IDM统一身份平台策略配置说明

Posted 2022-09-05 数通畅联

IDM身份管理系统为解决企业内部多系统之间的用户信息不一致而开发的，主要定位于解决企业在5A功能上的需求，即：Account账号管理、Authentication认证管理、Authorization授权管理、Audit审计管理、App Control应用管控5个方面的实际需求，进而规范用户身份信息，保证系统安全，提高工作效率。

IDM平台支持很多配置功能，例如5A中的应用管控可以对不同的应用系统进行相应的配置、策略中可以对认证和密码进行一些检测、同时我们也支持在全局变量中设置一些功能的属性。这种多样的开关配置，也是我们身份管理平台的特色之一，能很好地满足用户的一系列需求。接下来，我们就来详细地介绍前文说到的IDM可以配置的开关，以及开关能解决什么特定环境下的需求。 

1总体说明 

IDM身份管理平台满足对企业信息系统的统一用户管理、统一身份认证、统一授权管理以及安全审计的要求，能够实现各业务系统的统一登录和集中访问，实现用户身份和权限的统一认证与授权管理，为企业不同的业务系统提供统一的用户管理和认证服务。 

1.1功能架构 

IDM主要对组织、岗位、人员进行管理，并对其所有的状态进行记录，如：初始化、审批中、已启用、已禁用等，账户统一管理可以实现从HR系统中获取组织用户数据，也可直接在IDM系统中录入数据，用户信息中的部分属性信息根据同步策略由HR系统或其它指定系统同步更新到用户目录，其它用户信息可在应用系统中各自进行维护，通过IDM统一用户信息后，发送到各个业务系统。 

1.2系统架构 

IDM主要是实现统一认证、授权、审计管理，提高企业身份认证及访问安全，建立授权流程审批机制，使用户身份信息、授权信息、审批信息等操作更加规范化、标准化，提高整体IT架构的风险防范能力。 

消除企业系统间的信息孤岛，为各系统提供统一身份认证、用户身份管理服务，逐步实现系统身份系统的整合，构建面向用户的认证和授权服务，使业务操作更流畅。为简化IT运维提供强大的技术手段和标准，实现账户数据自动化同步操作，同时制定合规的安全服务规范，构建统一的、支撑企业级的认证授权安全服务基础设施。 

1.3策略优势 

那么我们为什么会选择开关策略，作为我们产品的特色策略之一呢。首先，在某些特定的场景下，我们所能提供的功能是远远多于需求实现所需的功能的，这样用户可以根据自己的需求来完成相应需求实现的配置。大大地提升了用户的体验感，同时，关闭了实现某一需求的部分功能，也能使得该功能的执行效率得到提升。并且除了关闭外，我们也可以根据特定的需求设置，如时间、大小等参数，能够满足需求的动态调整。 

 

介绍了开关策略的优势，接下来我们通过应用配置、策略配置以及全局变量中的开关变量来体验开关策略给产品带来的提升。 

2应用配置 

首先，我们来介绍5A中应用管控所涉及到的应用配置功能的明细配置页面。 

2.1属性介绍 

首先，我们对该功能页面上所涉及到的属性做简单的介绍。我们以上面的大标签为例，如下： 

其中，应用配置为基础的应用管理信息，认证配置为对CAS、Oauth以及表单认证的配置，这里我们IDM主推采取Oauth认证的方式，分发管理为IDM分发数据的策略，包括分发方式、自动分发、分发URL。安全管理为对应的应用系统权限，如上图，安全管理中设置的人员，将会拥有ESB的权限。关联字段可以设置属于该应用系统的拓展字段，为特定的应用系统设置特定的权限。 

2.2场景说明 

对于应用配置，我们就以IDM 5A管理中的统一用户以及同意权限为例，进行介绍，也就是在IDM中如何进行配置才能把上有系统同步到IDM中的数据，通过一系列的配置在把数据分发给下游系统。同时，我们也可以在应用中设置为统一角色，这样IDM的标准角色将转变为IDM中的权限岗位，也就是在统一角色后，我们的标准角色数据将转变为权限岗位数据。那么接下来介绍要实现这两种场景我们要在IDM，中如何进行相关的配置。 

