IAM系統(tǒng)平臺簡要介紹課件

IAM系統(tǒng)平臺簡要介紹2015.3IAM系統(tǒng)平臺簡要介紹2015.3IAM平臺介紹需求分析架構(gòu)介紹實(shí)施過程……IAM平臺介紹需求分析身份管理和訪問控制面臨的挑戰(zhàn)用戶賬號不統(tǒng)一，沒有實(shí)現(xiàn)賬號之間的信息同步；一個賬號多人使用；在員工離職、換崗過程中無法對賬號變更進(jìn)行及時有效的管理。用戶身份認(rèn)證相對獨(dú)立，沒有統(tǒng)一規(guī)劃；各個信息系統(tǒng)訪問控制獨(dú)立，沒有建立統(tǒng)一的單點(diǎn)登錄體系；大多數(shù)系統(tǒng)采用賬號與口令認(rèn)證方式，安全強(qiáng)度低；所有授權(quán)管理和訪問控制缺少完整性、真實(shí)性、抗抵賴性等安全信任保障。用戶管理分散，管理的流程各自獨(dú)立，缺少一套用戶身份管理系統(tǒng)；賬號和員工沒有對應(yīng)關(guān)系，賬號以通用的名稱作為用戶名身份管理和訪問控制面臨的挑戰(zhàn)用戶賬號不統(tǒng)一，沒有實(shí)現(xiàn)賬號之間身份管理和訪問控制面臨的挑戰(zhàn)1，用戶提出帳號申請2，不同的申請?zhí)幚砹鞒?，策略、角色安全合規(guī)檢查4，審核批準(zhǔn)5，服務(wù)請求流轉(zhuǎn)6，系統(tǒng)管理員手工創(chuàng)建帳號7，用戶開始使用帳號審計信息丟失請求積壓請求延遲處理不斷增長的資源策略檢查不合規(guī)申請信息不完善身份管理和訪問控制面臨的挑戰(zhàn)1，用戶提出帳號申請2，不同的申身份管理和訪問控制需求身份管理需求提供用戶身份信息的集中管理和用戶賬號信息的統(tǒng)一與同步功能；提供全生命周期的用戶信息管理，包括注冊、審批、修改、禁用、刪除等流程化的操作；提供支持全局唯一的用戶身份標(biāo)識功能；提供支持多重身份的對應(yīng)關(guān)系及屬性連接功能；提供支持多種業(yè)務(wù)平臺的賬號管理連接功能；提供唯一用戶身份管理端口功能，實(shí)現(xiàn)自動化用戶信息更新；提供系統(tǒng)用戶自助服務(wù)訪問控制需求與各信息系統(tǒng)集成，為信息系統(tǒng)提供統(tǒng)一身份認(rèn)證及授權(quán)功能；提供多種認(rèn)證方式的連接和集成；提供單點(diǎn)登錄SSO功能提供基于策略的訪問控制支持大規(guī)模用戶信息存儲及訪問支持分級授權(quán)身份管理和訪問控制需求身份管理需求訪問控制需求系統(tǒng)框架設(shè)計根據(jù)以往實(shí)施經(jīng)驗(yàn)得到的建設(shè)需求與功能需求，結(jié)合對身份管理與認(rèn)證權(quán)限管理框架，企業(yè)用戶身份和認(rèn)證訪問管理系統(tǒng)框架如右圖所示：PortalMailOA主機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)框架設(shè)計根據(jù)以往實(shí)施經(jīng)驗(yàn)得到的建設(shè)需求與功能需求，結(jié)合對系統(tǒng)邏輯框架系統(tǒng)邏輯框架用戶身份全生命周期管理集中的、主動的、基于策略的賬號管理用戶身份全生命周期管理集中的、主動的、基于策略的賬號管理用戶身份管理邏輯流程用戶目錄用戶身份管理系統(tǒng)系統(tǒng)管理員業(yè)務(wù)系統(tǒng)/設(shè)備管理員審批流程賬號同步適配器用戶身份管理用戶同步工具原始用戶信息（HR、OA等）業(yè)務(wù)系統(tǒng)審計系統(tǒng)用戶身份管理邏輯流程用戶目錄用戶身份管理系統(tǒng)系統(tǒng)管理員業(yè)務(wù)系訪問控制邏輯架構(gòu)用戶目錄訪問授權(quán)策略庫Web瀏覽器統(tǒng)一訪問認(rèn)證服務(wù)器系統(tǒng)資源訪問管理服務(wù)器AIXLinux企業(yè)級服務(wù)總線系統(tǒng)票據(jù)管理系統(tǒng)農(nóng)村服務(wù)金融系統(tǒng)……票交系統(tǒng)中間業(yè)務(wù)平臺強(qiáng)認(rèn)證服務(wù)器審計系統(tǒng)訪問控制邏輯架構(gòu)用戶目錄訪問授權(quán)策略庫Web統(tǒng)一訪問認(