随着数字化进程的全面发展,组织应用系统越来越多,一个用户往往拥有多个账号密码;同时,国家网络安全法和等保2.0标准出台,统一身份认证成为组织数字化建设刚需。
组织在身份及访问管理面临着诸多挑战:
• 系统多,账号多而且分散:组织需要一个统一的账号、用户管理系统,来减少身份管理风险;
• 密码难控,认证方式单一:弱密码容易被攻击、复杂密码记不住,用户需要记忆很多系统的账密;组织更需要建立可信数字身份认证,防控安全风险;
• 权限复杂,如何灵活授权:各应用系统的权限体系各不相同,容易出现权限管理复杂、审计难、鉴权不可控等风险;
• 应用暴露,需要全面防护:远程办公场景十分常见,需要建立持续的安全防护机制;
• 审计溯源,合规要求提高:越来越多政策法规对用户信息安全提出了要求,用户访问是否合规,需要对安全日志、账号口令等进行审计。
如何确保用户身份的合法性、数据的安全性以及访问的权限控制,成为了亟待解决的问题。
基于组织需求,泛微推出令信通·统一身份管控平台,为组织所有用户(包括内部和外部用户),建立统一权威的数字身份,基于这个数字身份解决组织人员在不同环境下访问过程中用户身份认证和访问安全控制的问题。
令信通基于数字身份的全面认证和管控,实现统一用户、统一认证、统一授权、统一访问控制、统一审计,让用户管理统一,让访问可控畅通。
基于云原生的先进架构,融合低代码技术、组织服务总线(ESB)、数字身份、电子签名技术、统一门户和上百种成熟集成套件,构建了增强型统一身份管控平台。
01.统一用户管理
集中管理所有系统的账号和数字身份信息
令信通帮助组织提供用户数字身份全生命周期闭环管理,全面覆盖内部用户和外部人员的统一身份管理,将分散于各个应用系统中的用户身份数据统一集中管理。
1)支持权威数据源实时同步
对于权威数据源,统一用户提供标准的组织机构、用户数据新增、编辑、删除接口,数据源系统调用统一认证系统的接口实现数据同步。
令信通还能通过自带的低代码平台完成表单流程和建模的拖拉拽、配置化,按需调整。
2)覆盖内外部所有用户类型
全面覆盖内部用户和外部供应商、客户、代理商、伙伴等外部人员的身份管理,将分散于各个应用系统中的用户数据统一进行全生命周期的管理。支持内外用户的身份验证的不同业务场景需求。
3)数字身份全生命周期管理
管理用户及账号的创建、存续、废弃各个阶段。全流程驱动生命周期管理,确保用户数字身份合规有效。用户身份与属性的自动化更新机制,为访问策略智能化、动态化、精细化控制提供有效支撑。
4)支持复杂架构组织用户管理
支持多租户和分级分权的用户管理,针对集团组织的每个单位和部门租户,人员、业务、数据逻辑隔离,平台资源共享复用。支持多维组织架构,用户的数字身份在不同管理维度下展示利用。
5)可视化流程驱动业务
当用户身份变化,可视化的动作流驱动各类事件,及时更新用户状态及权限,实时调整访问控制策略,全程可控,可追溯。
6)用户自助身份服务
内外部用户自助填写表单、注册账号,管理员审批通过后通知用户。权限可自助申请,基于组织架构的审批工作流进行权限调整审批。
员工身份变更后的下游系统自动同步、权限自动变更的自动化处理。
02.统一认证
统一应用访问入口,支持多因素认证
为Web应用、移动应用、PC端客户应用等多渠道登录提供多种认证方式及认证组合,为组织打造一款创新型、功能全面创新的统一安全认证服务平台。
1)主流标准认证协议接入
支持CAS、OAuth2.0、OIDC等多种认证协议,并支持扩展,基于不同类型认证协议,可以快速配置接入系统,无需开发。
2)可视化配置应用接入
新的应用接入时,通过标准接口在线配置即可完成,并支持细粒度权限认证,系统中已经预制上百种应用接入成熟套件,无需开发。
3)多因素认证方式
令信通具备了数字证书、生物检测、动态口令、账号密码等多种认证方式。针对不同终端入口,提供不同类型的多种认证方式,独立权限控制,可以多维度控制人员的登录方式。
4)真实身份核验
令信通嵌入真实身份核验能力。调用人脸识别功能,确保当前访问者的身份真实。即使账户密码泄露,也可以保证账户的安全。
可信数字身份系统支持接入客户统一身份认证体系,通过扫脸辅助用户账号密码的安全,实现一次扫脸可免登录访问多套业务系统。
