下载掌阅APP,畅读海量书库
立即打开
身份管理的首要目标是在适当的环境中,向合法的用户授予正确的企业资产,从用户的系统入职到许可授权,再到需要的时候及时隔离该用户企业身份和访问管理。然而,大多数企事业单位不仅需要对内部正式员工做到身份的管理,还需要向组织之外的用户提供内部系统的使用权限,如用户、合作伙伴、供应商、集成商、承包商,需要对这些非企事业内部正式员工的身份和权限进行管理。
IAM系统的统一身份管理功能可以让企事业单位在不损害安全的前提下,扩展其信息系统的访问范围。通过提供更多的外部访问管理,将企事业单位内部所有应用系统的用户身份做到统一的全生命周期管理,为用户建立一个通用的唯一身份ID,用户身份的增、删、改、查收拢到一处,提升系统管理员的工作效率和及时性、减少系统管理员的工作繁杂度、释放系统管理员工作压力。推动整个组织的快速协作,提高生产力、员工满意度、研究和开发效率以及最终的企业效益。
另外,统一身份管理也是安全网络的基础,管理用户身份是进行访问控制的前提。只有做好用户身份的管理才可以很好地定义该用户的访问策略,特别是管理谁有权访问哪些数据资源,以及在哪些条件下可以访问这些资源。因此,良好的身份管理意味着对用户访问的更大控制,降低内部和外部风险。这对企事业单位也很重要,因为威胁不仅仅来自外部,内部攻击的频率也非常高,更不容忽视。
IT中身份管理主体是指一个主动的实体,它请求对客体或客体内的数据进行访问。客体是指包含被访问信息或所需功能的被动实体。主体在一个系统或区域内应当可问责,确保可问责性的唯一方法是主体能够被唯一标识,且记录在案。身份标识的用途是提供身份标识信息的主体,身份标识由权威机构/组织签发,应该具备唯一性,即必须有唯一问责的ID,身份标识还应具备非描述性,应当不表明账号的目的,如不能为administrator、operator等显示用户身份属性的字母或数字组合。
身份管理主体对象按照用户属性可以分为企事业单位内部员工、商业合作伙伴、终端消费者、服务器和网络安全设备、物联网终端等。如表3-2所示。
表3-2 身份管理主体对象列表
1.企事业单位内部员工
企事业单位内部员工是指在单位中工作,与单位签订劳动合同或符合劳动保障部门关于认定形成事实劳动关系条件的在岗职工,并由单位支付工资的各类人员,以及有工作岗位,但由于学习、病伤产假(6个月以内)等原因暂未工作,仍由单位支付工资的人员。内部员工拥有接入企事业单位网络和应用系统的需求。相比其他类型的用户的管理,此类用户身份的管理相对简单一些。
2.商业合作伙伴
随着企事业单位的发展,供应链上下游会出现大量的供应商、经销商和合作伙伴,企业在供应链、采购、CRM等许多业务上需联合协作。为了满足业务发展的需求,提供更好的应用体验,高效安全可靠地保证业务的顺利运转,这些商业合作伙伴也有接入企事业单位内部网络和应用系统的需求。此类用户变换频率较大,多为临时用户,且不属于内部员工范畴,此类用户的身份管理和访问权限管理需要严格控制。
3.终端消费者
终端消费者是指为达到个人消费使用目的而购买各种产品与服务的个人或最终产品的个人使用者。这里的用户身份管理主体指企事业单位对外提供的商品或服务的购买者或使用者。终端消费者应用用户量巨大,往往达到百万级、千万级甚至亿级,终端消费者的用户身份多为自注册方式自行申请,多个消费者应用间相互独立,但其中注册用户各有交集,不同的注册内容和关键字,导致用户信息无法做归集。促销、“秒杀”“双11”等商业推广活动中,面对用户访问量的突然激增,如何防止浪涌,并快速提供弹性扩充能力是企事业单位的重大挑战。另外,对于“薅羊毛”、重复注册等行为,如何进行安全防护,在保证正常流量进入的同时又防范非法生产,这也是企事业单位需要考虑的重要问题。
4.网络设备
常见的网络设备有服务器、防火墙、堡垒机、安全网关等,这些网络设备有时也需要访问其他的服务器服务接口或数据库中的数据,此时它们应被视为访问主体,身份管理和访问控制的主体对象应该包括此类场景中的服务器和网络安全设备,尤其是在数据中心数据互访的场景,应对每个服务器的身份进行安全管理和访问控制。
