- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载 (2.21 MB)
H3C SecCenter IAM统一身份管理与安全认证系统
Web配置指导
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
为了方便网络或设备管理员对新华三技术有限公司(以下简称H3C)的SecPath系列H3C SecCenter IAM产品软件进行配置操作及维护,H3C SecCenter IAM产品软件支持通过HTTPS协议建立安全的Web连接实现Web网管功能。管理员可以通过Web界面更加直观和便捷地管理和维护H3C SecCenter IAM-产品软件设备。
H3C SecCenter IAM 管理控制台,主要是用来管理认证中心和权限中心的配置,实现用户登录认证和访问权限分配的系统;
通过域名直接访问系统:https://test.iam.com/IAM-console(根据实际域名访问)
系统初始化内置了系统管理员用户admin,密码为B@m1234。
由于H3C SecCenter IAM管理系统采用前后端代码分离接口,当前端请求超过10s得不到后台服务响应时,会提示“后台服务请求异常”错误;
当后台服务响应较慢时可能会提示此错误,当服务正常时登录成功。
H3C SecCenter IAM软件采用标准的 J2EE 体系统的结构构建,可部署并运行于标准的 Java Web应用环境。支持的环境说明如下:
· 操作系统
支持 Windows、Linux 和 Unix 等各种 64 位的系统平台。
· Java 虚拟机
支持 JDK 1.6 x64 及以上版本。
· Servlet 容器
支持 Tomcat,也支持 WebLogic、WebSphere 等商业容器。
· 浏览器
支持 Chrome、Firefox 等浏览器。
路径:身份管理-用户管理
图1-1 用户管理界面如图所示
用户管理左侧机构树显示的时当前管理员对应的机构树权限,右侧为默认显示当前所管理的所有用户(选中某个机构时,显示为当前机构及其子机构下的所有用户)。
操作说明:
(1) 新增用户
点击<新增用户>按钮,
图1-2 新增用户界面如图所示
用户账号:具有唯一性,不能和系统已有账号重复;
其中用户账号、姓名、性别、组织机构、密码、确认密码为必填项;
用户账号必须唯一,不能和已存在的、已删除的用户登录名重复。
(2) 修改用户
#点击用户查询列表中的<修改>按钮
图1-3 修改按钮如下
进入修改用户页面
图1-4 用户修改界面如下
用户账号,风险分数,风险级别不能修改;
(3) 查看
#点击<查看>按钮
图1-5 查看按钮如图所示
进入用户详情页面;
(4) 删除
在用户列表页中,选择“删除”按钮,对用户进行删除操作
图1-6 删除按钮如图所示
(5) 启用/禁用
在用户列表页中,选择“启用”、“禁用”按钮,对用户进行启停操作;
图1-7 操作按钮如图所示
(6) 修改密码
选中需要修改密码的用户,点击修改密码按钮
图1-8 修改密码按钮如图所示
进入修改密码页面,修改用户的密码;
图1-9 修改密码界面如图所示
路径:身份管理-组织管理
图1-10 组织管理界面如下
组织机构管理页面分为四个部分:
· 机构树:当前管理员所管理的组织机构的权限。
右边显示的是当前选择的组织机构的所有下级机构,没有选择、默认显示全部的组织机构。
(1) 新增
点击<新增>按钮,进入组织机构新增页面
图1-11 新增行政机构信息
(2) 修改
选择需要修改的组织机构,
图1-12 修改按钮界面
点击<修改>按钮后,进入修改组织机构页面:
图1-13 修改组织机构界面
(3) 查看
图1-14 查看按钮界面
选择需要查看组织机构
(4) 删除、批量删除
选中需要删除的组织机构,进行删除操作;当组织机构下面还有用户时,不能删除该组织机构;
图1-15 删除按钮界面
图1-16 批量删除按钮界面
路径:身份管理-API管理
图1-17 API管理界面
选择当前所有的API。
(1) 新增
点击<新增>按钮,进入API新增页面
图1-18 API新增界面
API代码具有唯一性,不能和已有的系统内API代码重复;
