夏景輝 秦義展 李昱見

(鄭州地鐵集團(tuán)有限公司 河南 鄭州 450046)

0 引 言

鄭州地鐵集團(tuán)有限公司(以下簡(jiǎn)稱“公司”)是2008年2月22日經(jīng)鄭州市人民政府批準(zhǔn)成立的有限責(zé)任公司，負(fù)責(zé)鄭州市軌道交通項(xiàng)目的工程投資、建設(shè)、運(yùn)營(yíng)、軌道交通的廣告、通信、周邊土地開發(fā)利用和特許經(jīng)營(yíng)權(quán)范圍內(nèi)的經(jīng)營(yíng)、融資等業(yè)務(wù)。

公司在信息化管理創(chuàng)新應(yīng)用方面，結(jié)合軌道交通建設(shè)密集型、資產(chǎn)密集型和資金密集型的特點(diǎn)和管理風(fēng)險(xiǎn)，尤其是在地鐵建設(shè)的大背景下，面對(duì)運(yùn)營(yíng)線路員工、企業(yè)供應(yīng)商(咨詢單位、施工單位和監(jiān)理單位等)和企業(yè)合作客戶(廣告公司等)急劇增多，且實(shí)施系統(tǒng)種類繁多(如人力系統(tǒng)、財(cái)務(wù)系統(tǒng)、物資系統(tǒng)、費(fèi)控系統(tǒng)及資金系統(tǒng)等)，用戶統(tǒng)一管理顯得尤為重要。用戶統(tǒng)一管理強(qiáng)調(diào)了系統(tǒng)用戶的標(biāo)準(zhǔn)化和自動(dòng)化管理，使用戶管理、組織機(jī)構(gòu)管理更加規(guī)范和統(tǒng)一[1]，將各類用戶單點(diǎn)登錄到門戶。

本文著重描述基于鄭州地鐵集團(tuán)有限公司一體化管理信息平臺(tái)的用戶統(tǒng)一管理及其應(yīng)用目標(biāo)、需求分析、設(shè)計(jì)、實(shí)施、部署和應(yīng)用等相關(guān)內(nèi)容。

1 應(yīng)用目標(biāo)及關(guān)鍵功能需求分析

1.1 應(yīng)用目標(biāo)

實(shí)現(xiàn)企業(yè)基礎(chǔ)庫(kù)的用戶管理和身份認(rèn)證服務(wù)，用戶包括內(nèi)部及外部用戶；把這些服務(wù)以組件或服務(wù)的形式發(fā)布，并具備相應(yīng)的使用規(guī)范、標(biāo)準(zhǔn)和指引。企業(yè)管理系統(tǒng)ERP(Enterprise Resource Planning)、辦公自動(dòng)化OA(Office Automation)、企業(yè)門戶(Portal)和將來(lái)自主開發(fā)的系統(tǒng)等，都能使用這些組件或服務(wù)開發(fā)。用戶統(tǒng)一管理使用戶管理、組織機(jī)構(gòu)管理更加規(guī)范和優(yōu)化，形成各類用戶單點(diǎn)登錄到門戶的核心基礎(chǔ)。用戶統(tǒng)一管理應(yīng)實(shí)現(xiàn)組織機(jī)構(gòu)維護(hù)、用戶賬號(hào)管理、用戶憑證管理、組織/用戶信息同步等功能。

通過統(tǒng)一的用戶身份管理體系，解決信息化體系管理中諸多問題，如各自信息系統(tǒng)具有獨(dú)立的登錄認(rèn)證系統(tǒng)[3]，管理企業(yè)外部用戶的訪問，快速部署用戶對(duì)大量資源的訪問，控制對(duì)各種分散資源的訪問，減少賬戶和密碼管理的IT成本，防止非法用戶的訪問，同步各業(yè)務(wù)系統(tǒng)用戶賬戶的管理，快速自動(dòng)清理非授權(quán)用戶等。用戶統(tǒng)一管理是把所有的系統(tǒng)用戶進(jìn)行統(tǒng)一存放，形成一套全局用戶庫(kù)，作為企業(yè)內(nèi)所有IT應(yīng)用的用戶源。以輕量級(jí)目錄訪問協(xié)議LDAP(Lightweight Directory Access Protocol)信息庫(kù)作為載體來(lái)實(shí)現(xiàn)企業(yè)用戶信息庫(kù)的構(gòu)建和用戶的統(tǒng)一管理。

