1 / 52

天融信统一信任管理平台( TOP UTS ) 解决方案

天融信统一信任管理平台( TOP UTS ) 解决方案. www.topsec.com.cn. 企业应用系统的效率提升整合大师. 在深刻理解用户应用系统整合需求的基础上,针对信息化管理现状,以业务需求为导向,为企业提供基于可信身份的统一信任管理解决方案. 统一信任管理平台为企业实现:. 业务资源整合 统一身份管理 安全策略集中 符合相关法律、法规. 提 纲. 企业信息化现状及需求分析. 统一信任管理解决之道. 统一信任管理平台介绍. 成功案例介绍. 一、企业信息化现状及需求分析. 企业信息孤岛使得环境越来越复杂,给企业带来很多麻烦!.

louise
Download Presentation

天融信统一信任管理平台( TOP UTS ) 解决方案

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 天融信统一信任管理平台(TOP UTS)解决方案 www.topsec.com.cn

  2. 企业应用系统的效率提升整合大师 在深刻理解用户应用系统整合需求的基础上,针对信息化管理现状,以业务需求为导向,为企业提供基于可信身份的统一信任管理解决方案 统一信任管理平台为企业实现: • 业务资源整合 • 统一身份管理 • 安全策略集中 • 符合相关法律、法规

  3. 提 纲 • 企业信息化现状及需求分析 • 统一信任管理解决之道 • 统一信任管理平台介绍 • 成功案例介绍

  4. 一、企业信息化现状及需求分析 企业信息孤岛使得环境越来越复杂,给企业带来很多麻烦! 客户 供应商 IT管理员 离职员工 员工 合作伙伴 局域网 决策支持 OA 财务 邮件 ERP

  5. 一、企业信息化现状分析 麻烦一:密码繁多,不便记忆 在企业中,员工往往需要记住超过20个的密码用于系统的访问;严重影响员工的工作效率,同时给信息管理人员造成繁多的工作支持 Frank 财务 邮件 OA ERP CRM 其他 ???? ???? 用户名: 密 码: xiaotian 123456 Xiao_tian 123456 Tian_xiao 123456 Xiao_t 123456

  6. 一、企业信息化现状分析 麻烦二:权限混乱,疲于解决 网管 David 众多的应用系统,分散在不同的管理部门和人员手中;在人员、职务、权限的变更时,形成大量的管理和安全隐患 人力 May 业务系统 管理员 邮件 财务 ERP 其他 OA CRM

  7. 麻烦三:权责不清,篱笆效应 面对纷杂的企业信息化现状,各级人员很难全面的了解和享用信息化带来的便利和工作方式的变更,造成人为的隔阂 总裁 Jack IT主管 Steven 人力主管 Sherry 业务主管 Jeff 邮件 财务 ERP 其他 OA CRM

  8. 一、企业信息化需求分析 面对各种麻烦,给企业提出了更高的信息化管控需求 统一账户管理需求 统一授权管理需求 统一认证管理需求 统一审计管理需求 • 统一账户管理 • 账号生命周期管理 • 业务系统账号同步 • 统一权限管理 • 授权和访问控制 • 统一门户管理 • 单点登录 • 支持多种认证方式 • 操作行为分析控制 • 强化业务操作 • 责任认定

  9. 提 纲 • 企业信息化现状及需求分析 • 统一信任管理解决之道 • 统一信任管理平台介绍 • 成功案例介绍

  10. 二、TOP UTS统一信任管理解决之道 统一信任管理系统(TOP UTSV1.0)是一个综合的应用系统管理平台。以PKI/CA技术为核心,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。

  11. 二、统一身份管理解决之道 集中管控 基础数据的收集和统一账户的创建 子系统账户的收集和映射 统一门户的建立 统一认证和单点登录 管理员 David TOP UTS

  12. 2、通过安全认证网关实现数据的传输加密,确保数据的机密性和完整性2、通过安全认证网关实现数据的传输加密,确保数据的机密性和完整性 1、可支持证书认证等多种强安全身份认证方式,解决弱口令所存在的安全隐患。 二、统一身份管理解决之道 安全保障 用户 Frank 管理员 David 3、完整的授权及操作行为审计功能,实现行为的可追溯,及时了解掌握系统情况,确保系统、业务的正常运转。 TOP UTS

  13. 二、统一身份管理解决之道 用户价值 安全性提升 审计追溯用户行为 基于角色权限控制 集中监控和管理用户 法规、标准遵从性 加强认证方式,实现安全SSO 认证模式可扩展化 账号口令规范化 软件接口开放化 软件接口标准化 涵盖身份识别、访问管理和安全审计 安全 业务 推动业务系统优化 成本 用户层面:系统帐号一次性申请、系统单点登录实现 IT管理层面:用户生命周期电子流程管理、系统整合、统一管理平台 降低IT运营成本

