可信访问控制台系统

       奇安信可信访问控制台（简称TAC：Trusted Access Console）是为了解决在企业应用及API服务访问场景下的安全问题而推出的一款创新产品。该平台主要针对多个企业应用及API服务的访问控制需求，采用了动态授权、身份认证、风险感知、国密算法等多项核心技术，集中解决企业应用访问场景的核心安全问题，为企业提供了访问控制统一配置管理、WEB应用和API服务集中管理、用户认证与授权、风险响应、应用审计等功能。可信访问控制台作为奇安信零信任身份安全解决方案中的核心组成部分，是联动各个子系统的控制中心。

• 
  

  模块对接统一配置

  作为零信任身份安全解决方案各个模块的统一配置点，完成用户、应用、API、认证、授权、系统设置等配置，将配置信息同步至可信应用、API代理系统中国，实现集中在动配置。还可实现对代理平台的统一升级维护及故障修复。
• 
  

  企业资源管理

  可对所有企业应用（Web应用、3层应用、4层应用）及API服务进行集中管理及发布；企业应用及API服务注册后，可向用户统一发布，根据登录用户身份，统一展示可访问应用列表。
• 
  

  用户身份管理

  提供基础身份管理功能，为企业用户提供全面化、精细化、统一的身份管理能力。支持与零信任身份分析系统（IDA）或外部身份及权限管理基础设施联动，实现全面身份与权限管理功能，利用企业现有4A、IAM、AD、LDAP、PKI等进行身份认证与授权。
• 
  

  用户设备管理

  提供基础设备管理功能，通过设备注册、设备绑定、设备管理，记录用户使用设备形成企业设备清单。登录过程中可以基于设备进行验证，仅合法设备可以登录。
• 
  

  用户身份认证

  收到访问请求后，进行访问者身份信息认证，实现应用、API服务的访问控制。支持CA证书、AD域、LDAP认证、RADIUS、邮箱、APPID/APPKEY、二维码及多因子认证等，可任意方式组合，也可配合硬件特征绑定策略组合使用，满足特定应用场景强身份认证需求。
• 
  

  用户授权策略

  可提供基础权限管理功能，采用RBAC和ABAC两种授权方式，满足多种复杂场景的细粒度访问控制。权限管理提供访问主体权限管理（用户、权限、角色）、访问客体授权分组、动态授权规则及授权策略配置管理功能。
• 
  

  会话管理

  具备集中连接会话管理功能，可为可信应用代理系统、可信API代理系统的代理连接进行统一控制，包括创建、维护、删除、失效、验证会话等。同时，具备为后端应用传递身份和会话令牌功能，配合可信访问代理平台实现应用单点登录。
• 
  

  访问审计

  对用户认证、用户授权、应用/API访问行为、系统联动等提供详细的日志记录，进行访问审计，包括访问的用户身份、终端信息、访问时间、访问目标应用、认证及授权结果，风险及异常信息等。

• 

  外部联动服务接口

  系统对外提供用户、应用、策略等丰富API服务接口，便于与外部安全管理系统对接集成，以满足各类安全管理的需要。

• 

  集群化部署

  系统支持集群化部署，以便提供高效、稳定服务。集群能够的动态扩容，以满足不同用户和业务规模的需要。

• 

  自适应认证

  基于访问的上下文信息，通过静态规则和动态分析结果，为访问主体选择最合适的认证方式，确保在业务访问过程中，访问主体身份的安全。

• 

  动态访问控制

  采用RBAC+ABAC的权限管控机制，从用户、设备、环境、行为等多个维度建立访问控制策略，并根据策略动态调整访问主体的权限，确保权限最小化。

• 

  网络隐身

  采用单包授权SPA安全机制，提供TCP、UDP+TCP的敲门方式，能够实现不同业务场景下 “网络隐身”，隐藏业务系统，缩小暴露面，保障业务系统的安全。

• 

  终端环境检测

  对用户终端的安全环境状况持续感知和检测，构建完整的设备清单库，强化对用户终端的管控，确保终端身份以及环境的安全。

• 

  风险联动处置

  可与外部智能身份分析系统（IDA）实现风险联动，在发生风险时，能够及时对访问过程进行干预和处置，缓解风险所引发的安全问题。

• 

  可信代理集中管理

  提供可信应用代理、可信API代理的集中配置和管理，减轻管理工作的负担。