公司系统日益复杂,如何实现用户名统一认证和权限管理?大咖实战干货!
e企学院第八期课程,大咖实战经验分享!...
e企学院第八期课程
统一用户管理的基本原理是什么?单点登录的技术实现机制是怎么样呢?微软的统一身份管理和授权系统的总体的架构是怎么样的?Windows共享权限如何设置?
课程整理出了文章和视频,视频请在WIFI环境下观看哟~讲师分享环节
大家好,我是本次课程的讲师王朝辉。下面由我来和大家一起分享一下这次的课程,统一用户管理和权限管理,谢谢大家。统一的用户管理系统原则上就是统一存储、分布授权。
第一就是统一性原则,就是实现对已知用户类型的统一的管理。包括对分支机构还有整个组织机构用户进行统一的管理。包括对新进用户还有离职员工整个生命周期的管理。
第二个就是可扩充性原则。就是统一用户管理系统能够应对将来扩充子系统的用户管理。
第一就是用户的信息名规范。
第二是统一用户管理向各个应用系统提供自己的各个用户的一些属性,包括姓名、电话、地址等等属性。各个应用系统就可以根据自己的需要,选择部分或者全部的属性。
第三是应用系统对用户的基本信息能够实现增加、修改、删除等操作。
第四是应用系统应该保留用户的管理功能,比如用户的分组、用户授权等等。
第五是用户统一管理系统应具有一个完善的日志功能,能够记录应用系统的一些操作。
第一,匿名认证方式,不需要对用户进行一个认证、一个共享的一些资源,就用这种方式。
第二,用户名和密码认证,这是我们用的最多的一种卡通的认证方式。
第三,数字证书的认证。
第四,IP地址认证。也就是说允许IP地址才能访问我们的应用系统。
第五,时间段的认证,也就是说在规定的时间段内才能访问我的应用系统。
第六,访问次数认证。
比如多人共用一个帐户的时候,是通过用户名和密码进行访问系统的。但是我们访问这个系统的时候,必须限制在某个IP地址段上,这个认证策略就是用户名/密码的认证方式加上IP地址的认证方式。
单点登录就是一个用户只需要登录一次系统,可以访问他相关联的其他的应用系统,不需要重新再登录验证。单点登录解决了用户只需要登录一次系统,就可以访问其他所有相互信任的系统这个问题。
微软的这个身份管理系统和授权系统,它包括身份管理、系统门户还有单点登录服务,还包括了组织机构的管理,用户授权管理和身份信息的同步。这些系统一起对外提供一个接口。这些接口对外就对应相应的AD、HR、OA系统、即时通讯系统等等其他的应用系统。
右边是统一身份管理系统里面的AD服务器还有统一授权管理的服务器,包括它的一些数据库服务器。
中间就是对外的一些接口服务器,最左边就是对应的一些应用系统,比如OA、HR、即时通讯等等其他系统。
统一登录就包括统一的登录入口、身份的一些鉴权和统一注销。
统一用户管理主要是通过AD域对用户进行管理,还有对组织目录的一个管理,还有基本角色的管理和一些数据的同步。
对外扩展就是通过Web Service的数据接口或者是LDAP的数据访问接口等等对外提供的一些访问。
第一就是拒绝优于允许原则。也就是说如果一个用户他既允许访问某个资源,同时在另外一个规则里面拒绝访问这个资源,最终的结果是他拒绝访问这个资源。
第二个是权限最小化原则。当我们给一个用户授权的时候,尽量赋给他最小的权限。比如他只需要读的权限,我们就不要赋给他写的权限。
第四个是累加原则。也就是说当一个用户属于两个用户组的时候,他在第一个用户组有写的权限,第二个用户组有读取的权限,他实际上有读取+写两种权限。
第一就是建立相应的权限组。第二是用户分组,把用户归属于一个个用户组,通过用户组进行权限管理。第三是通过组分配权限,有标准访问权限和特别访问权限两种权限。
我的分享就到这里,下面看大家有一些什么问题我们可以相互讨论一下。
问答环节
1
Q:今天讲的统一管理和权限管理,不是是AD域环境下的一套额外的软件?
