時代億信認證墻系列產品為B/S、C/S業(yè)務系統(tǒng)、網(wǎng)絡設備、主機、數(shù)據(jù)庫等資源，提供高性能的安全認證、統(tǒng)一接入、訪問控制、用戶管理、安全審計服務，滿足企業(yè)對多種異構資源的認證及訪問控制需求。

    認證墻UAP-U統(tǒng)一用戶管理產品提供用戶生命周期管理服務，通過靈活的數(shù)據(jù)同步和梳理策略，可以將分散在各個應用系統(tǒng)中的用戶帳戶信息、組織機構信息進行整合，建立統(tǒng)一數(shù)據(jù)規(guī)范并同步給各個應用系統(tǒng)。

企業(yè)應用系統(tǒng)用戶管理現(xiàn)狀

    獨立規(guī)劃、獨立建設是企業(yè)應用系統(tǒng)建設過程中的普遍現(xiàn)象，不同應用系統(tǒng)有不同的數(shù)據(jù)標準，造成企業(yè)用戶數(shù)據(jù)管理工作難度大、成本高，還存在較大的安全隱患：

企業(yè)統(tǒng)一用戶管理建設難點

產品組成
    UAP-U產品的基本組成包括：統(tǒng)一用戶管理平臺、數(shù)據(jù)同步工具、數(shù)據(jù)梳理工具以及企業(yè)目錄這四部分組成。

 

UAP-U 產品的解決之道
    UAP-U產品通過以下幾方面措施解決企業(yè)在實施統(tǒng)一用戶管理項目中的各類難點問題：

專門的數(shù)據(jù)分析整理工具

    UAP-U產品所配置的數(shù)據(jù)同步工具和數(shù)據(jù)梳理工具，具備其他同類產品所缺少的數(shù)據(jù)建模、同步、梳理、轉換等關鍵功能，能夠高效的實現(xiàn)對企業(yè)現(xiàn)有應用系統(tǒng)用戶信息的整理，在最短時間內形成企業(yè)標準規(guī)范的用戶信息數(shù)據(jù)，大幅減少統(tǒng)一用戶管理體系建立的周期。
 
豐富的適配器，廣泛的應用支持
    為了更好地適應企業(yè)應用系統(tǒng)，減少二次開發(fā)和定制修改工作，UAP-U產品內置了大量豐富的應用適配器和數(shù)據(jù)適配器。

    應用適配器支持IBM、Oracle、SAP、微軟、金蝶、用友等廠商的OA、ERP、CRM、HR、郵件、即時通訊等各類標準應用軟件，實現(xiàn)了開箱即用。

    數(shù)據(jù)適配器支持Oracle、DB2、SQLServer、MySQL等主流數(shù)據(jù)庫，支持各類LDAP V3標準的目錄服務器，如IBM TDS、Oracle Directory Server、南大通用、南開創(chuàng)元等，支持微軟AD服務器，并具有WebService數(shù)據(jù)同步接口。通過上述接口，UAP-U產品可以無縫對接各類數(shù)據(jù)源，也可以向各類應用系統(tǒng)同步數(shù)據(jù)。

具備統(tǒng)一認證、單點登錄、統(tǒng)一用戶管理的一體化解決方案
    時代億信專門為企業(yè)提供了“統(tǒng)一用戶管理、統(tǒng)一身份認證、統(tǒng)一訪問授權”的整體安全解決方案。

    如右圖所示，內網(wǎng)中的所有業(yè)務系統(tǒng)均與UAP-U產品集成，加入統(tǒng)一用戶管理體系中，同時集成UAP-S統(tǒng)一認證與訪問控制產品，每個業(yè)務系統(tǒng)都將認證請求提交到UAP-S產品進行認證，從UAP-U產品中獲得訪問授權，真正的將企業(yè)目錄作為企業(yè)內部{wy}的認證源。

    同時，在根據(jù)需求部署UAP-G產品，利用產品間的SmartCOM接口，將UAP-G產品、UAP-U統(tǒng)一用戶管理產品和UAP-S統(tǒng)一認證產品融為一體，使用戶經(jīng)過一次認證，便可獲得全網(wǎng)的授權。

