李石師（中國石油化工股份有限公司北京燕山分公司，北京　102500）

統(tǒng)一身份管理系統(tǒng)的設計與實現(xiàn)

李石師
（中國石油化工股份有限公司北京燕山分公司，北京102500）

摘要：本文針對燕山石化公司在信息系統(tǒng)身份管理、用戶管理以及單點登錄等方面的需求，建設統(tǒng)一身份管理系統(tǒng)。系統(tǒng)實現(xiàn)涵蓋燕山石化云節(jié)點建設、應用單點登錄集成、賬號管理三大內(nèi)容，并針對信息系統(tǒng)各自技術特點，分別采用聯(lián)邦模式、網(wǎng)關模式、微軟ADFS模式、易登錄方式實現(xiàn)單點集成。燕山石化統(tǒng)一身份系統(tǒng)與中石化活動目錄（AD）、PKI/CA及人力資源管理信息系統(tǒng)（SAPHR）進行了集成，實現(xiàn)了信息系統(tǒng)的身份認證和單點登錄。

關鍵詞：身份管理；單點登錄；功能設計

廣義地說，身份管理可描述為企業(yè)能夠建立并管理IT系統(tǒng)使用人員的數(shù)字身份，定義誰進入哪個系統(tǒng)并保護私人和業(yè)務機密信息的一套業(yè)務流程、政策和技術。過去，身份管理主要是防止未獲得授權的用戶訪問特定數(shù)據(jù)。如今，身份管理正在朝著讓可以信任的、經(jīng)過認證的用戶訪問Web服務和應用這樣的模式發(fā)展。隨著信息化水平的提高，信息系統(tǒng)的數(shù)量逐漸增多，用戶身份和訪問管理也變得越來越復雜，企業(yè)需要在授予用戶IT資源訪問權限的同時，有效而精確地管理用戶。

1　系統(tǒng)建設背景

近年來，燕山石化緊緊圍繞自身的發(fā)展戰(zhàn)略和主營業(yè)務開展信息化工作，積極推進以ERP為主線的信息化建設與深化應用工作，基本建成了以ERP為核心的經(jīng)營管理平臺、以MES為核心的生產(chǎn)執(zhí)行平臺、以及其他信息基礎設施與運維平臺。但隨著IT應用的不斷深化與拓展，應用系統(tǒng)逐漸增多，涉及的業(yè)務范圍不斷擴大，用戶對應用系統(tǒng)的依賴程度越來越高，用戶因業(yè)務需要而使用多個應用系統(tǒng)的情況也越來越多。信息化應用的高速發(fā)展在為燕山石化在企業(yè)管理和生產(chǎn)經(jīng)營方面帶來巨大收益的同時，也為應用系統(tǒng)的建設、管理和運維帶來了更多的挑戰(zhàn)，提出更高的要求。同時，隨著企業(yè)的發(fā)展，各種業(yè)務不斷調(diào)整，人員調(diào)動頻繁，導致企業(yè)信息系統(tǒng)用戶信息越來越復雜，這也極大增加了IT用戶管理的成本，并可能產(chǎn)生諸多安全風險，客觀上對實現(xiàn)用戶統(tǒng)一身份管理的需求越來越迫切。

2　系統(tǒng)功能設計

燕山石化統(tǒng)一身份管理系統(tǒng)的功能主要包括用戶管理、審計管理、認證和訪問管理三部分。其中，用戶管理主要實現(xiàn)用戶身份管理、組織管理、賬號管理、角色管理、口令管理等，認證和訪問管理主要實現(xiàn)統(tǒng)一認證和單點登錄功能，審計管理部分主要實現(xiàn)系統(tǒng)賬號管理審計、用戶行為審計、合規(guī)賬號審計，日志分析等功能。統(tǒng)一身份系統(tǒng)功能設計圖如圖1所示。

2.1用戶管理。用戶管理是用戶統(tǒng)一身份管理系統(tǒng)建設的重要組成部分。用戶統(tǒng)一身份管理系統(tǒng)的管理原則是：①集中部署：用戶身份信息、組織信息等集中在集團總部中心系統(tǒng)內(nèi)，作為中國石化權威的人員信息庫。②統(tǒng)一管理：用戶信息的梳理、配置、維護等操作管理部分，由集團總部中心集中提供服務，委托區(qū)域中心管理。③分散應用：用戶信息由集團總部中心系統(tǒng)以子集或全集的方式同步到企業(yè)，使企業(yè)享有本地用戶信息資源。