5)快速配置单点登录
系统中已经预制了上百种应用单点登录接口,新建应用登录无需开发,简单配置即可完成,SSO访问过程中支持主流加密算法,确保访问安全。
6)复杂密码策略
支持密码复杂度设置、密码找回、验证码、强制修改密码等;支持认证过程中多种加密方式访问。
7)保护认证信息隐私
针对不同安全级别要求的的客户提供隐私保护支持,支持敏感词设置和提醒,用户数字身份信息支持设置隐私保护和公开要求。
03.统一授权
集中配置,灵活组合管理,简化操作,加强管控
为组织提供一个权限治理中心,集管理工具、底层权限框架、治理体系为一体,简化授权、加强管控、能力复用和固化治理,解决应用系统在权限管理效率、体验、安全方面的问题。
1)应用权限统一纳管
将组织中所有应用统一注册到认证中心,加强应用访问管控,支持快速配置就可以实现应用共享范围和应用资源授权。
2)统一权限策略模型
基于平台标准权限设置,配置权限项、例如菜单权限、登录权限、操作权限等,基于泛微集成中心,同步下发到所有应用系统。
3)多种授权方式组合
令信通支持按照对象类型授权:包括人员、部门、分部、群组、岗位、所有人等维度,也可自定义灵活添加;
组织架构权限支持设置相对范围:同部门、下级部门、同部门及下级部门,同分部、同分部的下级分部、同分部及下级分部;支持外部用户和兼职人员灵活授权。
4)用户自助权限管理
日常工作有需要时,用户可以通过发起权限申请流程,自助申请授权,员工身份变更后的下游系统自动同步、权限自动变更的自动化处理。
5)特权账号治理
以特权账号管理为核心进行全面特权账号治理体系。围绕特权账号的安全保护,通过集中管控,统一监控,风险预警几个维度对IT资产特权账号的全生命周期安全管理。
6)集团化架构权限治理
支持多租户和分级分权的独立授权模式,满足集团组织每个单位部门个性化的授权要求。
7)灵活的聚合权限模型策略
业务系统的权限项可以基于平台的低代码动态搭建模型,进行设置。平台维护权限后,实时通过泛微集成中心同步下发对应的应用系统。
04.统一访问控制
动态安全访问控制
为组织用户提供安全访问控制服务,基于事先预设好的风险管理规则,设计风险阻断机制,实时告知组织访问控制存在的潜在风险,实现对事前智能风险防范,事中控制,事后溯源。
1)动态适配访问控制
根据用户访问行为的上下文信息,实现动态、自适应的访问控制策略。
2)高等级安全访问登录
支持强密码策略、动态密码保护、动态令牌绑定、二次密码验证等,针对不同用户、不同访问设备、不同访问IP可以灵活区分配置。
3)动态的黑白名单库
支持组织、人员、用户类别和访问地址的黑白名单设置,支持风险人员和风险IP动态监测,自动归集黑白名单,支持批量处理黑白名单库。
4)终端访问设备和网段管理
按照组织、人员动态管理终端访问设备,支持每个用户绑定多个授信访问设备,设备更换时,系统自动催办重新绑定,开启“设备绑定后”。组织成员登录账号时,会提醒绑定账号,点击“绑定”后才能登录,支持按照网段分组分配不同访问控制策略。
5)访问风险规则库和风险策略库
在系统中已经预制了完善的风险规则和风险策略库,在用户访问的关键环节可以直接引用控制,用户可以利用低代码平台构建个性化的风险规则和策略,并通过组织服务总线(ESB)下发到所有关键环节。
6)国家标准预置安全保护策略
按照等级保护和分级保护的国家标准,系统中已经预制了访问安全控制保护策略,当国标更新后,可以通过低代码快速配置新的保护策略库。
05.统一审计
多维度的用户行为审计报告
令信通结合认证中心、安全控制及信任体系日志,形成用户行为审计报告,分析用户操作行为,实现违规行为提前预警。
1)自动生成审计台账
提供完善的日志审计模块,系统所有操作根据不同业务场景、不同用户全面留痕,全面追溯,为业务的日常运转及周期审计提供有力支持。
基于低代码平台,可以为不同客户搭建符合要求的审计台账。
2)图形化审计分析
结合认证中心、安全控制及信任体系日志,形成用户行为审计报告,分析操作日志、登录日志、应用认证日志等行为,从而实现违规行为提前预警。
基于数据中心,可以根据用户需求快速搭建图形化审计分析中心。
06.目录服务管理
满足信创环境,平滑过渡
