统一身份管理系统

随着信息化的不断深入，企业的IT 环境变得越来越复杂，为了访问信息和完成相应工作，业务系统用户需要在不同的系统上完成业务工作，企业一方面需要对不用业务系统的用户、权限进行统一动态管理，另一方面也需要对所有系统实现统一的安全策略。天融信推出的统一身份管理系统，通过对企业的用户和系统资源进行集中身份管理、集中认证管理、集中授权管理和集中审计管理，让企业应用系统的访问方式更加简便、安全，大幅提升企业的整体生产力和工作效率。

信息系统中有大量的业务系统，分别属于不同的部门和不同的应用。各系统都有一套独立的账户、认证、授权和审计系统，员工使用不同的业务系统时，需要访问不同的地址、记住多个业务系统的复杂密码；当维护人员同时对多个系统进行维护时，工作复杂度也会成倍增加。

各系统分别管理所属的系统资源，缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，系统的安全性无法得到充分保证。

有些账号多人共用，不仅在发生安全事故后，难于确定账号的实际使用者，而且在平时也难以对账号的扩散范围进行控制，容易造成安全漏洞。

用户经常需要在各个信息系统之间切换，每次从一个系统切换到另一个系统时，都需要输入用户名和口令进行登录，给用户的工作带来不便，影响了工作效率。用户为便于记忆，会采用较简单的口令或采用相同的口令，危害到系统的安全性。

由于各系统的审计也是相互独立的，不但各个系统单独审计，即使同一系统中的每个网络设备、每个主机系统、每个应用系统及每个数据库系统都要分别进行审计，缺乏集中统一的系统访问审计，无法进行综合分析，不能及时发现可能的不安全因素。

·统一的资源访问入口

为集中管理各个应用系统（包括各种C/S应用和B/S应用）

等提供统一的资源访

问入口，可以集中管理、登录各个业务系统。

·集中账号管理

管理员在一点上即可对不同系统中的账号进行管理，不同系统下都能自动收集账号和推送账号，另外账号创建、分配过程均有审计日志。

·集中身份认证

管理员可以根据员工账号和身份信息，选择不同的身份认证方式。可以在不更改或只进行有限更改的情况下，对原有系统增加强身份认证手段，提高系统安全性。

·集中访问授权

对各业务系统进行集中动态授权，防止私自授权或权限收回不及时。在人员离职、岗位变动时，只需要在一处进行更改，即可在所有应用中改变权限。

·集中安全审计

能够对人员的所有操作进行审计，所有审计信息可以关联到行为人，达到实名审计的效果。

·单点登录SSO

员工访问授权资源时，只需要一次性登录集中身份管理系统即可。

·细粒度访问控制

通过集中身份管理系统对用户在各业务系统中的权限进行授权，实现细粒度的授权。

·可扩展运维4A 方案

集中身份管理系统可进行运维4A 扩展，为企业的IT 运维提供4A 的安全支撑。 ·法规遵循

符合SOX 、内控管理条例、等级保护、分级保护等的要求。

部署简单、实施快捷，对绝大部分应用系统可实现即插即用，无需对业务系统进行修改。

·员工生命周期管理

快速适应组织人员变化，缩短管理时间、简化管理流程；对员工的入职、调岗、离职，做到全生命周期的动态、高效、安全管理。

·提高认证强度

可以采用动态口令、CA 证书等高强度双因素认证方式验证身份，提高了各个应用系统的认证强度。

·加固账号漏洞

能够自动化、批量地梳理原有账号，防止共享账号、僵尸账号、弱口令、空闲账号等隐患，确保各业务系统的账号安全；

·细化和强化人员的授权管理

梳理原有IT 系统中的账号和权限关系，建立企业统一的权限管理标准和流程；实现业务行为全程准确监控和审计。

·可扩展性

提供不同的开发API 和标准接口规范供各类应用系统调用和接入；自有可扩展运维4A 模块，提供IT 系统运维管理和审计。

FortiAuthenticator

FortiAuthenticator 系列安全认证是对FortiToken双因子认证令牌进行安全的远程访问的识别与对接。FortiAuthenticator扩展了多个 FortiGate 设备的认证和第三方设备使用

