一种IAM平台的资源管理系统的制作方法

本发明涉及计算机网络身份识别与访问管理技术领域，尤其是指一种iam平台的资源管理系统。

背景技术：

iam(identityandaccessmanagement)，即“身份识别与访问管理”，计算机网络领域发中，身份管理与访问控制非常重要。iam平台是提供有效地、安全地it资源访问的业务流程和管理手段，是实现组织信息资源统一的身份认证、授权和身份数据集中管理与审计的重要工具。

目前，我国的iam建设与信息化建设水平还比较薄弱，iam产品大部分是国外产品的简化版本，资源管理系统功能不完备，技术水平不高，无法适应企业对可持续身份治理的建设需求。国外iam平台的资源管理系统虽体系健全，但由于技术老旧，系统性能与功能已渐渐无法满足现今企业需求，国外iam平台的资源管理系统不能较好地适应中国本土化的要求，无法针对性的进行定制开发，建设成本高，维护投入大。

综上，现有的iam平台的资源管理系统由于系统架构设计、底层技术的限制，对于企业海量账号管理、复杂身份管理需求应对不足，不能有效满足网络安全防护要求的提高。

技术实现要素：

本发明的目的在于克服现有技术的不足，提供一种iam平台的资源管理系统，解决当前资源管理功能不完善、效率低下的问题。

一种iam平台的资源管理系统，用于对iam平台各个应用系统及系统的账号资源等进行管理，其特征在于：该系统主要包括以下功能模块：

(1)应用配置模块，包括应用维护模块、应用信息自定义模块和应用属性自定义模块；

(2)应用管理员管理模块，包括以下模块：

1)应用管理员权限管理模块：为应用管理员组合配置应用拥有者、应用账号管理员、应用策略管理员这三个权限，应用管理员的新建与删除；

2)应用管理员管理域管理模块：应用管理员新增完毕后，对指定应用管理员进行管理域的设置；

(3)账号管理模块，用于记录企业各应用系统中的账号与用户之间的关系，通过有限授权将账号与用户进行关联，表达用户与各应用系统中的账号之间的关系；账号管理模块包括账号数据管理模块和账号生命周期管理模块；

(4)访问控制策略配置模块，用于提供访问控制策略，控制用户对系统的有限访问，包括多因子认证策略配置模块和禁止访问策略配置模块；

(5)账号风险分析模块，包括差异账号分析模块、孤儿账号分析模块、不活动账号分析模块、不合规账号分析模块和异常账号处理模块；

(6)工作流管理模块，用于提供基于activiti工作流引擎的工作流管理，包括工作流配置模块和应用审批模块；

(7)无账号配置模块，用于自动生成账号，当新接入一个应用系统时，开启无账号配置后，将会针对每一个用户身份的用户名生成同名的账号，并关联到这个用户上，之后用户就可以使用该账号登录应用，功能开启后在双数点执行。

优选的，所述账号数据管理模块包括：

(1)账号新增与删除模块：管理员可以在相应应用下手动新增或删除用户，也支持按照账号分析策略进行自动的关联账号新增或删除；

(2)账号信息维护模块：管理员对账号属性进行修改；

(3)账号授权管理模块：管理员可以单独修改每个账号授权的用户的生命周期，可以单独为每个账号新增授权或删除授权；

(4)账号审计日志查看模块：管理员直接查看每个账号的审计日志。

优选的，在所述账号授权管理模块中新增授权的方式有两种：一是授权类型为owner时，授权新增完毕将显示“授权类型：账号拥有”，拥有者可以把这个账号继续分配给其他用户使用；二是授权类型为accessonly时，授权新增完毕将显示“授权类型：普通账号”，该用户不可以再将该账号授权给其他用户使用。

优选的，所述账号生命周期管理模块主要包括以下模块：

(1)事件配置模块：管理员配置事件动作，包括身份创建，密码修改，属性变更，身份删除；用户操作符合该条动作，进行下一步的策略过滤；

(2)策略编辑模块：管理员编辑策略，iam平台自动根据配置的策略进行过滤，将有效消息传递到指定的mq队列；

(3)mq配置模块：管理员自定义exchange，但是不可重复定义exchange，mq自动创建一个对应的exchange，并根据管理员设置的用户名密码进行初始化；