(2) 修改
选择需要修改的API,
图1-19 API管理修改界面
#点击<修改>按钮后,进入修改API页面:
图1-20 修改API界面
(3) 查看
图1-21 查看API界面
选择需要查看的API,进入API详情页;
(4) 删除、批量删除
选中需要删除的API,进行删除操作;
图1-22 删除与批量删除界面
该模块主要提供应用的新增、修改、删除(单个、批量)等功能,可按照应用名称、应用ID、认证类型、创建日期、应用地址、安全级别查询应用。
路径:身份管理-应用管理
图1-23 应用列表界面
(1) 新增SAML应用
选择“身份管理 > 应用管理 > 新增”,进入“新增”页面,默认进入新增SAML应用页面
图1-24 路径:系统配置-应用配置-添加
· 属性说明:
¡ 应用标识:必须和元数据中的entityID一致;
¡ 应用名称:无实际意义,作为应用基础信息录入;
¡ 应用地址:应用访问地址信息;
¡ 应用认证等级安全级别和认证链(存在联动关系)
¡ 元数据信息:SAML应用必填项
修改逻辑与新增一致。
· SAML应用元数据,
图1-25 元数据界面如图所示
(2) 新增OAUTH应用
点击“身份管理”-“应用管理”-“新增”,进入“增加应用”页面,“认证方式”选中左边“OAUTH认证页面”按钮,切换到新增OAUTH应用页面,如下图:
图1-26 路径:系统配置-应用配置-添加
· 属性说明:
¡ 应用标识:应用唯一标识;
¡ 应用名称:无实际意义,作为应用基础信息录入;
¡ 应用地址: 应用完成认证后回调的url,允许输入多值,分号分隔;
¡ token有效期:为access_token有效期,refresh_token有效期目前不可配置,系统默认为配置的access_token有效期+30分钟
¡ 认证方式:根据应用和统一认证中心ACM集成方式的不同,可以选择不同的认证方式;
Code码模式:可选择所有的认证链;
密码模式:只能选择“OAuth用户名密码认证接口-专用”认证链;
¡ 其它属性含义与SAML应用一致
(3) 新增REST应用
点击“身份管理”-“应用管理”-“新增”,进入“增加应用”页面,“认证方式”选中“RESTFUL”按钮,切换到新增RESTFUL应用页面,如下图:
图1-27 路径:系统配置-应用配置-添加
· 属性说明:
¡ 认证方式:只能选择系统内置的restful接口专用认证链(如上图所示);
路径:权限管理-角色管理
图1-28 角色管理界面如图
(1) 新增
点击<新增>按钮,进入新增角色页面
图1-29 新增角色界面如图
新增所需要的角色;
(2) 修改
选择需要修改的API,
图1-30 修改API按钮如图
点击修改按钮后,进入修改角色页面:
图1-31 修改角色界面如图
(3) 查看
图1-32 查看角色界面如图
选择需要查看的角色,进入角色的详情页;
(4) 删除
选中需要删除的角色,进行删除操作;
图1-33 删除操作界面
路径:权限管理-角色授权管理
图1-34 角色授权列表如图
左边显示所有的角色列表,可进行相应的角色;右边显示该角色所拥有的应用和API权限,并可以对角色进行相应的赋权操作;
(1) 角色-应用授权
在未授权应用列表中,选择应用,赋予权限后,在已授权应用中,可以看到该角色所拥有的应用权限列表;
图1-35 角色授权列表操作按钮界面
(2) 取消应用授权
在右边的已授权应用列表中,选择应用后,取消该授权应用;
图1-36 取消授权操作界面
(3) 角色-API授权
切换选项卡API列表页,赋予角色API权限
图1-37 API列表界面
(4) 取消API授权
图1-38 取消API授权界面
从应用的角度,给用户赋予权限;
路径:权限管理-应用授权管理
图1-39 应用授权管理界面
从应用的角度,赋予用户权限:
点击应用列表项中的,“查看”操作,跳转到应用-用户授权页面;
图1-40 用户授权界面跳转按钮
图1-41 用户授权界面
(1) 应用-用户授权
点击“未授权用户”选项卡,可以给用户赋予应用权限
图1-42 用户授权操作按钮界面
(2) 取消授权用户
图1-43 取消用户所拥有的应用权限
已经授权的应用,分为“生效”和“未生效”两种状态。
从API的角度,给用户赋予权限;