5.物联网终端
随着物联网技术的蓬勃发展,物联网终端的推广和普及,物联网市场终将形成一个万亿级规模的大市场。物联网终端是物联网中连接传感网络层和传输网络层、实现采集数据及向网络层发送数据的设备。它担负着数据采集、初步处理、加密、传输等多种功能。物联网各类终端设备总体上可以分为情景感知层、网络接入层、网络控制层以及应用/业务层,每层都与网络侧的控制设备有着对应关系。常见的物联网终端有打印机、摄像头、智能家居、机器人、充电桩、各种仪器仪表、消防设备、暖通设备、包装机械、传送机械、纺织机械等。企业中遇到的物联网终端也需要进行安全管控,需要对每个设备进行标识,形成唯一的一个物联网终端身份,便于对这种终端进行管理和控制。
身份管理的主体对象是企事业单位内部员工、商业合作伙伴、终端消费者、物联网终端等。本节介绍身份管理对应的实体的内容。IAM系统所管理的实体内容不仅包括自然人用户,还包括信息化系统的账户及登录系统的凭证、企事业单位的组织架构体系、信息化系统本身、用户使用的移动设备、通信设备和物联网设备等,以及用户对信息化系统应用的访问权限等。详细的身份管理实体内容如表3-3所示。
表3-3 身份管理实体内容列表
1.自然人用户
自然人即生物学意义上的人,是基于出生而取得民事主体资格的人。其外延包括本国公民、外国公民和无国籍人。自然人、法人和非法人组织都是民事主体。需要登录信息化系统的自然人对象,即自然人用户,IAM系统需要对自然人用户的身份进行安全管理。
2.账户与凭证
在应用信息化系统中,设置和保存用于授权用户合法登录和使用信息系统等权限的用户信息,包括用户名、密码及用户真实姓名、单位、联系方式等基本信息内容,以及用户登录信息化系统的Cookies信息。用户在登录信息化系统时,需要使用用户账户与凭证进行登录,所以IAM系统也需要对用户账户和登录凭证进行安全管理。
3.组织信息
组织架构是指一个组织整体的结构,是在企事业单位管理要求、管控定位、管理模式及业务特征等多因素影响下,在企业内部组织资源、搭建流程、开展业务、落实管理的基本要素。企事业单位内部的组织体系包括行政组织、财务组织等多种组织体系。IAM系统在对用户进行管理的同时,也应该管理其相应的企事业单位的组织信息,便于对用户岗位、所属部门、应用访问权限等进行管理,进而对企事业整体的架构有个直观的展示和管理。
4.应用系统
应用系统是指人们常用到的办公的信息化系统。企业信息化系统是指将信息更有效的记录、采集、统计、分析,进而得到企业在营运过程中所需要的管理信息与决策信息。用户在访问应用系统的时候都需要相应的身份鉴别和鉴权,IAM系统在对用户进行管理的同时,也需要对相应的信息化系统进行安全管理、访问权限管理,故应用系统也是IAM系统的管理内容之一。
5.终端设备
用户登录信息化系统进行办公的终端设备。用户在进行线上办公时,需要使用相应的终端设备登录相应的信息化系统。常见的终端设备有企业内部PC、员工个人自带设备(Bring Your Own Device,BYOD)PC、BYOD笔记本电脑、BYOD移动智能终端、物联网设备等。这些登录信息化系统的设备也是IAM系统的管理实体内容,需要管理终端设备是否可信,是否存在相应的安全风险等。
6.访问权限
访问权限是指企事业单位在进行线上办公时,对用户能否访问某个应用系统的界定。为了更好地管理企业应用系统和企业数据,企事业单位会限定某个人或某些人对信息化系统的访问权限,坚持最小化授权的原则,避免不必要的权限过大和数据泄露事件的发生。故不仅仅是用户账户和应用系统需要安全管控,系统的访问权限也是IAM系统的重要管理实体内容之一。
