李莉

?

基于數(shù)據(jù)集成的統(tǒng)一身份管理中心設(shè)計

李莉

（中國石油大學(xué)（華東）網(wǎng)絡(luò)及教育技術(shù)中心，青島266580）

隨著高校信息化的推進，高校內(nèi)部的信息系統(tǒng)越來越多。而這些系統(tǒng)的用戶均為本校的教工和學(xué)生。如果各個系統(tǒng)分別維護自己的用戶信息，勢必導(dǎo)致數(shù)據(jù)冗余，不一致等問題。此外，這些系統(tǒng)是不同時期不同廠商建立的，因而數(shù)據(jù)異構(gòu)問題突出。通過ODI數(shù)據(jù)集成工具，解決了數(shù)據(jù)異構(gòu)的問題。在此基礎(chǔ)上設(shè)計了統(tǒng)一身份管理中心，在統(tǒng)一身份管理中心對人員、權(quán)限、接口進行控制，確保特定的人員在特定的接口下以特定的權(quán)限來訪問資源，從而大大的降低了人員管理的復(fù)雜度和維護成本。

異構(gòu)數(shù)據(jù); 數(shù)據(jù)集成; 統(tǒng)一身份管理

0 引言

隨著《教育信息化十年發(fā)展規(guī)劃（2010-2020）》的提出，各個高校都積極建立和完善信息系統(tǒng)，推進信息化建設(shè)。在此過程中各種信息系統(tǒng)不斷的遞增和堆積。與此同時，各個應(yīng)用系統(tǒng)如OA系統(tǒng)的用戶越來越多，推廣越來越普遍，無紙化辦公等信息化的工作方式越來越深入人心[1]。

在各個信息系統(tǒng)的建設(shè)過程中人員用戶信息是各個系統(tǒng)都必須使用和維護的。而高校的人員信息又呈現(xiàn)通用性和復(fù)雜性兩個方面。一方面，由于高校組織的特點，人員信息不外乎教工和學(xué)生。如果各個應(yīng)用系統(tǒng)各自維護一套人員信息勢必造成信息冗余。

另一方面高校的人員信息管理又有其復(fù)雜的一面。以學(xué)生為例，學(xué)生分為本科生，研究生，博士生，留學(xué)生，成人教育的學(xué)生等，此外，研究生還能細(xì)分為在職研究生和全日制研究生。這些學(xué)生人員信息分別由不同的機構(gòu)來維護，如本科生由教務(wù)處維護，研究生歸研究生院維護等。從而使得人員身份和權(quán)限管理非常的復(fù)雜。如果不進行統(tǒng)一的管理又會造成人員數(shù)據(jù)的不一致，各個系統(tǒng)有如信息孤島，難以互通。

因此需要建立統(tǒng)一的身份管理中心，將人員信息由各個權(quán)威系統(tǒng)抽取到身份管理中心，并根據(jù)身份類型進行權(quán)限管理，最后根據(jù)各個信息系統(tǒng)的需要分發(fā)出去。信息的更新修改都需要在統(tǒng)一的身份管理中心中完成。這樣就能夠保證人員信息的一致性和準(zhǔn)確性，降低維護成本，實現(xiàn)人員信息的精細(xì)化管理。但由于人員系統(tǒng)來自不同的系統(tǒng)，而各個單位信息系統(tǒng)的建設(shè)時期也不同，因而采用了不同的數(shù)據(jù)庫，數(shù)據(jù)異構(gòu)等問題普遍存在[2]。所以通過數(shù)據(jù)集成處理異構(gòu)的數(shù)據(jù)，對人員信息進行統(tǒng)一的管理，就成為了一個非常關(guān)鍵的問題。

1 數(shù)據(jù)集成

1.1 數(shù)據(jù)集成簡介與數(shù)據(jù)集成工具

數(shù)據(jù)集成即將來自不同系統(tǒng)，具有不同結(jié)構(gòu)和編碼格式的數(shù)據(jù)在邏輯上和物理上進行集中，并為組織提供數(shù)據(jù)共享[3]。

1.2 數(shù)據(jù)集成工具

ODI（Oracle Data Integrator）是oracle公司的數(shù)據(jù)集成工具，上文中提到，因為各個信息系統(tǒng)建設(shè)所采用的數(shù)據(jù)庫都是不同的，從而產(chǎn)生了異構(gòu)的數(shù)據(jù)，ODI的作用就是將這些異構(gòu)的數(shù)據(jù)通過ELT（Extract、Load & Transform,即抽取、裝載、轉(zhuǎn)換）轉(zhuǎn)化為結(jié)構(gòu)相同的數(shù)據(jù)[4]。

