，包含用戶和組織機構(gòu)信息維護、用戶相關(guān)對象的維護和用戶自維護幾個子功能。2.3.4 用戶生命周期管理采用Novell IDM和Novell eDirectory可以管理用戶生命周期的如下階段：1) 在權(quán)威數(shù)據(jù)源中進行注冊：確定人員要注冊的部門，決定其用戶類型

26、（例如：客戶或內(nèi)部員工），并在權(quán)威數(shù)據(jù)系統(tǒng)（如OA系統(tǒng)）中建立用戶帳號。2) 利用身份管理工具將用戶信息同步至中央身份庫：身份管理工具首先獲得用戶帳號信息，將其根據(jù)預(yù)先制定的規(guī)則同步至統(tǒng)一身份目錄。3) 帳號分發(fā)：將該帳號下發(fā)到相關(guān)的應(yīng)用系統(tǒng)中。4) 審批和授權(quán)：各應(yīng)用系統(tǒng)的系統(tǒng)管理員（如信息管理系統(tǒng)管理員、Windows AD域管理員）在本系統(tǒng)中對新增的用戶進行審批和授權(quán)，完成帳戶的新建工作。5) 變更：當(dāng)用戶的職位或其他個人信息發(fā)生變化后，系統(tǒng)管理員首先在權(quán)威數(shù)據(jù)源（如OA系統(tǒng)）中對帳號信息進行修改，然后采取和2、3相似的步驟將信息同步至中央身份庫和各應(yīng)用系統(tǒng)中。6) 銷戶：當(dāng)用戶離職以后

27、，需要在各應(yīng)用系統(tǒng)中統(tǒng)一注銷用戶帳號。 對于xxxx用戶和外部用戶，可以針對不同的身份屬性，定義區(qū)分策略，從而實現(xiàn)對內(nèi)部用戶跟隨人事系統(tǒng)狀態(tài)的變化而變化，對外部用戶嚴(yán)格管理其生命周期，并嚴(yán)格劃定范圍和權(quán)限。2.4 系統(tǒng)設(shè)計和工作原理2.4.1 中央身份庫對各個服務(wù)器中的帳號進行單獨、分散的管理是一個費時、繁瑣、不安全的管理方式。隨著服務(wù)器的不斷增加，以及系統(tǒng)管理人員的分工日益復(fù)雜，Novell推薦建立一個集中統(tǒng)一的中央身份庫。中央身份庫的設(shè)計，必須針對所有用戶創(chuàng)建一個單一的主帳號，管理IT平臺中各個服務(wù)器系統(tǒng)中央身份庫擁有xxxx完整的身份認證信息，可提供xxxx公司范圍內(nèi)接入系統(tǒng)用戶身份認證

28、與存儲。根據(jù)xxxx的需要，可以自定義schema以滿足個性屬性的要求。Novell 所提供的中央身份庫基礎(chǔ)架構(gòu)是基于Novell eDirectory。近10 年來，該目錄服務(wù)已在全球銷售了14 億3 千萬的許可證，這是該目錄服務(wù)已處于行業(yè)領(lǐng)先水平的最好的證明。它一向表現(xiàn)出高度的可靠性和高度的穩(wěn)定性、以及大而復(fù)雜的企業(yè)環(huán)境中良好執(zhí)行的能力。中央身份庫的安全性是非常值得關(guān)注的，一旦中央身份庫的信息遭到竊取，那么NPUM系統(tǒng)其他安全性設(shè)置會立即失去效應(yīng)。Novell eDirectory 通過幾方面卓越的安全特性滿足全服務(wù)目錄的安全要求。eDirectory 安全使NPUM系統(tǒng)能夠指定誰有權(quán)訪問

29、目錄樹，以及用戶通過認證后的確切訪問權(quán)限等級。2.4.2 用戶生命周期管理（身份數(shù)據(jù)同步）身份同步，泛指通過IDM實現(xiàn)目錄與服務(wù)器的帳號雙向聯(lián)動，確保用戶身份信息在各應(yīng)用系統(tǒng)間的一致性。通過IDM把各個應(yīng)用系統(tǒng)和身份目錄進行連接。在帳號信息同步通道中設(shè)立帳號管理策略，規(guī)定用戶在身份目錄和各應(yīng)用系統(tǒng)之間的同步策略。利用IDM的身份同步引擎在應(yīng)用系統(tǒng)和統(tǒng)一身份目錄之間建立同步通道。應(yīng)用系統(tǒng)從同步通道中獲得其所需要的用戶身份信息，建立對應(yīng)的用戶帳號。所有用戶應(yīng)用帳號的創(chuàng)建、信息變更、銷戶事件都由IDM進行統(tǒng)一維護。當(dāng)需要在一個系統(tǒng)中創(chuàng)建/變更/刪除帳號時，根據(jù)既定的策略在相應(yīng)的應(yīng)用系統(tǒng)中創(chuàng)建、變更、