FortiToken 的支持。 FortiAuthenticator 和 FortiToken 一并使用提高成本效率，扩展对整个网络价格的安全认证支持。

产品功能优势

∙

∙

∙

∙

∙

∙ 基于标准的安全认证，与FortiTokens 结合，向任何能够通过RADIUS 或LDAP 认证的第三方设备提供安全的双因子验证。 几分钟内部署到您的网络基础设施实现安全访问。 与现行的验证解决方案如LDAP 或AD 服务器集成，降低添加网络认证的成本和复杂性。 用户自助服务密码重置允许用户没有管理员干预的情况下重置自己的密码，降低管理成本。 证书验证功能简化CA 管理和提供证书或服务器使用双因素认证的用户证书签名，FortiGate 设备VPN X.509 证书。 从FortiGate/ FortiToken升级路径，最大限度地发挥现有的投资和在需要是扩展双因子部署。

发布日期：2012-10-30 文章来源：江南天安 责任编辑：江南天安 1．概述：

用户集中管理包含用户信息集中管理和用户集中授权，是实现“一站式登录”的基础。“一

站式登录”简单说，就是用户通过一次性鉴别登录后，即可获得需访问系统和应用软件的授权，在此条件下，管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制。

2．现状分析

● 用户在各应用中有多个帐号，口令

● 用户信息管理和应用管理相对分离

3．解决方案

● 用户集中管理

● 一站式登录

4．建设结构图

5．组成部分

● 鉴别服务：支持多种鉴别机制，如静态口令、数字证书、动态口令等。

● 授权服务：通过灵活且强大的授权框架来保证只有授权用户具有访问许可。

● 审计服务：记录普通用户及安全管理员的日常活动（谁，在什么时候，什么地方，哪个资源，什么活动）。

6．技术特点

● 层次化分段安全管理模式

● 可分散的管理

● 管理权限控制

● 多重认证方法

● 一次性身份认证

● 强化全机构的安全策略

● 简化的客户管理

● 多重平台支持

● 计日志

● 外部用户账号支持

随着信息化的不断深入，企业的IT 环境变得越来越复杂，为了访问信息和完成相应工作，业务系统用户需要在不同的系统上完成业务工作，企业一方面需要对不用业务系统的用户、权限进行统一动态管理，另一方面也需要对所有系统实现统一的安全策略。天融信推出的统一身份管理系统，通过对企业的用户和系统资源进行集中身份管理、集中认证管理、集中授权管理和集中审计管理，让企业应用系统的访问方式更加简便、安全，大幅提升企业的整体生产力和工作效率。

信息系统中有大量的业务系统，分别属于不同的部门和不同的应用。各系统都有一套独立的账户、认证、授权和审计系统，员工使用不同的业务系统时，需要访问不同的地址、记住多个业务系统的复杂密码；当维护人员同时对多个系统进行维护时，工作复杂度也会成倍增加。

各系统分别管理所属的系统资源，缺乏集中统一的资源授权管理平台，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，系统的安全性无法得到充分保证。

有些账号多人共用，不仅在发生安全事故后，难于确定账号的实际使用者，而且在平时也难以对账号的扩散范围进行控制，容易造成安全漏洞。

用户经常需要在各个信息系统之间切换，每次从一个系统切换到另一个系统时，都需要输入用户名和口令进行登录，给用户的工作带来不便，影响了工作效率。用户为便于记忆，会采用较简单的口令或采用相同的口令，危害到系统的安全性。

由于各系统的审计也是相互独立的，不但各个系统单独审计，即使同一系统中的每个网络设备、每个主机系统、每个应用系统及每个数据库系统都要分别进行审计，缺乏集中统一的系统访问审计，无法进行综合分析，不能及时发现可能的不安全因素。