(4)启用/关闭事件监控模块：管理员开启事件监控后，iam平台将符合该动作及策略的账号操作都传递到mq队列；如果没有配置策略，符合该条动作的所有账号行为都会触发该mq传递操作；

(5)事件处理模块：事件处理模块采用etl图形画界面编辑处理逻辑，或采用java程序代码进行处理，事件处理程序热部署在边缘自治服务节点中，处理逻辑的修改不需要重启iam身份管理服务。

优选的，在所述访问控制策略配置模块中的多因子认证策略配置模块包括：

(1)自定义应用多因子认证策略模块：应用策略管理员为当前应用选用任意一条认证策略并设置开启状态；认证策略支持分级管理，管理员可根据需求在相应管理域下进行新增，新增完毕，相应管理域下的应用即可选用该管理域下的认证策略；

(2)abac策略编辑模块：对多因子认证策略的abac策略编辑，管理员可通过定义规则，定义该条多因子认证策略仅对符合规则的账号生效；若没有编辑abac策略，则该多因子认证策略对所有账号生效。

优选的，在所述访问控制策略配置模块中的禁止访问策略配置模块包括：

(1)自定义禁止访问策略模块：应用策略管理员为当前应用设置禁止访问策略的开启状态，自定义禁止访问的描述语句，当符合abac策略的账号登录时，将禁止访问并提示该描述语句；

(2)abac策略编辑模块：管理员编辑禁止访问策略的abac策略，通过定义规则，对符合规则的账号执行禁止访问；若没有编辑abac策略，即便开启了禁止访问，对所有账号也均不会生效。

优选的，在所述账号风险分析模块中的异常账号处理模块包括：

(1)支持查看风险分析状态模块：iam平台仅保存最后一次分析结果，账号风险管理页面显示每个风险分析最后一次执行时间及分析状态；

(2)支持风险分析结果处置模块：管理员对风险分析结果进行单条处置及批量处置，分类查看风险分析结果，对风险分析结果进行排序及过滤，手动关联或删除iam用户。

优选的，在所述工作流管理模块中的工作流配置模块包括：

(1)创建及发布审批流程模块：应用系统管理人员在线创建、修改工作流模型并发布成流程，在activiti进行配置；

(2)工作流用户集合配置模块：应用账号管理员对工作流用户集合的配置，用户集合可以在iam平台配置，自动同步到activiti，也可以在activiti直接配置；

(3)流程拆分模块：管理员将复杂请求拆分为多阶段，每个阶段配置不同的审批用户集合；

(4)流程管理模块：完成工作流流程的激活与挂起，以及工作流流程的导入与导出。

优选的，在所述工作流管理模块中的应用审批模块包括：

(1)用户自助申请模块：对于已在流程管理服务配置的应用，若该用户不拥有该应用的访问权限，可以在应用审批提交应用访问申请单，申请单将提交到该应用的审批人；

(2)用户申请状态查询模块：用户查询当前提交的申请的审核状态，支持取消申请；

(3)工作流用户集合用户审批模块：用户自助提交的申请单根据应用配置好的工作流，逐步提交给审批用户组的用户。

与现有技术相比，本发明的优势在于：

1)本发明主要包括应用配置模块、应用管理员管理模块等七个功能模块，资源管理功能更加完善。

2)本发明通过abac规则灵活定义身份生命周期事件，达到自动监控设定的身份周期事件及相应策略并自动传递消息到mq供应用系统实施人员实时获取操作数据，避免了繁杂的手工操作，提升了工作效率。

3)本发明通过abac规则执行细粒度的访问控制，实现精细化授权，为大数据及零信任安全提供精细化权限控制。

4)本发明为大型企业集团统建、区域分支机构自建系统提供有效的分级管理，可以清晰设定各个层级的权限及功能，在分级管理的基础上，支持层级之间权限的可控授权。

附图说明

图1一种iam平台的资源管理系统组成示意图；

图2账号管理模块组成示意图；

图3工作流管理模块组成示意图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细的说明。

一种iam平台的资源管理系统，用于对iam平台各个应用系统及系统的账号资源等进行管理，如图1所示，系统主要包括以下功能模块：应用配置模块、应用管理员管理模块、账号管理模块、访问控制策略配置模块、账号风险分析模块、工作流管理模块、无账号配置模块。