30、銷戶。3 項目實施流程及進度規(guī)劃Novell建議整體項目實施工作分為如下階段：1. 系統(tǒng)調(diào)研階段（需求分析階段） 了解xxxx組織結(jié)構(gòu)及人員情況； 了解xxxx錄系統(tǒng)相關(guān)的應(yīng)用情況； 制定設(shè)計方案2. 系統(tǒng)設(shè)計階段 確定用戶的命名規(guī)則； 確定目錄結(jié)構(gòu)設(shè)計； 確定目錄Schema設(shè)計； 用戶數(shù)據(jù)的初始化導(dǎo)入策略、清洗策略； 目錄到目錄的用戶同步策略； 與門戶及其它應(yīng)用系統(tǒng)的單點登錄集成策略； 目錄各類管理用戶的制定及授權(quán)；3. 安裝、開發(fā)階段及測試階段 系統(tǒng)軟件的安裝； 單點登錄系統(tǒng)的開發(fā)和調(diào)試； 用戶數(shù)據(jù)的初始化導(dǎo)入測試； 系統(tǒng)功能測試等； 系統(tǒng)集成測試；4. 系統(tǒng)部署階段 目錄到相關(guān)應(yīng)用子系

31、統(tǒng)的網(wǎng)絡(luò)調(diào)整，如防火墻策略，路由定制； 系統(tǒng)壓力測試； 用戶驗收測試（兩輪）5. 系統(tǒng)上線試運行4 系統(tǒng)軟硬件配置4.1 軟件配置序號配置項推薦產(chǎn)品及說明運行平臺版本套數(shù)1Novell eDirectroy目錄服務(wù)器SELS11SP18.8.72Novell Privileged User Manager單點登錄與訪問控制產(chǎn)品SELS11SP12.03Novell Identity Manager身份整合與同步產(chǎn)品SELS11SP13.65 其他工作其他工作中包含集成商和接入系統(tǒng)研發(fā)廠商的工作，下面根據(jù)系統(tǒng)實施的不同階段加以說明。以下列舉的配合工作僅限于目前對接入系統(tǒng)了解到的情況，在完成需求分

32、析和方案設(shè)計后，可能需要補充其他沒有提及的配合工作。5.1 身份管理實施階段需要客戶方、身份管理實施階段，如下工作等方面，予以配合：（1） 對于新上線網(wǎng)絡(luò)設(shè)備及主機，必須嚴(yán)格遵循預(yù)設(shè)的接口規(guī)范的要求，以便規(guī)范和統(tǒng)一管理；5.2 單點登錄實施階段需要客戶方、應(yīng)用開發(fā)商，在單點登錄階段，如下工作等方面，予以配合：（1） 對于新建應(yīng)用系統(tǒng)，必須嚴(yán)格遵循預(yù)設(shè)的接口規(guī)范的要求，以便規(guī)范和統(tǒng)一管理；6 技術(shù)支持6.1 技術(shù)支持方案 Novell向xxxx提供電話支持服務(wù)。這項支持服務(wù)是項目實施現(xiàn)場支持服務(wù)的補充。1. 最長響應(yīng)時間 - 2 小時2. 提供每周 7 天，每天 24 小時的支持服務(wù)3. 25

33、項服務(wù)請求 4. Novell 專業(yè)資源套餐 (Novell Professional Resource Suite) - 1 份擴展* 許可5. 4 個 Novell 專業(yè)資源套餐的門戶訪問賬戶6. 主動以電子郵件的形式發(fā)出補丁及更新通知7. 在線服務(wù)請求提交、跟蹤及報告8. 免費電話支持專線建議只在出現(xiàn)極其嚴(yán)重問題的情況下，才尋求工作時間外支持6.2 支持與維護Novell 技術(shù)服務(wù)部是一個全球化運作組織，在全球范圍內(nèi)都設(shè)有支持中心，并派有技術(shù)支持工程師。全球支持中心 (GSC) 位于 Novell 公司總部，在猶他州普羅沃設(shè)有主要的工程中心。其他支持中心位于英國布拉克內(nèi)爾和荷蘭Capel

