用戶統(tǒng)一管理在鄭州軌道信息化建設(shè)中的研究與實現(xiàn)

夏景輝 秦義展 李昱見

(鄭州地鐵集團(tuán)有限公司 河南 鄭州 450046)

0 引 言

鄭州地鐵集團(tuán)有限公司(以下簡稱“公司”)是2008年2月22日經(jīng)鄭州市人民政府批準(zhǔn)成立的有限責(zé)任公司，負(fù)責(zé)鄭州市軌道交通項目的工程投資、建設(shè)、運營、軌道交通的廣告、通信、周邊土地開發(fā)利用和特許經(jīng)營權(quán)范圍內(nèi)的經(jīng)營、融資等業(yè)務(wù)。

公司在信息化管理創(chuàng)新應(yīng)用方面，結(jié)合軌道交通建設(shè)密集型、資產(chǎn)密集型和資金密集型的特點和管理風(fēng)險，尤其是在地鐵建設(shè)的大背景下，面對運營線路員工、企業(yè)供應(yīng)商(咨詢單位、施工單位和監(jiān)理單位等)和企業(yè)合作客戶(廣告公司等)急劇增多，且實施系統(tǒng)種類繁多(如人力系統(tǒng)、財務(wù)系統(tǒng)、物資系統(tǒng)、費控系統(tǒng)及資金系統(tǒng)等)，用戶統(tǒng)一管理顯得尤為重要。用戶統(tǒng)一管理強調(diào)了系統(tǒng)用戶的標(biāo)準(zhǔn)化和自動化管理，使用戶管理、組織機構(gòu)管理更加規(guī)范和統(tǒng)一[1]，將各類用戶單點登錄到門戶。

本文著重描述基于鄭州地鐵集團(tuán)有限公司一體化管理信息平臺的用戶統(tǒng)一管理及其應(yīng)用目標(biāo)、需求分析、設(shè)計、實施、部署和應(yīng)用等相關(guān)內(nèi)容。

1 應(yīng)用目標(biāo)及關(guān)鍵功能需求分析

1.1 應(yīng)用目標(biāo)

實現(xiàn)企業(yè)基礎(chǔ)庫的用戶管理和身份認(rèn)證服務(wù)，用戶包括內(nèi)部及外部用戶；把這些服務(wù)以組件或服務(wù)的形式發(fā)布，并具備相應(yīng)的使用規(guī)范、標(biāo)準(zhǔn)和指引。企業(yè)管理系統(tǒng)ERP(Enterprise Resource Planning)、辦公自動化OA(Office Automation)、企業(yè)門戶(Portal)和將來自主開發(fā)的系統(tǒng)等，都能使用這些組件或服務(wù)開發(fā)。用戶統(tǒng)一管理使用戶管理、組織機構(gòu)管理更加規(guī)范和優(yōu)化，形成各類用戶單點登錄到門戶的核心基礎(chǔ)。用戶統(tǒng)一管理應(yīng)實現(xiàn)組織機構(gòu)維護(hù)、用戶賬號管理、用戶憑證管理、組織/用戶信息同步等功能。

通過統(tǒng)一的用戶身份管理體系，解決信息化體系管理中諸多問題，如各自信息系統(tǒng)具有獨立的登錄認(rèn)證系統(tǒng)[3]，管理企業(yè)外部用戶的訪問，快速部署用戶對大量資源的訪問，控制對各種分散資源的訪問，減少賬戶和密碼管理的IT成本，防止非法用戶的訪問，同步各業(yè)務(wù)系統(tǒng)用戶賬戶的管理，快速自動清理非授權(quán)用戶等。用戶統(tǒng)一管理是把所有的系統(tǒng)用戶進(jìn)行統(tǒng)一存放，形成一套全局用戶庫，作為企業(yè)內(nèi)所有IT應(yīng)用的用戶源。以輕量級目錄訪問協(xié)議LDAP(Lightweight Directory Access Protocol)信息庫作為載體來實現(xiàn)企業(yè)用戶信息庫的構(gòu)建和用戶的統(tǒng)一管理。

用戶統(tǒng)一管理的應(yīng)用將成為企業(yè)管理信息系統(tǒng)日常維護(hù)的重要組成部分。通過標(biāo)準(zhǔn)化、即時化、規(guī)范化和自動化的信息化手段固化企業(yè)用戶管理流程，為公司的一體化信息管理平臺提供有效的服務(wù)管理支持，同時也降低服務(wù)管理維護(hù)的成本。