3.3.1节重点介绍了身份管理主体对象,是各种类型的终端用户,本节介绍身份管理的客体对象。身份管理客体是基于身份进行访问控制的各类信息化资源。信息化资源包括企事业单位私有化部署的内部办公应用系统,包括浏览器/服务器(Browser/Server,B/S)架构应用、客户端/服务器(Client/Server,C/S)架构应用、移动应用(App)架构应用;信息化资源还包括企事业单位使用的公有云上的SaaS服务,如常见的企业微信、钉钉、移动办公、OA服务等;信息化资源还应包括提供给第三方系统或服务(内部或外部的系统或服务)调用的应用程序接口(Application Programming Interface,API),如金融机构的企业服务总线(Enterprise Service Bus,ESB)接口、短信服务接口、公有地图服务接口、金融交易API等;除以上的信息化资源以外,还有数据资源的访问权限,如业务数据、文档数据、图片资源等,以及对网络设备如线上门禁、防火墙、堡垒机、VPN设备、服务器、数据库等。详细的身份管理客体对象如表3-4所示。
表3-4 身份管理客体对象列表
1.企事业单位私有化部署的应用系统
私有化部署应用指企业采用私有化部署的方式,在私有环境上部署相关的系统服务、数据库和中间件等。很多大型企事业单位都采用这种方式建设信息化系统,如企业OA、ERP、企业CRM、企业邮件等。根据企事业单位的数字化转型的实际情况,在私有化环境部署信息化资源的过程中,单位会采用B/S架构、C/S架构,以及移动应用架构的形式建设系统。C/S架构是一种典型的两层架构,其客户端包含一个或多个在用户的计算机上运行的程序,而服务器包括数据库服务器和Socket服务器。客户端需要实现绝大多数的业务逻辑和界面展示。这种架构中,客户端需要承受很大的压力,因为显示逻辑和事务处理都包含在其中,通过与数据库的交互来达到持久化数据,以此满足实际项目的需要。B/S架构中的浏览器指的是Web浏览器,随着Internet技术的兴起,对C/S架构的改进,为了区别于传统的C/S架构模式,特称为B/S架构应用模式。在这种模式下,极少的逻辑是在前端(Browser)实现,主要事务逻辑在服务器端(Server)实现,它们与数据库端构成三层结构,这样就极大地减轻了客户端的压力。移动应用架构是指随着移动互利网和移动智能设备的兴起和快速发展,针对移动智能终端这种移动设备连接到互联网的业务或无线网卡业务而开发的应用程序服务,当前一般支持Android和iOS两种架构模式的应用。
2.公有云上SaaS的服务资源和应用系统
指企事业单位采用公有云服务的模式将数据托管于云服务商的数据中心,相比私有云在数据安全和数据备份等方面的自行运维和建设,单位对数据的掌控力度减弱,但随着云的迅速发展和云安全的长足进步,公有云也具备了较强的数据安全服务和数据备份能力。移动办公和远程办公兴起,很多企事业单位尝试并乐意采用SaaS进行线上办公。企业采取租用方式来进行信息化建设,不需要专门的维护和管理人员,也不需要为维护和管理人员支付额外费用,很大程度上缓解了企业在人力、财力上的压力,使其能够集中资金对核心业务进行有效的运营。
3.API
API是一些预先定义的接口(如函数、HTTP接口),或指软件系统不同组成部分衔接的约定。用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程,而又无须访问源码,或理解内部工作机制的细节。企事业单位在业务开展的过程中,往往需要提供相应的API给第三方应用或服务进行调用,如身份认证服务接口、短信服务接口、人脸服务接口、金融动账交易接口等。这些API也属于企业的信息化资源,需要进行安全管理,避免非法调用情形发生。
4.数据资源
企业数据泛指所有与企业经营相关的信息、资料,包括公司概况、产品信息、经营数据、研究成果等,其中不乏涉及商业机密的信息,更是需要重点管理的对象。
5.线上网络设备
网络设备及部件是连接到网络中的物理实体。常见的网络设备有服务器、数据库、防火墙、堡垒机、VPN设备、线上门禁等。这些网络设备也是企业私有的信息化资源,需要对这些网络设备进行身份管理和访问权限控制。
