随着資訊技術的發展和資訊化建設的進步,各個企業在資訊化建設上不斷投入運作應用系統、商務平台、系統裝置等,随着系統的加深投入,因不同時期為不同部門分别建設的各類資訊化系統在技術架構與應用模式上差異明顯,資訊化建設逐漸遇到了新問題,例如由于系統、裝置、伺服器衆多,出現使用者管理混亂、越權通路、誤操作、濫用、惡意攻擊等現象,為解決這一問題,統一身份管理需求出現,公司作為SOA綜合內建産品及解決方案的提供商,統一身份管理是主打方案之一,本文主要分享在各行業統一身份管理項目傳遞中沉澱的最佳實踐。
相關定義了解
統一身份管理項目主要實作統一使用者管理、統一認證管理、統一權限管理、統一安全審計功能,達到多個應用之間的使用者、認證統一管理、高效內建、安全監管,提升企業資訊化應用能力。許多人在這個項目與4A項目、主資料管理項目上存在一定的了解誤區,在講述解決方案之前,先對這兩個歧義進行說明。
與4A概念的關系
4A是指:認證Authentication、賬号Account、授權Authorization、審計Audit,中文名稱為統一安全管理平台解決方案。即将身份認證、授權、審計和賬号(即不可否認性及資料完整性)定義為網絡安全的四大組成部分,進而确立了身份認證在整個網絡安全系統中的地位與作用。
在軟體項目中統一身份管理也被稱作為4A項目,解決問題及實施方案包括4A中提到的内容,隻不過很多時候對于不同使用者的需求場景與個性化業務,會在4A實施内容範圍上多實作一些功能,例如開發簡單的工作台門戶,展現系統內建成果或與不同的內建類平台産品結合,打造不同的解決方案等,加深項目的價值與作用。
與主資料管理的差別
主資料管理是解決企業經營中各類主資料在不同系統中的名稱、編碼等資訊不一緻現象,保證企業内主資料單一視圖的準确性、一緻性及完整性。兩者在企業IT架構的層面、管理内容、功能、業務互動等方面都具備一定的差異。在企業IT架構中統一身份管理項目屬于IT治理層面,注重技術架構的實作;主資料管理項目屬于資料治理層面,注重業務、資料架構的實作,兩者從不同層面、次元分别作為基礎支撐為更高層次的服務治理、業務治理奠定基礎。
在管理内容方面,統一身份管理企業内部的使用者、群組、角色;主資料管理企業内部的組織、人員、崗位,除此之外還管理其它如:客戶、供應商等主資料。在功能方面,統一身份管理具備統一身份認證功能,弱化案例功能,很少或不預置管理案例;主資料管理不具備統一身份認證功能,提供基礎資料管理樣例。在業務互動方面,統一身份管理主要與資訊中心人員進行互動;主資料管理主要與業務人員進行互動,注重資料、業務的梳理。
常見問題分析
統一身份管理項目屬于IT整合階段的內建類問題,談到內建類問題,企業資訊化建設的曆史原因不可避免,為解決營運管理問題由下至上無規劃的建設,造成不同時期、不同廠商、不同技術、不同平台、不同規模的系統雜亂無序的建構,随着系統增多到一定程度,新一階段的資訊化問題一觸即發,具體表現如下:
業務處理方面
1.使用者處理業務必須記住多個系統的使用者名及密碼,容易遺忘;
2.處理一個業務需要頻繁登入與切換不同系統,繁瑣且效率低下;
3.資訊分散難以擷取,缺少有效整合,使用者難以進行資訊綜合利用;
IT運維方面
1.系統使用者名/密碼遺忘現象嚴重,IT維護難度及成本增大;
2.随着使用者名/密碼增多,企業缺乏統一的賬号安全管理政策;
3.缺乏統一授權及通路審計機制,非法操作無法快速定位追溯;
項目解決方案
對于統一身份管理項目主要使用IDM身份管理平台或4A系統進行解決,通常情況下除了使用單一産品,還會搭配內建套件中的其它産品更好的輔助完成項目,如ESB企業服務總線,共同打造統一身份管理項目。
1 方案總體介紹
通過統一使用者管理及認證體系,建立統一使用者資源庫,對企業資訊系統使用者進行合理分類,實作使用者身份和權限的統一認證與授權管理,并對企業應用內建的運作環境、服務互操作、資料交換和通用服務等全過程進行統一系統監控安全審計,滿足對資訊系統統一使用者管理、統一身份認證、統一授權管理以及安全審計的要求,具體包括IDM身份管理平台、ESB企業服務總線,方案體系架構如下圖所示:
使用IDM身份管理平台主要實作企業内部使用者、群組、角色統一管理、認證管理及多關聯關系的權限管理、内置工作流功能實作對建立賬号、授權管理時的流程審批功能,審計功能實作行為的審計分析、追溯管理。ESB企業服務總線在統一身份管理方案中主要作為提供資料同步接口、流程觸發、實作資料間抽取、轉換、同步、分發的工具。
2 具體實施步驟
統一身份管理項目的順利落地不隻是需要平台系統、規劃方案,還需要完備項目實施方法論,例如前期1輪至2輪的需求調研、調研結束後的功能設計、對接标準規範的設計、對應場景需求的實施開發、最終成果的聯測驗收等一系列工作,根據不同需求及項目實施難以程度,通常周期在4-6個月區間。
- 需求調研
需求調研是每個內建類項目必須要進行的一步,正确有效的需求調研是項目後續順利實施開發,保障項目驗收首要環節。統一身份管理項目需求調研工作主要分為兩輪,第一輪調研為企業内部情況調研,包括項目具體涉及資訊化系統情況:廠商、語言、資料庫;內建與單點配置系統需求、各部門涉及業務權限等内容的調研,确定統一使用者的源頭系統。過程中出具系統需求規格說明書、開發與內建标準規範等初稿。召開項目啟動會召集各方統一目标、項目協作方式,明确相關負責人,之後進行第二輪調研,包括内部客戶與外部被內建廠商,明确對接形式,各方職權等。
- 功能設計
功能設計與需求調研是一脈相承的,兩者具備一定的銜接性,在第一輪需求調研結束之後,就可以着手開始進行功能設計工作,期間要出具整體項目設計規格說明書,從實施設計中可以有效倒逼出需求是否正确或存在漏洞。功能設計包括服務同步原型設計、內建标準設計等,對于統一身份管理項目需要制定并出具統一使用者規範,包括:資料同步規範、資料分發規範;統一認證規範,如:JAVA認證、PHP認證、.NET認證等;如果項目中涉及到定制化開發功能,還需要根據需求出具客戶定制化原型設計。
- 實施開發
統一使用者管理
統一使用者管理主要為使用者提供統一集中賬号(使用者/群組/角色)的管理與分發,包括賬戶間的狀态記錄、關聯關系、角色授權等,確定使用者賬戶使用和管理的安全性。統一使用者管理的業務場景主要包括資料同步與資料分發,實作統一使用者管理首先需要确定企業資料的管理維護者是哪個系統,通常以人力資源管理系統作為資訊同步中資訊的源頭,也可以直接以IDM作為源系統,提供使用者/群組/角色的基本資訊、職位關聯資訊、賬号變動資訊等同步至IDM,再由IDM将統一管理後的資訊分發至相關系統。實作當使用者基本資訊發生變動時,其它系統中的資訊随之進行相應的變動處理,而不需要多方操作。
1)使用者同步
使用者同步部分通常由資料源提供變動資訊,使用ESB企業服務總線撰寫同步流程,以擷取資料源頭的變動資訊,對應的資料源系統按照統一同步接口标準提供全量或增量資訊服務接口即可完成資料同步工作,同步的方式可以根據企業具體業務需求采用實時調用或定時輪詢方式。
通常采用實時調用方式,即IDM統一身份管理平台提供變動資訊的寫入服務,資料源資訊變動時,直接調用IDM自身服務即可;如內建系統無法進行實時調用,可采用定時輪詢方式,由ESB企業服務總線建立定時同步流程,定時擷取資料源系統的變動資訊寫入本地伺服器,完成同步資訊日志記錄,之後從伺服器讀取該同步日志記錄,将日志内變動資訊同步寫入IDM,生成對應的操作資訊。
2)使用者分發
使用者分發也是統一使用者管理的重要步驟,順序為資料源—IDM—各業務系統,具體為賬戶資訊從資料源同步至IDM并生成操作資訊,IDM将操作資訊打包成工作任務,這部分涉及到工作流審批,通常預置在身份管理平台中,由各環節負責人進行資料分發的審批操作。ESB企業服務總線建立分發流程,調用分發服務,實作資料資訊的分發。
資料分發根據企業業務系統不同的情況、配合的程度分為采用不同的分發形式,常見的幾種形式包括webService、中間表存儲、資料庫權限三種。webService形式主要由業務系統提供服務标準的webService,供流程調用實作資訊分發;中間表存儲形式主要由業務系統提供中間庫、中間表及對應的存儲過程,ESB寫入服務,并調用對應的存儲過程,實作資訊分發;資料庫權限針對無法提供配合的業務系統,系統提供資料庫操作權限,由ESB直接寫入資料庫操作。
3)統一身份認證
統一使用者管理是統一身份認證的基礎,實作統一使用者管理後,即可開始統一身份認證工作,具體基于CAS認證方式對所有應用系統提供統一的認證方式和認證政策,通過單點登入技術,使用者經過統一身份認證系統認證後,無需再次登入即可通路其具有通路權限的應用系統。在統一身份認證工作中,基于客戶不同的系統語言及業務要求,需要支援多種技術語言的認證協定,常見的包括Java、PHP及.NET認證。
