统一用户登录管理系统
|
admin
2023年5月25日 10:6
本文热度 1047
|
近期,拜访不少对“数字化工厂”有兴趣的客户,在走访中发现很多企业信息系统的不断增加,企业在相关信息系统的安全管理与使用方面也让许多高层管理者与信息部负责感到迷惑,比如:- 系统用户管理分散,给IT带来管理工作带来巨大的负担,形成诸多不便;
- 分散管理导致安全策略在实施中容易出偏差,产生安全隐患;
- 各应用用户信息资源不能获得充分利用,未充分发挥其效能。
针对如何解决以上问题?近几天结合以前的一点经验查询相关资料,提出了以下几点,希望能给各位信息化管理朋友有所帮助。 企业需要建立用户统一认证系统,提供统一账户管理、统一授权管理、统一认证服务和统一日志审计管理等功能。总体架构如图所示。
1、统一身份认证服务系统:为应用系统提供统一的用户在线身份认证功能,包括统一登录入口、在线身份认证、在线安全令牌签发、用户登录状态维护、单点登录/单点登出处理等。2、统一身份与授权管理系统:为安全管理提供统一账户管理、统一授权管理、统一证书管理及统一配置管理的人机界面。3、用户统一身份管理系统:集中保存用户身份相关信息及应用访问授权信息,如用户账户、用户组、角色、应用访问控制策略等信息;所使用的数据库包括LDAP(轻型目录访问协议)和关系数据库。4、日志审计系统:对管理员登录统一信任管理平台的操作日志和用户登录应用系统的操作日志进行集中保存和管理,功能包括日志保存、查看、制表导出(RTF、PDF)、归档(日志数据导出)等。5、服务引擎:针对系统共性服务功能,全部通过采用单独服务引擎的方式来实现,并提供完善的调用接口,方便当前系统或者第三方系统进行调用,其中数据流引擎和数据交换引擎主要目的是为了实现异构数据库应用之间的数据同步和订阅功能,方便于对多应用的数据管理,消息引擎主要功能为针对系统待发送的消息、通知等内容可以通过第三方消息服务来完成,如短信、邮件等,审计服务引擎主要为了实现对第三方系统提供标准日志服务。
1、插入登录页面方式:通过在应用系统中插入新的登录页面实现集成,插入的页面对用户完全透明,对应用系统的性能和处理逻辑不造成任何影响的改变;对应的集成组件是标准化的登录页面。2、修改登录页面方式:对应用原有登录页面进行修改,调用统一身份管理系统提供的API;支持目前常用的Web编程语言,如java/.net/php;对应的集成组件是单点登录API。3、HTTP插件和扩展模块方式:利用Web平台提供的扩展机制,在不对应用系统本身做任何修改的情况下,插入(如Filter)或加入实现单点登录功能的模块(如JAASLoginModule);这种方式只需要修改Web系统的配置信息,插入或加入额外的单点登录模块,对用户和应用系统都是透明的;对应的集成组件是HTTP插件或登录扩展模块。4、安全网关接入模式:采用安全认证网关实现应用的接入,这种接入方式对信息系统不需要做任何的修改,一个安全网关可以接入多个应用系统,一个应用系统也可以对应多个安全认证网关实现负载均衡;主要针对采用Form身份认证方式且无法修改、插入或加入扩展模块的Web应用系统;对应的集成组件是安全网关、如图所示。
实现功能
应用通过以上方式完成同一身份管理系统的集成,即可实现统一认证,企业门户调用相应的接口即可实现单点登录登出功能。1、统一账户管理:通过统一的管理入口,在企业范围内对员工在信息系统中的身份或账户进行集中、统一的管理。2、统一权限或授权管理:通过统一的管理入口,在企业范围内对员工在信息系统中的访问权限访问控制策略进行集成、统一的管理以及基于角色的访问授权与控制。3、统一身份认证入口与单点登录:通过采用提供统一身份认证(登录)入口,实现企业范围内信息系统访问的统一身份认证和单点登录,在保证安全的同时,为用户访问企业信息系统提供便捷,改善用户体验。4、统一的系统安全配置管理:通过集中的管理界面和平台,对企业信息系统的与身份认证有关的安全配置进行统一管理。5、统一安全审计:能对用户访问企业信息系统的情况以及系统管理人员进行管理的操作行为进行统一记录,并以日志记录的形式集中保存在专门的审计数据库中,在出现问题时,能够通过操作日志,及时确定产生问题的原因,并确定相关的责任人。 总结:“数字化工厂”没有完美的实施方案,只会不断行走在向完美追求的路上。
该文章在 2023/5/25 10:06:49 编辑过