rèn)證系統(tǒng)業(yè)務(wù)系統(tǒng)資源用戶身份管理用戶授權(quán)邏輯架構(gòu)訪問授權(quán)策略庫賬號信息回收賬號和角色信息同步業(yè)務(wù)/主機(jī)/系統(tǒng)管理員業(yè)務(wù)人員用戶目錄統(tǒng)一訪問認(rèn)證主帳號授權(quán)從帳號授權(quán)賬號同步工具實(shí)體內(nèi)鑒權(quán)審計系統(tǒng)業(yè)務(wù)系統(tǒng)資源用戶身份管理用戶授權(quán)邏輯架構(gòu)訪問授權(quán)策略庫賬號信集中的審計中心哪些人訪問了系統(tǒng)？具體時間段訪問量的大小?今天上午有多少人訪問郵箱？上個月有多少人進(jìn)行了賬號申請？具體權(quán)限？管理員上周的賬號操作都有哪些？誰審批了我的流程？有哪些不合規(guī)的操作？系統(tǒng)中有哪些警告？集中的審計中心哪些人訪問了系統(tǒng)？系統(tǒng)架構(gòu)設(shè)計-身份管理和訪問控制信息流根據(jù)現(xiàn)狀與需求分析得到的建設(shè)需求與功能需求，結(jié)合對身份管理與認(rèn)證權(quán)限管理技術(shù)的選擇，我們可以進(jìn)一步細(xì)化和充實(shí)系統(tǒng)框架，從而設(shè)計出身份管理與認(rèn)證平臺的功能架構(gòu)。系統(tǒng)架構(gòu)設(shè)計-身份管理和訪問控制信息流根據(jù)現(xiàn)狀與需求分析得到項(xiàng)目實(shí)施思路測試環(huán)境部署與實(shí)施帳號梳理和建立企業(yè)目錄測試環(huán)境準(zhǔn)備與搭建身份管理和訪問控制組件開發(fā)和測試應(yīng)用集成測試和聯(lián)調(diào)生產(chǎn)環(huán)境部署與實(shí)施生產(chǎn)系統(tǒng)部署數(shù)據(jù)初始化身份管理和訪問控制組件開發(fā)和測試應(yīng)用集成測試和聯(lián)調(diào)系統(tǒng)培訓(xùn)運(yùn)行和維護(hù)生產(chǎn)環(huán)境試運(yùn)行系統(tǒng)正式運(yùn)行系統(tǒng)總體架構(gòu)設(shè)計總體邏輯架構(gòu)設(shè)計總體部署架構(gòu)選擇系統(tǒng)高可用性設(shè)計帳號生命周期管理設(shè)計帳號管理策略設(shè)計密碼管理策略設(shè)計LDAP架構(gòu)規(guī)劃帳號命名規(guī)則設(shè)計數(shù)據(jù)初始化策略設(shè)計認(rèn)證和授權(quán)設(shè)計認(rèn)證和授權(quán)策略設(shè)計應(yīng)用集成方案設(shè)計帳號同步方案設(shè)計單點(diǎn)登錄方案設(shè)計帳號管理調(diào)研和分析調(diào)研人員、組織機(jī)構(gòu)應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)帳號信息確定組織權(quán)威用戶數(shù)據(jù)源分析應(yīng)用、主機(jī)帳號數(shù)據(jù)和權(quán)威數(shù)據(jù)的差異功能性需求定義帳號管理訪問控制授權(quán)管理審計管理非功能性需求定義系統(tǒng)高可用性需求可擴(kuò)展性需求可維護(hù)性需求可操作性需求需求定義系統(tǒng)設(shè)計系統(tǒng)部署TIM(TivoliImplementationMethodology)實(shí)施方法論支撐項(xiàng)目管理（項(xiàng)目管理方法論支撐）項(xiàng)目實(shí)施思路測試環(huán)境部署與實(shí)施系統(tǒng)總體架構(gòu)設(shè)計帳號管理調(diào)研和項(xiàng)目實(shí)施規(guī)劃(案例，僅供參考)M12M9M8M7M6M5M4M3M2M1需求分析與設(shè)計用戶管理和訪問控制集成測試與二次開發(fā)系統(tǒng)集成聯(lián)調(diào)測試系統(tǒng)投產(chǎn)部署試運(yùn)行項(xiàng)目管理需求調(diào)研與分析系統(tǒng)架構(gòu)設(shè)計測試環(huán)境搭建用戶身份管理集成&開發(fā)測試聯(lián)調(diào)測試系統(tǒng)試運(