本發明公開了一種應用系統與IAM系統之間的無應用改造對接方法及系統。本發明采用的無應用改造對接方法為：首先進行應用系統權限抓取，采集應用界面分層頁面；然后對抓取到的應用系統頁面進行分析整理，建立與IAM系統對接的API接口和應用系統頁面之間的對應關系；最后實現應用系統與IAM系統的權限對接和數據交互。本發明可減少IAM身份權限體系建設成本，提升建設效果，實現了在不對應用系統進行開發改造的同時，使IAM獲得對應用系統的精細權限控制。

技術領域

本發明涉及網絡安全身份認證領域，尤其涉及一種用于應用系統與IAM系統之間的無應用改造對接方法及系統。

背景技術

隨著信息技術的不斷發展，國內外信息安全與信息泄露事故頻發，不斷上升的黑客攻擊、勒索、網絡釣魚和惡意軟件攻擊嚴重威脅到了企業信息資產的安全，使企業遭受巨大的經濟損失。除外部攻擊外，內部人員的“參與”將進一步增加事件發生的可能性和影響程度，如賦予員工或承包商超過其職責所需的訪問權限時，容易產生敏感數據泄露的風險。因此，企業越來越重視對“人”的風險識別和控制。成熟的IAM體系可以通過確保在整個組織中一致地應用用戶訪問規則和策略來增加企業對信息資產的保護、解決企業的身份權限管理需求，以及應對合規和安全要求。

但企業在部署IAM系統時，往往會發現已存的應用系統對接困難，已存應用系統的權限控制模塊無法達到基于IAM的精細化權限控制要求，需要大量的開發改造工作，但較早期應用系統開發改造困難，部分系統維護團隊甚至源代碼已無處尋匿，基于以上原因讓IAM體系無法真正落實，大大削弱了IAM體系的功效。

為了解決上述問題，本發明結合數據采集、數據清洗、數據分析、機器學習的技術，對應用系統與IAM體系的權限對接進行了深度的研究。

發明內容

本發明所要解決的技術問題是現有建設完成的應用系統改造困難、投入較大，導致IAM體系無法正常發揮精細化權限控制功能，提供一種用于應用系統與IAM系統之間的無應用改造的權限對接方法及系統，以減少IAM身份權限體系建設成本，提升建設效果，以實現在不對應用系統進行開發改造的同時，使IAM獲得對應用系統的精細權限控制。

為此，本發明通過以下技術方案來實現：應用系統與IAM系統之間的無應用改造對接方法，其包括：

步驟1)，進行應用系統權限抓取，采集應用界面分層頁面；具體過程如下：

步驟11)，獲取目標應用系統數據集；

步驟12)，向目標應用系統發送攜帶賬號密碼的模擬登陸數據包，獲取到返回的cookie；

步驟13)，將獲取到的cookie導入頁面爬取程序，對目標應用系統進行頁面爬取，將爬取到的頁面數據發送到消息總線；

步驟14)，數據存儲節點從消息總線中獲取數據，并存儲入數據庫；

步驟2)，對抓取到的應用系統頁面進行分析整理，建立與IAM系統對接API接口和應用系統頁面之間的對應關系；具體過程如下：

步驟21)，提取步驟14)數據庫中的數據，基于預設規則進行分類和標注；

步驟22)，將步驟21)中分類和標注的結果解析后的字段添加上時間戳，并建立索引存入數據庫；

步驟23)，從步驟22)數據庫取得應用系統頁面信息，依據預設權限信息建立應用系統頁面與API接口對應關系；

步驟3)，實現應用系統與IAM系統的權限對接和數據交互，具體過程如下：

步驟31)，接收對納管范圍內應用系統的用戶訪問請求時，重定向到IAM的Portal認證頁；

步驟32)，接受到帶認證ticket的重定向后，對IAM系統發起ticket驗證請求；