魏星 孫武峰 郝龍龍

摘 要：隨著公司“135”發(fā)展戰(zhàn)略及數(shù)字化轉(zhuǎn)型發(fā)展的需要，公司存量業(yè)務(wù)系統(tǒng)及增量系統(tǒng)組織機構(gòu)、用戶管理與訪問權(quán)限孤立分散在各應(yīng)用系統(tǒng)中，用戶類型也呈現(xiàn)了多樣化趨勢，造成應(yīng)用系統(tǒng)賬號密碼不統(tǒng)一、權(quán)限不統(tǒng)一和訪問入口不統(tǒng)一等現(xiàn)象。由于缺乏統(tǒng)一的用戶管理體系與身份治理機制，造成在流程效率、信息安全、風(fēng)控管理等方面存在諸多風(fēng)險問題。為此，以“數(shù)據(jù)融通、信息共享”，建立內(nèi)外部用戶的數(shù)字身份安全管理體系以及應(yīng)用系統(tǒng)安全接入的統(tǒng)一規(guī)范，成為數(shù)字化轉(zhuǎn)型與提高經(jīng)營效率的必要條件。建設(shè)基于異構(gòu)環(huán)境下統(tǒng)一身份認證平臺，加強內(nèi)部控制以及對內(nèi)、外部人員的持續(xù)動態(tài)化、全生命周期“數(shù)字身份”安全管控，是當(dāng)前信息安全環(huán)境下的必然趨勢。

關(guān)鍵詞：數(shù)字身份;身份管理;訪問控制;單點登錄

中圖分類號：TP393.08 文獻標(biāo)識碼：A 文章編號：1674-1064（2020）08-0031-02

企業(yè)信息門戶在身份認證環(huán)節(jié)初步實現(xiàn)了統(tǒng)一授權(quán)，為建立應(yīng)用級身份認證體系，設(shè)計符合集團公司實際的分布式服務(wù)架構(gòu)，實現(xiàn)身份認證與權(quán)限管理集中管控。在現(xiàn)有企業(yè)信息門戶基礎(chǔ)上進行升級改造，通過融合、協(xié)同和共享的方式提供給公司員工，真正實現(xiàn)身份認證統(tǒng)一、業(yè)務(wù)與權(quán)限聚合功能，給企業(yè)內(nèi)外部人員建立統(tǒng)一的“數(shù)字身份”。解決用戶訪問各業(yè)務(wù)系統(tǒng)賬號和密碼不統(tǒng)一、不規(guī)范、權(quán)限亂等問題是文章研究的主要內(nèi)容。

1 總體架構(gòu)設(shè)計

1.1 系統(tǒng)組成

統(tǒng)一身份認證平臺，核心功能模塊包括身份管理與訪問控制。

數(shù)據(jù)中心，集中的主數(shù)據(jù)包括用戶相關(guān)的基礎(chǔ)信息、組織機構(gòu)、崗位、應(yīng)用、帳號、密碼等信息。同時，根據(jù)需求擴展LDAP企業(yè)目錄服務(wù);身份管理，提供用戶、機構(gòu)、應(yīng)用、權(quán)限等基礎(chǔ)數(shù)據(jù)的集中管控和統(tǒng)一授權(quán)[1];統(tǒng)一認證，實現(xiàn)與各業(yè)務(wù)系統(tǒng)的集中認證以及單點登錄功能;企業(yè)信息門戶，提供應(yīng)用系統(tǒng)統(tǒng)一訪問入口，實現(xiàn)單點登錄、待辦聚合及綜合信息服務(wù);用戶自助功能，包括應(yīng)用系統(tǒng)導(dǎo)航列表、自助密碼維護、應(yīng)用權(quán)限申請流程等功能;多因素認證，支持用戶名密碼認證，同時提供短信驗證碼登錄，以及人臉識別、指紋和多種認證手段的擴展;API接口服務(wù)，提供各類數(shù)據(jù)的管控接口服務(wù)，支持多種形式的標(biāo)準(zhǔn)協(xié)議，其接口發(fā)布在現(xiàn)有公司企業(yè)服務(wù)總線上;安全標(biāo)準(zhǔn)和技術(shù)規(guī)范：包括組織機構(gòu)編碼建設(shè)和擴展標(biāo)準(zhǔn)、《信息系統(tǒng)賬號及權(quán)限管理規(guī)范》和《應(yīng)用系統(tǒng)身份認證與權(quán)限管理服務(wù)架構(gòu)》等應(yīng)用系統(tǒng)集成規(guī)范等。

1.2 總體架構(gòu)

結(jié)合公司現(xiàn)有各業(yè)務(wù)系統(tǒng)以及業(yè)務(wù)管理模式，統(tǒng)一身份認證平臺的邏輯架構(gòu)包括如下。