2.3配置说明 

首先，我们先来介绍基本的数据的下发过程，这里我们需要了解应用管理的基本信息中的一些属性，如下： 

图中所标出的几个属性便是需要配置的几个属性。当我们在进行数据下发的过程中，我们需要对基础数据进行下发权限的配置，这里我们除了在相关的位置进行选择应用系统的设置外，我们应用系统管理也提供了两种权限配置的方式：一种是自动权限、一种是继承权限，这里自动权限，代表我下发的数据自动带有下游系统的权限，继承权限则是当我没有给下发数据赋予权限时，他会默认去找其父节点带有的权限并继承下来，这里我们以组织数据为例，如下： 

如上也就是当我为给研发部配置权限的时候，当我的北京分公司被赋予了对应应用系统的权限，那么我们下发研发部的时候，他就会带上北京分公司的权限。 

接下来是角色策略，这里需要注意一点，上面的相关权限是否与统一角色无关，但是角色策略统一角色以后将无法进行使用，这里统一角色后，角色并不专属于某一个应用，而是IDM中的权限岗位。 

这里当我们在未统一角色的情况下，我们选中标准角色直接关联用户后，我们可以在标准角色中直接关联相关的用户，标准角色的明细页面会多出一个标签，如下： 

而另一个实际角色的策略选中后，相对应的实际角色明细中可以挂的人员将不在只是该组织下的，而可以是其他所有组织下的人员。 

点击实际角色进入到的明细页面，明细页面中实际角色可挂的人员树，是所有组织的，如下： 

除此之外统一组织则是判断下发的数据是否采取与IDM相同的组织，也就是在下发的系统中要有与IDM组织编码一致的组织，如果选择为否，则会调用相应的接口获取下发系统的组织数据。 

最后统一角色的选择则是切换两种不同的模式，统一角色时下发的标准角色转变为IDM的权限岗位，而非其他应用系统所特有的角色信息。 

由于我们以统一用户与同意权限为例进行说明，其中还有部分设置在其他功能上，这里就不再进行介绍了，相关的部分开关我们已经进行了详细的说明。 

3策略配置 

上面说完应用配置中的部分设置后，接下来我们来介绍IDM中提供的监控策略，以及监控策略可以满足的场景。 

3.1属性介绍 

首先IDM目前提供了两种监控策略，分别是密码策略和认证策略，后续我们依然会添加更多的策略配置进来，接下来我们先介绍现存的两种策略都可以监控什么情况。 

认证策略，我们可以对二次认证进行配置、检测用户异时异地的登录情况、配置监控账户被暴力破解、多次登录失败，以及账户锁定的时间设置。 

密码认证，我们可以对密码的基本规则、拓展规则、密码有效期配置、密码监控策略。下面我们将分场景来说明其中一些开关的配置信息。 

3.2场景说明 

接下来，我们来之指定几个场景，我们将在下一小节，介绍如何使用策略配置出解决特定场景的方案。如下： 

1.异时登录； 

2.异地登录； 

3.防暴力破解； 

4.验证密码不包含用户信息。 

我们指出的上述四个场景，我们接下来将介绍，如何使用IDM的策略解决上述实际场景的问题。 

3.3配置说明 

1.接下来我们一一介绍，上小节指出的实际场景，需要如何配置IDM的策略解决，首先是异时登录策略，该策略配置的是当用户在不常用的时间段登录的时候需要进行验证。我们可以看到相关的策略配置信息，有登录日志数量，是否启用二次认证等如下： 

2.接下来是异地登录策略，和异时登录策略类似，异地是在发现用户的登录ip不是常用ip后，需要进行二次认证，相关配置信息如下： 

在配置结束后，我们在首页进行登录5分钟内超过三次将进行账户的锁死，而账户锁死的设置我们可以在锁定时间配置处进行设置，如下： 

配置了锁定的时间后，当超出次数后首页将进行账户的锁死操作，而锁定的时长将根据用户自己的设定来执行，同时为防止黑客的暴力破解我们在锁定账户的同时支持设置通知的方式，我们可以在遭遇暴力破解的时候第一时间知道。 

