身份认证管理系统(IdentityManager,简称 IDM)将分散、重复的用户数字身份进行整合,提供标准身份信息读取和查询方式, 统一化管理数字身份的生命周期,统一企业内部身份安全策略管理和权限管理, 为应用系统与此基础平台提供标准的接口, 实现统一、安全、灵活、稳定和可扩展的企业级用户身份认证管理系统。 1 系统运行平台
1.1 体系架构
系统平台的搭建采用分层的架构模式,将系统在横向维度上切分成几个部分,每个部分负责相对比较单一的职责,然后通过上层对下层的依赖和调用组成一个完整的系统。通过统一用户身份认证管理系统平台的定义,为其他子系统提供统一的用户管理、机构管理、身份认证、权限管理、用户工作平台等功能,其他子系统将没有私有的用户、权限管理等。系统提供的功能包括:用户管理、组织机构管理、单点登录、权限管理(用户权限、数据权限)、对外接口、数据备份、用户工作平台等。
2 系统建设目标
通过本系统的建设,主要达到以下的目标:系统提供统一的用户管理、组织机构管理、身份认证、权限
管理及用户工作台功能;统一的用户系统进行统一帐号创建、修改和删除,这使快速推出新的业务成为可能。公司将拥有一个提供用户全面集中管理的管理层,而不为每
个新的应用程序或服务建立分布的用户管理层。
公司各应用的用户通过一个全局唯一的用户标识及存储于服务器中的静态口令或其他方式,到认证服务器进行验证,如验证通过即可登录到公司信息门户中访问集成的各种应用;可以在系统中维护用户信息;能够根据其在公司的组织机构中的身份定制角,根据角分配不同的权限。
3 系统主要模块
本系统主要包含以下 5 大功能模块。① 系统设置模块:提供用户管理和组织架构管理功能。② 安全域模块:提供安全域管理和安全策略管理功能。③系统管理模块:提供资源类型定义、模块定义、角管理、角约束定义、用户权限管理、单次授权等功能。④ 系统工具:提供异常用户查询、导入导出工具、用户工作台、用户个人信息修改、用户注册审批、职能委托等功能。⑤ 系统日志模块:提供历史日志删除、当前登录用户、历史登录情况、用户操作日志等功能。
3.1 系统设置模块
① 用户管理:主要用来记录用户相关信息,如:用户名、密码等,权限等是被分离出去的。提供用户
的基本信息的生命周期管理,包括创建、修改、删除、冻结、激活等功能。系统增加或者删除一个用户则相应地增加或者删除一个用户的账户,每新增一个人员账户,赋予该账户一个初始化密码。要求存储用户数据时不仅支持 Oracle 数据库存储,同时支持 LDAP存储。以应对不同子系统的不同用户认证方式。
② 组织机构管理:提供组织机构的增删改查功能,并且就目前情况来说,需要支持建立多套组织机构架构,多套组织机构是指在系统中同时存在不同体系的组织架构,由子系统来选择使用其中某套架构。组织机构的关系维护,并树形显示已有的组织机构关系。
3.2 权限管理模块
身份认证系统① 不同职责的人员,对于系统操作的功能权限和数据权限是不同的,系统提供基于角进行操作的概念,将权限一致的人员编入同一角,然后对该角进行权限分配。这里所谓的角其实就是权限的集合。
② 采用基于角的访问控制(Role-Based Ac-cess Control)作为传统访问控制(自主访问,强制访问),优点是:减少授权管理的复杂性,降低管理开销;灵活的支持企业的安全策略,对企业的变化有很大的伸缩性。可以抽象概括为:判断【Who 是否可以对What 进行 How 的访问操作(Operator)】这个逻辑表达式的值是否为True 的求解过程。
4 系统对外接口
① 主要支持实时接口、非实时接口,接口的实现方式采用 Web Service 的方式,并对每个子系统与本系统进行互信访问的配置策略(非实时接口包括数据同步接口等),主要提供用户认证、登录、注册、删除、权限的访问接口。②OAuth(OpenAuthorization,开放授权)为用户资源的授权定义了一个安全、开放及简单的标准,第 3 方无需知道用户的账号及密码,就可获取到用户的授权信息,并且这是安全的。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议