統(tǒng)一身份認(rèn)證管理系統(tǒng)建設(shè)方案

統(tǒng)一身份認(rèn)證管理系統(tǒng)建設(shè)方案TENDERREPORTOFIAM目錄CONTENTS01公司介紹02現(xiàn)狀分析03技術(shù)方案04案例介紹現(xiàn)狀分析登錄入口眾多登錄帳號不統(tǒng)一用戶生命周期過程混亂系統(tǒng)帳號權(quán)限分散管理缺少系統(tǒng)建設(shè)標(biāo)準(zhǔn)規(guī)范缺少授權(quán)管理流程隨著企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)不斷擴(kuò)展，以及所管轄的應(yīng)用系統(tǒng)日趨增多，同時(shí)各應(yīng)用系統(tǒng)的具有不同的用戶帳號，以及不同管理方式，同時(shí)具有不同的登錄與管理入口，給最終用戶的日常辦公帶來了麻煩（需要記多套用戶名/口令），同時(shí)給管理員日常的管理工作帶來了麻煩，需要進(jìn)入不同的應(yīng)用入口進(jìn)行不同的帳號和權(quán)限管理操作。等級保護(hù)2.0、ISO27001、塞班斯法案等要求合規(guī)問題安全問題管理問題用戶體驗(yàn)密碼安全、越權(quán)訪問、僵尸賬號等賬號權(quán)限管理、密碼服務(wù)、安全審計(jì)單點(diǎn)登錄、賬號申請流程現(xiàn)狀及痛點(diǎn)現(xiàn)狀分析現(xiàn)有身份管理體系中，僅針對內(nèi)部員工進(jìn)行管控，對外部用戶，如外包、臨時(shí)用戶等用戶無法進(jìn)行集中管理。同時(shí)對用戶信息的管理存在不規(guī)范、不安全等隱患。人員生命周期不完整各業(yè)務(wù)系統(tǒng)獨(dú)立維護(hù)各自帳號及權(quán)限，無法進(jìn)行集中控制。用戶的各系統(tǒng)權(quán)限無法進(jìn)行合規(guī)審計(jì)，權(quán)限分配過程難以追蹤。缺少帳號及權(quán)限管理流程目前系統(tǒng)僅基于AD域密碼進(jìn)行認(rèn)證，缺少其他安全認(rèn)證手段和能力，以及針對IP、設(shè)備等因素的風(fēng)險(xiǎn)訪問控制能力。同時(shí)基于Cookie的單點(diǎn)登錄標(biāo)準(zhǔn)存在泄漏、盜取的風(fēng)險(xiǎn)安全等級較低各業(yè)務(wù)系統(tǒng)獨(dú)立維護(hù)各自的帳號及權(quán)限，對用戶體驗(yàn)（申請過程）以及管理員運(yùn)維都造成不好的影響。同時(shí)對權(quán)限的統(tǒng)計(jì)分析難以進(jìn)行。權(quán)限管控分散各類系統(tǒng)分散的運(yùn)維管理方式，以及未整合集中管控的業(yè)務(wù)系統(tǒng)，對各類數(shù)的統(tǒng)計(jì)分析產(chǎn)生障礙。同時(shí)缺乏對用戶安全行為審計(jì)的能力。缺少統(tǒng)計(jì)分析及安全審計(jì)能力現(xiàn)有的管理體系中，缺乏對業(yè)務(wù)系統(tǒng)建設(shè)的參考依據(jù)和標(biāo)準(zhǔn)，降低系統(tǒng)建設(shè)周期及成本。更好的進(jìn)行系統(tǒng)集中管控和運(yùn)維。應(yīng)用系統(tǒng)缺少建設(shè)標(biāo)準(zhǔn)權(quán)限申請：入職時(shí)，如何申請多系統(tǒng)帳號與權(quán)限；系統(tǒng)訪問：訪問不同的系統(tǒng)，需要輸入不同的地址，多次輸入帳號和密碼；身份認(rèn)證：不同系統(tǒng)擁有不同身份認(rèn)證方式；自助服務(wù)：信息變更，需要在多個(gè)系統(tǒng)內(nèi)重復(fù)操作、處理；管理層面運(yùn)維層面用戶層面流程管理：如何規(guī)范化用戶入職、權(quán)限申請、離職流程；管控：誰應(yīng)該有什么系統(tǒng)的什么權(quán)限；管控：如何快速審計(jì)出，什么人在哪些系統(tǒng)有哪些權(quán)限；什么人什么時(shí)間登錄了什么系統(tǒng)；安全問題：系統(tǒng)使用的密碼是否安全，認(rèn)證手段是否符合要求，加密方式是否可信；數(shù)據(jù)問題：業(yè)務(wù)系統(tǒng)、用戶數(shù)據(jù)、組織數(shù)據(jù)、賬戶數(shù)據(jù)、認(rèn)證方式、授權(quán)體系相互獨(dú)立，數(shù)據(jù)非常分散，無法橫向打通。