近期,拜訪不少對(duì)“數(shù)字化工廠”有興趣的客戶��,在走訪中發(fā)現(xiàn)很多企業(yè)信息系統(tǒng)的不斷增加�����,企業(yè)在相關(guān)信息系統(tǒng)的安全管理與使用方面也讓許多高層管理者與信息部負(fù)責(zé)感到迷惑�,比如:- 系統(tǒng)用戶管理分散,給IT帶來(lái)管理工作帶來(lái)巨大的負(fù)擔(dān)��,形成諸多不便����;
- 分散管理導(dǎo)致安全策略在實(shí)施中容易出偏差��,產(chǎn)生安全隱患��;
- 賬戶太多����,多次登錄���,用戶體驗(yàn)差���,系統(tǒng)安全難保障;
- 用戶行為難審計(jì)���,責(zé)任難追蹤�;
- 各應(yīng)用用戶信息資源不能獲得充分利用�����,未充分發(fā)揮其效能���。
針對(duì)如何解決以上問(wèn)題?近幾天結(jié)合以前的一點(diǎn)經(jīng)驗(yàn)查詢相關(guān)資料�,提出了以下幾點(diǎn)��,希望能給各位信息化管理朋友有所幫助�����。 企業(yè)需要建立用戶統(tǒng)一認(rèn)證系統(tǒng)��,提供統(tǒng)一賬戶管理��、統(tǒng)一授權(quán)管理�、統(tǒng)一認(rèn)證服務(wù)和統(tǒng)一日志審計(jì)管理等功能��?����?傮w架構(gòu)如圖所示�����。
1��、統(tǒng)一身份認(rèn)證服務(wù)系統(tǒng):為應(yīng)用系統(tǒng)提供統(tǒng)一的用戶在線身份認(rèn)證功能����,包括統(tǒng)一登錄入口����、在線身份認(rèn)證��、在線安全令牌簽發(fā)���、用戶登錄狀態(tài)維護(hù)��、單點(diǎn)登錄/單點(diǎn)登出處理等�。2�、統(tǒng)一身份與授權(quán)管理系統(tǒng):為安全管理提供統(tǒng)一賬戶管理、統(tǒng)一授權(quán)管理�、統(tǒng)一證書(shū)管理及統(tǒng)一配置管理的人機(jī)界面。3��、用戶統(tǒng)一身份管理系統(tǒng):集中保存用戶身份相關(guān)信息及應(yīng)用訪問(wèn)授權(quán)信息��,如用戶賬戶�、用戶組、角色��、應(yīng)用訪問(wèn)控制策略等信息�;所使用的數(shù)據(jù)庫(kù)包括LDAP(輕型目錄訪問(wèn)協(xié)議)和關(guān)系數(shù)據(jù)庫(kù)。4、日志審計(jì)系統(tǒng):對(duì)管理員登錄統(tǒng)一信任管理平臺(tái)的操作日志和用戶登錄應(yīng)用系統(tǒng)的操作日志進(jìn)行集中保存和管理����,功能包括日志保存��、查看��、制表導(dǎo)出(RTF�、PDF)、歸檔(日志數(shù)據(jù)導(dǎo)出)等�����。5����、服務(wù)引擎:針對(duì)系統(tǒng)共性服務(wù)功能,全部通過(guò)采用單獨(dú)服務(wù)引擎的方式來(lái)實(shí)現(xiàn)��,并提供完善的調(diào)用接口�,方便當(dāng)前系統(tǒng)或者第三方系統(tǒng)進(jìn)行調(diào)用,其中數(shù)據(jù)流引擎和數(shù)據(jù)交換引擎主要目的是為了實(shí)現(xiàn)異構(gòu)數(shù)據(jù)庫(kù)應(yīng)用之間的數(shù)據(jù)同步和訂閱功能����,方便于對(duì)多應(yīng)用的數(shù)據(jù)管理,消息引擎主要功能為針對(duì)系統(tǒng)待發(fā)送的消息�、通知等內(nèi)容可以通過(guò)第三方消息服務(wù)來(lái)完成�����,如短信���、郵件等,審計(jì)服務(wù)引擎主要為了實(shí)現(xiàn)對(duì)第三方系統(tǒng)提供標(biāo)準(zhǔn)日志服務(wù)�����。
