Embed Size (px)
DESCRIPTION
天融信统一信任管理平台( TOP UTS ) 解决方案. www.topsec.com.cn. 企业应用系统的效率提升整合大师. 在深刻理解用户应用系统整合需求的基础上,针对信息化管理现状,以业务需求为导向,为企业提供基于可信身份的统一信任管理解决方案. 统一信任管理平台为企业实现:. 业务资源整合 统一身份管理 安全策略集中 符合相关法律、法规. 提 纲. 企业信息化现状及需求分析. 统一信任管理解决之道. 统一信任管理平台介绍. 成功案例介绍. 一、企业信息化现状及需求分析. 企业信息孤岛使得环境越来越复杂,给企业带来很多麻烦!. - PowerPoint PPT Presentation
Citation preview
天融信统一信任管理平台( TOP UTS)解决方案
www.topsec.com.cn1
企业应用系统的效率提升整合大师企业应用系统的效率提升整合大师
在深刻理解用户应用系统整合需求的基础上,针对信息化管理现状,以业务需求为导向,为企业提供基于可信身份的统一信任管理解决方案
业务资源整合
统一身份管理
安全策略集中
符合相关法律、法规
统一信任管理平台为企业实现:
2
提 纲
3
一、企业信息化现状及需求分析一、企业信息化现状及需求分析
局域网邮件 OA 财务 ERP 决策支持
员工 合作伙伴 客户 供应商 IT 管理员 离职员工
企业信息孤岛使得环境越来越复杂,给企业带来很多麻烦!企业信息孤岛使得环境越来越复杂,给企业带来很多麻烦!
4
Frank
OA 邮件 财务 ERP CRM 其他用户名:密 码:
xiaotian123456
Xiao_tian123456
Tian_xiao123456
Xiao_t123456
????????
麻烦一:密码繁多,不便记忆麻烦一:密码繁多,不便记忆
一、企业信息化现状分析一、企业信息化现状分析
5
麻烦二:权限混乱,疲于解决麻烦二:权限混乱,疲于解决
OA 邮件 财务 ERP CRM 其他
人力May业务系统 管
理员
网管David
一、企业信息化现状分析一、企业信息化现状分析
6
麻烦三:权责不清,篱笆效应麻烦三:权责不清,篱笆效应
IT 主管Steven总裁
Jack
业务主管Jeff
人力主管Sherry
OA 邮件 财务 ERP CRM 其他
7
统一账户管理统一账户管理账号生命周期管理账号生命周期管理业务系统账号同步业务系统账号同步
统一权限管理统一权限管理授权和访问控制授权和访问控制
统一门户管理统一门户管理单点登录单点登录
支持多种认证方式支持多种认证方式
面对各种麻烦,给企业提出了更高的信息化管控需求面对各种麻烦,给企业提出了更高的信息化管控需求
一、企业信息化需求分析一、企业信息化需求分析
8
提 纲
9
二、二、 TOP UTSTOP UTS 统一信任管理解决之道统一信任管理解决之道
统一信任管理系统( TOP UTSV1.0 )是一个综合的应用系统管理平台。以 PKI/CA 技术为核心,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。
10
管理员David
基础数据的收集和统一账户的创建
子系统账户的收集和映射统一门户的建立统一认证和单点登录
TOP UTS
二、统一身份管理解决之道二、统一身份管理解决之道
集中管控集中管控
11
管理员David
用户Frank
