■ 文/邢宝存

统一认证与身份管理平台建设方案

■ 文/邢宝存

1.背景

随着应用建设的逐步深入，已经建成的和将要建成的各种应用系统都各自拥有独自的用户管理模块，给建设、管理、用户体验以及运维等各方各面都带来了不小的麻烦，且大多为“用户名+口令”身份认证方式，身份认证强度低，并且用户必须记忆不同的密码和身份，由此统一认证与身份管理已经成为了企业信息化建设过程中亟待解决的问题。

2.需求分析

2.1 身份认证

目前大多数企业身份认证的机制一般呈现“各自为政”的局面，并且身份认证方式多为“用户名+口令”。对于企业自身来说，身份认证强度低，存在账号被盗用，且事后取证无法定位到人等风险；对于用户来说，需要记忆不同的密码和身份，容易遗忘。

2.2 身份管理

统一身份认证平台投入使用后，随着与之结合的业务系统会不断增多，如何实现唯一身份标识与该用户在各业务系统中账户的映射，以达到统一认证、单点登录的整合需求，成为亟待解决的问题。

3.方案设计

为有效的解决企业统一认证与身份管理的问题，先做如下方案设计：

3.1 统一身份认证平台

结合企业信息化建设现状，建设以PKI/CA系统为基础设施，与统一身份管理平台相结合，以数字证书方式面向用户和各类应用系统，提供统一的、高强度的身份认证服务。

3.2 统一身份管理平台

建设统一身份管理平台，通过唯一可信安全标识与用户在各业务系统中的属性、账号信息进行关联映射，实现对企业内部员工信息化身份的集中统一管理，为企业应用提供账户信息、属性信息的集中统一供应及用户身份的全生命周期管理；

统一身份管理平台主要包括：管理服务、查询服务、同步服务三大部分。管理服务：是整个统一账号管理系统核心的组成部分，它将给管理员和用户提供统一视图，将所有应用系统的用户管理集中到这一点进行；查询服务：是统一用户管理系统与吉大正元身份认证网关结合时，网关通过该服务来获取登录用户的账号以及各项属性信息；同步服务：用于统一账号管理系统和各应用系统之间的数据交互，主要完成从HR系统中获得用户的初始信息，以及将统一用户管理的用户信息同步到其它的系统中。

3.3 网络拓扑图

如右图旁路部署PKI/CA系统、身份认证网关、UMS统一用户管理各一套。部署PKI/CA系统，实现为企业用户签发数字证书，以及数字证书整个生命周期的管理；部署身份认证网关，实现企业基于数字证书的统一身份认证；部署UMS统一用户管理系统，实现用户属性信息、账号信息的统一管理。

4.建设成效

整个平台的建设对企业信息化安全支撑起到明显作用，实具体建设收益如下：

◆ 构建了企业层次化、一体化的身份认证系统，实现了企业内部用户数字身份的可信标识；

◆ 通过建设统一身份认证与管理平台，为企业内部业务系统提供了可信身份认证、统一用户管理，大大提升了企业整体信息化安全防护水平；

◆ 基于证书的单点登录免去了用户需要记忆多个系统“用户名+口令”的繁琐，提升了用户体验。

◆ 统一身份管理，免去了IT运维人员维护多套账号的繁琐，提高了IT运维人员的工作效率。X