異構環境下統一身份認證平臺設計與實現

魏星 孫武峰 郝龍龍

摘 要：隨著公司“135”發展戰略及數字化轉型發展的需要，公司存量業務系統及增量系統組織機構、用戶管理與訪問權限孤立分散在各應用系統中，用戶類型也呈現了多樣化趨勢，造成應用系統賬號密碼不統一、權限不統一和訪問入口不統一等現象。由于缺乏統一的用戶管理體系與身份治理機制，造成在流程效率、信息安全、風控管理等方面存在諸多風險問題。為此，以“數據融通、信息共享”，建立內外部用戶的數字身份安全管理體系以及應用系統安全接入的統一規范，成為數字化轉型與提高經營效率的必要條件。建設基于異構環境下統一身份認證平臺，加強內部控制以及對內、外部人員的持續動態化、全生命周期“數字身份”安全管控，是當前信息安全環境下的必然趨勢。

關鍵詞：數字身份;身份管理;訪問控制;單點登錄

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-1064（2020）08-0031-02

企業信息門戶在身份認證環節初步實現了統一授權，為建立應用級身份認證體系，設計符合集團公司實際的分布式服務架構，實現身份認證與權限管理集中管控。在現有企業信息門戶基礎上進行升級改造，通過融合、協同和共享的方式提供給公司員工，真正實現身份認證統一、業務與權限聚合功能，給企業內外部人員建立統一的“數字身份”。解決用戶訪問各業務系統賬號和密碼不統一、不規范、權限亂等問題是文章研究的主要內容。

1 總體架構設計

1.1 系統組成

統一身份認證平臺，核心功能模塊包括身份管理與訪問控制。

數據中心，集中的主數據包括用戶相關的基礎信息、組織機構、崗位、應用、帳號、密碼等信息。同時，根據需求擴展LDAP企業目錄服務;身份管理，提供用戶、機構、應用、權限等基礎數據的集中管控和統一授權[1];統一認證，實現與各業務系統的集中認證以及單點登錄功能;企業信息門戶，提供應用系統統一訪問入口，實現單點登錄、待辦聚合及綜合信息服務;用戶自助功能，包括應用系統導航列表、自助密碼維護、應用權限申請流程等功能;多因素認證，支持用戶名密碼認證，同時提供短信驗證碼登錄，以及人臉識別、指紋和多種認證手段的擴展;API接口服務，提供各類數據的管控接口服務，支持多種形式的標準協議，其接口發布在現有公司企業服務總線上;安全標準和技術規范：包括組織機構編碼建設和擴展標準、《信息系統賬號及權限管理規范》和《應用系統身份認證與權限管理服務架構》等應用系統集成規范等。

1.2 總體架構

結合公司現有各業務系統以及業務管理模式，統一身份認證平臺的邏輯架構包括如下。

身份管理平臺：由協作共享平臺提供用戶和機構基礎數據，身份管理中數據中心存儲用戶數據，同時通過多種方式實現與各業務系統的數據對接，包括數據下推以LDAP目錄方式;用戶通過企業信息門戶中的自助服務流程，申請應用系統帳號及權限，管理員審批后平臺自動將帳號及權限分配至各業務系統;提供多種認證手段的擴展，包括靜態口令認證、短信驗證碼認證等方式[2]。

2 系統功能

統一身份認證平臺主要包括身份管理、訪問控制、權限管理及安全審計等[3]。其目的是解決企業內外部人員“數字身份”的安全管理與統一，實現用戶全生命周期的集中管理，并通過賬號、應用、流量及偏好分析，為數字身份安全賦能。

數據中心為身份管理平臺、統一認證平臺、企業門戶等提供用戶數據、業務數據、認證緩存數據和目錄服務數據存儲;身份管理服務提供主數據管理、應用集成管理、策略管理、權限管理、接口管理、審計管理功能;統一認證服務提供身份認證管理、認證方式管理、認證策略、單點登錄、認證接口管理;企業信息門戶提供應用導航列表、待辦聚合、企業新聞、文件下載、用戶自服務、應用代填功能;登錄方式包含：用戶名+靜態口令、用戶名+短信驗證碼方式;企業瀏覽器提供管控后臺、應用兼容性管理、插件集成功能;平臺對外接口提供統一認證和單點登錄接口、數據同步接口、待辦集成接口;身份管理平臺通過webservice連接器、ldap方式為下游同步數據;webservice方式通過企業總線;認證服務使用OAuth2.0協議，并支持CAS協議[4]。

