统一身份管理方案

统一身份管理

方案介绍日期：5/20/2023议题项目背景需求分析设计方案实施计划及项目预算2项目背景随着IT建设，越来越多的信息化系统投入运行；各个应用系统都包含用户信息、授权等基本的配置信息，但无法从统一的视角管理、分析、管理、审计这类数据。从IT平台整合分析在多应用系统复杂用户环境下，需要建立一套企业统一身份管理平台，提供统一的身份管理维护、用户和组织机构信息同步管理、用户统一授权信息管理以及权限审计服务。以加强信息系统中用户的集中规范管理，从而提升信息安全，并为权限审计提供查询服务每位员工都使用着各类应用系统，需要一套快捷方便掌握人员所拥有的各应用系统的信息，在人员状态（离职、职位变更、调动等）发生变化时，能够及时对帐号进行相应操作（增加、冻结、修改）3统一身份管理对用户信息、权限信息特点4管理标准化数据标准化帐户权限审计简单化帐户涉及信息快速检索议题项目背景需求分析设计方案实施计划及项目预算5当前问题和管理风险IT管理HRExchangeSAP预算系统PLM没有统一的IT主数据，所有的用户及权限数据都分散在不同的系统李进行管理。没有对用户身份标示的的整个生命周期管理的有效手段，对入职，离职，专职等流程缺乏有效率的管理方法。IT的主数据在不同的系统中存在，没有同步手段，主数据的正确性和质量缺乏保障，造成很多安全性的问题

IT管理费用很高，但仍然发生安全性方面的问题，IT管理效率不高AD通过系统方式，根据应用特点采取手动或自动在不同系统间同步数据现状目标HRExchange预算SAPAD统一身份管理建设目标建立了一个统一的IT主数据管理提高的IT管理的效率，建立了IT主数据的和人事系统及相关应用系统的的同步机制，维护和保证了IT主数据的完成性和正确性。提高了IT管理的效率，建立的自动化管理的流程及安全监控手段现状与目标需求总结HRSAPADPLMApps…Exchange预算数据同步

系统访问报表安全报表

审计报表Report最终用户IT&Security管理者

基础信息应该账号/角色信息

我的账号及权限信息经理/业务系统管理员用户权限查询机检查用户权限自动审批用户身份标示生命周期管理BasedataAccount/roleResourceOthers统一身份管理平台定位8统一认证服务数据交换服务主数据服务业务系统IT管理工具门户移动应用统一身份管理服务财务系统SAPPLM预算系统…公司门户部门门户…备份管理监控管理ITSM提供统一的用户信息和权限管理项目预期收益提高应用系统帐号管理的时效性,提高工作效率通过身份管理功能，有助于对应用系统用户帐号进行梳理和检查，及时发现和处理孤儿帐号，加强帐号管理力度，发现潜在的安全隐患9本期建设范围及下期核心功能系统集成的范围：SAP、PLM、预算管理系统、人力资源管理系统、电子邮件系统(Exchange)；用户范围：涵盖所有信息系统用户。功能范围：身份管理核心功能、核心应用权限、用户信息、组织信息的跟踪集中身份信息、组织信息、权限信息管理；权限管理与细粒度访问控制仍在各系统中自行管理。二期重点功能用户信息周期管理及用户入职流程、用户离职流程、用户调岗流程帐号与权限申请流程应用接入全面推广IT资源信息整合，形成可跟踪用户关联的所有相关IT资源信息10议题项目背景需求分析设计方案实施计划及项目预算11系统全景模块结构图ILMConnecterILMLifecycleILMdataSynctoolIdentityLifecycleSyncHRIdentitySyncADUser/GroupSyncWindowsServer/SQLServerIIS8/.NETWFMasterDataMgmtIdentityMgmtAccessMgmtReportsITServiceProcessesDelegationMgmtSAPPLMADHR.NetAppJavaAPPPM身份管理中心IAMInterfaceHTTPXML系统逻辑架构图标准XML格式作为应用与身份管理接口统一交互描述本期实施功能架构图内容14下图展示了统一身份管理系统本期功能结构图；即本期主要实施目标系统核心数据管理15ADHRSAP预算Exchange….PLMIT主数据ITAdminEnd

UserManagerPC?IPhone…VPNMapping关系关键数据设计：主键及映射关系SAPFNC-AAPLMAdminPrimaryKeyMappingHRCV1234….1234510001100011000110001….….….AppNameAPPKey

Key

Masterdata

Key……1000110002user1user210003user3……SAPSAPKey……FNC-AA…PLMAccount……Admin…UPI……CV1234…Userkey……10000…HROtherApplications使用工号作为主数据用户统一标识身份管理系统与应用如何同步数据（1）FieldSourceDescriptionIDIAMPrimarykeyADAccountADMailStoreADDomainADSAPAccountSAPUPIHRENameHRDepIDHRPositionHR……BasedataAccount/roleResourceOthersMasterData数据结构StructureFromHRFromADFromSAP身份管理系统与应用如何同步数据（2）ITAdminEnd

UserManagerIAM核心功能帐号角色授权信息应用系统帐号和角色列表应用授权信息访问日志BasedataAccount/roleResourceOthers

MasterData本期集成应用整理产品类企业应用：SAPExchangePLMHR预算系统自开发类应用.NET技术平台JAVA技术平台19物理部署图20ITBOM类型类别型号数量备注硬件Web/应用服务器64bitCPU4core16GRAM存储80G1可虚机数据库服务器64bitCPU4core16GRAM存储80G1使用现有资源接口服务器64bitCPU4core8GRAM存储60G1基础软件Windows20122可选2008R2SQLServer2012存储250G1数据文件及备份21议题项目背景需求分析设计方案实施计划及项目预算22本期项