用户身份账号管理其实就是对用户身份账号的生命周期进行管理,包括账号的创建、修改、启用、禁用、注销,以及对密码和口令的管理。在管理过程中遇到的阻力是在重复账号、僵尸账号、孤儿账号的管理上。用户身份账号管理中的账号分类如图3-4所示。
图3-4 用户身份账号管理中的账号分类
信息化系统中的用户账户可以分为两大类的账号:应用级账号和系统级账号。应用级账号是指用户在访问信息化资源中的应用系统时的身份标识。系统级账号又称为特权账号,是指管理员用户或运维人员在访问网络设备资源(服务器、数据库、防火墙、堡垒机等)的身份标识。特权账号的管理会在3.3.6节中详细介绍。
不管是应用级账号还是特权账号都存在图3-4中的有效账号、孤儿账号、重复账号和僵尸账号。有效账号是指账号被关联至具体人员,且以正常的频率在使用中;孤儿账号是指系统中存在,但无法被关联到具体人员的账号,且此账号会被正常使用;重复账号是指一个用户在系统中存在多个账号,且多个账号会被正常使用;僵尸账号是指被关联至具体的用户,但是长期未被使用的账号。以上四类账号在应用系统中和网络设备中都长期存在,IAM系统需要准确识别账号的性质,并能够统一有效地管理。
用户账户全生命周期管理,简单来说就是从用户账户的产生到消亡的整个过程管理,从业务角度来说就是员工入职起新建账户到该员工离职时的账户归档的全过程管理。
一个账号的生命周期如图3-5所示,主要包括以下几个方面。
(1)员工入职。
(2)创建账户,即创建员工个人工作账户。
(3)账户权限分配。
(4)账户属性变更(员工转岗)。
(5)账户注销(账号停用或启用)。
(6)账户归档,权限回收。
图3-5 用户全生命周期管理流程
用户身份账户的关键属性如图3-6所示。通常,一个完整的账户都会有以下4种属性。
(1)基础信息:是一个账户最基本不可或缺的信息,主要包括ID(UserID,属于唯一标志)、账户、密码等。
(2)个人信息:用来完善每个账户的属性,主要包括用户的姓名、手机号、电子邮箱、所属部门、工号等。
(3)应用权限:用来记录每个账号的权限资源,确保账号访问正确的资源。
(4)日志审计:用来记录每个账号的日志记录,主要包括认证记录、资源的访问记录、登录/登出记录、操作记录等。
图3-6 用户身份账户的关键属性
随着业务的发展,企业内部应用和人员数量会不断增加,企业通常会面临账户管理的难题。人员的入职,离职人员组织架构频繁调整(转岗),同时企业内部人员角色(正式员工/临时工、渠道/合作伙伴等)愈加复杂,每个应用的管理员手动开关账号的工作量飙升。同时,因手动管理人员账号,经常出现人员已离职但账户未关闭的高危情况。
企业用户身份账号管理常见的管理问题如下。
(1)入职员工账户未第一时间开通。
(2)公司组织机构调整,但依旧有业务系统还未调整完毕。
(3)离职员工账户权限未第一时间将权限收回。
各个系统独立运营,不仅增加了各个业务系统管理员的工作量,重复工作;同时还存在账号管理不到位,同步信息滞后,影响正常业务;若员工离职账号未及时收回,甚至还会导致公司数据泄露等重大风险。近些年来,各大企业也纷纷寻找合适的系统供应商来解决账户全生命周期的管理需求。例如,企业OA系统、人力资源系统(Human Resource,HR)、活动目录(AD)等来实现账户管理。但是又面临着身份孤岛的新问题,各系统身份信息独立,信息同步困难,建设难度大,权限不集中等。
为解决企业账户管理的难的痛点,深入了解账户特征,基于业务场景。IAM系统形成一套完整的账户全生命周期管理办法。IAM可以为企业所有的信息化资源使用人员如单位内部员工的普通用户、系统管理人员、商业合作伙伴、进而终端消费者及物联网终端进行身份管理,定义其主账号(IAM系统定义的用户身份账号),通过一对一的主账号管理模式,可以在IAM系统实现对所有信息化资源使用人员进行集中管理,集中维护等生命周期管理。IAM管理账号的核心思想:统一集中身份,一处修改,处处生效。对用户身份进行治理只在IAM系统或IAM系统的上游系统(常见的有HR系统、OA系统等)进行操作(增、删、改、查),IAM系统与上游系统和下游系统分别保持实时的用户信息同步,主要同步的内容包括组织、岗位、用户、角色等基本信息,通过集中的用户信息供给,保证数据在下游业务系统的高度一致。具体账号同步模式在3.3.7节进行详细介绍。
