IAM系統(tǒng)平臺簡要介紹課件

IAM系統(tǒng)平臺簡要介紹2015.3IAM系統(tǒng)平臺簡要介紹2015.3IAM平臺介紹需求分析架構介紹實施過程……IAM平臺介紹需求分析身份管理和訪問控制面臨的挑戰(zhàn)用戶賬號不統(tǒng)一，沒有實現(xiàn)賬號之間的信息同步；一個賬號多人使用；在員工離職、換崗過程中無法對賬號變更進行及時有效的管理。用戶身份認證相對獨立，沒有統(tǒng)一規(guī)劃；各個信息系統(tǒng)訪問控制獨立，沒有建立統(tǒng)一的單點登錄體系；大多數系統(tǒng)采用賬號與口令認證方式，安全強度低；所有授權管理和訪問控制缺少完整性、真實性、抗抵賴性等安全信任保障。用戶管理分散，管理的流程各自獨立，缺少一套用戶身份管理系統(tǒng)；賬號和員工沒有對應關系，賬號以通用的名稱作為用戶名身份管理和訪問控制面臨的挑戰(zhàn)用戶賬號不統(tǒng)一，沒有實現(xiàn)賬號之間身份管理和訪問控制面臨的挑戰(zhàn)1，用戶提出帳號申請2，不同的申請?zhí)幚砹鞒?，策略、角色安全合規(guī)檢查4，審核批準5，服務請求流轉6，系統(tǒng)管理員手工創(chuàng)建帳號7，用戶開始使用帳號審計信息丟失請求積壓請求延遲處理不斷增長的資源策略檢查不合規(guī)申請信息不完善身份管理和訪問控制面臨的挑戰(zhàn)1，用戶提出帳號申請2，不同的申身份管理和訪問控制需求身份管理需求提供用戶身份信息的集中管理和用戶賬號信息的統(tǒng)一與同步功能；提供全生命周期的用戶信息管理，包括注冊、審批、修改、禁用、刪除等流程化的操作；提供支持全局唯一的用戶身份標識功能；提供支持多重身份的對應關系及屬性連接功能；提供支持多種業(yè)務平臺的賬號管理連接功能；提供唯一用戶身份管理端口功能，實現(xiàn)自動化用戶信息更新；提供系統(tǒng)用戶自助服務訪問控制需求與各信息系統(tǒng)集成，為信息系統(tǒng)提供統(tǒng)一身份認證及授權功能；提供多種認證方式的連接和集成；提供單點登錄SSO功能提供基于策略的訪問控制支持大規(guī)模用戶信息存儲及訪問支持分級授權身份管理和訪問控制需求身份管理需求訪問控制需求系統(tǒng)框架設計根據以往實施經驗得到的建設需求與功能需求，結合對身份管理與認證權限管理框架，企業(yè)用戶身份和認證訪問管理系統(tǒng)框架如右圖所示：PortalMailOA主機網絡數據庫系統(tǒng)框架設計根據以往實施經驗得到的建設需求與功能需求，結合對系統(tǒng)邏輯框架系統(tǒng)邏輯框架用戶身份全生命周期管理集中的、主動的、基于策略的賬號管理用戶身份全生命周期管理集中的、主動的、基于策略的賬號管理用戶身份管理邏輯流程用戶目錄用戶身份管理系統(tǒng)系統(tǒng)管理員業(yè)務系統(tǒng)/設備管理員審批流程賬號同步適配器用戶身份管理用戶同步工具原始用戶信息（HR、OA等）業(yè)務系統(tǒng)審計系統(tǒng)用戶身份管理邏輯流程用戶目錄用戶身份管理系統(tǒng)系統(tǒng)管理員業(yè)務系訪問控制邏輯架構用戶目錄訪問授權策略庫Web瀏覽器統(tǒng)一訪問認證服務器系統(tǒng)資源訪問管理服務器AIXLinux企業(yè)級服務總線系統(tǒng)票據管理系統(tǒng)農村服務金融系統(tǒng)……票交系統(tǒng)中間業(yè)務平臺強認證服務器審計系統(tǒng)訪問控制邏輯架構用戶目錄訪問授權策略庫Web統(tǒng)一訪問認證系統(tǒng)業(yè)務系統(tǒng)資源用戶身份管理用戶授權邏輯架構訪問授權策略庫賬號信息回收賬號和角色信息同步業(yè)務/主機/系統(tǒng)管理員業(yè)務人員用戶目錄統(tǒng)一訪問認證主帳號授權從帳號授權賬號同步工具實體內鑒權審計系統(tǒng)業(yè)務系統(tǒng)資源用戶身份管理用戶授權邏輯架構訪問授權策略庫賬號信集中的審計中心哪些人訪問了系統(tǒng)？具體時間段訪問量的大小?今天上午有多少人訪問郵箱？上個月有多少人進行了賬號申請？具體權限？管理員上周的賬號操作都有哪些？誰審批了我的流程？有哪些不合規(guī)的操作？系統(tǒng)中有哪些警告？集中的審計中心哪些人訪問了系統(tǒng)？