CN117195177A - 一种面向大数据平台的统一用户管理系统及方法 - Google Patents
一种面向大数据平台的统一用户管理系统及方法 Download PDFInfo
- Publication number
- CN117195177A CN117195177A CN202311034229.2A CN202311034229A CN117195177A CN 117195177 A CN117195177 A CN 117195177A CN 202311034229 A CN202311034229 A CN 202311034229A CN 117195177 A CN117195177 A CN 117195177A
- Authority
- CN
- China
- Prior art keywords
- user
- authorization
- management module
- unified
- big data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title description 10
- 238000007726 management method Methods 0.000 claims abstract description 109
- 238000013475 authorization Methods 0.000 claims abstract description 71
- 238000012795 verification Methods 0.000 claims abstract description 7
- 238000012550 audit Methods 0.000 claims description 10
- 238000012217 deletion Methods 0.000 claims description 9
- 230000037430 deletion Effects 0.000 claims description 9
- 230000006399 behavior Effects 0.000 claims description 8
- 230000008859 change Effects 0.000 claims description 7
- 238000011217 control strategy Methods 0.000 claims description 6
- 230000008520 organization Effects 0.000 claims description 5
- 230000001360 synchronised effect Effects 0.000 claims description 5
- 238000012986 modification Methods 0.000 claims description 3
- 230000004048 modification Effects 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 230000004075 alteration Effects 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012536 packaging technology Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
一种面向大数据平台的统一用户管理系统包括:账号管理模块、认证管理模块、授权管理模块;账号管理模块用于对用户账号和角色进行统一管理;授权管理模块用于对大数据平台各组件的资源及角色进行统一授权管理;认证管理模块用于进行身份鉴定完成用户登录和访问控制;一种面向大数据平台的统一用户管理方法包括对注册的所有资源进行统一授权管理,将资源的授权信息及角色的授权信息同步至业务系统,用户发起登录请求后,通过用户的身份信息、访问请求及环境参数完成用户的身份验证后完成用户单点登录及访问控制。本发明实现了对各业务系统的资源及用户统一管理及授权,解决了多套系统的多套账号、多套口令、多套安全策略,无法进行统一管理的问题。
Description
技术领域:
本发明涉及信息安全技术领域,具体涉及一种面向大数据平台的统一用户管理系统及方法。
背景技术:
随着信息技术的迅速发展,企业越来越依赖于各类信息系统提供的运营和支撑能力,随之各种业务系统不断发展,使用和维护业务系统的用户数量持续增加,网络规模日益扩大,一方面系统维护和管理人员的工作负担增加,工作效率受到严重影响;另一方面无法对各业务系统实现统一的安全策略,原有分散的“独立认证、独立授权、独立帐号管理”的模式容易造成私设账号、扩散帐号、非法访问、审计失效等情况,从而在实质上降低了业务系统的安全性,从而给企业造成严重的安全损失。因此,亟需构建一个完整统一、高效稳定、安全可靠的集中身份认证和管理平台。
