集成底座作为企业信息化的基础架构平台,主要满足5A管控、主数据治理以及业务集成等需求,通过基础架构的搭建,为企业的信息化建设提供一套全面稳定、标准统一、易于复用、灵活调整的基础环境。集成底座主要包括三款核心产品:IDM身份管理平台完成5A管控,实现统一用户、统一认证、统一权限、统一审计和统一应用;MDM基础数据治理平台完成基础数据治理,保证基础数据的同源一致;ESB企业服务总线主要完成业务集成,并支持MDM平台的主数据同步分发和IDM的统一用户集成。
在实际项目中针对不同系统、不同需求都会存在具体的处理与配置方式的区别,如MDM平台主数据的应用配置以及分发主数据类别范围和字段范围,IDM统一认证的系统注册和认证信息配置等。
1总体说明
集成底座方案包括IDM、MDM、ESB产品,并且通过各个产品的集成整合形成了一个整体,解决企业信息化基础建设的难题,同时借助产品的灵活特性,基于各个子方案满足更多的业务场景需求。
1.1总体架构
集成底座方案,实际上基于IDM、MDM、ESB产品实现的5A管控、主数据治理、业务集成等多个方面的需求,其中基于IDM平台实现5A管控,结合ESB和MDM完成组织、角色、用户、权限的统一;基于MDM平台完成主数据治理,结合ESB实现主数据的同步分发,保证各个业务系统基础数据的一致;业务集成以ESB为主,通过ESB的服务治理实现跨系统的面向服务的业务数据集成,并通过MDM平台保证业务数据集成时基础数据的一致。
1.2业务场景
集成底座的业务场景主要包括5A管控、主数据治理、API治理、应用集成等。
1.5A管控:以IDM为主,通过ESB实现组织、角色、用户、权限等同步,实现基于IDM平台的统一用户、统一认证、统一授权、统一审计、统一应用管控;
2.主数据治理:以MDM平台为主,通过ESB实现从源头系统到MDM、MDM到下游系统的同步分发,实现各系统基础数据的同源一致;
3.API治理:以ESB平台为主,将IDM、MDM,以及各业务系统的服务接口注册到ESB平台,并通过ESB实现API安全、监控、预警、测试等功能;
4.应用集成:以ESB平台为主,主要是通过ESB实现跨系统的服务对接,实现系统单据、业务数据的集成,满足异构系统集成对接的需求,同时借助MDM实现的基础数据治理保证业务对接过程中基础数据的一致。
1.3集成说明
集成底座与实际业务系统对接时,典型的集成场景包括5A管控、主数据集成、业务集成。
其中5A管控包括统一用户、统一认证、统一权限、统一审计和统一应用,除了统一权限由于需要深入业务系统的权限体系,同时由于各个系统权限控制体系的区别,在实际项目中需要具体考量外,其他内容基本都是集成底座必做的内容。
主数据治理主要针对企业基础数据进行治理,由于需要为IDM统一用户提供数据,所以组织、岗位、人员是集成底座必做的主数据,此外根据实际业务需要可以扩展客户、供应商、物料、银行账户等其他类主数据。
业务集成主要通过ESB的API治理实现,将业务系统接口注册到ESB中,再通过API代理、应用集成等方式实现跨系统的业务单据传输,如单据集成、凭证集成等。
1.4对接过程
集成底座和业务系统的对接是有标准的流程和模式的,在整个过程中需要双方的有效配合,提供好相关的接口、数据、参数等,具体的对接过程大致如下:
25A管控
IDM的5A管控主要是统一用户、统一认证、统一授权、统一审计、统一应用管控,在实际项目中统一用户、统一认证、统一应用是重点,而统一审计主要是对IDM平台的数据和管理进行监控审计,所以一般不需要进行上下游系统对接,而统一权限由于深入系统权限,各个系统区别较大,所以不作为通用内容进行具体说明。
2.1统一用户
在集成底座项目中,由于通过MDM进行主数据治理,而人员主数据又是最基础的数据类别之一,所以在集成时,通常直接通过MDM分发人员,IDM作为MDM的下游系统接收用户,如果在实际项目中有特殊需要需要从IDM分发人员,则再配置IDM的分发。由于IDM、MDM均是集成底座的一部分,内部集成不做具体说明,只针对IDM的分发进行说明:
1.首先IDM的用户分发基于内置的BPM实现,所以需要配置BPM的分发流程;
2.分发方式采用推送方式,所以在BPM工作流中只配置一个调用节点,在调用节点中配置IDM的推送分发流程:
3.同时在应用管理中注册下游系统,并配置下游系统的数据接收接口:
2.2统一认证