·统一的资源访问入口

为集中管理各个应用系统（包括各种C/S应用和B/S应用）

等提供统一的资源访

问入口，可以集中管理、登录各个业务系统。

·集中账号管理

管理员在一点上即可对不同系统中的账号进行管理，不同系统下都能自动收集账号和推送账号，另外账号创建、分配过程均有审计日志。

·集中身份认证

管理员可以根据员工账号和身份信息，选择不同的身份认证方式。可以在不更改或只进行有限更改的情况下，对原有系统增加强身份认证手段，提高系统安全性。

·集中访问授权

对各业务系统进行集中动态授权，防止私自授权或权限收回不及时。在人员离职、岗位变动时，只需要在一处进行更改，即可在所有应用中改变权限。

·集中安全审计

能够对人员的所有操作进行审计，所有审计信息可以关联到行为人，达到实名审计的效果。

·单点登录SSO

员工访问授权资源时，只需要一次性登录集中身份管理系统即可。

·细粒度访问控制

通过集中身份管理系统对用户在各业务系统中的权限进行授权，实现细粒度的授权。

·可扩展运维4A 方案

集中身份管理系统可进行运维4A 扩展，为企业的IT 运维提供4A 的安全支撑。 ·法规遵循

符合SOX 、内控管理条例、等级保护、分级保护等的要求。

部署简单、实施快捷，对绝大部分应用系统可实现即插即用，无需对业务系统进行修改。

·员工生命周期管理

快速适应组织人员变化，缩短管理时间、简化管理流程；对员工的入职、调岗、离职，做到全生命周期的动态、高效、安全管理。

·提高认证强度

可以采用动态口令、CA 证书等高强度双因素认证方式验证身份，提高了各个应用系统的认证强度。

·加固账号漏洞

能够自动化、批量地梳理原有账号，防止共享账号、僵尸账号、弱口令、空闲账号等隐患，确保各业务系统的账号安全；

·细化和强化人员的授权管理

梳理原有IT 系统中的账号和权限关系，建立企业统一的权限管理标准和流程；实现业务行为全程准确监控和审计。

·可扩展性

提供不同的开发API 和标准接口规范供各类应用系统调用和接入；自有可扩展运维4A 模块，提供IT 系统运维管理和审计。

FortiAuthenticator

FortiAuthenticator 系列安全认证是对FortiToken双因子认证令牌进行安全的远程访问的识别与对接。FortiAuthenticator扩展了多个 FortiGate 设备的认证和第三方设备使用

FortiToken 的支持。 FortiAuthenticator 和 FortiToken 一并使用提高成本效率，扩展对整个网络价格的安全认证支持。

产品功能优势

∙

∙

∙

∙

∙

∙ 基于标准的安全认证，与FortiTokens 结合，向任何能够通过RADIUS 或LDAP 认证的第三方设备提供安全的双因子验证。 几分钟内部署到您的网络基础设施实现安全访问。 与现行的验证解决方案如LDAP 或AD 服务器集成，降低添加网络认证的成本和复杂性。 用户自助服务密码重置允许用户没有管理员干预的情况下重置自己的密码，降低管理成本。 证书验证功能简化CA 管理和提供证书或服务器使用双因素认证的用户证书签名，FortiGate 设备VPN X.509 证书。 从FortiGate/ FortiToken升级路径，最大限度地发挥现有的投资和在需要是扩展双因子部署。

发布日期：2012-10-30 文章来源：江南天安 责任编辑：江南天安 1．概述：

用户集中管理包含用户信息集中管理和用户集中授权，是实现“一站式登录”的基础。“一

站式登录”简单说，就是用户通过一次性鉴别登录后，即可获得需访问系统和应用软件的授权，在此条件下，管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制。

2．现状分析

● 用户在各应用中有多个帐号，口令

● 用户信息管理和应用管理相对分离

3．解决方案

● 用户集中管理

● 一站式登录

4．建设结构图

5．组成部分

● 鉴别服务：支持多种鉴别机制，如静态口令、数字证书、动态口令等。

● 授权服务：通过灵活且强大的授权框架来保证只有授权用户具有访问许可。

● 审计服务：记录普通用户及安全管理员的日常活动（谁，在什么时候，什么地方，哪个资源，什么活动）。

6．技术特点

● 层次化分段安全管理模式

● 可分散的管理

● 管理权限控制

● 多重认证方法

● 一次性身份认证

● 强化全机构的安全策略

● 简化的客户管理

● 多重平台支持

● 计日志

● 外部用户账号支持