  14. 提 纲 • 企业信息化现状及需求分析 • 统一信任管理解决之道 • 统一信任管理平台介绍 • 成功案例介绍

  15. 三、统一身份管理解决之道 集中用户 集中证书 身份管理 单点登陆 访问控制 责任界定 集中认证 集中审计 集中授权 天融信统一信任管理平台TOP UTS

  16. 三、统一身份管理解决之术 TOP UTS系统功能及特点介绍 1 • TOP UTS技术架构 2 • TOP UTS系统功能模块 3 • TOP UTS系统功能介绍 4 • TOP UTS系统特点介绍

  17. 三、统一身份管理解决之术 1、TOP UTS技术架构:平台逻辑架构 业务逻辑模块 系统备份/恢复服务 系统运行状态 恢复服务 审计和日志服务 Grails 框架 Java/Groovy运行环境 系统数据库 安全操作系统

  18. Mail ERP OA Mail ERP OA 三、统一身份管理解决之道 财务软件 财务软件 应用集群 应用 集群 1、TOP UTS技术架构:平台典型部署 CA CRM 门户 CRM UTS-GATE 集群 UTS-GATE 集群 RA …… …… GATE 负载均衡 内部用户 UTS-M UTS-M 数据源 数据源 证书应用审计 UTS-M 企业专网 RA RA 移动 员工 数据源 …… 业务系统 GATE负载均衡 分支机构1 分支机构n

  19. 三、统一身份管理解决之术 2.TOP UTS功能模块 TOP UTS(统一信任管理平台) 平台管理层 策略管理 权限管理 接口管理 运行管理 备份管理 粗粒度授权 SSO 集中制证 生命周期 登录信息 账号接口 认证接口 审计接口 证书接口 多认证方式 细粒度授权 访问行为 自动审批 身份源管理 对象授权 认证策略 角色管理 管理行为 生命周期 审计管理 证书管理 授权管理 账号管理 认证管理 动态继承 负载 均衡 有效性检查 分组管理 日志审计 平台接口层 证书应用审计平台 资源层 业务系统 应用 数据源 CA中心 办公系统 AD LDAP RA

  20. 三、统一身份管理解决之术 3.TOP UTS系统功能介绍 Ⅰ • 统一账户管理 Ⅱ • 统一证书管理 Ⅲ • 统一授权管理 Ⅳ Ⅴ • 统一认证管理 • 统一审计管理

  21. 用户属性管理 用户生命周期管理 统一帐户管理 组织结构管理 账户映射管理 数据源管理 三、统一身份管理解决之术 3.TOP UTS系统功能介绍 Ⅰ统一账户管理功能

  22. 三、统一身份管理解决之术 3—Ⅰ统一账户之数据源管理 • 可提供内部eDirectory存储用户身份信息 • 可从外部LDAP、AD系统导入主身份数据 eDirectory (LDAP) Acitve Directory (AD) • 处理用户身份和账号的数据同步 • 可读写外部数据源数据 • 灵活的策略定制 数据源管理层 Driver shim • 支持多应用从账号信息用户自助和批量处理 • 可集中管理各种业务系统 Radius Server 目标系统

  23. 三、统一身份管理解决之术 3—Ⅰ统一账户之管理对象 用 户 主账号 从帐号 资 源 自然人,包括自然人身份和相关信息 与自然人唯一对应,一个主账号只能与一个自然人对应 与具体角色对应,每个主账号可以拥有多个从帐号,也就是多种身份角色 用户使用或管理的对象,主要是指应用,每个资源上存在一定的功能和权限

  24. 三、统一身份管理解决之术 3—Ⅰ统一账户之用户身份属性 用户身份信息 可信用户 标识 用户类型 用户 基本信息 机构、岗位 职能 用户 属性信息 用户 认证信息 用户 授权信息 数字证书 员工号 姓名 性别 ……… 电话 工作地址 身份证号 ……… 用户名 口令 ……… 角色 分组 资源列表 ……… 主帐号 从账号1 从账号2 从账号n

  25. 王五 李四 张三 三、统一身份管理解决之术 3—Ⅰ统一账户之主从账户关系 从户 从账户 主帐户 从账户 从账户 主帐户 从账户 主帐户 从账户 OA 从账户 从账户 财务 ERP CRM