统一认证的配置过程,有IDM平台提供对接标准,以下游系统为主进行认证配置,IDM主要提供CAS、OAuth、接口三种认证方式。
CAS认证
CAS认证主要由集成底座提供如下信息:
1.业务系统改造说明:配置改造的说明文档;
2.业务系统配置样例:包括为web.xml的调整以及拦截器的开发样例,一般会和改造说明放在一起;
3.认证JAR文件;
4.系统访问信息,主要是CAS服务器地址。
注:为了保证系统认证时IDM能有效记录认证日志,在IDM平台需要注册业务系统信息,并配置系统访问地址(由业务系统提供)。
OAuth认证
OAuth认证主要由集成底座提供如下信息:
1.client_id:IDM注册的系统编码;
2.redirect_uri:IDM注册的系统访问路径,由业务系统提供访问地址,IDM注册到平台
3.client_secret:IDM注册系统的密码(密文)。
接口认证
接口认证主要由集成底座提供如下信息:
1.appCode:IDM注册的系统编码;
2.加密策略:IDM接口认证的加密策略,业务系统根据加密策略进行密码加密后传输。
2.3应用管控
IMD的应用管控主要体现在应用管理模块,在IDM进行集成的过程中,统一应用贯穿始终,包括用户集成时获取tokenId,统一认证时注册应用,用户、权限分发时的分发范围控制等。所以在项目集成时,所有和IDM集成的系统都需要在IDM平台进行注册,并注意控制密码的强度。
2.4接口清单
1.数据集成:
1)获取tokenId接口:
http://IP:PORT/idm/services/OpenApiAuthticater/login/authticate
2)用户全量接口:
http://IP:PORT/idm/openapi/EmpDispatch/rest/emp/record
3)用户增量接口:
http://IP:PORT/idm/openapi/DataProvide/rest/record/task-page
4)日志回写接口:
http://IP:PORT/idm/openapi/BaseDispatchReceive/rest/record/dispatch-log
2.OAuth认证:
1)系统请求认证:
http://IP:PORT/cas/oauth2.0/authorize
2)获取accessToken:
http://IP:PORT/cas/oauth2.0/accessToken
3)获取用户信息:
http://IP:PORT/cas/oauth2.0/profile
3.接口认证:
1)登录认证接口:
http://IP:PORT/idm/services/IdmUserAuth/idmuserauth
2)密码加密接口:
http://IP:PORT/idm/services/IdmUserAuth/idmuserauth/encryptPwd
3主数据治理
集成底座的主数据治理除了MDM平台本身的清洗、校验、编码等内容外,主要的还是和上下游系统的集成,其中上游系统集成一般采用推送模式,通过ESB的应用集成实现主数据的同步,来源相对单一,复用率较低。而主数据分发往往需要分发多个系统,所以需要制定统一的标准,便于后期其他系统对接集成底座,所以对分发相关的集成配置进行说明。
3.1应用配置
和IDM的应用管理类似,MDM平台也需要进行应用配置,并且和IDM的配置是彼此独立的部分,MDM的应用配置除了配置系统编码、密码外,更重要的是配置主数据的分发范围,包括分发主数据类别、属性,以及主数据推送下游系统的接口。
在和下游系统集成的过程中,一般需要提供如下信息:
1.appCode:MDM注册的系统编码;
2.appPwd:MDM注册的系统密码(明文);
同时需要在应用中针对每一类主数据配置接口,该接口为业务系统接收接口:
3.2分发流程
MDM的分发主要是基于BPM的工作流实现的,通过触发BPM工作流实现MDM到下游系统的集成,具体过程如下:
1.针对每一类需要分发的主数据建立BPM工作流;
2.如果无需进行人工参与,只需要配置一个调用节点,并在调用节点中配置分发接口;
3.配置的分发接口为MDM的推送接口(应用配置已配置应用的接收接口):
3.3流程扩展
