群冠高科超目錄服務解決方案

由於帳號的控管不易，所以企業嘗試導入目錄服務，但是許多應用程式無法與目錄服務整合，必須修改程式碼才能對應目錄服務的認證。超目錄（Meta Directory）服務是凌駕目錄服務、資料庫及應用系統之上，整合用戶資訊的安全身分管理方案。群冠高科成立兩年以來首推的超目錄解決方案，不需改寫既有的系統，即可透過XML Meta（中介資訊）統合所有目錄。

由群冠高科開發的超目錄解決方案，是以Novell DirXML為基礎。DirXML是Novell安全身分管理方案的主要元件，2002年被全球調查機構Gartner選為超目錄服務市場唯一的領導廠商。由於企業應用系統及網路連結日益複雜，資訊人員經常需為維護多個目錄而疲於奔命。超目錄服務協助企業整合目錄、資料庫、應用系統及網路作業系統等的用戶資訊，依使用者身分傳送適當資源，並兼顧系統及資料安全的解決方案。

目前導入群冠超目錄解決方案的有臺北縣政府、交通銀行、統一企業、聯合報及世界先進等企業，以整合既有應用系統複雜的用戶資訊。由於金融交易資料的機密性高，交通銀行以Token的One-Time Password機制，作為身分認證的方式。群冠高科認為透過超目錄整合授權、認證及憑證機制，才是真正安全的身分認證。超目錄的好處

企業既有的應用系統繁多，新進人員到職時必須填寫多份申請單，以取得電子郵件、人事、目錄服務、ERP等系統的帳號，預估到職一周後才能進入情況。僅是新增帳號問題還算不多，員工調單位或離職時，帳號轉換及管理更加棘手，許多企業的電子郵件多到難以控管，最主要的原因就是員工離職後，沒有同步刪除帳號，導致伺服器存放大量的無效帳號及信件。眾多應用系統的帳號管理往往顧此失彼，透過超目錄統一控管，不但減少資訊人員的負擔，有效管理各應用系統的帳號，更可避免機密資料外洩的安全性漏洞。

於不同應用系統建置的帳號密碼都是各自獨立的，帳號之間沒有任何的對應與關聯，對負責安控的稽核人員而言是很大的盲點，相同的人以不同帳號及身分登入各種應用系統，處理各項業務其間是否有任何違法或失職行為，追查起來相當費神，若同部門人員有共用帳號的情形，將使責任歸屬問題更為複雜。因此使用單一帳號，才能提升管理及稽查的效率。

單一帳號也有一旦被有心人士竊取，則所有系統將暢行無阻的安全性顧慮，多組帳號密碼雖可避免這類的問題，但是由於記憶及管理不易，容易造成混淆，記錄在備忘錄上反而增加被竊取的機率，所以風險更高。最好的方法是從管理機制面強化安全性，畢竟有號稱最安全的鎖，就有誇口什麼都打得開的鎖匠，所以絕對沒有萬無一失的解決方案。企業可透過Smart Card、指紋辨識或Token的One-Time password等機制，增加密碼被破解的難度。
整合既有的包袱是最沈重的第一步

整合本是複雜的工作，在實現單一帳號之前，必須整合企業既有應用系統的認證方式，超目錄的Metadirectory伺服器，透過JDBC可串連各種資料庫，並包含AD、NT、Exchange、Notes、Solaris、Linux、AIX等系統的驅動程式，可匯整各應用系統的使用者資料，透過XML檔案格式將使用者資訊物件化。

群冠高科協助企業導入單一帳號共有三個步驟：對應規則、媒合規則及定位規則。首先，企業必須決定各應用系統的使用者資料中，有哪些欄位未來要進行同步作業，例如使用者名稱、生日、住址、電話等，定義對應規則後，未來資料變更時將同步修改。

其次，媒合規則是帳號統合的工作，由於既有應用系統的帳號密碼已存在，為整合使用者所有帳號成為單一身分，企業須定義身分命名規則，例如員工代號加上部門別、身分證字號等，作為員工獨一無二的身分認證（ID）。確立ID之後，再匯整ID至資料庫、目錄及作業系統的使用者資訊，未來便以ID作為統一的身分認證。

