1产品概述
随着信息化建设的推进和信息化水平的不断提升,各级政府和企业已经建设了众多的应用系统并在日常工作中使用。这些应用系统,很多是不同开发商在不同的时期采用不同技术建设的。这些应用系统中,多数都有自成一体的用户管理、授权及认证体系,用户在进入不同的应用系统时,需要使用不同的用户账号去访问对应的应用系统,这种操作方式不仅给用户的使用带来诸多不便,更严重的是降低了系统的可管理性和安全性,增加了IT运维部门的工作难度和低效能工作。
无论是政府和是企业在推进其内网信息信息化建设的进程中,都需要规划、设计和实施建立一套用户统一管理及单点认证的支撑平台。利用此支撑平台,使用单位可以实现用户一次登录认证、全网通行,避免了登录到多个应用系统需要多次输入用户名口令的情况。此外,可以对各应用系统的用户信息、组织机构信息实现一站式维护,应用系统自动同步更新,避免重复维护;另外基于统一用户授权管理平台搭建的基础,用户在新建应用系统时可以简化各系统的权限管理功能,对于系统的用户管理、功能访问权限管理全部由统一用户授权管理平台完成,应用系统只负责业务操作和数据处理权限的控制,这样实现多层次的统一授权后,能够进一步降低IT运维部门的工作难度和提高工作效能。
中关统一用户授权管理平台的总体架构包括用户访问层、核心功能层(包括统一用户信息管理、统一授权管理、统一身份认证和系统管理)、数据层和接口层,以及与平台关联的门户系统、CA系统及相关业务应用系统。统一用户管理平台CenPMS的总体架构如下图所示:
1)统一用户信息管理:实现用户信息的增、删、改、查等基本功能,用户信息从人力资源管理系统或其他用户信息存储管理系统(如:AD、LDAP)的批量导入功能,还支持用户信息的网上注册,以及用户信息向各相关应用系统的同步分发功能。
2)统一授权管理:支持对各相关应用系统采用统一授权方式或独立授权的方式实现授权的统一管理。
3)统一身份认证:用户通过用户名/口令、证书文件或IP地址等不同的认证方式访问门户或应用系统,系统通过与门户、CA及应用系统建立的接口,实现用户的统一认证、单点登录。
4)系统管理:用户的注册、授权、审计;各应用系统的接口配置。
5)数据层:实现对用户信息、授权信息及审计和日志数据的存储,用户信息的存储支持关系型数据库方式(支持主流数据库,如Oracle、DB2、SQL Server、Sybase、MySQL等)和LDAP目录方式。
2产品功能
统一用户信息管理
统一用户信息管理提供下列主要功能:
n 从门户借助统一用户身份管理系统单点登录到不同应用系统。
n 统一用户信息的管理界面,包括对新建的应用系统和现存应用系统用户管理。管理人员可以通过管理界面浏览、查询、新增、维护用户信息。
n 不同用户信息源与用户信息表之间的数据同步。
n 与统一用户身份管理相关的Web Services访问接口。
统一授权管理
统一授权管理提供下列主要功能:
n 统一授权管理数据库。
n 统一授权管理界面,包括对新建的应用系统和现存应用系统授权管理。管理人员可以通过管理界面浏览、查询、新增、维护授权信息。
n 按角色的授权功能。
n 实现分级授权机制。
n 与统一授权管理相关的Web Services访问接口。
统一身份认证
用户登录门户时,首先调用统一用户管理系统的统一用户身份认证服务进行用户身份认证;对于使用CA数字证书的用户,首先由CA发放证书,并由管理员对此证书与统一用户信息库中的用户帐号进行关联,这样用户可以用证书来登录门户。
用户登录门户后,对各应用系统实现单点登录,在允许访问资源内可以任意切换,而用户身份认证,各应用系统通过调用统一的用户身份认证服务,是统一验证的,而不是在各应用中分别验证的。
平台接口
平台接口主要包括以下几个方面:
n 对用户信息(组织机构、人员、角色、权限及各种其他资源)的查询接口。
n 管理接口,包括对角色或人员进行授权,以及维护组织机构、人员、功能、角色等。
n 用户身份验证接口,判定某人在某应用系统中的身份合法性。
n 权限验证接口,判断某人在某应用系统中是否属于某个角色、是否具有某种操作的权力等。本系统将提供基本的编程接口,在具体的应用中,可以在此接口基础上进一步开发相应的插件(不同的应用系统有不同的技术形式)。
审计和日志管理
提供审计和日志管理功能,包括:
n 集中的统一日志管理,包含用户访问日志和系统运行管理日志。
n 符合统一日志管理和安全管理规范的要求。
3产品特点
相对于其他的统一用户管理产品,CenPMS统一用户授权管理平台具有以下的优势和特点:
1、面向SOA的架构实现应用集成
2、基于LDAP目录服务技术
3、灵活的用户管理
4、实现高效的单点登录机制
5、构建不同层次的应用安全体系
6、无缝的集成不同应用系统
7、与平台无关