icon机构身份治理面临的问题icon
身份账号隐患

业务应用同步用户数据或自建用户数据,数据的使用无明确规范,进而存在大量脱管的账户,产生身份账户安全隐患

员工使用复杂

员工需要记住多个业务系统的账户及密码,加上机构对账户密码的复杂度及修改周期要求,员工使用账户做认证时会产生困难。

业务系统对接麻烦

业务系统需要对接用户账户数据时,缺乏完善的用户中心及对接手段,开发用户同步数据环节及后续用户数据更新方面存在问题。

认证安全缺乏

各类业务系统同步数据后缺乏统一的安全认证体系,存在认证方式简单、安全措施缺乏等安全风险。

权限控制混乱

机构缺乏全局的用户使用应用的权限控制手段,并不知道各业务系统哪些员工有权限使用,是否存在越权访问的行为等。

icon等级保护2.0对身份认证安全的要求(三级要求)icon
身份鉴别

1、应支持用户身份标识和用户鉴别; 2、系统用户采用用户名和用户标识符标识用户身份,并确保在系统整个生命周期内用户标识的唯一性; 3、在每次用户登录系统时,采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。

访问控制

自主访问控制: 1、应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并将这些权限的部分或全部授予其他用户; 2、自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级和(或)记录或字段级; 3、自主访问操作包括对客体的创建、读、写、修改和删除等。标记和强制访问控制: 1、在对安全管理员进行身份鉴别和权限控制的基础上,应由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制。 2、强制访问控制的粒度应达到主体为用户级,客体为文件、数据库表级; 3、应确保安全计算环境的所有主、客体具有一致的标记信息,并实施相同的强制访问控制规则。

安全审计

1、安全审计应记录应用系统的相关安全事件; 2、安全审计记录应包括安全事件的主体、客体、时间、类型和结果等内容; 3、安全审计应提供审计记录查询、分类、分析和存储保护; 4、安全审计应确保对特定安全事件进行报警; 5、安全审计应确保审计记录不被破坏或非授权访问; 6、系统应为安全管理中心提供接口,对不能由系统独立处理的安全事件,提供由授权主体调用的接口。

icon统一身份认证建设思路icon
统一用户中心
统一机构各类业务系统的用户,统一管理账户的新建、更新、密码要求、用于权限、认证策略等。
 
统一权限管控
各类业务应用接入统一身份认证平台,在平台集中进行统一的用户权限控制,便于业务使用及安全管理。
 
 
统一认证中心
基于用户及应用,集中管理认证策略,包括首次认证、二次认证、风险认证策略。其中风险策略基于环境动态检测,自动触发。
集中业务审计
集中收集、记录、分析、响应各类业务应用对接统一身份认证平台产生的日志信息。
iconzTrust-IAM产品架构icon
iconZTRUST IAM 主要功能icon
用户中心

用户账号的全流程管理,包括创建、激活、管理、锁定、停用、删除等管理。可作为企业统一用户中心,向各业务系统提供用户的同步和认证服务。

认证中心

自定义认证策略,可创建单因素认证、双因素认证、风险认证、自定义事件认证等,认证策略可针对不同的员工分发。

MFA

多重因子认证,提供静态密码以外的短信认证、OTP动态验认码、扫码认证、证书认证、Fido认证等。可自有搭配双因素、多因素认证场景。

动态认证引擎

可定义认证等级,不同认证等级、不同应用具备不同的认证要求,引擎可持续进行认证等级评估,针对风险因素、敏感事件因素促发不同的认证动作。

权限控制

可对认证用户授予不同的访问权限,同时可根据动态认证引擎,动态调整用户访问权限。

日志审计

在用户认证全流程中,平台采集所有与认证、权限、风险、操作相关的日志,通过场景化分析引擎,生成多种使用场景审计日志,以可视化形式展现。

icon统一用户中心:用户数据源对接icon
zTrust-IAM用户中心支持与上有用户系统对接,实现用户数据的同步,同步方式支持标准协议、API接口、数据库、钉钉/企业微信/飞书接口等方式。 标准协议:通过LDAP协议与AD服务做用户同步; API接口:与HR系统或其他用户中心系统通过API接口对接的方式,实现用户数据同步,支持全量同步与增量同步机制; 数据库对接:与上有用户系统的数据库做对接,实现用户数据同步,同步规则可定义; 钉钉/企微/飞书:支持与钉钉、企业微信、飞书等办公业务系统对接,同步其用户数据信息。 zTrust-IAM可作为用户中心,提供用户数据同步给下游业务系统,支持全量、增量用户数据同步。
icon统一用户中心:账户安全icon
zTrust-IAM用户中心账户体系支持创建账户安全策略,策略包含以下: 账户密码错误锁定策略:可设定在规定的时间内,出现密码错误一定次数之后,锁定用户一定的时长; 账户密码防暴力破解:密码输错一定次数只会,会增加图形验证码,防止暴力破解; 账户自动禁用:可根据用户不活跃时间,自动禁用用户账户。
icon统一用户中心:密码安全icon
zTrust-IAM用户中心账户体系支持创建密码安全策略,策略包含以下: 密码有效期及过期提醒:设定账户密码的有效期,且可在有效期之前提醒用户密码即将到期,可自定义提醒方式; 记住历史密码:可设定记住历史密码次数,用户修改密码时禁止与最近几次历史密码相同; 密码复杂度设定:支持简单、中等、复杂三类密码复杂度要求; 首次登录修改密码:可设定强制首次登录修改密码。
icon统一认证中心:应用账户认证icon
zTrust-IAM用户中心及认证中心与下游业务系统支持用户认证服务。 用户同步:提供用户、组织的同步接口,供下游业务系统同步IAM用户。用户认证:提供认证接口,由下游业务系统对接实现用户认证服务。同时支持单点登录认证、MFA认证服务。
icon统一认证中心:单点登录icon

