时代亿信认证墙系列产品为B/S、C/S业务系统、网络设备、主机、数据库等资源，提供高性能的安全认证、统一接入、访问控制、用户管理、安全审计服务，满足企业对多种异构资源的认证及访问控制需求。

    认证墙UAP-U统一用户管理产品提供用户生命周期管理服务，通过灵活的数据同步和梳理策略，可以将分散在各个应用系统中的用户帐户信息、组织机构信息进行整合，建立统一数据规范并同步给各个应用系统。

企业应用系统用户管理现状

    独立规划、独立建设是企业应用系统建设过程中的普遍现象，不同应用系统有不同的数据标准，造成企业用户数据管理工作难度大、成本高，还存在较大的安全隐患：

企业统一用户管理建设难点

产品组成
    UAP-U产品的基本组成包括：统一用户管理平台、数据同步工具、数据梳理工具以及企业目录这四部分组成。

 

UAP-U 产品的解决之道
    UAP-U产品通过以下几方面措施解决企业在实施统一用户管理项目中的各类难点问题：

专门的数据分析整理工具

    UAP-U产品所配置的数据同步工具和数据梳理工具，具备其他同类产品所缺少的数据建模、同步、梳理、转换等关键功能，能够高效的实现对企业现有应用系统用户信息的整理，在最短时间内形成企业标准规范的用户信息数据，大幅减少统一用户管理体系建立的周期。
 
丰富的适配器，广泛的应用支持
    为了更好地适应企业应用系统，减少二次开发和定制修改工作，UAP-U产品内置了大量丰富的应用适配器和数据适配器。

    应用适配器支持IBM、Oracle、SAP、微软、金蝶、用友等厂商的OA、ERP、CRM、HR、邮件、即时通讯等各类标准应用软件，实现了开箱即用。

    数据适配器支持Oracle、DB2、SQLServer、MySQL等主流数据库，支持各类LDAP V3标准的目录服务器，如IBM TDS、Oracle Directory Server、南大通用、南开创元等，支持微软AD服务器，并具有WebService数据同步接口。通过上述接口，UAP-U产品可以无缝对接各类数据源，也可以向各类应用系统同步数据。

具备统一认证、单点登录、统一用户管理的一体化解决方案
    时代亿信专门为企业提供了“统一用户管理、统一身份认证、统一访问授权”的整体安全解决方案。

    如右图所示，内网中的所有业务系统均与UAP-U产品集成，加入统一用户管理体系中，同时集成UAP-S统一认证与访问控制产品，每个业务系统都将认证请求提交到UAP-S产品进行认证，从UAP-U产品中获得访问授权，真正的将企业目录作为企业内部{wy}的认证源。

    同时，在根据需求部署UAP-G产品，利用产品间的SmartCOM接口，将UAP-G产品、UAP-U统一用户管理产品和UAP-S统一认证产品融为一体，使用户经过一次认证，便可获得全网的授权。

实施案例简介
    某集团公司具有众多下属公司，主要业务涵盖供应链运营、房地产开发、旅游酒店、会展业等多个领域，建有大量应用系统供日常业务经营使用，迫切需要对分散的用户数据进行整合与集中管理。

    时代亿信承建该集团统一用户管理工程，为了能够保证在多层级、多应用、异构的企业环境中建立并成功运转统一用户管理体系，时代亿信采用“3C Key Phase”实施方法论指导整个项目实施过程。

    “3C Key Phase”实施方法论将实施流程归结为整理、规范、实现三个关键阶段：Data Collation 数据整理阶段、Data Carry-Out 数据实现阶段、Data Carry-Out 数据实现阶段。通过“3C Key Phase”实施方法论，有效保证整个工程实施节点可控、实施难度可控、实施风险可控。

    在有效实施方法论指导下，该集团公司还采用了时代亿信UAP-U产品，利用其完善的数据同步、统一认证、单点登录接口，直接支持Liferay门户、流程平台、eHR、金蝶EAS、CoreMail、RTX等公司内部标准产品，针对公司内使用LDAP进行用户信息同步的应用系统，UAP-U产品在LDAP中发布层级结构节点，方便用户数据管理维护。

UAP-U 统一用户管理平台产品功能
· 3C Key-Phase”模式的统一用户管理： UAP-U统一用户管理平台将用户数据的管理流程归结为Data Collations数据整理阶段、Dta Critwerion数据规范化阶段和Data Carray-Out数据实现阶段，统称为“3C Key-Phase”模式的统一用户管理。

    数据整理的过程首先要对现有用户数据进行属性分析、业务分析，并且对系统间的用户数据、属性进行冲突分析，{zh1}，根据上述的分析结果综合整理出一份“统一用户数据规范”。

