李申章，郭　威，毛正雄，張雪堅

（云南電網(wǎng)有限責(zé)任公司 信息中心，昆明 650217）

從組織人員“流動”管理的角度探討4A的深入化應(yīng)用

李申章，郭威，毛正雄，張雪堅

（云南電網(wǎng)有限責(zé)任公司 信息中心，昆明 650217）

4A平臺的定位是集統(tǒng)一身份、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、安全審計于一體，同時也是一套高效的統(tǒng)一權(quán)限管理集約化平臺，助力信息系統(tǒng)應(yīng)用安全管理。但從南網(wǎng)CSGII實施效果來看，制約4A應(yīng)用效率的原因之一，就是系統(tǒng)的組織人員管理，不能實現(xiàn)快速的切換和權(quán)限的高效變換。4A與各業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)一致性保證機制，成為了制約4A統(tǒng)一身份管理、統(tǒng)一認(rèn)證的關(guān)鍵問題。如何優(yōu)化和改善這數(shù)據(jù)一致性的保證機制，成為了4A深化應(yīng)用的重點，和需要關(guān)鍵解決的內(nèi)容。

組織；人員；權(quán)限；管理；4A

0　引言

企業(yè)在人力資源管理中始終存在著人員流動問題，人員的流動包括由社會向企業(yè)流動、企業(yè)內(nèi)部不同崗位之間流動和從企業(yè)向社會流動三個進程?！傲魉桓?，戶樞不蠹”，保持企業(yè)與外部社會之間人員一定的流動對企業(yè)優(yōu)化人員結(jié)構(gòu)、提高人員素質(zhì)，從而使內(nèi)部人力資源更好地滿足企業(yè)發(fā)展需要是非常必要的。對于電網(wǎng)的系統(tǒng)建設(shè)亦是如此，系統(tǒng)的設(shè)計使用需要充分的考慮組織、人員的變化與流動。4A平臺作為統(tǒng)一身份、統(tǒng)一認(rèn)證管理集約化平臺，組織機構(gòu)、人員、權(quán)限不斷的“流動、變更”是系統(tǒng)運行管理的常態(tài)，系統(tǒng)設(shè)計是否充分考慮到了管理人員流動的常態(tài)應(yīng)用，是系統(tǒng)能否實用、易用的關(guān)鍵，本文結(jié)合4A系統(tǒng)的定位，及其當(dāng)前4A系統(tǒng)應(yīng)用的效果，從組織人員“流動”管理的角度，探討4A的深入化應(yīng)用。

1　現(xiàn)狀分析

南方電網(wǎng)公司4A平臺上線，標(biāo)志著4A平臺的建設(shè)取得了階段性成果，并在全網(wǎng)各單位正式投入試運行。經(jīng)過的持續(xù)化使用，系統(tǒng)暴露出了邏輯設(shè)計、應(yīng)用管理等方面的問題。隨著應(yīng)用不斷深入，用戶體驗及業(yè)務(wù)需求不斷的呈現(xiàn)，需要4A平臺持續(xù)完善功能及需求，建設(shè)成實用、易用、好用的支撐性平臺。優(yōu)化管理流程，提升運行管理效率和用戶體驗，解決全網(wǎng)30萬用戶身份權(quán)限管理分散和用戶行為審計不足的問題。

1.1用戶管理

采取“分散到集中”的設(shè)計思路，把南方電網(wǎng)公司原來分散于各個應(yīng)用系統(tǒng)中的用戶數(shù)據(jù)統(tǒng)一集中到4A平臺管理，各個應(yīng)用系統(tǒng)中的人員信息以4A平臺為依據(jù)，通過4A平臺提供的信息同步接口實現(xiàn)應(yīng)用系統(tǒng)和4A平臺之間信息的同步。實現(xiàn)用戶賬號集中管理，業(yè)務(wù)系統(tǒng)用戶賬號信息需持續(xù)完善和清理，進一步規(guī)范用戶生命周期管理，解決用戶賬號分散，多系統(tǒng)多賬號，維護效率較低等問題。

