[发明专利]一种IAM平台的资源管理系统

权利要求书

1.一种IAM平台的资源管理系统，用于对IAM平台各个应用系统及系统的账号资源等进行管理，其特征在于：该系统主要包括以下功能模块：

(1)应用配置模块，包括应用维护模块、应用信息自定义模块和应用属性自定义模块；

(2)应用管理员管理模块，包括以下模块：

1)应用管理员权限管理模块：为应用管理员组合配置应用拥有者、应用账号管理员、应用策略管理员这三个权限，应用管理员的新建与删除；

2)应用管理员管理域管理模块：应用管理员新增完毕后，对指定应用管理员进行管理域的设置；

(3)账号管理模块，用于记录企业各应用系统中的账号与用户之间的关系，通过有限授权将账号与用户进行关联，表达用户与各应用系统中的账号之间的关系；账号管理模块包括账号数据管理模块和账号生命周期管理模块；

(4)访问控制策略配置模块，用于提供访问控制策略，控制用户对系统的有限访问，包括多因子认证策略配置模块和禁止访问策略配置模块；

(5)账号风险分析模块，包括差异账号分析模块、孤儿账号分析模块、不活动账号分析模块、不合规账号分析模块和异常账号处理模块；

(6)工作流管理模块，用于提供基于Activiti工作流引擎的工作流管理，包括工作流配置模块和应用审批模块；

(7)无账号配置模块，用于自动生成账号，当新接入一个应用系统时，开启无账号配置后，将会针对每一个用户身份的用户名生成同名的账号，并关联到这个用户上，之后用户就可以使用该账号登录应用，功能开启后在双数点执行。

2.根据权利要求1所述的一种IAM平台的资源管理系统，其特征在于：所述账号数据管理模块包括：

(1)账号新增与删除模块：管理员可以在相应应用下手动新增或删除用户，也支持按照账号分析策略进行自动的关联账号新增或删除；

(2)账号信息维护模块：管理员对账号属性进行修改；

(3)账号授权管理模块：管理员可以单独修改每个账号授权的用户的生命周期，可以单独为每个账号新增授权或删除授权；

(4)账号审计日志查看模块：管理员直接查看每个账号的审计日志。

3.根据权利要求2所述的一种IAM平台的资源管理系统，其特征在于：在所述账号授权管理模块中新增授权的方式有两种：一是授权类型为OWNER时，授权新增完毕将显示“授权类型：账号拥有”，拥有者可以把这个账号继续分配给其他用户使用；二是授权类型为ACCESSONLY时，授权新增完毕将显示“授权类型：普通账号”，该用户不可以再将该账号授权给其他用户使用。

4.根据权利要求1所述的一种IAM平台的资源管理系统，其特征在于：所述账号生命周期管理模块主要包括以下模块：

(1)事件配置模块：管理员配置事件动作，包括身份创建，密码修改，属性变更，身份删除；用户操作符合该条动作，进行下一步的策略过滤；

(2)策略编辑模块：管理员编辑策略，IAM平台自动根据配置的策略进行过滤，将有效消息传递到指定的MQ队列；

(3)MQ配置模块：管理员自定义Exchange，但是不可重复定义Exchange，MQ自动创建一个对应的Exchange，并根据管理员设置的用户名密码进行初始化；

(4)启用/关闭事件监控模块：管理员开启事件监控后，IAM平台将符合该动作及策略的账号操作都传递到MQ队列；如果没有配置策略，符合该条动作的所有账号行为都会触发该MQ传递操作；

(5)事件处理模块：事件处理模块采用ETL图形画界面编辑处理逻辑，或采用Java程序代码进行处理，事件处理程序热部署在边缘自治服务节点中，处理逻辑的修改不需要重启IAM身份管理服务。