1.2 關(guān)鍵功能需求分析

1.2.1構(gòu)建統(tǒng)一用戶身份庫

依托一體化管理信息平臺的建設(shè)思路，建立集中的用戶信息庫，統(tǒng)一管理應(yīng)用系統(tǒng)用戶，并制定用戶信息庫標(biāo)準(zhǔn)，包含人員信息、部門信息、組織結(jié)構(gòu)及用戶密碼規(guī)則等，最終使用接口同步，實現(xiàn)用戶信息庫與其他應(yīng)用系統(tǒng)用戶體系的同步和映射。

1.2.2用戶全生命周期管理

基于角色的用戶賬戶管理策略，企業(yè)內(nèi)部或外部人員在一體化管理信息平臺以用戶的方式訪問系統(tǒng)，同時根據(jù)用戶自身角色申請相應(yīng)的權(quán)限。基于統(tǒng)一的用戶身份庫，形成用戶的產(chǎn)生、變更、銷戶、掛起等全生命周期，這其中也包含臨時用戶的建立(如外部供應(yīng)商)。全生命周期管理不僅是用戶的管理，還有用戶的自助服務(wù)，如自助修改密碼、賬號申請的審批或系統(tǒng)權(quán)限申請等[5]。

用戶全生命周期管理實現(xiàn)了用戶賬戶的全面管理，包含創(chuàng)建、修改、刪除和檢查等，同時建立用戶和組織架構(gòu)的緊密關(guān)系，為頻繁的組織架構(gòu)調(diào)整打下基礎(chǔ)。

1.2.3構(gòu)建用戶賬號和供應(yīng)管理平臺

在用戶同步過程中利用OIM(Oracle Identity Management)并通過Connector組件獲取需要被統(tǒng)一管理的用戶，獲取到之后，在統(tǒng)一用戶管理平臺進(jìn)行用戶的創(chuàng)建，然后OIM向各個應(yīng)用系統(tǒng)進(jìn)行推送，在應(yīng)用系統(tǒng)中進(jìn)行各自的賬戶創(chuàng)建，與此同時統(tǒng)一用戶信息被保存到統(tǒng)一身份管理目錄。當(dāng)增加一個應(yīng)用系統(tǒng)時，只需要增加該應(yīng)用系統(tǒng)賬號(從賬號)與用戶唯一賬號(主賬號)的一個關(guān)聯(lián)信息即可，不會影響其他應(yīng)用系統(tǒng)。同時通過安全通道來保證單點登錄過程中數(shù)據(jù)傳輸?shù)陌踩玔2]。

統(tǒng)一用戶管理平臺可通過配置標(biāo)準(zhǔn)化的用戶來源，對公司現(xiàn)有的用戶創(chuàng)建用戶統(tǒng)一賬號，并通過自動化的用戶同步，實現(xiàn)各個應(yīng)用系統(tǒng)與現(xiàn)有的身份管理目錄的身份同步。通過統(tǒng)一化、自動化、標(biāo)準(zhǔn)化的人員接入模式，減少用戶管理過程中的管理員操作，提高管理效率。

1.2.4構(gòu)建集中訪問認(rèn)證和單點登錄

基于地鐵企業(yè)的實際業(yè)務(wù)需求，可以結(jié)合地鐵行業(yè)的多系統(tǒng)多業(yè)務(wù)管理經(jīng)驗，搭建高內(nèi)聚低耦合的一體化管理信息平臺。用戶可以通過統(tǒng)一的系統(tǒng)入口訪問企業(yè)門戶信息。訪問系統(tǒng)的過程中，需要構(gòu)建一套集中訪問認(rèn)證和單點登錄的訪問策略，完成用戶身份和用戶授權(quán)檢查。用戶根據(jù)自身授權(quán)情況，進(jìn)入授權(quán)系統(tǒng)完成實際業(yè)務(wù)。進(jìn)入其他授權(quán)系統(tǒng)模塊的權(quán)限，需要遵循各業(yè)務(wù)系統(tǒng)的授權(quán)體系和規(guī)則。