1.2單點登錄

4A平臺與各業(yè)務(wù)應(yīng)用集成，從技術(shù)和管理角度徹底解決用戶的身份標(biāo)識不安全問題，用戶登錄通過4A平臺認(rèn)證訪問業(yè)務(wù)數(shù)據(jù)，做到“一處登錄、處處通行”。目前4A平臺單點登錄未覆蓋全部核心系統(tǒng)，需要進一步加強系統(tǒng)集成范圍，同時在外網(wǎng)業(yè)務(wù)系統(tǒng)認(rèn)證支撐方面需要實現(xiàn)外部用戶的統(tǒng)一認(rèn)證管理與安全密鑰統(tǒng)一管理。

1.3授權(quán)管理

在用戶信息集中管理的基礎(chǔ)上，授權(quán)管理主要是把分散到各個業(yè)務(wù)系統(tǒng)中的權(quán)限管理集中到4A平臺管理，各個業(yè)務(wù)系統(tǒng)只是保留訪問控制模塊，通過權(quán)限的統(tǒng)一管理，既可以減輕管理的復(fù)雜度，增加權(quán)限管理的及時性、精確性。需要解決業(yè)務(wù)系統(tǒng)管理員在4A平臺上實現(xiàn)用戶在各個系統(tǒng)的授權(quán)，簡化操作，用戶的增加、刪除和授權(quán)、回收也將自動推送至各個業(yè)務(wù)系統(tǒng)，減少人工干預(yù)，提高運維效率。

1.4數(shù)據(jù)質(zhì)量

針對4A平臺和各業(yè)務(wù)系統(tǒng)的組織、用戶、角色、權(quán)限等數(shù)據(jù)進行比對分析發(fā)現(xiàn)，數(shù)據(jù)質(zhì)量低是造成系統(tǒng)易用性低的一個重要因素，主要表現(xiàn)在以下幾個方面。

1.4.1匹配率不高

4A平臺與各業(yè)務(wù)系統(tǒng)的組織、用戶、角色、權(quán)限等數(shù)據(jù)，沒有達到100%的匹配率存在一定數(shù)量數(shù)據(jù)無法實現(xiàn)4A平臺與業(yè)務(wù)系統(tǒng)匹配，而這部分?jǐn)?shù)據(jù)恰好是造成系統(tǒng)易用性差的主要因素，加上系統(tǒng)間集成關(guān)系復(fù)雜，難于保證匹配率實時處于100%，見圖1。保證匹配率一直處于一個較高的水平需要付出大量人力物力。

圖1　匹配率監(jiān)控圖

1.4.2數(shù)據(jù)變化不規(guī)律

通過監(jiān)控業(yè)務(wù)系統(tǒng)組織、用戶、角色、權(quán)限數(shù)據(jù)的變化情況，可以判斷系統(tǒng)是否進入一個穩(wěn)定的運行期間，少量且有規(guī)律的組織人員變化則是正常，符合人員流動變化的實際，但是突然大幅度的變化，則說明業(yè)務(wù)系統(tǒng)使用還不趨于穩(wěn)定，存在著大量變更操作，見圖2。

1.4.3用戶權(quán)限完整率低

通過對業(yè)務(wù)系統(tǒng)的用戶權(quán)限進行監(jiān)控分析發(fā)現(xiàn)，業(yè)務(wù)系統(tǒng)中大量賬戶未分配權(quán)限。此數(shù)據(jù)說明，業(yè)務(wù)系統(tǒng)存在大量無法正常應(yīng)用系統(tǒng)的賬戶數(shù)據(jù)，見圖3。

圖2　數(shù)據(jù)變化率監(jiān)控圖

圖3　權(quán)限完整率監(jiān)控圖

1.4.4存在冗余臟數(shù)據(jù)

通過對比分析發(fā)現(xiàn)，業(yè)務(wù)系統(tǒng)中存在同一個組織部門下，相同人名的用戶數(shù)據(jù)有多條，或者相同的組織、用戶ID存在多條記錄等情況。系統(tǒng)間存在有冗余。該問題的存在將會影響以4A為數(shù)據(jù)源頭，進行用戶數(shù)據(jù)更改時，同步接口無法正確的將用戶數(shù)據(jù)推送至業(yè)務(wù)系統(tǒng)，或者4A更改一條數(shù)據(jù)，而造成業(yè)務(wù)系統(tǒng)會同時更改兩條數(shù)據(jù)，從而使業(yè)務(wù)系統(tǒng)兼崗人員用戶無法正常使用系統(tǒng)。

