4A是指帐号（Account）、认证（Authentication）、授权（Authorization）和审计（Audit），4A统一安全管控平台是以身份为中心，实现帐号、认证、授权和审计统一管控的安全访问平台，可为企业IT系统提供综合安全防护。此类产品国际上通常称为IAM（Identity and Access Management ），即“身份鉴别与访问管理”。

 

统一帐号（Account）

功能：账号的全生命周期管理、密码管理

为用户提供统一集中的帐号管理。实现帐号的创建、删除及同步等帐号管理生命周期管理，也可以通过平台进行帐号密码策略，密码强度、生存周期的设定。

主帐号创建，关注相关组织机构、岗位、角色、人员标准化信息来源、所管理资源及从帐号等信息。帐号变更，主要关注权限的变化，去除冗余的授权信息、以防系统中留下安全隐患，同时需要对权限变更进行记录。用户自身维护，4A系统管控平台主要提供用户对密码的修改，授权委托或临时授权申请、以及升级工程预约等服务。用户离职或外部人员离场，重点关注用户信息的逻辑删除、登录及操作信息的保留已备后续审核，管控平台还可进行主帐号证书吊销工作。

统一认证(Authentication)

功能：统一认证、认证门户、单点登录

可以根据用户应用的实际需要，为用户提供不同强度的认证方式，既可以保持原有的静态口令方式，又可以提供具有双因子认证方式的高强度认证（一次性口令、数字证书、动态口令），而且还能够集成现有其它如生物特征等新型的认证方式。

不仅可以实现用户认证的统一管理，并且能够为用户提供统一的认证门户，实现企业信息资源访问的单点登录。

支持多种标准认证协议实现资源统一认证：CAS、SAML、OAuth2、OIDC、JWT

多因子认证方式：指纹识别、人脸识别、硬件令牌、手机令牌、数字证书、短信

统一授权(Authorization)

可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制，也可以实现对数据库、主机及网络设备的操作的权限控制，资源控制类型既包括B/S的URL、C/S的功能模块，也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。

注：授权是系统级的访问授权，账户可以访问什么系统资源。用户在系统内的权限，一般还是在各自系统内进行管理。

统一审计(Audit)

将用户所有的操作日志集中记录管理和分析，不仅可以对用户行为进行监控，并且可以通过集中的审计数据进行数据挖掘，以便于事后的安全事故责任的认定。

 管控平台进行帐号、授权类、参数配置类操作的审计记录及用户登录4A，用什么帐号访问了哪些资源的操作日志； 堡垒机审计日志：通过堡垒机登录资源的详细操作记录（是系统资源的日志）； 日志采集审计日志：通过日志采集方式（syslog、ftp或通过JDBC访问应用系统的数据库）获取主机、数据库、应用系统自身生成的操作记录。

门户系统与4A系统：门户都需要底层构建完善的4A系统。

逻辑关系

参考

IT应用建设中统一门户和4A系统-如何实现人员用户基础数据统一管理

网御星云4A统一安全管控平台企业版_企业IT系统综合安全防护_身份鉴别与访问管理-云巴巴