【正文】 5)對(duì)登錄后用戶行為的審計(jì)。對(duì)登錄過(guò)程的審計(jì)。其中具體的審計(jì)功能和內(nèi)容主要包括以下部分：對(duì)賬號(hào)分配情況的審計(jì)。它可以在已實(shí)現(xiàn)和已部署的應(yīng)用外執(zhí)行額外安全邏輯，也可以與沒(méi)有實(shí)現(xiàn)安全的新應(yīng)用集成。在返回路徑上，安全服務(wù)代理將結(jié)果從服務(wù)使用的協(xié)議和格式轉(zhuǎn)換為客戶要求的協(xié)議和格式。在Web服務(wù)器上，沒(méi)有通過(guò)認(rèn)證和授權(quán)的請(qǐng)求將被拒絕，因此不會(huì)占用應(yīng)用的額外周期。安全策略及其實(shí)現(xiàn)細(xì)節(jié)是在應(yīng)用外部實(shí)施的，因此可以修改，而不會(huì)影響應(yīng)用。例如，對(duì)于沒(méi)有或有很少安全措施的應(yīng)用，必須提供合適的認(rèn)證和授權(quán)。SAML組件關(guān)系圖如下：SAML組件關(guān)系圖 集中認(rèn)證系統(tǒng)主要功能集中認(rèn)證系統(tǒng)的主要功能包括：支持多種認(rèn)證方式，包括用戶名/口令、數(shù)字證書(shū)、Windows域認(rèn)證和通行碼，并且為其他認(rèn)證技術(shù)留有接口；支持多種認(rèn)證協(xié)議，包括支持?jǐn)?shù)字證書(shū)認(rèn)證的SSL協(xié)議， Windows域認(rèn)證，SAML協(xié)議等；支持單點(diǎn)登錄支持會(huì)話管理管理用戶的認(rèn)證憑證信息，如數(shù)字證書(shū)等；制定身份認(rèn)證的安全策略，如定義認(rèn)證模式和安全等級(jí)等；認(rèn)證系統(tǒng)模塊管理，如對(duì)應(yīng)用認(rèn)證網(wǎng)關(guān)的管理等。例如，旅游網(wǎng)站允許用戶不必進(jìn)行多次登錄即可預(yù)訂機(jī)票和租車(chē)。任何符合SAML的軟件然后都可以斷言對(duì)用戶或數(shù)據(jù)的認(rèn)證。SAML與其它安全性方法的最大區(qū)別在于它以有關(guān)多個(gè)主體的斷言的形式來(lái)表述安全性。 SAML協(xié)議2003年初，OASIS小組批準(zhǔn)了安全性斷言標(biāo)記語(yǔ)言（Security Assertion Markup Language，SAML）規(guī)范。用戶登錄域的過(guò)程即是活動(dòng)目錄認(rèn)證用戶的過(guò)程，具體過(guò)程如下: 登錄到域的驗(yàn)證過(guò)程，對(duì)于不同的驗(yàn)證協(xié)議也有不同的驗(yàn)證方法。1)本地用戶賬號(hào)采用本地用戶賬號(hào)登錄，系統(tǒng)會(huì)通過(guò)存儲(chǔ)在本機(jī)SAM數(shù)據(jù)庫(kù)中的信息進(jìn)行驗(yàn)證。 SSL可以使用RCDES等多種加密算法，從保護(hù)機(jī)制上來(lái)講，是比較完善的。 身份認(rèn)證相關(guān)協(xié)議身份認(rèn)證管理支持的身份認(rèn)證協(xié)議有：1)SSL協(xié)議。 通行碼認(rèn)證通行碼是集中認(rèn)證管理支持的一種特有認(rèn)證方式，用戶忘記其他認(rèn)證信息時(shí)，可以向管理員申請(qǐng)一次性使用的口令進(jìn)行身份認(rèn)證。 Windows域認(rèn)證Windows域是一種應(yīng)用層的用戶及權(quán)限集中管理技術(shù)。 