用友UAP

IDM用友集團(tuán)UAP中心業(yè)務(wù)支持部

2014年8月8日您是否也遇到了如下問(wèn)題？電子報(bào)表財(cái)務(wù)系統(tǒng)商業(yè)智能HR人力自助OA系統(tǒng)網(wǎng)上報(bào)銷(xiāo)系統(tǒng)公司郵件生產(chǎn)系統(tǒng)不同系統(tǒng)間切換登錄？

每個(gè)系統(tǒng)都和我有關(guān)嗎？密碼是什么？用戶(hù)信息分布在系統(tǒng)各處那個(gè)是準(zhǔn)確的？如何維護(hù)分布在各系統(tǒng)的用戶(hù)信息？您是否也遇到了如下問(wèn)題？系統(tǒng)A系統(tǒng)B系統(tǒng)Z系統(tǒng)Y授權(quán)模型Y授權(quán)管理流程Y授權(quán)模型Z授權(quán)管理流程Z授權(quán)模型A授權(quán)管理流程A授權(quán)模型B授權(quán)管理流程B系統(tǒng)訪問(wèn)權(quán)限分散在各系統(tǒng)是否合理？怎么可以統(tǒng)一管理授權(quán)?統(tǒng)一的視圖在哪里體現(xiàn)？系統(tǒng)訪問(wèn)權(quán)限分散在各系統(tǒng)是否合理？怎么可以統(tǒng)一管理授權(quán)?統(tǒng)一的視圖在哪里體現(xiàn)？您是否也遇到了如下問(wèn)題？到底是誰(shuí)！帳號(hào)1帳號(hào)2帳號(hào)3帳號(hào)N這是誰(shuí)弄的！管理員每次對(duì)人員的修改、授權(quán)是否都有日志記錄？用戶(hù)每次登陸是否有記錄？密碼合規(guī)檢查是否健全？管理員每次對(duì)人員的修改、授權(quán)是否都有日志記錄？用戶(hù)每次登陸是否有記錄？密碼合規(guī)檢查是否健全？解決方案通過(guò)建立組織內(nèi)全網(wǎng)通行的安全信任機(jī)制，整合信息系統(tǒng)安全服務(wù)，使用戶(hù)身份信息、授權(quán)信息、身份認(rèn)證和訪問(wèn)控制機(jī)制規(guī)范化、標(biāo)準(zhǔn)化，提高整體IT架構(gòu)的風(fēng)險(xiǎn)防范能力與訪問(wèn)便捷性。認(rèn)證授權(quán)訪問(wèn)網(wǎng)險(xiǎn)管理審計(jì)報(bào)表賬號(hào)管理身份存儲(chǔ)IdM唯一身份你是誰(shuí)？你能干什么？你干了什么？企業(yè)資源用友UAP集成平臺(tái)國(guó)內(nèi)領(lǐng)先的全層次集成產(chǎn)品全部具備自主知識(shí)產(chǎn)權(quán)，全面支撐SOA落地，產(chǎn)品包括：展現(xiàn)層Portal、用戶(hù)認(rèn)證層IDM、服務(wù)層ESB、消息層MQ、數(shù)據(jù)（標(biāo)準(zhǔn)）層MDM、業(yè)務(wù)流程層BPM。預(yù)置開(kāi)箱即用的應(yīng)用適配器，能夠方便地與第三方產(chǎn)品進(jìn)行快速集成。全部產(chǎn)品架構(gòu)統(tǒng)一，預(yù)制提供一體化方案，全階段可視化工具支持。開(kāi)發(fā)、監(jiān)控、維護(hù)均在統(tǒng)一平臺(tái)完成。集成開(kāi)發(fā)環(huán)境集成管理中心門(mén)戶(hù)業(yè)務(wù)流程管理企業(yè)服務(wù)總線（ESB）主數(shù)據(jù)管理消息服務(wù)身份管理OSGiSSO/LDAP事務(wù)安全調(diào)度集群適配器……分布集中式框架數(shù)據(jù)交換201120102007200720051998UAPUAP