統一認證與單點登入部分通常會涉及對相關功能的改造與開發,這時需要客戶方技術人員、被內建廠商方技術人員進行一定的配合,通常統一身份認證需要與ESB企業服務總線配合協作,共同完成接口同步功能。
4)統一權限審計
統一權限管理為對使用者對應業務系統的登入權限和業務系統操作權限進行管理,這些權限統一由IDM身份管理平台發起,包括使用者、群組、角色、菜單的授權,ESB觸發審批流程,對應權限負責人進行授權審批,審批通過後即可實作使用者授權。IDM中支援标準角色、實際角色兩種典型的角色,标準角色用于制定統一的權限管理标準,标準角色與群組關聯形成實際角色,對于資源(應用、菜單、頁面、操作)可以授權到标準角色、實際角色、人員群組織。
統一審計管理操作,主要以日志的形式記錄什麼人、在什麼時間、登入了什麼系統、做了哪些操作,無論是同步至IDM的資料資訊還是從IDM進行審批并分發至各業務系統的資料資訊,都會通過日志的方式記錄,相關技術或者運維人員可以在背景檢視每一條操作記錄資訊,快速對問題進行追溯及檢視。不隻是操作審計資訊,對于通路審計資訊、資料審計資訊都可以通過對應的日志、月表等形式進行記錄檢視。
- 測試驗收
測試是每個項目不可省去的環節,有效的測試可以及時發現功能問題,保證上線品質。項目中需要多輪測試,包括單元測試、交叉測試、整體測試、業務聯測。單元測試為開發人員對開發的功能自行測試,檢測邏輯、代碼、功能是否合理、可用,測試需要連續成功3次以上才可通過;交叉測試由不同開發人員對彼此開發的功能進行互測,避免當局者迷的現象發生;整體測試為将業務功能串聯,從整體應用環境上進行測試,看功能是否貫穿滿足客戶業務;業務聯測需要客戶方業務人員共同參與,模拟真實業務場景,最終驗證是否具備上線驗收資格。如果測試無問題,即可進行項目的驗收準備,召開項目驗收會議,簽署驗收協定。
最佳實踐輸出
雖然統一身份管理項目不像主資料治理、業務流程再造項目那樣具備嚴格的行業特征,需要實施人員具備很強的業務熟悉度與了解力,但并不代表統一身份管理項目就不需要對客戶的業務場景進行深入了解,整理分析。除使用高質的平台工具外,與客戶之間的協調配合、充分調研、需求封閉、加強測試、快速上線等環節一個都不能少。
充分調研,避免反複
調研階段一定要做到充分調研,最佳效果是在調研階段對客戶業務場景進行深入了解,将項目中所有已知或預測的問題全部清晰化,例如人員同步分發工作,對客戶需要的資料源進行業務場景全面分析整理。分析過程中除正常業務外,還要将特殊情況進行分析、調研,明确一人多崗、臨時調派、退休/離職、二級機關等情況下,資料源如何分發至業務系統,相應出具內建标準規範。充分的調研可以避免項目中出現成果與客戶實際業務偏差,不得不臨時調整對接業務的情況,保證項目的進度,避免中途反複。
封閉需求,防止蔓延
調研階段一定要封閉使用者的需求,并使其明确項目進行中需求變更或蔓延帶來的影響。項目中會遇到項目開展同時伴随着客戶應用系統建構的情況,這就涉及是否将待建系統算在或不算在本次實施範圍内的問題,正式實施前必須嚴格明确實施範圍,若實施範圍包括待建系統,則需要與客戶明确相關風險及協調配合等事宜,并在計劃中打好系統建構延期、廠商不配合等時間量,保證項目傳遞不超期,若不算在内,則需要封閉需求并與客戶明确本期範圍,防止後續需求蔓延。
暴露問題,及時求助
項目實施過程中,因為客戶所用系統語言、架構、技術、處理業務模式、方法都不同,根據具體處理操作在統一身份認證實作上會有不同的形式,對于專業的産品及項目實施團隊會在多個項目中沉澱出最佳實踐及複用代碼等方法,可以較為穩定的實作應對,對于首次遇到的産品或難以實作的需求需要快速攻克,在計劃中提前做好相關問題準備,實施中遇到技術難題需要盡早暴露出來,請求公司内部産品研發人員或技術人員支援協助,定位問題,解決問題期間項目現場人員在現場也需要推進其它事項、協調,為後面的測試、上線等工作打出餘量空間。
加強測試,快速上線
測試驗收是整個項目最重要的一環,其成果直接決定項目驗收進度,測試不僅檢查産品的功能和性能是否好用,還需要對業務的滿足性進行測試,通過測試倒逼設計是否合理。測試工作并不是等到整體開發實施結束後統一測試,越早開展越好,對做完的功能及時測試,以最早的時間暴露問題,防止後續上線期間因處理測試出來的問題影響上線進度。另外,評定項目是否成功或産生二期需求,很重要的一點是讓客戶是否真正的将系統用起來,使用的人越多說明系統對使用者越重要,項目中要采用分階段功能快速上線,保證明施2個月左右即可上線部分功能供使用者使用。