1.5監(jiān)管技術(shù)

當(dāng)前的4A平臺應(yīng)用，缺少一套及時監(jiān)控分析各業(yè)務(wù)系統(tǒng)賬戶權(quán)限數(shù)據(jù)質(zhì)量和一致性的工具，不能及時獲得4A與業(yè)務(wù)系統(tǒng)之間的一致性、數(shù)據(jù)完整性、用戶權(quán)限完整率等指標(biāo)，不能及時的發(fā)現(xiàn)、消除問題，導(dǎo)致系統(tǒng)的易用性降低，管理工作量較大，所以，系統(tǒng)管理急需一套業(yè)務(wù)系統(tǒng)賬號權(quán)限一致性監(jiān)管工具，輔助管理人員管理業(yè)務(wù)系統(tǒng)。

2　解決措施

基于當(dāng)前4A系統(tǒng)應(yīng)用效果，結(jié)合4A系統(tǒng)的設(shè)計定位，加強4A系統(tǒng)業(yè)務(wù)功能及協(xié)調(diào)管理，從組織人員“流動”管理的角度，從以下幾個方面探討4A的深入化應(yīng)用。

2.1嚴(yán)格落實4A統(tǒng)一管理、統(tǒng)一認(rèn)證的目標(biāo)

組織提高4A與各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)質(zhì)量，保證匹配率大于99.99%、用戶權(quán)限完整率大于90%?？刂茢?shù)據(jù)變化率，嚴(yán)禁業(yè)務(wù)系統(tǒng)私自修改刷新組織、用戶、崗位角色、資源的數(shù)據(jù)。從技術(shù)上、制度上保證4A統(tǒng)一管理、統(tǒng)一認(rèn)證的唯一合法性。

2.2擴展4A的支持移動端的統(tǒng)一認(rèn)證授權(quán)

隨著移動技術(shù)的發(fā)展和應(yīng)用移動化的增加，4A作為統(tǒng)一身份、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)的系統(tǒng)，支持移動平臺的授權(quán)的需求也隨之增加。擴展4A的支持移動端的統(tǒng)一認(rèn)證授權(quán)是深化應(yīng)用需要研究的關(guān)鍵。

2.3建立分層分級管理機制

為規(guī)范各CSGII系統(tǒng)接入4A管控后的用戶、角色及權(quán)限管理，為各系統(tǒng)的全面推廣和深化應(yīng)用提供基礎(chǔ)保障。需要采用分級授權(quán)，統(tǒng)一管理模式。企業(yè)級管理信息系統(tǒng)（CSGⅡ）的用戶權(quán)限申請、變更和刪除的具體受理、操作和復(fù)核分省、地市兩級進行（縣級單位由所屬供電局負責(zé)）。避免因過分集中管理造成進度緩慢、或者因過分分散管理而導(dǎo)致技術(shù)支持不到位的情況發(fā)生。

2.4流程化、批量化管理

在實現(xiàn)權(quán)限的統(tǒng)一集中管控基礎(chǔ)上，需要進一步對授權(quán)委托、批量易用授權(quán)、權(quán)限審批流程等進行加強，需要實現(xiàn)基于流程的自動化易用授權(quán)管理體系。

2.5崗位、角色權(quán)限標(biāo)準(zhǔn)化

資產(chǎn)、GIS、營銷等系統(tǒng)，崗位角色的設(shè)定具有一定的相似性，可以配置出標(biāo)準(zhǔn)崗位、角色的權(quán)限模板，當(dāng)職工業(yè)務(wù)崗位、角色需要變換時，秩序?qū)?biāo)準(zhǔn)崗位、角色賦值給職工即可，提高管理員分配權(quán)限的效率。目前的4A平臺缺少該標(biāo)準(zhǔn)化的設(shè)計模式，授權(quán)效率較低，所以提高4A平臺的應(yīng)用效率，設(shè)計實現(xiàn)崗位、角色的權(quán)限標(biāo)準(zhǔn)化模板功能，尤為重要，見圖4。戶權(quán)限，進行復(fù)制，快速粘貼賦值給待分配權(quán)限的用戶，從而實現(xiàn)快速授權(quán)的目的，類似于Office辦公軟件的“格式刷”功能。