2 、通过安全认证网关实现数据的传输加密,确保数据的机密性和完整性
1 、可支持证书认证等多种强安全身份认证方式,解决弱口令所存在的安全隐患。
TOP UTS
二、统一身份管理解决之道二、统一身份管理解决之道
安全保障安全保障
12
用户价值用户价值
降低 IT 运营成本
安全性提升
推动业务系统优化账
号口
令规
范化
认证
模式
可扩
展化
软件
接口
开放
化
用户层面:系统帐号一次性申请、系统单点登录实现
IT 管理层面:用户生命周期电子流程管理、系统整合、统一管理平台
软件
接口
标准
化
涵盖身份识别、访问管理和安全审计
法规、标准遵从性
集中监控和管理用户
基于角色权限控制
加强认证方式 , 实现安全 SSO
审计追溯用户行为
成本
安全 业务
二、统一身份管理解决之道二、统一身份管理解决之道
13
提 纲
14
天融信统一信任管理平台天融信统一信任管理平台 TOP UTS TOP UTS
三、统一身份管理解决之道三、统一身份管理解决之道
15
TOP UTSTOP UTS 系统功能及特点介绍系统功能及特点介绍
三、统一身份管理解决之术三、统一身份管理解决之术
16
11 、、 TOP UTSTOP UTS 技术架构:平台逻辑架构技术架构:平台逻辑架构
三、统一身份管理解决之术三、统一身份管理解决之术
17
UTS-M
数据源
证书应用审计财务软件
……
Mail OA
CRM门户
ERP
应用集群
UTS-GATE
集群
GATE负载均衡
CA
RA
……
Mail OA
CRM
ERP
应用集群
UTS-GATE
集群
业务系统
UTS-M
数据源 RA
内部用户
移动员工
UTS-M
数据源 RA
财务软件
GATE 负载均衡
分支机构 1 分支机构 n
……
企业专网企业专网
11 、、 TOP UTSTOP UTS 技术架构:平台典型部署技术架构:平台典型部署
三、统一身份管理解决之道三、统一身份管理解决之道
18
2.TOP UTS2.TOP UTS 功能模块功能模块
平台管理层平台管理层策略管理 策略管理 权限管理权限管理 接口管理接口管理 运行管理运行管理 备份管理备份管理
平台接口层平台接口层
资源层资源层
数据源AD LDAP
应用应用办公系统
账号管理账号管理账号管理账号管理 授权管理授权管理授权管理授权管理 认证管理认证管理认证管理认证管理 证书管理证书管理证书管理证书管理审计管理审计管理审计管理审计管理
CA中心RA 业务系统
三、统一身份管理解决之术三、统一身份管理解决之术
19
3.TOP UTS3.TOP UTS 系统功能介绍系统功能介绍
三、统一身份管理解决之术三、统一身份管理解决之术
20
数据源管理数据源管理
用户属性管理用户属性管理
账户映射管理账户映射管理
用户生命周期管理用户生命周期管理
组织结构管理组织结构管理 统一帐户管理
ⅠⅠ统一账户管理功能统一账户管理功能3.TOP UTS3.TOP UTS 系统功能介绍系统功能介绍
三、统一身份管理解决之术三、统一身份管理解决之术
21
Acitve Directory
( AD )
数据源管理层
Radius
Server
Driver shim
eDirectory
( LDAP )
邮件
支持多应用从账号信息用户自助和批量处理
可集中管理各种业务系统
目标系统
处理用户身份和账号的数据同步
可读写外部数据源数据 灵活的策略定制
可提供内部eDirectory 存储用户身份信息
可从外部 LDAP、 AD
系统导入主身份数据
3—3—ⅠⅠ统一账户之数据源管理统一账户之数据源管理
三、统一身份管理解决之术三、统一身份管理解决之术
22
3—3—ⅠⅠ统一账户之管理对象统一账户之管理对象
三、统一身份管理解决之术三、统一身份管理解决之术
23
3—3—ⅠⅠ统一账户之用户身份属性统一账户之用户身份属性
三、统一身份管理解决之术三、统一身份管理解决之术
24
邮件
张三
李四
王五
OA
财务
ERP
CRM
3—3—ⅠⅠ统一账户之主从账户关系统一账户之主从账户关系
三、统一身份管理解决之术三、统一身份管理解决之术
25
奇虎 360
用户生命周期
员工入职创建账号
账号属性变更
帐户注销
员工离职账号归档
证书发放
3—3—ⅠⅠ统一账户之生命周期统一账户之生命周期
三、统一身份管理解决之术三、统一身份管理解决之术
26
主要功能特点 证书自动审批、集中制证 证书生命周期管理 证书有性检查 多 RA 管理 扩展性强
3—3—ⅡⅡ统一证书之管理统一证书之管理
三、统一身份管理解决之术三、统一身份管理解决之术
27
3—3—ⅡⅡ统一证书之支持多种统一证书之支持多种 CACA 建设模式建设模式
企业本地TOP UTS-M
集中证书管理
自建CA
系统
RA
用户数据源
① ②
③ ④
③
⑤
CA 系统
CA 系统
证书申请自动审批集中制证证书生命周期管理证书签发证书掉销
三、统一身份管理解决之术三、统一身份管理解决之术
28
3—3—ⅡⅡ统一证书之多统一证书之多 RARA 集中管理集中管理
企业本地TOP UTS-M
集中证书管理
用户数据源
分支机构 n
RA
……
① ②
③
③③
④
⑤
CA 系统
分支机构 1
RA
CA 系统
自建CA
系统
RA
CA 系统
三、统一身份管理解决之术三、统一身份管理解决之术
29
3—3—ⅡⅡ统一证书之证书有效性检查统一证书之证书有效性检查
登录门户
TOP UTS-M
证书管理 手动导入 CRL 列表
CRL服务
CRL 服务联动
有效
应用系统
登录应用
有效
手动导入手动导入 CRLCRL 列列表表外部外部 CRLCRL 联动联动
三、统一身份管理解决之术三、统一身份管理解决之术
30
3—3—ⅡⅡ统一证书之统一证书之 RARA与与 TOP UTSTOP UTS 系统集成系统集成
RA 完全接管 TOP UTSTOP UTS证书处理证书生命周期 管理证书审批多种申请模式密钥管理策略管理等
三、统一身份管理解决之术三、统一身份管理解决之术
31
3—Ⅲ3—Ⅲ 统一授权管理统一授权管理
系统权限分散:员工的流动及职位的变更,需要更改员工的系统使用权限,而多个系统权限的分散,使管理员工作量增加,且容易带来安全漏洞。
应用系统的独立性:各种应用系统都使用独立的登录方式,员工需要记忆所有应用系统的帐号、密码等,逐一登录,给工作带来极大的困扰。
集中在一个接口对组 / 角色进行资源的合理分配。集中授权的过程,就是集中对用户(组 / 角色)通过何种方式(证书 / 口令)使用某种资源(应用 /功能)的权限的分配
通过这种集中授权的管理,有效的屏蔽了传统授权中存在的弊端,提高了管理效率,为企业营造一个安全、便捷的系统使用环境。
传统授权传统授权
集中授权集中授权
三、统一身份管理解决之术三、统一身份管理解决之术
32
3—Ⅲ3—Ⅲ 统一授权管理之集中授权模型统一授权管理之集中授权模型
Web 应用系统
Group1
用户 角色 组
Manager
Assistant
Engineer
..….
….
……
…..