yùn)行時間管理風(fēng)險管理溝通管理資源管理設(shè)計完成開發(fā)測試完成用戶數(shù)據(jù)梳理統(tǒng)一認(rèn)證集成&開發(fā)測試生產(chǎn)環(huán)境部署生產(chǎn)環(huán)境集成上線系統(tǒng)上線項(xiàng)目啟動系統(tǒng)驗(yàn)收運(yùn)行維護(hù)項(xiàng)目實(shí)施規(guī)劃(案例，僅供參考)M12M9M8M7M6M5M4IAM系統(tǒng)平臺簡要介紹2015.3IAM系統(tǒng)平臺簡要介紹2015.3IAM平臺介紹需求分析架構(gòu)介紹實(shí)施過程……IAM平臺介紹需求分析身份管理和訪問控制面臨的挑戰(zhàn)用戶賬號不統(tǒng)一，沒有實(shí)現(xiàn)賬號之間的信息同步；一個賬號多人使用；在員工離職、換崗過程中無法對賬號變更進(jìn)行及時有效的管理。用戶身份認(rèn)證相對獨(dú)立，沒有統(tǒng)一規(guī)劃；各個信息系統(tǒng)訪問控制獨(dú)立，沒有建立統(tǒng)一的單點(diǎn)登錄體系；大多數(shù)系統(tǒng)采用賬號與口令認(rèn)證方式，安全強(qiáng)度低；所有授權(quán)管理和訪問控制缺少完整性、真實(shí)性、抗抵賴性等安全信任保障。用戶管理分散，管理的流程各自獨(dú)立，缺少一套用戶身份管理系統(tǒng)；賬號和員工沒有對應(yīng)關(guān)系，賬號以通用的名稱作為用戶名身份管理和訪問控制面臨的挑戰(zhàn)用戶賬號不統(tǒng)一，沒有實(shí)現(xiàn)賬號之間身份管理和訪問控制面臨的挑戰(zhàn)1，用戶提出帳號申請2，不同的申請?zhí)幚砹鞒?，策略、角色安全合規(guī)檢查4，審核批準(zhǔn)5，服務(wù)請求流轉(zhuǎn)6，系統(tǒng)管理員手工創(chuàng)建帳號7，用戶開始使用帳號審計信息丟失請求積壓請求延遲處理不斷增長的資源策略檢查不合規(guī)申請信息不完善身份管理和訪問控制面臨的挑戰(zhàn)1，用戶提出帳號申請2，不同的申身份管理和訪問控制需求身份管理需求提供用戶身份信息的集中管理和用戶賬號信息的統(tǒng)一與同步功能；提供全生命周期的用戶信息管理，包括注冊、審批、修改、禁用、刪除等流程化的操作；提供支持全局唯一的用戶身份標(biāo)識功能；提供支持多重身份的對應(yīng)關(guān)系及屬性連接功能；提供支持多種業(yè)務(wù)平臺的賬號管理連接功能；提供唯一用戶身份管理端口功能，實(shí)現(xiàn)自動化用戶信息更新；提供系統(tǒng)用戶自助服務(wù)訪問控制需求與各信息系統(tǒng)集成，為信息系統(tǒng)提供統(tǒng)一身份認(rèn)證及授權(quán)功能；提供多種認(rèn)證方式的連接和集成；提供單點(diǎn)登錄SSO功能提供基于策略的訪問控制支持大規(guī)模用戶信息存儲及訪問支持分級授權(quán)身份管理和訪問控制需求身份管理需求訪問控制需求系統(tǒng)框架設(shè)計根據(jù)以往實(shí)施經(jīng)驗(yàn)得到的建設(shè)需求與功能需求，結(jié)合對身份管理與認(rèn)證權(quán)限管理框架，企業(yè)用戶身份和認(rèn)證訪問管理系統(tǒng)框架如右圖所示：PortalMailOA主機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)框架設(shè)計根據(jù)以往實(shí)施經(jīng)驗(yàn)得到的建設(shè)需求與功能需求，結(jié)合對系統(tǒng)邏輯框架系統(tǒng)邏輯框架用戶身份全生命周期管理集中的、主動的、基于策略的賬號管理用戶身份全生命周期管理集中的、主動的、基于策略的賬號管理用戶身份管理邏輯流程用戶目錄用戶身份管理系統(tǒng)系統(tǒng)管理員業(yè)務(wù)系統(tǒng)/設(shè)備管理員審批流程賬號同步適配器用戶身份管理用戶同步工具原始用戶信息（HR、OA等）業(yè)務(wù)系統(tǒng)審計系統(tǒng)用戶身份管理邏輯流程用戶目錄用戶身份管理系統(tǒng)系統(tǒng)管理員業(yè)務(wù)系訪問控制邏輯架構(gòu)用戶目錄訪問授權(quán)策略庫Web瀏覽器統(tǒng)一訪問認(rèn)證服務(