特权账号泛指企业IT环境中具有高级别权限,共享使用的账号,存在于操作系统、数据库、网络设备、安全设备、应用系统、API中。特权账号可分为以下两类场景:一类是以Web业务系统为代表的系统及其管理后台的特权账号;另一类是以操作系统、数据库、网络设备等为代表的信息基础设施管理后台的特权账号。这些特权账号是打开企业系统、数据大门的关键钥匙,一旦泄露,企事业单位将面临数据泄露、数据丢失、系统宕机等灾难性损失。因此,特权账号往往是黑客攻击的主要目标,守住特权账号,就是守住企业资产的最后一道防线。为了守住企业资产的最后一道防线,企业通常都会标配堡垒机、特权账号管理系统等安全产品。但拖库、删库、数据泄露等安全运维事件仍是频频发生。
下面介绍标准《信息技术 安全技术 信息安全管理体系 要求》(GB/T 22080—2016)针对特权账户管理相关要求。
(1)特权管理:特殊权限管理,应限制和控制特殊权限的分配及使用。
(2)用户标识:所有用户应有唯一的、专供其个人使用的标识符(用户ID)应选择一种适当的鉴别技术证实用户所宣称的身份。
(3)要求组织必须记录用户访问、意外和信息安全事件的日志,并保留一定期限,以便安全事件的调查和取证。
(4)要求组织必须记录系统管理和维护人员的操作行为。
(5)明确要求必须保护组织的运行记录。
(6)要求信息系统经理必须确保所有负责的安全过程都在正确执行,符合安全策略和标准的要求。
下面介绍《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)针对特权账户管理相关要求。
(1)身份鉴别:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性。
(2)访问控制:应授予管理用户所需的最小权限,实现管理用户的权限分离。
(3)安全审计:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
(4)系统管理:应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
(5)审计管理:应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计。
特权账号管理系统架构如图3-7所示。根据《信息技术 安全技术 信息安全管理体系要求》和《信息安全技术 网络安全等级保护基本要求》对特权管理和系统管理方面的规范要求,特权的管理需要在身份鉴别、权限分离、访问控制、授权管理、密码管控、安全审计等维度进行全访问的集中管控。想要管控好应用系统的特权,其核心在于管控应用系统特权账号的身份鉴别、授权发放及回收控制、密码管控和安全审计。
首先,堡垒机、特权账号管理系统等主流特权运维安全产品能解决的是运维账号、特权账号的合规性授权、统一入口、安全审计问题。但这里注意的是它们所能管控的运维账号、特权账号,仅涵盖了操作系统、数据库、网络设备、安全设备等互联网数据中心(Internet Data Center,IDC)设备的特权。
其次,谁会拥有特权的问题。主机管理员、数据库管理员(Database Administrator,DBA)、网络管理员、业务系统主管、应用系统厂商实施人员、应用系统IT管理员、API代码等都拥有特权,企业可以借助堡垒机、特权账号管理系统等实现特权的集中管理、集中授权发放及回收、过程访问控制等从而达到事前、事中管控的目标,但所能管控的同样有限,仅有主机管理员、数据库管理员、网络管理员而已。
图3-7 特权账号管理系统架构
再次,特权的密码问题。企业可以借助于特权账号管理系统实现对主机、数据库、网络设备、安全设备等整个IDC基础设施的资源进行定期修改密码、密码申请、公私钥生命周期管理,但企业的应用系统、API中的特权密码却因代码编码限制、业务管理限制、应用系统厂商限制,无法对超大权限的管理账号、授权账号做密码的定期修改。
最后,安全审计的全面性。目前市面上比较成熟的堡垒机、特权账号管理产品都可以在主机、数据库、网络设备、安全设备等整个IDC基础设施层面实现事后全过程的监控甚至视频审计。但企业的应用系统、API中的特权就仅能凭借应用系统本身的日志进行事后审计。
上面多次提到堡垒机和特权账号管理系统可以对主机管理员、DBA、网络管理员都可以实现集中管理、集中授权发放及回收、过程访问控制。这样既可实现特权账号统一访问入口,集中权限控制,实现运维审批规范化管理,也可自定义审批流程,支持紧急工作动态口令授权,开会出差轻松授权审批,不影响运维工作,对特权账号梳理、账号自动盘点、扫描所有账号、清理“僵尸账号”和“幽灵账号”。特权账号管理系统还可依设备特性,预先进行违规命令定义,阻挡违规操作,防患于未然。通过操作录像回放和审计报表,可以清楚得知操作人、操作时间、操作设备、连线方式等信息,以及操作内容和结果,方便实现责任认定和故障分析。但对应用系统、API特权管控却捉襟见肘。要解决应用系统和API特权管控,IAM系统可以从以下几个方面进行加强。IAM对特权账号管理架构如图3-8所示。
图3-8 IAM对特权账号管理架构
(1)实名制问题之身份鉴别。应用系统在出厂时内置的管理员账号admin/sysadmin通常并不具备用户实名制唯一标识的特质,通常会被应用负责人或厂商运维人员掌管的账号和密码。在使用过程中由使用者人为输入账号口令进行登录。解决的关键借助于一个特殊的平台作为跳板,如以IAM产品体系作为跳板,能让用户通过自己的个人账号进行登录认证,成功后再通过这个特殊的平台访问应用系统的特权,这样就可以解决实名制问题。针对一些非超级特权账户(如root),也可以通过在服务器操作系统上安装插件进而拉起IAM系统的二次认证的方式,对用户进行实名制。二次认证可采用当前使用的移动智能终端里的应用软件扫码认证、一键确认、人脸认证等方式。移动智能终端里的应用软件在使用前需要进行初始化绑定,即实现用户与移动设备的安全绑定,移动设备和移动应用在进行二次认证时是与用户实名绑定的,这样就能有效地解决特权账号实名制问题。针对非应用系统的出厂内置的管理员账户,可通过IAM系统对用户身份统一管理,统一多维联合身份认证等。
(2)密码扩散问题之特权密码管控。特权账号在使用过程中应用负责人通常会将账号、口令转告知第三人。这么一来管理员账号的密码就会不经意地传给第三个、第四个、…、第 n 个人,导致特权账号密码扩散的风险,所以可以通过IAM系统对密码定期修改、密码自动代填或基于票据的方式由中转系统自动完成应用系统的特权登录过程,避免使用者因登录需要而知晓密码。同时密码扩散问题也可以通过拉起IAM系统二次认证的方式来解决。非实名绑定的其他人,即被告知或其他方式获取密码的第二人、第 n 人,即使知道了特权账号密码,由于无法通过IAM系统二次认证的身份鉴别,也无法登录到相应的应用系统管理后台、服务器、数据库等信息化资源,避免特权账号密码的扩散带来的风险。
(3)特权授权问题之特权发放自动收回。通常企业中申请使用特权账号的方式:管理员代为输入口令、邮件申请、工单申请、微信、钉钉等。那么这些方式的通病就是授权的过程不严谨导致申请记录无从查起;授权之后权限不能及时主动地收回。为了避免这种情况,多数企业都会将所有的权限相关与流程工单系统进行结合,如IAM系统、OA系统等,用户通过IAM系统流程工单走线上的特权申请,并备注使用的周期。工单由相关干系人完成审批后由IAM系统进行中转自动完成自然人(特权申请人)与应用系统特权的授权映射过程。用户登录IAM系统即可查阅自己的应用特权权限。最后在特权申请时限结束后IAM系统自动完成自然人(特权申请人)与应用系统特权的授权关系解除操作,那么用户也就无法再次使用特权账号访问应用系统管理后台等了。
