天融信统一信任管理平台(TOP UTS)解决方案
Download
Report
Transcript 天融信统一信任管理平台(TOP UTS)解决方案
天融信统一信任管理平台
(TOP UTS)解决方案
www.topsec.com.cn
1
企业应用系统的效率提升整合大师
在深刻理解用户应用系统整合需求的基础上,针对信息化管理现状,以业
务需求为导向,为企业提供基于可信身份的统一信任管理解决方案
统一信任管理平台为企业实现:
业务资源整合
统一身份管理
安全策略集中
符合相关法律、法规
2
提
纲
3
一、企业信息化现状及需求分析
企业信息孤岛使得环境越来越复杂,给企业带来很多麻烦!
员工
合作伙伴
邮件
局域网
客户
供应商
IT管理员
离职员工
OA
财务
ERP
决策支持
4
一、企业信息化现状分析
麻烦一:密码繁多,不便记忆
Frank
OA
用户名:
密
码:
xiaotian
123456
邮件
Xiao_tian
123456
财务
ERP
Tian_xiao
123456
Xiao_t
123456
CRM
????
????
其他
5
一、企业信息化现状分析
麻烦二:权限混乱,疲于解决
网管
David
人力
May
业务系统 管
理员
OA
邮件
财务
ERP
CRM
其他
6
麻烦三:权责不清,篱笆效应
业务主管
Jeff
总裁
Jack
IT主管
Steven
人力主管
Sherry
OA
邮件
财务
ERP
CRM
其他
7
一、企业信息化需求分析
面对各种麻烦,给企业提出了更高的信息化管控需求
统一账户管理
账号生命周期管理
业务系统账号同步
统一权限管理
授权和访问控制
统一门户管理
单点登录
支持多种认证方式
操作行为分析控制
8
提
纲
9
二、TOP UTS统一信任管理解决之道
统一信任管理系统(TOP UTSV1.0)是一个综合的应用系统管
理平台。以PKI/CA技术为核心,实现集中的用户管理、证书管理、
认证管理、授权管理和审计等功能,为多业务系统提供用户身份、
系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。
10
二、统一身份管理解决之道
集中管控
统一门户的建
基础数据的收
子系统账户的
统一认证和单
收集和映射
立
集和统一账户
点登录
的创建
管理员
David
TOP UTS
11
二、统一身份管理解决之道
安全保障
2、通过安全认证网关实现
数据的传输加密,确保数据
的机密性和完整性
1、可支持证书认证等多种
强安全身份认证方式,解决
弱口令所存在的安全隐患。
用户
Frank
TOP UTS
管理员
David
3、完整的授权及操作行为
审计功能,实现行为的可追
溯,及时了解掌握系统情况,
确保系统、业务的正常运转。
12
二、统一身份管理解决之道
用户价值
安全性提升
审计追溯用户行为
基于角色权限控制
集中监控和管理用户
法规、标准遵从性
加强认证方式,实现安全SSO
涵盖身份识别、访问管理和安全审计
安全 业务
成本
推动业务系统优化
用户层面:系统帐号一次性申请、系统单点登录实现
降低IT运营成本
IT管理层面:用户生命周期电子流程管理、系统整合、统一管理平台
13
提
纲
14
三、统一身份管理解决之道
天融信统一信任管理平台TOP UTS
15
三、统一身份管理解决之术
TOP UTS系统功能及特点介绍
TOP UTS
TOP UTS系统功能模块
TOP UTS系统功能介绍
TOP UTS系统特点介绍
16
三、统一身份管理解决之术
1、TOP UTS技术架构:平台逻辑架构
17
三、统一身份管理解决之道
1、TOP UTS技术架构:平台典型部署
Mail
ERP
证书应用审计
OA
UTS-M
CA
财务软件
应
用
集
群
门户
CRM
UTS-GATE
集群
……
GATE
负载均衡
数据
源
RA
内
部
用
户
企业专网
数据源
UTS-M
移动
员工
RA
数据源
Mail
ERP
UTS-M
OA
应用
集群
财务软件
业务系统
UTS-GATE
集群
RA
CRM
……
分支机构1
……
GATE负载
均衡
分支机构n
18
三、统一身份管理解决之术
2.TOP UTS功能模块
平台管理层
策略管理
权限管理
接口管理
运行管理
备份管理
账号管理
授权管理
认证管理
审计管理
证书管理
生命周期
粗粒度授权
SSO
登录信息
集中制证
身份源管理
细粒度授权
多认证方式
访问行为
自动审批
角色管理
对象授权
认证策略
管理行为
生命周期
分组管理
动态继承
负载 均衡
日志审计
有效性检查
平台接口层
资源层
CA中心
RA
数据源
AD
LDA
P
应用
办公系统
业务系统
19
三、统一身份管理解决之术
3.TOP UTS系统功能介绍
统一账户管理
20
三、统一身份管理解决之术
3.TOP UTS系统功能介绍
