随着信息化建设的推进，各类组织拥有的信息系统越来越多。为充分利用资源，提高办公效率，组织往往要向雇员、客户、合作伙伴直接开放这些信息系统。如果没有一套集成的数字身份解决方案，必然会增加组织的管理成本。例如，用户常因需要为同一家公司的不同系统创建和管理各种身份而苦恼。由于用户身份的不断增加，公司将失去统一客户视图的优势。此外，管理和维护不同的身份库及相关访问权限的成本将会增加，而公司确保安全访问的能力却会下降。在成本增加的同时，由于组织需要花费时间管理原本可以自动处理的流程，而客户也需要更多时间等待结果，从而通常会导致总体生产力下降。

        为了控制成本和减少开放的管理安全风险，组织需要一套完整的安全管理方案来确保安全的访问。因此身份管理作为安全管理的核心组件正逐步成为组织整体解决方案的必备组件。健全而可靠的身份管理系统不仅提升用户访问体验和系统安全性，而且能够有效的加快应用系统的部署、降低管理和维护的成本。

         TRS身份服务器(TRS Identity Server，以下简称TRS IDS或者IDS)正是在这种背景下应运而生的。它解决了应用系统整合、统一身份整合和安全管理方面的问题。通过TRS IDS，组织不仅仅能够很好的整合内部的各种应用系统，使得对系统的访问始终处于安全、集中的授权下；还能够形成统一的用户视图，使得组织将“用户”作为一种数字资产管理起来，为将来的进一步数据分析和数据挖掘打下坚实的基础。

        产品的主要特色

       总体而言，TRS IDS是由以下部分构成：

       身份供应

       身份供应解决身份从何而来的问题。在IDS中，身份来源的种类十分广泛。

       1. 按照身份存储的性质，可以分为关系数据库和LDAP

        关系数据库即常说的RMDBS，IDS支持将身份信息存储到各种主流关系数据库中，例如 Oracle、SQL Server、MySQL等。

        LDAP的全称是Lightweight Directory Access Protocol，即轻量级目录访问协议。LDAP通常用来存储组织和用户的信息，它具有检索速度快、接口标准等优点，因此广泛被各类身份相关的软件产品和硬件设备支持，几乎所有大IT厂商都有自己商用的LDAP产品。LDAP协议最新的版本为V3，IDS支持将身份信息存储到支持LDAPV3协议的各种LDAP产品中，例如Oracle LDAP、OpenLDAP等等。

        2、按照身份的来源，可分内部源和外部源

        对于一些第三方用户系统来说，如果增删改用户都有自己特定的逻辑，无法由IDS接管（例如人事系统中的用户库），或者是出于一些特殊的原因无法向IDS迁移（例如下图中的银行账户库），那么IDS仍然可以对这些第三方用户库进行只读操作，利用其中的用户信息来进行认证。这种第三方用户库就称为“外部用户源”。相对的，IDS本身自带的用户库，称为“内部用户源”。

        IDS、内部用户源、外部源用户源的关系如下图所示，图中的“银行账户库”、“移动BOSS”即为外部用户源：

        身份管理

        身份管理指对用户、组织等身份数据生命周期的管理，即用户、组织等数据从创建到销毁的过程。

        在IDS中，身份管理的流程实现了自动化。实现流程的自动化可以降低成本，同时显著提高生产力。此外，流程自动化能够缩短用户获取帐户和访问权限所需的时间。为了增强系统的灵活性，IDS允许管理员对身份生命周期的各个过程设定策略。

        在身份数据发生变化的情况下，IDS还会实时地将身份信息同步给各个系统，以保持身份的一致性。

         单点登录

        单点登录是指组织用户跨应用访问的操作过程。当用户通过认证以后，访问与IDS集成的所有系统中，均实现了基于统一身份的自动登录，即方便了用户使用，也提高了系统安全性。在用户退出应用系统时，IDS自动实现所有应用系统的统一退出。 

         统一认证

         IDS支持口令方式的弱认证，也支持CA、令牌等方式的强认证。

        在应用与IDS集成以后，所有的认证都由IDS提供。管理员可以依据需要，指定哪些应用需要使用什么验证方式。统一认证使得应用的安全性大大增强，例如，原先不支持CA认证的应用系统，在与IDS集成以后，无需进行任何额外的改造，即可支持由IDS提供的CA强认证方式。
访问控制

      “谁能够访问什么系统”，是访问控制的核心问题。

         IDS为访问控制提供了统一的视图，管理员可以随时进行实时查看。在操作粒度上，IDS不仅仅能根据用户进行访问控制限制，还能够根据组织机构（用户组）进行访问控制限制。除此之外，IDS还能够结合IP、时间段等特征，对访问控制进行进一步的约束。

        权限管理

        权限管理分成两部分。

        1. 管理员在IDS中的管理权限

         IDS支持基于RBAC的权限管理。在IDS管理台中，不同的用户可以具有不同级别的管理员权限，也支持自定义管理员权限，能够充份满足“最小权限原则”的权限管理实践标准。

        对于一定级别的管理员，还能够将自己的管理权限委托给其他账号，从而实现委托管理，减轻管理员的负担。

         2. 普通用户在应用系统中的权限

         对于普通用户在应用系统中的权限，在应用支持情况下，在IDS中可以对用户在应用中的权限进行操作。

         未来的发展方向

        目前的IDSV3.5版本在身份管理、统一认证方面已经相当成熟，但是为了进一步加强身份管理领域的方面的竞争力，仍然需要考虑在以下方面做进一步的加强。

        横向扩展产品覆盖面

        1、加强对国际规范的研究和支持

        目前，在身份管理领域，一些国际组织和机构，例如结构化信息标准促进组织（OASIS）、MIT等，为了解决长期以来的身份无法互联互通的问题，在各个层面提出了一些标准和协议，例如Kerberos、SAML、RADIUS等等，其中有一些已经广泛获得各大厂商的支持。研究和支持这些国际规范，能够让IDS在与各类标准的软、硬件集成上更加容易。

        2、考虑提供CA服务器

        目前IDS是利用第三方的CA证书进行认证。从产品线完整性上来讲，提供自己的CA服务器，能大大增强产品竞争能力。

        纵向挖掘产品潜力

        1、开展用户行为分析

         IDS中目前已经积累了足够的历史数据，能够进一步分析出用户在与IDS集成的各个应用中的行为，结合IDS的统一身份整合，对于一个用户，能够在IDS中形成一个统一的视图，管理员可以及时查看该用户各个系统中的当前行为和历史行为。

         2、增强对运营类系统的支持

        运营类型的系统越来越多，例如某证券报、某新闻社、某社出版等都有类似的需求。运营类系统要求IDS要能针对在线用户数、并发数、在线时长等进行精确地控制；另一方面，运营类系统希望能够IDS能够提供一些计费相关的功能，这些IDS将在未来中增强。