內建底座作為企業資訊化的基礎架構平台,主要滿足5A管控、主資料治理以及業務內建等需求,通過基礎架構的搭建,為企業的資訊化建設提供一套全面穩定、标準統一、易于複用、靈活調整的基礎環境。內建底座主要包括三款核心産品:IDM身份管理平台完成5A管控,實作統一使用者、統一認證、統一權限、統一審計和統一應用;MDM基礎資料治理平台完成基礎資料治理,保證基礎資料的同源一緻;ESB企業服務總線主要完成業務內建,并支援MDM平台的主資料同步分發和IDM的統一使用者內建。
在實際項目中針對不同系統、不同需求都會存在具體的處理與配置方式的差別,如MDM平台主資料的應用配置以及分發主資料類别範圍和字段範圍,IDM統一認證的系統注冊和認證資訊配置等。
1總體說明
內建底座方案包括IDM、MDM、ESB産品,并且通過各個産品的內建整合形成了一個整體,解決企業資訊化基礎建設的難題,同時借助産品的靈活特性,基于各個子方案滿足更多的業務場景需求。
1.1總體架構
內建底座方案,實際上基于IDM、MDM、ESB産品實作的5A管控、主資料治理、業務內建等多個方面的需求,其中基于IDM平台實作5A管控,結合ESB和MDM完成組織、角色、使用者、權限的統一;基于MDM平台完成主資料治理,結合ESB實作主資料的同步分發,保證各個業務系統基礎資料的一緻;業務內建以ESB為主,通過ESB的服務治理實作跨系統的面向服務的業務資料內建,并通過MDM平台保證業務資料內建時基礎資料的一緻。
1.2業務場景
內建底座的業務場景主要包括5A管控、主資料治理、API治理、應用內建等。
1.5A管控:以IDM為主,通過ESB實作組織、角色、使用者、權限等同步,實作基于IDM平台的統一使用者、統一認證、統一授權、統一審計、統一應用管控;
2.主資料治理:以MDM平台為主,通過ESB實作從源頭系統到MDM、MDM到下遊系統的同步分發,實作各系統基礎資料的同源一緻;
3.API治理:以ESB平台為主,将IDM、MDM,以及各業務系統的服務接口注冊到ESB平台,并通過ESB實作API安全、監控、預警、測試等功能;
4.應用內建:以ESB平台為主,主要是通過ESB實作跨系統的服務對接,實作系統單據、業務資料的內建,滿足異構系統內建對接的需求,同時借助MDM實作的基礎資料治理保證業務對接過程中基礎資料的一緻。
1.3內建說明
內建底座與實際業務系統對接時,典型的內建場景包括5A管控、主資料內建、業務內建。
其中5A管控包括統一使用者、統一認證、統一權限、統一審計和統一應用,除了統一權限由于需要深入業務系統的權限體系,同時由于各個系統權限控制體系的差別,在實際項目中需要具體考量外,其他内容基本都是內建底座必做的内容。
主資料治理主要針對企業基礎資料進行治理,由于需要為IDM統一使用者提供資料,是以組織、崗位、人員是內建底座必做的主資料,此外根據實際業務需要可以擴充客戶、供應商、物料、銀行賬戶等其他類主資料。
業務內建主要通過ESB的API治理實作,将業務系統接口注冊到ESB中,再通過API代理、應用內建等方式實作跨系統的業務單據傳輸,如單據內建、憑證內建等。
1.4對接過程
內建底座和業務系統的對接是有标準的流程和模式的,在整個過程中需要雙方的有效配合,提供好相關的接口、資料、參數等,具體的對接過程大緻如下:
25A管控
IDM的5A管控主要是統一使用者、統一認證、統一授權、統一審計、統一應用管控,在實際項目中統一使用者、統一認證、統一應用是重點,而統一審計主要是對IDM平台的資料和管理進行監控審計,是以一般不需要進行上下遊系統對接,而統一權限由于深入系統權限,各個系統差別較大,是以不作為通用内容進行具體說明。
2.1統一使用者
在內建底座項目中,由于通過MDM進行主資料治理,而人員主資料又是最基礎的資料類别之一,是以在內建時,通常直接通過MDM分發人員,IDM作為MDM的下遊系統接收使用者,如果在實際項目中有特殊需要需要從IDM分發人員,則再配置IDM的分發。由于IDM、MDM均是內建底座的一部分,内部內建不做具體說明,隻針對IDM的分發進行說明:
1.首先IDM的使用者分發基于内置的BPM實作,是以需要配置BPM的分發流程;
2.分發方式采用推送方式,是以在BPM工作流中隻配置一個調用節點,在調用節點中配置IDM的推送分發流程:
3.同時在應用管理中注冊下遊系統,并配置下遊系統的資料接收接口:
2.2統一認證
統一認證的配置過程,有IDM平台提供對接标準,以下遊系統為主進行認證配置,IDM主要提供CAS、OAuth、接口三種認證方式。
CAS認證
CAS認證主要由內建底座提供如下資訊:
1.業務系統改造說明:配置改造的說明文檔;
2.業務系統配置樣例:包括為web.xml的調整以及攔截器的開發樣例,一般會和改造說明放在一起;
3.認證JAR檔案;
4.系統通路資訊,主要是CAS伺服器位址。
注:為了保證系統認證時IDM能有效記錄認證日志,在IDM平台需要注冊業務系統資訊,并配置系統通路位址(由業務系統提供)。
OAuth認證
OAuth認證主要由內建底座提供如下資訊:
1.client_id:IDM注冊的系統編碼;
2.redirect_uri:IDM注冊的系統通路路徑,由業務系統提供通路位址,IDM注冊到平台
3.client_secret:IDM注冊系統的密碼(密文)。
接口認證
接口認證主要由內建底座提供如下資訊:
1.appCode:IDM注冊的系統編碼;
2.加密政策:IDM接口認證的加密政策,業務系統根據加密政策進行密碼加密後傳輸。
2.3應用管控
IMD的應用管控主要展現在應用管理子產品,在IDM進行內建的過程中,統一應用貫穿始終,包括使用者內建時擷取tokenId,統一認證時注冊應用,使用者、權限分發時的分發範圍控制等。是以在項目內建時,所有和IDM內建的系統都需要在IDM平台進行注冊,并注意控制密碼的強度。
2.4接口清單
1.資料內建:
1)擷取tokenId接口:
http://IP:PORT/idm/services/OpenApiAuthticater/login/authticate
2)使用者全量接口:
http://IP:PORT/idm/openapi/EmpDispatch/rest/emp/record
3)使用者增量接口:
http://IP:PORT/idm/openapi/DataProvide/rest/record/task-page
4)日志回寫接口:
http://IP:PORT/idm/openapi/BaseDispatchReceive/rest/record/dispatch-log
2.OAuth認證:
1)系統請求認證:
http://IP:PORT/cas/oauth2.0/authorize
2)擷取accessToken:
http://IP:PORT/cas/oauth2.0/accessToken
3)擷取使用者資訊:
http://IP:PORT/cas/oauth2.0/profile
3.接口認證:
1)登入認證接口:
http://IP:PORT/idm/services/IdmUserAuth/idmuserauth
2)密碼加密接口:
http://IP:PORT/idm/services/IdmUserAuth/idmuserauth/encryptPwd
3主資料治理
內建底座的主資料治理除了MDM平台本身的清洗、校驗、編碼等内容外,主要的還是和上下遊系統的內建,其中上遊系統內建一般采用推送模式,通過ESB的應用內建實作主資料的同步,來源相對單一,複用率較低。而主資料分發往往需要分發多個系統,是以需要制定統一的标準,便于後期其他系統對接內建底座,是以對分發相關的內建配置進行說明。
3.1應用配置
和IDM的應用管理類似,MDM平台也需要進行應用配置,并且和IDM的配置是彼此獨立的部分,MDM的應用配置除了配置系統編碼、密碼外,更重要的是配置主資料的分發範圍,包括分發主資料類别、屬性,以及主資料推送下遊系統的接口。
在和下遊系統內建的過程中,一般需要提供如下資訊:
1.appCode:MDM注冊的系統編碼;
2.appPwd:MDM注冊的系統密碼(明文);
同時需要在應用中針對每一類主資料配置接口,該接口為業務系統接收接口:
3.2分發流程
MDM的分發主要是基于BPM的工作流實作的,通過觸發BPM工作流實作MDM到下遊系統的內建,具體過程如下:
1.針對每一類需要分發的主資料建立BPM工作流;
2.如果無需進行人工參與,隻需要配置一個調用節點,并在調用節點中配置分發接口;
3.配置的分發接口為MDM的推送接口(應用配置已配置應用的接收接口):
3.3流程擴充
