IDM身份管理平台5A功能架构

IDM身份管理平台5A功能架构

引用

CSDN

1.

https://blog.csdn.net/duanchuanttao/article/details/138131801

在数字化时代，企业面临着越来越复杂的安全挑战。随着企业内部应用的增多和多样化，如何有效管理和控制用户的访问权限、确保数据安全性以及满足合规性要求成为了一项迫切的任务。IDM（Identity Management）统一身份管理平台通过5A功能架构（认证、授权、账号管理、审计和应用管控），为企业提供了一体化的解决方案。

IDM身份管理平台5A功能架构

IDM统一身份管理平台满足企业对信息系统的统一用户管理、统一身份认证、统一授权管理以及安全审计的要求，能够实现各业务系统的统一登录和集中访问，实现用户身份和权限的统一认证与授权管理，为企业不同的业务系统提供统一的用户管理和认证服务。

1. 功能架构

IDM主要对组织、角色、人员进行管理，并对其所有的状态进行记录，如：初始化、审批中、已启用、已禁用等。账户统一管理可以实现从HR系统中获取组织用户数据，也可直接在IDM系统中录入数据。用户信息中的部分属性信息根据同步策略由HR系统或其它指定系统同步更新到用户目录，其它用户信息可在应用系统中各自进行维护。通过IDM统一用户信息后，发送到各个业务系统。

2. 系统架构

IDM主要是实现统一认证、授权、审计管理，提高企业身份认证及访问安全，建立授权流程审批机制，使用户身份信息、授权信息、审批信息等操作更加规范化、标准化，提高整体IT架构的风险防范能力。消除企业系统间的信息孤岛，为各系统提供统一身份认证、用户身份管理服务，逐步实现系统身份系统的整合，构建面向用户的认证和授权服务，使业务操作更流畅。为简化IT运维提供强大的技术手段和标准，实现账户数据自动化同步操作，同时制定合规的安全服务规范，构建统一的、支撑企业级的认证授权安全服务基础设施。

3. 应用场景

在企业信息安全管理中，IDM统一身份管理平台的5A管控扮演着关键角色。这五个方面的功能：认证、授权、账号管理、审计和管理，共同构成对用户身份和访问权限的全面管理。通过IDM平台，企业能够确保用户身份的合法性、访问权限的精细控制、账号的安全管理、用户行为的监控和管理、以及身份管理系统本身的稳健运行。这种全面的管控手段为企业提供有效的安全保障，保护敏感信息不受未经授权的访问，提高企业的信息安全水平。

统一用户管理

IDM统一身份管理平台提供统一用户管理功能，使得企业可以在一个集中的平台上管理所有用户的身份信息、权限和访问控制策略。这种统一性简化了用户管理的复杂性，提高了安全性和管理效率。

场景说明

在企业内部，员工可能需要访问多个应用程序和资源，如邮箱、文件共享、内部网站等。使用统一用户的好处在于简化用户的登录流程，提高用户体验，同时也提升安全性和管理效率。企业使用统一用户后可以：

• 简化登录流程：用户只需使用一个统一的身份凭证即可登录企业的所有系统，通过IDM统一身份管理平台进行身份认证。
• 减少记忆负担：通过统一用户，用户无需记忆多个不同应用程序的登录凭证，只需要记住一个统一的凭证即可访问所有应用。
• 便于管理：管理员可以在IDM平台上集中管理用户的身份信息和访问权限，简化了用户管理和权限管理的流程，提高了管理效率。

实际步骤

企业一般用户是以人力部门为标准，一般是以HR为源头，通过IDM接收接口将组织、人员、岗位信息同步到IDM中，在IDM进行统一管理，然后通过分发接口分发到下游各个业务系统。IDM为用户提供统一集中的账号(组织、人员、岗位)管理及分发，实现员工入职、离职的一键式同步及分发。

注意事项

1. 确保同步更新：确保用户在IDM平台上的信息与各个应用程序的用户信息保持同步，避免因信息不一致导致的权限管理混乱。
2. 灵活配置权限：根据不同用户的工作职责和需要，灵活配置其访问权限，避免过度授权或权限不足的情况。
3. 加强身份验证：对于特别敏感的应用或操作，考虑采用额外的身份验证方式，如多因素认证，提高安全性。