系統(tǒng)運(yùn)維：不同的系統(tǒng)，不同的用戶管理界面、管理流程，組織管理、用戶管理、權(quán)限管理，太復(fù)雜繁瑣；新系統(tǒng)建設(shè)：需要重復(fù)建設(shè)身份認(rèn)證模塊；建設(shè)成本高。面臨問題需求總結(jié)制定不同類別用戶生命周期管理流程，針對用戶自助的信息維護(hù)、帳號權(quán)限提供自動(dòng)化流程管理。管理流程制定規(guī)范、標(biāo)準(zhǔn)的系統(tǒng)接入方案，及平臺運(yùn)營管理方案。安全規(guī)范及標(biāo)準(zhǔn)對人、組織機(jī)構(gòu)、崗位、應(yīng)用、帳號、權(quán)限、日志等信息的集中化管理。身份管理統(tǒng)一安全標(biāo)準(zhǔn)建立統(tǒng)一的身份認(rèn)證標(biāo)準(zhǔn)體系及服務(wù)平臺，構(gòu)建標(biāo)準(zhǔn)化管理流程及認(rèn)證服務(wù)體系，個(gè)性化業(yè)務(wù)配置及個(gè)性化需求管控。建立集團(tuán)公司企業(yè)級用戶中心，整合員工、外部用戶等用戶群體，建立統(tǒng)一的數(shù)據(jù)中心。制定標(biāo)準(zhǔn)化的生命周期管理過程。數(shù)據(jù)集中化認(rèn)證體系服務(wù)、應(yīng)用權(quán)限管理、數(shù)據(jù)服務(wù)制定標(biāo)準(zhǔn)化管理過程。實(shí)現(xiàn)統(tǒng)一身份認(rèn)證的平臺級服務(wù)能力。服務(wù)標(biāo)準(zhǔn)化集成集團(tuán)及下屬單位的業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)系統(tǒng)的統(tǒng)一認(rèn)證、帳號及權(quán)限的統(tǒng)一分配。應(yīng)用整合向各應(yīng)用系統(tǒng)提供規(guī)范化的系統(tǒng)集成方案，從認(rèn)證、管理及用戶訪問層面保證系統(tǒng)及數(shù)據(jù)的安全性。安全規(guī)范化平臺建設(shè)目標(biāo)全生命周期人員管理體系，權(quán)威數(shù)據(jù)中心，高效便捷的管理模式，個(gè)性化策略管理。

人員管理機(jī)構(gòu)管理多維度組織機(jī)構(gòu)管理，個(gè)性化機(jī)構(gòu)策略，樹形組織結(jié)構(gòu)，機(jī)構(gòu)分級管理。

授權(quán)管理RBAC權(quán)限管理體系，應(yīng)用系統(tǒng)深度權(quán)限管理模式，細(xì)化用戶權(quán)限職責(zé)。項(xiàng)目過程中需要跟系統(tǒng)實(shí)現(xiàn)深度集成。

基于BPM流程實(shí)現(xiàn)自助化管理流程，實(shí)現(xiàn)帳號、權(quán)限的自助式管理，個(gè)性化流程審批模式及表單管理。自助流程安全控制基于訪問控制模塊，通過IP、時(shí)間等因素實(shí)現(xiàn)安全的訪問控制，提供多因素安全認(rèn)證服務(wù)。運(yùn)維規(guī)范建設(shè)標(biāo)準(zhǔn)的運(yùn)維管理規(guī)范，系統(tǒng)集成接入規(guī)范等。

建立權(quán)威、標(biāo)準(zhǔn)的數(shù)據(jù)中心，提供業(yè)務(wù)系統(tǒng)標(biāo)準(zhǔn)化數(shù)據(jù)服務(wù)。

基于關(guān)系型數(shù)據(jù)庫以及LDAP協(xié)議提供基礎(chǔ)服務(wù)。用戶數(shù)據(jù)中心統(tǒng)一認(rèn)證/SSOPC端、移動(dòng)端統(tǒng)一登錄入口，集中展示訪問系統(tǒng)列表，通過門戶實(shí)現(xiàn)一站式訪問及自助服務(wù)。

