IAM系统平台简要介绍.pptxVIP

IAM系统平台简要介绍2015.3IAM平台介绍需求分析架构介绍实施过程……身份管理和访问控制面临的挑战用户管理分散，管理的流程各自独立，缺少一套用户身份管理系统；账号和员工没有对应关系，账号以通用的名称作为用户名用户账号不统一，没有实现账号之间的信息同步；一个账号多人使用；在员工离职、换岗过程中无法对账号变更进行及时有效的管理。用户身份认证相对独立，没有统一规划；各个信息系统访问控制独立，没有建立统一的单点登录体系；大多数系统采用账号与口令认证方式，安全强度低；所有授权管理和访问控制缺少完整性、真实性、抗抵赖性等安全信任保障。请求积压2，不同的申请处理流程请求延迟处理7，用户开始使用帐号6，系统管理员手工创建帐号不断增长的资源审计信息丢失3，策略、角色安全合规检查策略检查不合规5，服务请求流转4，审核批准申请信息不完善身份管理和访问控制面临的挑战1，用户提出帐号申请身份管理和访问控制需求身份管理需求提供用户身份信息的集中管理和用户账号信息的统一与同步功能；提供全生命周期的用户信息管理，包括注册、审批、修改、禁用、删除等流程化的操作；提供支持全局唯一的用户身份标识功能；提供支持多重身份的对应关系及属性连接功能；提供支持多种业务平台的账号管理连接功能；提供唯一用户身份管理端口功能，实现自动化用户信息更新；提供系统用户自助服务访问控制需求与各信息系统集成，为信息系统提供统一身份认证及授权功能；提供多种认证方式的连接和集成；提供单点登录SSO功能提供基于策略的访问控制支持大规模用户信息存储及访问支持分级授权系统框架设计根据以往实施经验得到的建设需求与功能需求，结合对身份管理与认证权限管理框架，企业用户身份和认证访问管理系统框架如右图所示：PortalMailOA主机网络数据库系统逻辑框架用户身份全生命周期管理集中的、主动的、基于策略的账号管理用户身份管理逻辑流程原始用户信息（HR、OA等）业务系统/设备管理员系统管理员审批流程用户目录用户身份管理用户同步工具用户身份管理系统账号同步适配器业务系统审计系统访问控制逻辑架构企业级服务总线系统用户目录访问授权策略库票据管理系统农村服务金融系统AIXWeb浏览器统一访问认证服务器Linux票交系统系统资源访问管理服务器强认证服务器中间业务平台……审计系统用户授权逻辑架构账号信息回收用户身份管理业务系统资源账号同步工具业务/主机/系统管理员主帐号授权从帐号授权实体内鉴权账号和角色信息同步用户目录访问授权策略库审计系统统一访问认证业务人员集中的审计中心哪些人访问了系统？具体时间段访问量的大小?今天上午有多少人访问邮箱？上个月有多少人进行了账号申请？具体权限？管理员上周的账号操作都有哪些？谁审批了我的流程？有哪些不合规的操作？系统中有哪些警告？系统架构设计-身份管理和访问控制信息流根据现状与需求分析得到的建设需求与功能需求，结合对身份管理与认证权限管理技术的选择，我们可以进一步细化和充实系统框架，从而设计出身份管理与认证平台的功能架构。项目实施思路需求定义系统设计系统部署系统总体架构设计总体逻辑架构设计总体部署架构选择系统高可用性设计帐号生命周期管理设计帐号管理策略设计密码管理策略设计LDAP架构规划帐号命名规则设计数据初始化策略设计认证和授权设计认证和授权策略设计应用集成方案设计帐号同步方案设计单点登录方案设计测试环境部署与实施帐号梳理和建立企业目录测试环境准备与搭建身份管理和访问控制组件开发和测试应用集成测试和联调生产环境部署与实施生产系统部署数据初始化身份管理和访问控制组件开发和测试应用集成测试和联调系统培训运行和维护生产环境试运行系统正式运行帐号管理调研和分析调研人员、组织机构应用系统、主机系统帐号信息确定组织权威用户数据源分析应用、主机帐号数据和权威数据的差异功能性需求定义帐号管理访问控制授权管理审计管理非功能性需求定义系统高可用性需求可扩展性需求可维护性需求可操作性需求TIM (Tivoli Implementation Methodology)实施方法论支撑项目管理（项目管理方法论支撑）项目实施规划(案例，仅供参考)M1M2M3M4M5M6M7M8M9M12需求分析与设计需求调研与分析开发测试完成系统上线设计完成系统架构设计用户数据梳理运行维护测试环境搭建用户管理和访问控制集成测试与二次开发用户身份管理集成开发测试统一认证集成开发测试系统集成联调测试联调测试生产环境部署系统投产部署生产环境集成上线系统试运行试运行项目管理时间管理 风险管理 沟通管理 资源管理系统验收项目启动