用戶統(tǒng)一管理的應(yīng)用將成為企業(yè)管理信息系統(tǒng)日常維護(hù)的重要組成部分。通過標(biāo)準(zhǔn)化、即時(shí)化、規(guī)范化和自動(dòng)化的信息化手段固化企業(yè)用戶管理流程，為公司的一體化信息管理平臺(tái)提供有效的服務(wù)管理支持，同時(shí)也降低服務(wù)管理維護(hù)的成本。

1.2 關(guān)鍵功能需求分析

1.2.1構(gòu)建統(tǒng)一用戶身份庫(kù)

依托一體化管理信息平臺(tái)的建設(shè)思路，建立集中的用戶信息庫(kù)，統(tǒng)一管理應(yīng)用系統(tǒng)用戶，并制定用戶信息庫(kù)標(biāo)準(zhǔn)，包含人員信息、部門信息、組織結(jié)構(gòu)及用戶密碼規(guī)則等，最終使用接口同步，實(shí)現(xiàn)用戶信息庫(kù)與其他應(yīng)用系統(tǒng)用戶體系的同步和映射。

1.2.2用戶全生命周期管理

基于角色的用戶賬戶管理策略，企業(yè)內(nèi)部或外部人員在一體化管理信息平臺(tái)以用戶的方式訪問系統(tǒng)，同時(shí)根據(jù)用戶自身角色申請(qǐng)相應(yīng)的權(quán)限?；诮y(tǒng)一的用戶身份庫(kù)，形成用戶的產(chǎn)生、變更、銷戶、掛起等全生命周期，這其中也包含臨時(shí)用戶的建立(如外部供應(yīng)商)。全生命周期管理不僅是用戶的管理，還有用戶的自助服務(wù)，如自助修改密碼、賬號(hào)申請(qǐng)的審批或系統(tǒng)權(quán)限申請(qǐng)等[5]。

用戶全生命周期管理實(shí)現(xiàn)了用戶賬戶的全面管理，包含創(chuàng)建、修改、刪除和檢查等，同時(shí)建立用戶和組織架構(gòu)的緊密關(guān)系，為頻繁的組織架構(gòu)調(diào)整打下基礎(chǔ)。

1.2.3構(gòu)建用戶賬號(hào)和供應(yīng)管理平臺(tái)

在用戶同步過程中利用OIM(Oracle Identity Management)并通過Connector組件獲取需要被統(tǒng)一管理的用戶，獲取到之后，在統(tǒng)一用戶管理平臺(tái)進(jìn)行用戶的創(chuàng)建，然后OIM向各個(gè)應(yīng)用系統(tǒng)進(jìn)行推送，在應(yīng)用系統(tǒng)中進(jìn)行各自的賬戶創(chuàng)建，與此同時(shí)統(tǒng)一用戶信息被保存到統(tǒng)一身份管理目錄。當(dāng)增加一個(gè)應(yīng)用系統(tǒng)時(shí)，只需要增加該應(yīng)用系統(tǒng)賬號(hào)(從賬號(hào))與用戶唯一賬號(hào)(主賬號(hào))的一個(gè)關(guān)聯(lián)信息即可，不會(huì)影響其他應(yīng)用系統(tǒng)。同時(shí)通過安全通道來(lái)保證單點(diǎn)登錄過程中數(shù)據(jù)傳輸?shù)陌踩玔2]。

統(tǒng)一用戶管理平臺(tái)可通過配置標(biāo)準(zhǔn)化的用戶來(lái)源，對(duì)公司現(xiàn)有的用戶創(chuàng)建用戶統(tǒng)一賬號(hào)，并通過自動(dòng)化的用戶同步，實(shí)現(xiàn)各個(gè)應(yīng)用系統(tǒng)與現(xiàn)有的身份管理目錄的身份同步。通過統(tǒng)一化、自動(dòng)化、標(biāo)準(zhǔn)化的人員接入模式，減少用戶管理過程中的管理員操作，提高管理效率。

1.2.4構(gòu)建集中訪問認(rèn)證和單點(diǎn)登錄

基于地鐵企業(yè)的實(shí)際業(yè)務(wù)需求，可以結(jié)合地鐵行業(yè)的多系統(tǒng)多業(yè)務(wù)管理經(jīng)驗(yàn)，搭建高內(nèi)聚低耦合的一體化管理信息平臺(tái)。用戶可以通過統(tǒng)一的系統(tǒng)入口訪問企業(yè)門戶信息。訪問系統(tǒng)的過程中，需要構(gòu)建一套集中訪問認(rèn)證和單點(diǎn)登錄的訪問策略，完成用戶身份和用戶授權(quán)檢查。用戶根據(jù)自身授權(quán)情況，進(jìn)入授權(quán)系統(tǒng)完成實(shí)際業(yè)務(wù)。進(jìn)入其他授權(quán)系統(tǒng)模塊的權(quán)限，需要遵循各業(yè)務(wù)系統(tǒng)的授權(quán)體系和規(guī)則。

1.2.5用戶監(jiān)控與審計(jì)

用戶統(tǒng)一管理包括用戶登錄系統(tǒng)的監(jiān)控和系統(tǒng)操作的審計(jì)。在系統(tǒng)應(yīng)用層端，可以監(jiān)控到用戶的登錄IP及訪問時(shí)間信息，在數(shù)據(jù)庫(kù)端，可以監(jiān)控到用戶操作功能及數(shù)據(jù)的跟蹤信息，能對(duì)發(fā)生的所有訪問和修改進(jìn)行審計(jì)。還有事后觸發(fā)功能，實(shí)現(xiàn)特定內(nèi)容的審計(jì)。通過數(shù)據(jù)庫(kù)審計(jì)功能，可實(shí)現(xiàn)對(duì)異常用戶的檢測(cè)及未授權(quán)訪問，如統(tǒng)計(jì)用戶在什么時(shí)間點(diǎn)訪問了哪些應(yīng)用系統(tǒng)等。

1.2.6系統(tǒng)穩(wěn)定性、擴(kuò)展性和安全性

為保證服務(wù)不間斷，整套用戶統(tǒng)一管理體系需要集群環(huán)境?；赨NIX類或LINUX操作系統(tǒng)平臺(tái)和高可用性軟件，確保系統(tǒng)安全、穩(wěn)定、可靠的運(yùn)行。系統(tǒng)的擴(kuò)展性也需要同步考慮，以保證與已有系統(tǒng)及未來(lái)建設(shè)系統(tǒng)進(jìn)行集成。

用戶統(tǒng)一管理的審計(jì)功能要能夠覆蓋到集中身份管理、身份認(rèn)證、授權(quán)與應(yīng)用系統(tǒng)訪問等多個(gè)環(huán)節(jié)。確保安全基礎(chǔ)設(shè)施的安全性，包括：物理環(huán)境安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全等。

2 統(tǒng)一用戶安全管理平臺(tái)架構(gòu)設(shè)計(jì)

統(tǒng)一用戶安全管理平臺(tái)作為一個(gè)優(yōu)秀用戶管理工具，通過標(biāo)準(zhǔn)的管理用戶生命周期，更加高效標(biāo)準(zhǔn)地對(duì)現(xiàn)有用戶進(jìn)行管理。如圖1所示，該平臺(tái)的管理應(yīng)用功能主要依托訪問管理OAM(Oracle Access Manager)，身份管理OIM和互聯(lián)網(wǎng)管理OID(Oracle Internet Directory)的服務(wù)實(shí)現(xiàn)。

圖1 用戶管理生命周期

統(tǒng)一用戶安全管理平臺(tái)的OIM模塊通過標(biāo)準(zhǔn)Connector連接人力系統(tǒng)，進(jìn)行員工基礎(chǔ)信息的獲取，獲取到基礎(chǔ)信息后自動(dòng)根據(jù)一定規(guī)則創(chuàng)建員工賬戶，并實(shí)時(shí)觸發(fā)數(shù)據(jù)分發(fā)事件，通過標(biāo)準(zhǔn)Webservice Connector或EBS Connector連接下游系統(tǒng)進(jìn)行用戶數(shù)據(jù)分發(fā)。OIM模塊創(chuàng)建用戶賬戶數(shù)據(jù)后會(huì)同步至OID模塊中進(jìn)行統(tǒng)一用戶信息存儲(chǔ)。OAM模塊在用戶訪問時(shí)，進(jìn)行單點(diǎn)資源授權(quán)，與OID模塊中的用戶信息進(jìn)行統(tǒng)一認(rèn)證，認(rèn)證通過且在OAM模塊中該資源已授權(quán)，則允許用戶訪問。

統(tǒng)一用戶安全管理平臺(tái)，前期通過Connector對(duì)用戶進(jìn)行統(tǒng)一收集，中期使用OIM對(duì)這些用戶進(jìn)行統(tǒng)一的管理，后期通過OAM使得用戶登錄安全等得到實(shí)現(xiàn)，在用戶安全管理的生命周期中都起到了使用戶管理得到安全化，統(tǒng)一化的作用。只有依賴目前既定的用戶管理標(biāo)準(zhǔn)，通過既定的流程使得零散的用戶管理得到整合，化零為整，使得企業(yè)用戶的安全、高效管理得到保障。

在設(shè)計(jì)實(shí)現(xiàn)關(guān)鍵功能的過程中，需要從三個(gè)階段來(lái)完成服務(wù)的標(biāo)準(zhǔn)化管控和高效的集成：

1) 在用戶管理之初，需要OIM通過Connector中獲取到需要進(jìn)行管理的用戶，通過標(biāo)準(zhǔn)化的用戶整合服務(wù)。在統(tǒng)一收集完之后，可基于標(biāo)準(zhǔn)的OIM的賬號(hào)源將該賬號(hào)同步至各個(gè)需求系統(tǒng)。通過統(tǒng)一化的用戶管理可以避免用戶信息孤島、用戶重復(fù)管理、手工創(chuàng)建用戶操作繁雜、由于系統(tǒng)過多用戶賬戶密碼也需要管理多個(gè)[6]等用戶管理痛點(diǎn)。在用戶信息錄入管理過程中，存在同一批次用戶權(quán)限分配不同的情況，人工對(duì)權(quán)限進(jìn)行管理難免出現(xiàn)紕漏，同時(shí)由于企業(yè)人員變動(dòng)較為頻繁，會(huì)大大增加用戶管理成本。通過使用統(tǒng)一化的用戶管理可以避免以上的問題發(fā)生，進(jìn)而提高用戶管理的效率。由于是標(biāo)準(zhǔn)化，自動(dòng)化的用戶同步過程，在管理實(shí)施過程中，運(yùn)維人員不需要進(jìn)行頻繁 的操作，只需直接對(duì)用戶來(lái)源變更即可。

2) 在將用戶統(tǒng)一之后要對(duì)統(tǒng)一化的用戶進(jìn)行管理。在這個(gè)過程中，以往的管理模式中存在諸多用戶身份管理問題，如手動(dòng)創(chuàng)建用戶賬戶、對(duì)應(yīng)用授權(quán)等耗時(shí)費(fèi)力；ERP系統(tǒng)內(nèi)的職責(zé)劃分難以完成；許多被棄用賬戶難以被檢測(cè)和刪除；失效用戶和權(quán)限時(shí)人工操作過于繁瑣等。統(tǒng)一用戶安全管理平臺(tái)可有效解決以上問題，且用戶管理的安全也可以得到保障。通過端到端的訪問管理，對(duì)登錄風(fēng)險(xiǎn)進(jìn)行分析、欺詐檢測(cè)和應(yīng)用細(xì)粒度授權(quán)管理等。[7]

3) 用戶統(tǒng)一管理為用戶提供了統(tǒng)一的接入服務(wù)[4]，通過多系統(tǒng)單點(diǎn)登錄，將分開的登錄進(jìn)行集中，簡(jiǎn)化用戶操作，提高了用戶使用便捷程度。用戶初次訪問應(yīng)用程序時(shí)，由于本地沒有登錄憑證，因此瀏覽器會(huì)重新定向到統(tǒng)一身份認(rèn)證頁(yè)面[5]，在OAM內(nèi)部單點(diǎn)實(shí)現(xiàn)過程中將輸入用戶密碼與統(tǒng)一用戶信息庫(kù)進(jìn)行比對(duì)，比對(duì)成功后并且確認(rèn)用戶權(quán)限無(wú)誤后實(shí)現(xiàn)目標(biāo)系統(tǒng)的跳轉(zhuǎn)[8]。

統(tǒng)一的用戶管理平臺(tái)實(shí)現(xiàn)了以上三個(gè)階段的步驟，能夠提高在用戶的統(tǒng)一收集、統(tǒng)一管理、統(tǒng)一登錄等方面的用戶管理效率，并使得用戶安全的管理得到保障[9]，步驟流程參見圖2。

圖2 平臺(tái)實(shí)現(xiàn)流程圖

前期梳理員工數(shù)據(jù)，外部用戶數(shù)據(jù)及組織，崗位相關(guān)數(shù)據(jù)，整理成具體清單后，將用戶基礎(chǔ)數(shù)據(jù)通過Connector或線下導(dǎo)入方式，同步至統(tǒng)一用戶管理平臺(tái)。由統(tǒng)一用戶管理平臺(tái)對(duì)用戶訪問權(quán)限進(jìn)行維護(hù)確定，并維護(hù)統(tǒng)一用戶信息，同步至各業(yè)務(wù)系統(tǒng)。當(dāng)用戶信息更新時(shí)，自動(dòng)觸發(fā)事件同步分發(fā)各業(yè)務(wù)系統(tǒng)，進(jìn)行用戶身份全生命周期管理，實(shí)現(xiàn)用戶入職創(chuàng)建，離職失效的實(shí)時(shí)效果。用戶通過單點(diǎn)登錄平臺(tái)，進(jìn)行業(yè)務(wù)系統(tǒng)的訪問，通過統(tǒng)一入口訪問各應(yīng)用系統(tǒng)，實(shí)現(xiàn)一次登錄，全網(wǎng)漫游的高效體驗(yàn)。

3 實(shí)現(xiàn)和部分應(yīng)用效果分析

經(jīng)細(xì)化設(shè)計(jì)和實(shí)施部署，實(shí)現(xiàn)了用戶管理管控的標(biāo)準(zhǔn)化、自動(dòng)化、實(shí)時(shí)化的新模式。用戶管理搜索界面和用戶統(tǒng)一登錄界面如圖3和圖4所示。

圖3 用戶管理搜索界面

圖4 用戶統(tǒng)一登錄界面

4 結(jié) 語(yǔ)

本文依托于鄭州地鐵集團(tuán)有限公司所實(shí)施的用戶統(tǒng)一管理進(jìn)行分析，從用戶管理的過程出發(fā)，將標(biāo)準(zhǔn)化的用戶管理模式融合到傳統(tǒng)的用戶管理模型中。通過分析平臺(tái)的關(guān)鍵功能需求，體現(xiàn)出該平臺(tái)的功能優(yōu)勢(shì)，并從分析的結(jié)果中提煉出針對(duì)目前用戶管理痛點(diǎn)的解決方案，以及提高服務(wù)管理效率的方案。根據(jù)平臺(tái)實(shí)施的架構(gòu)設(shè)計(jì)方案，對(duì)平臺(tái)整體的使用過程進(jìn)行了分析與闡述。