■ 文/邢寶存

統(tǒng)一認證與身份管理平臺建設(shè)方案

■ 文/邢寶存

1.背景

隨著應(yīng)用建設(shè)的逐步深入，已經(jīng)建成的和將要建成的各種應(yīng)用系統(tǒng)都各自擁有獨自的用戶管理模塊，給建設(shè)、管理、用戶體驗以及運維等各方各面都帶來了不小的麻煩，且大多為“用戶名+口令”身份認證方式，身份認證強度低，并且用戶必須記憶不同的密碼和身份，由此統(tǒng)一認證與身份管理已經(jīng)成為了企業(yè)信息化建設(shè)過程中亟待解決的問題。

2.需求分析

2.1 身份認證

目前大多數(shù)企業(yè)身份認證的機制一般呈現(xiàn)“各自為政”的局面，并且身份認證方式多為“用戶名+口令”。對于企業(yè)自身來說，身份認證強度低，存在賬號被盜用，且事后取證無法定位到人等風險；對于用戶來說，需要記憶不同的密碼和身份，容易遺忘。

2.2 身份管理

統(tǒng)一身份認證平臺投入使用后，隨著與之結(jié)合的業(yè)務(wù)系統(tǒng)會不斷增多，如何實現(xiàn)唯一身份標識與該用戶在各業(yè)務(wù)系統(tǒng)中賬戶的映射，以達到統(tǒng)一認證、單點登錄的整合需求，成為亟待解決的問題。

3.方案設(shè)計

為有效的解決企業(yè)統(tǒng)一認證與身份管理的問題，先做如下方案設(shè)計：

3.1 統(tǒng)一身份認證平臺

結(jié)合企業(yè)信息化建設(shè)現(xiàn)狀，建設(shè)以PKI/CA系統(tǒng)為基礎(chǔ)設(shè)施，與統(tǒng)一身份管理平臺相結(jié)合，以數(shù)字證書方式面向用戶和各類應(yīng)用系統(tǒng)，提供統(tǒng)一的、高強度的身份認證服務(wù)。

3.2 統(tǒng)一身份管理平臺

建設(shè)統(tǒng)一身份管理平臺，通過唯一可信安全標識與用戶在各業(yè)務(wù)系統(tǒng)中的屬性、賬號信息進行關(guān)聯(lián)映射，實現(xiàn)對企業(yè)內(nèi)部員工信息化身份的集中統(tǒng)一管理，為企業(yè)應(yīng)用提供賬戶信息、屬性信息的集中統(tǒng)一供應(yīng)及用戶身份的全生命周期管理；

統(tǒng)一身份管理平臺主要包括：管理服務(wù)、查詢服務(wù)、同步服務(wù)三大部分。管理服務(wù)：是整個統(tǒng)一賬號管理系統(tǒng)核心的組成部分，它將給管理員和用戶提供統(tǒng)一視圖，將所有應(yīng)用系統(tǒng)的用戶管理集中到這一點進行；查詢服務(wù)：是統(tǒng)一用戶管理系統(tǒng)與吉大正元身份認證網(wǎng)關(guān)結(jié)合時，網(wǎng)關(guān)通過該服務(wù)來獲取登錄用戶的賬號以及各項屬性信息；同步服務(wù)：用于統(tǒng)一賬號管理系統(tǒng)和各應(yīng)用系統(tǒng)之間的數(shù)據(jù)交互，主要完成從HR系統(tǒng)中獲得用戶的初始信息，以及將統(tǒng)一用戶管理的用戶信息同步到其它的系統(tǒng)中。

3.3 網(wǎng)絡(luò)拓撲圖

如右圖旁路部署PKI/CA系統(tǒng)、身份認證網(wǎng)關(guān)、UMS統(tǒng)一用戶管理各一套。部署PKI/CA系統(tǒng)，實現(xiàn)為企業(yè)用戶簽發(fā)數(shù)字證書，以及數(shù)字證書整個生命周期的管理；部署身份認證網(wǎng)關(guān)，實現(xiàn)企業(yè)基于數(shù)字證書的統(tǒng)一身份認證；部署UMS統(tǒng)一用戶管理系統(tǒng)，實現(xiàn)用戶屬性信息、賬號信息的統(tǒng)一管理。

4.建設(shè)成效

整個平臺的建設(shè)對企業(yè)信息化安全支撐起到明顯作用，實具體建設(shè)收益如下：

◆ 構(gòu)建了企業(yè)層次化、一體化的身份認證系統(tǒng)，實現(xiàn)了企業(yè)內(nèi)部用戶數(shù)字身份的可信標識；

◆ 通過建設(shè)統(tǒng)一身份認證與管理平臺，為企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)提供了可信身份認證、統(tǒng)一用戶管理，大大提升了企業(yè)整體信息化安全防護水平；

◆ 基于證書的單點登錄免去了用戶需要記憶多個系統(tǒng)“用戶名+口令”的繁瑣，提升了用戶體驗。

◆ 統(tǒng)一身份管理，免去了IT運維人員維護多套賬號的繁瑣，提高了IT運維人員的工作效率。X