HR用戶群體上游數(shù)據(jù)源下游系統(tǒng)內(nèi)部人員外包用戶臨時(shí)用戶外部人員管理流程……OAERPCRM財(cái)務(wù)郵箱…….費(fèi)控其他用戶技術(shù)方案IAM統(tǒng)一身份認(rèn)證MFA多因素安全認(rèn)證UIP統(tǒng)一信息門戶WFM自助流程引擎IAM-SA身份認(rèn)證審計(jì)FPG細(xì)粒度權(quán)限管理產(chǎn)品基礎(chǔ)：全面的身份認(rèn)證解決方案SENSE解決方案概覽IAM統(tǒng)一身份認(rèn)證提供企業(yè)內(nèi)、外部用戶全生命周期的身份管理及訪問安全體系及標(biāo)準(zhǔn)，構(gòu)建人員、機(jī)構(gòu)、崗位、帳號、權(quán)限等基礎(chǔ)身份信息的標(biāo)準(zhǔn)化管理，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的集中認(rèn)證。UIP統(tǒng)一信息門戶基于輕量級門戶服務(wù)框架，構(gòu)建企業(yè)用戶統(tǒng)一信息門戶，旨在向企業(yè)用戶提供輕便、快捷、友好的統(tǒng)一登錄及自助服務(wù)門戶。WFM自助流程引擎基于Activity流程引擎，提供人員管理、帳號管理、權(quán)限管理及個(gè)性化自助服務(wù)等功能的電子化、標(biāo)準(zhǔn)化、可追溯化的管理方式。同時(shí)可向企業(yè)業(yè)務(wù)流程、辦公流程提供支持。MFA多因素安全認(rèn)證整合基于口令、證書、移動(dòng)設(shè)備、生物特征等多維度的認(rèn)證手段，構(gòu)建企業(yè)多因素安全認(rèn)證體系，向不同業(yè)務(wù)場景、業(yè)務(wù)系統(tǒng)、用戶群體提供不同的安全認(rèn)證服務(wù)體系。FPG細(xì)粒度權(quán)限管理面向不同業(yè)務(wù)系統(tǒng)、不同的崗位、組織、角色、功能、數(shù)據(jù)項(xiàng)等不同維度的權(quán)限，構(gòu)建統(tǒng)一權(quán)限管理中心，提供更高效、安全、便捷的運(yùn)維管理模式。IAM-SA身份認(rèn)證審計(jì)針對身份認(rèn)證體系中的人員、機(jī)構(gòu)、帳號、權(quán)限、訪問行為等的集中審計(jì)，一方面構(gòu)建標(biāo)準(zhǔn)的日志存儲(chǔ)、審查中心，以及相關(guān)的報(bào)表統(tǒng)計(jì)分析，同時(shí)針對用戶訪問行為進(jìn)行相關(guān)的安全控制。IAM解決方案，致力于解決企事業(yè)單位中應(yīng)用帳號、權(quán)限不統(tǒng)一、入口分散、越權(quán)訪問、應(yīng)用安全不合規(guī)等信息安全問題。解決方案應(yīng)用于內(nèi)控身份認(rèn)證、互聯(lián)網(wǎng)渠道整合、云身份認(rèn)證、物聯(lián)網(wǎng)身份認(rèn)證、多因素安全認(rèn)證、企業(yè)用戶主數(shù)據(jù)管理、企業(yè)級權(quán)限整合等場景。提升企業(yè)各方面綜合能力，提升用戶體驗(yàn)、提升身份管理運(yùn)營效率、提升訪問控制安全性、滿足安全審計(jì)合規(guī)性。構(gòu)建6個(gè)“A”的全面管理體系，實(shí)現(xiàn)對信息系統(tǒng)關(guān)聯(lián)對象進(jìn)行全面管控。Account企業(yè)人員及業(yè)務(wù)系統(tǒng)帳號的全生命周期管理，針對不同類型的人員及帳號建立不同的管理模式及規(guī)范制度。構(gòu)建標(biāo)準(zhǔn)化認(rèn)證服務(wù)體系，接管各業(yè)務(wù)系統(tǒng)的登錄認(rèn)證服務(wù)，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄功能。Authentication實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的集中授權(quán)管理功能，通過統(tǒng)一管理中心分配用戶在各系統(tǒng)中的訪問權(quán)限及深度的功能權(quán)限。