身份安全 | 統(tǒng)一身份管理項目落地，需要幾個步驟？

上周帶領大家初步了解統(tǒng)一身份管理項目、一些常見問題分析身份安全 | 統(tǒng)一身份管理如何實現(xiàn)？實踐出真知！今天具體講講統(tǒng)一身份管理項目的落地實施步驟。

IAM統(tǒng)一身份管理平臺落地，不單單是系統(tǒng)集成這么簡單，完整的項目落地，包含前期的調(diào)研，需求確認、方案設計(規(guī)劃統(tǒng)籌結合客戶實際情況給出合理的方案)，具體功能實現(xiàn)、集成聯(lián)調(diào)、上線、以及平臺上線后的運營及推廣辦法，另外針對不同的行業(yè)，調(diào)研的側重點可能不一樣，都需要有針對性的設計相應的關注點、從系統(tǒng)調(diào)研結束，到功能需求的實現(xiàn)落地，到功能測試聯(lián)調(diào)，上線，試運行等一系列工作，通常這個項目持續(xù)周期在12—16周區(qū)間。

IAM項目實施分工合作界面主要如下：

IAM項目實施，清楚的理解客戶的需求是項目成功的關鍵，同樣需求調(diào)研是對接每一個應用系統(tǒng)必不可少的一個環(huán)節(jié)，需求得到清晰的理解，才能保證項目順利進行、直至成功的落地，從而保證項目達到客戶預期，完整的交付及驗收。

