近期,拜訪不少對“數字化工廠”有興趣的客戶,在走訪中發現很多企業信息系統的不斷增加,企業在相關信息系統的安全管理與使用方面也讓許多高層管理者與信息部負責感到迷惑,比如:- 系統用戶管理分散,給IT帶來管理工作帶來巨大的負擔,形成諸多不便;
- 分散管理導致安全策略在實施中容易出偏差,產生安全隱患;
- 各應用用戶信息資源不能獲得充分利用,未充分發揮其效能。
針對如何解決以上問題?近幾天結合以前的一點經驗查詢相關資料,提出了以下幾點,希望能給各位信息化管理朋友有所幫助。 企業需要建立用戶統一認證系統,提供統一賬戶管理、統一授權管理、統一認證服務和統一日志審計管理等功能。總體架構如圖所示。
1、統一身份認證服務系統:為應用系統提供統一的用戶在線身份認證功能,包括統一登錄入口、在線身份認證、在線安全令牌簽發、用戶登錄狀態維護、單點登錄/單點登出處理等。2、統一身份與授權管理系統:為安全管理提供統一賬戶管理、統一授權管理、統一證書管理及統一配置管理的人機界面。3、用戶統一身份管理系統:集中保存用戶身份相關信息及應用訪問授權信息,如用戶賬戶、用戶組、角色、應用訪問控制策略等信息;所使用的數據庫包括LDAP(輕型目錄訪問協議)和關系數據庫。4、日志審計系統:對管理員登錄統一信任管理平臺的操作日志和用戶登錄應用系統的操作日志進行集中保存和管理,功能包括日志保存、查看、制表導出(RTF、PDF)、歸檔(日志數據導出)等。5、服務引擎:針對系統共性服務功能,全部通過采用單獨服務引擎的方式來實現,并提供完善的調用接口,方便當前系統或者第三方系統進行調用,其中數據流引擎和數據交換引擎主要目的是為了實現異構數據庫應用之間的數據同步和訂閱功能,方便于對多應用的數據管理,消息引擎主要功能為針對系統待發送的消息、通知等內容可以通過第三方消息服務來完成,如短信、郵件等,審計服務引擎主要為了實現對第三方系統提供標準日志服務。
1、插入登錄頁面方式:通過在應用系統中插入新的登錄頁面實現集成,插入的頁面對用戶完全透明,對應用系統的性能和處理邏輯不造成任何影響的改變;對應的集成組件是標準化的登錄頁面。2、修改登錄頁面方式:對應用原有登錄頁面進行修改,調用統一身份管理系統提供的API;支持目前常用的Web編程語言,如java/.net/php;對應的集成組件是單點登錄API。3、HTTP插件和擴展模塊方式:利用Web平臺提供的擴展機制,在不對應用系統本身做任何修改的情況下,插入(如Filter)或加入實現單點登錄功能的模塊(如JAASLoginModule);這種方式只需要修改Web系統的配置信息,插入或加入額外的單點登錄模塊,對用戶和應用系統都是透明的;對應的集成組件是HTTP插件或登錄擴展模塊。4、安全網關接入模式:采用安全認證網關實現應用的接入,這種接入方式對信息系統不需要做任何的修改,一個安全網關可以接入多個應用系統,一個應用系統也可以對應多個安全認證網關實現負載均衡;主要針對采用Form身份認證方式且無法修改、插入或加入擴展模塊的Web應用系統;對應的集成組件是安全網關、如圖所示。
實現功能
應用通過以上方式完成同一身份管理系統的集成,即可實現統一認證,企業門戶調用相應的接口即可實現單點登錄登出功能。1、統一賬戶管理:通過統一的管理入口,在企業范圍內對員工在信息系統中的身份或賬戶進行集中、統一的管理。2、統一權限或授權管理:通過統一的管理入口,在企業范圍內對員工在信息系統中的訪問權限訪問控制策略進行集成、統一的管理以及基于角色的訪問授權與控制。3、統一身份認證入口與單點登錄:通過采用提供統一身份認證(登錄)入口,實現企業范圍內信息系統訪問的統一身份認證和單點登錄,在保證安全的同時,為用戶訪問企業信息系統提供便捷,改善用戶體驗。4、統一的系統安全配置管理:通過集中的管理界面和平臺,對企業信息系統的與身份認證有關的安全配置進行統一管理。5、統一安全審計:能對用戶訪問企業信息系統的情況以及系統管理人員進行管理的操作行為進行統一記錄,并以日志記錄的形式集中保存在專門的審計數據庫中,在出現問題時,能夠通過操作日志,及時確定產生問題的原因,并確定相關的責任人。 總結:“數字化工廠”沒有完美的實施方案,只會不斷行走在向完美追求的路上。
該文章在 2023/5/25 10:06:49 編輯過
400 186 1886
