工程公司統一身份認證平臺的規劃與建設

宮　成　王鴻捷　吳靖寰　傅賀平

中國石油工程建設有限公司西南分公司,　四川　成都　610041

0　前言

信息技術的發展及互聯網的普及,使企業應用系統已呈快速增長態勢。應用系統在企業業務生產及管理等方面發揮著越來越重要的作用,并為各種業態下的企業生產經營模式的改變、企業精細化管理的實現提供基礎[1],有效地提高了企業的經營管理水平。

工程公司由于業務和管理的需要,應用系統的建設也在不斷增長,由于歷史原因,不同時期建立的應用系統所采用的技術不同,當時為解決對應用系統的權限及數據安全的管控,每個應用系統分別部署獨立登陸賬號和密碼[2-4]。但由于應用系統數量的不斷增長,導致了眾多的問題:

1)用戶體驗差:用戶必須記住不同應用系統的用戶名和密碼,登錄每個應用系統使用時不斷重復登錄操作。

2)運維管理復雜:業務部門需要對各業務系統的多套用戶名及密碼進行管理,運維工作量巨大,難以管控。

3)安全隱患嚴重:用戶為記住登錄名和密碼,采用了簡單的密碼,造成保密級別降低,為業務數據安全帶來極大的隱患。

4)信息不一致:各系統之間的賬號不統一,形成信息孤島現象[5]。

這種分散式的認證方式已經成為企業實現信息系統集成化、一體化所必須解決的問題。本文根據工程公司的實際應用情況提出了一種新的統一身份認證建設思路,能夠較好地解決以上問題。

1　規劃目標

統一身份認證平臺建設應在工程公司自身的信息化建設總體規劃下進行,以遵循“統一規劃,分步實施”的策略[6],根據工程公司自身的實際需求,明確項目建設目標。統一身份認證平臺規劃目標應從兩方面考慮:

1)所謂統一身份認證就是用戶只需通過一個賬號密碼,就可訪問具有合法權限內的所有資源,是統一身份認證平臺實現的最基本目標。

2)從整體信息化架構角度考慮,構建一個完整統一、高效穩定、規范安全的集中式身份管理。

2　規劃范圍

范圍決定需求,需求決定架構[7],如果范圍不能正確地定義將會導致一系列的不良連鎖反應,最終造成系統的嚴重缺陷。正確、合理的定義范圍是保證成功實施的重要工作之一。

筆者認為范圍的定義通俗來講就是為達成目標所必須要做的事情。統一身份認證平臺建設范圍的確定應以前文提出的規劃目標為基礎,并根據信息化整體IT架構及應用使用情況進行分析、細化的一個過程。工程公司規劃統一身份認證平臺建設范圍可從三方面考慮:

1)制定身份認證標準,建設一個沒有重復、沖突的統一身份認證信息架構[8]。

2)兼容企業整體IT基礎架構和運行環境要求,筆者所在工程公司提出了需兼容企業內部的私有云架構模式。

3)滿足已存在的各種異構應用系統的接入及改造,實現各應用系統之間身份認證信息的整合。

3　技術路線選擇

如何將工程公司不同的業務應用系統進行有效整合,做到統一認證,統一管理[9-11],是實現統一身份認證平臺核心關鍵。

3.1　統一身份認證標準的建立

統一身份認證標準的建立,應建立在能夠滿足工程公司各種異構應用架構的基礎上,與應用系統本身的開發語言、平臺無關,無論是B/S結構、C/S結構以及移動APP應用(原生、混合、Web)結構。

統一身份認證標準的建立要充分利用SOA(面向服務體系)架構松耦合的特點[12-13],采用國際標準的網絡協議和規定的一些標準數據格式,包括登錄方式、交互流程、認證協議等。

3.2　集中安全管控

統一身份認證平臺的集中安全管控必須從全局角度考慮:

1)授權管理:對接入到統一身份認證平臺的應用進行授權,為應用系統的接入提供安全、高效、可用的安全機制。

2)審計管理:對應用系統的使用情況、用戶對應用系統的訪問行為進行審計,可為后續發生事故時提供一個可追查的機制[14]。

3.3　統一身份認證平臺與用戶信息的關系

統一身份認證平臺本身并不對用戶信息進行管理,這取決于企業本身對信息管理的劃分。從工程公司信息化整體管理角度而言,用戶信息一般是由公司人力資源管理部門進行管理[15]。該部分內容的確定,對統一身份認證平臺的整體架構設計起著重要的作用。