身份管理平臺：由協(xié)作共享平臺提供用戶和機構(gòu)基礎(chǔ)數(shù)據(jù)，身份管理中數(shù)據(jù)中心存儲用戶數(shù)據(jù)，同時通過多種方式實現(xiàn)與各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)對接，包括數(shù)據(jù)下推以LDAP目錄方式;用戶通過企業(yè)信息門戶中的自助服務(wù)流程，申請應(yīng)用系統(tǒng)帳號及權(quán)限，管理員審批后平臺自動將帳號及權(quán)限分配至各業(yè)務(wù)系統(tǒng);提供多種認證手段的擴展，包括靜態(tài)口令認證、短信驗證碼認證等方式[2]。

2 系統(tǒng)功能

統(tǒng)一身份認證平臺主要包括身份管理、訪問控制、權(quán)限管理及安全審計等[3]。其目的是解決企業(yè)內(nèi)外部人員“數(shù)字身份”的安全管理與統(tǒng)一，實現(xiàn)用戶全生命周期的集中管理，并通過賬號、應(yīng)用、流量及偏好分析，為數(shù)字身份安全賦能。

數(shù)據(jù)中心為身份管理平臺、統(tǒng)一認證平臺、企業(yè)門戶等提供用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、認證緩存數(shù)據(jù)和目錄服務(wù)數(shù)據(jù)存儲;身份管理服務(wù)提供主數(shù)據(jù)管理、應(yīng)用集成管理、策略管理、權(quán)限管理、接口管理、審計管理功能;統(tǒng)一認證服務(wù)提供身份認證管理、認證方式管理、認證策略、單點登錄、認證接口管理;企業(yè)信息門戶提供應(yīng)用導(dǎo)航列表、待辦聚合、企業(yè)新聞、文件下載、用戶自服務(wù)、應(yīng)用代填功能;登錄方式包含：用戶名+靜態(tài)口令、用戶名+短信驗證碼方式;企業(yè)瀏覽器提供管控后臺、應(yīng)用兼容性管理、插件集成功能;平臺對外接口提供統(tǒng)一認證和單點登錄接口、數(shù)據(jù)同步接口、待辦集成接口;身份管理平臺通過webservice連接器、ldap方式為下游同步數(shù)據(jù);webservice方式通過企業(yè)總線;認證服務(wù)使用OAuth2.0協(xié)議，并支持CAS協(xié)議[4]。

2.1 統(tǒng)一身份管理

用戶全生命周期管理、用戶審批、賬號識別、賬號分類管理、賬號同步、密碼策略;進一步實現(xiàn)對企業(yè)內(nèi)所有人員的應(yīng)用賬號（密碼）的統(tǒng)一管理;靈活自定義密碼規(guī)則;安全保護，支持國密加密存儲和分級權(quán)限保護;用戶自助服務(wù)，通過平臺和手機短信實現(xiàn)用戶登錄、自主賬號申請、密碼重置、信息更新與完善;實現(xiàn)用戶自助式的信息維護（如密碼重置）及權(quán)限管理模式，減輕管理員負擔(dān)。

2.2 統(tǒng)一認證與訪問控制

提供統(tǒng)一認證管理、訪問控制管理、應(yīng)用單點登錄管理、集中訪問入口控制、應(yīng)用訪問授權(quán)、多因素認證、訪問策略控制和多認證協(xié)議;將所有業(yè)務(wù)系統(tǒng)的認證入口統(tǒng)一，實現(xiàn)安全訪問控制[5]。

提供多種安全認證方式和功能，滿足應(yīng)用安全訪問需求，適應(yīng)不同業(yè)務(wù)場景。

2.3 合規(guī)安全審計

對用戶管理和訪問控制中的關(guān)鍵流程、操作進行審閱;合規(guī)審計覆蓋到用戶管理與訪問控制的每個環(huán)節(jié);記錄應(yīng)用系統(tǒng)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用、授權(quán)操作等;相關(guān)事件的記錄應(yīng)包括日期和時間、類型、主體標(biāo)識、客體標(biāo)識、事件的結(jié)果等[6];建立綜合展示視圖，進行集中展現(xiàn)和展示，根據(jù)記錄數(shù)據(jù)進行分析，可生成統(tǒng)計報表，并對特定事件提供指定方式的報警;單獨設(shè)置安全管理員角色，使其與管理權(quán)限完全獨立;日志管理：用來記錄用戶認證日志、訪問日志、操作日志。

