随着数字化进程的全面发展,组织应用系统越来越多,一个用户往往拥有多个账号密码;同时,国家网络安全法和等保2.0标准出台,统一身份认证成为组织数字化建设刚需。
组织在身份及访问管理面临着诸多挑战:
系统多,账号多而且分散:组织需要一个统一的账号、用户管理系统,来减少身份管理风险;
密码难控,认证方式单一:弱密码容易被攻击、复杂密码记不住,用户需要记忆很多系统的账密;组织更需要建立可信数字身份认证,防控安全风险;
应用暴露,需要全面防护:远程办公场景十分常见,需要建立持续的安全防护机制;
审计溯源,合规要求提高:越来越多政策法规对用户信息安全提出了要求,用户访问是否合规,需要对安全日志、账号口令等进行审计。
如何确保用户身份的合法性、数据的安全性以及访问的权限控制,成为了亟待解决的问题。
基于组织需求,泛微推出令信通·统一身份管控平台,为组织所有用户(包括内部和外部用户),建立统一权威的数字身份,基于这个数字身份解决组织人员在不同环境下访问过程中用户身份认证和访问安全控制的问题。
基于云原生的先进架构,融合低代码技术、组织服务总线(ESB)、数字身份、电子签名技术、统一门户和上百种成熟集成套件,构建了增强型统一身份管控平台。
01.统一用户管理
集中管理所有系统的账号和数字身份信息
令信通帮助组织提供用户数字身份全生命周期闭环管理,全面覆盖内部用户和外部人员的统一身份管理,将分散于各个应用系统中的用户身份数据统一集中管理。
1)支持权威数据源实时同步
对于权威数据源,统一用户提供标准的组织机构、用户数据新增、编辑、删除接口,数据源系统调用统一认证系统的接口实现数据同步。
令信通还能通过自带的低代码平台完成表单流程和建模的拖拉拽、配置化,按需调整。
2)覆盖内外部所有用户类型
全面覆盖内部用户和外部供应商、客户、代理商、伙伴等外部人员的身份管理,将分散于各个应用系统中的用户数据统一进行全生命周期的管理。支持内外用户的身份验证的不同业务场景需求。
3)数字身份全生命周期管理
管理用户及账号的创建、存续、废弃各个阶段。全流程驱动生命周期管理,确保用户数字身份合规有效。用户身份与属性的自动化更新机制,为访问策略智能化、动态化、精细化控制提供有效支撑。
4)支持复杂架构组织用户管理
支持多租户和分级分权的用户管理,针对集团组织的每个单位和部门租户,人员、业务、数据逻辑隔离,平台资源共享复用。支持多维组织架构,用户的数字身份在不同管理维度下展示利用。
5)可视化流程驱动业务
当用户身份变化,可视化的动作流驱动各类事件,及时更新用户状态及权限,实时调整访问控制策略,全程可控,可追溯。
6)用户自助身份服务
内外部用户自助填写表单、注册账号,管理员审批通过后通知用户。权限可自助申请,基于组织架构的审批工作流进行权限调整审批。
员工身份变更后的下游系统自动同步、权限自动变更的自动化处理。
02.统一认证
统一应用访问入口,支持多因素认证
1)主流标准认证协议接入
支持CAS、OAuth2.0、OIDC等多种认证协议,并支持扩展,基于不同类型认证协议,可以快速配置接入系统,无需开发。
2)可视化配置应用接入
新的应用接入时,通过标准接口在线配置即可完成,并支持细粒度权限认证,系统中已经预制上百种应用接入成熟套件,无需开发。
3)多因素认证方式
4)真实身份核验
令信通嵌入真实身份核验能力。调用人脸识别功能,确保当前访问者的身份真实。即使账户密码泄露,也可以保证账户的安全。
6)复杂密码策略
支持密码复杂度设置、密码找回、验证码、强制修改密码等;支持认证过程中多种加密方式访问。
7)保护认证信息隐私
针对不同安全级别要求的的客户提供隐私保护支持,支持敏感词设置和提醒,用户数字身份信息支持设置隐私保护和公开要求。
集中配置,灵活组合管理,简化操作,加强管控
1)应用权限统一纳管
2)统一权限策略模型
4)用户自助权限管理
5)特权账号治理
以特权账号管理为核心进行全面特权账号治理体系。围绕特权账号的安全保护,通过集中管控,统一监控,风险预警几个维度对IT资产特权账号的全生命周期安全管理。
7)灵活的聚合权限模型策略
业务系统的权限项可以基于平台的低代码动态搭建模型,进行设置。平台维护权限后,实时通过泛微集成中心同步下发对应的应用系统。
04.统一访问控制
动态安全访问控制
为组织用户提供安全访问控制服务,基于事先预设好的风险管理规则,设计风险阻断机制,实时告知组织访问控制存在的潜在风险,实现对事前智能风险防范,事中控制,事后溯源。
1)动态适配访问控制
根据用户访问行为的上下文信息,实现动态、自适应的访问控制策略。
