【文章內(nèi)容簡(jiǎn)介】 為沒有中止用戶應(yīng)用權(quán)限而遭受安全風(fēng)險(xiǎn)。通過集中授權(quán)的管理模式，有效地屏蔽了傳統(tǒng)授權(quán)中存在的弊端，提高了管理效率，為企業(yè)營造一個(gè)安全、便捷的系統(tǒng)安全、可信的辦公環(huán)境。 集中授權(quán)管理對(duì)象集中授權(quán)主要是依賴于人，由授權(quán)系統(tǒng)管理者根據(jù)人的組織屬性、角色屬性，進(jìn)行對(duì)應(yīng)應(yīng)用系統(tǒng)和資源的授權(quán)分配，從保證人與應(yīng)用系統(tǒng)之間使用權(quán)限關(guān)系，最終實(shí)現(xiàn)，什么樣的人、組織、角色能訪問哪些應(yīng)用系統(tǒng)和資源。集中授權(quán)還可以依賴于應(yīng)用系統(tǒng)為管理對(duì)象，然后針對(duì)該應(yīng)用系統(tǒng)給人、組織、角色授予相應(yīng)訪問和操作權(quán)限，最終把應(yīng)用系統(tǒng)和人進(jìn)行權(quán)限關(guān)聯(lián)，合理、有效地的訪問控制策略，保證了什么樣的應(yīng)用系統(tǒng)和資源，能讓怎樣的人、組織、角色進(jìn)行訪問。組：包括按照公司組織架構(gòu)或特定功能劃分的部門、工作組及個(gè)人用戶通過以上兩種方模式，可以對(duì)企業(yè)內(nèi)部的人員、應(yīng)用系統(tǒng)和資源進(jìn)行合理的管理和控制，有效地解決企業(yè)內(nèi)部信息資源的權(quán)限管理，最終實(shí)現(xiàn)，正確的人做正確的事情，而非授權(quán)人員不得進(jìn)入企業(yè)內(nèi)部任何系統(tǒng)，從而保證企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)的安全，保護(hù)企業(yè)的資產(chǎn)。在集中授權(quán)管理系統(tǒng)系統(tǒng)中需要明確以下概念：角色定義，主要是基于用戶組角色和應(yīng)用系統(tǒng)角進(jìn)行角色定義?；谟脩艚M的角色定義可理解為在組織結(jié)構(gòu)下定義用戶角色，比如在技術(shù)部門下定義產(chǎn)品工程師角色。目標(biāo)是在以后授權(quán)模式中通過對(duì)產(chǎn)品工程師角色授權(quán)，而包含產(chǎn)品工程師的角色就會(huì)一次性獲得授權(quán)，這樣方便管理，同時(shí)也是簡(jiǎn)化了授權(quán)的操作?；趹?yīng)用系統(tǒng)定義角色，即按照該應(yīng)用系統(tǒng)下的用戶職能進(jìn)行定義。比如，針對(duì)OA應(yīng)用系統(tǒng)和結(jié)合人力資源架構(gòu)定義“總監(jiān)”，那么根據(jù)OA系統(tǒng)給總監(jiān)的工作操作權(quán)限，那么以后授權(quán)中，只要存在應(yīng)用系統(tǒng)對(duì)總監(jiān)所具備的功能，經(jīng)過系統(tǒng)授權(quán)后均可以按照總監(jiān)的角色進(jìn)行應(yīng)用訪問。資源定義，主要是應(yīng)用系統(tǒng)下具備的每一功能模塊，所有的功能模塊統(tǒng)稱為資源。資源的定義主要是方便人員、組織、角色授權(quán)時(shí)候的對(duì)象指定，最終經(jīng)過授權(quán)實(shí)現(xiàn)，什么樣的人員、組織、角色能訪問應(yīng)用系統(tǒng)的那些功能。也就是中細(xì)粒度授權(quán)所需要的涉及的內(nèi)容。..................定義權(quán)限（某些角色/組享有系統(tǒng)應(yīng)用的哪些權(quán)限） 集中授權(quán)的工作原理……..……..通過口令、證書等執(zhí)行對(duì)權(quán)限的調(diào)用…………….通過授權(quán)管理模塊的定義，對(duì)相應(yīng)權(quán)限進(jìn)行調(diào)用…………….系統(tǒng)中所有應(yīng)用資源的集合授權(quán)管理模塊角色模塊組模塊資源管理模塊授權(quán)訪問控制模塊 集中授權(quán)模式 1)基于組/角色的訪問授權(quán)：對(duì)于屬于某一組/角色的用戶，管理員可以為其授權(quán)于可訪問的應(yīng)用系統(tǒng)和資源（應(yīng)用系統(tǒng)的功能）。授權(quán)后組內(nèi)的所有成員均具備該組編輯、查看、分配的權(quán)限。