IAM項目的需求調(diào)研一般包含如下內(nèi)容：

基本信息：

管理流程、網(wǎng)絡環(huán)境、安全標準等IT現(xiàn)狀調(diào)研。

企業(yè)IT用戶總數(shù)大概多少（使用單點登錄系統(tǒng)的用戶總數(shù)）

企業(yè)IT用戶類型有哪些？（如內(nèi)部員工，供應商，合作商、外部用戶、互聯(lián)網(wǎng)用戶等）

企業(yè)是否有權威數(shù)據(jù)來源（如EHR、主數(shù)據(jù)管理等系統(tǒng)）？

企業(yè)權威數(shù)據(jù)來源是否有對外數(shù)據(jù)接口？

企業(yè)是否使用LDAP/AD域進行用戶帳號管理？

企業(yè)是否有用戶帳號管理制度、流程？（如用戶增加、修改、鎖定、刪除等）

企業(yè)是否有內(nèi)部門戶網(wǎng)站？如無，是否需要建設簡易內(nèi)部門戶？如有，是否需要集成單點登錄系統(tǒng)？

企業(yè)是否需要實現(xiàn)移動設備上的應用系統(tǒng)單點登錄？

企業(yè)需要什么類型的強認證方式？（如短信、二維碼、動態(tài)口令、數(shù)字證書或者其他等）

企業(yè)相關IT基礎設施描述（如數(shù)據(jù)中心數(shù)量，位置，是否有專線，專線帶寬多少等）

企業(yè)是否需要對應用系統(tǒng)的帳號進行集中自動化管理？（如統(tǒng)一創(chuàng)建、修改、禁用、注銷等）

詳細信息：

應用名稱、用戶數(shù)量、產(chǎn)品廠商、集成商、

使用用戶群（如內(nèi)部員工、供應商、經(jīng)銷商、外部人員、臨時人員等）、

用戶使用接入方式(B/S、CS、移動端)、自主開發(fā)/商務套件、能否進行改造、

部署環(huán)境（如單機房、多地機房、Saas應用）、

開發(fā)語言（系統(tǒng)開發(fā)語言，如Java，.Net，PHP等）、

數(shù)據(jù)庫類型和版本單機實例/多機集群架構（例如系統(tǒng)考慮到高可用，同時安裝了多于一套的實例）、

系統(tǒng)用戶庫（如本地數(shù)據(jù)庫存儲、外部數(shù)據(jù)庫存儲、AD、外部LDAP存儲、本地LDAP存儲等）、

賬號命名規(guī)則（如使用工號、姓名全拼、姓名拼音首字母、隨機幾位字符等）、

密碼規(guī)則（如最少幾位數(shù)字、最少幾個字母、最小長度等）、

賬號增加（是否需要為用戶在應用系統(tǒng)上創(chuàng)建賬號）、

賬號修改（是否需要為用戶在應用系統(tǒng)上修改賬號相關信息）、

賬號禁用(是否需要為用戶在應用系統(tǒng)上禁用賬號)、

密碼同步(是否需要為用戶同步密碼到應用系統(tǒng))、

賬號開通方式（(紙質(zhì)、郵件、系統(tǒng)申請)）、

應用是否存在賬號管理接口（系統(tǒng)提供webservice接口實現(xiàn)賬號添加，刪除禁用，修改密碼功能）、

是否需要單點登錄（一次輸入賬號和密碼后，無需再次輸入即可登錄多個系統(tǒng)）等。

需求調(diào)研需要明確企業(yè)權威數(shù)據(jù)源及下游各個系統(tǒng)集成到何種程度，及下游應用系統(tǒng)可改造的程度，以及是否存在特殊的需求及場景。

在需求調(diào)研階段，需要輸出的文檔交付物：《用戶需求說明書》，同時可以先行準備應用系統(tǒng)的開發(fā)與集成標準規(guī)范，便于在第二輪的調(diào)研中更好的和客戶及集成廠商明確對接形式，各方職權，分工等。

項目的功能設計與前期的需求調(diào)研是環(huán)環(huán)緊扣，這兩部分是緊密相連，在客戶的需求明確后，接下來需要進入項目總體功能設計階段，在這期間要出具《項目設計規(guī)格說明書》。

方案設計階段通常涉及如下交付物：

• 《詳細設計說明書》

• 《數(shù)據(jù)庫設計說明書》

• 《接口設計說明書》

• 《技術標準與規(guī)范》

• 《數(shù)據(jù)庫設計規(guī)范》

• 《二次開發(fā)說明》

• 《數(shù)據(jù)同步及功能說明》

• 《安全管理文檔及規(guī)范》

在功能設計階段通常包括需求的原型設計、應用系統(tǒng)的集成方案等，對于統(tǒng)一身份管理項目需要制定并出具統(tǒng)一的規(guī)范，平臺提供系統(tǒng)接入標準，各應用系統(tǒng)遵循標準接入。

其中包括：

• 應用集成指南

• 系統(tǒng)架構規(guī)范

• 數(shù)據(jù)定義規(guī)范

• 系統(tǒng)帳號供應接口規(guī)范

• 認證規(guī)范

統(tǒng)一用戶管理(簡稱IDM)主要為企業(yè)提供集中的用戶存儲目錄，其中包括上游數(shù)據(jù)源獲取，下下游數(shù)據(jù)供給，主要同步內(nèi)容包括，組織、崗位、用戶、角色等基本信息,通過集中的用戶信息供給，保證數(shù)據(jù)在下游業(yè)務系統(tǒng)的高度一致。

IDM和應用系統(tǒng)的集成，主要在權威數(shù)據(jù)源同步和下游系統(tǒng)數(shù)據(jù)提供，企業(yè)統(tǒng)一用戶管理最終的落地，首先需要明確數(shù)據(jù)源來自哪里，多數(shù)企業(yè)建立有自己的HR系統(tǒng)，建議企業(yè)以HR系統(tǒng)作為權威數(shù)據(jù)源，對于部分客戶存在多數(shù)據(jù)源的情況，IDM需要分情況對待，實現(xiàn)多數(shù)據(jù)源的對接，此時需要注意的是多數(shù)據(jù)源情況下要保證用戶唯一性，對應企業(yè)暫無權威數(shù)據(jù)源的情況，也可以直接以IDM作為數(shù)據(jù)源，企業(yè)提供用戶、組織的基礎信息平臺上線初始化到IDM，后續(xù)所以的變更操作在IDM進行，由IDM把變更信息同步至各個應用系統(tǒng)。

