指掌易zTrust-IAM零信任统一身份认证平台_多重因子认证MFA

申请试用

指掌易zTrust-IAM零信任统一身份认证平台

指掌易zTrust IAM 零信任统一身份认证平台，基于零信任架构理念，提供统一身份管理、统一认证服务、多重因子认证MFA、认证风险控制、权限控制、以及身份管理与认证审计的全身份认证管理方案。

立即咨询

首页 > 产品中心 > 身份安全 > 指掌易zTrust-IAM零信任统一身份认证平台

机构身份治理面临的问题 icon

身份账号隐患

业务应用同步用户数据或自建用户数据，数据的使用无明确规范，进而存在大量脱管的账户，产生身份账户安全隐患

员工使用复杂

员工需要记住多个业务系统的账户及密码，加上机构对账户密码的复杂度及修改周期要求，员工使用账户做认证时会产生困难。

业务系统对接麻烦

业务系统需要对接用户账户数据时，缺乏完善的用户中心及对接手段，开发用户同步数据环节及后续用户数据更新方面存在问题。

认证安全缺乏

各类业务系统同步数据后缺乏统一的安全认证体系，存在认证方式简单、安全措施缺乏等安全风险。

权限控制混乱

机构缺乏全局的用户使用应用的权限控制手段，并不知道各业务系统哪些员工有权限使用，是否存在越权访问的行为等。

等级保护2.0对身份认证安全的要求(三级要求) icon

身份鉴别

1、应支持用户身份标识和用户鉴别； 2、系统用户采用用户名和用户标识符标识用户身份，并确保在系统整个生命周期内用户标识的唯一性； 3、在每次用户登录系统时，采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。

访问控制

自主访问控制： 1、应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并将这些权限的部分或全部授予其他用户； 2、自主访问控制的粒度应达到主体为用户级，客体为文件、数据库表级和（或）记录或字段级； 3、自主访问操作包括对客体的创建、读、写、修改和删除等。标记和强制访问控制： 1、在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。 2、强制访问控制的粒度应达到主体为用户级，客体为文件、数据库表级； 3、应确保安全计算环境的所有主、客体具有一致的标记信息，并实施相同的强制访问控制规则。

安全审计

1、安全审计应记录应用系统的相关安全事件； 2、安全审计记录应包括安全事件的主体、客体、时间、类型和结果等内容； 3、安全审计应提供审计记录查询、分类、分析和存储保护； 4、安全审计应确保对特定安全事件进行报警； 5、安全审计应确保审计记录不被破坏或非授权访问； 6、系统应为安全管理中心提供接口，对不能由系统独立处理的安全事件，提供由授权主体调用的接口。

统一身份认证建设思路 icon

统一用户中心

统一机构各类业务系统的用户，统一管理账户的新建、更新、密码要求、用于权限、认证策略等。

统一权限管控

各类业务应用接入统一身份认证平台，在平台集中进行统一的用户权限控制，便于业务使用及安全管理。

统一认证中心

基于用户及应用，集中管理认证策略，包括首次认证、二次认证、风险认证策略。其中风险策略基于环境动态检测，自动触发。

集中业务审计

集中收集、记录、分析、响应各类业务应用对接统一身份认证平台产生的日志信息。

zTrust-IAM产品架构 icon

ZTRUST IAM 主要功能 icon

用户中心

用户账号的全流程管理，包括创建、激活、管理、锁定、停用、删除等管理。可作为企业统一用户中心，向各业务系统提供用户的同步和认证服务。

认证中心

自定义认证策略，可创建单因素认证、双因素认证、风险认证、自定义事件认证等，认证策略可针对不同的员工分发。

MFA

多重因子认证，提供静态密码以外的短信认证、OTP动态验认码、扫码认证、证书认证、Fido认证等。可自有搭配双因素、多因素认证场景。

动态认证引擎

可定义认证等级，不同认证等级、不同应用具备不同的认证要求，引擎可持续进行认证等级评估，针对风险因素、敏感事件因素促发不同的认证动作。

权限控制

可对认证用户授予不同的访问权限，同时可根据动态认证引擎，动态调整用户访问权限。

日志审计

在用户认证全流程中，平台采集所有与认证、权限、风险、操作相关的日志，通过场景化分析引擎，生成多种使用场景审计日志，以可视化形式展现。

统一用户中心:用户数据源对接 icon

zTrust-IAM用户中心支持与上有用户系统对接，实现用户数据的同步，同步方式支持标准协议、API接口、数据库、钉钉/企业微信/飞书接口等方式。标准协议：通过LDAP协议与AD服务做用户同步； API接口：与HR系统或其他用户中心系统通过API接口对接的方式，实现用户数据同步，支持全量同步与增量同步机制；数据库对接：与上有用户系统的数据库做对接，实现用户数据同步，同步规则可定义；钉钉/企微/飞书：支持与钉钉、企业微信、飞书等办公业务系统对接，同步其用户数据信息。 zTrust-IAM可作为用户中心，提供用户数据同步给下游业务系统，支持全量、增量用户数据同步。

统一用户中心:账户安全 icon

zTrust-IAM用户中心账户体系支持创建账户安全策略，策略包含以下：账户密码错误锁定策略：可设定在规定的时间内，出现密码错误一定次数之后，锁定用户一定的时长；账户密码防暴力破解：密码输错一定次数只会，会增加图形验证码，防止暴力破解；账户自动禁用：可根据用户不活跃时间，自动禁用用户账户。

统一用户中心:密码安全 icon

zTrust-IAM用户中心账户体系支持创建密码安全策略，策略包含以下：密码有效期及过期提醒：设定账户密码的有效期，且可在有效期之前提醒用户密码即将到期，可自定义提醒方式；记住历史密码：可设定记住历史密码次数，用户修改密码时禁止与最近几次历史密码相同；密码复杂度设定：支持简单、中等、复杂三类密码复杂度要求；首次登录修改密码：可设定强制首次登录修改密码。

统一认证中心:应用账户认证 icon

zTrust-IAM用户中心及认证中心与下游业务系统支持用户认证服务。用户同步：提供用户、组织的同步接口，供下游业务系统同步IAM用户。用户认证：提供认证接口，由下游业务系统对接实现用户认证服务。同时支持单点登录认证、MFA认证服务。

统一认证中心:单点登录 icon

业务系统集成zTrust-IAM SSO SDK后，可实现单点登录认证，用户一次登录，各业务系统均可实现免密码登录。

统一认证中心:扫码认证 icon

统一用户中心:OTP认证 icon

OTP认证可应用与双因素认证或纯OTP认证，双因素认证场景下，用户在业务系统认证界面先进行账户密码认证，账户密码认证后进入OTP认证流程，指掌易OTP认证具有以下特点： 1.口令安全性高：不重复、不可猜测、服务端不存放口令密码； 2.国密支持：随机密码处理及生成过程支持国密算法； 3.激活不暴露TCP端口：可配合指掌易SDP产品实现令牌在线激活，无需暴露TCP端口，隐藏端口。

统一认证中心:认证策略管理 icon