查詢類報表：提供孤兒賬號、系統(tǒng)日志、用戶狀態(tài)、用戶賬號、用戶資源、資源賬號的集中查詢功能，并提供導(dǎo)出功能。

2.4 與業(yè)務(wù)系統(tǒng)集成

統(tǒng)一身份認證平臺與相關(guān)系統(tǒng)對接集成實現(xiàn)用戶、組織架構(gòu)數(shù)據(jù)同步、單點登錄，并與主數(shù)據(jù)（公司組織架構(gòu)）平臺賬號關(guān)聯(lián)，實現(xiàn)管理員僅維護一套主數(shù)據(jù)賬號、組織機構(gòu)管理工作。

2.5 與企業(yè)門戶、數(shù)據(jù)總線及主數(shù)據(jù)管理平臺集成

企業(yè)信息門戶集成統(tǒng)一認證平臺，采用統(tǒng)一的登錄入口，使用集團公司統(tǒng)一的用戶名和密碼登錄。

統(tǒng)一身份平臺與其他系統(tǒng)的交互通過數(shù)據(jù)總線實現(xiàn)。

統(tǒng)一身份認證平臺支持主數(shù)據(jù)管理平臺建設(shè)，實現(xiàn)公司身份數(shù)據(jù)的標(biāo)準(zhǔn)化和唯一化。

與企業(yè)門戶、數(shù)據(jù)總線及主數(shù)據(jù)管理平臺的集成符合集團公司《面向服務(wù)的應(yīng)用系統(tǒng)集成規(guī)范》、《主數(shù)據(jù)管理平臺系統(tǒng)接口規(guī)范》。

3 部署架構(gòu)

部署架構(gòu)圖，如圖1所示。

身份管理服務(wù)（含應(yīng)用導(dǎo)航、業(yè)務(wù)控制臺、自服務(wù)平臺）通過兩臺服務(wù)器實現(xiàn)集群，通過A10設(shè)備實現(xiàn)負載均衡;認證服務(wù)（含認證中心、認證拓撲）通過兩臺服務(wù)器實現(xiàn)集群，通過A10設(shè)備實現(xiàn)負載均衡;企業(yè)信息門戶部署在兩臺服務(wù)器，兩個節(jié)點使用tomcat集群，通過A10設(shè)備實現(xiàn)負載均衡;企業(yè)瀏覽器部署在1臺服務(wù)器，包括管控后臺和數(shù)據(jù)庫;Mysql數(shù)據(jù)庫通過兩臺服務(wù)器實現(xiàn)主從關(guān)聯(lián);redis通過兩臺服務(wù)器實現(xiàn)3主3從的集群模式;ldap通過兩臺服務(wù)器實現(xiàn)數(shù)據(jù)復(fù)制功能。

4 結(jié)語

文章提出基于異構(gòu)環(huán)境下統(tǒng)一身份認證平臺的設(shè)計與實現(xiàn)，其關(guān)鍵點和難點均在于第三方應(yīng)用系統(tǒng)的接入，其異構(gòu)環(huán)境為基于配電網(wǎng)企業(yè)內(nèi)外網(wǎng)及公司大樓局域網(wǎng)等復(fù)雜網(wǎng)絡(luò)環(huán)境系統(tǒng)下，實現(xiàn)身份管理與認證數(shù)據(jù)的實時同步。目的是實現(xiàn)公司內(nèi)外部員工“數(shù)字身份”的全生命周期管理。同時，用戶通過企業(yè)信息門戶，輸入一次用戶名、密碼即可訪問不同業(yè)務(wù)系統(tǒng)，并通過身份大數(shù)據(jù)分析，指導(dǎo)公司開展應(yīng)用系統(tǒng)實用化工作，進一步提高用戶體驗，增強公司運營效率。

參考文獻

[1] GB/T 31072-2014，科技平臺 統(tǒng)一身份認證[S].北京：王志強，楊青海等，2015.

[2] GB/T 32419.6-2017，信息技術(shù) SOA技術(shù)實現(xiàn)規(guī)范 第6部分：身份管理服務(wù)[S].北京：梅宏，趙斌等，2017.

[3] 牟平.國家電網(wǎng)公司統(tǒng)一身份認證平臺的設(shè)計與實現(xiàn)[D].天津：天津大學(xué)，2014.

[4] 沈斌，史鳴杰.統(tǒng)一身份認證平臺的設(shè)計[J].南京師范大學(xué)學(xué)報（工程技術(shù)版），2004（02）：74-76.

[5] 張立斌，高仲春，張晶.云計算環(huán)境下統(tǒng)一身份認證平臺的設(shè)計與實現(xiàn)[J].工業(yè)控制計算機，2013，26（7）：91-92.

[6] 崔晶.統(tǒng)一身份認證系統(tǒng)的設(shè)計與實現(xiàn)[J].天津職業(yè)院校聯(lián)合學(xué)報，2014（04）：121-124.