打通企業(yè)上下游系統(tǒng)的對接，最終實現(xiàn)用戶全生命周期自動化管理，從而避免管理員過多的手工干預，在保證數(shù)據(jù)準確性的同時提高效率。

實現(xiàn)用戶的集中存儲是實現(xiàn)用戶統(tǒng)一認證的前提，平臺實現(xiàn)了用戶的”注冊”，即可開始對接用戶的統(tǒng)一認證工作，一般統(tǒng)一認證單點登錄基于OAuth、SAML、CAS等認協(xié)議，統(tǒng)一身份認證平臺（IAM）提供標準的接入方式（api、SDK等）為應用系統(tǒng)提供統(tǒng)一的認證方式和認證策略，通過應用系統(tǒng)的單點登錄集成，實現(xiàn)用戶一次認證，網(wǎng)內(nèi)通用，即：用戶經(jīng)過統(tǒng)一身份認證系統(tǒng)認證后，無需再次登錄即可訪問其具有訪問權限的應用系統(tǒng)。

應用系統(tǒng)的單點登錄集成過程中，不同的應用系統(tǒng)可能支持的協(xié)議不一樣，平臺需要提供多種協(xié)議便于應用系統(tǒng)接入，另外針對不同開發(fā)語言的也需要有相應的支持。

IDM身份管理提供了一個集中的存儲中心以日志的形式記錄用戶所做的所有操作。審計人員、安全管理人員可以隨時查看這些記錄用戶、系統(tǒng)和應用的日志信息。

IDM的審計功能可以記錄所有用戶帳號管理的行為，因此，企業(yè)用于準備和實行審計的人力、時間和財力都會有很大程度的減少，從而也會加快對審計人員的響應速度。

審計系統(tǒng)負責采集審計日志，進行格式化，并將審計日志存儲在數(shù)據(jù)庫中，供報表展現(xiàn)。

被審計的系統(tǒng)包括：SSO系統(tǒng)、IDM系統(tǒng)，以及應用系統(tǒng)。應用系統(tǒng)如果沒有針對安全時間的審計日志，可能需要對應用日志進行調(diào)整。

今后可制定應用審計日志規(guī)范，對于新開發(fā)應用，要求按照日志規(guī)范的格式輸出日志，以便快速方便的與審計系統(tǒng)集成。

審計系統(tǒng)將每條審計日志解析成如下字段：

1）Who：誰

2）What：什么事件

3）On What：在什么設備

4）When：什么時間

5）Where：在哪里：

6）Where From：從哪里

7）Where To：到哪里

需求功能開發(fā)完成，往往伴隨的只是開發(fā)人員自測完畢，此時還需要測試團隊的介入，進行專業(yè)全流程的測試，完整的測試是對交付項目質(zhì)量一個驗證，有效的測試可以及時發(fā)現(xiàn)前期需求功能實現(xiàn)是否存在問題，嚴謹?shù)臏y試，才能保證項目上線質(zhì)量。

項目中的測試需要多輪測試，包括單元測試、整體測試、業(yè)務聯(lián)測及UAT測試、性能測試。

單元測試通常為開發(fā)階段開發(fā)人員最功能自行測試，檢測邏輯、代碼、功能是否合理、可用；

整體測試（全流程）是把完整的客戶業(yè)務場景進行串聯(lián)，從整體應用環(huán)境上進行測試，看功能是否貫穿滿足客戶業(yè)務；

業(yè)務聯(lián)測（UAT）需要客戶方業(yè)務人員共同參與，模擬真實業(yè)務場景，最終驗證是否具備上線驗收資格，需要得到客戶的簽字確認。