A:实际上今天讲两个概念。第一个是统一用户管理,统一用户管理我们是通过微软的AD域来进行管理的。其他的应用系统通过LDAP的新型目录访问协议连接到AD域进行域用户的信息的读取。其他应用系统通过LDAP协议读取了AD域的信息之后,从而实现了所有的应用系统都使用同一套用户名和密码这个帐号来进行管理。这个管理是不需要另外的软件系统的。第二点说到是单点登录,如果要实现单点登录,就是一个用户只要登录一次系统的话他就可以登录其他相关联的应用系统,这个就需要额外的二次开发来进行支持的。至于说的能不能控制用户访问外网权限,比如访问某些网站?这个应该不是统一用户管理所管理的事情,这个就是网关处,比如说用户管理系统或者说上网管理行为系统这些系统来做的事情。
2
Q:UUMS对于一般中小企业部署实施的一般步骤或者建议实施方案及注意事项.A:中小企业一般也有很多个应用系统,比如说他的邮件系统、AD系统还有OA或者是HR系统,这些一般都是由多套的用户名和密码来进行管理的。首先要做的就是通过LDAP协议和AD域进行统一的连接,然后通过AD域的这一套系统密码系统来管理所有应用系统的用户帐号,达到统一的用户管理。第二点就是单点登录了,如果要做单点登录就必须要做二次开发,这个就需要涉及到开发的相关的一些应用了。
3
Q:没有一种方案,实现授权硬件下用户名和密码才有效。A:这就是我们刚才说的认证的一个策略,实现授权的硬件,像我们接触过的,授权的比如说网卡地址才能访问我的系统,或者授权的某一个型号的PC才能访问我们的系统。
4
Q:很多公司的电脑、ERP、OA、IM、邮件等账号都是分离的,除了微软的域环境可以整合集成微软自己的产品系列(比如Lync,EXCHANGE,SharePoint等),其他第三方公司的系统(如ERP)如何才能与活动目录账户同步达到统一管理呢?A:这也是我们刚才说的通过域的LDAP的开放进行目录访问协议。通过这个LDAP协议,和第三方这些系统来进行一个用户名、密码的同步。一般的第三方应用系统,现在都是支持LDAP这种协议的。
5
Q:现在我们公司数据都是分散在各个台式机上的 我想实现数据的统一管理 并且我想让各个部门只能看到各自部门的文件 我该怎么做那?A:这个首先也得把各个台式机上共享资源整合一下,比如说提供一个统一的文件共享服务器,在文件服务共享器上面对于各个部门的分门别类的安排他们的共享目录。通过对每个用户组进行授权,来实现每个用户组织跟访问自己权限范围内的资源。
6
Q:多应用系统之间实现用户名的统一认证,是否要进行第二次开发呢?A:对的,如果实现多系统之间的统一认证或者说单点登录的话,是需要进行二次开发的。
7
Q:统一用户管理系统是不是一个软件?A:它应该是一个系统来的,它包括统一信息管理的软件,还有AD域控的用户管理还有包括单点登录的应用系统,整个的一套系统。
8
Q:讲师讲的是否是通过对域的管理,并提供ldap功能和开发的webservice接口实现的其他系统的接入对吗?A:对的,可以这么理解,实际上就是通过Web Service和LDAP的功能实现对第三方其他系统的一个接入管理。
9
Q:统一用户管理和权限管理系统是否增加硬件投入?A:像我们说的统一用户管理、权限管理包括单点登录,主要还是针对于各个应用系统和一个用户管理系统的一个二次开发,这方面还是比较主要的。
10
Q:门户网站是怎么解决统一身份认证系统的?A:像门户网站肯定也是在内部做了一个统一身份认证的一个验证的系统、机制。不管他是通过(koukis音)还是通过其他的机制,都是一段时间之内都不需要再重新登录,可以访问相关联的这几个系统,比如我们经常看到网易还有百度、新浪这些门户网站。
11
Q:统一认证要做到存储统一、分布授权,但有分公司在异地怎么实现?A:这个是这样的,我们所说的统一认证、统一存储是指的,对应用系统的用户、密码这些东西都是统一存储在我们的AD域服务器上面。分布授权是指的各个应用系统拿到这些域用户的用户之后,对这些用户进行针对自己系统的一个授权。
下期预告
服务器篇
课程主题:《如何结合企业实际情况,选择合适的服务器类型》
分享时间:5月12日晚上8点
报名方式:
1、转发本文至朋友圈,扫描右侧二维码加班主任“社群特勤”为好友,验证信息提供姓名+公司+职务信息和转发截图,审核通过后将邀请你入群啦。
2、联系你的IT顾问,提供转发截图,请TA邀请你入群。
小提示
点击末尾“阅读原文“即可阅读上期课程《企业员工快速增长,无线网络如何承载需求》关注我~
你可以收到
e企学院IT系列课程总结文章和预告,
还有许多技术干货文章、福利活动哟~
关注 十万个IT为什么
微信扫一扫关注公众号