實施案例簡介
    某集團公司具有眾多下屬公司，主要業(yè)務涵蓋供應鏈運營、房地產開發(fā)、旅游酒店、會展業(yè)等多個領域，建有大量應用系統(tǒng)供日常業(yè)務經(jīng)營使用，迫切需要對分散的用戶數(shù)據(jù)進行整合與集中管理。

    時代億信承建該集團統(tǒng)一用戶管理工程，為了能夠保證在多層級、多應用、異構的企業(yè)環(huán)境中建立并成功運轉統(tǒng)一用戶管理體系，時代億信采用“3C Key Phase”實施方法論指導整個項目實施過程。

    “3C Key Phase”實施方法論將實施流程歸結為整理、規(guī)范、實現(xiàn)三個關鍵階段：Data Collation 數(shù)據(jù)整理階段、Data Carry-Out 數(shù)據(jù)實現(xiàn)階段、Data Carry-Out 數(shù)據(jù)實現(xiàn)階段。通過“3C Key Phase”實施方法論，有效保證整個工程實施節(jié)點可控、實施難度可控、實施風險可控。

    在有效實施方法論指導下，該集團公司還采用了時代億信UAP-U產品，利用其完善的數(shù)據(jù)同步、統(tǒng)一認證、單點登錄接口，直接支持Liferay門戶、流程平臺、eHR、金蝶EAS、CoreMail、RTX等公司內部標準產品，針對公司內使用LDAP進行用戶信息同步的應用系統(tǒng)，UAP-U產品在LDAP中發(fā)布層級結構節(jié)點，方便用戶數(shù)據(jù)管理維護。

UAP-U 統(tǒng)一用戶管理平臺產品功能
· 3C Key-Phase”模式的統(tǒng)一用戶管理： UAP-U統(tǒng)一用戶管理平臺將用戶數(shù)據(jù)的管理流程歸結為Data Collations數(shù)據(jù)整理階段、Dta Critwerion數(shù)據(jù)規(guī)范化階段和Data Carray-Out數(shù)據(jù)實現(xiàn)階段，統(tǒng)稱為“3C Key-Phase”模式的統(tǒng)一用戶管理。

    數(shù)據(jù)整理的過程首先要對現(xiàn)有用戶數(shù)據(jù)進行屬性分析、業(yè)務分析，并且對系統(tǒng)間的用戶數(shù)據(jù)、屬性進行沖突分析，{zh1}，根據(jù)上述的分析結果綜合整理出一份“統(tǒng)一用戶數(shù)據(jù)規(guī)范”。

    在數(shù)據(jù)規(guī)范化階段，系統(tǒng)根據(jù)整理后的數(shù)據(jù)制定統(tǒng)一用戶數(shù)據(jù)規(guī)范及接口規(guī)范作為今后應用系統(tǒng)數(shù)據(jù)傳輸和交換的標準。

    完成數(shù)據(jù)的整理和規(guī)范化后，在數(shù)據(jù)是現(xiàn)階段對各應用系統(tǒng)根據(jù)數(shù)據(jù)規(guī)范和接口規(guī)范進行改造，完成統(tǒng)一用戶管理的接入。

    系統(tǒng)接入時，管理員會根據(jù)該業(yè)務系統(tǒng)的自身情況制定數(shù)據(jù)同步的通訊方式、用戶屬性、同步策略等相關配置，完成配置后，便可對該業(yè)務系統(tǒng)進行用戶數(shù)據(jù)的初始化。

· 提供數(shù)據(jù)分析整理輔助工具：
    在數(shù)據(jù)的收集和整理的過程中，UAP-U統(tǒng)一用戶管理平臺分別為用戶提供了兩個數(shù)據(jù)工具：數(shù)據(jù)同步工具（EDI）與數(shù)據(jù)梳理工具（EDC）。他們具有相似的特性，但也具有本質上的區(qū)別。下表描述了兩個工具的主要功能特點：

· 面向流程驅動的用戶生命周期管理： 對于大型企業(yè)來說，一套完整的用戶生命周期管理是必不可少的。簡單的生命周期只需用創(chuàng)建、修改、刪除的基本操作就可以概括，而復雜的生命周期管理需要更細致、更jq的控制用戶信息的各項參數(shù)，用戶信息在整個生命周期中的每一次修改可能都要經(jīng)過層層審核。

