IDaaS 向您提供集统一账户管理(Account)、统一身份认证(Authentication)、统一授权管理(Authorization)、统一应用管理(Application)、统一审计管理(Audit)五项能力于一体的统一身份平台

统一账号管理(Account)

随着企业业务的不断发展,众多应用系统不仅仅对员工开放,还要对合作伙伴甚至客户开放,面对繁多的应用系统,员工的入职、调岗、离职,不同身份的用户访问,账户管理和用户体验成为了企业 IT 面临的一大难题

IDaaS 的统一用户管理,提供了统一集中的账号管理,支持管理所有的业务员工账号,支持矩阵式组织架构创建,提供横向、纵向灵活设计,实现被管理资源账号的创建、删除、启用/禁用及同步等流程的自动化管理,实现账号管理生命周期所包含的基本功能并可进行生存周期设定。

账户同步

IDaaS 与应用系统之间以 SCIM / LDAP 方式建立通信。数据通过同步引擎、事务机制和 SCIM 与 LDAP 协议实现与应用系统之间的同步。同步的成功和失败都进行多维度记录,同步的成功信息以报告形式方便于管理人员查看,同步的失败信息通过定时器机制自动完成,直至同步成功。

通过 IDaaS 与各业务系统之间构建同步机制,只需在 IDaaS 一处管理(创建、修改、删除、移动)组织机构及用户信息即可根据平台配置策略同步到指定的业务系统中,业务系统运维人员无需再进行单独管理。

统一身份认证(Authentication)

IDaaS 实现用户在各个不同业务应用过程中的单点登录功能。支持不同域下业务应用统一认证集成,通过集中资源服务及授权管理系统提供的集中身份信息和权限信息,消除客户信息系统的业务孤岛和数据孤岛及对员工、合作伙伴、客户登录各个应用系统造成混淆和障碍。

在用户认证之后,可以在不同业务系统中灵活切换角色和权限信息。从而确保用户只需要认证一次,便可以在访问权限的约束范围内访问不同的应用系统,从而达到“一次认证,安全漫游”的效果。

统一授权管理(Authorzation)

IDaaS在对众多业务系统、运维管理设备有效管理的基础上,建立以人为主体、资源为客体的授权管理体系;并建立对应用权限申请、审批和授权的流程化管理;实现对网上用户统一的权限控制和管理。

通过统一授权管理,建立统一用户管理和权限视图,当用户职务、岗位等自然属性发生变化时,可以较快地响应变化,根据用户新的属性自动调整其能访问的应用客体对象,进一步降低管理成本,提高工作效率。通过平台创建安全组,将所有的系统用户以组的形式管理起来,通过应用授权给安全组或通过安全组指定应用两种授权机制,已达到管理用户的访问去向。用户访问控制总体框架如下图所示:

在此框架下,整个授权控制的工作流程如下:
  1. 统一身份认证管理系统的初始化,添加并配置系统管理员;
  2. 由系统管理员添加并配置下级管理员或用户;
  3. 管理员添加受控访问资源,并设置每个用户的权限;
  4. 用户访问各应用系统,首先由统一身份认证系统验证该用户的身份;
  5. 认证通过后根据用户身份,对用户进行权限认证;
  6. 如果用户通过权限认证,则说明该用户可以进入相应的应用系统,访问权限许可内的资源;否则,拒绝用户访问。

统一应用管理(Application)

为方便对业务应用的集中管控,IDaaS 的应用管理模块内预置了多种模板应用。所谓模板应用就是定义了一系列有规则的应用配置模板,根据企业用户现有业务系统架构、开发语言以及支持的认证协议不同与平台中已有的应用模板相匹配,只需要选择对应的模板应用,通过界面化最小配置便可完成单点登录的集成,从而到达安全快速管理所有业务应用的目的。

IDaaS 自身提供统一标准规范。平台自带开发者服务功能模块,此模块提供应用系统账户、应用的集成能力,并提供针对所有功能实现的标准规范,针对不同模块提供不同接口说明,满足企业现有业务系统便捷集成的同时可保证未来新业务系统实现统一规范化集成、管理,形成标准化流程操作。

统一审计管理(Audit)

透明审计管理主要记录系统范围内的安全和系统审计信息,有效地分析整个系统的日常操作与安全事件数据,通过归类、合并、关联、优化、直观呈现等方法,使管理员轻松识别应用系统环境中潜在的恶意威胁活动,可帮助企业/用户明显地降低受到来自外界和内部的恶意侵袭的风险。