Authorization建立集中化的應(yīng)用管理中心，提供統(tǒng)一的運(yùn)維管理中心，實(shí)現(xiàn)帳號、密碼、權(quán)限等基礎(chǔ)化運(yùn)維工作。Application針對系統(tǒng)間的數(shù)據(jù)交互API服務(wù)集中管控，建立API服務(wù)的標(biāo)準(zhǔn)身份驗(yàn)證，同時(shí)通過API服務(wù)網(wǎng)關(guān)進(jìn)一步提升服務(wù)安全性。API建立集中審計(jì)服務(wù)中心，整合各類管理行為日志、訪問行為日志以及統(tǒng)計(jì)分析類數(shù)據(jù)集中展示，并提供可視化報(bào)表。Audit6AIAM統(tǒng)一身份認(rèn)證解決方案整體平臺架構(gòu)統(tǒng)一門戶（現(xiàn)有門戶）WEB管理中心人員管理應(yīng)用管理策略配置……登錄入口應(yīng)用登錄中心權(quán)限管理……管理控制中心人員維護(hù)機(jī)構(gòu)維護(hù)帳號配置……風(fēng)險(xiǎn)分析引擎規(guī)則管理預(yù)警管理環(huán)境采集……身份數(shù)據(jù)中心人員信息機(jī)構(gòu)信息崗位信息應(yīng)用信息帳號信息權(quán)限信息策略數(shù)據(jù)日志數(shù)據(jù)認(rèn)證數(shù)據(jù)……認(rèn)證服務(wù)中心多因素認(rèn)證服務(wù)應(yīng)用分級認(rèn)證單點(diǎn)登錄……日志審計(jì)中心管理日志訪問行為日志統(tǒng)計(jì)分析報(bào)表……對外服務(wù)數(shù)據(jù)服務(wù)API接口服務(wù)目錄服務(wù)接口服務(wù)認(rèn)證API數(shù)據(jù)管理API……管理規(guī)范制度人員管理規(guī)范自助服務(wù)規(guī)范應(yīng)用集成規(guī)范系統(tǒng)擴(kuò)展規(guī)范系統(tǒng)運(yùn)維規(guī)范…….應(yīng)用系統(tǒng)SAPOABPMACADVPNERP財(cái)務(wù)郵件……前端入口應(yīng)用層對外服務(wù)層對接層統(tǒng)一認(rèn)證中心身份管理中心用戶管理流程IM身份管理系統(tǒng)API服務(wù)同步服務(wù)/ESB數(shù)據(jù)源HR應(yīng)用中心統(tǒng)一認(rèn)證門戶新聞公告應(yīng)用中心自助服務(wù)待辦中心AM認(rèn)證及單點(diǎn)登錄服務(wù)第三方認(rèn)證服務(wù)二維碼數(shù)字證書生物識別.....統(tǒng)一登錄入口API服務(wù)外部用戶管理流程用戶/組織用戶登錄單點(diǎn)登錄帳號/機(jī)構(gòu)/權(quán)限應(yīng)用鏈接財(cái)務(wù)應(yīng)用待辦賬號管理流程權(quán)限管理流程自助注冊服務(wù)數(shù)據(jù)存儲(chǔ)中心數(shù)據(jù)存儲(chǔ)身份數(shù)據(jù)、策略數(shù)據(jù)、日志數(shù)據(jù)待辦集成認(rèn)證校驗(yàn)用戶管理員集成配置認(rèn)證&SSO供應(yīng)商管理客戶會(huì)員內(nèi)網(wǎng)門戶供應(yīng)商門戶會(huì)員門戶OA郵件ERP費(fèi)控......BIMESBPM合同管理文檔管理......ToE應(yīng)用ToB應(yīng)用企業(yè)微信有度釘釘會(huì)員管理產(chǎn)品體驗(yàn)......ToC應(yīng)用內(nèi)部用戶B端用戶C端用戶總體邏輯功能架構(gòu)AD用戶全生命周期管理內(nèi)部員工外部用戶擴(kuò)展用戶企業(yè)內(nèi)部合同編制內(nèi)的員工，制定員工的入職、離職等標(biāo)準(zhǔn)的生命周期管理流程。對外包用戶的全生命周期管理功能，提供用戶的注冊、變更、離場、權(quán)限申請等功能。