ODI把一些應(yīng)用場景如將數(shù)據(jù)從sqlServer數(shù)據(jù)庫抽取到oracle數(shù)據(jù)庫的詳細(xì)步驟以知識模塊的形式封裝起來，這樣就形成了ODI的100多個知識模塊，幾乎囊括了主流數(shù)據(jù)庫相互轉(zhuǎn)換的所有場景。用戶可以直接根據(jù)所需要的場景個性化的定制集成過程[5]。

2 身份管理系統(tǒng)的設(shè)計

2.1 統(tǒng)一身份管理中心架構(gòu)設(shè)計

如圖1所示。

圖1 統(tǒng)一身份管理中心架構(gòu)圖

2.2 用戶層

統(tǒng)一身份管理中心設(shè)計的分層示意圖，如圖2所示。

圖2 高校人員類型

其中第一層為用戶層，如上文所述，高校人員信息錯綜復(fù)雜。

圖2中所示的人員類型都來自不同的系統(tǒng)的數(shù)據(jù)源。例如本科生來自教務(wù)系統(tǒng)，留學(xué)生來自國際教育學(xué)院人員管理系統(tǒng)，研究生來自研究生院管理系統(tǒng)等等。但這些人員信息又需要被各個系統(tǒng)共享來完成不同的工作，例如，對于高校來說，無論什么樣的人員類型都需要上網(wǎng)賬號，但不同身份類型的人員上網(wǎng)收費策略又不相同。

如果不同的人員類型由不同的系統(tǒng)來維護的話，勢必形成信息孤島，導(dǎo)致數(shù)據(jù)的冗余和不一致。例如在教務(wù)系統(tǒng)中有學(xué)生已經(jīng)辦理了退學(xué)手續(xù)，但是在網(wǎng)絡(luò)計費系統(tǒng)中還是有這個學(xué)生的賬號，該生還是可以用賬號正常上網(wǎng)，發(fā)表言論。如果由學(xué)生分別到各個應(yīng)用系統(tǒng)進行注銷，不僅麻煩而且還容易造成信息的混亂。因而為了保持?jǐn)?shù)據(jù)的一致性，減少數(shù)據(jù)冗余，確保數(shù)據(jù)的準(zhǔn)確性，需要由該數(shù)據(jù)的權(quán)威部門統(tǒng)一對這些數(shù)據(jù)進行維護和管理，再由權(quán)威的數(shù)據(jù)部門匯總到數(shù)據(jù)中心，通過數(shù)據(jù)中心分發(fā)到各個業(yè)務(wù)系統(tǒng)中。

因而在第一層的設(shè)計中，人員信息由各個數(shù)據(jù)產(chǎn)生的權(quán)威部門匯聚到數(shù)據(jù)中心，例如本科生數(shù)據(jù)來自教務(wù)系統(tǒng)，教工數(shù)據(jù)來自人事系統(tǒng)等。

2.3 人員信息管理層

第二層為人員信息管理層，即數(shù)據(jù)清洗層。這是身份信息管理中至關(guān)重要的一步。在這一層中將各個權(quán)威數(shù)據(jù)源的人員數(shù)據(jù)進行清洗，保證人員信息與權(quán)威數(shù)據(jù)源實時的同步，為下一步將人員信息提供給其它系統(tǒng)做準(zhǔn)備。在這一層中使用的工具是上文中介紹的甲骨文公司提供的數(shù)據(jù)集成工具ODI。概括而言O(shè)DI的數(shù)據(jù)清洗的主要工作可以分為以下4個步驟：

（1）連接異構(gòu)數(shù)據(jù)庫，對不同的編碼方式進行轉(zhuǎn)換

上文中提到了，由于各個業(yè)務(wù)系統(tǒng)建立的時間和廠家不同，因而采用的數(shù)據(jù)庫是不同的。

ODI采用jdbc驅(qū)動的方式來解決異構(gòu)數(shù)據(jù)庫的連接問題，ODI提供了主流的數(shù)據(jù)庫連接驅(qū)動，例如mysqldb2oracleSqlserver等等，如圖3所示。

圖3 數(shù)據(jù)連接接口

建立數(shù)據(jù)庫連接時先選擇相應(yīng)的數(shù)據(jù)庫驅(qū)動，再通過連接字符串就能連通各種異構(gòu)的數(shù)據(jù)庫。