    UAP-U統(tǒng)一用戶管理平臺為用戶提供了一種面向流程驅動的用戶生命周期管理方式。

    UAP-U為用戶提供了一套靈活可配置的用戶管理流程引擎，除了能夠自定義開戶、銷戶、屬性變更等基本用戶管理的流程外，管理員還可以結合用戶、組織機構的屬性，通過定義對“管理用戶的流程”與“特定屬性”進行定義，指定對用戶哪些屬性進行何種操作時需要何種審核，這是一種非常直觀且實用的用戶管理流程。每個企業(yè)都有自己的關鍵屬性，比如在保密單位中用戶信息的保密等級是最重要的，在其他企業(yè)中可能員工等級更重要。那么管理員只需要在用戶模型中設定哪些屬性的改變需要由什么人來審批就可以了，對于非關鍵屬性的修改，系統(tǒng)可以執(zhí)行自動審批動作。

    UAP-U統(tǒng)一用戶管理平臺出了自身提供的用戶生命周期管理之外，同時提供了一套外部系統(tǒng)的用戶管理接口，它允許用戶使用實現(xiàn)此接口的業(yè)務系統(tǒng)來進行用戶數(shù)據(jù)的管理，而將本身變?yōu)橐惶讓τ脩魯?shù)據(jù)進行同步、梳理、分發(fā)工作的自動處理系統(tǒng)。

· 靈活可控的業(yè)務系統(tǒng)數(shù)據(jù)同步機制：
    UAP-U為用戶提供了一整套靈活的業(yè)務系統(tǒng)同步機制，該機制由數(shù)據(jù)同步事件攔截器與屬性訂閱服務兩部分組成。

· 對于企業(yè)組織機構屬性的完善支持：
    通過UAP-U實現(xiàn)組織機構管理后，業(yè)務系統(tǒng)可以通過訂閱、查詢接口獲得{zx1}的組織機構信息，當人員、機構發(fā)生變更時，可以實現(xiàn)一次修改，全部生效的使用效果。如銷售部的人員發(fā)生了變化，管理員在UAP-U或數(shù)據(jù)源中修改了該組織機構的用戶屬性，OA系統(tǒng)同步接收組織機構信息后，流轉中的公文即可按照修改后的上下級關系進行。

    另外，在日常工作中，經(jīng)常出現(xiàn)企業(yè)內“兼職”的情況。如某分公司經(jīng)理同時隸屬于集團總部內的某個上層部門，或者某項目經(jīng)理同時隸屬于多個開發(fā)部門。

    目前主流的用戶管理系統(tǒng)對這類用戶的屬性管理是十分薄弱的。UAP-U針對這一薄弱環(huán)節(jié)，結合用戶的日常使用流程，為用戶提供了更為靈活的用戶屬性管理。

    如當某個用戶單獨存在時，他只具有基本屬性，但當他在銷售部門時，會與銷售部門的屬性結合，得到“銷售部經(jīng)理”這個新的屬性。當該用戶進入產品部時，會與產品部門的屬性結合，得到“產品市場顧問”這一屬性。

    基于上述原理，UAP-U統(tǒng)一用戶管理平臺實現(xiàn)了一套靈活組合用戶屬性和部門屬性的管理和實現(xiàn)機制。

· 豐富的適配器，支持主流企業(yè)應用數(shù)據(jù)源：
    為了更好地適應企業(yè)業(yè)務系統(tǒng)，減少定制環(huán)節(jié)，UAP-U統(tǒng)一用戶管理平臺除了支持定制WebService接口形式的數(shù)據(jù)同步外，默認還實現(xiàn)了與Oracle、DB2、SQLServer、MySQL等主流數(shù)據(jù)庫，并實現(xiàn)了AD/LDAP協(xié)議，可與其他系統(tǒng)中提供的數(shù)據(jù)目錄進行對接。

· 便捷可靠的運維方式： 對于企業(yè)來說，一套系統(tǒng)的建立成本不僅在于建設時的成本，其中也包含著建設中與建設后的維護成本。UAP-U統(tǒng)一用戶管理平臺在設置時已經(jīng)為用戶考慮過日后的維護問題，并將主要問題歸類，并提出了相應的解決方案。