34、la。澳大利亞、美國、香港、新加坡（亞洲主要支持中心）、中國、泰國、馬來西亞、韓國、歐洲都駐有本地現(xiàn)場支持工程師，其他地區(qū)則由經(jīng)過授權(quán)的服務(wù)合作伙伴提供本地現(xiàn)場支持工程師。最初的應(yīng)答是通過GSC進行，或者直接提交給當(dāng)?shù)亟M織內(nèi)指定的高級服務(wù)工程師 (PSE) 或解決方案支持工程師 (SSE)。資源可根據(jù)需要進行分配，以滿足具體的支持服務(wù)的需求。美國全球支持中心 (GSC)：提供電話支持響應(yīng)服務(wù)，作為與Novell相關(guān)的問題的最初報告點。該中心每周7天、每天24小時運行，負責(zé)為Novell客戶提供2級技術(shù)幫助。GSC 與本地現(xiàn)場工程師、全球支持服務(wù)人員和產(chǎn)品工程師一同解決技術(shù)問題。中心配備了18位

35、全職工程師和多名輪換工程師（共有大約25-30人），利用所掌握的技能和經(jīng)驗為亞太區(qū)和其他地區(qū)的客戶提供支持。美國全球支持服務(wù)部 (WSS)：Novell公司全球支持服務(wù)部共有大約80名全職工程師。該部門負責(zé)為GSC和本地現(xiàn)場服務(wù)工程師提供3級和4級支持。WSS從“全球的眼光”考慮所發(fā)生的任何問題，并對GSC或本地工程師報告的問題迅速做出響應(yīng)。本地現(xiàn)場服務(wù)部（中國）：Novell 技術(shù)服務(wù)部通過各國的高級服務(wù)工程師 (PSE) 或解決方案支持工程師 (SSE) 為需要本地現(xiàn)場支持的客戶提供現(xiàn)場支持服務(wù)。PSEs 和 SSE 與 GSC 和 WSS 共同幫助客戶解決 Novell 技術(shù)問題。PSE

36、和SSE提供的大部分服務(wù)都是主動預(yù)防的服務(wù)，然而，他們也同樣提供故障修復(fù)服務(wù)。各國的PSE和SSE數(shù)量不同，這取決于要求服務(wù)的客戶的數(shù)量。技能等級 所有提供2級支持的技術(shù)支持工程師都至少通過Novell認證工程師 (CNE) 培訓(xùn)認證，然而，大多數(shù)工程師都通過主 CNE或CDE級認證，擁有5年的經(jīng)驗。3級支持工程師一般為MCNE或CDE級別，至少擁有10年的經(jīng)驗，或者擁有其他第三方產(chǎn)品的技術(shù)支持經(jīng)驗。現(xiàn)場工程師至少通過3級認證，擁有豐富的現(xiàn)場工作支持經(jīng)驗。一般情況下，PSE和SSE都擁有垂直市場經(jīng)驗，并接受過核心Novell技術(shù)培訓(xùn)。解決方案支持 Novell 技術(shù)服務(wù)部通過組建客戶支持團隊提

37、供解決方案支持，該團隊主要負責(zé)為客戶的整個業(yè)務(wù)解決方案提供支持，而不是單獨的技術(shù)組件。該部門指定了技術(shù)解決方案支持主管，而且SSE都掌握為客戶解決方案提供支持所需的多項技能和知識。支持呼叫追蹤 Novell 技術(shù)服務(wù)部采用在全球范圍內(nèi)實施的PeopleSoft Vantive 產(chǎn)品記錄與追蹤支持問題。如果客戶在Vantive中注冊有效帳戶，任何技術(shù)工程師都可以查看與特定問題相關(guān)的活動?？蛻舻氖跈?quán)聯(lián)絡(luò)人也在Vantive中注冊，并可以通過免費電話或者通過Web記錄問題。Vantive用于追蹤問題解決的狀態(tài)以及問題的報告?，F(xiàn)場支持 現(xiàn)場支持通過各國派駐的PSE或SSE提供。緊急情況現(xiàn)場報告可幫助診斷或解決記錄的問題，但這取決于資源的可用性。7 公司信息7.1 公司簡介北京絡(luò)威爾軟件有限公司（NOVELL CHINA）是注冊于中國北京市外商獨資經(jīng)營企業(yè)，是NOVELL的全資子公司，注冊資本161.65萬美元，其法定代表人是保羅.約瑟夫.利斯特。公司主營業(yè)務(wù)是自主軟件產(chǎn)品研發(fā)、銷售、技術(shù)服務(wù)、技術(shù)咨詢、培訓(xùn)等。公司總部位于北京市東三環(huán)中路北京財富中心。下轄上海、廣州、深圳、沈陽、成都（籌建中）辦事處及中國NOVELL技術(shù)研發(fā)中心（北京）、NOVELL中國測試中心（北京）、NOVELL中國技術(shù)支持中心（深圳）?，F(xiàn)有