筆者所在工程公司,采用了基于活動目錄進行用戶身份驗證的解決方案。活動目錄中的用戶及組織機構信息與“人力資源公共數據管理平臺”實現無縫集成,不需要對活動目錄中的用戶信息單獨維護。統一身份認證平臺中的用戶身份認證直接使用活動目錄中的用戶信息進行驗證。

3.4　統一身份認證與已有應用系統的關系

工程公司必然會對已存在的應用系統進行改造,以適應統一身份認證方式。因此,如何實現讓已有應用系統與統一身份認證進行無縫集成是需要解決的另一個問題。建議遵循如下原則和方法解決:

1)統一身份認證平臺為各應用系統提供身份認證服務,其他業務系統只需根據其規則調用此服務即可。

2)已有應用系統的身份認證一般與權限控制緊密相連,權限控制是用戶通過身份認證后,為用戶授權其在應用系統中的角色和使用資源。當前在一個比較完整、規范的企業信息化建設體系中,應由一個統一身份認證供各應用系統使用,權限控制由各應用系統自行管理。

3)針對應用系統改造較多的工程公司,可能存在技術復雜(不同平臺)、項目干系人眾多(各應用系統的開發商、業務部門、技術人員)等問題。因此,可根據應用系統的使用范圍、人數、改造難易程度等進行優先級排序,并在項目實施過程中制定合理的統一規劃。

4)明確統一身份認證登錄賬號與已有應用系統用戶信息的共同點,可從用戶名、員工編號、郵箱名稱等信息進行關聯。

在已有應用系統的改造過程中,必然會存在無法改造的應用系統,但針對自研及定制開發類型的軟件完全可避免。筆者所在工程公司對自研及定制研發類軟件在開發過程中就進行管控,包含對成果文件(需求報告、設計報告、數據字典等)、代碼進行審查(編寫規范、注釋、編譯、封裝等),以避免此問題發生。

4　建設方案比選

統一身份認證平臺建設一般有“產品+服務”模式和“定制化開發”模式兩種。不管選擇哪種開發模式,都需要以正確的、量體裁衣式的解決方案為基礎。

4.1　“產品+服務”模式

根據調研,“產品+服務”模式是當前企業選擇較多的一種模式[16-18]。這種模式是軟件供應商將產品功能基本固化,再根據個性化需求進行二次開發,這種模式因有一個原型產品的存在,能夠快速地滿足一個較大應用群體的共性化需求,以及后期的運維服務等。筆者建議,工程公司選擇這種商業產品時要注意:前期一定要對產品有充分了解,確切是否能夠滿足所有需求,包括二次開發是否能夠滿足工程公司自身的個性需求,因為商業產品在設計架構上基本是固化的,很難改變。

4.2　“定制化開發”模式

“定制化開發”模式是企業建設目標需要什么,軟件開發商就生產什么,是一種由無到有的一種模式。這種開發模式與商業化產品對比,具有較強靈活性及適應性,可更好地實現企業建設目標。但同時也帶來了不小的挑戰,因此需要以工程公司信息化建設部門為主導,掌控整個平臺的架構設計,對整體規劃及技術有較高的要求。

4.3　兩種模式的對比分析

統一身份認證平臺建設具體選擇哪一種模式,不能一概而論,沒有最完美的,只有最適合的。表1是針對兩種模式的比較,建議工程公司根據自身需求情況并結合表1的分析結果,來選擇最適當的建設模式。

表1“產品+服務”與“定制化開發”模式對比分析

建設模式周期成本兼容性運維/響應個性化技術要求產品+服務短較低一般慢一般較低定制化開發長高高快滿足高

5　實踐與應用

筆者所在工程公司按照上述提出的建設思路、方法進行了規劃實施,統一身份認證平臺建設選用了“定制化開發”模式。

統一身份認證平臺自建成后,已無故障運行28個月,并有18個應用系統接入到統一身份認證平臺,其中包括13個B/S架構應用系統、2個C/S架構應用系統、3個移動APP模式應用系統,用戶登錄訪問總計 869 308次。該平臺的建設有效提升了公司信息化整體管理水平及用戶自身的工作效率。

6　結論

本文提出了一種適用于多應用架構模式的統一身份認證建設思路,滿足當前所有不同應用架構系統的統一身份認證問題,保證了各業務集成系統的松散耦合。

在工程公司的實際使用也展現了良好的應用效果。用戶只需要記住一套用戶名/密碼就可以訪問所有不同平臺、不同語言所開發的應用系統,提升了用戶體驗和IT的運維管理工作。筆者建議,在統一身份認證平臺建設過程中,一定采用科學的項目實施方法論為指導,才能較好實現建設目標。