其他類型的用戶可自定義擴(kuò)展管理命名規(guī)范；管理流程；集中管理；自助中心；身份數(shù)據(jù)流向自助流程……HR源數(shù)據(jù)聚合數(shù)據(jù)處理數(shù)據(jù)加工數(shù)據(jù)融合數(shù)據(jù)梳理策略引擎組織架構(gòu)策略行政崗位策略應(yīng)用系統(tǒng)策略定義條件策略用戶類型策略分級管理策略屬性篩選策略用戶組策略崗位數(shù)據(jù)帳號數(shù)據(jù)組織數(shù)據(jù)人員數(shù)據(jù)權(quán)限數(shù)據(jù)數(shù)據(jù)輸出門戶AC……OABPMVPNADAPI輸出統(tǒng)一身份認(rèn)證平臺內(nèi)部員工入職流程內(nèi)部員工入職流程示例：財(cái)務(wù)部分用戶人力資源系統(tǒng)中辦理入職后，自動(dòng)在統(tǒng)一認(rèn)證系統(tǒng)中創(chuàng)建用戶身份，同時(shí)根據(jù)策略，默認(rèn)分配OA、郵件、財(cái)務(wù)等財(cái)務(wù)部門基礎(chǔ)的賬號權(quán)限。統(tǒng)一認(rèn)證系統(tǒng)用戶自動(dòng)同步策略校驗(yàn)··部門策略/崗位策略用戶身份創(chuàng)建···默認(rèn)賬號分配···人力資源······員工入職流程新入職員工業(yè)務(wù)系統(tǒng)自動(dòng)創(chuàng)建帳號AD飯卡……OAERP知識管理門禁內(nèi)部員工變更流程內(nèi)部員工入職流程示例：財(cái)務(wù)部門員工，因崗位調(diào)整后，調(diào)至法務(wù)部門，人力資源中變更信息后，統(tǒng)一認(rèn)證系統(tǒng)自動(dòng)完成崗位的變更，同時(shí)自動(dòng)更新該員工所有系統(tǒng)中的信息，并為用戶分配法務(wù)部門下的默認(rèn)用戶帳號權(quán)限。統(tǒng)一認(rèn)證系統(tǒng)用戶自動(dòng)同步策略校驗(yàn)··部門策略/崗位策略用戶身份變更···崗位權(quán)限調(diào)整···人力資源·······員工調(diào)崗流程調(diào)崗員工內(nèi)部員工調(diào)崗流程分配新崗位賬號業(yè)務(wù)系統(tǒng)自動(dòng)更新信息AD飯卡……OAERP知識管理門禁內(nèi)部員工離職更流程內(nèi)部員工入職流程示例：員工離職，人力資源完成相關(guān)離職手續(xù)后，統(tǒng)一認(rèn)證系統(tǒng)自動(dòng)進(jìn)行離職用戶處理，置用戶離職狀態(tài)，根據(jù)不同系統(tǒng)的回收策略，或離職注銷系統(tǒng)帳號，或指定時(shí)間后再進(jìn)行回收。統(tǒng)一認(rèn)證系統(tǒng)用戶自動(dòng)同步權(quán)限回收策略··立即回收/指定時(shí)間回收用戶身份離職處理···權(quán)限回收···人力資源·······員工離職流程離職員工內(nèi)部員工調(diào)崗流程內(nèi)部員工離職流程業(yè)務(wù)系統(tǒng)自動(dòng)注銷各系統(tǒng)帳號ADCRM……OAERP知識管理郵箱人與帳號的集中化管理IAM統(tǒng)一身份認(rèn)證OA郵件RESTFULLDAPJDBCWebservice財(cái)務(wù)ERP……RESTFUL內(nèi)部員工外部員工帳號OA帳號郵件帳號財(cái)務(wù)帳號……映射ERP帳號CRM帳號映射NNNN建立人與帳號多對多的關(guān)系（可一對一）。帳號策略規(guī)則一般帳號：一般應(yīng)用系統(tǒng)登錄帳號；公共帳號：多個(gè)公用類帳號，多用于部門公共使用，如公共郵箱、發(fā)文帳號等；服務(wù)帳號：系統(tǒng)接口服務(wù)帳號，用于管理接口服務(wù)調(diào)用權(quán)限驗(yàn)證；特權(quán)帳號：服務(wù)器或應(yīng)用系統(tǒng)管理員類帳號；帳號分類MFA多因素認(rèn)證服務(wù)基于密碼基于動(dòng)態(tài)口令基于證書基于生物認(rèn)證基于移動(dòng)設(shè)備AD/LDAP數(shù)據(jù)庫…….短信軟令牌…….CPKPKI…….指紋人臉識別…….二維碼NFC…….