访问管理与身份管理系统.docxVIP

访问管理与身份管理系统 在智慧城市建设与管理模式的变革下，“以人为本、面向服务”已经成为系统建设的根本要求，开放式的统一身份认证和授权管理方式能够更加有效地整合城市数据资源，实现更高程度上的智能化和个性化，使得每个自然人都能成为智慧城市资源应用与服务的受益者，从而建立良好的用户全生命周期信息化生态环境，为大数据分析与决策优化提供有力的支撑。 设计要点 1、统一身份认证平台设计需要实现以下几方面的要点： 2、适合政府用户数据分散管理的用户数据集成； 3、使用灵活、方便，政府用户尤其是教职工多重身份可以通过多种方式自由使用该统一身份认证服务； 4、提供完整的认证集成方式，保证本期业务系统和后续业务系统都能与统一身份认证平台进行集成； 5、具备良好的扩展性和可集成性，满足不同用户或系统的认证安全需求； 6、具备高可靠性和高效率； 7、为后续的数据集中化、可分析能力做好前台接口搭建。 设计目标 统一身份认证平台的建设，将以以下目标作为基础，实现内部数据的集中管控、提升用户体验、保障系统及数据的安全，并制定出数据、应用、流程等管理制度、规范。 提升用户体验 简化用户生命周期管理流程、提供用户自助管理服务、提供一站式应用访问。 完善管理流程 建立集中数据管理中心、制定标准身份管理流程、制定应用集成接入流程、规范化数据使用方式、建立集中安全审计体系。 安全标准化 制定应用身份认证建设标准、实施安全认证手段的加固、提供用户数据的安全防护。 设计内容 统一身份认证平台，核心功能模块包括身份管理以及访问控制。 身份管理中包括了用户、机构、应用、账号、权限等基础信息管理； 统一认证，即是各系统的单点登录、用户访问权限控制； 同时，与两大功能模块相关目录服务以及各类安全管理和集成规范。 集中的数据中心，业务数据包括用户相关的基础信息、组织机构、岗位、应用、账号、权限等信息，同时存储日志相关信息。同时，根据需求扩展LDAP目录服务； 身份管理中心，提供基础的用户、机构、应用、权限等基础数据的集中管控，同时提供基于各种类型的策略配置服务以及日志查询管理功能； 统一认证中心，实现与各业务系统的集中认证以及单点登录功能； 统一门户，提供用户自助功能，包括应用列表、自助密码维护、应用权限申请流程等功能； 登录手段模块，支持基础的账号、密码模式，同时提供企业微信扫码登录功能，以及市面上主流的如指纹、动态口令等认证手段的扩展； API接口服务，提供各类数据的管控接口服务，支持多种形式的标准协议； 安全标准和技术规范：包括客户目录建设和扩展标准、用户管理规范、应用系统集成规范等； 设计方案 统一身份管理设计 建设目标 集中统一的身份管理是客户统一身份认证平台建设的重要组成部分，建立统一用户身份视图，实现信息系统用户身份信息的集中管理，提供统一的用户身份生命周期管理和用户自助服务（如口令重置，用户属性修改等）等功能。对于各应用系统，实现用户与各系统账号的统一管理，在统一管理平台上统一管理这些用户的账号信息，及其所对应的登录系统方式，口令策略，如口令长度策略、口令复杂度策略、口令更换策略等。 建设思想 建立独立的管理平台，与客户各个信息系统自建的用户管理系统并存，在不对原有信息系统做大量改造的前提下，实现用户信息的集中管理，能够及时发现原各个从账号系统中用户信息的变更，并能够做出相应的响应； 建立统一用户身份管理视图，在该平台上为各个信息系统提供完备完整的管理审批工作流、委派管理和用户自助服务等用户管理功能和服务； 提供分级管理服务，多个管理员可以同时对目录对象进行管理，每个管理员负责其特定对象组的管理； 实现用户身份生命周期管理：对信息系统用户身份信息进行集中管理，实现与各个信息系统的账号信息同步，满足口令的策略更新，每一个员工从入职，角色变更到离职都严格被这个定义好的生命周期管理流程所控制。 机构管理 根据客户信息中心特有的业务管理模式，各业务系统中存储的机构数据各尽不同，同时与用户相关的行政机构又与各系统不一致，因此统一身份认证系统中就需要对各业务系统中的机构数据进行整合。 不同的机构数据来源于维护方式不同，如行政机构数据可来源于人力系统，其他类型的机构数据有自助的机构管理流程进行维护。 与各业务系统的对接中，实现各系统所需类型的机构数据同步。 机构类型管理 定义客户信息中心各业务系统中存储的机构数据，不同类型的组织机构定义不同的属性字段、不同的页面显示不同的管理方式。 机构类型定义中，包括两类基本信息的定义： 基本信息：包括机构类型编码、类型名称及描述的定义，如： 人力系统Org，人力系统行政机构，从人力系统同步的行政机构信息； Schema定义：及定义机构类型可存储的数据字段，如机构编号、名称、简称、上级机构ID、机构层级、描述等； 机构数据管理 机构数据的