系統(tǒng)架構設計-身份管理和訪問控制信息流根據現(xiàn)狀與需求分析得到的建設需求與功能需求，結合對身份管理與認證權限管理技術的選擇，我們可以進一步細化和充實系統(tǒng)框架，從而設計出身份管理與認證平臺的功能架構。系統(tǒng)架構設計-身份管理和訪問控制信息流根據現(xiàn)狀與需求分析得到項目實施思路測試環(huán)境部署與實施帳號梳理和建立企業(yè)目錄測試環(huán)境準備與搭建身份管理和訪問控制組件開發(fā)和測試應用集成測試和聯(lián)調生產環(huán)境部署與實施生產系統(tǒng)部署數據初始化身份管理和訪問控制組件開發(fā)和測試應用集成測試和聯(lián)調系統(tǒng)培訓運行和維護生產環(huán)境試運行系統(tǒng)正式運行系統(tǒng)總體架構設計總體邏輯架構設計總體部署架構選擇系統(tǒng)高可用性設計帳號生命周期管理設計帳號管理策略設計密碼管理策略設計LDAP架構規(guī)劃帳號命名規(guī)則設計數據初始化策略設計認證和授權設計認證和授權策略設計應用集成方案設計帳號同步方案設計單點登錄方案設計帳號管理調研和分析調研人員、組織機構應用系統(tǒng)、主機系統(tǒng)帳號信息確定組織權威用戶數據源分析應用、主機帳號數據和權威數據的差異功能性需求定義帳號管理訪問控制授權管理審計管理非功能性需求定義系統(tǒng)高可用性需求可擴展性需求可維護性需求可操作性需求需求定義系統(tǒng)設計系統(tǒng)部署TIM(TivoliImplementationMethodology)實施方法論支撐項目管理（項目管理方法論支撐）項目實施思路測試環(huán)境部署與實施系統(tǒng)總體架構設計帳號管理調研和項目實施規(guī)劃(案例，僅供參考)M12M9M8M7M6M5M4M3M2M1需求分析與設計用戶管理和訪問控制集成測試與二次開發(fā)系統(tǒng)集成聯(lián)調測試系統(tǒng)投產部署試運行項目管理需求調研與分析系統(tǒng)架構設計測試環(huán)境搭建用戶身份管理集成&開發(fā)測試聯(lián)調測試系統(tǒng)試運行時間管理風險管理溝通管理資源管理設計完成開發(fā)測試完成用戶數據梳理統(tǒng)一認證集成&開發(fā)測試生產環(huán)境部署生產環(huán)境集成上線系統(tǒng)上線項目啟動系統(tǒng)驗收運行維護項目實施規(guī)劃(案例，僅供參考)M12M9M8M7M6M5M4IAM系統(tǒng)平臺簡要介紹2015.3IAM系統(tǒng)平臺簡要介紹2015.3IAM平臺介紹需求分析架構介紹實施過程……IAM平臺介紹需求分析身份管理和訪問控制面臨的挑戰(zhàn)用戶賬號不統(tǒng)一，沒有實現(xiàn)賬號之間的信息同步；一個賬號多人使用；在員工離職、換崗過程中無法對賬號變更進行及時有效的管理。用戶身份認證相對獨立，沒有統(tǒng)一規(guī)劃；各個信息系統(tǒng)訪問控制獨立，沒有建立統(tǒng)一的單點登錄體系；大多數系統(tǒng)采用賬號與口令認證方式，安全強度低；所有授權管理和訪問控制缺少完整性、真實性、抗抵賴性等安全信任保障。用戶管理分散，管理的流程各自獨立，缺少一套用戶身份管理系統(tǒng)；賬號和員工沒有對應關系，賬號以通用的名稱作為用戶名身份管理和訪問控制面臨的挑戰(zhàn)用戶賬號不統(tǒng)一，沒有實現(xiàn)賬號之間身份管理和訪問控制面臨的挑戰(zhàn)1，用戶提出帳號申請2，不同的申請?zhí)幚砹鞒?，策略、角色安全合規(guī)檢查4，審核批準5，服務請求流轉6，系統(tǒng)管理員手工創(chuàng)建帳號7，用戶開始使用帳號審計信息丟失請求積壓請求延遲處理不斷增長的資源策略檢查不合規(guī)申請信息不完善身份管理和訪問控制面臨的挑戰(zhàn)1，用戶提出帳號申請2，不同的申身份管理和訪問控制需求身份管理需求提供用戶身份信息的集中管理和用戶賬號信息的統(tǒng)一與同步功能；提供全生命周期的用戶信息管理，包括注冊、審批、修改、禁用、刪除等流程化的操作；提供支持全局唯一的用戶身份標識功能；提供支持多重身份的對應關系及屬性連接功能；提供支持多種業(yè)務平臺的賬號管理連接功能；提供唯一用戶身份管理端