【正文】 c) 提供統(tǒng)一和多樣化的認證策略集中認證管理針對不同的認證方式，提供了統(tǒng)一的策略控制，各個應用系統(tǒng)也可以根據(jù)自身的需要進行個性化的策略設置，根據(jù)應用或用戶類型的需求，設置個性化的認證策略，提高應用系統(tǒng)的分級管理安全。企業(yè)的不同業(yè)務系統(tǒng)的安全級別不同,使用環(huán)境不同，用戶的習慣和操作熟練程度不同，集中認證管理可以針對這些不同的應用特點提供不同的認證手段。. 集中認證管理特點a) 提供多因素認證服務d) 循環(huán)繼承：角色循環(huán)繼承時，系統(tǒng)內(nèi)部自行處理，在循環(huán)處于環(huán)路，則繼承自動斷開。多繼承A擁有B所有的權限。角色A繼承于角色Ba) 單繼承：這樣可以保證應用系統(tǒng)權限合理管控，而不會因為角色繼承導致權限失去控制。而將資源管理模塊細粒度化，則是將應用模塊拆分成單個的功能模塊，某幾個功能模塊又可以組合成一個功能組，在授權時，針對某一應用模塊中的功能或功能組模塊進行權限分配。對于某一選定應用（或其包含的功能、功能組），管理員可以授權為其指派訪問資源（用戶、組、角色）細粒度授權：傳統(tǒng)意義中的粗粒度授權是以某一應用系統(tǒng)為標準，將應用系統(tǒng)那個授權于某一個人、某一機構（組織）、某一類角色；而對于應用系統(tǒng)下的模塊無法做到授權，所以，粗粒度授權在統(tǒng)一信任系統(tǒng)中，無法做到應用系統(tǒng)的內(nèi)部授權機制，導致簡單的訪問控制授權無法滿足業(yè)務系統(tǒng)的精細化管理，為了滿足企業(yè)的細致化訪問控制，需要打破傳統(tǒng)授權模式，增加新的授權機制，即要實現(xiàn)細粒度的訪問控制授權。對于屬于某一組/角色的用戶，管理員可以為其授權于可訪問的應用系統(tǒng)和資源（應用系統(tǒng)的功能）。也就是中細粒度授權所需要的涉及的內(nèi)容。資源定義，主要是應用系統(tǒng)下具備的每一功能模塊，所有的功能模塊統(tǒng)稱為資源。比如，針對OA應用系統(tǒng)和結合人力資源架構定義“總監(jiān)”，那么根據(jù)OA系統(tǒng)給總監(jiān)的工作操作權限，那么以后授權中，只要存在應用系統(tǒng)對總監(jiān)所具備的功能，經(jīng)過系統(tǒng)授權后均可以按照總監(jiān)的角色進行應用訪問。目標是在以后授權模式中通過對產(chǎn)品工程師角色授權，而包含產(chǎn)品工程師的角色就會一次性獲得授權，這樣方便管理，同時也是簡化了授權的操作。角色定義，主要是基于用戶組角色和應用系統(tǒng)角進行角色定義。通過以上兩種方模式，可以對企業(yè)內(nèi)部的人員、應用系統(tǒng)和資源進行合理的管理和控制，有效地解決企業(yè)內(nèi)部信息資源的權限管理，最終實現(xiàn)，正確的人做正確的事情，而非授權人員不得進入企業(yè)內(nèi)部任何系統(tǒng)，從而保證企業(yè)應用系統(tǒng)數(shù)據(jù)的安全，保護企業(yè)的資產(chǎn)。集中授權的最大特點，就是集中在一個接口對組/角色進行資源的合理分配。b) 應用系統(tǒng)的獨立性：各種應用系統(tǒng)都使用獨立的登錄方式，員工需要記憶所有應用系統(tǒng)的帳號、密碼等，逐一登錄，給工作帶來極大的困擾，特別是對工作效率影響非常大，甚至簡化記憶問題，所有應用系統(tǒng)統(tǒng)一使用相同的密碼，由此為黑客或者木馬程序提供機會，而對應用系統(tǒng)的安全防護帶來極大地威脅。a) 系統(tǒng)權限分散：人員的流動及職位的變更，需要更改人員的系統(tǒng)使用權限，而多個系統(tǒng)權限的分散，使管理員工作量增加，且容易帶來安全漏洞。以滿足更多用戶對于集中證書管理的擴展性需求。集中證書管理功能除了實現(xiàn)集中制證、證書生命周期管理功能，以及具有多RA管理、支持用戶CA系統(tǒng)的自建和服務模式的特點，還具有靈活的擴展性。在一個企業(yè)內(nèi)，根據(jù)證書應用的需求，存在根CA下有多個子CA，即存在多個RA。支持多種CA建設模式用戶通過認證，正常進入應用系統(tǒng)。