统一用户管理主要为用户提供统一集中账号(用户/账号/角色)的管理与分发,包括账户间的状态记录、关联关系、角色授权等,确保用户账户使用和管理的安全性。
统一用户管理的业务场景主要包括数据同步与数据分发,实现统一用户管理首先需要确定企业用户信息数据的管理维护是在哪个系统,通常以人力资源管理系统(HR系统)作为信息同步中信息的源头,常称为上游系统。企业中需要统一管控(统一身份、统一认证、统一授权、统一审计)的应用系统又称为下游系统。IAM系统的统一身份管理平台主要为企业提供集中的用户存储目录,其中包括上游数据源获取、下游数据供给,主要同步内容包括组织、岗位、用户、角色等基本信息,通过集中的用户信息供给,保证数据在下游业务系统的高度一致。上游系统提供用户/账号/角色的基本信息、职位关联信息、账号变动信息等同步至IAM系统的统一身份管理平台,再由统一身份管理平台将统一管理后的信息分发至相关系统。最终通过统一身份管理平台的数据同步与数据分发实现当用户基本信息发生变动时,其他系统中的信息随之进行相应的变动处理,而不需要多方操作。用户信息同步示意图如图3-9所示。
IAM系统的统一身份管理中心和应用系统的集成,主要在于权威数据同步给下游系统数据提供商。企业统一用户管理最终的落地,首先明确数据源来自哪里,多数企业建立有自己的HR系统,也有的企事业建设了AD域控系统,建议以HR系统或AD域控系统作为权威数据源头;对于部分企事业单位存在多数据源的情况,统一身份管理中心需要分情况对待,实现多数据源的对接,此时需要注意的是多数据源情况下要保证用户唯一性;对于企业暂无权威数据源的情况,也可以直接以IAM系统的统一身份管理中心作为数据源,企事业单位提供用户、组织的基础信息上线初始化到统一身份管理中心,系统管理员可采用手动添加、表格导入的方式进行初始化管理,后续所有的用户信息变更操作都在统一身份管理中心进行,由统一身份管理中心把变更的信息同步至各个下游应用系统。打通企业上下游系统的对接,最终实现用户全生命周期的自动化管理,从而避免管理员过多的手动干预,释放管理员的压力,在保证数据准确性的同时提升工作效率。
图3-9 用户信息同步示意图
用户数据同步,通常由企业内部权威数据源(HR系统、AD域控)提供变动信息,以获取数据源头的变动信息,对应的数据源系统按照统一同步接口标准提供全量或增量信息服务接口即可完成数据同步工作,同步的方式可以根据企业具体业务需求采用实时调用或定时轮询方式。通常采用实时调用方式,即统一身份管理平台提供变动信息的写入服务,数据源信息变动时,直接调用统一身份管理平台接口服务即可;如集成系统无法进行实时调用,则可采用定时轮询方式,定时获取数据源系统的变动信息写入数据库中间表,完成同步信息日志记录,之后从服务器读取该同步日志记录,将日志内变动信息同步写入统一身份管理平台,生成对应的员工入转调离操作信息。
用户数据分发也是统一用户管理的重要步骤,顺序为“数据源→统一身份管理平台→各业务系统”,具体为账户信息从数据源同步至统一身份管理平台,统一身份管理平台将用户数据信息进行加工后分发给各业务系统。通常通过ESB创建用户数据分发流程,调用各业务系统提供的分发服务接口,实现用户数据信息的实时分发。用户数据分发根据企业业务系统不同的情况、配合的程度分别采用不同的分发形式,常见的形式包括Restful API、中间表存储、数据库权限三种。Restful API形式主要由业务系统提供服务标准的API,供统一身份管理系统调用实现用户账号信息分发;中间表存储形式主要由业务系统提供数据库的中间表,通过ESB写入数据实现用户信息分发;数据库权限针对无法提供配合的业务系统,系统提供数据库操作权限,由ESB直接写入数据库操作。