发明内容:
针对上述问题,本发明提供了一种面向大数据平台的统一用户管理系统及方法,达到了统一资源管理和身份认证的目的。
一种面向大数据平台的内容识别系统,该系统包括:账号管理模块、认证管理模块、授权管理模块;
所述账号管理模块用于对用户账号和角色进行统一管理,将所有业务系统的用户账号以列表的形式存储在本模块,在抽取业务系统的用户时,将所述用户已有的权限也抽取出来存储在本模块;定义角色集合,为不同的账号分配不同的角色,将用户与角色绑定,当对角色授权时,角色所属用户将也被同等授权;定义账号管理策略,所述账号管理策略包括账号删除、新增、更新、账号密码更新周期,当业务系统的账号信息发生变化时,将变化后的账号信息同步至所述账号管理模块中,可根据本系统具体的应用场景设定账号密码更新周期;一般的,若本发明提供的一种面向大数据平台的内容识别系统被应用于通信运营商,则业务系统包括彩铃系统、彩信系统、通话系统等;一般的,角色可定义为管理员、运维人员、技术开发人员、数据访问请求者等;
所述授权管理模块用于对大数据平台各组件的资源及角色进行统一授权管理:按照统一要求将大数据平台各组件的资源进行注册,对所述资源及账号管理模块定义的所有角色进行统一授权;
所述认证管理模块用于进行身份鉴定,完成用户登录和访问控制:通过用户身份信息、访问请求和环境参数进行用户身份认证,用户身份认证通过后,用户登录目标业务系统,并完成访问控制;其中,所述用户身份信息包括用户名、口令、用户角色、所属组织机构,环境参数为IP地址;本模块还支持第三方认证,支持本系统与第三方系统如OA系统、4A系统之间的认证;同时本方法可以对接Kerberose认证,所述Kerberose认证是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。
优选的,所述系统还包括审计管理模块,所述审计管理模块用于实时记录用户的登录及操作行为,完成对用户的登录及操作行为的审计;若用户的环境参数发生变化、或操作行为与用户权限及资源权限不符时,则发出报警并记录用户异常行为。
优选的,对所述资源进行统一授权具体为:资源是否可被删除、更新、访问、更改;对所述账号管理模块定义的所有角色进行授权具体为:授权角色可实现对哪些资源的访问、删除、更改;
优选的,若用户所属角色的访问请求与所述资源的授权范围及角色的授权范围相符,则所述用户身份认证通过,具体的,匹配用户的身份信息、访问请求及环境参数,若用户名在授权列表内、口令合法,用户访问请求与其授权范围一致,所属组织机构及IP地址合法,则通过用户身份认证。
优选的,所述用户身份认证通过后通过单点登录的方式登录目标业务系统,提供用户单点登录,采用安全封装技术,封装用户登录后的认证状态信息,以安全方式传递到各个相关业务系统中,实现快捷、安全的单点登录,所述安全方式包括:口令加密传输、安全证书、HTTPS等方式。
一种面向大数据平台的统一用户管理方法,所述方法包括以下步骤:
步骤一:所有业务系统按照统一要求将自身资源进行注册;
步骤二:对注册的所有资源进行统一授权管理:授权资源是否可被删除、更新、访问、更改;对所有业务系统的所有角色进行统一授权管理:授权角色可实现对哪些资源的访问、删除、更改;并将授权的规则同步发送给各业务系统,所述授权的规则为基于资源-角色授权;
步骤三:将资源的授权信息及角色的授权信息同步至所述业务系统,所述同步的方法为调用API接口进行数据传输,达到同步,或通过数据库表-权限关系表同步数据;并设定同步周期,根据本发明提供的系统应用的具体场景设定同步周期;
步骤四:用户发起登录请求,并将所述登录请求提交至认证管理模块;
步骤五:认证管理模块通过用户的身份信息、访问请求及环境参数完成用户的身份验证;身份验证用过后,认证管理模块将所述用户的身份信息、访问请求及环境参数形成访问请求,并将所述访问请求提交给授权管理模块;
步骤六:授权管理模块形成包含用户的身份信息、访问请求及环境参数的决策请求;
步骤七:授权管理模块匹配用户的身份信息,验证用户所属角色的授权信息,形成用户访问控制策略;
步骤八:授权管理模块执行所述用户访问控制策略,将登录请求提交给所述目标业务系统;
步骤九:所述目标业务系统完成用户单点登录。
优选的,当业务系统的资源发生变更时,将更改后的资源进行注册,对更改后的资源重新授权后,同步至所述业务系统。
优选的,所述访问控制策略为:若用户的访问请求与用户所属角色权限及访问的目标资源权限一致,则允许访问;反之,则拒绝访问。
优选的,所述步骤一中资源注册的要求为:填写注册必要信息;所诉必要信息包括:大数据组件名称、IP地址、大数据平台类型、平台版本号。