路径:权限管理-API授权管理
图1-44 API授权管理界面
从API的角度,赋予用户权限:
点击API列表项中的,“查看”操作,跳转到API-用户授权页面;
图1-45 跳转API用户授权页面按钮
图1-46 API授权用户界面
(1) API-用户授权
点击“未授权用户”选项卡,可以给用户赋予应用权限
图1-47 用户授权界面操作界面
(2) 取消授权用户
图1-48 取消用户所拥有的应用权限
从用户的角度,给用户赋予应用、API和角色权限;
路径:权限管理-用户授权管理
图1-49 用户授权管理界面
从用户的角度,赋予角色权限:
点击用户列表项中的,“查看角色权限”操作,跳转到用户-角色授权页面;
图1-50 跳转到用户-角色授权页面按钮
(1) 用户-角色授权
点击“未授权用户”选项卡,可以给用户赋予应用权限
图1-51 用户赋予应用权限界面
(2) 取消用户-角色授权用户
图1-52 取消用户的角色权限
(3) 用户-应用授权
从用户的角度,给用户赋予应用权限;点击“查看应用授权”按钮,打开用户-应用授权页面
图1-53 跳转用户-应用授权页面
图1-54 给未授权的用户,授予应用权限;
(4) 取消用户-应用授权用户
图1-55 取消用户的应用权限
(5) 用户-API用授权
从用户的角度,给用户赋予API权限;点击“查看API授权”按钮,打开用户-API授权页面
图1-56 跳转用户-API授权页面按钮
图1-57 给未授权的用户,授予API权限;
(6) 取消用户-API授权用户
图1-58 取消用户的API权限
路径:认证管理-认证因子管理
图1-59 认证因子管理界面
· 初始化认证因子说明
表1-1 系统上线时,初始化了目前系统支持的所有认证因子
|
认证因子名称 |
级别 |
备注 |
|
|
验证码校验 |
1 |
|
|
|
微信二维码校验 |
1 |
|
|
|
E账通二维码校验 |
1 |
|
|
|
otp校验 |
1 |
e账通内置otp,不是应用otp |
|
|
用户名短信校验 |
1 |
|
|
|
密文的用户密码校验(特殊接口专用) |
1 |
|
|
|
用户名密码验证 |
1 |
|
|
|
提醒用户密码即将过期校验 |
1 |
|
|
|
用户密码是否需要重置校验 |
1 |
|
|
|
用户锁定状态检查 |
1 |
|
|
|
用户账号状态校验 |
1 |
|
|
|
用户密码是否过期校验 |
1 |
|
|
|
钉钉二维码校验 |
2 |
|
|
|
证书校验 |
2 |
|
|
|
E账通融合认证 |
2 |
【登录凭证校验环节】中不能作为第一个或者单独使用,必须与其它认证环节搭配使用 |
|
|
岗位增强认证 |
3 |
|
|
|
眼神指纹 |
1 |
眼神科技指纹认证 |
|
|
眼神人脸 |
1 |
眼神科技人脸认证 |
|
|
眼神虹膜 |
1 |
眼神科技虹膜认证 |
|
|
眼神指静脉 |
1 |
眼神科技指静脉认证 |
|
|
第三方APP认证 |
1 |
第三方APP扫码认证 |
|
|
人脸认证 |
2 |
E账通人脸认证 |
|
|
指纹认证 |
2 |
E账通指纹认证 |
|
|
声纹认证 |
2 |
E账通声纹认证 |
|
|
手势认证 |
2 |
E账通手势认证 |
|
|
E账通风险引擎补充认证 |
1 |
E账通风险引擎补充认证 |
|
|
Fido u2f认证 |
1 |
Fido补充认证 |
|
(1) 新增
点击“新增因子”按钮,进入新增认证因子页面
图1-60 新增认证因子页面
其中认证标识必须为英文字符,并且需要和实际产品类class名称一致;
认证因子标签值:必须为数字;
如果需要定制新认证因子:比如人脸、指纹等认证因子,请和新华三支持人员联系;
(2) 修改
点击认证因子列表中修改图标按钮,进入修改认证因子页面
图1-61 认证因子管理界面
图1-62 修改认证因子界面
(3) 删除
点击认证因子列表中删除图标按钮,删除相关的认证因子,需要注意的时,如果该认证因子已经被相关的认证方式使用,是不能被删除的。
图1-63 删除认证因子按钮
路径:认证管理-认证方式管理
主要是认证中心登录页面的,登录认证方式的管理;
图1-64 认证方式管理界面
(1) 新增
