身份安全 | 統(tǒng)一身份管理如何實現(xiàn)？實踐出真知！

在某些軟件項目中統(tǒng)一身份管理也被稱作為4A項目，解決問題及實施方案包括4A中提到的內容，只不過很多時候對于不同用戶的需求場景與個性化業(yè)務，會在4A實施內容范圍上多實現(xiàn)一些功能，例如開發(fā)簡單的工作臺門戶，展現(xiàn)系統(tǒng)集成成果或與不同的集成類平臺產(chǎn)品結合，打造不同的解決方案等，加深項目的價值與作用。

? 在管理內容方面，統(tǒng)一身份管理企業(yè)內部的用戶、群組、角色；主數(shù)據(jù)管理企業(yè)內部的組織、人員、崗位，除此之外還管理其它如：客戶、供應商等主數(shù)據(jù)。

? 在功能方面，統(tǒng)一身份管理具備統(tǒng)一身份認證功能，弱化案例功能，很少或不預置管理案例；主數(shù)據(jù)管理不具備統(tǒng)一身份認證功能，提供基礎數(shù)據(jù)管理樣例。

? 在業(yè)務交互方面，統(tǒng)一身份管理主要與信息中心人員進行交互；主數(shù)據(jù)管理主要與業(yè)務人員進行交互，注重數(shù)據(jù)、業(yè)務的梳理。

? 用戶處理業(yè)務必須記住多個系統(tǒng)的用戶名及密碼，容易遺忘；

? 處理一個業(yè)務需要頻繁登錄與切換不同系統(tǒng)，繁瑣且效率低下；

? 信息分散難以獲取，缺少有效整合，用戶難以進行信息綜合利用；

? 用戶信息修改多個入口，且不能統(tǒng)一在一個平臺；

? 各個業(yè)務系統(tǒng)分散管理，在信息更新、同步方面存在瓶頸；

? 系統(tǒng)用戶名/密碼遺忘現(xiàn)象嚴重，IT維護難度及成本增大；

? IT開發(fā)成本較大，標準不統(tǒng)一，應用系統(tǒng)各自為王，用戶，認證體系進行重復建設；

? 隨著用戶名/密碼增多，企業(yè)缺乏統(tǒng)一的賬號安全管理策略；

? 缺乏統(tǒng)一授權及訪問審計機制，非法操作無法快速定位追溯；

具體實施步驟

對于統(tǒng)一身份管理項目主要使用IDM身份管理平臺或4A系統(tǒng)進行解決，通常情況下除了使用單一產(chǎn)品，還會搭配集成套件中的其它產(chǎn)品更好的輔助完成項目，如ESB企業(yè)服務總線，共同打造統(tǒng)一身份管理項目。

通過統(tǒng)一用戶管理及認證體系，建立統(tǒng)一用戶資源庫，對企業(yè)信息系統(tǒng)用戶進行合理分類，實現(xiàn)用戶身份和權限的統(tǒng)一認證與授權管理，并對企業(yè)應用集成的運行環(huán)境、服務互操作、數(shù)據(jù)交換和通用服務等全過程進行統(tǒng)一系統(tǒng)監(jiān)控安全審計，滿足對信息系統(tǒng)統(tǒng)一用戶管理、統(tǒng)一身份認證、統(tǒng)一授權管理以及安全審計的要求。

具體包括統(tǒng)一身份管理平臺、ESB企業(yè)服務總線，方案體系架構如下圖所示：

統(tǒng)一身份管理平臺主要實現(xiàn)企業(yè)用戶、群組、角色統(tǒng)一管理、認證管理及內置工作流功能實現(xiàn)對創(chuàng)建賬號、授權管理時的流程審批功能，審計功能實現(xiàn)行為的審計分析、追溯管理。

ESB企業(yè)服務總線在統(tǒng)一身份管理方案中主要作為提供數(shù)據(jù)同步接口、流程觸發(fā)、實現(xiàn)數(shù)據(jù)間抽取、轉換、同步、分發(fā)的工具。