2.1 統一身份管理

用戶全生命周期管理、用戶審批、賬號識別、賬號分類管理、賬號同步、密碼策略;進一步實現對企業內所有人員的應用賬號（密碼）的統一管理;靈活自定義密碼規則;安全保護，支持國密加密存儲和分級權限保護;用戶自助服務，通過平臺和手機短信實現用戶登錄、自主賬號申請、密碼重置、信息更新與完善;實現用戶自助式的信息維護（如密碼重置）及權限管理模式，減輕管理員負擔。

2.2 統一認證與訪問控制

提供統一認證管理、訪問控制管理、應用單點登錄管理、集中訪問入口控制、應用訪問授權、多因素認證、訪問策略控制和多認證協議;將所有業務系統的認證入口統一，實現安全訪問控制[5]。

提供多種安全認證方式和功能，滿足應用安全訪問需求，適應不同業務場景。

2.3 合規安全審計

對用戶管理和訪問控制中的關鍵流程、操作進行審閱;合規審計覆蓋到用戶管理與訪問控制的每個環節;記錄應用系統重要的安全相關事件，包括重要用戶行為、系統資源的異常使用、授權操作等;相關事件的記錄應包括日期和時間、類型、主體標識、客體標識、事件的結果等[6];建立綜合展示視圖，進行集中展現和展示，根據記錄數據進行分析，可生成統計報表，并對特定事件提供指定方式的報警;單獨設置安全管理員角色，使其與管理權限完全獨立;日志管理：用來記錄用戶認證日志、訪問日志、操作日志。

查詢類報表：提供孤兒賬號、系統日志、用戶狀態、用戶賬號、用戶資源、資源賬號的集中查詢功能，并提供導出功能。

2.4 與業務系統集成

統一身份認證平臺與相關系統對接集成實現用戶、組織架構數據同步、單點登錄，并與主數據（公司組織架構）平臺賬號關聯，實現管理員僅維護一套主數據賬號、組織機構管理工作。

2.5 與企業門戶、數據總線及主數據管理平臺集成

企業信息門戶集成統一認證平臺，采用統一的登錄入口，使用集團公司統一的用戶名和密碼登錄。

統一身份平臺與其他系統的交互通過數據總線實現。

統一身份認證平臺支持主數據管理平臺建設，實現公司身份數據的標準化和唯一化。

與企業門戶、數據總線及主數據管理平臺的集成符合集團公司《面向服務的應用系統集成規范》、《主數據管理平臺系統接口規范》。

3 部署架構

部署架構圖，如圖1所示。

身份管理服務（含應用導航、業務控制臺、自服務平臺）通過兩臺服務器實現集群，通過A10設備實現負載均衡;認證服務（含認證中心、認證拓撲）通過兩臺服務器實現集群，通過A10設備實現負載均衡;企業信息門戶部署在兩臺服務器，兩個節點使用tomcat集群，通過A10設備實現負載均衡;企業瀏覽器部署在1臺服務器，包括管控后臺和數據庫;Mysql數據庫通過兩臺服務器實現主從關聯;redis通過兩臺服務器實現3主3從的集群模式;ldap通過兩臺服務器實現數據復制功能。

4 結語

文章提出基于異構環境下統一身份認證平臺的設計與實現，其關鍵點和難點均在于第三方應用系統的接入，其異構環境為基于配電網企業內外網及公司大樓局域網等復雜網絡環境系統下，實現身份管理與認證數據的實時同步。目的是實現公司內外部員工“數字身份”的全生命周期管理。同時，用戶通過企業信息門戶，輸入一次用戶名、密碼即可訪問不同業務系統，并通過身份大數據分析，指導公司開展應用系統實用化工作，進一步提高用戶體驗，增強公司運營效率。

參考文獻

[1] GB/T 31072-2014，科技平臺 統一身份認證[S].北京：王志強，楊青海等，2015.

[2] GB/T 32419.6-2017，信息技術 SOA技術實現規范 第6部分：身份管理服務[S].北京：梅宏，趙斌等，2017.

[3] 牟平.國家電網公司統一身份認證平臺的設計與實現[D].天津：天津大學，2014.

[4] 沈斌，史鳴杰.統一身份認證平臺的設計[J].南京師范大學學報（工程技術版），2004（02）：74-76.

[5] 張立斌，高仲春，張晶.云計算環境下統一身份認證平臺的設計與實現[J].工業控制計算機，2013，26（7）：91-92.

[6] 崔晶.統一身份認證系統的設計與實現[J].天津職業院校聯合學報，2014（04）：121-124.