时代亿信统一权限管理解决方案.doc

1、 统一权限管理 解决方案 北京时代亿信科技有限公司 2011年10月 1 需求概述 在企业实施信息化建设的过程中，由于业务定位、用户范围的不同，存在着各类应用系统。随着系统的逐步增多，由于用户信息和权限分别在每个系统各种独自维护，往往出现了如下问题： 1、用户信息缺乏统一 用户在所有应用系统中都存在用户和组织机构信息，而由于对用户信息的管理没有统一的规划设计，造成一个用户在多个应用系统中有不同的用户信息，信息重复且不准确，造成数据冗余且不统一。 2、用户权限管理困难

2、 在众多的应用系统中，哪些用户能够进入哪些应用系统需要管理员在每个应用系统中进行配置，既不方便、也容易出错。另外，在应用系统内部，每一个人的业务操作权限都是由相应系统管理员进行分配，每个人的职务、岗位分散在各个系统中，且叫法不一。这就造成了这些岗位、角色、部门信息的混乱、不一致，并且进行修改维护也需要在每一个系统中进行更改。造成管理员工作繁重，也带来了安全隐患。 上述问题的存在，制约了企业信息化建设的进一步发展，从系统整体规划，统一管理的角度出发，需要对企业系统的用户信息及权限进行统一管理。通过对企业内部数据和权限的梳理，实施统一用户及权限管理系统，建立标准化管理规范。 2 解决方案

3、 针对企业用户普遍存在的统一用户及权限管理需求，时代亿信推出了基于UAP统一用户管理产品的整体解决方案。 统一权限管理的实施一般需要在统一用户管理实施的基础上进行，只有保证了各个应用系统账号的统一和管理，才能对用户的权限进行集中和统一管理。下面对UAP统一用户管理进行简单介绍，然后进一步围绕统一权限管理范畴进行说明。 2.1 统一用户管理 UAP统一用户管理系统能够建立企业内部统一的用户及组织机构信息来源，并建立向各业务系统同步机制，保持企业内部数据的统一。统一用户管理的实施一般涵盖如下内容： （一） 企业组织机构管理 对企业组织机构的创建、维护、删除操作，形成企业组织机构目录树。

4、 （二） 用户生命周期管理 对用户的入职、兼职、离职、调动、借调等管理并形成相应的审批流程。 （三） 用户信息管理 对用户的新增、修改、删除、停用/启用操作，对用户组、用户属性的管理。提供用户检索、用户信息查询获取的公共服务和统一接口。 （四） 用户凭证管理 对用户口令认证方式的口令管理，对数字证书认证方式的用户数字证书申请和管理。 （五） 用户权限管理 用户对应用系统访问权限的授权管理。 （六） 用户信息同步服务 统一用户管理系统与本地各应用系统间的用户同步服务。 2.2 统一权限管理 统一权限管理属于UAP统一用户管理平台的一部分，主要包括对于应用系统的管理、角色管理

5、及权限管理。 2.2.1 应用管理 用户管理员完成对应用系统的添加、修改、删除、停用/启用操作。 2.2.2 角色管理 用户管理员完成对角色的添加、修改、删除操作。角色支持以下几种方式进行归类： （1）按所属部门定义角色，如：综合部、财务部等； （2）按用户的职务级别定义角色，如：一级经理、二级经理、三级经理等； （3）按用户的职位定义角色，如：综合秘书岗、财务岗等； （4）按群组定义角色，如：XXX项目组。 2.2.3 权限管理 用户管理员在其管理范围内对用户组与应用系统的关联关系，角色与应用系统的关联关系进行创建和维护，以此来完成用户对应用系统访问的授权。 2.2.3

6、1 实体级授权 实体级授权主要指主账号代表的自然人可以访问哪些资源（包括系统和应用）的授权。应用的实体级授权主要通过统一用户管理系统和统一认证、授权系统的整合完成： ü 根据用户的权限策略制定相应的ACL和POP； ü 将制定的ACL和POP通过附属到组中形成一定颗粒度的授权单元； ü 统一用户管理系统和统一认证、授权系统整合后，由统一用户管理系统回收了统一认证、授权系统中的组； ü 当一个用户进行实体级授权时，可以通过在统一用户管理系统中分配权限组的方式对用户进行授权。 2.2.3.2 实体内授权 实体内授权主要指包括基于角色的授权和细粒度权限授权，对于应用系统的实体内

7、授权主要通过整合应用中的角色模块实现： ü 与应用的整合需要开发统一用户管理系统Agent实现； ü 统一用户管理系统Agent会回收帐户的角色以及系统所有的角色； ü 当对用户进行授权管理时，通过对用户的角色属性进行。 3 UAP产品介绍 3.1 产品概述 时代亿信UAP统一用户管理平台提供企业组织机构和用户信息统一管理，整合分散在各个应用系统的用户基本信息及账号信息，实现跨应用、跨部门的用户生命周期全过程管理的产品。企业可在一点操作，实现对各应用系统用户信息的注册、变更和注销等同步管理，可提供对用户身份生命周期管理的基础架构，具有较强的扩展性和开放性，支持与企业现有IT

8、基础设施无缝结合，支持多种类型的连接和互操作标准。其核心管理功能支持灵活的配置，可满足不同企业的需求，通过与现有应用的服务扩展结合起来，实现资源整合，对今后企业的应用系统扩展打下坚实基础。 3.1.1 产品功能 时代亿信UAP统一用户管理平台主要功能包括： 1) 统一用户管理：提供组织机构和用户的统一管理，整合分散的用户基本信息及帐号信息，实现一处操作，完成各应用系统用户的注册、变更和注销等同步管理。支持用户分级管理，只需本地管理员进行维护。支持用户属性扩展，可满足企业应用对用户属性的特定需求。 2) 统一权限管理：整合企业内部资源，实现统一权限划分，支持角色的定义和管理，支持部门

9、角色，并对部门所属用户进行统一授权，支持用户基于角色的访问控制。 3) 用户自服务：提供用户自服务管理界面，方便用户自行完成应用系统相关关联映射、身份认证凭证（密码、用户证书）管理等操作，减少管理员负担。 4) 用户信息批量导入：支持文件（.txt、.xls、.cvs等格式）批量方式导入/导出用户，支持第三方CA导入用户及证书，支持从Windows AD、LDAP导入用户，支持证书链文件导入证书用户，支持CSP密钥导入用户证书。 5) 应用系统同步订阅：应用系统通过同步订阅，可定制本系统所需的用户信息和组织机构信息，避免了对不需要数据的同步，提高了数据同步效率，也避免了将重要信息同步给不

10、必要的应用系统。 6) EDA数据整理工具：提供数据源数据整理功能，可以通过灵活的配置，实现数据的规则校验、逻辑校验、数值转换、数据填充等规范化数据的功能。整理工具可进行来源、目标对象的灵活配置，支持多数据源映射到同一目标对象，并可针对每个数据源的每个属性设定优先级，解决多数据源的数据冲突问题。 4 成功案例 中央国债UAP统一用户及权限管理系统 中央国债经过严格的产品筛选和系统招标，选择了时代亿信的UAP统一用户管理平台产品。 系统部署示意图如下所示： UAP统一用户管理平台实现了簿记、资金、发行、支付等子系统的统一用户及统一权限管理。平台由管理服务和完成不同功能的各服务器构

11、成，平台数据库部署在AS/400主机上。 系统架构图如下所示： 实施后效果如下： 1. 业务子系统统一登录认证：应用系统接入到UAP统一用户管理平台，各应用系统不再单独登录，登录UAP单点登录门户后点击链接即可登录； 2. 实现统一用户管理：在UAP管理页面对用户进行增加、删除、修改的操作页面； 3. 实现了子系统权限统一管理：UAP平台负责用户的管理、角色的管理、权限的统一管理；子系统部署SSO Agent（J2EE部署jar包），需要验证权限时通过WEBService公共服务进行验证； 实现了权限统一审计：UAP平台负责对权限分配，验证的各项操作进行记录，并能够通过管理平台

12、进行集中审计，包括合规、违规的各项操作，并且能够导出报表。2010年读书节活动方案 一、     活动目的： 书是人类的朋友，书是人类进步的阶梯！为了拓宽学生的知识面，通过开展“和书交朋友，遨游知识大海洋”系列读书活动，激发学生读书的兴趣，让每一个学生都想读书、爱读书、会读书，从小养成热爱书籍，博览群书的好习惯，并在读书实践活动中陶冶情操，获取真知，树立理想！ 二、活动目标： 1、通过活动，建立起以学校班级、个人为主的班级图书角和个人小书库。 2、通过活动，在校园内形成热爱读书的良好风气。 3、通过活动，使学生养成博览群书的好习

13、惯。 4、通过活动，促进学生知识更新、思维活跃、综合实践能力的提高。 三、活动实施的计划 1、 做好读书登记簿 （1） 每个学生结合实际，准备一本读书登记簿，具体格式可让学生根据自己喜好来设计、装饰，使其生动活泼、各具特色，其中要有读书的内容、容量、实现时间、好词佳句集锦、心得体会等栏目，高年级可适当作读书笔记。 （2） 每个班级结合学生的计划和班级实际情况，也制定出相应的班级读书目标和读书成长规划书，其中要有措施、有保障、有效果、有考评，简洁明了，易于操作。 （3）中队会组织一次“读书交流会”展示同学们的读书登记簿并做出相应评价。 2、 举办读书展览： 各班级定期举办“读书博览会”，以“名人名言”、格言、谚语、经典名句、“书海拾贝”、“我最喜欢的＿＿＿”、“好书推荐”等形式，向同学们介绍看过的新书、好书、及书中的部分内容交流自己在读书活动中的心得体会,在班级中形成良好的读书氛围。 3、 出读书小报： 4.