時代億信認證墻系列產品為B/S、C/S業務系統、網絡設備、主機、數據庫等資源,提供高性能的安全認證、統一接入、訪問控制、用戶管理、安全審計服務,滿足企業對多種異構資源的認證及訪問控制需求。
認證墻UAP-U統一用戶管理產品提供用戶生命周期管理服務,通過靈活的數據同步和梳理策略,可以將分散在各個應用系統中的用戶帳戶信息、組織機構信息進行整合,建立統一數據規范并同步給各個應用系統。
企業應用系統用戶管理現狀
獨立規劃、獨立建設是企業應用系統建設過程中的普遍現象,不同應用系統有不同的數據標準,造成企業用戶數據管理工作難度大、成本高,還存在較大的安全隱患:
企業統一用戶管理建設難點
產品組成
UAP-U產品的基本組成包括:統一用戶管理平臺、數據同步工具、數據梳理工具以及企業目錄這四部分組成。
UAP-U 產品的解決之道
UAP-U產品通過以下幾方面措施解決企業在實施統一用戶管理項目中的各類難點問題:
專門的數據分析整理工具
UAP-U產品所配置的數據同步工具和數據梳理工具,具備其他同類產品所缺少的數據建模、同步、梳理、轉換等關鍵功能,能夠高效的實現對企業現有應用系統用戶信息的整理,在最短時間內形成企業標準規范的用戶信息數據,大幅減少統一用戶管理體系建立的周期。
豐富的適配器,廣泛的應用支持
為了更好地適應企業應用系統,減少二次開發和定制修改工作,UAP-U產品內置了大量豐富的應用適配器和數據適配器。
應用適配器支持IBM、Oracle、SAP、微軟、金蝶、用友等廠商的OA、ERP、CRM、HR、郵件、即時通訊等各類標準應用軟件,實現了開箱即用。
數據適配器支持Oracle、DB2、SQLServer、MySQL等主流數據庫,支持各類LDAP V3標準的目錄服務器,如IBM TDS、Oracle Directory Server、南大通用、南開創元等,支持微軟AD服務器,并具有WebService數據同步接口。通過上述接口,UAP-U產品可以無縫對接各類數據源,也可以向各類應用系統同步數據。
具備統一認證、單點登錄、統一用戶管理的一體化解決方案
時代億信專門為企業提供了“統一用戶管理、統一身份認證、統一訪問授權”的整體安全解決方案。
如右圖所示,內網中的所有業務系統均與UAP-U產品集成,加入統一用戶管理體系中,同時集成UAP-S統一認證與訪問控制產品,每個業務系統都將認證請求提交到UAP-S產品進行認證,從UAP-U產品中獲得訪問授權,真正的將企業目錄作為企業內部{wy}的認證源。
同時,在根據需求部署UAP-G產品,利用產品間的SmartCOM接口,將UAP-G產品、UAP-U統一用戶管理產品和UAP-S統一認證產品融為一體,使用戶經過一次認證,便可獲得全網的授權。
實施案例簡介
某集團公司具有眾多下屬公司,主要業務涵蓋供應鏈運營、房地產開發、旅游酒店、會展業等多個領域,建有大量應用系統供日常業務經營使用,迫切需要對分散的用戶數據進行整合與集中管理。
時代億信承建該集團統一用戶管理工程,為了能夠保證在多層級、多應用、異構的企業環境中建立并成功運轉統一用戶管理體系,時代億信采用“3C Key Phase”實施方法論指導整個項目實施過程。
“3C Key Phase”實施方法論將實施流程歸結為整理、規范、實現三個關鍵階段:Data Collation 數據整理階段、Data Carry-Out 數據實現階段、Data Carry-Out 數據實現階段。通過“3C Key Phase”實施方法論,有效保證整個工程實施節點可控、實施難度可控、實施風險可控。
在有效實施方法論指導下,該集團公司還采用了時代億信UAP-U產品,利用其完善的數據同步、統一認證、單點登錄接口,直接支持Liferay門戶、流程平臺、eHR、金蝶EAS、CoreMail、RTX等公司內部標準產品,針對公司內使用LDAP進行用戶信息同步的應用系統,UAP-U產品在LDAP中發布層級結構節點,方便用戶數據管理維護。
UAP-U 統一用戶管理平臺產品功能
· 3C Key-Phase”模式的統一用戶管理: UAP-U統一用戶管理平臺將用戶數據的管理流程歸結為Data Collations數據整理階段、Dta Critwerion數據規范化階段和Data Carray-Out數據實現階段,統稱為“3C Key-Phase”模式的統一用戶管理。
數據整理的過程首先要對現有用戶數據進行屬性分析、業務分析,并且對系統間的用戶數據、屬性進行沖突分析,{zh1},根據上述的分析結果綜合整理出一份“統一用戶數據規范”。
在數據規范化階段,系統根據整理后的數據制定統一用戶數據規范及接口規范作為今后應用系統數據傳輸和交換的標準。
完成數據的整理和規范化后,在數據是現階段對各應用系統根據數據規范和接口規范進行改造,完成統一用戶管理的接入。
系統接入時,管理員會根據該業務系統的自身情況制定數據同步的通訊方式、用戶屬性、同步策略等相關配置,完成配置后,便可對該業務系統進行用戶數據的初始化。
· 提供數據分析整理輔助工具:
在數據的收集和整理的過程中,UAP-U統一用戶管理平臺分別為用戶提供了兩個數據工具:數據同步工具(EDI)與數據梳理工具(EDC)。他們具有相似的特性,但也具有本質上的區別。下表描述了兩個工具的主要功能特點:
· 面向流程驅動的用戶生命周期管理: 對于大型企業來說,一套完整的用戶生命周期管理是必不可少的。簡單的生命周期只需用創建、修改、刪除的基本操作就可以概括,而復雜的生命周期管理需要更細致、更jq的控制用戶信息的各項參數,用戶信息在整個生命周期中的每一次修改可能都要經過層層審核。
UAP-U統一用戶管理平臺為用戶提供了一種面向流程驅動的用戶生命周期管理方式。
UAP-U為用戶提供了一套靈活可配置的用戶管理流程引擎,除了能夠自定義開戶、銷戶、屬性變更等基本用戶管理的流程外,管理員還可以結合用戶、組織機構的屬性,通過定義對“管理用戶的流程”與“特定屬性”進行定義,指定對用戶哪些屬性進行何種操作時需要何種審核,這是一種非常直觀且實用的用戶管理流程。每個企業都有自己的關鍵屬性,比如在保密單位中用戶信息的保密等級是最重要的,在其他企業中可能員工等級更重要。那么管理員只需要在用戶模型中設定哪些屬性的改變需要由什么人來審批就可以了,對于非關鍵屬性的修改,系統可以執行自動審批動作。
UAP-U統一用戶管理平臺出了自身提供的用戶生命周期管理之外,同時提供了一套外部系統的用戶管理接口,它允許用戶使用實現此接口的業務系統來進行用戶數據的管理,而將本身變為一套對用戶數據進行同步、梳理、分發工作的自動處理系統。
· 靈活可控的業務系統數據同步機制:
UAP-U為用戶提供了一整套靈活的業務系統同步機制,該機制由數據同步事件攔截器與屬性訂閱服務兩部分組成。
· 對于企業組織機構屬性的完善支持:
通過UAP-U實現組織機構管理后,業務系統可以通過訂閱、查詢接口獲得{zx1}的組織機構信息,當人員、機構發生變更時,可以實現一次修改,全部生效的使用效果。如銷售部的人員發生了變化,管理員在UAP-U或數據源中修改了該組織機構的用戶屬性,OA系統同步接收組織機構信息后,流轉中的公文即可按照修改后的上下級關系進行。
另外,在日常工作中,經常出現企業內“兼職”的情況。如某分公司經理同時隸屬于集團總部內的某個上層部門,或者某項目經理同時隸屬于多個開發部門。
目前主流的用戶管理系統對這類用戶的屬性管理是十分薄弱的。UAP-U針對這一薄弱環節,結合用戶的日常使用流程,為用戶提供了更為靈活的用戶屬性管理。
如當某個用戶單獨存在時,他只具有基本屬性,但當他在銷售部門時,會與銷售部門的屬性結合,得到“銷售部經理”這個新的屬性。當該用戶進入產品部時,會與產品部門的屬性結合,得到“產品市場顧問”這一屬性。
基于上述原理,UAP-U統一用戶管理平臺實現了一套靈活組合用戶屬性和部門屬性的管理和實現機制。
· 豐富的適配器,支持主流企業應用數據源:
為了更好地適應企業業務系統,減少定制環節,UAP-U統一用戶管理平臺除了支持定制WebService接口形式的數據同步外,默認還實現了與Oracle、DB2、SQLServer、MySQL等主流數據庫,并實現了AD/LDAP協議,可與其他系統中提供的數據目錄進行對接。
· 便捷可靠的運維方式: 對于企業來說,一套系統的建立成本不僅在于建設時的成本,其中也包含著建設中與建設后的維護成本。UAP-U統一用戶管理平臺在設置時已經為用戶考慮過日后的維護問題,并將主要問題歸類,并提出了相應的解決方案。
· 便利的新增業務系統接入流程
UAP-U對新業務系統良好的支撐性將得到體現,該平臺為業務系統提供了多種獲取用戶數據的方式,標準的WebService訂閱接口、通用的LDAP企業目錄或者直接向業務系統的數據庫中寫入數據等。
同時,利用UAP-U統一用戶管理平臺可控的數據隊列,可以方便地為不同同步水平的業務系統單獨建立數據自己的增量數據通道。
· 運維操作自動通知機制
在UAP-U中完成各種模型和策略的配置后,UAP-U統一用戶管理平臺便可自動運轉,管理員除了調整策略和記錄審計之外幾乎無需關注UAP-U的管理平臺。當系統發生異常時, UAP-U統一用戶管理平臺支持發送電子郵件的方式通知管理員系統發生了何種異常,同時,根據三員分立的原則,管理員還可以設定當系統發生何種類型的異常時去通知指定的管理員進行處理。目前UAP-U統一用戶管理平臺支持中國電信的“SMGP”短信發送協議。與郵件相比,短信具有更強的實時性。
· 用戶同步隊列容錯處理
UAP-U的數據隊列處理方式更符合生產流程,當用戶數據在隊列處理過程中發生異常時,隊列會把該數據放置到待處理隊列中,同時當前數據處理隊列繼續向下推進。
管理員在收到系統發出的異常處理提醒后,可在管理員平臺中找到發生異常的數據,并可根據實際情況對該數據進行修正,修正解決用戶數據的異常后,管理員可以將該數據重新退回到原有數據隊列中,繼續進行它本來預定的流程。
· 安全的體系設計:
在實際運用中,選擇使用統一用戶管理系統的用戶同時還會選用選擇統一用戶認證系統,通過兩個系統的結合,達到統一用戶和權限管理,統一用戶認證方式的安全需求。
上述需求不僅是企業對網絡安全建設的更高期許,在保密單位中更是一種強制的信息安全管理要求。
經過多年在軍工、航天、金融等領域內的時間經驗,秉承著對信息安全的執著追求,UAP-U統一用戶管理平臺具備一般統一認證管理系統
所不具備的安全標準管理:
三員分立式管理:
管理員:負責系統配置及安全策略設置;
用戶管理員:負責用戶信息及數據同步訂閱管理;
安全審計員:負責日志記錄的維護與管理;
詳實的日志審計:
用戶日志:詳實記錄每個用戶修改屬性的前后情況,發生時間等信息。
管理員日志:詳實記錄管理員每個操作的前后情況以及發生的時間等信息。
系統日志:記錄著系統運行過程中發生的事件。
另外,在結合UAP-G網關或UAP-S統一認證系統時,可為用戶提供符合保密標準的統一用戶管理與認證服務。
UAP-U本身提供的統一密碼管理功能在管理用戶密碼的同時,也會對密碼進行強度驗證、定期修改等安全控制。
對于智能卡認證的用戶,UAP-U統一用戶管理平臺同樣會在用戶屬性下發時告知業務系統此用戶下次修改PIN碼的時間或其他安全性要求。在結合認證產品后,還可為其提供認證信息以及授權信息,真正做到統一管理、統一授權、統一認證。
· 統一認證及訪問控制系統的無縫結合: 單純的統一用戶管理系統只能為用戶建立一種規范,以及基于此規范進行用戶數據的轉換、整理和存儲服務。它在內網中最主要的作用是為其他業務系統一共標準、可信的用戶信息數據。
在完成統一用戶管理平臺的建設后,企業往往會有這樣的需求:在一個固定的位置處理用戶的認證請求,并且根據認證后獲得的權限來訪問內部網絡中的業務系統。
針對上述需求,時代億信專門為企業提供了“統一用戶管理、統一身份認證、統一訪問授權”的整體安全解決方案。
UAP-U 統一用戶管理平臺產品規格
可管理用戶數大于10萬
可管理組織機構數大于1萬
可同步訂閱的應用系統數大于200
可管理的權限模型數大于2000
UAP-U 統一用戶管理平臺產品方案
時代億信認證訪問控制墻認證訪問控制墻是一款提供認證和訪問控制的硬件設備,為企業B/S和C/S業務系統、網絡設備、主機、數據庫等企業資源,提供高性能的安全認證、統一接入、訪問控制、安全管理、安全審計服務。產品能夠滿足不同企業集中認證、訪問控制和安全管理的需求。
認證訪問控制墻通過網絡層和應用層聯動,采用網絡層協議分析與應用層訪問策略相結合的訪問控制技術,形成用戶信息、協議號、目的IP地址、目的端口的用戶身份動態資源訪問控制策略;在不改動用戶應用的前提下,通過協議分析,實現資源的細粒度訪問控制;使用流量限速的差異化訪問技術,克服傳統只能針對應用進行QoS設定的缺陷,實現了用戶身份與應用綁定的流量控制功能,提高系統性能;同時,本產品可應用到WLAN無線和3G網絡,實現基于無線網絡的統一認證與訪問控制。本產品已在中國電信總部OA統一認證與訪問控制工程、中央國債統一認證及訪問控制工程等項目中成功使用。
認證訪問控制墻著眼于應用層和網絡層兩個層面的認證與訪問控制聯動,為電信級企業或集團的各類用戶和應用系統、主機、網絡設備等資源提供高性能的安全認證服務、安全接入與訪問控制服務、安全管理服務、安全審計服務。
時代億信推出的認證訪問控制墻,是當前市場中{wy}整合了CA、動態口令、短信認證等多種身份認證技術、應用動態加密通道、網絡流量差異化服務、網絡層訪問控制、應用代理、信息中轉和推送、協議分析、URL重寫、內容過濾、內容重寫、端到端加密通道、服務器插件信息提取等多項關鍵技術,綜合提供身份統一管理、角色統一管理、資源統一管理、授權統一管理、身份統一認證、訪問控制等功能的產品,能有效整合各種應用系統用戶資源,增強應用資源安全性,提高工作效率,降低溝通成本,是對多種信息安全技術、身份認證技術和訪問控制技術的綜合應用,可廣泛滿足用戶的多種需求,而無須進行二次開發,快速部署和應用。
廣告