應(yīng)用系統(tǒng)訪問控制服務(wù)規(guī)則配置中心基于用戶規(guī)則基于應(yīng)用規(guī)則基于帳號規(guī)則基于時(shí)間規(guī)則基于IP規(guī)則基于設(shè)備規(guī)則基于用戶組規(guī)則基于條件組合規(guī)則……風(fēng)險(xiǎn)分析引擎多因素認(rèn)證解決方案多因素認(rèn)證服務(wù)實(shí)現(xiàn)分級認(rèn)證的總體目標(biāo)如下：應(yīng)用資源分級管理：實(shí)現(xiàn)應(yīng)用系統(tǒng)資源信息的集中管控，配置不同資源的認(rèn)證級別即認(rèn)證方式等；用戶身份驗(yàn)證：完成用戶認(rèn)證時(shí)的身份校驗(yàn)；單點(diǎn)登錄：訪問不同資源時(shí)，實(shí)現(xiàn)用戶的單點(diǎn)登錄，一站式訪問方式。MFA&應(yīng)用分級認(rèn)證驗(yàn)證級別基礎(chǔ)認(rèn)證1密碼/圖片組合2密碼/動(dòng)態(tài)口令3二維碼強(qiáng)認(rèn)證4匿名訪問0自定義n驗(yàn)證強(qiáng)度等級……圖片驗(yàn)證碼動(dòng)態(tài)口令二維碼認(rèn)證指紋認(rèn)證密碼驗(yàn)證認(rèn)證模塊應(yīng)用資源OA郵件財(cái)務(wù)ERPCRM…….認(rèn)證策略SSO方案CASSAMLHttpHeaderOAuthSSOFormBase代填第三方API通過模擬用戶的輸入，完成用戶名和密碼的代填。一種開放認(rèn)證協(xié)議，為用戶提供基于令牌式的安全認(rèn)證，支持跨域和單點(diǎn)登錄，一般用于移動(dòng)應(yīng)用單點(diǎn)登錄實(shí)現(xiàn)基于第三方應(yīng)用API實(shí)現(xiàn)SSO，如OA、CRM、郵件等。標(biāo)準(zhǔn)聯(lián)邦認(rèn)證協(xié)議，通過IDP和SP進(jìn)行單點(diǎn)登錄，支持跨域認(rèn)證和單點(diǎn)一種開放認(rèn)證協(xié)議，為用戶資源的授權(quán)提供了一個(gè)安全的、開放而又簡易的標(biāo)準(zhǔn)，一般用于移動(dòng)應(yīng)用單點(diǎn)登錄通過HTTPHeader傳輸用戶名，組到應(yīng)用，應(yīng)用要獲取USERID或其他信息完成登錄。移動(dòng)APPSSO整合Authorization-統(tǒng)一授權(quán)體系OA郵件RESTFULLDAPJDBCWebserviceBICRM……RESTFULIAM統(tǒng)一身份認(rèn)證HR系統(tǒng)經(jīng)銷商/供應(yīng)商人員組織崗位人員崗位權(quán)限管理引擎統(tǒng)一授權(quán)管理中心，實(shí)現(xiàn)系統(tǒng)入口及深度的權(quán)限管理，包括帳號/組織/崗位/角色/菜單/功能/數(shù)據(jù)級權(quán)限等。權(quán)限元素應(yīng)用權(quán)限整合步驟實(shí)現(xiàn)權(quán)限集中管理的五個(gè)過程：在用戶權(quán)限中心中，維護(hù)對應(yīng)系統(tǒng)的權(quán)限元素，角色、部門、項(xiàng)目、數(shù)據(jù)范圍等均是權(quán)限元素，包括各元素的基礎(chǔ)屬性；權(quán)限元素定義為應(yīng)用授權(quán)進(jìn)行建模，以用戶為中心進(jìn)行權(quán)限模型的配置，通過角色進(jìn)行授權(quán)，角色下關(guān)聯(lián)菜單、按鈕等授權(quán)方式；多維權(quán)限建模定義權(quán)限數(shù)據(jù)同步方式，由各系統(tǒng)通過用戶權(quán)限中心的標(biāo)準(zhǔn)API進(jìn)行同步，或是應(yīng)用系統(tǒng)提供接口來完成推送；權(quán)限接口定義梳理系統(tǒng)中用戶授權(quán)的維度，明確是按角色、部門、項(xiàng)目、數(shù)據(jù)范圍等不同維度授權(quán)，便于構(gòu)建權(quán)限模型；業(yè)務(wù)權(quán)限梳理制定授權(quán)流程，由系統(tǒng)管理員手工完成授權(quán)，亦或是通過個(gè)性化流程完成權(quán)限自助管理；授權(quán)模式定義業(yè)務(wù)系統(tǒng)ORBAC：ObjectRule-BasedAccessControl，基于對象規(guī)則的訪問控制機(jī)制，將應(yīng)用權(quán)限轉(zhuǎn)化為對象概念，將對象的管理規(guī)則化，不同的對象資源設(shè)置不同的授權(quán)規(guī)則，滿足集中化管理。