本发明提供的一种面向大数据平台的统一用户管理系统及方法,实现了对各业务系统的资源及用户统一管理及授权,解决了多套系统的多套账号、多套口令、多套安全策略,无法进行统一管理的问题,同时,业务系统的资源、账号及授权范围可实时同步至本发明的系统中,因此具有良好的交互性和安全的授权操作机制,降低授权管失误的风险。
附图说明:
附图1是本发明实施例中一种面向大数据平台的统一用户管理系统的结构图。附图2是本发明实施例中一种面向大数据平台的统一用户管理方法的流程图。
具体实施方式:
为了使本发明技术方案更容易理解,现用具体实施例的方式,对本发明设计的一种面向大数据平台的统一用户管理系统及方法进行清晰、完整的描述。
以下结合说明书附图1对本发明提供的一种面向大数据平台的统一用户管理系统进行说明,所述系统包括:账号管理模块、认证管理模块、授权管理模块、审计管理模块;
所述账号管理模块用于对用户账号和角色进行统一管理,将所有业务系统的用户账号以列表的形式存储在本模块,在抽取业务系统的用户时,将所述用户已有的权限也抽取出来存储在本模块;定义角色集合,为不同的账号分配不同的角色,将用户与角色绑定,当对角色授权时,角色所属用户将也被同等授权;定义账号管理策略,所述账号管理策略包括账号删除、新增、更新、账号密码更新周期,当业务系统的账号信息发生变化时,将变化后的账号信息同步至所述账号管理模块中,可根据本系统具体的应用场景设定账号密码更新周期;一般的,若本发明提供的一种面向大数据平台的内容识别系统被应用于通信运营商,则业务系统包括彩铃系统、彩信系统、通话系统等;一般的,角色可定义为管理员、运维人员、技术开发人员、数据访问请求者等;
所述授权管理模块用于对大数据平台各组件的资源及角色进行统一授权管理:按照统一要求将大数据平台各组件的资源进行注册,对所述资源及账号管理模块定义的所有角色进行统一授权;对所述资源进行统一授权具体为:资源是否可被删除、更新、访问、更改;对所述账号管理模块定义的所有角色进行授权具体为:授权角色可实现对哪些资源的访问、删除、更改;一般的,Hive组件的资源支持被创建、删除、查询、更新、结构修改;管理人员可删除、访问、新增所述资源的权限,运维人员具有修改所述资源的权限,数据访问请求者具有访问所述资源的权限;
所述认证管理模块用于进行身份鉴定,完成用户登录和访问控制:通过用户身份信息、访问请求和环境参数进行用户身份认证,若用户所属角色的访问请求与所述资源的授权范围及角色的授权范围相符,则所述用户身份认证通过,具体的,匹配用户的身份信息、访问请求及环境参数,若用户名在授权列表内、口令合法,用户访问请求与其授权范围一致,所属组织机构及IP地址合法,则通过用户身份认证;用户身份认证通过后,用户登录目标业务系统,并完成访问控制;所述用户身份认证通过后通过单点登录的方式登录目标业务系统,提供用户单点登录,采用安全封装技术,封装用户登录后的认证状态信息,以安全方式传递到各个相关业务系统中,实现快捷、安全的单点登录,所述安全方式包括:口令加密传输、安全证书、HTTPS等方式;其中,所述用户身份信息包括用户名、口令、用户角色、所属组织机构,环境参数为IP地址;本模块还支持第三方认证,支持本系统与第三方系统如OA系统、4A系统之间的认证;同时本方法可以对接Kerberose认证,所述Kerberose认证是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证;
所述审计管理模块用于实时记录用户的登录及操作行为,完成对用户的登录及操作行为的审计;若用户的环境参数发生变化、或操作行为与用户权限及资源权限不符时,则发出报警并记录用户异常行为。
以下结合说明书附图2对本发明提供的一种面向大数据平台的统一用户管理方法进行说明,所述方法包括以下步骤:
步骤100:所有业务系统按照统一要求将自身资源进行注册,资源注册的要求为:填写注册必要信息;所诉必要信息包括:大数据组件名称、IP地址、大数据平台类型、平台版本号;当业务系统的资源发生变更时,将更改后的资源进行注册,对更改后的资源重新授权后,同步至所述业务系统;
步骤110:对注册的所有资源进行统一授权管理:授权资源是否可被删除、更新、访问、更改;对所有业务系统的所有角色进行统一授权管理:授权角色可实现对哪些资源的访问、删除、更改;并将授权的规则同步发送给各业务系统,所述授权的规则为基于资源-角色授权;
步骤120:将资源的授权信息及角色的授权信息同步至所述业务系统,所述同步的方法为调用API接口进行数据传输,达到同步,或通过数据库表-权限关系表同步数据;并设定同步周期,根据本发明提供的系统应用的具体场景设定同步周期;
步骤130:用户发起登录请求,并将所述登录请求提交至认证管理模块;
步骤140:认证管理模块通过用户的身份信息、访问请求及环境参数完成用户的身份验证;身份验证用过后,认证管理模块将所述用户的身份信息、访问请求及环境参数形成访问请求,并将所述访问请求提交给授权管理模块;
步骤150:授权管理模块形成包含用户的身份信息、访问请求及环境参数的决策请求;