· 便利的新增業(yè)務系統(tǒng)接入流程
    UAP-U對新業(yè)務系統(tǒng)良好的支撐性將得到體現(xiàn)，該平臺為業(yè)務系統(tǒng)提供了多種獲取用戶數(shù)據(jù)的方式，標準的WebService訂閱接口、通用的LDAP企業(yè)目錄或者直接向業(yè)務系統(tǒng)的數(shù)據(jù)庫中寫入數(shù)據(jù)等。

    同時，利用UAP-U統(tǒng)一用戶管理平臺可控的數(shù)據(jù)隊列，可以方便地為不同同步水平的業(yè)務系統(tǒng)單獨建立數(shù)據(jù)自己的增量數(shù)據(jù)通道。

· 運維操作自動通知機制
    在UAP-U中完成各種模型和策略的配置后，UAP-U統(tǒng)一用戶管理平臺便可自動運轉，管理員除了調整策略和記錄審計之外幾乎無需關注UAP-U的管理平臺。當系統(tǒng)發(fā)生異常時， UAP-U統(tǒng)一用戶管理平臺支持發(fā)送電子郵件的方式通知管理員系統(tǒng)發(fā)生了何種異常，同時，根據(jù)三員分立的原則，管理員還可以設定當系統(tǒng)發(fā)生何種類型的異常時去通知指定的管理員進行處理。目前UAP-U統(tǒng)一用戶管理平臺支持中國電信的“SMGP”短信發(fā)送協(xié)議。與郵件相比，短信具有更強的實時性。

· 用戶同步隊列容錯處理
    UAP-U的數(shù)據(jù)隊列處理方式更符合生產流程，當用戶數(shù)據(jù)在隊列處理過程中發(fā)生異常時，隊列會把該數(shù)據(jù)放置到待處理隊列中，同時當前數(shù)據(jù)處理隊列繼續(xù)向下推進。

    管理員在收到系統(tǒng)發(fā)出的異常處理提醒后，可在管理員平臺中找到發(fā)生異常的數(shù)據(jù)，并可根據(jù)實際情況對該數(shù)據(jù)進行修正，修正解決用戶數(shù)據(jù)的異常后，管理員可以將該數(shù)據(jù)重新退回到原有數(shù)據(jù)隊列中，繼續(xù)進行它本來預定的流程。

· 安全的體系設計：
    在實際運用中，選擇使用統(tǒng)一用戶管理系統(tǒng)的用戶同時還會選用選擇統(tǒng)一用戶認證系統(tǒng)，通過兩個系統(tǒng)的結合，達到統(tǒng)一用戶和權限管理，統(tǒng)一用戶認證方式的安全需求。

    上述需求不僅是企業(yè)對網(wǎng)絡安全建設的更高期許，在保密單位中更是一種強制的信息安全管理要求。

    經(jīng)過多年在軍工、航天、金融等領域內的時間經(jīng)驗，秉承著對信息安全的執(zhí)著追求，UAP-U統(tǒng)一用戶管理平臺具備一般統(tǒng)一認證管理系統(tǒng)
所不具備的安全標準管理：

三員分立式管理：
管理員：負責系統(tǒng)配置及安全策略設置；
用戶管理員：負責用戶信息及數(shù)據(jù)同步訂閱管理；
安全審計員：負責日志記錄的維護與管理；

詳實的日志審計：
用戶日志：詳實記錄每個用戶修改屬性的前后情況，發(fā)生時間等信息。
管理員日志：詳實記錄管理員每個操作的前后情況以及發(fā)生的時間等信息。
系統(tǒng)日志：記錄著系統(tǒng)運行過程中發(fā)生的事件。

    另外，在結合UAP-G網(wǎng)關或UAP-S統(tǒng)一認證系統(tǒng)時，可為用戶提供符合保密標準的統(tǒng)一用戶管理與認證服務。

    UAP-U本身提供的統(tǒng)一密碼管理功能在管理用戶密碼的同時，也會對密碼進行強度驗證、定期修改等安全控制。

    對于智能卡認證的用戶，UAP-U統(tǒng)一用戶管理平臺同樣會在用戶屬性下發(fā)時告知業(yè)務系統(tǒng)此用戶下次修改PIN碼的時間或其他安全性要求。在結合認證產品后，還可為其提供認證信息以及授權信息，真正做到統(tǒng)一管理、統(tǒng)一授權、統(tǒng)一認證。