權(quán)限管控中心權(quán)限元素權(quán)限元素定義多維權(quán)限建模權(quán)限接口定義業(yè)務(wù)權(quán)限梳理授權(quán)模式定義權(quán)限管理引擎帳號機(jī)構(gòu)崗位角色用戶組流程菜單讀權(quán)限寫權(quán)限刪除權(quán)限業(yè)務(wù)權(quán)限管理解決方案Audit-安全審計(jì)服務(wù)行為審計(jì)用戶登錄用戶登出信息修改密碼修改應(yīng)用訪問申請服務(wù)員工入職員工離職員工轉(zhuǎn)崗組織調(diào)整帳號分配權(quán)限分配配置操作用戶統(tǒng)計(jì)帳號統(tǒng)計(jì)異常登錄統(tǒng)計(jì)接口服務(wù)統(tǒng)計(jì)不活動(dòng)用戶統(tǒng)計(jì)密碼數(shù)據(jù)統(tǒng)計(jì)越權(quán)訪問異常數(shù)據(jù)管理員管理行為用戶訪問行為數(shù)據(jù)安全審計(jì)Audit-安全審計(jì)服務(wù)“安全審計(jì)中心”全方位記錄行為日志。對不符合策略的非法訪問或操作行為，進(jìn)行實(shí)時(shí)記錄并報(bào)警形成審計(jì)日志與報(bào)表，為IT的安全合規(guī)審計(jì)提供依據(jù)能夠?yàn)榉治鲇脩粜袨椤㈩I(lǐng)導(dǎo)決策提供數(shù)據(jù)幫助報(bào)表設(shè)計(jì)器報(bào)表管理中心WEB服務(wù)數(shù)據(jù)源報(bào)表數(shù)據(jù)檢索報(bào)表呈現(xiàn)數(shù)據(jù)安全報(bào)表推送報(bào)表服務(wù)提供可視化界面查詢及統(tǒng)計(jì)報(bào)表功能。安全審計(jì)&風(fēng)險(xiǎn)控制用戶移動(dòng)設(shè)備PC設(shè)備公有云網(wǎng)絡(luò)私有網(wǎng)絡(luò)專線本地網(wǎng)絡(luò)VPN網(wǎng)絡(luò)用戶注冊登錄行為密碼修改資源訪問注銷登錄注冊風(fēng)險(xiǎn)識別高危IP檢測登錄風(fēng)險(xiǎn)識別用戶行為畫像設(shè)備風(fēng)險(xiǎn)檢測應(yīng)用風(fēng)險(xiǎn)識別……風(fēng)險(xiǎn)分值風(fēng)險(xiǎn)標(biāo)簽強(qiáng)認(rèn)證請求攔截消息通知平臺告警……結(jié)果應(yīng)用構(gòu)建統(tǒng)一規(guī)范制度和集成標(biāo)準(zhǔn)03統(tǒng)一身份認(rèn)證平臺運(yùn)維管理規(guī)范02統(tǒng)一身份認(rèn)證平臺應(yīng)用集成技術(shù)指南01統(tǒng)一身份認(rèn)證平臺用戶管理辦法05統(tǒng)一身份認(rèn)證平臺平臺定制化開發(fā)規(guī)范04統(tǒng)一身份認(rèn)證平臺用戶自助服務(wù)手冊統(tǒng)一身份管理系統(tǒng)建設(shè)從管理規(guī)范、用戶體驗(yàn)、安全審計(jì)等方面出發(fā)，根據(jù)企業(yè)現(xiàn)狀，建設(shè)具有企業(yè)特色，符合國家安全管理規(guī)范、提升IT系統(tǒng)建設(shè)水平、提升用戶體驗(yàn)。統(tǒng)一管理中心組織/用戶/賬號統(tǒng)一存儲(chǔ)，統(tǒng)一管理，解決組織和用戶信息分散管理，各系統(tǒng)數(shù)據(jù)不一致的問題。