步骤160:授权管理模块匹配用户的身份信息,验证用户所属角色的授权信息,形成用户访问控制策略,所述访问控制策略为:若用户的访问请求与用户所属角色权限及访问的目标资源权限一致,则允许访问;反之,则拒绝访问;
步骤170:授权管理模块执行所述用户访问控制策略,将登录请求提交给所述目标业务系统;
步骤180:所述目标业务系统完成用户单点登录:目标业务系统通过用户登录请求,在目标访问资源页面形成登录请求,并将所述登录请求提交至所述授权管理模块;授权管理模块验证用户的授权信息及所述访问控制策略,并形成访问控制决策,将所述访问控制决策结果通知给所述目标业务系统,目标业务系统组织目标访问资源内容并返回结果,用户登录成功;其中所述访问控制决策结果包括允许用户访问、拒绝用户访问。
应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理和宗旨的的前提下,还可以做出若干改进、替换、变型和润饰,这些改进、替换、变型和润饰也应视为本发明的保护范围。
Claims (9)
1.一种面向大数据平台的统一用户管理系统,其特征在于,所述系统包括:账号管理模块、认证管理模块、授权管理模块;
所述账号管理模块用于对用户账号和角色进行统一管理,将所有业务系统的用户账号以列表的形式存储在本模块;定义角色集合,为不同的账号分配不同的角色;定义账号管理策略,所述账号管理策略包括账号删除、新增、更新、账号密码更新周期;
所述授权管理模块用于对大数据平台各组件的资源及角色进行统一授权管理:按照统一要求将大数据平台各组件的资源进行注册,对所述资源及账号管理模块定义的所有角色进行统一授权;
所述认证管理模块用于进行身份鉴定,完成用户登录和访问控制:通过用户身份信息、访问请求和环境参数进行用户身份认证,用户身份认证通过后,用户登录目标业务系统,并完成访问控制;其中,所述用户身份信息包括用户名、口令、用户角色、所属组织机构,环境参数为IP地址。
2.如权利要求1所述的一种面向大数据平台的统一用户管理系统,其特征在于,所述系统还包括审计管理模块,所述审计管理模块用于实时记录用户的登录及操作行为,完成对用户的登录及操作行为的审计。
3.如权利要求1所述的一种面向大数据平台的统一用户管理系统,其特征在于,对所述资源进行统一授权具体为:资源是否可被删除、更新、访问、更改;对所述账号管理模块定义的所有角色进行授权具体为:授权角色可实现对哪些资源的访问、删除、更改。
4.如权利要求3所述的一种面向大数据平台的统一用户管理系统,其特征在于,若用户所属角色的访问请求与所述资源的授权范围及角色的授权范围相符,则所述用户身份认证通过。
5.如权利要求4所述的一种面向大数据平台的统一用户管理系统,其特征在于,所述用户身份认证通过后通过单点登录的方式登录目标业务系统。
6.一种面向大数据平台的统一用户管理方法,其特征在于,所述方法包括以下步骤:
步骤一:所有业务系统按照统一要求将自身资源进行注册;
步骤二:对注册的所有资源进行统一授权管理:授权资源是否可被删除、更新、访问、更改;对所有业务系统的所有角色进行统一授权管理:授权角色可实现对哪些资源的访问、删除、更改;
步骤三:将资源的授权信息及角色的授权信息同步至所述业务系统;
步骤四:用户发起登录请求,并将所述登录请求提交至认证管理模块;
步骤五:认证管理模块通过用户的身份信息、访问请求及环境参数完成用户的身份验证;身份验证用过后,认证管理模块将所述用户的身份信息、访问请求及环境参数形成访问请求,并将所述访问请求提交给授权管理模块;
步骤六:授权管理模块形成包含用户的身份信息、访问请求及环境参数的决策请求;
步骤七:授权管理模块匹配用户的身份信息,验证用户所属角色的授权信息,形成用户访问控制策略;
步骤八:授权管理模块执行所述用户访问控制策略,将登录请求提交给所述目标业务系统;
步骤九:所述目标业务系统完成用户单点登录。
7.如权利要求6所述的一种面向大数据平台的统一用户管理方法,其特征在于,当业务系统的资源发生变更时,将更改后的资源进行注册,对更改后的资源重新授权后,同步至所述业务系统。
8.如权利要求6所述的一种面向大数据平台的统一用户管理方法,其特征在于,所述访问控制策略为:若用户的访问请求与用户所属角色权限及访问的目标资源权限一致,则允许访问;反之,则拒绝访问。
9.如权利要求6所述的一种面向大数据平台的统一用户管理方法,其特征在于,所述步骤一中资源注册的要求为:填写注册必要信息;所诉必要信息包括:大数据组件名称、IP地址、大数据平台类型、平台版本号。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311034229.2A CN117195177A (zh) | 2023-08-17 | 2023-08-17 | 一种面向大数据平台的统一用户管理系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311034229.2A CN117195177A (zh) | 2023-08-17 | 2023-08-17 | 一种面向大数据平台的统一用户管理系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117195177A true CN117195177A (zh) | 2023-12-08 |
