樊立讓

?

設(shè)計(jì)院統(tǒng)一身份管理系統(tǒng)實(shí)施方案與問(wèn)題分析

樊立讓

西北勘測(cè)設(shè)計(jì)研究院有限公司，陜西 西安 710065

以賬戶統(tǒng)一管理為核心，介紹了某集團(tuán)統(tǒng)一身份管理系統(tǒng)/4A平臺(tái)，并結(jié)合設(shè)計(jì)院應(yīng)用系統(tǒng)集成需求，提出了實(shí)施方案，分析了遇到的管理問(wèn)題并提出了應(yīng)對(duì)措施。

統(tǒng)一身份管理/4A平臺(tái)；實(shí)施方案；問(wèn)題分析

1 背景及存在的問(wèn)題

某設(shè)計(jì)院是世界五百?gòu)?qiáng)企業(yè)——某大型央企集團(tuán)（股份）有限公司的成員企業(yè)。隨著設(shè)計(jì)院業(yè)務(wù)發(fā)展和轉(zhuǎn)型升級(jí)，信息化的廣度和深度不斷提升，具備了較好的信息化應(yīng)用水平。該設(shè)計(jì)院現(xiàn)已建成企業(yè)門戶、勘測(cè)設(shè)計(jì)項(xiàng)目管理、財(cái)務(wù)、人力資源、公文辦公與協(xié)同、即時(shí)消息等十多個(gè)覆蓋生產(chǎn)、經(jīng)營(yíng)各相關(guān)業(yè)務(wù)的綜合管理和業(yè)務(wù)系統(tǒng)。目前還在建設(shè)EPC項(xiàng)目管理、設(shè)計(jì)項(xiàng)目及設(shè)計(jì)資源系統(tǒng)、經(jīng)營(yíng)合同管理及輔助決策等多個(gè)信息系統(tǒng)。

這些已建或在建的系統(tǒng)各自維護(hù)一套獨(dú)立的用戶身份信息。隨著公司各項(xiàng)業(yè)務(wù)的不斷發(fā)展，應(yīng)用系統(tǒng)數(shù)量越來(lái)越多，用戶身份等基本信息沒(méi)有統(tǒng)一管理，員工需要記錄多個(gè)賬戶及密碼，而且需要在不同的系統(tǒng)間頻繁切換和訪問(wèn)；系統(tǒng)的使用往往會(huì)跨部門、跨地域，系統(tǒng)間也需要進(jìn)行數(shù)據(jù)的交換和共享，因此賬戶的管理、權(quán)限的控制、行為的審計(jì)不再局限于單一的系統(tǒng)，需要在各個(gè)應(yīng)用系統(tǒng)間進(jìn)行整合；同時(shí)缺少用戶的訪問(wèn)控制與審計(jì)，給信息管理和風(fēng)險(xiǎn)控制帶來(lái)了較高的難度。

2 設(shè)計(jì)院統(tǒng)一身份管理系統(tǒng)/4A平臺(tái)簡(jiǎn)介

4A是指認(rèn)證、賬戶、授權(quán)、審計(jì)。設(shè)計(jì)院統(tǒng)一身份管理系統(tǒng)/4A平臺(tái)（簡(jiǎn)稱4A平臺(tái)）是一種安全體系框架，主要涵蓋用戶信息同步、單點(diǎn)登錄（SSO）等功能，為多系統(tǒng)提供用戶身份、系統(tǒng)資源、權(quán)限策略等統(tǒng)一、安全、有效的配置和服務(wù)。

該設(shè)計(jì)院上級(jí)集團(tuán)公司已建成基于PKI/CA技術(shù)安全體系架構(gòu)的4A平臺(tái)，除了統(tǒng)一的賬戶、授權(quán)、認(rèn)證與審計(jì)服務(wù)，還可實(shí)現(xiàn)用戶可信證書服務(wù)。其中授權(quán)和審計(jì)只是系統(tǒng)級(jí)的粗粒度授權(quán)和審計(jì)，對(duì)設(shè)計(jì)院有價(jià)值的只有統(tǒng)一賬戶管理、統(tǒng)一認(rèn)證（單點(diǎn)登錄/SSO）以及證書服務(wù)功能。統(tǒng)一身份認(rèn)證應(yīng)用了數(shù)字簽名、加密等技術(shù)，安全級(jí)別高[1]。