wù)器系統(tǒng)資源訪問管理服務(wù)器AIXLinux企業(yè)級服務(wù)總線系統(tǒng)票據(jù)管理系統(tǒng)農(nóng)村服務(wù)金融系統(tǒng)……票交系統(tǒng)中間業(yè)務(wù)平臺強(qiáng)認(rèn)證服務(wù)器審計系統(tǒng)訪問控制邏輯架構(gòu)用戶目錄訪問授權(quán)策略庫Web統(tǒng)一訪問認(rèn)證系統(tǒng)業(yè)務(wù)系統(tǒng)資源用戶身份管理用戶授權(quán)邏輯架構(gòu)訪問授權(quán)策略庫賬號信息回收賬號和角色信息同步業(yè)務(wù)/主機(jī)/系統(tǒng)管理員業(yè)務(wù)人員用戶目錄統(tǒng)一訪問認(rèn)證主帳號授權(quán)從帳號授權(quán)賬號同步工具實(shí)體內(nèi)鑒權(quán)審計系統(tǒng)業(yè)務(wù)系統(tǒng)資源用戶身份管理用戶授權(quán)邏輯架構(gòu)訪問授權(quán)策略庫賬號信集中的審計中心哪些人訪問了系統(tǒng)？具體時間段訪問量的大小?今天上午有多少人訪問郵箱？上個月有多少人進(jìn)行了賬號申請？具體權(quán)限？管理員上周的賬號操作都有哪些？誰審批了我的流程？有哪些不合規(guī)的操作？系統(tǒng)中有哪些警告？集中的審計中心哪些人訪問了系統(tǒng)？系統(tǒng)架構(gòu)設(shè)計-身份管理和訪問控制信息流根據(jù)現(xiàn)狀與需求分析得到的建設(shè)需求與功能需求，結(jié)合對身份管理與認(rèn)證權(quán)限管理技術(shù)的選擇，我們可以進(jìn)一步細(xì)化和充實(shí)系統(tǒng)框架，從而設(shè)計出身份管理與認(rèn)證平臺的功能架構(gòu)。系統(tǒng)架構(gòu)設(shè)計-身份管理和訪問控制信息流根據(jù)現(xiàn)狀與需求分析得到項(xiàng)目實(shí)施思路測試環(huán)境部署與實(shí)施帳號梳理和建立企業(yè)目錄測試環(huán)境準(zhǔn)備與搭建身份管理和訪問控制組件開發(fā)和測試應(yīng)用集成測試和聯(lián)調(diào)生產(chǎn)環(huán)境部署與實(shí)施生產(chǎn)系統(tǒng)部署數(shù)據(jù)初始化身份管理和訪問控制組件開發(fā)和測試應(yīng)用集成測試和聯(lián)調(diào)系統(tǒng)培訓(xùn)運(yùn)行和維護(hù)生產(chǎn)環(huán)境試運(yùn)行系統(tǒng)正式運(yùn)行系統(tǒng)總體架構(gòu)設(shè)計總體邏輯架構(gòu)設(shè)計總體部署架構(gòu)選擇系統(tǒng)高可用性設(shè)計帳號生命周期管理設(shè)計帳號管理策略設(shè)計密碼管理策略設(shè)計LDAP架構(gòu)規(guī)劃帳號命名規(guī)則設(shè)計數(shù)據(jù)初始化策略設(shè)計認(rèn)證和授權(quán)設(shè)計認(rèn)證和授權(quán)策略設(shè)計應(yīng)用集成方案設(shè)計帳號同步方案設(shè)計單點(diǎn)登錄方案設(shè)計帳號管理調(diào)研和分析調(diào)研人員、組織機(jī)構(gòu)應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)帳號信息確定組織權(quán)威用戶數(shù)據(jù)源分析應(yīng)用、主機(jī)帳號數(shù)據(jù)和權(quán)威數(shù)據(jù)的差異功能性需求定義帳號管理訪問控制授權(quán)管理審計管理非功能性需求定義系統(tǒng)高可用性需求可擴(kuò)展性需求可維護(hù)性需求可操作性需求需求定義系統(tǒng)設(shè)計系統(tǒng)部署TIM(TivoliImplementationMethodology)實(shí)施方法論支撐項(xiàng)目管理（項(xiàng)目管理方法論支撐）項(xiàng)目實(shí)施思路測試環(huán)境部署與實(shí)施系統(tǒng)總體架構(gòu)設(shè)計帳號管理調(diào)研和項(xiàng)目實(shí)施規(guī)劃(案例，僅供參考)M12M9M8M7