可替代企业原有AD域在身份管理、身份认证、访问控制等方面的服务能力,助力企业平滑退域、逐步实现国产化自主可控。
过渡期间,可同时支持Windows和国产Linux操作系统的终端认证,实现双轨制运行,原有与AD域依赖的应用系统可分批次切换到终端身份认证系统上,实现企业平滑退域,不影响企业原有应用系统正常运行。
07.统一门户入口
千人千面的安全访问门户入口
令信通通过统一身份认证,将其他业务系统的应用、数据、消息集成在一个安全入口。
1)预置门户模板
在云商店中,提供1000+业务场景的门户模板,下载即可启用,与平台无缝切换。
2)门户页面一次构建,多端使用
可视化页面设计,搭建者可以通过设计器中的布局、样式、组件等,拖拽式自由扩展搭建个性化页面,提供PC端和移动端统一门户入口,千人千面的个性化安全门户。
3)汇聚所有业务系统的待办和消息
通过IAM用户身份和应用系统授权的匹配,通过低代码配置就可以实现业务系统待办和消息的汇聚。
4)内外部用户统一应用导航
内外协同的门户,不仅是内部门户,还可构建外部客户、供应商、经销商等门户,实现信息的内外协同,实现应用导航。
08.统一应用集成中心
通过低代码、企业服务总线配置化集成第三方系统
可视化配置集成第三方系统集成,利用低代码的连接器、动作流、集成套件、开放平台支撑第三方系统集成。
1)配置化集成引擎
内置了大量第三方系统接口,覆盖ERP、财务、HR、短信、邮箱、打印、工商查询等各类软件系统,用户仅需简单配置账号信息即可开箱即用。
快速配置即可通过接口、数据、消息队列等多种方式连接第三方系统,统一输入输出映射关系,构建应用与外部系统交互,监控所有API接口的运行情况,包括对接口统计、展现、调度、监控及异常处理等能力。
2)认证接入预置
在认证接入中心,已经预制了上百种成熟应用接入API。新的应用接入通过低代码和ESB配置即可完成下发。
3)统一待办中心
在统一待办中心,已经预制成熟应用接入API,新的应用快速配置即可完成。
09.统一运维平台
高效的可视化、智能化运维
对基础设施、应用、数据、流量、异常情况和审计等进行全面监控,保障各应用的交付和正常运行简化各场景下的部署运维操作,实现高效的可视化、智能化运维。
1)全面体检
检查应用、数据库、缓存、消息等配置与核心性能设置,提前解决潜在问题。
2)运维工具箱
提供日志、调用链跟踪、一键分析应用cpu性能、dump释放数据库压力,一键修改配置参数等常用工具。
3)实时状态监控
监控jvm内存,cpu,url并发数,数据库连接数,整体响应时间等性能指标,直观体现平台运行情况。
4)预警中心
24小时全自动监控低代码平台整体应用性能情况,支持告警阀值设置,并通过消息及时推送异常预警信息。
核心亮点
泛微.令信通融合低代码技术、组织服务总线(ESB)、数字身份、电子签名技术、统一门户和上百种成熟集成套件,构建了增强型统一身份管控平台的八大核心能力。
1、数字身份管控的能力:令信通为了带来全新的统一身份管控平台,包括统一用户、统一认证、统一授权、统一访问控制、统一审计,符合5A标准。
2、统一门户的能力:提供安全登录门户入口,可视化快速构建千人千面的门户展现,将组织中分散的应用、消息和数据集中展示。
3、流程驱动业务能力:通过流程来实现身份认证与业务场景的协同以及权限管理,让整个身份认证管控更加合规高效,也支持在业务场景中随时调用认证。
4、快速配置集成能力:通过低代码和组织服务总线(ESB)预制100多种应用的集成API,无需开发,即可实现应用系统接入和统一授权管理,同时可以实现个性化定制。
5、真实身份核验能力:借助电子签名技术实现真实身份核验能力,所有的过程行为都可以通过核验真实身份二次认证。
6、内外协同能力:管理内外部所有用户,支持实名认证、生物检测、短信、邮件等能力,整合所有业务资源,满足内外用户的身份验证的业务场景需求,提升用户使用体验。
7、PC移动一体能力:PC端的所有功能都可以快速延展到移动端,支持在移动端完成身份认证、用户信息调整和审批、非法用户预警等。
8、RPA机器人免集成能力:通过RPA机器人可以对接无法改造集成的业务系统实现单点登录和消息待办,也支持将数据回写到原系统。
本文作者可以追加内容哦 !