点击“新增认证方式”按钮,打开新增认证方式页面
图1-65 新增认证方式页面
选择不同的认证因子,可以定制不同的登录页面(注意:此处是指定制认证中心的登录页面的认证方式,不是IAM-console管理台的登录方式);
(2) 修改
点击认证因子列表中修改图标按钮,进入修改认证因子页面
图1-66 进入修改认证因子页面按钮
图1-67 修改认证方式界面
可以修改认证方式;
(3) 删除
点击认证方式列表中删除图标按钮,删除相关的认证方式,需要注意的时,如果该认证方式已经被相关的应用使用,是不能被删除的。
图1-68 认证方式删除按钮
已被应用引用的认证方式不可删除。
同一用户在不同终端登录应用时,可以生成多个令牌会话,管理员在控制台令牌管理页面可以查看、管理令牌会话。管理员点击“认证管理-令牌管理”菜单,切换到会话管理页面,此页面展示了当前所有用户的登录令牌:
(1) 令牌列表
图1-69 令牌管理,界面如下图所示
· 列表页: 展现的目前所有登录的用户详情。
功能操作提示:
· 查询:根据用户名精确查询用户是否已经登录。
· 退出(列表中的最后一个按钮):由管理员,在后台强制用户退出。
· 会话详情页面:点击会话列表页中的用户名,可以跳转到会话详情页面。
(2) 令牌详情页:
图1-70 令牌详情界面
显示当前用户所登录的所有的应用;
通过审计对操作日志进行查看。
路径:审计管理-操作日志
图1-71 操作日志界面
操作日志储存了管理员对系统数据的所有操作,需要说明以下几点:
· 默认显示所有管理员的操作
· 通过查询条件可查看其它管理员的操作
路径:审计管理-审计中心配置
图1-72 审计中心配置界面
配置认证中心向审计中心服务发送审计日志的服务配置;(主要作用是向态势感知服务器发送认证和鉴权日志)
· 服务器地址:态势感知服务器的ip地址。
· 端口号:态势感知服务器的端口号。
API代理配置管理如下:
图1-73 API代理配置页面
API网关配置详情介绍:
· API网关地址:配置API网关地址。
· 权限变更通知API地址:TAC可信代理控制平台给API网关发送权限变通知的接口地址。
· 下线通知API地址:TAC可信代理控制平台给API网关发送下线通知的接口地址。
PCM接口配置管理如下:
图1-74 PCM接口配置页面
PCM接口配置详情介绍:
· API详情接口地址:用于API网关鉴权时,需要向PCM权限管理平台查询用户拥有的API权限的接口地址。
可信接入代理配置管理如下:
图1-75 可信代理配置页面
可信接入代理配置详情介绍:
· 重定向地址:在令牌过期时,返回到登录页的地址。
· 端口协议:可信接入代理和TAC可信代理控制平台之间的通信协议。
· 端口号:可信接入代理和TAC可信代理控制平台之间的开发端口。
· 接口地址:可信接入代理提供的接收权限变更通知的接口地址。
· 客户端证书路径:可信接入代理和TAC可信代理控制平台之间建立https连接时,需要加载的证书放置的路径。(http可以不用配置)
· 客户端key路径:可信接入代理和TAC可信代理控制平台之间建立https连接时,需要加载的证书秘钥放置的路径。(http可以不用配置)
· 客户端密码:证书的密码(http可以不用配置)
可信代理列表如下:
图1-76 可信接入代理列表页面
可信代理列表详情介绍:
· 查询:根据可信接入代理标识,IP地址等条件查询注册的列表;
通过审计对操作日志进行查看。
路径:系统管理-数据字典管理
图1-77 数据字典管理
主要是用来管理系统中的字段项:比如认证方因子中的初始化参数等场景:
(1) 新增
图1-78 新增字典项界面
(2) 修改
图1-79 修改字典项界面
图1-80 用来修改字典项的值
(3) 删除
图1-81 删除没有用处的字典项的值
图1-82 系统配置界面
可以设置认证中心中,认证有效时长、用户的令牌数、密码校验相关的配置项。
路径:系统管理-密码复杂度配置
图1-83 密码复杂度配置界面
可以实现认证中心,用户登录密码的复杂度配置。
路径:系统管理-License授权
图1-84 License授权界面
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
