长青身份管理及访问控制系统
简介
今天的企业面临着复杂而多样的信息系统。随着IT系统建设的不断完善,更多的成员需要访问应用系统,企业内部PC数量的增长,更多的计算机需要访问网络,同时大量的应用系统需要控制其被安全的访问。这带来的问题就是大量的人员需要被授权,控制其访问系统。本文阐述身份管理和访问控制在现代异构的环境中面临的挑战,以及EIAM如何应对这些问题。
>信息系统的复杂性
我们首先审视一下如今的IT系统的状况:
今天的企业系统种类繁多,每个都有自己的访问控制策略和要求:
Windowssystems–微软的服务器操作系统,WindowsServer,以及其核心的认证技术活动目录(AD),在绝大多数企业它是主要的用户身份认证方式。
Unix与Linux–多数企业也运行Unix或者Linux。这些系统运行企业应用或数据库。
Macintosh–许多企业以Macintosh作为桌面系统。这些用户可能和AD的认证架构无关。
>应用系统
上述系统运行的应用环境可以是多样的,包括以下内容:
企业应用
ERP系统,例如SAP,Siebel,等;财务及人力资源系统,例如PeopleSoft。通常,这一类应用运行在Linux或者Unix系统上。这类系统的访问通常需要严格的管理。
数据库
上述系统的核心是数据。Oracle、DB2、SQL、Sybase等数据库用来支持以上的应用。
其他应用
依据各自的需求,企业还会有一些其他种类的关键应用。这些应用可能是行业相关的应用、用户自己开发或者是定制开发的应用。这些应用通常采用单独的访问控制而与其他应用的访问控制无关。这些应用系统的访问者可能是某些员工、所有的员工、合作伙伴或者客户。许多企业在开发或者添加平台和应用时,没有考虑到对于其他系统的影响。每个系统的功能作为一个孤立本身互不融合或与其他企业。尤其是当涉及到用户的身份识别和访问。每个系统不与其他的应用系统交互,尤其是对于用户身份和访问控制的管理。
>身份与访问控制管理的原则
IT系统存在的目的是为了企业避免风险,创造利润。为了沈阳小程序制作
达到这个目的,IT系统的身份与访问控制管理必需遵循以下的原则:认证–用户为了访问系统或者应用,必需证明自己的访问身份。通常利用一个身份标识(例如用户名)和某些只有用户才了解的信息(例如口令);有时候为了强化口令,还会采用其他标记,例如智能卡或一次性口令;更严格的情况还会使用用户的某些身体特征例如指纹、视网膜扫描、面板或声音识别等。
授权–一旦用户登录系统,用户应该只运行访问他工作相关的内容。
帐户管理–为了实现认证与授权,以下步骤是身份管理产品必需遵循的:
帐户创建–帐户必需设置权限,分配组,以及与认证授权相关是属性。对于用户需要访问的不同系统,创建过程必需在各个系统中执行。
帐户删除–当某个成员离开企业或组织,快速删除其权限比前者更为重要。如果这个用户可以访问许多系统,这个过程繁琐而容易出错。
口令管理–这涉及口令的策略的管理。包括修改口令流程、口令复杂度、口令有效期等。
角色管理–这包括了授权的过程以及与此相关的策略。
审计–企业需要跟踪身份状态的变换,每个身份在系统中认证、授权、访问的历史记录。
>传统的身份管理体系面临的挑战
在一个传统的身份管理体系中,各应用系统分别具有各自独立的用户账户和权限管理体系,同时也具有独立的访问策略控制管理以及审计管理。这将为系统管理带来巨大的工作量,同时降低系统安全控制的质量。
例如,如果企业有10个独立的系统,每个有自己独立的账户控制策略。那么,对以一个人员的账户管理,需要设置10个口令策略、需要在10个地方创建和删除用户、需要10个用户身份的数据源、创建10套用户帐户创建策略、审计10个系统的用户访问行为。归纳起来,管理者将面临以下问题:
用户基本数据无法共享
对于企业的人力资源的公共数据,比如员工的编号、姓名、部门、岗位、联系信息等,无法在各个应用之间共享,每个应用都需要各自保存一份企业人力资源的公共数据,造成不必要的信息冗余,不仅不经济,而且难以及时同步和更新这些基础数据。
“沈阳软件公司”的新闻页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与
我们联系删除或处理,客服QQ:55506560,稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同
其观点或证实其内容的真实性。
热门文章
使用“扫一扫”即可将网页分享至朋友圈。