支持强密码策略、动态密码保护、动态令牌绑定、二次密码验证等,针对不同用户、不同访问设备、不同访问IP可以灵活区分配置。
3)动态的黑白名单库
支持组织、人员、用户类别和访问地址的黑白名单设置,支持风险人员和风险IP动态监测,自动归集黑白名单,支持批量处理黑白名单库。
4)终端访问设备和网段管理
5)访问风险规则库和风险策略库
在系统中已经预制了完善的风险规则和风险策略库,在用户访问的关键环节可以直接引用控制,用户可以利用低代码平台构建个性化的风险规则和策略,并通过组织服务总线(ESB)下发到所有关键环节。
6)国家标准预置安全保护策略
按照等级保护和分级保护的国家标准,系统中已经预制了访问安全控制保护策略,当国标更新后,可以通过低代码快速配置新的保护策略库。
05.统一审计
多维度的用户行为审计报告
令信通结合认证中心、安全控制及信任体系日志,形成用户行为审计报告,分析用户操作行为,实现违规行为提前预警。
1)自动生成审计台账
提供完善的日志审计模块,系统所有操作根据不同业务场景、不同用户全面留痕,全面追溯,为业务的日常运转及周期审计提供有力支持。
基于低代码平台,可以为不同客户搭建符合要求的审计台账。
2)图形化审计分析
基于数据中心,可以根据用户需求快速搭建图形化审计分析中心。
06.目录服务管理
满足信创环境,平滑过渡
可替代企业原有AD域在身份管理、身份认证、访问控制等方面的服务能力,助力企业平滑退域、逐步实现国产化自主可控。
过渡期间,可同时支持Windows和国产Linux操作系统的终端认证,实现双轨制运行,原有与AD域依赖的应用系统可分批次切换到终端身份认证系统上,实现企业平滑退域,不影响企业原有应用系统正常运行。
07.统一门户入口
千人千面的安全访问门户入口
令信通通过统一身份认证,将其他业务系统的应用、数据、消息集成在一个安全入口。
1)预置门户模板
在云商店中,提供1000+业务场景的门户模板,下载即可启用,与平台无缝切换。
2)门户页面一次构建,多端使用
可视化页面设计,搭建者可以通过设计器中的布局、样式、组件等,拖拽式自由扩展搭建个性化页面,提供PC端和移动端统一门户入口,千人千面的个性化安全门户。
3)汇聚所有业务系统的待办和消息
4)内外部用户统一应用导航
内外协同的门户,不仅是内部门户,还可构建外部客户、供应商、经销商等门户,实现信息的内外协同,实现应用导航。
08.统一应用集成中心
通过低代码、企业服务总线配置化集成第三方系统
可视化配置集成第三方系统集成,利用低代码的连接器、动作流、集成套件、开放平台支撑第三方系统集成。
1)配置化集成引擎
快速配置即可通过接口、数据、消息队列等多种方式连接第三方系统,统一输入输出映射关系,构建应用与外部系统交互,监控所有API接口的运行情况,包括对接口统计、展现、调度、监控及异常处理等能力。
2)认证接入预置
在认证接入中心,已经预制了上百种成熟应用接入API。新的应用接入通过低代码和ESB配置即可完成下发。
3)统一待办中心
在统一待办中心,已经预制成熟应用接入API,新的应用快速配置即可完成。
09.统一运维平台
高效的可视化、智能化运维
对基础设施、应用、数据、流量、异常情况和审计等进行全面监控,保障各应用的交付和正常运行简化各场景下的部署运维操作,实现高效的可视化、智能化运维。
1)全面体检
检查应用、数据库、缓存、消息等配置与核心性能设置,提前解决潜在问题。
2)运维工具箱
提供日志、调用链跟踪、一键分析应用cpu性能、dump释放数据库压力,一键修改配置参数等常用工具。
3)实时状态监控
4)预警中心
24小时全自动监控低代码平台整体应用性能情况,支持告警阀值设置,并通过消息及时推送异常预警信息。
核心亮点
泛微.令信通融合低代码技术、组织服务总线(ESB)、数字身份、电子签名技术、统一门户和上百种成熟集成套件,构建了增强型统一身份管控平台的八大核心能力。
3、流程驱动业务能力:通过流程来实现身份认证与业务场景的协同以及权限管理,让整个身份认证管控更加合规高效,也支持在业务场景中随时调用认证。
5、真实身份核验能力:借助电子签名技术实现真实身份核验能力,所有的过程行为都可以通过核验真实身份二次认证。
6、内外协同能力:管理内外部所有用户,支持实名认证、生物检测、短信、邮件等能力,整合所有业务资源,满足内外用户的身份验证的业务场景需求,提升用户使用体验。
7、PC移动一体能力:PC端的所有功能都可以快速延展到移动端,支持在移动端完成身份认证、用户信息调整和审批、非法用户预警等。