产品简介
# 产品概述
金蝶天燕统一身份管理系统(Apusic Identity Management,简称AIDM)是一款企业身份认证产品,通过给企业提供应用认证、资源权限、用户管理、权限分配、审计日志等一系列的功能,构建统一的身份认证平台,帮助企业打通不同系统间的信息孤岛,实现在用户侧、企业侧、运维侧的数据治理。
主要能力如下:
| 分类 | 说明 |
|---|---|
| 多协议支持 | 支持多种主流认证协议,如OAuth2.0、SAML、LDAP、JWT、OPEDID、FormBased |
| 组件国产化 | |
| 支持多种权限控制模型 | 支持RBAC、ABAC权限控制模型 |
| 多系统集成 | 支持AMDC、AMP、ADMQ |
| 可扩展性 | 支持数据库、协议、中间件容器等组件的插件化开发 |
| 支持多种部署方式 | 支持容器化,私有化部署,在系统设计初期就保留对后续产品SaaS化的支持 |
# 产品功能
AIDM的核心功能如下:
| 核心功能 | 说明 |
|---|---|
| 企业门户 | 支持打造企业门户中心,集应用访问、通知中心、自助申请、待办事项等多场景办公于一体 |
| 单点登录(SSO) | 用户仅登录一次即可访问企业内具有访问权限的应用系统,不再需要重新登录验证。 |
| 用户管理 | 支持数据导入、数据同步、API访问,保证多段数据一致。支持多种人员管理方式,角色管理、组织管理、分组管理 |
| 应用管理 | 用户应用可以通过多种主流协议自定义添加,同时也支持集成应用商店一键添加 |
| 权限配置 | 支持入口级别授权和细颗粒度授权,适配多种用户需求 |
| 审计管理 | 支持用户行为监控,包含用户与管理员的操作记录、登录登出记录、应用访问记录。 |
# 产品优势
# 国产化组件设计
系统核心框架与内部组件采用国产化设计,从系统层面保障数据信息安全, 真正意义上做到独立自主,确保企业的正常运转。
# 跨平台设计
支持多平台运行,如Windows、Linux
# 多种登录认证
系统内置多种应用接入方式,如OAuth2.0、SAML、LDAP、JWT等。针对老旧系统的接入,设置了基于FormBased的方式完成登录认证。
# 多维度用户管理
支持用户的分组管理、角色管理、组织管理,满足不同类型用户的管理需求。同时支持分组授权、角色授权、组织授权等多种授权方式。
# 自定义门户
企业门户支持组件化设计,用户可以自定义定制企业模板,企业主题,门户布局。满足个性化需求。
# 应用场景
# 登录
业务场景
企业员工登录相关业务系统去开展每一天的工作。
现状描述
用户需要执行登录系统去开展每一天的工作,登录场景在企业内部业务系统数量较少时,痛点不明显,用户可能觉得还能接收。但是当企业内部业务系统较多时,用户需要在不同的系统间进行来回切换,同时需要通过浏览器,记事本等等工具去记录不同系统的登录秘钥。
AIDM单点登录
结合用户每天的登录场景,通过提供多种身份的认证方式,提升对使用人的体验,同时通过系统级别的安全认证模式进行单点登录,确保用户一次登录后即可访问该用户可以访问的应用,同时应用数量可控。
# 门户
业务场景
用户通过企业内部门户入口进入子系统。
现状描述
通过书签或者收藏夹的方式进入相应系统,各个系统之间相互独立,没有门户通知中心、个人动态的概念。
AIDM企业门户
AIDM企业信息门户是指在互联网的环境下,把各种应用系统、数据资源和互联网资源统一集到企业信息门户之下,根据每个用户使用特点和角色的不同,形成个性化的应用界面,并通过对事件和消息的处理、传输把用户有机地联系在一起。
# 数据同步
业务场景
组织、角色、用户数据在不同系统间管理。
现状描述
各个系统均由用户数据维护功能,各个系统间的数据形成信息孤岛,管理员需要在不同系统间进行切换。
AIDM数据管理
通过统一的账户管理体系来完成,这样避免了应用系统之间的高度耦合,也避免企业内部组织架构上数据不互通的问题。需要同步的数据通过主动推送和被动接收两种方式,将用户,组织,帐号,应用权限(角色,组,资源)等数据进行同步,从而实现各个系统间数据保持一致。
# 使用限制
系统整体软件开发是基于64位Windows操作系统,采用React完成Web前端的开发,Eclipse IDE for Java 或者idea 完成后端开发,PostgreSQL进行数据库的设计和编辑,最终在能运行Docker容器的操作系统上,利用Google Chrome浏览器完成系统的测试和最终运行。
运行硬件约束: 8CPU + 64 G + 512G 服务器。
# 相关概念
| 简称(ShortName) | en(英文) | zh(中文名称) |
|---|---|---|
| SSO | Single sign-on | 单点登录 |
| IAM | Identity and Access Management | 身份识别与访问管理 |
| IDM | Identity management | 身份管理 |
| AM | Access Management | 访问管理 |
| AC | Access control | 访问控制 |
| Authz | Authorization | 授权 |
| Authn | Authentication | 认证 |
| IDaas | Identity Management as a Service | 身份管理即服务 |
| SAML | Security Assertion Markup Language | 安全断言标记语言 |
| OAuth | OAuth | 为用户资源的授权提供了一个安全的、开放而又简易的标准 |
| OAuth 2.0 | OAuth 2.0 | OAuth1a的升级 |
| OpenID Connect(OIDC) | OpenID Connect | OpenID 的升级,基于OAuth 2.0 |
| OpenID | OpenID | 以用户为中心的数字身份识别框架,它具有开放、分散、自由等特性 |
| CAS | Central Authentication Service | 中央认证服务,Yale 大学发起的一个开源项目 |
| SCIM | System for Cross-Domain Identity Management | 跨域系统身份管理 |
| Token | Token | 令牌 |
| CAPTCHA | CAPTCHA | 验证字/验证码 |
| RBAC | Role-Based Access Control | 基于角色的访问控制 |
| LDAP | Lightweight Directory Access Protocol | 轻量级目录访问协议 |
| API | Application Programming Interface | 应用程序编程接口 |
| Web Services | Web Services | Web服务 |
| HTTP | Hypertext Transfer Protocol | 超文本传输协议 |
| HTTPS | Hypertext Transfer Protocol Secure | 安全HTTP |
| SMTP | Simple Mail Transfer Protocol | 简单邮件传输协议 |
| SDK | Software Development Kit | 软件开发包 |
| Adapter | Adapter | 适配器,用于增强服务的功能,提供额外的服务 |
| Connector | Connector | 连接器,用于本地连接/同步数据到其他服务 |
| HTTPHeader | HTTPHeader | HTTP请求头 |
| JIT | Just-in-Time | 实时/即时 |
| 5A | 5A认证 | 账户管理(Account)统一身份认证(Authentication)统一授权管理(Authorization)统一应用管理(Application)统一审计管理(Audit) |