最後，定位規則是系統架構的整合，員工於各應用系統的等級及使用權限不盡相同。例如財務部主管於人事系統是企業組織中的財務部經理；在會計系統是最高權限管理者；在電子郵件中僅是一般成員。透過各應用系統樹狀結構的整合，有助於未來統一權限設定與管理的工作。集中控管，分散授權
單一登入及Portal的基礎建設

超目錄是Java開發的應用程式，企業可選擇Web或傳統Windows管理介面，由於資料傳輸都經過加密處理，不需搭配VPN即可放心於網際網路存取使用者資訊。透過群冠高科稱為「Pro-Visioning」的事前洞察工作，企業完成三階段工作後，員工將在各應用系統中擁有獨一無二的身分認證，企業將可透過超目錄管理介面，跨越應用程式、系統與地域限制，設立、修改、刪除員工資料及使用權限，不再需要為維護多個目錄而疲於奔命。

進入超目錄帳號管理系統，管理者依權限可檢視企業的組織樹，點選各單位人員的基本資料，透過先前的欄位對應設定之後，修改任何資料，所有應用系統都會同步更正。

過去員工忘記密碼通常情商資訊人員代為查詢或更新，群冠高科認為讓第二個人知道密碼是危險的行為，因此強調「Self-Service」的觀念與重要性。管理者可協助重新設定密碼，但不應具有更改和查詢的權限，員工取得新密碼後，應立即自行更新。管理者可設定各部門的管理權限，讓單位主管自行控管部門內的員工資料，如此分層負責便是「集中控管，分散授權」的概念。

透過超目錄初步可節省管理的成本，但是員工使用各種應用系統仍是輸入各別的帳號密碼，而非統一的ID，並沒有達到單一登入（Single Sign On）的目的。單一登入與單一帳號（Single Account）並不相同，單一登入是解決前端使用者的登入經驗，僅需記憶一組帳號密碼，藉由資料庫或目錄服務幫使用者對應到各應用系統的帳號密碼，但是使用者資料的新增、刪除和修改的維護工作，仍需各別處理；單一帳號則是以管理者、資訊人員及安全性為出發點，整合使用者資訊以節省維護與控管的成本。群冠高科認為企業應以管理的角度為著眼點，先導入單一帳號再建構單一登入的環境。

單一帳號除節省管理的成本外，更是建置EIP（Enterprise Information Portal；企業入口網站）之前的基礎建設，EIP是應用廣泛的平臺，整合企業既有的應用系統，以單一登入的方式透過網站存取，才能浮現EIP的價值。群環高科目前與多家入口網站廠商合作，在導入EIP之前，先協助企業整合既有系統的使用者資料以便管理，再以單一登入建置入口網站，提供人性化的使用經驗。Token的One-Time password機制

對於非關鍵性的系統，一般的密碼保護已經足夠，但是重要性高的應用程式、檔案及系統，則需要更高等級的雙因素身分認證解決方案。金融機構的提款卡就是使用雙因素身分認證的實例，以密碼及卡片的組合，提供雙重的安全性保障。

Token即是雙因素身分認證機制，有硬體、軟體及智慧卡等型式，最常見的是類似名片大小的計算機的硬體Token，以時間差的觀念每60秒產生一組數字稱為Tokencode，因此稱為「One-Time password」。使用者登入系統時，必須輸入一組固定的識別碼（PIN Code），再輸入Token以雜湊演算法動態產生Tokenocode，加密後傳送至雙因素身分認證伺服器。認證伺服器接收認證需求，會搜尋使用者資料庫，確認使用者名稱後，再比對識別碼及Tokencode，以確認使用者的合法性。

由於Token與伺服器同步，每60秒產生一組新的Tokencode，所以除非使用者名稱、識別碼及Token卡同時被竊取，否則安全性相當高。相對的Token的費用較為昂貴，群冠高科表示Token卡加上認證伺服器，平均一個使用者的成本約三千多元。目前多應用於安全性要求較高的金融產業，寶來證券即提供部分成交量較高的網路下單客戶Token機制，以保障電子交易的安全性。文⊙李延華