此外，因為各個數(shù)據(jù)庫的編碼方式不一致，有些是使用UTF-8，有些使用GBK等等。這就導(dǎo)致數(shù)據(jù)在轉(zhuǎn)化的過程中出現(xiàn)亂碼。如果修改整個數(shù)據(jù)庫的編碼方式，又會影響到數(shù)據(jù)庫與其它接口的交互。ODI在這里提供了一種非常方便的處理方式，只需要在連接字符串中配置相應(yīng)的編碼方式value值，就可以在寫入該數(shù)據(jù)庫的時候采用相應(yīng)的數(shù)據(jù)庫編碼方式。綜上所述，這一步解決了數(shù)據(jù)的讀出以及寫入的接口問題。

（2）建立字段之間一一對應(yīng)的關(guān)系

根據(jù)上一步，ODI分別與源數(shù)據(jù)表和目標(biāo)數(shù)據(jù)表建立連接，將數(shù)據(jù)讀入緩沖池。就形成了下圖所示的兩張表，這一步就是對這兩張表進行一一的關(guān)聯(lián)，建立對應(yīng)關(guān)系。

通過ODI同步工具，將一些關(guān)鍵的字段與權(quán)威部門提供的源表建立一一對應(yīng)的關(guān)系，如圖4所示。

圖4 字段對應(yīng)關(guān)系示意圖

第二步解決了表的對應(yīng)關(guān)系，以及關(guān)鍵字等問題。在這一步中，還可以對源數(shù)據(jù)表進行過濾，比如我們只同步當(dāng)前狀態(tài)為激活的教工數(shù)據(jù)等。

（3）轉(zhuǎn)化底層數(shù)據(jù)結(jié)構(gòu)

這一步來解決的是底層的數(shù)據(jù)轉(zhuǎn)化問題，在上文中，第二步已經(jīng)將對應(yīng)關(guān)系處理好了，

數(shù)據(jù)表也進行了連接，繼而需要解決的就是如何將底層不同的數(shù)據(jù)結(jié)構(gòu)相互轉(zhuǎn)化的問題。ODI提供了這一過程的解決方案，簡要步驟，如圖5所示。

圖5 底層結(jié)構(gòu)轉(zhuǎn)換過程

（4）定時對數(shù)據(jù)進行更新，保證數(shù)據(jù)的實時同步

數(shù)據(jù)是在實時的更新變化當(dāng)中的，對于一些關(guān)鍵的信息例如教工的工號，單位，身份證件號碼，當(dāng)前狀態(tài)等等。如果出現(xiàn)信息的更改，例如教工調(diào)離原來的單位、教工離職、退休或者是修改身份證件號碼等情況，此時由權(quán)威部門修改這些數(shù)據(jù)，再由ODI的相應(yīng)接口，將這些變化的數(shù)據(jù)同步到數(shù)據(jù)中心。從而保證了數(shù)據(jù)中心人員數(shù)據(jù)的準(zhǔn)確性與權(quán)威部門保持完全一致。而這個更新是由ODI的代理來實現(xiàn)，更新頻率可以根據(jù)系統(tǒng)的具體要求來定，從而保證定時同步最新的信息。

2.4 權(quán)限管理層

在確保人員信息準(zhǔn)確的基礎(chǔ)上，統(tǒng)一身份管理中心的第三層設(shè)計為權(quán)限管理層，根據(jù)不同的系統(tǒng)的權(quán)限管理需求，大致將權(quán)限管理劃分為以下幾類：

最簡單的是粗略的權(quán)限劃分，例如科研系統(tǒng)、OA系統(tǒng)等只有教工有權(quán)限查看；

此外，有些系統(tǒng)則需要更加精細(xì)的權(quán)限劃分，如在教務(wù)系統(tǒng)中，只有任課教師才對自己所任課程的課程安排，成績等信息有編輯權(quán)限，其他人員如機關(guān)管理人員沒有課程信息的管理權(quán)限。

對于一些特殊的系統(tǒng)而言，只有特定的人員才具有管理權(quán)限，例如安防管理系統(tǒng)，檔案管理系統(tǒng)，只有公安處的管理員和各個單位指定的檔案管理員才具有相應(yīng)系統(tǒng)的訪問權(quán)限。