Group
授权给用户
授权给角色
授权给组
三、统一身份管理解决之术三、统一身份管理解决之术
33
3—Ⅲ3—Ⅲ 统一授权管理之权限管理模块结构统一授权管理之权限管理模块结构
组模块和角色模块(资源使用者)通过授权管理模块的定义,对相应权限进行调用
资源管理模块(应用)
访问控制模块——执行管理权限授权模块——定义管理权限
资源管理模块
授权模块角色模块
组模块
访问控制模块
系统中所有应用资源的集合
三、统一身份管理解决之术三、统一身份管理解决之术
34
3—Ⅲ3—Ⅲ 统一授权管理之集中授权方式统一授权管理之集中授权方式
资源 组 角色
三位一体 授权条件
部门 组用户
用户角色应用角色
应用功能组功能
三、统一身份管理解决之术三、统一身份管理解决之术
35
3—Ⅲ3—Ⅲ 统一授权管理之统一授权管理之集中授权流程图集中授权流程图
组 / 角色
应用
Admin
选中组分派资源选中资源将其分配给组
组授权选中角色分派资源选中资源将其分配给角色
角色授权
三、统一身份管理解决之术三、统一身份管理解决之术
36
3—Ⅲ3—Ⅲ 统一授权管理之细粒度架构统一授权管理之细粒度架构
Function1
Function2
Function4
Function5
…
Function
功能
组
功能
组
用户 1
用户 2
角色1
角色2
角色
…
应用
三、统一身份管理解决之术三、统一身份管理解决之术
37
3—Ⅲ3—Ⅲ 统一授权管理之继承方式统一授权管理之继承方式
单继承角色 A 继承于角色 B ,则 A 拥有 B 所有的权限 静态继承
多继承角色 A 继承于角色 B 、角色 C 、角色 D ,则 A 同时拥有 B、 C、 D 所有的权限
角色 A
角色 A
角色 B角色 B
角色 C
角色 C
角色 D
角色 D
循环继承
角色循环继承时,系统可以内部处理,在循环某处断开,不会报错
三、统一身份管理解决之术三、统一身份管理解决之术
38
3—Ⅲ3—Ⅲ 统一授权管理之角色继承统一授权管理之角色继承
动态继承
登入系统
口令
证书
角色 A角色 A
角色 B角色 B
角色 C角色 C
角色 A角色 A
角色 C角色 C
角色 D角色 D
角色 A 继承于角色 B 、角色 C 、角色 D ,用户拥有角色 A;
角色 B 的登录方式为口令;角色 C 的登录方式为口令和证书;角色 D 的登录方式为证书。
用户使用证书登录成功后,其具备的动态角色为角色A 、角色 B 、角色 C
用户使用口令登录成功后,其具备的动态角色为角色A 、角色 C 、角色 D
用户使用证书登录成功后,其具备的动态角色为角色A 、角色 B 、角色 C
用户使用口令登录成功后,其具备的动态角色为角色A 、角色 C 、角色 D
三、统一身份管理解决之术三、统一身份管理解决之术
39
3—3—ⅣⅣ 统一认证管理功能统一认证管理功能
集中认证管理
三、统一身份管理解决之术三、统一身份管理解决之术
40
3—3—ⅣⅣ 统一认证之多种认证方式统一认证之多种认证方式
通行码
数字证书AD 域
用户
认证方式
用户名 / 口令
多种认证方式:多种认证方式: -- 用户名用户名 // 口令口令 -- 数字证书数字证书 -- 通行码通行码 -Windows-Windows 域认证域认证
三、统一身份管理解决之术三、统一身份管理解决之术
41
3—3—ⅣⅣ 统一认证之单点登录原理比较统一认证之单点登录原理比较
标准 SAML协议 Form-Based SSO
支持的应用类型
产品遵循 SAML 多认证协议规范标准,支持标准 SAML协议的应用系统都可以接入
支持各种使用表单登录的 Web 应用系统
优点 与支持 SAML协议的应用的天然融合,与应用的集成度极高
采用口令代填方式,不需要对后台的应用系统进行修改
缺点 应用必须支持 SAML协议 支持标准的 Form形式应用集成,对应用页面有严格的要求
适用的应用
Oracle、 IBM 、微软、 Sun 等公司的产品均支持 SAML协议