由于部分系統在提供接口時會出于安全考慮會添加特殊的校驗機制,如token/密鑰等,是以在配置接收接口時可能需要進行擴充處理,這種處理一般通過ESB完成,即在業務系統提供的接口基礎上,通過ESB進行一次封裝處理,在應用管理配置接口時直接配置ESB封裝後的接口:
3.4接口說明
因為主資料接口時根據配置的主資料類别動态生成的,是以以組織主資料(Organization)為例進行說明
1.全量擷取接口:
http://IP:PORT/mdm/openapi/OrganizationManageService/rest/record/published
2.增量擷取接口:
http://IP:PORT/mdm/openapi/OrganizationManageService/rest/records/task
3.資料推送接口:
http://IP:PORT/mdm/openapi/BaManageService/rest/records/api-info
4.日志生成接口:
http://IP:PORT/mdm/openapi/BaManageService/rest/create-logs
5.日志回寫接口:
http://IP:PORT/mdm/openapi/OrganizationManageService/rest/distribute-log
4API管理
API管理是ESB平台中非常重要的功能,特别是對于內建底座而言,ESB主要的作用就是作為服務總線,而在MDM、IDM資料內建過程中,是以的平台接口以及上下遊系統的應用內建都需要注冊到ESB的API管理中進行統一維護,并基于API管理建構內建流程實作資料傳輸。
4.1服務開發
在內建底座項目中,ESB主要作為服務總線存在,通過API進行服務的注冊、代理以及應用內建配置,是以在大多數情況下ESB并不參與應用系統的服務開發工作,但是對于內建底座内容的IDM、MDM、ESB等平台進行資料內建的過程中,由于實際業務的特殊性以及定制化的需求,會考慮通過ESB進行部分的擴充開發,但也隻限于內建底座内部。
4.2API配置
作為內建底座方案系統貫穿的重要組成部分,ESB的API管理在整個內建過程中至關重要,無論是上遊系統的主資料同步、還是下遊系統分分發,以及在內建底座項目包含的業務內建的内容,都需要API配置和應用內建的參與,同時也是為了內建底座項目的規範化,也建議在項目中将使用的接口全部注冊到ESB中,包括IDM、MDM、ESB的接口以及上下遊系統接口。
4.3API代理
API代理主要滿足各個系統調用的需要,一般比較常用的是業務系統進行單據內建、憑證內建等非基礎資料內建,同時上下遊系統以及預置或開發好了标準接口,無需ESB通過應用內建參與資料的轉換過程的情況下,直接将目标系統的服務接口注冊到ESB中并進行代理,之後将代理後的接口提供給上遊系統進行調用,在ESB中根據需要進行一些安全、限流、監控以及日志等配置工作。
4.4應用內建
內建底座的同步分發都會涉及到應用內建的内容,ESB的應用內建主要是基于API管理,基于已經注冊号的服務接口進行配置,在內建底座中比較典型的應用有:
1.主資料同步:由于源頭系統主資料和MDM平台的差異,會考慮基于ESB的應用內建開發主資料的接收接口;
2.主資料分發:ESB參與的主資料分發主要是指從MDM到IDM分發,由于是内部系統內建,同時接口參數結構的複雜性,是以通過ESB進行擴充;
3.賬号分發:ESB參與的賬号分發也是内部內建,主要是IDM賬号到MDM、ESB系統賬号的過程;
4.權限同步:和賬号分發一樣,也是IDM的角色、權限同步到MDM、ESB系統角色、權限的過程;
5.其他擴充:主要是指IDM、MDM和下遊系統內建時,下遊系統接口提供的一些特殊的安全校驗過程,一般會需要通過ESB進行代碼擴充實作。
5總結說明
內建底座是目前比較成熟的方案之一,通過預置的相關樣例和ipoc,已經将内部産品的內建進行了标準化、模式化,同時在實際項目中也逐漸實作了産品+教育訓練的模式,将內建底座的實施工作傳遞給夥伴,進而提供了傳遞效果。
5.1內建過程
內建底座在和各個系統內建的過程中,是有着标準的內建模式和內建流程的,在項目實施的過程中,無論內建的系統有多少,都要反複強調內建模式的規範性,因為業務系統的建設和內建過程不是一蹴而就的,是一個長期的、疊代的過程,在這過程中需要不斷和內建底座進行融合,是以标準化、模式化時非常重要的。