统一认证

统一认证以统一用户管理为基础，对所有应用系统提供统一的认证方式和认证策略。通过单点登录技术，用户经过统一身份认证系统认证后，无需再次登录即可访问其它具有访问权限的应用系统。统一认证提供账号同步模块及接口，可通过账户管理中预置的接口实现，也可以与ESB集成平台协作，完成接口同步功能。统一认证的系统管理功能能够对业务系统的信息进行管理配置，用户可以对已录入的用户信息进行查询以及删除，信息修改可以修改当前用户的密码。

场景说明

1. CAS认证：
   CAS用于统一身份认证技术，Web应用系统提供一种可靠的单点登录解决方法，在实现统一身份认证过程中，一般CAS Server登录成功后只会给业务系统返回一个登录账号，但特殊情况需返回多个值，支持多种客户端，安全可靠。

2. Oauth认证：
   Oauth认证不会使第三方触及到用户的账号信息，不会以代码侵占的认证方式，通过认证平台登录账户成功后，会从定向业务系统的页面，调用Oauth接口获取token和用户信息，从而业务系统可以通过用户信息及直接的认证方式进行登录认证，这样就实现Oauth模式单点登录模式。

3. 接口认证：
   接口认证的使用场景和CAS、Oauth有所区别，接口认证主要是满足于桌面端、APP端等有独立的登录页面，同时也无法集成CAS登录页的情况，这种情况由于只能使用业务系统自己的登录页，所以IDM平台提供的认证接口用于满足统一认证的需求。

实际步骤

1. CAS认证：CAS认证是实际项目中要调用CAS相关的jar包内容，所以业务系统需要引用相关jar包，然后通过配置文件配置拦截器方式进行拦截到IDM登录页面实现统一认证。
2. Oauth认证：Oauth认证是通过业务系统调用Oauth的三个认证API进行获取用户信息，然后通过用户信息来进行业务系统内部认证来实现统一认证。
3. 接口认证：接口认证是一些客户端产品无法实现Oauth和CAS认证，接口认证先进行IDM认证，然后出参为用户信息，业务系统需要通过出参的获取用户信息进行登录认证。

注意事项

1. 安全性考虑：确保IDM平台的身份认证机制安全可靠，防止身份信息泄露或被恶意利用。
2. 性能优化：针对大量用户同时访问的情况，需要考虑优化单点登录的性能，保障系统的稳定运行。
3. 合理配置凭证策略：对于不同类型的用户，可以根据其安全需求和工作特性，灵活配置凭证策略，如密码复杂度要求、单点登录超时时间等。

统一权限管理

IDM统一身份管理平台提供统一权限管理功能，允许企业管理员集中管理用户的访问权限，包括角色管理、权限分配和访问控制策略制定等，从而确保用户对企业资源的访问权限得到全面控制和管理。

场景说明

在企业内部，不同的用户可能需要访问不同的应用和资源，而且其访问权限也有所差异。通过IDM平台的统一权限管理功能，企业管理员可以根据用户的身份、角色和工作需求，统一管理其访问权限，保障了企业资源的安全和合规性。并且从源头系统发给IDM身份管理平台的用户后，IDM将用户的权限配置后还可以将用户的权限统一发给下游系统中，由此来实现统一权限。

实际步骤

统一授权是在IDM管理业务系统下的角色和对应的功能资源（菜单资源、API资源、数据资源），通过对功能资源的角色授权，及下发权限资源的操作，进行业务系统下权限资源的统一管理。使其他业务系统的功能资源被IDM集中管控，从而实现统一授权。

注意事项

1. 权限粒度控制：确保权限的分配和访问控制策略的制定具有足够的粒度，以满足不同用户和应用的特定需求。
2. 定期审查权限：随着企业业务的变化，应定期审查和更新用户的权限，及时调整权限分配，避免过度授权或权限不足的情况。
3. 合规性考虑：确保权限管理和访问控制策略的制定符合相关的法律法规和行业标准，保障企业的合规性。

统一审计

IDM统一身份管理平台提供统一审计功能，允许企业管理员对用户的访问行为进行监控、记录和审计。通过审计功能，管理员可以跟踪用户的操作活动，及时发现异常行为并采取相应措施，从而确保企业信息系统的安全性和合规性。

场景说明

统一审计功能主要实现用户对应用系统访问情况进行统一监控、记录和为后续发生事故时提供可追查的机制。

实际步骤

认证日志：在用户登录IDM身份管理平台后即可在认证日志中查看登录用户信息，包括认证应用、用户编码、用户名称、访问地址、认证事件、认证状态以及访问类型。

操作日志：在用户进行增删改查以及对数据进行同步和分发时都会有对应的操作日志。

安全日志：在IDM身份管理平台进行分发密码以及在登录IDM所触发的认证策略和密码策略都会在安全日志中体现出来。

注意事项

1. 合规性需求：确保审计功能的设置和操作符合相关法律法规和行业标准的要求，保障企业的合规性。
2. 隐私保护：在审计过程中，需要注意保护用户的隐私信息，合法合规地进行审计监控。
3. 定期审查和分析：定期审查审计日志，分析用户行为，及时发现安全漏洞和风险，优化安全策略。