Ⅰ统一账户管理功能
用户属性管理
用户生命周期管理
组织结构管理
账户映射管理
统一帐户管理
数据源管理
21
三、统一身份管理解决之术
3—Ⅰ统一账户之数据源管理
可提供内部eDirectory
存储用户身份信息
可从外部LDAP、AD系
eDirectory
Acitve Directory
统导入主身份数据
(LDAP)
(AD)
处理用户身份和账号的
数据同步
可读写外部数据源数据
灵活的策略定制
数据源管理层
Driver shim
Radius
Server
支持多应用从账号信息
用户自助和批量处理
可集中管理各种业务系
邮件
统
目标系统
22
三、统一身份管理解决之术
3—Ⅰ统一账户之管理对象
23
三、统一身份管理解决之术
3—Ⅰ统一账户之用户身份属性
24
三、统一身份管理解决之术
3—Ⅰ统一账户之主从账户关系
邮件
张
三
OA
李
四
王
五
财务
ERP
CRM
25
三、统一身份管理解决之术
3—Ⅰ统一账户之生命周期
员工入职
创建账号
证书发放
账号属性
变更
用户生命
周期
奇虎360
账号归档
帐户注销
员工离职
26
三、统一身份管理解决之术
3—Ⅱ统一证书之管理
主要功能特点
证书自动审批、集中制证
证书生命周期管理
证书有性检查
多RA 管理
扩展性强
27
三、统一身份管理解决之术
3—Ⅱ统一证书之支持多种CA建设模式
①
④
企业本地
②
TOP UTS-M
集中证书
管理
③
用户数据源
③
RA 自建
CA
系统
CA系统
证书申请
自动审批
集中制证
证书生命周期管理
证书签发
证书掉销
⑤
CA系统
28
三、统一身份管理解决之术
3—Ⅱ统一证书之多RA集中管理
①
企业本地
②
TOP UTS-M
集中证书
管理
④
③
用户数据源
RA 自建
CA
系统
③
③
CA系统
⑤
RA
CA系统
分支机构1
RA
……
CA系统
分支机构n
29
三、统一身份管理解决之术
应用系统
3—Ⅱ统一证书之证书有效性检查
手动导入CRL列表
外部CRL联动
登录应用
TOP UTS-M
登录门户
有效
证书管理
有效
手动导入CRL列表
CRL服务联动
CRL服务
30
三、统一身份管理解决之术
3—Ⅱ统一证书之RA与TOP UTS系统集成
RA完全接管
TOP UTS
证书处理
证书生命周期
管理
证书审批
多种申请模式
密钥管理
策略管理等
31
三、统一身份管理解决之术
3—Ⅲ统一授权管理
传统授权
系统权限分散:员工的流动及职位的变更,需要更改员工的系统使用权限,
而多个系统权限的分散,使管理员工作量增加,且容易带来安全漏洞。
应用系统的独立性:各种应用系统都使用独立的登录方式,员工需要记忆
所有应用系统的帐号、密码等,逐一登录,给工作带来极大的困扰。
集中授权
集中在一个接口对组/角色进行资源的合理分配。集中授权的过程,就是
集中对用户(组/角色)通过何种方式(证书/口令)使用某种资源(应用/功
能)的权限的分配
通过这种集中授权的管理,有效的屏蔽了传统授权中存在的弊端,提高了
管理效率,为企业营造一个安全、便捷的系统使用环境。
32
三、统一身份管理解决之术
3—Ⅲ统一授权管理之集中授权模型
Manager
Group1
…..
……
Assistant
….
..….
用户
Group
Engineer
角色
组
Web应用系统
33
三、统一身份管理解决之术
3—Ⅲ统一授权管理之权限管理模块结构
访问控制模块——执行管理权限
授权模块——定义管理权限
组模块和角色模块(资源使用者)
通过授权管理模块的定义,对相应权限进行调用
资源管理模块(应用)
系统中所有应用资源的集合
组模块
授权模块
资源管理
模块
角色模块
34
三、统一身份管理解决之术
3—Ⅲ统一授权管理之集中授权方式
部门
组
用户
组
用户角色
应用角色
应用
功能组
功能
角色
资源
三位一体 授权条件
35
三、统一身份管理解决之术
3—Ⅲ统一授权管理之
集中授权流程图
Admin
组/角色
应用
组授权
角色授权
选中组分派资源
选中资源将其分配给组
选中角色分派资源
选中资源将其分配给角色
36
三、统一身份管理解决之术
3—Ⅲ统一授权管理之细粒度架构
角
色
1
Function1
功
能
组
Function2
用户1
Function4
角
色
2
Function5
功
能
组
用户2
…
…
角
色
Function
应用
37
三、统一身份管理解决之术
3—Ⅲ统一授权管理之继承方式
单继承
静态继承
角色A继承于角色B ,则 A拥有B所有的权限
多继承
角色A继承于角色B、角色C、角色D,
则A同时拥有B、C、D所有的权限
循环继承
角色A
角色B
角色D
角色C
角色循环继承时,
系统可以内部处理,
在循环某处断开,
不会报错
38
三、统一身份管理解决之术
3—Ⅲ统一授权管理之角色继承
角色A
