如何建设统一业务访问认证服务能力

随着集团统一身份管理系统能力建设，IAM 平台适配多维数字组织，纳入各机构不同业务应用，用户认证需求差异化增大：

芯盾时代为集团企业用户在全新的互联网身份威胁环境中，访问数字业务，提供安全、融合、智能的统一业务访问认证服务，并通过三层能力架构进行构建方式，在前阶段统一访问认证能力基础上，扩展零信任安全架构，融合认证策略服务能力：

安全能力层，由零信任 SDP 安全接入能力、主体安全能力、链路安全能力、客体连接能力组成的用户安全接入链，能够保护企业系统平台，保证安全设备预认证接入，并通过技术手段对抗深度仿冒和钓鱼攻击，实现用户本人在可信设备上认证并建立加密隧道连接企业应用资源。

本能力链条在第一阶段已实现主体安全能力、链路安全能力、客体链接能力建设。本阶段融入零信任 SDP 安全接入能力体系。

策略能力层，作为认证服务的资源中心和调度中枢，能够感知用户行为，编排场景策略，实现差异化认证调用。本层由认证资源中心、认证场景编排中心、和基于 UEBA 技术的风险引擎组成。

前一阶段已完成认证资源对企业各认证源的集成和调度。本阶段根据业务属性和访问需求，提供业务化认证安全场景策略服务，提供用户风险判断和差异化认证调度能力。

服务能力层，前一阶段已完成业务门户访问的统一多因素认证，实现统一路径的业务访问，本期以统一业务门户为载体，实现用户认证交互控制、集成应用代办提醒、提供员工信息凭据自助服务：

零信任访问接入安全能力（SDP）建设

芯盾时代零信任安全产品线深度整合 SDP 安全能力和统一身份管理能力，通过为集团总部新建/整合 SDP 系统，实现集团企业异构网络下的用户业务安全访问、管理员运维安全访问。提供统一的数字组织身份自动同步、持续多因素认证、统一鉴权服务，保证用户安全接入业务体验和管理效率。

统一的身份管理中心，IAM 为 SDP 提供多为组织用户的统一管理能力，同步各类用户的组织和账号信息，帮助 SDP 理解集团企业多维组织，保持与应用的用户身份一致性。
统一的认证中心，IAM 为 SDP 提供多因素认证服务，SDP 不再直接对接认证源。保证用户全场景的认证交互体验一致，并便于企业统计分析用户全局认证习惯和认证行为。
统一的鉴权中心，IAM 作为 SDP 的鉴权中心，帮助 SDP 打通应用和各业务应用的 SSO 流程，满足用户通过一个客户端、一个门户、一次认证在网络任意位置单点访问业务应用的便利体验要求。
用户安全预认证服务，SDP 系统提供安全预认证服务，并由控制器通过对客户端上报设备指纹、OTP 令牌和终端环境信息综合用户终端安全性和用户一致性，允许安全合法终端完成后续与网关安全连接，实现对企业内部 IT 环境的保护。
用户安全隧道加密服务，用户完成预认证后，通过控制器策略实现用户客户端和网关的加密连接，为用户提供从外网穿通企业内网的安全加密链路，实现业务安全访问。

IAM 在已具备的统一访问认证能力流程基础上，扩展场景化认证策略能力，适配多维组织用户访问差异化业务应用的认证安全控制要求；通过业务门户扩展用户账号自助服务、应用代办提醒服务，提升用户业务体验，提升用户业务效率。

场景化认证策略能力，芯盾时代 IAM 系统基于风险规则引擎，提供可视化认证策略编排能力，为用户访问应用的安全鉴别需求，提供综合用户类型、用户级别、业务属性、访问位置、访问时段、操作行为的场景化认证策略，实现针对性的的多因素二次认证服务。

能够适配领导业务访问、他组织机构人员访问本组织应用、非本机构内网访问、用户非工作时间访问、用户风险账号访问、用户异常终端操作访问等业务场景和风险场景下，通过针对性的二次安全认证鉴权，保障多维组织用户业务访问安全和便利的统一需求。

门户自助服务能力，芯盾 IAM 业务门户支持丰富用户自助服务要求。本阶段 IAM 平台实现对集团多维组织用户的统一适配管理，并开始接入各组织机构自建应用，集团门户使用频率提升，用户效率和差异体验需求提升。为此门户通过提供用户账号自助服务，和应用代办提醒中心服务。
用户账号自助服务，方便用户对个人统一身份信息及凭据提供自助服务。满足用户对个人电话、邮箱等信息进行自行修改，和快速更新需求；支持用户进行密码找回和密码修改，在用户密码强度、弱密码规则、密码重复检查规则的基础上，由用户本人按需更新个人全局密码。并支持移动 OTP 方式校验，方便用户在外网环境安全、实时的密码重置校验需求。
应用代办提醒服务，IAM 业务门户提供应用流程支撑服务，能够集成各业务应用代办提醒，方便用户登录门户后第一时间获取需处理业务流程，并直接跳转对应业务流程，提升业务效率。

发布于: 刚刚阅读数: 5

关注

以人为核心的业务安全 2024-03-20 加入

还未添加个人简介

发布

暂无评论