圖4　標(biāo)準(zhǔn)崗位、角色授權(quán)示意圖

（3）集中一次授權(quán)多個系統(tǒng)

在實際的工作過程中，如營配電子移交流程，一個崗位需要同時擁有多個系統(tǒng)相應(yīng)的角色權(quán)限，按照電子化移交流程的崗位設(shè)定，4A系統(tǒng)作為統(tǒng)一賬戶權(quán)限管理工具，研究通用的集中一次授權(quán)的工具，實現(xiàn)一次將各個業(yè)務(wù)系統(tǒng)的角色權(quán)限，一次授權(quán)給對應(yīng)的賬戶，從而提高授權(quán)的效率，見圖5。

實現(xiàn)上述標(biāo)準(zhǔn)化功能，4A平臺可以從以下幾個方面進行深化完善。

（1）制作標(biāo)準(zhǔn)化模板

根據(jù)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)工作的規(guī)律，將業(yè)務(wù)系統(tǒng)的權(quán)限進行分組，建立統(tǒng)一標(biāo)準(zhǔn)的標(biāo)準(zhǔn)崗位、角色。授權(quán)時，再將標(biāo)準(zhǔn)的崗位、角色授予用戶。從而實現(xiàn)快速授權(quán)。該設(shè)計實現(xiàn)邏輯，可參考營銷、資產(chǎn)等系統(tǒng)自身權(quán)限管理功能，充分吸收業(yè)務(wù)系統(tǒng)便捷的設(shè)計理念，為4A系統(tǒng)所用。

（2）人員權(quán)限復(fù)制粘貼

因業(yè)務(wù)工作的相似性，不通的人員會執(zhí)行同樣或者相似的工作，需要業(yè)務(wù)系統(tǒng)分配相同的崗位、角色。將已分配權(quán)限的用

圖5　集中授權(quán)示意圖

2.6增加一致性維護功能

為了保證4A平臺統(tǒng)一管理組織用戶、權(quán)限、認(rèn)證、審計信息，與各個業(yè)務(wù)系統(tǒng)一直，增加4A與業(yè)務(wù)系統(tǒng)一致性維護功能。通過圖形化的展示，直觀的比對出系統(tǒng)間數(shù)據(jù)間的差異，精準(zhǔn)分析，提前預(yù)判和響應(yīng)。通過可視化的功能與自動提醒功能，提高管理運維效率，從而確保4A平臺與業(yè)務(wù)系統(tǒng)間數(shù)據(jù)的一致性，見圖6。

圖6　一致性監(jiān)控維護示意圖

2.7增加數(shù)據(jù)監(jiān)控分析工具

增加4A與各業(yè)務(wù)系統(tǒng)數(shù)據(jù)一致性分析監(jiān)控工具，通過監(jiān)控4A系統(tǒng)與各業(yè)務(wù)系統(tǒng)組織、用戶、用戶角色、角色、角色資源、資源的數(shù)據(jù)變化，通過一致性比對、數(shù)據(jù)變化率、用戶權(quán)限完整率、重復(fù)數(shù)據(jù)量等方面進行全面的分析計算，獲得指標(biāo)值，同時報出存在差異的數(shù)據(jù)，明確指導(dǎo)4A平臺管理員，開展運維管理工作。