最后還有針對角色的一些權(quán)限劃分，例如單位的領(lǐng)導(dǎo)角色能夠看到本單位的一些統(tǒng)計信息報表等。學(xué)院的教學(xué)秘書，根據(jù)工作需要可以看到全院教師的科研教學(xué)信息。系統(tǒng)管理員具有管理系統(tǒng)的權(quán)限，但不具備瀏覽某些信息的權(quán)限等等。

2.5 接口管理層

第四層為接口管理層，每個系統(tǒng)在信息集成的時候都有自己的接口，而我們的身份管理中心支持目前主流的多個接口，如圖所示的LDAP ,AD, CAS等等。通過這些接口，將人員信息與最終的資源層信息連接上，也就是讓具備某一些權(quán)限的人，通過某種接口到達(dá)資源層的目標(biāo)系統(tǒng)。

2.6 資源層

最后一層為資源層，即學(xué)校的各個系統(tǒng)，如OA系統(tǒng)，一卡通系統(tǒng)，財務(wù)系統(tǒng)等等。通過用戶管理，權(quán)限管理，接口管理幾個層次，確保了特定的人員，通過特定的接口，來訪問特定的資源。

3 總結(jié)

高校的人員信息具備其自身的復(fù)雜性，我校采用統(tǒng)一的身份管理中心以來，形成了人員信息的權(quán)威數(shù)據(jù)中心，在新系統(tǒng)建設(shè)的時候，只需要知道使用該系統(tǒng)的用戶身份類型就能準(zhǔn)確的將相應(yīng)的人員信息和權(quán)限信息同步過去，形成了標(biāo)準(zhǔn)的流程。一方面各個系統(tǒng)不需要再自己維護人員信息，這就大大降低了維護成本。另一方面，各個業(yè)務(wù)子系統(tǒng)的用戶信息均由身份管理中心來分發(fā)，打破了人員信息的信息孤島，不存在各個業(yè)務(wù)系統(tǒng)人員信息不一致的情況。此外我校在基礎(chǔ)上建立了統(tǒng)一的身份認(rèn)證系統(tǒng)，用戶只需要一套用戶名和密碼就能自由的進入學(xué)校的各個業(yè)務(wù)子系統(tǒng)，從而避免了教工和學(xué)生記錄多套用戶名密碼的麻煩，取得了良好的效果。期望能給其它高校的信息化建設(shè)提供參考。

[1] 田生湖,趙學(xué)敏.我國高校信息化教學(xué)的現(xiàn)狀、趨勢與發(fā)展策略[J].當(dāng)代教育科學(xué). 2016,(11): 37-39.

[2] 梁艷,胡先智. 異構(gòu)數(shù)據(jù)轉(zhuǎn)換系統(tǒng)設(shè)計與實現(xiàn)[J]. 信息與電腦(理論版). 2011,(8):14.

[3] 鐘秋燕. 數(shù)據(jù)集成技術(shù)綜述[J]. 電腦知識與技術(shù). 2008(24):1120-1122.

[4] 高珺,張計龍,高峰,宓詠. 高校信息系統(tǒng)建設(shè)中的兼容性和可移植性策略研究[J]. 中山大學(xué)學(xué)報(自然科學(xué)版). 2009,(S1):104-107.

[5] 曹曉玲,劉海燕,張超英,王強. 基于Web服務(wù)的校園數(shù)據(jù)集成的安全模型設(shè)計與實現(xiàn)[J]. 計算機應(yīng)用與軟件. 2010,06:274-276.

Unified Identity Manager Design Based on Data Integration

Li Li

(China University of Petroleum (East China), Qingdao, Shandong 266580, China)

By the promotion of infoemalization in colleges and universities, more and more information systems appear. And the users of these systems are the faculty members and students. If all systems maintain their own user then it separately, it will lead to data redundancy and inconsistency. Meanwhile, it has the heterogeneous data problem. In this paper, it uses ODI to solve the problem of heterogeneous data. A unified identity management center, is set up to carry out identification, We design user permission, interface control to ensure that a specific staff can access the specific resources under a particular interface in a specific permissions. Thus it greatly reduces the complexity of management and maintenance cost.

Heterogeneous data; Data integration; Unified Identity Manager

1007-757X(2016)12-0034-03

TP311

A

李 莉（1987-），女，河南葉縣人，中國石油大學(xué)（華東）網(wǎng)絡(luò)及教育技術(shù)中心，工程師，碩士，研究方向：高校信息化數(shù)據(jù)集成，青島，266580

（2016.08.04）