數(shù)字證書(shū)認(rèn)證數(shù)字證書(shū)是目前最常用一種比較安全的身份認(rèn)證技術(shù)。并和認(rèn)證中心保存的用戶信息進(jìn)行比對(duì)。 身份認(rèn)證方式集中認(rèn)證管理系統(tǒng)支持多種身份認(rèn)證方式，包括：1)用戶名/口令2)數(shù)字證書(shū)3)Windows域認(rèn)證4)通行碼集中認(rèn)證管理同時(shí)支持上述四種認(rèn)證方式，也可以根據(jù)用戶的需求對(duì)用戶登錄認(rèn)證方式進(jìn)行擴(kuò)展。 集中認(rèn)證管理集中認(rèn)證管理為企業(yè)的IT系統(tǒng)提供統(tǒng)一的身份認(rèn)證，是企業(yè)安全門(mén)戶入口，只有安全的認(rèn)證機(jī)制才可以保證企業(yè)大門(mén)不被非法人員進(jìn)入；在整個(gè)認(rèn)證系統(tǒng)中其服務(wù)的對(duì)象包括企業(yè)接入統(tǒng)一認(rèn)證平臺(tái)的所有業(yè)務(wù)系統(tǒng)、管理系統(tǒng)和應(yīng)用系統(tǒng)等，統(tǒng)一認(rèn)證系統(tǒng)能夠提供快速、高效和安全的服務(wù)，應(yīng)用系統(tǒng)接入改造小，系統(tǒng)具有靈活的擴(kuò)展性、高可用性。針對(duì)繼承方式，如下定義：1)單繼承： 角色A繼承于角色B ，則 A擁有B所有的權(quán)限。2)基于應(yīng)用系統(tǒng)和資源的授權(quán)：對(duì)于某一選定應(yīng)用（或其包含的功能、功能組），管理員可以授權(quán)為其指派訪問(wèn)資源（用戶、組、角色） 細(xì)粒度授權(quán)Function1Function2Function4Function5…Function 功能組功能組用戶1用戶2角色1角色2角色…應(yīng)用系統(tǒng)傳統(tǒng)意義中的粗粒度授權(quán)是以某一應(yīng)用系統(tǒng)為標(biāo)準(zhǔn)，將應(yīng)用系統(tǒng)那個(gè)授權(quán)于某一個(gè)人、某一機(jī)構(gòu)（組織）、某一類角色；而對(duì)于應(yīng)用系統(tǒng)下的模塊無(wú)法做到授權(quán)，所以，粗粒度授權(quán)在統(tǒng)一信任系統(tǒng)中，無(wú)法做到應(yīng)用系統(tǒng)的內(nèi)部授權(quán)機(jī)制，導(dǎo)致簡(jiǎn)單的訪問(wèn)控制授權(quán)無(wú)法滿足業(yè)務(wù)系統(tǒng)的精細(xì)化管理，為了滿足企業(yè)的細(xì)致化訪問(wèn)控制，需要打破傳統(tǒng)授權(quán)模式，增加新的授權(quán)機(jī)制，即要實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制授權(quán)。資源的定義主要是方便人員、組織、角色授權(quán)時(shí)候的對(duì)象指定，最終經(jīng)過(guò)授權(quán)實(shí)現(xiàn)，什么樣的人員、組織、角色能訪問(wèn)應(yīng)用系統(tǒng)的那些功能。目標(biāo)是在以后授權(quán)模式中通過(guò)對(duì)產(chǎn)品工程師角色授權(quán)，而包含產(chǎn)品工程師的角色就會(huì)一次性獲得授權(quán)，這樣方便管理，同時(shí)也是簡(jiǎn)化了授權(quán)的操作。