2.8異常保障機制

2.8.1系統(tǒng)自動容錯機制

（1）變化自動觸發(fā)同步

按照系統(tǒng)的統(tǒng)一設(shè)計，人資系統(tǒng)作為組織、人員的數(shù)據(jù)源頭，4A平臺接收人資數(shù)據(jù)后進行集中管理分配權(quán)限，并同步至業(yè)務(wù)系統(tǒng)。當(dāng)前這一設(shè)計的實現(xiàn)，依靠的是系統(tǒng)管理人員的手工的方式達成，并不能由系統(tǒng)自動觸發(fā)完成。要達成高效的維護組織、賬戶信息，并且保證4A與各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)一致性，減少管理人員的參與程度。實現(xiàn)組織、人員變換自動觸發(fā)同步功能，即當(dāng)組織、人員一旦發(fā)生變化后自動觸發(fā)發(fā)同步，驅(qū)動業(yè)務(wù)系統(tǒng)及時變更。這是4A深入應(yīng)用非常必要的優(yōu)化內(nèi)容。

（2）同步失敗 “自動重合閘”

4A數(shù)據(jù)同步給業(yè)務(wù)系統(tǒng)，經(jīng)常遇到網(wǎng)絡(luò)中斷，SOA平臺等待失敗等問題，該類問題可以采用既定次數(shù)的再次同步方式，例如當(dāng)遇到失敗時，采用類似電網(wǎng)調(diào)度中的 “自動重合閘”機制，定時重啟，減低人為干預(yù)量，提高系統(tǒng)自主容錯能力。當(dāng)既定次數(shù)的重合閘機制啟動后，還是無法解決的同步失敗，轉(zhuǎn)交由人工干預(yù)模式解決。

2.8.2人工干預(yù)機制

（1）以“同步順暢率”作為考核指標(biāo)

4A系統(tǒng)是否順暢的工作，提高系統(tǒng)容錯糾錯能力，降低人工干預(yù)的程度。以“同步順暢率”作為評價考核系統(tǒng)應(yīng)用成熟度的一項指標(biāo)，即自動同步成功數(shù)除于需要同步數(shù)據(jù)數(shù)量的比值，作為系統(tǒng)成熟度評價指標(biāo)。

（2）以“匹配率、權(quán)限完整率”作為考核指標(biāo)

通過實時的監(jiān)控，以“匹配率、權(quán)限完整率”作為評價考核系統(tǒng)應(yīng)用成熟度的一項指標(biāo)，一旦發(fā)現(xiàn)4A與業(yè)務(wù)系統(tǒng)的匹配率、權(quán)限完整率低于規(guī)定的閾值時，必須啟動人工干預(yù)機制，組織4A與業(yè)務(wù)系統(tǒng)進行共同分析，消除差異，保證匹配率、權(quán)限完整率符合要求。

3　總結(jié)

降低、取消業(yè)務(wù)系統(tǒng)自身對的組織人員權(quán)限的管理，統(tǒng)一交由4A系統(tǒng)管理。要求4A平臺必須要有通用的組織、賬戶、權(quán)限管理設(shè)計，更需要便捷、穩(wěn)定、可靠的功能作為支撐，有效的服務(wù)于組織人員的“流動、變化”的實際應(yīng)用需求。也是4A平臺能夠正真實現(xiàn)集統(tǒng)一身份、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、安全審計于一體的關(guān)鍵，是4A深入化應(yīng)用該優(yōu)化完善的重點。

主要參考文獻

［1］張振，朱志祥，梁小江.一種統(tǒng)一用戶管理和認(rèn)證授權(quán)方案［J］.電子技術(shù)，2015（5）.

［2］范圍.基于CAS的單點登錄系統(tǒng)應(yīng)用研究［J］.電子測試，2016（8）.

［3］劉永慶.一種基于SOA架構(gòu)的訪問控制安全服務(wù)模型研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)，2016（5）.

［4］沈清濤.移動互聯(lián)網(wǎng)絡(luò)安全認(rèn)證及安全應(yīng)用中若干關(guān)鍵技術(shù)研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（4）.

［5］陸志剛，王杰，魏峻.基于SAML的真單點登錄框架［J］.計算機系統(tǒng)應(yīng)用，2016（2）.

10.3969/j.issn.1673-0194.2016.19.045

F279.23

A

1673-0194（2016）19-0082-05

2016-05-19

李申章（1985-），男，云南昆明人，工程師，主要研究方向：電力信息化系統(tǒng)軟件，電網(wǎng)可視化管理。