PortalUAP

MQUAP

ESBUAP

IDMUAP

MDM2007UAP

BPM產(chǎn)品架構(gòu)采集服務(wù)供應(yīng)服務(wù)Web層現(xiàn)層IdM數(shù)據(jù)庫(kù)LDAP庫(kù)管理員用戶(hù)用戶(hù)源HR系統(tǒng)目標(biāo)源Portal協(xié)同OACRMSAP系統(tǒng)認(rèn)證服務(wù)調(diào)用者業(yè)務(wù)邏輯層組織管理 用戶(hù)管理 角色管理建模管理流程集成管理用戶(hù)映射系統(tǒng)管理日志審計(jì)自服務(wù)管理員頁(yè)面安全策略認(rèn)證服務(wù)訪問(wèn)控制授權(quán)管理單點(diǎn)登錄B/S應(yīng)用C/S應(yīng)用遺留應(yīng)用AD域場(chǎng)景：用戶(hù)全生命周期管理入職升遷調(diào)動(dòng)離職忘記密碼密碼失效日常管理認(rèn)證管理賬號(hào)同步賬號(hào)同步訪問(wèn)資源日志記錄統(tǒng)一認(rèn)證訪問(wèn)控制場(chǎng)景：用戶(hù)全生命周期管理入職升遷調(diào)動(dòng)離職忘記密碼密碼失效日常管理認(rèn)證管理賬號(hào)同步賬號(hào)同步訪問(wèn)資源日志記錄統(tǒng)一認(rèn)證訪問(wèn)控制統(tǒng)一用戶(hù)管理①規(guī)一化（多字段唯一性校驗(yàn)，非空檢查等）②多形式采集適配器③計(jì)劃任務(wù)④推拉兩種模式①數(shù)據(jù)映射可視化②多適配器可視化③即時(shí)/計(jì)劃任務(wù)場(chǎng)景：用戶(hù)全生命周期管理入職升遷調(diào)動(dòng)離職忘記密碼密碼失效日常管理認(rèn)證管理賬號(hào)同步賬號(hào)同步訪問(wèn)資源日志記錄統(tǒng)一認(rèn)證訪問(wèn)控制統(tǒng)一用戶(hù)管理用戶(hù)模型的維護(hù)用戶(hù)信息的維護(hù)，支持審批流程支持LDAP、AD、數(shù)據(jù)庫(kù)多種數(shù)據(jù)源默認(rèn)提供簡(jiǎn)單用戶(hù)注冊(cè)審批過(guò)程；復(fù)雜業(yè)務(wù)流程定制開(kāi)發(fā)。場(chǎng)景：用戶(hù)全生命周期管理入職升遷調(diào)動(dòng)離職忘記密碼密碼失效日常管理認(rèn)證管理賬號(hào)同步賬號(hào)同步訪問(wèn)資源日志記錄統(tǒng)一認(rèn)證訪問(wèn)控制認(rèn)證管理實(shí)現(xiàn)身份集中認(rèn)證支持認(rèn)證策略配置提供不同強(qiáng)度的認(rèn)證方式，包括靜態(tài)密碼、數(shù)字證書(shū)、LDAP數(shù)據(jù)庫(kù)、自定義接口等…場(chǎng)景：用戶(hù)全生命周期管理入職升遷調(diào)動(dòng)離職忘記密碼密碼失效訪問(wèn)資源日常管理認(rèn)證管理日志記錄賬號(hào)同步賬號(hào)同步統(tǒng)一認(rèn)證訪問(wèn)控制統(tǒng)一認(rèn)證的三個(gè)階段表單代填用戶(hù)映射聯(lián)邦認(rèn)證憑證式票據(jù)式用戶(hù)全生命周期管理統(tǒng)一的信任體系不同網(wǎng)絡(luò)統(tǒng)一認(rèn)證不同認(rèn)證體系互通憑證式是否有該系統(tǒng)憑證登錄某集成系統(tǒng)獲取憑證顯示登錄頁(yè)面進(jìn)行憑證制作進(jìn)入系統(tǒng)判斷憑證是否合法在系統(tǒng)憑證槽中保存和管理用戶(hù)與第三方系統(tǒng)用戶(hù)的映射關(guān)系（憑證），在登錄第三方系統(tǒng)時(shí)自動(dòng)進(jìn)行系統(tǒng)登錄信息驗(yàn)證的機(jī)制，只在用戶(hù)首次進(jìn)入第三方系統(tǒng)時(shí)需要在憑證制作界面錄入一次登錄信息。如果所有系統(tǒng)均使用相同的用戶(hù)名、密碼，則直接進(jìn)入第三方系統(tǒng)，第一次也無(wú)需輸入登錄信息。憑證庫(kù)票據(jù)式門(mén)戶(hù)調(diào)用企業(yè)服務(wù)總線的認(rèn)證服務(wù)接口

進(jìn)行身份認(rèn)證，驗(yàn)證

成功后生成用戶(hù)令牌。集成子系統(tǒng)通過(guò)該令

牌調(diào)用企業(yè)服務(wù)總線

獲取相應(yīng)系統(tǒng)的身份

信息，然后獲取自身

系統(tǒng)的權(quán)限信息引導(dǎo)

