統(tǒng)一用戶身份認證管理平臺

——基于AD域的統(tǒng)一認證統(tǒng)一用戶身份認證管理平臺

2021/5/91項目需求整體規(guī)劃技術(shù)方案實施效益界面展示接口介紹2021/5/92項目需求之：當前拓撲結(jié)構(gòu)2021/5/93項目需求之：現(xiàn)狀概述多個身份管理與認證系統(tǒng)會增加IT的管理成本，當調(diào)整一個組織信息及用戶信息時需要進入各系統(tǒng)調(diào)整，管理難度大，難以保證統(tǒng)一性。用戶需要記住多個系統(tǒng)訪問地址，用戶名、口令，需要多次登錄不同的系統(tǒng)訪問并查看數(shù)據(jù)，使用極為不方便。無法統(tǒng)一認證與授權(quán)，多個身份認證使安全策略必須逐個在不同的系統(tǒng)內(nèi)進行，因而造成修改策略必須逐個在不同的系統(tǒng)內(nèi)進行，因而造成修改策略的進度可能跟不上策略的變化。無法統(tǒng)一分析用戶的應用行為。2021/5/94項目需求：目標拓撲圖構(gòu)建一個統(tǒng)一的組織機構(gòu)管理系統(tǒng)，作為企業(yè)應用組織機構(gòu)及用戶的標準?，F(xiàn)有系統(tǒng)：實現(xiàn)與企業(yè)應用組織機構(gòu)與用戶的同步。新建系統(tǒng)：實現(xiàn)統(tǒng)一組織機構(gòu)的開發(fā)標準。構(gòu)建統(tǒng)一認證系統(tǒng)，作為企業(yè)應用認證的第一個入口現(xiàn)有系統(tǒng)：帳號映射方式。新建系統(tǒng)：實現(xiàn)統(tǒng)一認證的開發(fā)標準。構(gòu)建一個統(tǒng)一權(quán)限管理平臺，作為企業(yè)應用權(quán)限管理的統(tǒng)一入口?，F(xiàn)有系統(tǒng)：權(quán)限映射方式。新建系統(tǒng)：實現(xiàn)權(quán)限管理的統(tǒng)一管理開發(fā)標準。實現(xiàn)集中監(jiān)控和統(tǒng)一審計，用以統(tǒng)一分析用戶使用企業(yè)應用的行為。2021/5/95整體規(guī)劃：統(tǒng)一身份認證平臺結(jié)構(gòu)統(tǒng)一身份認證管理平臺以MicrosoftAD作為平臺的認證源，解決使用用戶一次登錄，全網(wǎng)通行，避免登錄多個應用系統(tǒng)需要多次輸入用戶名口令的情況。并且對各個應用系統(tǒng)的用戶、組織變更及用戶權(quán)限進行統(tǒng)一管理。建立企業(yè)統(tǒng)一組織架構(gòu)與用戶管理系統(tǒng)建立統(tǒng)一認證系統(tǒng)建立統(tǒng)一權(quán)限管理系統(tǒng)建立訪問審核機制系統(tǒng)2021/5/96技術(shù)方案：平臺原理統(tǒng)一身份認證管理平臺采用C#語言開發(fā)，以MicrosoftAD作為平臺的認證源，SQlServer作為平臺的數(shù)據(jù)庫，保存用戶信息、組織機構(gòu)信息、需整合的各應用程序的訪問信息（包括訪問地址、用戶映射等信息）、權(quán)限信息、訪問日志等。在平臺中注冊相應的信息之后，通過服務層控制將平臺數(shù)據(jù)同步至業(yè)務應用程序。從而實現(xiàn)本系統(tǒng)的四大功能：統(tǒng)一組織架構(gòu)與用戶管理系統(tǒng)

統(tǒng)一用戶身份認證系統(tǒng)統(tǒng)一權(quán)限管理系統(tǒng)

