統(tǒng)一身份管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

李石師（中國石油化工股份有限公司北京燕山分公司，北京　102500）

統(tǒng)一身份管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

李石師
（中國石油化工股份有限公司北京燕山分公司，北京102500）

摘要：本文針對燕山石化公司在信息系統(tǒng)身份管理、用戶管理以及單點(diǎn)登錄等方面的需求，建設(shè)統(tǒng)一身份管理系統(tǒng)。系統(tǒng)實(shí)現(xiàn)涵蓋燕山石化云節(jié)點(diǎn)建設(shè)、應(yīng)用單點(diǎn)登錄集成、賬號管理三大內(nèi)容，并針對信息系統(tǒng)各自技術(shù)特點(diǎn)，分別采用聯(lián)邦模式、網(wǎng)關(guān)模式、微軟ADFS模式、易登錄方式實(shí)現(xiàn)單點(diǎn)集成。燕山石化統(tǒng)一身份系統(tǒng)與中石化活動目錄（AD）、PKI/CA及人力資源管理信息系統(tǒng)（SAPHR）進(jìn)行了集成，實(shí)現(xiàn)了信息系統(tǒng)的身份認(rèn)證和單點(diǎn)登錄。

關(guān)鍵詞：身份管理；單點(diǎn)登錄；功能設(shè)計(jì)

廣義地說，身份管理可描述為企業(yè)能夠建立并管理IT系統(tǒng)使用人員的數(shù)字身份，定義誰進(jìn)入哪個系統(tǒng)并保護(hù)私人和業(yè)務(wù)機(jī)密信息的一套業(yè)務(wù)流程、政策和技術(shù)。過去，身份管理主要是防止未獲得授權(quán)的用戶訪問特定數(shù)據(jù)。如今，身份管理正在朝著讓可以信任的、經(jīng)過認(rèn)證的用戶訪問Web服務(wù)和應(yīng)用這樣的模式發(fā)展。隨著信息化水平的提高，信息系統(tǒng)的數(shù)量逐漸增多，用戶身份和訪問管理也變得越來越復(fù)雜，企業(yè)需要在授予用戶IT資源訪問權(quán)限的同時，有效而精確地管理用戶。

1　系統(tǒng)建設(shè)背景

近年來，燕山石化緊緊圍繞自身的發(fā)展戰(zhàn)略和主營業(yè)務(wù)開展信息化工作，積極推進(jìn)以ERP為主線的信息化建設(shè)與深化應(yīng)用工作，基本建成了以ERP為核心的經(jīng)營管理平臺、以MES為核心的生產(chǎn)執(zhí)行平臺、以及其他信息基礎(chǔ)設(shè)施與運(yùn)維平臺。但隨著IT應(yīng)用的不斷深化與拓展，應(yīng)用系統(tǒng)逐漸增多，涉及的業(yè)務(wù)范圍不斷擴(kuò)大，用戶對應(yīng)用系統(tǒng)的依賴程度越來越高，用戶因業(yè)務(wù)需要而使用多個應(yīng)用系統(tǒng)的情況也越來越多。信息化應(yīng)用的高速發(fā)展在為燕山石化在企業(yè)管理和生產(chǎn)經(jīng)營方面帶來巨大收益的同時，也為應(yīng)用系統(tǒng)的建設(shè)、管理和運(yùn)維帶來了更多的挑戰(zhàn)，提出更高的要求。同時，隨著企業(yè)的發(fā)展，各種業(yè)務(wù)不斷調(diào)整，人員調(diào)動頻繁，導(dǎo)致企業(yè)信息系統(tǒng)用戶信息越來越復(fù)雜，這也極大增加了IT用戶管理的成本，并可能產(chǎn)生諸多安全風(fēng)險(xiǎn)，客觀上對實(shí)現(xiàn)用戶統(tǒng)一身份管理的需求越來越迫切。

2　系統(tǒng)功能設(shè)計(jì)

燕山石化統(tǒng)一身份管理系統(tǒng)的功能主要包括用戶管理、審計(jì)管理、認(rèn)證和訪問管理三部分。其中，用戶管理主要實(shí)現(xiàn)用戶身份管理、組織管理、賬號管理、角色管理、口令管理等，認(rèn)證和訪問管理主要實(shí)現(xiàn)統(tǒng)一認(rèn)證和單點(diǎn)登錄功能，審計(jì)管理部分主要實(shí)現(xiàn)系統(tǒng)賬號管理審計(jì)、用戶行為審計(jì)、合規(guī)賬號審計(jì)，日志分析等功能。統(tǒng)一身份系統(tǒng)功能設(shè)計(jì)圖如圖1所示。

2.1用戶管理。用戶管理是用戶統(tǒng)一身份管理系統(tǒng)建設(shè)的重要組成部分。用戶統(tǒng)一身份管理系統(tǒng)的管理原則是：①集中部署：用戶身份信息、組織信息等集中在集團(tuán)總部中心系統(tǒng)內(nèi)，作為中國石化權(quán)威的人員信息庫。②統(tǒng)一管理：用戶信息的梳理、配置、維護(hù)等操作管理部分，由集團(tuán)總部中心集中提供服務(wù)，委托區(qū)域中心管理。③分散應(yīng)用：用戶信息由集團(tuán)總部中心系統(tǒng)以子集或全集的方式同步到企業(yè)，使企業(yè)享有本地用戶信息資源。