2.1 實(shí)施范圍與目標(biāo)

經(jīng)認(rèn)真研究集團(tuán)（股份）公司《統(tǒng)一身份管理系統(tǒng)建設(shè)方案》，結(jié)合設(shè)計(jì)院實(shí)際情況，提出如下實(shí)施方案：

2.1.1 實(shí)施范圍

本次實(shí)施僅限在設(shè)計(jì)院總部部署的應(yīng)用系統(tǒng)，后期條件成熟時(shí)涵蓋在分子公司部署的應(yīng)用系統(tǒng)；公司總部?jī)H限網(wǎng)絡(luò)等基礎(chǔ)設(shè)施系統(tǒng)和主要的應(yīng)用系統(tǒng)，不包括一些獨(dú)立的的系統(tǒng)（如售飯系統(tǒng)等）。

表1

2.1.2 實(shí)施目標(biāo)

以身份管理為基礎(chǔ)，以嚴(yán)格認(rèn)證為核心，通過(guò)統(tǒng)一身份管理系統(tǒng)與各應(yīng)用系統(tǒng)的集成協(xié)同，構(gòu)建針對(duì)設(shè)計(jì)院應(yīng)用層面的信息安全基礎(chǔ)保障措施，創(chuàng)建統(tǒng)一的賬戶管理機(jī)制和平臺(tái)，面向不同的應(yīng)用系統(tǒng)和用戶提供統(tǒng)一的、一致的身份管理服務(wù)和身份認(rèn)證服務(wù)；實(shí)現(xiàn)用戶在不同應(yīng)用系統(tǒng)的賬戶統(tǒng)一，每一個(gè)用戶在所有系統(tǒng)中以統(tǒng)一的身份進(jìn)行各種業(yè)務(wù)操作，無(wú)須記憶大量的賬戶名和口令。

2.2詳細(xì)實(shí)施方案設(shè)計(jì)

先引進(jìn)和搭建4A平臺(tái)，再和HR系統(tǒng)集成，接著和已在集團(tuán)有過(guò)集成案例的應(yīng)用系統(tǒng)集成，然后總部主要應(yīng)用系統(tǒng)實(shí)施；最后完全按照4A系統(tǒng)標(biāo)準(zhǔn)改造現(xiàn)有應(yīng)用的系統(tǒng)集成。

2.2.1 引進(jìn)集團(tuán)推廣的4A平臺(tái)

集團(tuán)（股份）公司明確提出了4A平臺(tái)的建設(shè)標(biāo)準(zhǔn)和規(guī)范，并指定由北京某公司在全集團(tuán)實(shí)施推廣。系統(tǒng)部署說(shuō)明見(jiàn)表1。

2.2.2 確定應(yīng)用系統(tǒng)集成方案

應(yīng)用集成方案確定主要包括如下工作：

（1）應(yīng)用系統(tǒng)集成方式

集團(tuán)推廣的應(yīng)用系統(tǒng)集成方案有如下三種方式：

方式一：4A系統(tǒng)提供標(biāo)準(zhǔn)，廠商按標(biāo)準(zhǔn)改造現(xiàn)有應(yīng)用；

方式二：廠商提供標(biāo)準(zhǔn)及技術(shù)支持，4A系統(tǒng)進(jìn)行擴(kuò)展改造；

方式三：口令代填方式。

其中方式一優(yōu)點(diǎn)明顯，但集成費(fèi)用較高；方式二費(fèi)用較少，但安全性和標(biāo)準(zhǔn)的統(tǒng)一維護(hù)管理不如方式一；方式三存在安全問(wèn)題，不予考慮。經(jīng)與公司技術(shù)人員溝通，考慮到安全原因，設(shè)計(jì)院盡量按照方式一進(jìn)行集成。

（2）系統(tǒng)數(shù)據(jù)同步方式

4A平臺(tái)在實(shí)現(xiàn)與各類應(yīng)用進(jìn)行集成和策略交互的過(guò)程中，需要面向眾多不同平臺(tái)、不同架構(gòu)和不同數(shù)據(jù)結(jié)構(gòu)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)，所以在面向以上平臺(tái)時(shí)需要提供兼容性強(qiáng)且靈活便捷，能夠快速集成整合的實(shí)現(xiàn)機(jī)制，目前在4A平臺(tái)上主要考慮通過(guò)應(yīng)用接口層（Web Service）和數(shù)據(jù)層兩種方式來(lái)設(shè)計(jì)，其中數(shù)據(jù)層又可以提供基于觸發(fā)器、ChangeLog和全庫(kù)掃描的方式來(lái)進(jìn)行數(shù)據(jù)變化的感知和交互[2]。

