一、产品概述

随着信息化的不断深入，企业的IT环境变得越来越复杂，为了访问信息和完成相应工作，业务系统用户需要在不同的系统上完成业务工作，企业一方面需要对不用业务系统的用户、权限进行统一动态管理，另一方面也需要对所有系统实现统一的安全策略。天融信推出的统一身份管理系统，通过对企业的用户和系统资源进行集中身份管理、集中认证管理、集中授权管理和集中审计管理，让企业应用系统的访问方式更加简便、安全，大幅提升企业的整体生产力和工作效率。

信息系统中有大量的业务系统，分别属于不同的部门和不同的应用。各系统都有一套独立的账户、认证、授权和审计系统，员工使用不同的业务系统时，需要访问不同的地址、记住多个业务系统的复杂密码；当维护人员同时对多个系统进行维护时，工作复杂度也会成倍增加。

各系统分别管理所属的系统资源，缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，系统的安全性无法得到充分保证。

有些账号多人共用，不仅在发生安全事故后，难于确定账号的实际使用者，而且在平时也难以对账号的扩散范围进行控制，容易造成安全漏洞。
用户经常需要在各个信息系统之间切换，每次从一个系统切换到另一个系统时，都需要输入用户名和口令进行登录，给用户的工作带来不便，影响了工作效率。用户为便于记忆，会采用较简单的口令或采用相同的口令，危害到系统的安全性。

二、解决方案

·统一的资源访问入口

为集中管理各个应用系统（包括各种C/S应用和B/S应用）等提供统一的资源访问入口，可以集中管理、登录各个业务系统。

·集中账号管理
管理员在一点上即可对不同系统中的账号进行管理，不同系统下都能自动收集账号和推送账号，另外账号创建、分配过程均有审计日志。

·集中身份认证
管理员可以根据员工账号和身份信息，选择不同的身份认证方式。可以在不更改或只进行有限更改的情况下，对原有系统增加强身份认证手段，提高系统安全性。

·集中访问授权
对各业务系统进行集中动态授权，防止私自授权或权限收回不及时。在人员离职、岗位变动时，只需要在一处进行更改，即可在所有应用中改变权限。

·集中安全审计
能够对人员的所有操作进行审计，所有审计信息可以关联到行为人，达到实名审计的效果。

·单点登录SSO
员工访问授权资源时，只需要一次性登录集中身份管理系统即可。 

·细粒度访问控制
通过集中身份管理系统对用户在各业务系统中的权限进行授权，实现细粒度的授权。

·可扩展运维4A方案

三、方案特色

·法规遵循

符合SOX、内控管理条例、等级保护、分级保护等的要求。
部署简单、实施快捷，对绝大部分应用系统可实现即插即用，无需对业务系统进行修改。

·员工生命周期管理
快速适应组织人员变化，缩短管理时间、简化管理流程；对员工的入职、调岗、离职，做到全生命周期的动态、高效、安全管理。

·提高认证强度
可以采用动态口令、CA证书等高强度双因素认证方式验证身份，提高了各个应用系统的认证强度。

·加固账号漏洞
能够自动化、批量地梳理原有账号，防止共享账号、僵尸账号、弱口令、空闲账号等隐患，确保各业务系统的账号安全；

·细化和强化人员的授权管理
梳理原有IT系统中的账号和权限关系，建立企业统一的权限管理标准和流程；实现业务行为全程准确监控和审计。

·可扩展性 

提供不同的开发API和标准接口规范供各类应用系统调用和接入；自有可扩展运维4A模块，提供IT系统运维管理和审计。