統(tǒng)一身份管理系統(tǒng)提供了四種與應(yīng)用集成的方式:1���、插入登錄頁(yè)面方式:通過(guò)在應(yīng)用系統(tǒng)中插入新的登錄頁(yè)面實(shí)現(xiàn)集成����,插入的頁(yè)面對(duì)用戶完全透明���,對(duì)應(yīng)用系統(tǒng)的性能和處理邏輯不造成任何影響的改變��;對(duì)應(yīng)的集成組件是標(biāo)準(zhǔn)化的登錄頁(yè)面�。2����、修改登錄頁(yè)面方式:對(duì)應(yīng)用原有登錄頁(yè)面進(jìn)行修改����,調(diào)用統(tǒng)一身份管理系統(tǒng)提供的API����;支持目前常用的Web編程語(yǔ)言����,如java/.net/php;對(duì)應(yīng)的集成組件是單點(diǎn)登錄API�。3、HTTP插件和擴(kuò)展模塊方式:利用Web平臺(tái)提供的擴(kuò)展機(jī)制�����,在不對(duì)應(yīng)用系統(tǒng)本身做任何修改的情況下�����,插入(如Filter)或加入實(shí)現(xiàn)單點(diǎn)登錄功能的模塊(如JAASLoginModule)���;這種方式只需要修改Web系統(tǒng)的配置信息�����,插入或加入額外的單點(diǎn)登錄模塊�,對(duì)用戶和應(yīng)用系統(tǒng)都是透明的;對(duì)應(yīng)的集成組件是HTTP插件或登錄擴(kuò)展模塊��。4�����、安全網(wǎng)關(guān)接入模式:采用安全認(rèn)證網(wǎng)關(guān)實(shí)現(xiàn)應(yīng)用的接入�����,這種接入方式對(duì)信息系統(tǒng)不需要做任何的修改�����,一個(gè)安全網(wǎng)關(guān)可以接入多個(gè)應(yīng)用系統(tǒng)�,一個(gè)應(yīng)用系統(tǒng)也可以對(duì)應(yīng)多個(gè)安全認(rèn)證網(wǎng)關(guān)實(shí)現(xiàn)負(fù)載均衡;主要針對(duì)采用Form身份認(rèn)證方式且無(wú)法修改��、插入或加入擴(kuò)展模塊的Web應(yīng)用系統(tǒng)���;對(duì)應(yīng)的集成組件是安全網(wǎng)關(guān)�、如圖所示。
實(shí)現(xiàn)功能
應(yīng)用通過(guò)以上方式完成同一身份管理系統(tǒng)的集成�,即可實(shí)現(xiàn)統(tǒng)一認(rèn)證,企業(yè)門(mén)戶調(diào)用相應(yīng)的接口即可實(shí)現(xiàn)單點(diǎn)登錄登出功能�。 通過(guò)統(tǒng)一身份管理系統(tǒng),可以達(dá)到以下的效果:1���、統(tǒng)一賬戶管理:通過(guò)統(tǒng)一的管理入口���,在企業(yè)范圍內(nèi)對(duì)員工在信息系統(tǒng)中的身份或賬戶進(jìn)行集中、統(tǒng)一的管理�����。2��、統(tǒng)一權(quán)限或授權(quán)管理:通過(guò)統(tǒng)一的管理入口����,在企業(yè)范圍內(nèi)對(duì)員工在信息系統(tǒng)中的訪問(wèn)權(quán)限訪問(wèn)控制策略進(jìn)行集成���、統(tǒng)一的管理以及基于角色的訪問(wèn)授權(quán)與控制��。3��、統(tǒng)一身份認(rèn)證入口與單點(diǎn)登錄:通過(guò)采用提供統(tǒng)一身份認(rèn)證(登錄)入口�,實(shí)現(xiàn)企業(yè)范圍內(nèi)信息系統(tǒng)訪問(wèn)的統(tǒng)一身份認(rèn)證和單點(diǎn)登錄,在保證安全的同時(shí)����,為用戶訪問(wèn)企業(yè)信息系統(tǒng)提供便捷,改善用戶體驗(yàn)���。4��、統(tǒng)一的系統(tǒng)安全配置管理:通過(guò)集中的管理界面和平臺(tái)�����,對(duì)企業(yè)信息系統(tǒng)的與身份認(rèn)證有關(guān)的安全配置進(jìn)行統(tǒng)一管理�。5�、統(tǒng)一安全審計(jì):能對(duì)用戶訪問(wèn)企業(yè)信息系統(tǒng)的情況以及系統(tǒng)管理人員進(jìn)行管理的操作行為進(jìn)行統(tǒng)一記錄,并以日志記錄的形式集中保存在專門(mén)的審計(jì)數(shù)據(jù)庫(kù)中��,在出現(xiàn)問(wèn)題時(shí)����,能夠通過(guò)操作日志,及時(shí)確定產(chǎn)生問(wèn)題的原因�����,并確定相關(guān)的責(zé)任人。 總結(jié):“數(shù)字化工廠”沒(méi)有完美的實(shí)施方案���,只會(huì)不斷行走在向完美追求的路上��。
該文章在 2023/5/25 10:06:49 編輯過(guò)
400 186 1886