  26. 三、统一身份管理解决之术 3—Ⅰ统一账户之生命周期 员工入职 创建账号 证书发放 用户生命周期 账号属性变更 奇虎360 帐户注销 员工离职 账号归档

  27. 三、统一身份管理解决之术 3—Ⅱ统一证书之管理 集中证书管理功能主要通过与企业内部已部署RA进行 接口集成,以实现单平台多RA的统一管理。 • 主要功能特点 • 证书自动审批、集中制证 • 证书生命周期管理 • 证书有性检查 • 多RA 管理 • 扩展性强

  28. 三、统一身份管理解决之术 3—Ⅱ统一证书之支持多种CA建设模式 企业本地 ① ② TOP UTS-M 用户数据源 集中证书 管理 ③ ④ RA 自建 CA 系统 ③ • 证书申请 • 自动审批 • 集中制证 • 证书生命周期管理 • 证书签发 • 证书掉销 CA系统 ⑤ CA系统

  29. 三、统一身份管理解决之术 RA RA 分支机构1 分支机构n 3—Ⅱ统一证书之多RA集中管理 企业本地 ① ② TOP UTS-M 用户数据源 集中证书 管理 ③ ④ RA 自建 CA 系统 ③ ③ CA系统 ⑤ …… CA系统 CA系统

  30. 三、统一身份管理解决之术 3—Ⅱ统一证书之证书有效性检查 应用系统 • 手动导入CRL列表 • 外部CRL联动 登录应用 TOP UTS-M 登录门户 有效 手动导入CRL列表 证书管理 有效 CRL服务联动 CRL服务

  31. 三、统一身份管理解决之术 3—Ⅱ统一证书之RA与TOP UTS系统集成 • 证书处理 • 证书生命周期 管理 • 证书审批 • 多种申请模式 • 密钥管理 • 策略管理等 TOP UTS RA完全接管 证书管理

  32. 三、统一身份管理解决之术 3—Ⅲ统一授权管理 传统授权所存在的弊端 传统授权 • 系统权限分散:员工的流动及职位的变更,需要更改员工的系统使用权限,而多个系统权限的分散,使管理员工作量增加,且容易带来安全漏洞。 • 应用系统的独立性:各种应用系统都使用独立的登录方式,员工需要记忆所有应用系统的帐号、密码等,逐一登录,给工作带来极大的困扰。 • 集中在一个接口对组/角色进行资源的合理分配。集中授权的过程,就是集中对用户(组/角色)通过何种方式(证书/口令)使用某种资源(应用/功能)的权限的分配 • 通过这种集中授权的管理,有效的屏蔽了传统授权中存在的弊端,提高了管理效率,为企业营造一个安全、便捷的系统使用环境。 集中授权 集中授权

  33. Group1 Group 三、统一身份管理解决之术 3—Ⅲ统一授权管理之集中授权模型 Manager ….. 授权给角色 …… Assistant …. 授权给组 ..…. 授权给用户 Engineer 组 Web应用系统 角色 用户

  34. 组模块 授权模块 角色模块 资源管理 模块 三、统一身份管理解决之术 3—Ⅲ统一授权管理之权限管理模块结构 访问控制模块——执行管理权限 授权模块——定义管理权限 组模块和角色模块(资源使用者) 通过授权管理模块的定义,对相应权限进行调用 资源管理模块(应用) 访问控制模块 系统中所有应用资源的集合

  35. 应用 功能组 功能 部门 组 用户 用户角色 应用角色 组 角色 资源 三位一体 授权条件 三、统一身份管理解决之术 3—Ⅲ统一授权管理之集中授权方式

  36. 组授权 • 选中组分派资源 • 选中资源将其分配给组 • 选中角色分派资源 • 选中资源将其分配给角色 三、统一身份管理解决之术 3—Ⅲ统一授权管理之 集中授权流程图 Admin 应用 组/角色 角色授权

  37. 色 1 Function1 功能组 Function2 用户1 Function4 角 色 2 Function5 功能组 用户2 … … 角 色 Function 三、统一身份管理解决之术 3—Ⅲ统一授权管理之细粒度架构 应用

  38. 三、统一身份管理解决之术 3—Ⅲ统一授权管理之继承方式 单继承 角色A继承于角色B ,则 A拥有B所有的权限 静态继承 多继承 角色A继承于角色B、角色C、角色D, 则A同时拥有B、C、D所有的权限 循环继承 角色A 角色循环继承时,系统可以内部处理,在循环某处断开,不会报错 角色B 角色D 角色C