业务系统集成zTrust-IAM SSO SDK后,可实现单点登录认证,用户一次登录,各业务系统均可实现免密码登录。

icon统一认证中心:扫码认证icon
icon统一用户中心:OTP认证icon
OTP认证可应用与双因素认证或纯OTP认证,双因素认证场景下,用户在业务系统认证界面先进行账户密码认证,账户密码认证后进入OTP认证流程,指掌易OTP认证具有以下特点: 1.口令安全性高:不重复、不可猜测、服务端不存放口令密码; 2.国密支持:随机密码处理及生成过程支持国密算法; 3.激活不暴露TCP端口:可配合指掌易SDP产品实现令牌在线激活,无需暴露TCP端口,隐藏端口。
icon统一认证中心:认证策略管理icon
认证策略
统一认证中心支持基于应用、用户创建认证策略,认证策略包括首次认证策略、二次认证策略、风险认证策略。 均支持创建多个策略,按优先级执行。 创建认证策略时,可选择不同的认证能力进行认证,例如用户名密码、OTP令牌、短信验证码、扫码(ing)、证书(ing)等。
icon统一认证中心:风险认证icon

认证中心定义了基础的风险因子,包括是否新设备、是否非常用设备、是否非指定IP、是否连续登录、是否指定时间等。同时业务系统也可以根据指掌易零信任体系产品(MBS-MOS、SDP)提供的安全能力,实现自定义风险因子。认证中心根据风险因子进行风险策略配置与执行。

icon统一权限控制:角色管理icon
icon统一权限控制:访问权限icon

针对用户或用户角色,定义用户可访问的应用权限,实现最小化权限控制

icon统一安全审计:采集、分析、展现icon
数据采集

实时采集认证账户、认证设备、认证网络、认证时间、认证位置、认证应用等日志信息,并进行安全存储。

数据分析

基于采集存储的认证数据,进行基于用户、设备、应用等维度的数据分析。

数据展现

可视化展现用户认证各类审计数据,包括用户维度、设备维度、应用维度、风险维度等,满足各类审计场景需求。

icon用户自服务门户icon

用户自服务门户提供给员工自行管理账户及设备信息,方便员工信息使用及变更、简化日常系统运维工作

业务入口
PC端web门户、移动端应用门户,提供给员工,通过一次认证可单点登录入口内各业务系统。
账户管理
用户自行查看账户信息,修改密码、修改基本信息,查看可访问应用权限信息等。
设备管理
用户查看本账号下所有已登录绑定过的设备,可对设备进行解绑操作。
访问日志
查看本账户的访问日志,包括应用登录认证日志、用户信息修改日志、密码修改日志等。
icon产品关系icon

zTrust-IAM与MBS-MOS、SDP产品组合形成端、管、云一体化的远程办公零信任一体化方案。分别解决端侧数据安全、用户身份认证安全、远程网络接入安全问题。

端侧数据安全

基于沙箱能力赋能端侧业务数据安全(pc+移动)

用户身份安全

零信任安全用户中心,用户安全、认证安全。

远程接入安全

零信任远程接入,保障远程网络接入安全。

icon应用场景:已建设移动业务扩展认证能力icon
已建设基础认证能力
可扩展支持OTP、短信、证书等MFA认证
可扩展成单次认证能力(认证方式多样化)
扩展成双因素认证
扩展风险认证
icon应用场景:基于移动门户扩展PC扫码认证icon

配合MBS-MOS工作空间,在工作空间内提供扫码认证入口。PC端业务应用可集成认证服务提供的二维码生成模块,实现扫码认证能力,集成效果如下

iconZTRUST IAM 优势icon
基于零信任架构的IAM
持续对认证用户进行环境检测、风险检测、可动态控制用户认证权限。
丰富的业务集成环境
除了提供移动端、PC端集成SDK外,还可提供移动端、PC端认证门户,形成统一认证入口。
稳定的系统服务架构
基于微服务架构,模块化提供IAM产品模块,根据各类业务场景实现高可用、稳定、高性能的服务环境。
产品推荐 查看更多>>