2.2訪問管理。訪問管理是用戶統(tǒng)一身份管理系統(tǒng)建設(shè)的重要組成部分。本系統(tǒng)核心技術(shù)采用單點(diǎn)登錄（SSO）技術(shù)實(shí)現(xiàn)統(tǒng)一的安全認(rèn)證，用戶只需要進(jìn)行一次登錄，就可以訪問到所有已授權(quán)信息系統(tǒng)。訪問管理主要組成要素有：統(tǒng)一訪問、用戶統(tǒng)一身份認(rèn)證、授權(quán)管理、單點(diǎn)登錄、訪問控制。SSO系統(tǒng)包括了統(tǒng)一的訪問系統(tǒng)、集中身份認(rèn)證系統(tǒng)，實(shí)現(xiàn)對各個信息系統(tǒng)的一站式登錄。

2.3審計(jì)管理。實(shí)現(xiàn)對統(tǒng)一身份系統(tǒng)的審計(jì)管理，為安全審計(jì)平臺提供必要接口。審計(jì)管理包含審計(jì)日志管理、賬號管理審計(jì)、用戶行為審計(jì)、審計(jì)報(bào)表等功能。

圖1　統(tǒng)一身份系統(tǒng)功能設(shè)計(jì)圖

3　系統(tǒng)實(shí)現(xiàn)

統(tǒng)一身份系統(tǒng)組件主要包括：身份管理服務(wù)、數(shù)據(jù)同步和賬號管理接口服務(wù)、統(tǒng)一認(rèn)證服務(wù)云、統(tǒng)一接入服務(wù)和身份管理系統(tǒng)核心數(shù)據(jù)存儲服務(wù)（統(tǒng)一目錄服務(wù)LDAP）。

3.1統(tǒng)一身份子節(jié)點(diǎn)。（1）在燕山石化建設(shè)統(tǒng)一身份管理子節(jié)點(diǎn)，部署基礎(chǔ)信息LDAP服務(wù)，存儲用戶及組織機(jī)構(gòu)、角色等，提供統(tǒng)一認(rèn)證功能。（2）燕山石化統(tǒng)一身份管理子節(jié)點(diǎn)用戶數(shù)據(jù)和組織機(jī)構(gòu)等數(shù)據(jù)完全與總部HR系統(tǒng)中的數(shù)據(jù)保持一致。（3）燕山石化各應(yīng)用系統(tǒng)的賬號由應(yīng)用系統(tǒng)管理員統(tǒng)一開設(shè)，通過統(tǒng)一接口服務(wù)向燕山石化各應(yīng)用推送數(shù)據(jù)。（4）燕山石化統(tǒng)一認(rèn)證服務(wù)基于燕山石化本地LDAP服務(wù)，提供燕山石化各應(yīng)用統(tǒng)一認(rèn)證及單點(diǎn)登錄服務(wù)。

3.2賬號管理。統(tǒng)一身份管理系統(tǒng)的賬號管理功能根據(jù)應(yīng)用系統(tǒng)類型的不同提供了兩種接入方式：①適配器模式。②消息模式。

3.3應(yīng)急管理。為保證各應(yīng)用系統(tǒng)認(rèn)證服務(wù)的可靠性，燕山石化統(tǒng)一身份管理系統(tǒng)進(jìn)行了系統(tǒng)容錯冗余設(shè)計(jì)，當(dāng)本地認(rèn)證服務(wù)失敗時，自動尋找中石化總部的認(rèn)證服務(wù)。當(dāng)總部與燕山石化統(tǒng)一身份管理子節(jié)點(diǎn)同時失效或發(fā)生異常情況時，燕山石化各應(yīng)用系統(tǒng)立即切換到應(yīng)急模式，按照應(yīng)用的不同，應(yīng)急方式也不完全相同。

4應(yīng)用效果

燕山石化統(tǒng)一身份管理系統(tǒng)于2013 年5月啟動，同年10月18日上線試運(yùn)行。系統(tǒng)運(yùn)行以來，在身份管理、單點(diǎn)登錄等方面取得了較好的運(yùn)行效果。

結(jié)語

燕山石化公司率先在中石化煉化企業(yè)范圍內(nèi)建設(shè)并使用了統(tǒng)一身份管理系統(tǒng)，實(shí)現(xiàn)了信息系統(tǒng)用戶實(shí)名制和全生命周期管理；使用證書認(rèn)證，提高了系統(tǒng)登錄安全等級；實(shí)現(xiàn)系統(tǒng)單點(diǎn)登錄，用戶只需記錄一套密碼，提高了用戶使用信息系統(tǒng)的滿意度。

參考文獻(xiàn)

[1]陳志德，黃欣沂，許力．身份認(rèn)證安全協(xié)議理論與應(yīng)用[M]．北京：電子工業(yè)出版社，2015．

[2]陳宇翔．LDAP詳解[M]．北京：機(jī)械工業(yè)出版社，2012．

中圖分類號：TP315

文獻(xiàn)標(biāo)識碼：A