其余的两种情况为密码策略配置，首先基础的校验规则就是在密码策略的基本规则中使用，具体配置如下： 

其中左侧的组合就是字面上设置的校验规则，在这里就不再讲解了，右侧的密码监控入口在设置后，我们对密码的校验将仅在特定的位置进行。 

第二种校验密码是否包含人员信息，我们是在拓展规则种进行校验的，如下： 

我们可以看到这里可以验证所有登录相关的信息。以上便是我们在上节中提到的场景的解决方案。 

4 全局变量

接下来，介绍全局变量中涉及到的几个相关开关，我们先来整体介绍全局变量，然后介绍几个常用的相关开关功能。 

4.1整体介绍 

我们先来整体介绍IDM的全局变量，也就是我们在整个产品种涉及到的共有部分，我们可以简单地理解为，产品中的每个功能都能在该功能模块读取到其中的某些属性。下面时我们IDM平台提供的几个全局变量，如下： 

其中涉及到认证日志、加密密钥、ip白名单等多处IDM的全局属性，下面我们会调几个常用的全局变量介绍其中的属性，以及涉及到的相关功能。 

4.2属性说明 

我们调其中常用的几个全局变量做详细的介绍，首先authorityConfig权限配置的相关信息，明细页面如下： 

其中包含两个属性：一个是自动合并任务，一个是合并任务的时间间隔。 

然后是empConfigs，也就是人员数据的相关配置，具体的属性如下： 

其中包括人员自动生成编码、excel导入是否开启校验、人员导入是否需要录入拼音。 

接下来是加密相关的encrypt，其中包括了加密使用的公钥和私钥，如下： 

最后是IpWhiteList也就是ip白名单，具体的属性如下： 

其中涉及到的几个接口是需要使用ip的接口，只有在ip白名单内才能使用。 

4.3功能介绍 

首先是权限相关的配置，里面的属性都是作用在授权管理中的，其中当我们完成授权的时候会生成对应的任务，当我们设置任务自动合并时，我们所有的新增和删除操作，在生成任务后会合并在一起，而时间间隔的设置，也就是当任务超出合并的间隔时间后，将不再合并，分别独立存在两个任务。如下： 

如上我们添加了三个用户，这样在设置任务合并后，我们会在工作管理中得到一个任务，而不是三个，如下： 

接下来，我们来看人员相关的设置，这里涉及到三个开关，分别对应人员的明细、excel导入以及导入是否导入拼音，这里我们看下开关实现的功能。 

首先是人员自动生成编码，当我们启用该功能时，我们人员的明细调整为不可编辑，效果如下： 

接下来我们来介绍加密相关内容，加密相关的其实就是我们IDM中非对称加密所采用的公钥与私钥。这里IDM支持在全局变量中直接获取。 

最后是ip白名单，这里我们可以看到属性值设置的为几个接口，也就是在请求接口时，只有这几个ip段才能进行调用，否者不在白名单内无法调用。 

5心得总结 

上文介绍了我们涉及到开关策略的几个功能，接下来我们来说说产品的理解、策略的价值以及策略给产品带来的发展。 

5.1产品理解 

IDM身份管理平台主要提供统一认证、统一用户、统一权限、统一审计、统一应用管控的功能，IDM的设计理念在于加强企业账户管理、支撑企业业务运营、简化企业内部运维，实现统一认证、授权、审计管理，提高企业身份认证及访问安全，建立授权流程审批机制，使用户身份信息、授权信息、审批信息等操作更加规范化、标准化，提高整体IT架构的风险防范能力，为简化IT运维提供强大的技术手段和标准，实现账户数据自动化同步操作的同时制定合规的安全服务规范，构建统一的、支撑企业级的认证授权安全服务基础设施。 

5.2策略价值 

开关策略对于产品而言能很好地实现功能的管控，并且也能根据用户提出的需求按图索骥，能在提供全面广泛的功能的同时，也能用最快的方式完成功能的开发与交付，提高了用户的体验感的同时，也让产品的功能多样化不必受制于某一个特定的需求，同时在完成某一个特定需求的同时，去除无关的功能，也能大大提升产品本身的性能。 

5.3产品发展 

IDM是我们公司的核心产品之一，它满足企业信息系统的统一用户管理、统一身份认证、统一授权管理以及安全审计的要求，能够实现各业务系统的统一登录和集中访问，实现用户身份和权限的统一认证与授权管理，为企业各业务系统提供统一的用户管理及认证服务。 

后续我们也会对IDM这款产品继续完善优化，也会强化与其它产品之间的相互组合，以及在项目中不断地打磨去让产品变得更好，能适用越来越多使用场景，能满足越来越多市场的需求。