IDM身份管理平台可以实现各个业务系统的单点登录，通过CAS认证、OAuth认证、接口认证模式实现，通过三种不同方式实现不同场景下的统一认证。

IDM身份管理系统为解决企业内部多系统之间的用户信息不一致而开发，主要定位于解决企业在5A功能上的需求，即：Account账号管理、Authentication认证管理、Authorization授权管理、Audit审计管理、App Control应用管控5个方面的实际需求，进而规范用户身份信息，保证系统安全，提高工作效率。

总体介绍

IDM身份管理平台满足对企业信息系统的统一用户管理、统一身份认证、统一授权管理以及安全审计的要求，能够实现各业务系统的统一登录和集中访问，实现用户身份和权限的统一认证与授权管理，为企业不同的业务系统提供统一的用户管理和认证服务。

1.产品介绍

通过IDM身份管理平台进行统一认证，保证业务系统可以单点登录，既可以根据CAS配置正常登录，也可以通过OAuth认证，下面分别介绍CAS和OAuth认证模式和接口认证。

2.产品体系

首先介绍一下数通畅联的产品体系：

数通畅联所有产品都是通过K8S云管理平台UMC进行部署搭建产品环境，通过不同的产品组合方案解决企业面临的不同信息化困境，帮助企业完善信息化发展，数通畅联的产品支持多种认证方式，如CAS认证、OAuth认证、LDAP/AD、RESTful API、短信认证、扫码认证以及适合集团型公司的分布式认证。

数通畅联的产品中都预置了CAS模式和OAuth模式的配置环境和相关拦截器，因此可以直接通过CAS模式或OAuth模式进行单点登录，无需扩展开发实现。

3.策略优势

在某些特定的场景下，我们所能提供的功能是远远多于需求要求的功能，这样用户可以根据自己的需求来完成相应需求实现的配置。大大提升了用户的体验感，同时关闭了实现某一需求的部分功能，也能使得该功能的执行效率得到提升。并且除了关闭外，我们也可以根据特定的需求设置，如时间、大小等参数，随时满足需求的动态调整。

异时异地策略

IDM的认证策略需要支持异时、异地的判断，可以通过账户的异时与异地登录来进行报警。账户不在常用的地点与常用的IP进行登录，就会触发异时、异地提醒策略，下面详细介绍异时、异地策略。

1.功能介绍

认证策略，异时、异地配置调整，支持在上个月寻找登录次数最多的时段，当用户登录的时间段不是常登录的时间段则会进行相应的报警，支持异地策略，校验用户常用的IP段，当用户登录的IP非该IP段上的IP则会进行相应的报警。

异时策略：

异地策略：

2.功能配置

首先是异时登录策略，该策略配置的是当用户在不常用的时间段登录的时候需要进行验证。我们可以看到相关的策略配置信息，基础配置有是否启用异时策略以及绑定类型，当选择全部绑定时默认IDM所有的用户都绑定当前策略，当选择指定绑定时只有将用户与策略绑定后策略才会生效。

扩展配置就是策略模板所配置的属性，登录日志数量即查询数据库的条数，最低日志数量即查询数据库最少的条数，如果低于查询出的日志条数或者低于配置的条数则不进行异时策略的校验。

然后是时间频率以及定时配置，当时间类型选择间隔时系统会定时多长时间进行一次数据库的查询，当选择每天时系统会每天多长时间进行一次数据库的查询，当选择每周时系统会每周多长时间进行一次数据库的查询。

接下来是异地登录策略，和异时登录策略类似这里就不再复述，异地是在发现用户的登录IP不是常用IP后，需要进行二次认证，异地登录次数过多就会进行账户锁定，相关配置如下:

3.功能展现

用户在异时或异地登录时会触发相应策略，并且锁定时间与锁定递增时间都可以配置。

异时或异地登录次数大于配置的次数就会被锁定，账户锁定后有两种解决方式:第一种是等待锁定时间过后登录，第二种是通过管理员进行解锁后登录。

然后点击锁定人员的登录解锁按钮，就可以正常登录了。

登录失败策略

IDM的认证策略需要支持对密码的判断，可以通过账户的登录来进行失败次数的判断。

失败次数处理:可以在设置几分钟里超过几次登录就会进行账户的锁死。

防暴力破解: 锁定的时长将根据用户自己的设定来执行，同时为防止黑客的暴力破解，我们在锁定账户的同时支持设置通知的方式，我们可以在遭遇暴力破解时第一时间知道。

1.功能介绍

失败次数配置:支持配置失败上限，支持配置提醒方式，支持配置锁定时间与锁定递增时间。

2.功能配置

失败次数: 支持配置失败次数上限与对应的提醒方式以及是否启用二次认证和它对应的方式。

在平时的使用中我们面对黑客的攻击或者蓄意的账号盗取，需要对暴力破解进行一些设置， 配置了锁定的时间后，当超出次数后将进行账户的锁死操作，而锁定的时长将根据用户自己的设定来执行，同时为防止黑客的暴力破解，我们在锁定账户的同时支持设置通知的方式，我们可以在遭遇暴力破解的时候第一时间知道。

3.功能展现

在页面点击登录并失败次数过多后，页面会提示当前登录失败次数过多，请在几秒后重新登录，并且在锁定中不可登录。

账户锁定后有两种解决方式：第一种是等待锁定时间过后登录，第二种是通过管理员进行解锁后登录。

然后点击锁定人员的登录解锁按钮就可以正常登录。

密码失败策略

IDM的认证策略需要支持对密码的判断，可以通过账户的登录来进行失败次数的判断。

密码修改失败次数上限策略可以在修改密码时判断修改密码是否成功，如果失败次数超过5次（可配置）就会锁定账户一段时间（可配置），下面详细进行介绍。

1.功能介绍

密码修改失败次数上限策略: 支持配置失败上限，支持配置提醒方式，支持配置锁定时间。

2.功能配置

密码修改失败次数上限配置：支持配置解锁时间与修改次数上限、提醒方式与对应的提醒内容。

3.功能展现

在修改密码页面进行修改密码，在开启密码校验策略后如果修改密码次数超过5次，修改密码页面会出现对应的提示信息，并在一段时间内本账户将不可修改密码。

密码校验策略

IDM的认证策略需要支持对密码的判断，可以通过账户的登录来进行失败次数的判断。

失败次数处理:可以设置我们密码的类型如:含大小写，数字字母组合，特殊符号等，还可以设置密码的有效期，也可以自定义天数，还可以修改解锁时间与修改次数上限。

1.功能介绍

密码校验配置支持配置密码推荐组合也可自定义，支持配置密码强弱监控入口如:登录入口，修改密码，认证入口等。

2.功能配置

密码校验配置:可以配置比较强的密码，也可以配置弱一些的密码，也可以选择密码的监控入口。

密码有效期配置:可以配置时间稍长的密码也可以配置时间稍短的密码，还可以配置相应的提醒方式。

密码校验配置，首先我们可以选择是否启用自定义配置，如果不启用自定义配置，我们可以选择只校验推荐组合，也可以选择推荐组合与校验规则一起校验，密码强弱监控入口可以选择在那些地方判断当前密码是强是弱。如下：

如果启用自定义配置我们选择推荐组合对应的校验规则也会相应改变，强弱密码也是如此。

3.功能展现

密码校验可以通过扩展配置的推荐组合与规则检验来进行修改密码时的校验，修改密码页面触发密码检验策略:

登录页面密码强度校验:

密码有效策略

1.功能介绍

密码有效期配置支持配置密码有效期，支持配置自定义天数，支持配置提前提醒时间，支持配置提醒方式。

2.功能配置

密码有效期策略：在登录时会判断密码是否在有效期内，如果不在有效期内则会弹出修改密码窗口，如果在有效期则会弹出提示。

3.功能展现

密码有效期:在点击登录时校验密码是否在有效期内，如果有效期到了，就弹出修改密码界面来进行密码的修改。

在有效期内：

不在有效期内：

用户点击修改密码会进入到短信、邮箱验证页面：

用户在此页面输入对应的手机号或邮箱后点击发送验证码，用户的手机号或邮箱会收到数字验证码，输入验证码点击找回密码验证通过后就会进入到修改密码页面。

登录页面密码有效期策略校验:

账号时效策略

1.长时间未登录-账户锁定策略

实际场景中账户长时间未登录账户就会被冻结，冻结后需要联系管理员/分级管理员来对冻结的账户进行解锁。

> > > > 功能介绍

长时间未登录-账户锁定策略: 支持配置不操作时效，支持配置提醒方式，支持配置提醒内容。

> > > > 功能配置

长时间未登录-账户锁定策略：在登录时会判断用户上一次登录时间与这次登录时间间隔是否大于不操作时效的天数，如果大于账户锁定，如果小于正常登录。

> > > > 功能展现

在长时间未登录-账户锁定策略里绑定两个用户。

分别测试两个用户，一个长时间未登录后登陆时是否被锁定。

然后通过管理员进行解锁。

解锁后通过刚刚被锁定的用户进行登录查看是否登录成功。

再通过另一个活跃的账户进行登录查看是否发送邮件并成功登录。

2.长时间未登录-二次认证策略

实际场景中账户长时间未登录账户可以进行二次认证后成功登录。

> > > > 功能介绍

长时间未登录-二次认证策略: 支持配置不操作时效，支持配置提醒方式，支持配置提醒内容以及配置二次认证方式。

> > > > 功能配置

长时间未登录-二次认证策略：在登录时会判断用户上一次登录时间与这次登录时间间隔是否大于不操作时效的天数，如果大于需要通过二次认证，二次认证成功后正常登录，如果小于正常登录。

> > > > 功能展现

在长时间未登录-二次认证策略里绑定两个用户。

分别测试两个用户，一个长时间未登录后登陆时是否需要进行二次认证，认证通过后是否登录成功。

再通过另一个活跃的账户进行登录查看是否发送邮件并成功登录。

心得体会

通过撰写本次安全策略工作说明文档，我认识到我在安全策略认证方面的知识掌握得还不够深入，也让我对安全策略有了一个整体的认知，也明白了一个账号的安全对于平台来说是多么重要。

1.业务场景

针对不同的安全策略配置方式，有相应的安全策略场景，根据不同的使用场景情况，选择相应的安全策略方式，不仅有相应的安全策略方案和样例的支撑，同时也能快速地给出客户最合理的安全策略方式，并且成熟的方案以及对接样例也能极大的减少实施的成本，保证项目的快速推进。

2.产品理解

对任何企业来讲，身份信息管理都是一项繁重的工作，一是要保证人员和组织架构信息的准确性，二是使这些信息能够在不同的目录或应用中高效地交互。

在复杂的商业环境下，IT人员不仅要管理内部员工，还有大量的合作伙伴、供应商等多种类型人员需要进行身份信息和权限的管理。不同类型的大量人员和组织架构信息分布在不同的系统中，使身份信息管理工作的难度大大增加。

通过身份管理平台能够集成所有业务系统，统一访问页面，将分布在不同系统中的不同类型人员和组织架构信息进行集中管理，也可将信息推送至已集成的本地业务系统中，既能保证信息的准确性，又可以使信息在不同系统和应用中高效地交互。

3.产品发展

IDM身份管理平台主要提供统一认证、统一用户、统一授权、统一审计、统一应用管控的功能，IDM的设计理念在于加强企业账户管理、支撑企业业务运营、简化企业内部运维，实现统一认证、授权、审计管理，提高企业身份认证及访问安全，建立授权流程审批机制，使用户身份信息、授权信息、审批信息等操作更加规范化、标准化，提高整体IT架构的风险防范能力，为简化IT运维提供强大的技术手段和标准，实现账户数据自动化同步操作的同时制定合规的安全服务规范，构建统一的、支撑企业级的认证授权安全服务基础设施。

后续IDM也将继续完善优化，强化与其它产品之间的相互组合，会在项目中不断地打磨去让产品变得更好，能适用越来越多使用场景，能满足越来越多市场的需求。

本文由@数通畅联原创，欢迎转发，仅供学习交流使用，引用请注明出处！谢谢~