2.2訪問管理。訪問管理是用戶統(tǒng)一身份管理系統(tǒng)建設的重要組成部分。本系統(tǒng)核心技術采用單點登錄（SSO）技術實現(xiàn)統(tǒng)一的安全認證，用戶只需要進行一次登錄，就可以訪問到所有已授權信息系統(tǒng)。訪問管理主要組成要素有：統(tǒng)一訪問、用戶統(tǒng)一身份認證、授權管理、單點登錄、訪問控制。SSO系統(tǒng)包括了統(tǒng)一的訪問系統(tǒng)、集中身份認證系統(tǒng)，實現(xiàn)對各個信息系統(tǒng)的一站式登錄。

2.3審計管理。實現(xiàn)對統(tǒng)一身份系統(tǒng)的審計管理，為安全審計平臺提供必要接口。審計管理包含審計日志管理、賬號管理審計、用戶行為審計、審計報表等功能。

圖1　統(tǒng)一身份系統(tǒng)功能設計圖

3　系統(tǒng)實現(xiàn)

統(tǒng)一身份系統(tǒng)組件主要包括：身份管理服務、數(shù)據(jù)同步和賬號管理接口服務、統(tǒng)一認證服務云、統(tǒng)一接入服務和身份管理系統(tǒng)核心數(shù)據(jù)存儲服務（統(tǒng)一目錄服務LDAP）。

3.1統(tǒng)一身份子節(jié)點。（1）在燕山石化建設統(tǒng)一身份管理子節(jié)點，部署基礎信息LDAP服務，存儲用戶及組織機構、角色等，提供統(tǒng)一認證功能。（2）燕山石化統(tǒng)一身份管理子節(jié)點用戶數(shù)據(jù)和組織機構等數(shù)據(jù)完全與總部HR系統(tǒng)中的數(shù)據(jù)保持一致。（3）燕山石化各應用系統(tǒng)的賬號由應用系統(tǒng)管理員統(tǒng)一開設，通過統(tǒng)一接口服務向燕山石化各應用推送數(shù)據(jù)。（4）燕山石化統(tǒng)一認證服務基于燕山石化本地LDAP服務，提供燕山石化各應用統(tǒng)一認證及單點登錄服務。

3.2賬號管理。統(tǒng)一身份管理系統(tǒng)的賬號管理功能根據(jù)應用系統(tǒng)類型的不同提供了兩種接入方式：①適配器模式。②消息模式。

3.3應急管理。為保證各應用系統(tǒng)認證服務的可靠性，燕山石化統(tǒng)一身份管理系統(tǒng)進行了系統(tǒng)容錯冗余設計，當本地認證服務失敗時，自動尋找中石化總部的認證服務。當總部與燕山石化統(tǒng)一身份管理子節(jié)點同時失效或發(fā)生異常情況時，燕山石化各應用系統(tǒng)立即切換到應急模式，按照應用的不同，應急方式也不完全相同。

4應用效果

燕山石化統(tǒng)一身份管理系統(tǒng)于2013 年5月啟動，同年10月18日上線試運行。系統(tǒng)運行以來，在身份管理、單點登錄等方面取得了較好的運行效果。

結語

燕山石化公司率先在中石化煉化企業(yè)范圍內(nèi)建設并使用了統(tǒng)一身份管理系統(tǒng)，實現(xiàn)了信息系統(tǒng)用戶實名制和全生命周期管理；使用證書認證，提高了系統(tǒng)登錄安全等級；實現(xiàn)系統(tǒng)單點登錄，用戶只需記錄一套密碼，提高了用戶使用信息系統(tǒng)的滿意度。

參考文獻

[1]陳志德，黃欣沂，許力．身份認證安全協(xié)議理論與應用[M]．北京：電子工業(yè)出版社，2015．

[2]陳宇翔．LDAP詳解[M]．北京：機械工業(yè)出版社，2012．

中圖分類號：TP315

文獻標識碼：A