口功能，實現(xiàn)自動化用戶信息更新；提供系統(tǒng)用戶自助服務訪問控制需求與各信息系統(tǒng)集成，為信息系統(tǒng)提供統(tǒng)一身份認證及授權功能；提供多種認證方式的連接和集成；提供單點登錄SSO功能提供基于策略的訪問控制支持大規(guī)模用戶信息存儲及訪問支持分級授權身份管理和訪問控制需求身份管理需求訪問控制需求系統(tǒng)框架設計根據以往實施經驗得到的建設需求與功能需求，結合對身份管理與認證權限管理框架，企業(yè)用戶身份和認證訪問管理系統(tǒng)框架如右圖所示：PortalMailOA主機網絡數據庫系統(tǒng)框架設計根據以往實施經驗得到的建設需求與功能需求，結合對系統(tǒng)邏輯框架系統(tǒng)邏輯框架用戶身份全生命周期管理集中的、主動的、基于策略的賬號管理用戶身份全生命周期管理集中的、主動的、基于策略的賬號管理用戶身份管理邏輯流程用戶目錄用戶身份管理系統(tǒng)系統(tǒng)管理員業(yè)務系統(tǒng)/設備管理員審批流程賬號同步適配器用戶身份管理用戶同步工具原始用戶信息（HR、OA等）業(yè)務系統(tǒng)審計系統(tǒng)用戶身份管理邏輯流程用戶目錄用戶身份管理系統(tǒng)系統(tǒng)管理員業(yè)務系訪問控制邏輯架構用戶目錄訪問授權策略庫Web瀏覽器統(tǒng)一訪問認證服務器系統(tǒng)資源訪問管理服務器AIXLinux企業(yè)級服務總線系統(tǒng)票據管理系統(tǒng)農村服務金融系統(tǒng)……票交系統(tǒng)中間業(yè)務平臺強認證服務器審計系統(tǒng)訪問控制邏輯架構用戶目錄訪問授權策略庫Web統(tǒng)一訪問認證系統(tǒng)業(yè)務系統(tǒng)資源用戶身份管理用戶授權邏輯架構訪問授權策略庫賬號信息回收賬號和角色信息同步業(yè)務/主機/系統(tǒng)管理員業(yè)務人員用戶目錄統(tǒng)一訪問認證主帳號授權從帳號授權賬號同步工具實體內鑒權審計系統(tǒng)業(yè)務系統(tǒng)資源用戶身份管理用戶授權邏輯架構訪問授權策略庫賬號信集中的審計中心哪些人訪問了系統(tǒng)？具體時間段訪問量的大小?今天上午有多少人訪問郵箱？上個月有多少人進行了賬號申請？具體權限？管理員上周的賬號操作都有哪些？誰審批了我的流程？有哪些不合規(guī)的操作？系統(tǒng)中有哪些警告？集中的審計中心哪些人訪問了系統(tǒng)？系統(tǒng)架構設計-身份管理和訪問控制信息流根據現(xiàn)狀與需求分析得到的建設需求與功能需求，結合對身份管理與認證權限管理技術的選擇，我們可以進一步細化和充實系統(tǒng)框架，從而設計出身份管理與認證平臺的功能架構。系統(tǒng)架構設計-身份管理和訪問控制信息流根據現(xiàn)狀與需求分析得到項目實施思路測試環(huán)境部署與實施帳號梳理和建立企業(yè)目錄測試環(huán)境準備與搭建身份管理和訪問控制組件開發(fā)和測試應用集成測試和聯(lián)調生產環(huán)境部署與實施生產系統(tǒng)部署數據初始化身份管理和訪問控制組件開發(fā)和測試應用集成測試和聯(lián)調系統(tǒng)培訓運行和維護生產環(huán)境試運行系統(tǒng)正式運行系統(tǒng)總體架構設計總體邏輯架構設計總體部署架構選擇系統(tǒng)高可用性設計帳號生命周期管理設計帳號管理策略設計密碼管理策略設計LDAP架構規(guī)劃帳號命名規(guī)則設計數據初始化策略設計認證和授權設計認證和授權策略設計應用集成方案設計帳號同步方案設計單點登錄方案設計帳號管理調研和分析調研人員、組織機構應用系統(tǒng)、主機系統(tǒng)帳號信息確定組織權威用戶數據源分析應用、主機帳號數據和權威數據的差異功能性需求定義帳號管理訪問控制授權管理審計管理非功能性需求定義系統(tǒng)高可用性需求可擴展性需求可維護性需求可操作性需求需求定義系統(tǒng)設計系統(tǒng)部署TIM(TivoliImplementationMethodology)實施方法論支撐項目管理（項目管理方法論支撐）項目實施思路測試環(huán)境部署與實施系統(tǒng)總體架構設計帳號管理調研和項目實施規(guī)劃(案例，僅供參考)M12M9M8M7