· 統(tǒng)一認證及訪問控制系統(tǒng)的無縫結合： 單純的統(tǒng)一用戶管理系統(tǒng)只能為用戶建立一種規(guī)范，以及基于此規(guī)范進行用戶數(shù)據(jù)的轉換、整理和存儲服務。它在內網(wǎng)中最主要的作用是為其他業(yè)務系統(tǒng)一共標準、可信的用戶信息數(shù)據(jù)。

    在完成統(tǒng)一用戶管理平臺的建設后，企業(yè)往往會有這樣的需求：在一個固定的位置處理用戶的認證請求，并且根據(jù)認證后獲得的權限來訪問內部網(wǎng)絡中的業(yè)務系統(tǒng)。

    針對上述需求，時代億信專門為企業(yè)提供了“統(tǒng)一用戶管理、統(tǒng)一身份認證、統(tǒng)一訪問授權”的整體安全解決方案。

UAP-U 統(tǒng)一用戶管理平臺產品規(guī)格
可管理用戶數(shù)大于10萬
可管理組織機構數(shù)大于1萬
可同步訂閱的應用系統(tǒng)數(shù)大于200
可管理的權限模型數(shù)大于2000

UAP-U 統(tǒng)一用戶管理平臺產品方案
    時代億信認證訪問控制墻認證訪問控制墻是一款提供認證和訪問控制的硬件設備，為企業(yè)B/S和C/S業(yè)務系統(tǒng)、網(wǎng)絡設備、主機、數(shù)據(jù)庫等企業(yè)資源，提供高性能的安全認證、統(tǒng)一接入、訪問控制、安全管理、安全審計服務。產品能夠滿足不同企業(yè)集中認證、訪問控制和安全管理的需求。

    認證訪問控制墻通過網(wǎng)絡層和應用層聯(lián)動，采用網(wǎng)絡層協(xié)議分析與應用層訪問策略相結合的訪問控制技術，形成用戶信息、協(xié)議號、目的IP地址、目的端口的用戶身份動態(tài)資源訪問控制策略；在不改動用戶應用的前提下，通過協(xié)議分析，實現(xiàn)資源的細粒度訪問控制；使用流量限速的差異化訪問技術，克服傳統(tǒng)只能針對應用進行QoS設定的缺陷，實現(xiàn)了用戶身份與應用綁定的流量控制功能，提高系統(tǒng)性能；同時，本產品可應用到WLAN無線和3G網(wǎng)絡，實現(xiàn)基于無線網(wǎng)絡的統(tǒng)一認證與訪問控制。本產品已在中國電信總部OA統(tǒng)一認證與訪問控制工程、中央國債統(tǒng)一認證及訪問控制工程等項目中成功使用。

    認證訪問控制墻著眼于應用層和網(wǎng)絡層兩個層面的認證與訪問控制聯(lián)動，為電信級企業(yè)或集團的各類用戶和應用系統(tǒng)、主機、網(wǎng)絡設備等資源提供高性能的安全認證服務、安全接入與訪問控制服務、安全管理服務、安全審計服務。

    時代億信推出的認證訪問控制墻，是當前市場中{wy}整合了CA、動態(tài)口令、短信認證等多種身份認證技術、應用動態(tài)加密通道、網(wǎng)絡流量差異化服務、網(wǎng)絡層訪問控制、應用代理、信息中轉和推送、協(xié)議分析、URL重寫、內容過濾、內容重寫、端到端加密通道、服務器插件信息提取等多項關鍵技術，綜合提供身份統(tǒng)一管理、角色統(tǒng)一管理、資源統(tǒng)一管理、授權統(tǒng)一管理、身份統(tǒng)一認證、訪問控制等功能的產品，能有效整合各種應用系統(tǒng)用戶資源，增強應用資源安全性，提高工作效率，降低溝通成本，是對多種信息安全技術、身份認證技術和訪問控制技術的綜合應用，可廣泛滿足用戶的多種需求，而無須進行二次開發(fā)，快速部署和應用。