1統(tǒng)一訪問入口用戶從統(tǒng)一的入口登錄，不再需要從各應(yīng)用系統(tǒng)登陸，簡化了登陸入口。2一站式訪問所有用戶使用統(tǒng)一認(rèn)證方案認(rèn)證，并通過單點(diǎn)登錄提升用戶體驗(yàn)。3單點(diǎn)門戶用戶從單點(diǎn)門戶能直接看到應(yīng)用系統(tǒng)鏈接、公司公告、代辦。4自助化管理用戶通過自助的方式找回密碼、申請權(quán)限、修改個(gè)人信息，節(jié)省用戶等待時(shí)間。5審計(jì)報(bào)表對平臺的管理行為、用戶訪問行為、數(shù)據(jù)安全審計(jì)，記錄日志，并轉(zhuǎn)化成數(shù)字報(bào)表。6短期項(xiàng)目收益規(guī)范化應(yīng)用系統(tǒng)的規(guī)范化建設(shè)用戶身份的規(guī)范化管理用戶訪問規(guī)范化統(tǒng)一化統(tǒng)一的訪問入口統(tǒng)一的管理統(tǒng)一的用戶認(rèn)證統(tǒng)一的數(shù)據(jù)存儲(chǔ)全集團(tuán)統(tǒng)一覆蓋、統(tǒng)一使用安全生產(chǎn)及等保2.0建設(shè)符合等保2.0的要求的身份管理提升系統(tǒng)安全性，保障用戶的訪問安全標(biāo)準(zhǔn)化單點(diǎn)登錄接口標(biāo)準(zhǔn)化數(shù)據(jù)同步接口標(biāo)準(zhǔn)化應(yīng)用對接流程標(biāo)準(zhǔn)化從長遠(yuǎn)來看，本系統(tǒng)的建設(shè)具有一下收益：統(tǒng)一身份管理長遠(yuǎn)項(xiàng)目收益案例分享財(cái)務(wù)系統(tǒng)、OA系統(tǒng)POS系統(tǒng)、一物一碼系統(tǒng)、WMS系統(tǒng)、ERP系統(tǒng)地產(chǎn)平臺、停車場系統(tǒng)保理租賃系統(tǒng)、OA系統(tǒng)、HR、檔案、風(fēng)控軟件

系統(tǒng)KMP/LMPKMP郵件系統(tǒng)經(jīng)營助手報(bào)表平臺知識管理平臺人才中心分析決策平臺BW/BO……NC系統(tǒng)立購臺OSAPDMS系統(tǒng)O2ODDCEDI系統(tǒng)KA管理信息系統(tǒng)導(dǎo)購管理系統(tǒng)網(wǎng)上簽收系統(tǒng)門店信息管理系統(tǒng)SFAB2C……SAP系統(tǒng)運(yùn)輸系統(tǒng)客服系統(tǒng)……域管理系統(tǒng)桌面管理VPN系統(tǒng)堡壘機(jī)郵件網(wǎng)關(guān)防火墻上網(wǎng)行為管理趨勢殺毒軟件負(fù)載均衡系統(tǒng)異地容災(zāi)系統(tǒng)防火墻網(wǎng)絡(luò)管理KVM系統(tǒng)機(jī)房環(huán)境管理防篡改系統(tǒng)……辦公類營銷類供應(yīng)鏈類安全運(yùn)維類登錄入口眾多登錄帳號不統(tǒng)一人員生命周期不完整系統(tǒng)帳號及密碼分散管理應(yīng)用系統(tǒng)缺少建設(shè)標(biāo)準(zhǔn)缺少帳號及權(quán)限管理流程項(xiàng)目背景分析：系統(tǒng)現(xiàn)狀分析第一期已實(shí)現(xiàn)后期規(guī)劃陸續(xù)對接后期規(guī)劃陸續(xù)對接整體規(guī)劃目標(biāo)：構(gòu)建用戶中心把各個(gè)獨(dú)立的系統(tǒng)用戶，集中到用戶中心，實(shí)現(xiàn)統(tǒng)一用戶管理、統(tǒng)一身份認(rèn)證、單點(diǎn)登錄、授權(quán)管理、集中監(jiān)控和審計(jì)等，成為權(quán)威用戶數(shù)據(jù)中心。項(xiàng)目建設(shè)目標(biāo)用戶中心SAPNC郵箱微門戶其它……一套標(biāo)準(zhǔn)一個(gè)中心40+系統(tǒng)+∞用戶平臺級服務(wù)成本下降體驗(yàn)提升安全性提升規(guī)范流程命名規(guī)則人員標(biāo)識規(guī)范內(nèi)部員工8位員工號導(dǎo)購員8位數(shù)字工號外部員工EXT+6位數(shù)字臨時(shí)用戶VT+6位數(shù)字供應(yīng)商供應(yīng)商編碼經(jīng)銷商…….其他用戶……系統(tǒng)帳號命名規(guī)范IDM登錄ID規(guī)范標(biāo)準(zhǔn)人員標(biāo)識手機(jī)號姓+名縮寫存量帳號（保持原有方式）人員標(biāo)識