服務檢查證書信息，若有效，將有效值返回“證書管理模塊”（若無效將值返回“證書管理模塊”）“證書管理模塊”將有效值返回“登錄門戶”，用戶通過認證?！暗卿涢T戶”；證書生命周期管理Key,。CA系統(tǒng)簽發(fā)數(shù)字證書并返回給管理員；a. 集中制證集中管理、擴展性強等特性，從技術上及管理上以靈活的實現(xiàn)模式滿足用戶對證書集中管理的迫切需求，解決管理員對多平臺進行操作及維護困難的問題。c) 證書生命周期管理（有效期、審核、頒發(fā)、吊銷、更新、查詢、歸檔）5） 集中證書管理集中證書管理功能主要是針對用戶的CA系統(tǒng)，包括：a) 證書申請管理系統(tǒng)作為用戶信息維護的主要入口，可以由人力資源部門的相應人員執(zhí)行用戶賬戶的創(chuàng)建、修改、刪除、編輯、查詢、以及數(shù)字證書的發(fā)放。數(shù)字證書主要是與用戶的主賬戶標識進行唯一綁定，在用戶帳戶的使用和屬性變更過程中數(shù)字證書不需要發(fā)生任何改變，唯有在用戶帳戶進行注銷和歸檔過程中，與其相匹配的數(shù)字證書也同樣需要進行吊銷和歸檔操作。Directoryb) OpenLdapActive可以通過中心內(nèi)部已有的人員信息管理系統(tǒng)當中根據(jù)策略進行讀寫操作，目前主要支持以下數(shù)據(jù)源類型：授權信息是對用戶使用各系統(tǒng)的訪問策略，給用戶賦予系統(tǒng)中的角色和其它屬性。用戶認證信息管理用戶的認證方式及各種認證方式對應的認證信息，如用戶名/口令，數(shù)字證書等?；诜謾唷⒎旨壍墓芾硇枰?，用戶身份信息需要將用戶信息按照所屬機構和崗位級別進行分類，便于劃分安全管理域，將用戶信息集中存儲在總部，以及管理域的劃分。用戶基本信息保存用戶最主要的信息屬性，由于其它系統(tǒng)中，如HR中還保留有用戶更完整的信息，因此需要建立與這些系統(tǒng)的中信息的對照關系，所以需要保存用戶在這些系統(tǒng)中用戶信息的索引，便于關聯(lián)查詢。為了保證用戶身份的真實、有效性，可以通過數(shù)字證書認證的方式進行身份鑒別并與用戶身份標識進行唯一對應。用戶身份標識是統(tǒng)一用戶管理系統(tǒng)內(nèi)部使用的標識，用于識別所有用戶的身份信息。人又可再分為：員工、外部用戶。：用戶使用或管理的對象，主要是指應用系統(tǒng)及應用系統(tǒng)下具體功能：與具體角色對應，每一個應用系統(tǒng)內(nèi)部設置的用戶賬號，在統(tǒng)一信任管理平臺中每個主賬號可以擁有多個從帳號，也就是多種身份角色（即一個日然人在企業(yè)內(nèi)部具備多套應用系統(tǒng)賬號）：與自然人唯一對應的身份標識，一個主賬號只能與一個自然人對應，而一個自然人可能存在多個主賬號：自然人，包括自然人身份和相關信息. 管理服務對象集中用戶管理主要面向企業(yè)內(nèi)外部的人、資源等進行管理和提供服務，具體對象可以分為以下幾類：隨著企業(yè)的網(wǎng)絡基礎建設的不斷完善和應用系統(tǒng)建設的不斷擴展，在信息化促進業(yè)務加速發(fā)展的同時，企業(yè)信息化規(guī)模也在迅速擴大以滿足業(yè)務的發(fā)展需要，更多的人員被融入信息化環(huán)境，由此突出反映的事件是無論是網(wǎng)絡系統(tǒng)、業(yè)務系統(tǒng)、辦公系統(tǒng)，其最終的主體將是企業(yè)內(nèi)外的人員，每一為人員承擔著使用、管理、授權、應用操作等角色。c. 警告協(xié)議：這個協(xié)議用于標示在什么時候發(fā)生了錯誤或兩個主機之間的會話在什么時候終止。應用程序消息被分割成可管理的數(shù)據(jù)塊，還可以壓縮，并產(chǎn)生一個MAC（消息認證代碼），然后結果被加密并傳輸。當一個SSL客戶機和服務器第一次開始通信時，它們在一個協(xié)議版本上達成一致，選擇加密算法和認證方式，并使用公鑰技術來生成共享密鑰。. 安全通道提供的安全通道是利用數(shù)字簽名進行身份認證，采用數(shù)字信封進行信息加密的基于SSL協(xié)議的安全通道產(chǎn)品，實現(xiàn)了服務器端和客戶端嵌入式的數(shù)據(jù)安全隔離機制。如果用戶在用戶信息庫中被刪除，則其相應的授權信息也將被刪除。緊耦合方式提供多種API，通過簡單調(diào)用即可實現(xiàn)單點登錄（SSO）。反向