用戶(hù)進(jìn)入系統(tǒng)。票據(jù)式聯(lián)邦認(rèn)證之跨網(wǎng)絡(luò)提供跨地域、跨組織、跨網(wǎng)絡(luò)的聯(lián)邦式用戶(hù)集中管理能力，用戶(hù)可以在聯(lián)邦體系內(nèi)跨越防火墻和認(rèn)證體系的限制進(jìn)行用戶(hù)的統(tǒng)一管理和聯(lián)邦認(rèn)證。聯(lián)邦認(rèn)證包括對(duì)聯(lián)邦式用戶(hù)、聯(lián)邦式認(rèn)證、門(mén)戶(hù)的分級(jí)部署等幾部分能力。聯(lián)邦認(rèn)證之多認(rèn)證體系.各業(yè)務(wù)系統(tǒng)項(xiàng)目管理系統(tǒng)XXX資金管理系統(tǒng)XXXIDMIIS應(yīng)用服務(wù)器登錄計(jì)算機(jī)登錄應(yīng)用系統(tǒng)域認(rèn)證AD域認(rèn)證通過(guò)IDM認(rèn)證認(rèn)證通過(guò)生成通行憑證使用通行

憑證訪問(wèn)

各業(yè)務(wù)系統(tǒng)認(rèn)證通過(guò)生成通行憑證，使用通行憑證訪問(wèn)各業(yè)務(wù)系統(tǒng)提供多種認(rèn)證體系的聯(lián)邦式認(rèn)證，UAPIdM可以與AD等成熟認(rèn)證“提供者”形成信賴(lài)關(guān)系，達(dá)到用戶(hù)可以同步，認(rèn)證體系可以互相信任。場(chǎng)景：用戶(hù)全生命周期管理入職升遷調(diào)動(dòng)離職忘記密碼密碼失效訪問(wèn)資源日常管理認(rèn)證管理日志記錄賬號(hào)同步賬號(hào)同步統(tǒng)一認(rèn)證訪問(wèn)控制統(tǒng)一權(quán)限管理E-mailJIRA業(yè)務(wù)角色Portal應(yīng)用角色BIHR遵循RBAC角色模型，降低身份管理復(fù)雜性。角色挖掘、管理、動(dòng)態(tài)供應(yīng)。

基于角色的外部資源訪問(wèn)授權(quán)?？偨?jīng)理部門(mén)經(jīng)理員工業(yè)務(wù)分析系統(tǒng)人力資源管理系統(tǒng)JIRA系統(tǒng)企業(yè)門(mén)戶(hù)郵件系統(tǒng)場(chǎng)景：用戶(hù)全生命周期管理入職升遷調(diào)動(dòng)離職忘記密碼密碼失效訪問(wèn)資源日常管理認(rèn)證管理日志記錄賬號(hào)同步賬號(hào)同步統(tǒng)一認(rèn)證訪問(wèn)控制統(tǒng)一審計(jì)管理提供對(duì)身份、權(quán)限、資源的集中審計(jì)和分析，實(shí)現(xiàn)系統(tǒng)信息資源訪問(wèn)安全預(yù)測(cè)和預(yù)警能力，并結(jié)合身份、權(quán)限管理規(guī)范，實(shí)現(xiàn)合規(guī)性分析。審計(jì)內(nèi)容包括認(rèn)證審計(jì)、權(quán)限審計(jì)、功能審計(jì)、登陸、登出審計(jì)、對(duì)審計(jì)數(shù)據(jù)進(jìn)行分析并形成分析報(bào)表。審計(jì)系統(tǒng)管理員的權(quán)限配置操作UAP

IDM產(chǎn)品本身的安全性UAPIDM的安全特性包括安全功能、軟件安全保證、安全服務(wù)等各方面的內(nèi)容，涵蓋了端到端的安全、軟件生命周期安全。對(duì)企業(yè)信息安全框架的應(yīng)用安全、數(shù)據(jù)安全、終端安全、網(wǎng)絡(luò)安全提供支持，并為安全運(yùn)維和安全管理提供支撐。回顧憑證式、票據(jù)式、聯(lián)邦認(rèn)證2統(tǒng)一認(rèn)證管理賬號(hào)同步、日常維護(hù)、密碼管理1用戶(hù)全生命周期管理3支持多種認(rèn)證方式

靜態(tài)密碼、數(shù)字證書(shū)、LDAP數(shù)據(jù)庫(kù)認(rèn)證管理系統(tǒng)的訪問(wèn)權(quán)限

RBAC角色模型4統(tǒng)一權(quán)限管理安全日志

統(tǒng)計(jì)分析預(yù)警5統(tǒng)一審計(jì)管理客戶(hù)價(jià)值