數(shù)據(jù)交互支持多種方式包括：手動(dòng)同步、自動(dòng)同步、訂閱同步。

（3）賬戶密碼存儲(chǔ)方式

在4A平臺(tái)統(tǒng)一認(rèn)證的環(huán)境下，通常應(yīng)用系統(tǒng)是不需要存儲(chǔ)密碼信息的。4A平臺(tái)驗(yàn)證用戶身份成功后，只需向應(yīng)用系統(tǒng)傳遞用戶賬戶即可。但由于某些原因，應(yīng)用系統(tǒng)仍需要存儲(chǔ)密碼，并且為了保證密碼的一致性，密碼應(yīng)與4A平臺(tái)的密碼一致。

例如郵件系統(tǒng)，除了在PC機(jī)上通過(guò)Web頁(yè)面登錄，還有可能通過(guò)郵件客戶端、手機(jī)和iPad等移動(dòng)終端登錄。這些登錄入口，目前尚不能納入4A平臺(tái)的管理。

2.2.3 確定基礎(chǔ)設(shè)施系統(tǒng)集成方案

終端準(zhǔn)入及上網(wǎng)行為管理、VPN系統(tǒng)、無(wú)線網(wǎng)絡(luò)系統(tǒng)、郵件系統(tǒng)等大多為標(biāo)準(zhǔn)硬件設(shè)備或不可改造系統(tǒng)，且支持標(biāo)準(zhǔn)的第三方認(rèn)證協(xié)議，建議由4A系統(tǒng)按標(biāo)準(zhǔn)進(jìn)行集成。

2.3 管理問(wèn)題及應(yīng)對(duì)措施

4A平臺(tái)的實(shí)施帶來(lái)了一定的好處，統(tǒng)一身份、統(tǒng)一認(rèn)證（單點(diǎn)登錄）、認(rèn)證安全性等；同時(shí)對(duì)各個(gè)系統(tǒng)的運(yùn)維也有一定的管理要求，尤其是作為數(shù)據(jù)源的HR系統(tǒng)，當(dāng)員工入職、離職崗位變更或其它原因的信息變更時(shí)，需要及時(shí)錄入，觸發(fā)統(tǒng)一用戶信息的變更，否則就失去的統(tǒng)一身份管理的意義。

如果HR系統(tǒng)因?yàn)楣芾韱?wèn)題不能做到，建議在4A平臺(tái)進(jìn)行統(tǒng)一維護(hù)，及時(shí)推送到其他應(yīng)用系統(tǒng)。

3 結(jié)束語(yǔ)

統(tǒng)一身份管理是異構(gòu)信息系統(tǒng)集成的基礎(chǔ)。設(shè)計(jì)院在方案實(shí)施過(guò)程中還會(huì)遇到一些問(wèn)題，比如員工跨部門兼職、借調(diào)，外部臨時(shí)用戶，復(fù)雜系統(tǒng)的賬戶同步處理，以及與其他系統(tǒng)的集成配合等，都需要在后期的實(shí)施過(guò)程中協(xié)調(diào)和解決。

[1]歐高林.面向高職院校的統(tǒng)一身份管理系統(tǒng)的建設(shè)分析與技術(shù)探討[J].電腦知識(shí)與技術(shù)，2015，11（32）：221-223.

[2]鄧宇，宋成林，袁勝偉，等.企業(yè)門戶技術(shù)及在企業(yè)管理信息系統(tǒng)中的應(yīng)用[C]//2004全國(guó)電力行業(yè)信息化年會(huì)，2004.

The Implementation Scheme and Problem Analysis of the Unified Identity Management System in the Design Institute

Fan Lirang

Xibei Engineering Cooperation Limited, Shaanxi Xi’an 710065

Taking account unified management as the core, the paper introduces a unified identity management system /4A platform of a Group, and puts forward the implementation plan combined with the application system integration demand of the Design Institute, and finally analyzes the management problems encountered and puts forward some countermeasures.

unified identity management /4A platform; implementation scheme; problem analysis

TP393.18

A

1009-6434（2017）10-0063-02