由于部分系统在提供接口时会出于安全考虑会添加特殊的校验机制,如token/密钥等,所以在配置接收接口时可能需要进行扩展处理,这种处理一般通过ESB完成,即在业务系统提供的接口基础上,通过ESB进行一次封装处理,在应用管理配置接口时直接配置ESB封装后的接口:
3.4接口说明
因为主数据接口时根据配置的主数据类别动态生成的,所以以组织主数据(Organization)为例进行说明
1.全量获取接口:
http://IP:PORT/mdm/openapi/OrganizationManageService/rest/record/published
2.增量获取接口:
http://IP:PORT/mdm/openapi/OrganizationManageService/rest/records/task
3.数据推送接口:
http://IP:PORT/mdm/openapi/BaManageService/rest/records/api-info
4.日志生成接口:
http://IP:PORT/mdm/openapi/BaManageService/rest/create-logs
5.日志回写接口:
http://IP:PORT/mdm/openapi/OrganizationManageService/rest/distribute-log
4API管理
API管理是ESB平台中非常重要的功能,特别是对于集成底座而言,ESB主要的作用就是作为服务总线,而在MDM、IDM数据集成过程中,所以的平台接口以及上下游系统的应用集成都需要注册到ESB的API管理中进行统一维护,并基于API管理构建集成流程实现数据传输。
4.1服务开发
在集成底座项目中,ESB主要作为服务总线存在,通过API进行服务的注册、代理以及应用集成配置,所以在大多数情况下ESB并不参与应用系统的服务开发工作,但是对于集成底座内容的IDM、MDM、ESB等平台进行数据集成的过程中,由于实际业务的特殊性以及定制化的需求,会考虑通过ESB进行部分的扩展开发,但也只限于集成底座内部。
4.2API配置
作为集成底座方案系统贯穿的重要组成部分,ESB的API管理在整个集成过程中至关重要,无论是上游系统的主数据同步、还是下游系统分分发,以及在集成底座项目包含的业务集成的内容,都需要API配置和应用集成的参与,同时也是为了集成底座项目的规范化,也建议在项目中将使用的接口全部注册到ESB中,包括IDM、MDM、ESB的接口以及上下游系统接口。
4.3API代理
API代理主要满足各个系统调用的需要,一般比较常用的是业务系统进行单据集成、凭证集成等非基础数据集成,同时上下游系统以及预置或开发好了标准接口,无需ESB通过应用集成参与数据的转换过程的情况下,直接将目标系统的服务接口注册到ESB中并进行代理,之后将代理后的接口提供给上游系统进行调用,在ESB中根据需要进行一些安全、限流、监控以及日志等配置工作。
4.4应用集成
集成底座的同步分发都会涉及到应用集成的内容,ESB的应用集成主要是基于API管理,基于已经注册号的服务接口进行配置,在集成底座中比较典型的应用有:
1.主数据同步:由于源头系统主数据和MDM平台的差异,会考虑基于ESB的应用集成开发主数据的接收接口;
2.主数据分发:ESB参与的主数据分发主要是指从MDM到IDM分发,由于是内部系统集成,同时接口参数结构的复杂性,所以通过ESB进行扩展;
3.账号分发:ESB参与的账号分发也是内部集成,主要是IDM账号到MDM、ESB系统账号的过程;
4.权限同步:和账号分发一样,也是IDM的角色、权限同步到MDM、ESB系统角色、权限的过程;
5.其他扩展:主要是指IDM、MDM和下游系统集成时,下游系统接口提供的一些特殊的安全校验过程,一般会需要通过ESB进行代码扩展实现。
5总结说明
集成底座是目前比较成熟的方案之一,通过预置的相关样例和ipoc,已经将内部产品的集成进行了标准化、模式化,同时在实际项目中也逐步实现了产品+培训的模式,将集成底座的实施工作交付给伙伴,从而提供了交付效果。
5.1集成过程
集成底座在和各个系统集成的过程中,是有着标准的集成模式和集成流程的,在项目实施的过程中,无论集成的系统有多少,都要反复强调集成模式的规范性,因为业务系统的建设和集成过程不是一蹴而就的,是一个长期的、迭代的过程,在这过程中需要不断和集成底座进行融合,所以标准化、模式化时非常重要的。