1应用配置模块；包括以下模块：

(1)应用维护模块，支持在指定管理域下新建应用，提供应用的删除操作；

(2)应用信息自定义模块，提供应用图像，基本属性值及扩展属性值的修改与更新；

(3)应用属性自定义模块，支持自定义应用属性，可扩展任意多个应用属性，支持单值、多值及基本数据类型，支持正则表达式设定及长度限制，支持对属性的是否必填的设置，支持对扩展属性的删除，如果该属性已被应用于策略管理，则不可被删除，删除时将进行错误提示该属性被应用于策略配置；

2应用管理员管理模块；

应用管理员区别于iam管理员，iam管理员是全局配置生效的，而应用管理员是在指定应用下单独配置并生效，应用管理员管理模块包括以下模块：

(1)应用管理员权限管理模块，支持为应用管理员组合配置应用拥有者、应用账号管理员、应用策略管理员这三个权限，支持应用管理员的新建与删除；

(2)应用管理员管理域管理模块，应用管理员新增完毕后，支持对指定应用管理员进行管理域的设置；

3账号管理模块；

账号管理将企业各应用系统中的账号与用户之间的关系准确地记录下来，iam平台通过有限授权将账号与用户进行关联，表达用户与各应用系统中的账号之间的关系；如图2所示，账号管理模块包括以下模块：

3.1账号数据管理模块，管理维护当前可访问该应用的账号，账号数据管理主要包括以下功能：

(1)账号新增与删除模块，管理员可以在相应应用下手动新增或删除用户，也支持按照账号分析策略进行自动的关联账号新增或删除；

(2)账号信息维护模块，支持管理员对账号属性的修改；

(3)账号授权管理模块，管理员可以单独修改每个账号授权的用户的生命周期，可以单独为每个账号新增授权或删除授权；新增授权的授权方式可分为两种：一是授权类型为owner时，授权新增完毕将显示“授权类型：账号拥有”，拥有者可以把这个账号继续分配给其他用户使用；二是授权类型为accessonly时，授权新增完毕将显示“授权类型：普通账号”，该用户不可以再将该账号授权给其他用户使用；只要增加了授权，包括普通账号和账号拥有两种类型，该用户都可以在登录统一认证入口后，在应用列表查看该应用，并且使用这个账号进行单点登录；

(4)账号审计日志查看模块，支持管理员直接查看每个账号的审计日志。

3.2账号生命周期管理模块

iam平台为iam管理员提供账号生命周期管理功能以便应用系统实施人员能够实时获得账号变更信息，应用系统实施人员向管理员获取mq用户名密码后去监听mq，可以实时获得账号变更信息；账号生命周期管理主要包括以下模块：

(1)事件配置模块：支持管理员配置事件动作，包括身份创建，密码修改，属性变更，身份删除，一旦用户操作符合该条动作，将进行下一步的策略过滤；

(2)策略编辑模块：支持管理员策略编辑，iam平台将自动根据配置的策略进行过滤，将有效消息传递到指定的mq队列；

(3)mq配置模块：支持管理员自定义exchange，但是不可重复定义exchange，mq将自动创建一个对应的exchange，并根据管理员设置的用户名密码进行初始化；

(4)启用/关闭事件监控模块：管理员开启该条事件监控后，iam平台将符合该动作及策略的账号操作都传递到mq队列，如果没有配置策略，那符合该条动作的所有账号行为都会触发该mq传递操作；

(5)事件处理模块：事件处理采用etl图形画界面编辑处理逻辑，或采用java程序代码进行处理，事件处理程序热部署在边缘自治服务节点中，处理逻辑的修改不需要重启iam身份管理服务。

4访问控制策略配置模块；

iam平台提供访问控制策略，有效控制用户对系统的有限访问，主要包括以下模块:

4.1多因子认证策略配置模块

(1)自定义应用多因子认证策略模块：应用策略管理员可以为当前应用选用任意一条认证策略并设置开启状态，认证策略支持分级管理，管理员可根据需求在相应管理域下进行新增，新增完毕，相应管理域下的应用即可选用该管理域下的认证策略；

(2)支持abac策略编辑模块：支持对多因子认证策略的abac策略编辑，管理员可通过定义规则，定义该条多因子认证策略仅对符合规则的账号生效，若没有编辑abac策略，则该多因子认证策略对所有账号生效。

4.2禁止访问策略配置模块

(1)自定义禁止访问策略模块：支持应用策略管理员为当前应用设置禁止访问策略的开启状态，自定义禁止访问的描述语句，当符合abac策略的账号登录时将禁止访问并提示该描述语句；

(2)支持abac策略编辑模块：支持禁止访问策略的abac策略编辑，管理员可通过定义规则，对符合规则的账号才会执行禁止访问，若没有编辑abac策略，即便开启了禁止访问，对所有账号也均不会生效。

5账号风险分析模块；

包括差异账号分析模块、孤儿账号分析模块、不活动账号分析模块、不合规账号分析模块和异常账号处理模块；异常账号处理模块包括：

(1)支持查看风险分析状态模块：iam平台仅保存最后一次分析结果，账号风险管理页面只显示每个风险分析最后一次执行时间及分析状态；

(2)支持风险分析结果处置模块：管理员可对风险分析结果进行单条处置及批量处置，支持分类查看风险分析结果，支持对风险分析结果进行排序及过滤，支持手动关联或删除iam用户。

6工作流管理模块

如图3所示，工作流管理模块主要包括以下模块:

6.1工作流配置模块

iam平台提供基于activiti工作流引擎的工作流管理，功能模块包括：

(1)创建及发布审批流程模块：支持应用系统管理人员在线创建，修改工作流模型并发布成流程，在activiti进行配置；

(2)工作流用户集合配置模块：支持应用账号管理员对工作流用户集合的配置，用户集合可以在id.linkiam平台配置，将自动同步到activiti，也可以在activiti直接配置；

(3)流程拆分模块：支持管理员将复杂请求拆分为多阶段，每个阶段配置不同的审批用户集合；

(4)流程管理模块：支持工作流流程的激活与挂起，支持工作流流程的导入与导出。

6.2应用审批模块

iam平台支持用户自助申请应用访问权限，应用审批模块包括：

(1)用户自助申请模块：对于已在流程管理服务配置的应用，若该用户不拥有该应用的访问权限，可以在应用审批提交应用访问申请单，申请单将提交到该应用的审批人；

(2)用户申请状态查询模块：用户可以查询当前提交的申请的审核状态，支持取消申请；

(3)工作流用户集合用户审批模块：用户自助提交的申请单将根据应用配置好的工作流，逐步提交给审批用户组的用户。

7无账号配置模块

iam平台提供自动生成账号功能，当新接入一个应用系统时，为避免繁琐的手动创建应用系统账号，可以开启无账号配置，开启后将会针对每一个用户身份的用户名生成同名的账号，并关联到这个用户上，之后用户就可以使用该账号登录应用，功能开启后在双数点执行，如:02：00、08：00、20：00。

本发明通过自定义应用信息属性、灵活应用管理员权限管理、管理域管理、灵活定义身份生命周期事件、账号风险分析、工作流管理等，实现了自动监控、自动传递消息，提升了工作效率，提高精细化授权和分级管理水平，提高了iam平台资源管理的系统性、高效性和科学性。

以上所述之实施例仅为本发明的较佳实施例，并非对本发明做任何形式上的限制。任何熟悉本领域的技术人员，在不脱离本发明技术方案范围情况下，利用上述揭示的技术内容对本发明技术方案作出更多可能的变动和润饰，或修改均为本发明的等效实施例。故凡未脱离本发明技术方案的内容，依据本发明之思路所作的等同等效变化，均应涵盖于本发明的保护范围内。