  39. 入 系 统 角色A 口令 角色B 角色C 角色A 角色C 证书 角色D 三、统一身份管理解决之术 3—Ⅲ统一授权管理之角色继承 动态继承 用户使用证书登录成功后,其具备的动态角色为角色A、角色B、角色C 用户使用口令登录成功后,其具备的动态角色为角色A、角色C、角色D 角色A继承于角色B、角色C、角色D,用户拥有角色A; 角色B的登录方式为口令;角色C的登录方式为口令和证书; 角色D的登录方式为证书。

  40. 三、统一身份管理解决之术 3—Ⅳ统一认证管理功能 单点登录 集中认证管理 多种用户 登录方式 认证安全 票据管理 票据管理 策略管理

  41. 用户 认证方式 三、统一身份管理解决之术 3—Ⅳ统一认证之多种认证方式 • 多种认证方式: • -用户名/口令 • -数字证书 • -通行码 • -Windows域认证 数字证书 AD域 用户名/口令 通行码

  42. 三、统一身份管理解决之术 3—Ⅳ统一认证之单点登录原理比较 标准SAML协议 Form-Based SSO

  43. CRM ERP 邮件 三、统一身份管理解决之术 3—Ⅳ统一认证之单点登录实现流程(门户方式) UTS系统 单点登录模块 门户将认证信息提交单点登录验证,通过后产生票据保存,并从UTS系统获得用户权限信息,将用户访问应用列表交给门户 2 AD域 用户访问门户,并提交认证信息 1 门户连接UTS系统产生鉴证SAML断言,将用户重定向至应用网关 门户显示用户可访问的应用列表 5 3 数字证书 用户点击门户中的应用访问链接 4 门户系统 应用网关验证断言,取出用户登录应用的信息,并将用户登录信息注入到应用帐户登录请求中发送给应用 OA 6 用户名/口令 应用帐户登录成功,用户进入应用界面 7 通行码 用户端 … 应用网关 …

  44. 三、统一身份管理解决之术 3—Ⅴ统一审计管理之系统逻辑架构 浏 览 器 审 计 引 擎 CA系统 管理日志 审计分析,实时关联、安全预警 UTS系统 通 信 层 认证日志 ERP 审计策略 审计信息数据库 CRM 帐号日志 日志审计 OA 授权日志 操作审计 证书日志 审计子系统

  45. 三、统一身份管理解决之术 3—Ⅴ统一审计管理之 系统主要功能 • 系统管理员管理审计 • 数据源操作审计 • 系统配置审计 • 信任源操作审计 • 系统的备份还原审计 • 网关初始化服务审计 • 密钥同步初始化审计 • 口令代填审计 • 用户修改口令服务审计

  46. 三、统一身份管理解决之术 4、平台主要特点 权威认证,符合法范 系统设计开发充分考虑《信息安全等级保护管理办法》、《企业内部控制基本规范》、《中华人民共和国电子签名法》等相关法律法规要求,满足企业业务审计的合规性要求;系统支持权威第三方电子认证服务机构的数字证书,确保业务操作关键环节具有法律效力。 功能齐备,方式灵活 支持多种访问控制方式和细粒度访问授权;实现账号的统一管理,账号生 命周期管理和账号同步;支持负载均衡部署方式,充分满足高并发认证需求;支持灵活的账号绑定方式。

  47. 三、统一身份管理解决之术 4、平台主要特点 高度集成,易于扩展 平台集成了证书注册服务和电子密钥管理,使平台不仅支持证书认证方式,更实现了在统一的平台上对证书的管理,从而提高信息管理部门的服务能力。 安全可靠,开放兼容 在使用数字证书安全认证方式下,可支持多信任体系并存;平台可兼容用户已有的信任体系。在用户信息化建设过程中,有效的节约了整体的投资成本。支持多种认证方式,包括静态用户名/口令、数字证书、NTLM、Passcode(一次性口令)等;支持CAS,.NET Passport,IBM LTPA等多种实现方式。 部署简单,实施快捷 即插即用无需进行系统修改;客户端无需安装插件;遗留应用系统无需修改;SAML的实现,为产品的集成、扩展奠定良好的基础;在支持SAML的典型应用可以实现无缝集成。

  48. 提 纲 • 企业信息化现状及需求分析 • 统一信任管理解决之道 • 统一信任管理平台介绍 • 成功案例介绍

  49. 单向认证 双向认证 双向认证 单向认证 证书审计平台 SSL VPN网关 SSL VPN网关 统一身份管理 系统 RA系统 业务系统 RA系统 LDAP系统 LDAP系统 统一身份管理系统 业务系统 CA/KMC系统 省公司 总公司 人保财险案例简介 证书相关数据 帐户相关数据 审计信息 数据同步 数据流向

  50. PICC系统总体框架

More Related