    在数据规范化阶段，系统根据整理后的数据制定统一用户数据规范及接口规范作为今后应用系统数据传输和交换的标准。

    完成数据的整理和规范化后，在数据是现阶段对各应用系统根据数据规范和接口规范进行改造，完成统一用户管理的接入。

    系统接入时，管理员会根据该业务系统的自身情况制定数据同步的通讯方式、用户属性、同步策略等相关配置，完成配置后，便可对该业务系统进行用户数据的初始化。

· 提供数据分析整理辅助工具：
    在数据的收集和整理的过程中，UAP-U统一用户管理平台分别为用户提供了两个数据工具：数据同步工具（EDI）与数据梳理工具（EDC）。他们具有相似的特性，但也具有本质上的区别。下表描述了两个工具的主要功能特点：

· 面向流程驱动的用户生命周期管理： 对于大型企业来说，一套完整的用户生命周期管理是必不可少的。简单的生命周期只需用创建、修改、删除的基本操作就可以概括，而复杂的生命周期管理需要更细致、更xx的控制用户信息的各项参数，用户信息在整个生命周期中的每一次修改可能都要经过层层审核。

    UAP-U统一用户管理平台为用户提供了一种面向流程驱动的用户生命周期管理方式。

    UAP-U为用户提供了一套灵活可配置的用户管理流程引擎，除了能够自定义开户、销户、属性变更等基本用户管理的流程外，管理员还可以结合用户、组织机构的属性，通过定义对“管理用户的流程”与“特定属性”进行定义，指定对用户哪些属性进行何种操作时需要何种审核，这是一种非常直观且实用的用户管理流程。每个企业都有自己的关键属性，比如在保密单位中用户信息的保密等级是最重要的，在其他企业中可能员工等级更重要。那么管理员只需要在用户模型中设定哪些属性的改变需要由什么人来审批就可以了，对于非关键属性的修改，系统可以执行自动审批动作。

    UAP-U统一用户管理平台出了自身提供的用户生命周期管理之外，同时提供了一套外部系统的用户管理接口，它允许用户使用实现此接口的业务系统来进行用户数据的管理，而将本身变为一套对用户数据进行同步、梳理、分发工作的自动处理系统。

· 灵活可控的业务系统数据同步机制：
    UAP-U为用户提供了一整套灵活的业务系统同步机制，该机制由数据同步事件拦截器与属性订阅服务两部分组成。

· 对于企业组织机构属性的完善支持：
    通过UAP-U实现组织机构管理后，业务系统可以通过订阅、查询接口获得{zx1}的组织机构信息，当人员、机构发生变更时，可以实现一次修改，全部生效的使用效果。如销售部的人员发生了变化，管理员在UAP-U或数据源中修改了该组织机构的用户属性，OA系统同步接收组织机构信息后，流转中的公文即可按照修改后的上下级关系进行。

    另外，在日常工作中，经常出现企业内“兼职”的情况。如某分公司经理同时隶属于集团总部内的某个上层部门，或者某项目经理同时隶属于多个开发部门。

    目前主流的用户管理系统对这类用户的属性管理是十分薄弱的。UAP-U针对这一薄弱环节，结合用户的日常使用流程，为用户提供了更为灵活的用户属性管理。

    如当某个用户单独存在时，他只具有基本属性，但当他在销售部门时，会与销售部门的属性结合，得到“销售部经理”这个新的属性。当该用户进入产品部时，会与产品部门的属性结合，得到“产品市场顾问”这一属性。

    基于上述原理，UAP-U统一用户管理平台实现了一套灵活组合用户属性和部门属性的管理和实现机制。

· 丰富的适配器，支持主流企业应用数据源：
    为了更好地适应企业业务系统，减少定制环节，UAP-U统一用户管理平台除了支持定制WebService接口形式的数据同步外，默认还实现了与Oracle、DB2、SQLServer、MySQL等主流数据库，并实现了AD/LDAP协议，可与其他系统中提供的数据目录进行对接。

· 便捷可靠的运维方式： 对于企业来说，一套系统的建立成本不仅在于建设时的成本，其中也包含着建设中与建设后的维护成本。UAP-U统一用户管理平台在设置时已经为用户考虑过日后的维护问题，并将主要问题归类，并提出了相应的解决方案。

· 便利的新增业务系统接入流程
    UAP-U对新业务系统良好的支撑性将得到体现，该平台为业务系统提供了多种获取用户数据的方式，标准的WebService订阅接口、通用的LDAP企业目录或者直接向业务系统的数据库中写入数据等。

    同时，利用UAP-U统一用户管理平台可控的数据队列，可以方便地为不同同步水平的业务系统单独建立数据自己的增量数据通道。

· 运维操作自动通知机制
    在UAP-U中完成各种模型和策略的配置后，UAP-U统一用户管理平台便可自动运转，管理员除了调整策略和记录审计之外几乎无需xxUAP-U的管理平台。当系统发生异常时， UAP-U统一用户管理平台支持发送电子邮件的方式通知管理员系统发生了何种异常，同时，根据三员分立的原则，管理员还可以设定当系统发生何种类型的异常时去通知指定的管理员进行处理。目前UAP-U统一用户管理平台支持中国电信的“SMGP”短信发送协议。与邮件相比，短信具有更强的实时性。

