项目背景
郑州银行经过多年的信息化建设,已经形成了多套与生产、办公密切相关且比较成熟的信息化系统,其涉及的业务面覆盖了郑州银行的大部分生产或业务。目前,郑州银行已有员工 4000人左右,重要应用系统30多个,但是各应用系统相互独立,大多数应用系统均是采用用户名、口令的方式进行登录,用户每次登录不同的应用系统都要输入相应的用户名、口令。
项目实施
介于郑州银行项目背景,郑州银行系统通过用户认证和管理系统项目将各种业务系统及不同用户通过协作连接起来,形成共同工作的统一平台。根据目前国内银行信息安全建设的经验,在建设统一身份认证与管理系统的同时,需要从郑州银行整体安全建设的总体规划来着手考虑系统的建设内部和步骤。
本着“整体规划、分步实施、持续演进”的建设战略,郑州银行统一身份认证系统项目的建设将采取逐步建设、持续发展完善的方式进行。通过前期的沟通交流,我们建议项目分为2个阶段:
- 第一阶段主要目标:
- 规划郑州银行整体的信息安全建设蓝图,明确信息安全建设的目标以及建设步骤;
- 搭建统一身份认证平台架构,制定各种应用安全管理规范,规范今后应用系统的开发和接入;
- 实现业务系统统一的帐号管理功能,实现对用户的唯一主帐号信息的统一管理;
- 建立统一的安全用户目录,整合用户数据,建立统一身份存储视图(LDAP);
- 统一把控、降低风险、提高身份管理和授权管理效率,加强监督审计能力;
- 整理出符合郑州银行业务发展的用户认证和管理系统集成方案实例及规范、用户认证和管理系统-应用单点登录规范、用户认证和管理系统-组织、用户接入规范等;
- 平台试运行,同时完善各种管理制度、运维流程、系统管理等;
- 第二阶段主要目标:
- 解决一期运行中遇到的问题,完善功能性、安全性需求;
在第一阶段的基础上完善整体架构,并根据需要和优先级顺序接入更多的应用系统;
客户收益
基于平台实现客户统一身份认证管理模块,实现了用户身份的统一管理和认证。
本阶段的功能点:
- 登录页面与 OA 的登录页面保持一致;
- 提供用户更新密码接口,OA 系统提供更新密码页面,当在 OA 中更新密码时,OA 调用该接口进行密码更新;
- 提供用户首次登录强制更新密码功能,密码为字母+数字;
- 提供用户密码有效期为 90天功能,超过 90天强制改密;
- 提供用户登录密码输入错误 5次,自动锁定账号功能;
- 提供基于应用系统不同安全级别,进行强认证的功能;
- 基于系统已集成的认证方式,提供集中认证的服务;
- 提供组织机构信息查询功能;
- 提供根据组织机构查询用户列表功能;
- 支持用户属性配置;
- 支持用户分类,主要用户类型:正式员工、虚拟用户;
- 提供用户的查询、新增、修改、启用、禁用功能;
- 可以根据用户创建、更新、启用、禁用帐号;
- 管理员可以修改指定账户的密码;
- 可以将账户开通到 LDAP 中,供下游业务系统进行账号同步;
- 可以进行资源组的查询、新增、修改、删除;
- 可以针对资源组设置验证域;
- 可以对集成的应用系统进行查询、新增、修改、删除;
- 可以根据计划任务定时从 OA 同步用户信息;
- 可以手动执行计划任务;
- 可以通过 cron 表达式设置计划任务执行时间;