Family
ID=88987828
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311034229.2A Pending CN117195177A (zh) | 2023-08-17 | 2023-08-17 | 一种面向大数据平台的统一用户管理系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117195177A (zh) |
-
2023
- 2023-08-17 CN CN202311034229.2A patent/CN117195177A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2019206006B2 (en) | System and method for biometric protocol standards | |
CN112765639B (zh) | 基于零信任访问策略的安全微服务架构及实现方法 | |
CN109670768A (zh) | 多业务域的权限管理方法、装置、平台及可读存储介质 | |
CN100596361C (zh) | 信息系统或设备的安全防护系统及其工作方法 | |
EP2620893B1 (en) | Role-based access control permissions | |
EP1914658B1 (en) | Identity controlled data center | |
JP3415456B2 (ja) | ネットワークシステム及びコマンド使用権限制御方法ならびに制御プログラムを格納した記憶媒体 | |
WO2018219056A1 (zh) | 鉴权方法、装置、系统和存储介质 | |
CN107122674B (zh) | 一种应用于运维审计系统的oracle数据库的访问方法 | |
CN102571873B (zh) | 一种分布式系统中的双向安全审计方法及装置 | |
CN111125674B (zh) | 开放式数据处理系统、开放式数据系统及数据处理方法 | |
CN103095720A (zh) | 一种基于会话管理服务器的云存储系统的安全管理方法 | |
EP3062254B1 (en) | License management for device management system | |
CN102571874B (zh) | 一种分布式系统中的在线审计方法及装置 | |
CN114003943A (zh) | 一种用于机房托管管理的安全双控管理平台 | |
RU2415466C1 (ru) | Способ управления идентификацией пользователей информационных ресурсов неоднородной вычислительной сети | |
US20200382509A1 (en) | Controlling access to common devices using smart contract deployed on a distributed ledger network | |
US7661125B2 (en) | System for providing and utilizing a network trusted context | |
MXPA04007410A (es) | Movimiento de principales a traves de limites de seguridad sin interrupcion de servicio. | |
CN111953491B (zh) | 一种基于SSH Certificate和LDAP两步鉴权审计方法 | |
US20050055556A1 (en) | Policy enforcement | |
CN112016073A (zh) | 一种服务器零信任连接架构的构建方法 | |
CN110708298A (zh) | 集中管理动态实例身份和访问的方法及装置 | |
KR101404537B1 (ko) | 패스워드 자동 변경을 통한 서버 접근 통제 시스템 및 그 방법 | |
CN113901507B (zh) | 一种多参与方的资源处理方法及隐私计算系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |