姜建峰

（江蘇經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 信息化建設(shè)與管理處，江蘇 南京 211168）

在近幾年的信息化建設(shè)中，各高校基本完成了智慧校園基礎(chǔ)支撐平臺建設(shè)，包括門戶、認(rèn)證、數(shù)據(jù)中心，還新建了一批常用的業(yè)務(wù)系統(tǒng)，包括學(xué)工、OA、人事、科研、教務(wù)、財(cái)務(wù)、辦事大廳等?？傮w上提高了學(xué)校信息化水平，為師生提供了便利的在線服務(wù)。

2018年4月教育部印發(fā)《教育信息化2.0行動計(jì)劃》，提出到2022年要基本實(shí)現(xiàn)“三全兩高一大”的發(fā)展目標(biāo)，即教學(xué)應(yīng)用覆蓋全體教師、學(xué)習(xí)應(yīng)用覆蓋全體適齡學(xué)生、數(shù)字校園建設(shè)覆蓋全體學(xué)校，信息化應(yīng)用水平和師生信息素養(yǎng)普遍提高，建成“互聯(lián)網(wǎng)+教育”大平臺[1]。教育信息化從1.0時代進(jìn)入2.0時代。

統(tǒng)一身份認(rèn)證系統(tǒng)CAS（Central Authentica?tion Service）作為智慧校園建設(shè)的三大基礎(chǔ)平臺之一，在建設(shè)智慧校園，落實(shí)教育信息化2.0，服務(wù)師生信息化教學(xué)方面有無可比擬的作用。

1 統(tǒng)一身份認(rèn)證系統(tǒng)當(dāng)前的困境

統(tǒng)一身份認(rèn)證系統(tǒng)是單點(diǎn)登錄SSO（Single Sign ON）的開源實(shí)現(xiàn)，具有較高的穩(wěn)定性、安全性。目前國內(nèi)智慧校園單點(diǎn)登錄絕大部分都基于統(tǒng)一身份認(rèn)證系統(tǒng)。目前主流的統(tǒng)一身份認(rèn)證門戶，在身份認(rèn)證方面通常遵循標(biāo)準(zhǔn)的OAuth2.0與OIDC協(xié)議，該認(rèn)證接入方式主要是針對B/S架構(gòu)的業(yè)務(wù)系統(tǒng)，接入統(tǒng)一認(rèn)證類庫[2]。統(tǒng)一身份認(rèn)證門戶功能最完整、流程最嚴(yán)密的授權(quán)模式是授權(quán)碼模式，它也是國際標(biāo)準(zhǔn)OAuth2.0和OIDC協(xié)議的推薦模式。

在經(jīng)典的應(yīng)用場景中，統(tǒng)一身份認(rèn)證模式有效解決了“一賬號通行”的問題，但在智慧校園建設(shè)場景，這一模式已遠(yuǎn)遠(yuǎn)不能滿足需求。它存在以下幾個亟待解決的問題：一是隨著信息化的普及與人工智能的興起，傳統(tǒng)的認(rèn)證方式逐漸被微信二維碼、手機(jī)驗(yàn)證碼、人臉識別等方式取代，需要對統(tǒng)一身份認(rèn)證系統(tǒng)的鑒證方式進(jìn)行擴(kuò)充。二是隨著信息化用戶的沉淀，用戶類型越來越豐富，傳統(tǒng)智慧校園架構(gòu)中的業(yè)務(wù)系統(tǒng)無法對用戶進(jìn)行統(tǒng)一的管理，無法兼容并包所有的用戶類型，也無法給給類用戶賦予完善的組織架構(gòu)，出現(xiàn)了管理真空。三是伴隨著微服務(wù)架構(gòu)的普及，傳統(tǒng)統(tǒng)一身份認(rèn)證系統(tǒng)對人員和系統(tǒng)的授權(quán)授信方式無法滿足高速迭代的發(fā)展需求。在以微服務(wù)形式重構(gòu)的業(yè)務(wù)系統(tǒng)中，以需求為目標(biāo)進(jìn)行組合交付，消除了傳統(tǒng)應(yīng)用系統(tǒng)與微服務(wù)系統(tǒng)的界限。在這種思路下，傳統(tǒng)業(yè)務(wù)系統(tǒng)的授權(quán)體系也被解構(gòu)得分崩離析。

2 中臺模式的基本內(nèi)涵與特征

傳統(tǒng)的應(yīng)用系統(tǒng)分為前臺和后臺。在微服務(wù)架構(gòu)下，前臺是快速地響應(yīng)用戶的需求，迭代更新。后臺是相對穩(wěn)定的后端資源，追求系統(tǒng)的穩(wěn)定和長期有效的數(shù)據(jù)沉淀。越成熟的應(yīng)用系統(tǒng)就越需要一個平臺來調(diào)和兩者的這種差異。

中臺是將共性的需求進(jìn)行抽象，并打造成平臺化、組件化的系統(tǒng)能力，以接口、組件等形式共享給各業(yè)務(wù)單元使用，使企業(yè)可以針對特定問題，快速靈活地調(diào)用資源構(gòu)建解決方案，為業(yè)務(wù)的創(chuàng)新和迭代賦能。中臺主要包含業(yè)務(wù)中臺與數(shù)據(jù)中臺。用戶中臺是業(yè)務(wù)中臺與數(shù)據(jù)中臺的混合產(chǎn)物，實(shí)現(xiàn)了子業(yè)務(wù)系統(tǒng)用戶業(yè)務(wù)和用戶數(shù)據(jù)的中臺化。

3 用戶中臺的設(shè)計(jì)與實(shí)現(xiàn)

構(gòu)建用戶中臺能解決用戶賬號統(tǒng)一管理的問題，將過去分散到各個業(yè)務(wù)系統(tǒng)中的用戶進(jìn)行集中管理，通過完善用戶信息，建立權(quán)威人員數(shù)據(jù)中心實(shí)現(xiàn)中心化授權(quán)，并提供接口，使業(yè)務(wù)系統(tǒng)和用戶中臺的信息保持同步。

權(quán)威人員數(shù)據(jù)中心：提升統(tǒng)一認(rèn)證技術(shù)和規(guī)范，實(shí)現(xiàn)統(tǒng)一的人員數(shù)據(jù)管理，增加人員信息分級管理機(jī)制，提升維護(hù)效率，滿足人員異動、屬性多元等實(shí)際需求。

中心化授權(quán)：實(shí)現(xiàn)多維度、精細(xì)粒度權(quán)限體系設(shè)計(jì)。搭建基于數(shù)據(jù)結(jié)構(gòu)層面的授權(quán)庫系統(tǒng)，支持將接入系統(tǒng)、接入微服務(wù)、應(yīng)用權(quán)限信息存入授權(quán)庫，在用戶完成認(rèn)證后，中心化的授權(quán)系統(tǒng)可將相應(yīng)用戶接入應(yīng)用的授權(quán)信息返回給系統(tǒng)，實(shí)現(xiàn)統(tǒng)一管控。

3.1 構(gòu)建多級管理體系，補(bǔ)全用戶業(yè)務(wù)鏈

隨著辦事大廳與微服務(wù)業(yè)務(wù)的普及，學(xué)校內(nèi)部用戶授信越來越復(fù)雜。用戶中臺的首要任務(wù)就是構(gòu)建多級管理體系，維護(hù)學(xué)校實(shí)體的和虛擬的兩類組織架構(gòu)，對角色進(jìn)行管理，能夠?qū)幪枴⒚Q、角色類型進(jìn)行查詢，同時支持對角色信息新增、刪除、修改、分配權(quán)限，并對權(quán)限分配用戶提供更多操作功能，同時對用戶分配權(quán)限范圍內(nèi)應(yīng)用細(xì)粒度進(jìn)行授權(quán)，平臺能夠精細(xì)到功能模塊的權(quán)限分配，從而使得所有業(yè)務(wù)部門的所有業(yè)務(wù)系統(tǒng)乃至所有的業(yè)務(wù)模塊都能夠在用戶中臺上有獨(dú)立的相互對應(yīng)的用戶管理功能。

3.2 建設(shè)用戶中心，發(fā)揮用戶數(shù)據(jù)價值

教育信息化2.0要求構(gòu)建一體化的“互聯(lián)網(wǎng)+教育”大平臺，引入“平臺+教育”服務(wù)模式，整合各級各類教育資源公共服務(wù)平臺和支持系統(tǒng)，逐步實(shí)現(xiàn)資源平臺、管理平臺的互通、銜接與開放，實(shí)現(xiàn)數(shù)字資源、優(yōu)秀師資、教育數(shù)據(jù)、信息紅利的有效共享，助力教育服務(wù)供給模式升級和教育治理水平提升。大平臺的前提就是用戶的統(tǒng)一，用戶信息應(yīng)該集中起來進(jìn)行管理，按需（系統(tǒng)的需要、用戶的同意）提供給其他第三方系統(tǒng)使用。

建設(shè)用戶中心除了可以對在校師生進(jìn)行管理外，還可以管理臨時人員、校友、訪客等。用戶中心具有將用戶的基礎(chǔ)信息（工號、姓名、性別、證件類型、證件號碼）、單位、職務(wù)等同步、導(dǎo)入、上傳與修改的功能。其中帳號信息包含鑒權(quán)方式信息，如帳號、證件、別名、密碼、郵箱、生物識別方式、一卡通、微信、QQ、支付寶、短信驗(yàn)證碼方式等，用戶中心將以上多種驗(yàn)證方式統(tǒng)一于一個用戶ID，平臺上能夠顯示這些信息的來源，用戶中心支持將脫敏的用戶信息根據(jù)不同的業(yè)務(wù)場景需求生成不同的二維碼推送給用戶。

3.3 提升鑒權(quán)能力，提高用戶使用度

統(tǒng)一用戶中心，作為核心簽證庫，應(yīng)該是包含多種用戶鑒權(quán)方式信息，在完成業(yè)務(wù)系統(tǒng)、微服務(wù)系統(tǒng)的認(rèn)證部分后，以統(tǒng)一的方式提供統(tǒng)一的、多樣的認(rèn)證服務(wù)形式，以有效提升用戶體驗(yàn)。

建設(shè)授權(quán)庫，存放接入系統(tǒng)和微服務(wù)的權(quán)限信息。在用戶完成認(rèn)證后，中心化的授權(quán)系統(tǒng)可將相應(yīng)用戶接入應(yīng)用的授權(quán)信息返回給系統(tǒng)，實(shí)現(xiàn)統(tǒng)一管控。

提供管理所有集成用戶中臺的應(yīng)用系統(tǒng)的功能。所有需要集成統(tǒng)一認(rèn)證平臺的應(yīng)用系統(tǒng)，都必須在此注冊授權(quán)。授予機(jī)構(gòu)、人員、組訪問權(quán)限、登錄方式的維護(hù)、提供搜索、添加啟用和禁用等功能。

提供管理所有對接OAuth的應(yīng)用系統(tǒng)。所有需要對接OAuth的應(yīng)用系統(tǒng)，都必須在此注冊授權(quán)，否則不允許對接。

提供OAuth資源管理，在OAuth授權(quán)過程中，需要展示給用戶相關(guān)的授權(quán)選項(xiàng)（資源），即OAuth應(yīng)用注冊過程中選擇的授權(quán)范圍，同時默認(rèn)提供獲取用戶信息的基本權(quán)限接口。

基于用戶中臺以API形式開放相關(guān)接口后，此過程也可由用戶進(jìn)行干預(yù)，完全自主管控信息。

3.4 沉淀用戶數(shù)據(jù)，提升決策能力

在企業(yè)中，中臺是為了更好地整合后端的計(jì)算、業(yè)務(wù)、數(shù)據(jù)資源，從而更敏捷、高效地為前臺服務(wù)，在高校中同樣如此。不同的是，高校中最有價值的是海量高維度、準(zhǔn)確的數(shù)據(jù)資源，而在互聯(lián)網(wǎng)公司則是強(qiáng)大的技術(shù)、業(yè)務(wù)資源[3]。

用戶中臺支持對應(yīng)用進(jìn)行統(tǒng)計(jì)，使用折線圖和柱行圖的方式統(tǒng)計(jì)各個應(yīng)用當(dāng)天、年的訪問數(shù)和訪問用戶，訪問統(tǒng)計(jì)圖支持多種形式。支持全方位的訪問記錄統(tǒng)計(jì)，如賬號總數(shù)、教師賬號數(shù)、學(xué)生賬號數(shù)，部門訪問統(tǒng)計(jì)、應(yīng)用訪問統(tǒng)計(jì)等，能夠展示部門、用戶、角色、崗位、用戶組總數(shù)等情況。

4 結(jié)語

用戶中臺是新技術(shù)發(fā)展的產(chǎn)物，它是高校在新時期根據(jù)自身業(yè)務(wù)需求結(jié)合《教育信息化2.0行動計(jì)劃》要求進(jìn)行的信息化建設(shè)，相似的項(xiàng)目還有統(tǒng)一登錄平臺、融合門戶、微服務(wù)平臺、業(yè)務(wù)中臺、數(shù)據(jù)中臺、大數(shù)據(jù)中心等。各項(xiàng)目分工合作，基于“集約、融合、創(chuàng)新、服務(wù)”的理念，引入微服務(wù)、容器云等前沿信息技術(shù)手段，打造以“場景”為核心、“智慧服務(wù)”為目標(biāo)的硬核體驗(yàn)，實(shí)現(xiàn)“創(chuàng)新”與“融合”雙輪驅(qū)動，探索更科學(xué)、更有效的信息化應(yīng)用服務(wù)新模式，為全體師生員工提供良好的計(jì)算機(jī)網(wǎng)絡(luò)和信息應(yīng)用服務(wù)環(huán)境，將信息化技術(shù)融入學(xué)校日常教學(xué)、科研、管理、服務(wù)和校園生活的各個領(lǐng)域。在智慧環(huán)境中，基于開放性平臺，融合業(yè)務(wù)數(shù)據(jù)、應(yīng)用、服務(wù)，而最終打造面向全用戶，全終端覆蓋，全場景的支持的微服務(wù)智慧校園生態(tài)。我們要從全局進(jìn)行服務(wù)規(guī)劃與服務(wù)渠道建設(shè)，統(tǒng)籌學(xué)校各部門服務(wù)資源向用戶提供統(tǒng)一服務(wù)，依據(jù)“以人為本、融合服務(wù)”的原則，建設(shè)以“多渠道通辦”為核心的融合服務(wù)體系，促進(jìn)信息化服務(wù)模式創(chuàng)新，實(shí)現(xiàn)服務(wù)模式多元、服務(wù)渠道暢通，為建設(shè)“服務(wù)型”高校打下堅(jiān)實(shí)的信息化基礎(chǔ)。