动态继承
口令
角色B
登
入
系
统
角色C
角色A
角色C
证书
角色D
角色A继承于角色B、角色C、角色D,用户拥有角色A;
角色B的登录方式为口令;角色C的登录方式为口令和证书;
角色D的登录方式为证书。
用户使用证书登录成功后,
其具备的动态角色为角色
A、角色B、角色C
用户使用口令登录成功后,
其具备的动态角色为角色
A、角色C、角色D
39
三、统一身份管理解决之术
3—Ⅳ统一认证管理功能
集中认证管理
40
三、统一身份管理解决之术
3—Ⅳ统一认证之多种认证方式
多种认证方式:
-用户名/口令
-数字证书
-通行码
-Windows域认证
数字证书
AD域
用户
认证方式
用户名/口令
通行码
41
三、统一身份管理解决之术
3—Ⅳ统一认证之单点登录原理比较
标准SAML协议
Form-Based SSO
支持的应
用类型
产品遵循SAML多认证协议规范标
准,支持标准SAML协议的应用
系统都可以接入
支持各种使用表单登录的Web应用
系统
优点
与支持SAML协议的应用的天然
融合,与应用的集成度极高
采用口令代填方式,不需要对后台
的应用系统进行修改
缺点
应用必须支持SAML协议
支持标准的Form形式应用集成,对
应用页面有严格的要求
适用的应
用
Oracle、IBM、微软、Sun等公司
的产品均支持SAML协议
对无法修改登录页面,或者用户命
名规范的B/S应用系统使用这种方式
42
三、统一身份管理解决之术
3—Ⅳ统一认证之单点登录实现流程(门户方式)
单点登录模块
UTS系统
门户将认证信息提交单点登
2 录验证,通过后产生票据保
存,并从UTS系统获得用户
权限信息,将用户访问应用
列表交给门户
5 门户连接UTS系统产生鉴
证SAML断言,将用户重
定向至应用网关
用户访问门户,
AD域
1 并提交认证信息
3 门户显示用户可
数字证书
访问的应用列表
用户点击门户中
4 的应用访问链接
用户名/口令
门户系统
应用网关验证断言,取出用
6 户登录应用的信息,并将用
OA
户登录信息注入到应用帐户
登录请求中发送给应用
7 应用帐户登录成功,
用户进入应用界面
通行码
邮件
用户端
…
CRM
…
应用网关
ERP
43
三、统一身份管理解决之术
3—Ⅴ统一审计管理之系统逻辑架构
浏览器
CA系统
管理日志
审计分析,实时关联、安全预警
认证日志
审计策略
帐号日志
授权日志
审计信息数
据库
通
信
层
UTS系统
审
计
引
擎
ERP
CRM
日志审计
OA
操作审计
证书日志
审计子系统
44
三、统一身份管理解决之术
3—Ⅴ统一审计管理之
系统主要功能
集中审计功能
管理员管理审计
信任源操作审计
数据源操作审计
备份还原审计
系统配置审计
资源管理审计
日志功能
系统管理员管理审计
数据源操作审计
系统配置审计
信任源操作审计
系统的备份还原审计
网关初始化服务审计
密钥同步初始化审计
口令代填审计
用户修改口令服务审计
45
三、统一身份管理解决之术
4、平台主要特点
系统设计开发充分考虑《信息安全等级保护管理办法》、《企业内部控制基
本规范》、《中华人民共和国电子签名法》等相关法律法规要求,满足企业
业务审计的合规性要求;系统支持权威第三方电子认证服务机构的数字证书,
确保业务操作关键环节具有法律效力。
支持多种访问控制方式和细粒度访问授权;实现账号的统一管理,账号生
命周期管理和账号同步;支持负载均衡部署方式,充分满足高并发认证需求;
支持灵活的账号绑定方式。
46
三、统一身份管理解决之术
4、平台主要特点
平台集成了证书注册服务和电子密钥管理,使平台不仅支持证书认证方式,
更实现了在统一的平台上对证书的管理,从而提高信息管理部门的服务能力。
在使用数字证书安全认证方式下,可支持多信任体系并存;平台可兼容用户
已有的信任体系。在用户信息化建设过程中,有效的节约了整体的投资成本。
支持多种认证方式,包括静态用户名/口令、数字证书、NTLM、Passcode(一
次性口令)等;支持CAS,.NET Passport,IBM LTPA等多种实现方式。
即插即用无需进行系统修改;客户端无需安装插件;遗留应用系统无需修改;
SAML的实现,为产品的集成、扩展奠定良好的基础;在支持SAML的典型应用
可以实现无缝集成。
47
提
纲
48
人保财险案例简介
双向认证
单向认证
单向认证
证书审计平台
SSL VPN网关
SSL VPN网关
统一身份管理
系统
业务系统
RA系统
RA系统
LDAP系统
统一身份管理系统
LDAP系统
业务系统
CA/KMC系统
省公司
总公司
证书相关数据
双向认证
帐户相关数据
审计信息
数据同步
数据流向
49
PICC系统总体框架
50
PICC系统功能结构
51
北京天融信公司
(+86)010-82776666
http://www.topsec.com.cn
52