集中授權(quán)還可以依賴于應(yīng)用系統(tǒng)為管理對(duì)象，然后針對(duì)該應(yīng)用系統(tǒng)給人、組織、角色授予相應(yīng)訪問(wèn)和操作權(quán)限，最終把應(yīng)用系統(tǒng)和人進(jìn)行權(quán)限關(guān)聯(lián)，合理、有效地的訪問(wèn)控制策略，保證了什么樣的應(yīng)用系統(tǒng)和資源，能讓怎樣的人、組織、角色進(jìn)行訪問(wèn)。集中授權(quán)的過(guò)程，就是集中對(duì)用戶（組/角色）通過(guò)何種方式（證書(shū)/口令）使用某種資源（應(yīng)用/功能）的權(quán)限的分配。以滿足更多用戶對(duì)于集中證書(shū)管理的擴(kuò)展性需求。3)支持多種CA建設(shè)模式4)多RA集中管理在一個(gè)企業(yè)內(nèi)，根據(jù)證書(shū)應(yīng)用的需求，存在根CA下有多個(gè)子CA，即存在多個(gè)RA。2)證書(shū)生命周期管理通過(guò)集中證書(shū)管理功能可實(shí)現(xiàn)對(duì)所制證書(shū)進(jìn)行證書(shū)的生命周期管理，主要包括：證書(shū)的查詢、吊銷等，同時(shí)還可以實(shí)現(xiàn)對(duì)證書(shū)有效性的檢查。 集中證書(shū)管理集中證書(shū)管理功能主要是針對(duì)用戶的CA系統(tǒng)，包括：1)證書(shū)申請(qǐng)2)證書(shū)制作3)證書(shū)生命周期管理（有效期、審核、頒發(fā)、吊銷、更新、查詢、歸檔）4)證書(shū)有效性檢查 集中證書(shū)管理功能集支持多種CA建設(shè)模式（自建和第三方服務(wù)）、多RA 集中管理、擴(kuò)展性強(qiáng)等特性，從技術(shù)上及管理上以靈活的實(shí)現(xiàn)模式滿足用戶對(duì)證書(shū)集中管理的迫切需求，解決管理員對(duì)多平臺(tái)進(jìn)行操作及維護(hù)困難的問(wèn)題。可以通過(guò)企業(yè)內(nèi)部已有的人員信息管理系統(tǒng)當(dāng)中根據(jù)策略進(jìn)行讀寫(xiě)操作，目前主要支持以下數(shù)據(jù)源類型：Windows Active Directory（AD）OpenLdapIBM Directory Server（IDS） 用戶生命周期管理用戶生命周期，主要關(guān)注的是用戶的入職、用戶賬戶創(chuàng)建、用戶身份標(biāo)識(shí)（數(shù)字證書(shū)的頒發(fā)）、用戶屬性變更、用戶賬戶注銷、用戶帳戶歸檔等流程的自動(dòng)化管理，這一管理流程又可稱為用戶生命周期管理，如下圖所示：由于要賦予用戶可信的身份標(biāo)識(shí)，所以需要通過(guò)數(shù)字證書(shū)認(rèn)證的方式來(lái)實(shí)現(xiàn)，在用戶生命周期管理過(guò)程中圍繞用戶包含了基于帳戶的生命周期和數(shù)字證書(shū)的生命周期管理的內(nèi)容。用戶認(rèn)證信息管理用戶的認(rèn)證方式及各種認(rèn)證方式對(duì)應(yīng)的認(rèn)證信息，如用戶名/口令，數(shù)字證書(shū)等。用戶標(biāo)識(shí)不同于員工號(hào)或身份證號(hào)，需要建立相應(yīng)的編碼規(guī)范。人又可再分為：?jiǎn)T工、外部用戶。隨著企業(yè)的網(wǎng)絡(luò)基礎(chǔ)建設(shè)的不斷完善和應(yīng)用系統(tǒng)建設(shè)的不斷擴(kuò)展，在信息化促進(jìn)業(yè)務(wù)加速發(fā)展的同時(shí)，企業(yè)信息化規(guī)模也在迅速擴(kuò)大以滿足業(yè)務(wù)的發(fā)展需要，更多的人員被融入信