对无法修改登录页面,或者用户命名规范的 B/S 应用系统使用这种方式
三、统一身份管理解决之术三、统一身份管理解决之术
42
3—3—ⅣⅣ 统一认证之单点登录实现流程(门户方统一认证之单点登录实现流程(门户方式)式)
OA
ERP
用户名 / 口令
邮件
…
CRM应用网关
单点登录模块
用户端通行码
数字证书
AD 域
…
门户系统
UTS 系统
1用户访问门户,并提交认证信息
2门户将认证信息提交单点登录验证,通过后产生票据保存,并从 UTS 系统获得用户权限信息,将用户访问应用列表交给门户
3 门户显示用户可访问的应用列表
4用户点击门户中的应用访问链接
5 门户连接 UTS 系统产生鉴证 SAML 断言,将用户重定向至应用网关
6应用网关验证断言,取出用户登录应用的信息,并将用户登录信息注入到应用帐户登录请求中发送给应用 7 应用帐户登录成功,
用户进入应用界面
三、统一身份管理解决之术三、统一身份管理解决之术
43
3—3—ⅤⅤ统一审计管理之系统逻辑架构统一审计管理之系统逻辑架构
浏 览 器
审计分析,实时关联、安全预警
OA
CRM
UTS 系统
CA 系统
日志审计
审计策略ERP
审计信息数据库
帐号日志
授权日志
认证日志审计引擎
管理日志通 信 层
审计子系统审计子系统
操作审计
证书日志
三、统一身份管理解决之术三、统一身份管理解决之术
44
3—3—ⅤⅤ统一审计管理之统一审计管理之系统主要功能系统主要功能 集中审计功能
日志功能
管理员管理审计
数据源操作审计
系统配置审计
信任源操作审计
备份还原审计
资源管理审计
系统管理员管理审计 数据源操作审计 系统配置审计 信任源操作审计 系统的备份还原审计
网关初始化服务审计 密钥同步初始化审计 口令代填审计 用户修改口令服务审计
三、统一身份管理解决之术三、统一身份管理解决之术
45
支持多种访问控制方式和细粒度访问授权;实现账号的统一管理,账号生 命周期管理和账号同步;支持负载均衡部署方式,充分满足高并发认证需求;支持灵活的账号绑定方式。
系统设计开发充分考虑《信息安全等级保护管理办法》、《企业内部控制基本规范》、《中华人民共和国电子签名法》等相关法律法规要求,满足企业业务审计的合规性要求;系统支持权威第三方电子认证服务机构的数字证书,确保业务操作关键环节具有法律效力。
44 、平台主要特点、平台主要特点
三、统一身份管理解决之术三、统一身份管理解决之术
46
44 、平台主要特点、平台主要特点
平台集成了证书注册服务和电子密钥管理,使平台不仅支持证书认证方式,更实现了在统一的平台上对证书的管理,从而提高信息管理部门的服务能力。
在使用数字证书安全认证方式下,可支持多信任体系并存;平台可兼容用户已有的信任体系。在用户信息化建设过程中,有效的节约了整体的投资成本。支持多种认证方式,包括静态用户名 / 口令、数字证书、 NTLM、 Passcode(一次性口令)等;支持 CAS,.NET
Passport,IBM LTPA等多种实现方式。
即插即用无需进行系统修改;客户端无需安装插件;遗留应用系统无需修改;SAML的实现,为产品的集成、扩展奠定良好的基础;在支持 SAML的典型应用可以实现无缝集成。
三、统一身份管理解决之术三、统一身份管理解决之术
47
提 纲
48
人保财险案例简介人保财险案例简介
SSL VPN 网关
业务系统RA 系统
统一身份管理系统LDAP 系统
省公司
双向认证单向认证
SSL VPN 网关
业务系统
RA 系统
CA/KMC 系统
统一身份管理系统
LDAP 系统
证书审计平台
总公司
双向认证 单向认证
证书相关数据 帐户相关数据 审计信息 数据同步 数据流向
49
PICCPICC 系统总体框架系统总体框架
50
PICCPICC 系统功能结构系统功能结构
51
北京天融信公司(+86)010-82776666http://www.topsec.com.cn
52