应用管控

5A管控中的4A已经介绍完毕，但是想要实现IDM的4A管控最重要的就是这第5A，即应用管理（AppControl）需要业务系统进行相应的应用配置。业务系统进行注册后才能够获取到数据的分发权限，提供相应的访问URL才可以与IDM进行相应的认证对接。

场景说明

应用管控是针对应用系统的分发权限（用户、组织、岗位哪些系统有权限）、应用系统的认证配置、应用系统的访问权限进行统一管控，实现IDM身份管理平台和其他系统的集成管理、用户管理以及认证管理。以用户身份为中心，解决企业当前权限管理面临的开通难、查询难、回收难和管理难的问题，实现企业全景业务权限的集中化、自动化、标准化、安全化、可视化、智能化、合理化、高效化，通过权限画像能力，加速企业权限管理建设，提升安全、效率、体验和降低权限管理与维护成本。

实际步骤

首先在应用管控中可以对各个下游系统进行配置包括基础信息、认证配置以及分发接口的管理，IDM统一身份管理平台可以有效实现对企业内部应用的5A管控，即对用户的认证、授权、账号管理、审计和安全策略的全面管控，提高了企业信息安全水平，保障了企业业务的稳健运行。

注意事项

1. 合理配置权限：管理员在设置用户权限时，应根据实际工作需要和安全策略，合理配置权限，避免过度授权或权限不足的情况。
2. 定期审查策略：随着企业业务的变化，应用管控策略也需要不断调整和优化。因此，定期审查和更新管控策略至关重要。
3. 保障隐私安全：在行为监控和审计过程中，需要确保用户隐私的保密性，合法合规地进行监控和审计，避免侵犯用户隐私。

总结说明

IDM统一身份管理平台通过统一认证、权限、审计等功能，实现了对企业内部应用的全面管控。统一认证简化了用户登录流程，提高了用户体验；统一权限管理确保了用户访问权限的精细控制；统一审计功能则实现了对用户行为的实时监控和审计。在应用管控过程中，合理配置权限、保障隐私安全以及定期审查和更新策略都至关重要。通过IDM平台的应用管控，企业可以提升信息安全水平，保障企业数据和资源的安全性和合规性。

过程总结

通过IDM统一身份管理平台实现5A管控的过程可以简洁概括为：统一认证、权限管理、审计监控。首先，通过统一认证功能，用户可以使用单一凭证访问多个应用，提高了用户体验和工作效率；其次，统一权限管理功能确保了对用户访问权限的精细控制，根据用户角色和需求进行权限分配；最后，审计监控功能实时记录和监控用户行为，及时发现异常并采取相应措施。这一过程有效保障了企业信息系统的安全性和合规性，提升了企业管理效率和数据安全水平。

重要事项

此篇文章主要针对IDM如何实现5A管控进行介绍。以下是重要事项：

1. 合理配置权限：确保对用户的访问权限进行精细化管理，根据用户的角色、职责和需要，灵活配置其访问权限，避免过度授权或权限不足的情况。
2. 审计日志记录：审计功能是监控和审查用户行为的重要手段。IDM平台应具备完善的审计日志记录功能，及时记录用户的登录、操作和权限变更等行为，以便审计和调查。
3. 确保在进行用户和组织数据同步时，维持一致性。及时更新用户信息、组织结构以及相关属性，以防止数据不一致性的问题。

最后说明

企业面临着日益复杂的信息安全挑战，而IDM统一身份管理平台的出现为企业提供了一种全面管控的解决方案。通过统一认证、权限管理和审计监控等功能，IDM平台实现了对用户身份、访问权限和行为的全面管控，提高了企业信息系统的安全性和合规性。在数字化转型的时代，企业需要重视信息安全管理，并选择适合自身需求的身份管理解决方案。IDM统一身份管理平台的应用管控功能为企业提供了一体化、全面性的解决方案，为企业保驾护航，助力其安全发展。通过合理配置权限、定期审查策略和保障隐私安全等措施，企业可以充分利用IDM平台的优势，提升信息安全水平，实现持续发展。