2)基于應(yīng)用系統(tǒng)和資源的授權(quán)：對(duì)于某一選定應(yīng)用（或其包含的功能、功能組），管理員可以授權(quán)為其指派訪問資源（用戶、組、角色） 細(xì)粒度授權(quán)Function1Function2Function4Function5…Function 功能組功能組用戶1用戶2角色1角色2角色…應(yīng)用系統(tǒng)傳統(tǒng)意義中的粗粒度授權(quán)是以某一應(yīng)用系統(tǒng)為標(biāo)準(zhǔn)，將應(yīng)用系統(tǒng)那個(gè)授權(quán)于某一個(gè)人、某一機(jī)構(gòu)（組織）、某一類角色；而對(duì)于應(yīng)用系統(tǒng)下的模塊無法做到授權(quán)，所以，粗粒度授權(quán)在統(tǒng)一信任系統(tǒng)中，無法做到應(yīng)用系統(tǒng)的內(nèi)部授權(quán)機(jī)制，導(dǎo)致簡(jiǎn)單的訪問控制授權(quán)無法滿足業(yè)務(wù)系統(tǒng)的精細(xì)化管理，為了滿足企業(yè)的細(xì)致化訪問控制，需要打破傳統(tǒng)授權(quán)模式，增加新的授權(quán)機(jī)制，即要實(shí)現(xiàn)細(xì)粒度的訪問控制授權(quán)。而將資源管理模塊細(xì)粒度化，則是將應(yīng)用模塊拆分成單個(gè)的功能模塊，某幾個(gè)功能模塊又可以組合成一個(gè)功能組，在授權(quán)時(shí)，針對(duì)某一應(yīng)用模塊中的功能或功能組模塊進(jìn)行權(quán)限分配。 角色的繼承提供了角色授權(quán)模型，在角色權(quán)限分配的管理過程中，角色之間可以實(shí)現(xiàn)多模式繼承，即單繼承、多繼承、動(dòng)態(tài)繼承；多種模式的繼承由系統(tǒng)自動(dòng)完成，但是當(dāng)繼承形成環(huán)路的時(shí)候，則繼承屬性自動(dòng)中斷，保持獨(dú)立的角色屬性。這樣可以保證應(yīng)用系統(tǒng)權(quán)限合理管控，而不會(huì)因?yàn)榻巧^承導(dǎo)致權(quán)限失去控制。針對(duì)繼承方式，如下定義：1)單繼承： 角色A繼承于角色B ，則 A擁有B所有的權(quán)限。2)多繼承角色A繼承于角色B、角色C、角色D，則A同時(shí)擁有B、C、D所有的權(quán)限。3)動(dòng)態(tài)繼承：角色D角色C角色B角色A資源繼承于口令口令/證書證書登入系統(tǒng)口令證書角色A角色B角色C角色A角色C角色D角色A繼承于角色B、角色C、角色D，用戶擁有角色A；角色B的登錄方式為口令；角色C的登錄方式為口令和證書；角色D的登錄方式為證書。4)循環(huán)繼承： 角色A 角色B 角色C 角色D 角色循環(huán)繼承時(shí)，系統(tǒng)內(nèi)部自行處理，在循環(huán)處于環(huán)路，則繼承自動(dòng)斷開。 集中認(rèn)證管理集中認(rèn)證管理為企業(yè)的IT系統(tǒng)提供統(tǒng)一的身份認(rèn)證，是企業(yè)安全門戶入口，只有安全的認(rèn)證機(jī)制才可以保證企業(yè)大門不被非法人員進(jìn)入；在整個(gè)認(rèn)證系統(tǒng)中其服務(wù)的對(duì)象包括企業(yè)接入統(tǒng)一認(rèn)證平臺(tái)的所有業(yè)務(wù)系統(tǒng)、管理系統(tǒng)和應(yīng)用系統(tǒng)等，統(tǒng)一認(rèn)證系統(tǒng)能夠提供快速、高效和安全的服務(wù)，應(yīng)用系統(tǒng)接入改造小，系統(tǒng)具有靈活的擴(kuò)展性、高可用性。 集中認(rèn)證管理特點(diǎn)1)提供多因素認(rèn)證服務(wù)集中認(rèn)證管理可以為多個(gè)不同種類、不同形式的應(yīng)用提供統(tǒng)一的認(rèn)證服務(wù)，不需要應(yīng)用系統(tǒng)獨(dú)立開發(fā)、設(shè)計(jì)認(rèn)證系統(tǒng)，為業(yè)務(wù)系統(tǒng)快速推出新的業(yè)務(wù)和服務(wù)準(zhǔn)備了基礎(chǔ)條件，集中認(rèn)證管理為這些應(yīng)用提供了統(tǒng)一的接入形式。2)提供多種認(rèn)證方式企業(yè)的不同業(yè)務(wù)系統(tǒng)的安全級(jí)別不同,使用環(huán)境不同，用戶的習(xí)慣和操作熟練程度不同，集中認(rèn)證管理可以針對(duì)這些不同的應(yīng)用特點(diǎn)提供不同的認(rèn)證手段。3)提供統(tǒng)一和多樣化的認(rèn)證策略集中認(rèn)證管理針對(duì)不同的認(rèn)證方式，提供了統(tǒng)一的策略控制，各個(gè)應(yīng)用系統(tǒng)也可以根據(jù)自身的需要進(jìn)行個(gè)性化的策略設(shè)置，根據(jù)應(yīng)用或用戶類型的需求，設(shè)置個(gè)性化的認(rèn)證策略，提高應(yīng)用系統(tǒng)的分級(jí)管理安全。 身份認(rèn)證方式集中認(rèn)證管理系統(tǒng)支持多種身份認(rèn)證方式，包括：1)用戶名/口令2)數(shù)字證書3)Windows域認(rèn)證4)通行碼集中認(rèn)證管理同時(shí)支持上述四種認(rèn)證方式，也可以根據(jù)用戶的需求對(duì)用戶登錄認(rèn)證方式進(jìn)行擴(kuò)展。下面首先分別介紹這些認(rèn)證方式，然后介紹認(rèn)證方式與安全等級(jí)。 用戶名/口令認(rèn)證用戶名/口令是最傳統(tǒng)且最普遍的身份認(rèn)證方法，通常采用如下形式：當(dāng)用戶需要訪問系統(tǒng)資源時(shí)，系統(tǒng)提示用戶輸入用戶名和口令。系統(tǒng)采用加密方式或明文方