統(tǒng)一審核訪問機制2021/5/97平臺通過LDAP協(xié)議來操作AD域的用戶信息。首次需要同步AD用戶到平臺數(shù)據(jù)庫，之后的對用戶的增刪改查等操作通過平臺來實現(xiàn)?，F(xiàn)有系統(tǒng)同步組織機構(gòu)與用戶信息通過與現(xiàn)有系統(tǒng)的API接口對接來實現(xiàn)定時同步或?qū)崟r同步數(shù)據(jù)。通過對現(xiàn)有系統(tǒng)數(shù)據(jù)庫結(jié)構(gòu)的分析直接在平臺模塊中訪問應用數(shù)據(jù)庫，并對數(shù)據(jù)庫進行讀寫操作來實現(xiàn)定時同步或?qū)崟r同步數(shù)據(jù)。新建系統(tǒng)同步組織機構(gòu)與用戶信息新建系統(tǒng)中不需要單獨開發(fā)組織機構(gòu)與用戶信息模塊，通過調(diào)用統(tǒng)一身份認證管理平臺提供的“組織機構(gòu)與用戶信息API接口”的標準接口直接調(diào)用開發(fā)。技術(shù)方案：功能一——統(tǒng)一組織架構(gòu)與用戶管理系統(tǒng)2021/5/98用戶在登錄業(yè)務系統(tǒng)前先通過LDAP協(xié)議與AD進行身份認證，認證通過后攜帶相應令牌進入業(yè)務系統(tǒng)?，F(xiàn)有系統(tǒng)不對原有系統(tǒng)進行改造，賬號映射，并采用SSO（單點登錄）方式。（推薦）通過修改原有系統(tǒng)的認證方式。新建系統(tǒng)提供統(tǒng)一認證的API接口，在新建系統(tǒng)直接調(diào)用開發(fā)。技術(shù)方案：功能二——統(tǒng)一身份認證系統(tǒng)2021/5/99現(xiàn)有系統(tǒng)不對原有系統(tǒng)進行改造，通過原有系統(tǒng)的權(quán)限體系A(chǔ)PI與平臺權(quán)限顆粒映射并通過服務進行同步。通過對現(xiàn)有系統(tǒng)數(shù)據(jù)庫結(jié)構(gòu)的分析直接在平臺模塊中訪問應用數(shù)據(jù)庫，并對數(shù)據(jù)庫進行讀寫操作來實現(xiàn)定時同步或?qū)崟r同步權(quán)限管理數(shù)據(jù)。新建系統(tǒng)提供統(tǒng)一權(quán)限管理API接口，在新建系統(tǒng)直接調(diào)用開發(fā)技術(shù)方案：功能三——統(tǒng)一權(quán)限管理系統(tǒng)2021/5/910登錄至統(tǒng)一身份認證管理平臺的用戶，對訪問業(yè)務系統(tǒng)的訪問記錄進行匯總及統(tǒng)計。實現(xiàn)事故可追溯，責任可確認，使用可統(tǒng)計，管理可分析。技術(shù)方案：功能四——訪問審核機制2021/5/911界面展示：企業(yè)統(tǒng)一組織架構(gòu)

管理員要新增、刪除、或修改員工信息、公司信息、崗位變動的情況，只需要登錄組織架構(gòu)系統(tǒng)，修改信息即可，其他系統(tǒng)的組織架構(gòu)可以根據(jù)這個獨立的組織架構(gòu)系統(tǒng)自動同步信息。2021/5/912

界面展示：統(tǒng)一認證平臺統(tǒng)一認證平臺，實現(xiàn)對應用系統(tǒng)的集中認證和單點登錄。2021/5/913

界面展示：統(tǒng)一權(quán)限管理平臺建立統(tǒng)一權(quán)限管理平臺，管理員不再需要去各個應用系統(tǒng)去配置權(quán)限，而是在統(tǒng)一權(quán)限管理平臺中統(tǒng)一設置即可。2021/5/914界面展示：訪問審核機制對用戶登錄訪問各應用系統(tǒng)的時間進行統(tǒng)計并分析。以便分析企業(yè)中應用系統(tǒng)的使用情況。2021/5/915接口介紹用戶認證接口用戶登錄認證時所需要的方法的接口用戶數(shù)據(jù)接口訪問用戶信息的方法及屬性接口組織機構(gòu)數(shù)據(jù)接口訪問組織機構(gòu)信息的方法及屬性接口權(quán)限管理接口訪問權(quán)限管理信息的方法及屬性接口2021/5/916項目收益用戶：工作效率提高：單點登錄的實現(xiàn)提高了員工的工作效率，提高了使用應用系統(tǒng)的方便性。增加了安全性：減少了因密碼問題而帶來的安全風險，AD的身份認證也增加了安全性。管理者：降低管理成本：減少了管理員的管理成本和工作強度，使得信息化工作人員可以投入到更多有意義的IT建設工作中。投資利用率高：統(tǒng)一身份認證管理平