· 用户同步队列容错处理
    UAP-U的数据队列处理方式更符合生产流程，当用户数据在队列处理过程中发生异常时，队列会把该数据放置到待处理队列中，同时当前数据处理队列继续向下推进。

    管理员在收到系统发出的异常处理提醒后，可在管理员平台中找到发生异常的数据，并可根据实际情况对该数据进行修正，修正解决用户数据的异常后，管理员可以将该数据重新退回到原有数据队列中，继续进行它本来预定的流程。

· 安全的体系设计：
    在实际运用中，选择使用统一用户管理系统的用户同时还会选用选择统一用户认证系统，通过两个系统的结合，达到统一用户和权限管理，统一用户认证方式的安全需求。

    上述需求不仅是企业对网络安全建设的更高期许，在保密单位中更是一种强制的信息安全管理要求。

    经过多年在军工、航天、金融等领域内的时间经验，秉承着对信息安全的执着追求，UAP-U统一用户管理平台具备一般统一认证管理系统
所不具备的安全标准管理：

三员分立式管理：
管理员：负责系统配置及安全策略设置；
用户管理员：负责用户信息及数据同步订阅管理；
安全审计员：负责日志记录的维护与管理；

详实的日志审计：
用户日志：详实记录每个用户修改属性的前后情况，发生时间等信息。
管理员日志：详实记录管理员每个操作的前后情况以及发生的时间等信息。
系统日志：记录着系统运行过程中发生的事件。

    另外，在结合UAP-G网关或UAP-S统一认证系统时，可为用户提供符合保密标准的统一用户管理与认证服务。

    UAP-U本身提供的统一密码管理功能在管理用户密码的同时，也会对密码进行强度验证、定期修改等安全控制。

    对于智能卡认证的用户，UAP-U统一用户管理平台同样会在用户属性下发时告知业务系统此用户下次修改PIN码的时间或其他安全性要求。在结合认证产品后，还可为其提供认证信息以及授权信息，真正做到统一管理、统一授权、统一认证。

· 统一认证及访问控制系统的无缝结合： 单纯的统一用户管理系统只能为用户建立一种规范，以及基于此规范进行用户数据的转换、整理和存储服务。它在内网中最主要的作用是为其他业务系统一共标准、可信的用户信息数据。

    在完成统一用户管理平台的建设后，企业往往会有这样的需求：在一个固定的位置处理用户的认证请求，并且根据认证后获得的权限来访问内部网络中的业务系统。

    针对上述需求，时代亿信专门为企业提供了“统一用户管理、统一身份认证、统一访问授权”的整体安全解决方案。

UAP-U 统一用户管理平台产品规格
可管理用户数大于10万
可管理组织机构数大于1万
可同步订阅的应用系统数大于200
可管理的权限模型数大于2000

UAP-U 统一用户管理平台产品方案
    时代亿信认证访问控制墙认证访问控制墙是一款提供认证和访问控制的硬件设备，为企业B/S和C/S业务系统、网络设备、主机、数据库等企业资源，提供高性能的安全认证、统一接入、访问控制、安全管理、安全审计服务。产品能够满足不同企业集中认证、访问控制和安全管理的需求。

    认证访问控制墙通过网络层和应用层联动，采用网络层协议分析与应用层访问策略相结合的访问控制技术，形成用户信息、协议号、目的IP地址、目的端口的用户身份动态资源访问控制策略；在不改动用户应用的前提下，通过协议分析，实现资源的细粒度访问控制；使用流量限速的差异化访问技术，克服传统只能针对应用进行QoS设定的缺陷，实现了用户身份与应用绑定的流量控制功能，提高系统性能；同时，本产品可应用到WLAN无线和3G网络，实现基于无线网络的统一认证与访问控制。本产品已在中国电信总部OA统一认证与访问控制工程、中央国债统一认证及访问控制工程等项目中成功使用。

    认证访问控制墙着眼于应用层和网络层两个层面的认证与访问控制联动，为电信级企业或集团的各类用户和应用系统、主机、网络设备等资源提供高性能的安全认证服务、安全接入与访问控制服务、安全管理服务、安全审计服务。

    时代亿信推出的认证访问控制墙，是当前市场中{wy}整合了CA、动态口令、短信认证等多种身份认证技术、应用动态加密通道、网络流量差异化服务、网络层访问控制、应用代理、信息中转和推送、协议分析、URL重写、内容过滤、内容重写、端到端加密通道、服务器插件信息提取等多项关键技术，综合提供身份统一管理、角色统一管理、资源统一管理、授权统一管理、身份统一认证、访问控制等功能的产品，能有效整合各种应用系统用户资源，增强应用资源安全性，提高工作效率，降低沟通成本，是对多种信息安全技术、身份认证技术和访问控制技术的综合应用，可广泛满足用户的多种需求，而无须进行二次开发，快速部署和应用。