1.2.5用戶監(jiān)控與審計

用戶統(tǒng)一管理包括用戶登錄系統(tǒng)的監(jiān)控和系統(tǒng)操作的審計。在系統(tǒng)應(yīng)用層端，可以監(jiān)控到用戶的登錄IP及訪問時間信息，在數(shù)據(jù)庫端，可以監(jiān)控到用戶操作功能及數(shù)據(jù)的跟蹤信息，能對發(fā)生的所有訪問和修改進(jìn)行審計。還有事后觸發(fā)功能，實現(xiàn)特定內(nèi)容的審計。通過數(shù)據(jù)庫審計功能，可實現(xiàn)對異常用戶的檢測及未授權(quán)訪問，如統(tǒng)計用戶在什么時間點訪問了哪些應(yīng)用系統(tǒng)等。

1.2.6系統(tǒng)穩(wěn)定性、擴展性和安全性

為保證服務(wù)不間斷，整套用戶統(tǒng)一管理體系需要集群環(huán)境。基于UNIX類或LINUX操作系統(tǒng)平臺和高可用性軟件，確保系統(tǒng)安全、穩(wěn)定、可靠的運行。系統(tǒng)的擴展性也需要同步考慮，以保證與已有系統(tǒng)及未來建設(shè)系統(tǒng)進(jìn)行集成。

用戶統(tǒng)一管理的審計功能要能夠覆蓋到集中身份管理、身份認(rèn)證、授權(quán)與應(yīng)用系統(tǒng)訪問等多個環(huán)節(jié)。確保安全基礎(chǔ)設(shè)施的安全性，包括：物理環(huán)境安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全等。

2 統(tǒng)一用戶安全管理平臺架構(gòu)設(shè)計

統(tǒng)一用戶安全管理平臺作為一個優(yōu)秀用戶管理工具，通過標(biāo)準(zhǔn)的管理用戶生命周期，更加高效標(biāo)準(zhǔn)地對現(xiàn)有用戶進(jìn)行管理。如圖1所示，該平臺的管理應(yīng)用功能主要依托訪問管理OAM(Oracle Access Manager)，身份管理OIM和互聯(lián)網(wǎng)管理OID(Oracle Internet Directory)的服務(wù)實現(xiàn)。

圖1 用戶管理生命周期

統(tǒng)一用戶安全管理平臺的OIM模塊通過標(biāo)準(zhǔn)Connector連接人力系統(tǒng)，進(jìn)行員工基礎(chǔ)信息的獲取，獲取到基礎(chǔ)信息后自動根據(jù)一定規(guī)則創(chuàng)建員工賬戶，并實時觸發(fā)數(shù)據(jù)分發(fā)事件，通過標(biāo)準(zhǔn)Webservice Connector或EBS Connector連接下游系統(tǒng)進(jìn)行用戶數(shù)據(jù)分發(fā)。OIM模塊創(chuàng)建用戶賬戶數(shù)據(jù)后會同步至OID模塊中進(jìn)行統(tǒng)一用戶信息存儲。OAM模塊在用戶訪問時，進(jìn)行單點資源授權(quán)，與OID模塊中的用戶信息進(jìn)行統(tǒng)一認(rèn)證，認(rèn)證通過且在OAM模塊中該資源已授權(quán)，則允許用戶訪問。

統(tǒng)一用戶安全管理平臺，前期通過Connector對用戶進(jìn)行統(tǒng)一收集，中期使用OIM對這些用戶進(jìn)行統(tǒng)一的管理，后期通過OAM使得用戶登錄安全等得到實現(xiàn)，在用戶安全管理的生命周期中都起到了使用戶管理得到安全化，統(tǒng)一化的作用。只有依賴目前既定的用戶管理標(biāo)準(zhǔn)，通過既定的流程使得零散的用戶管理得到整合，化零為整，使得企業(yè)用戶的安全、高效管理得到保障。

在設(shè)計實現(xiàn)關(guān)鍵功能的過程中，需要從三個階段來完成服務(wù)的標(biāo)準(zhǔn)化管控和高效的集成：

1) 在用戶管理之初，需要OIM通過Connector中獲取到需要進(jìn)行管理的用戶，通過標(biāo)準(zhǔn)化的用戶整合服務(wù)。在統(tǒng)一收集完之后，可基于標(biāo)準(zhǔn)的OIM的賬號源將該賬號同步至各個需求系統(tǒng)。通過統(tǒng)一化的用戶管理可以避免用戶信息孤島、用戶重復(fù)管理、手工創(chuàng)建用戶操作繁雜、由于系統(tǒng)過多用戶賬戶密碼也需要管理多個[6]等用戶管理痛點。在用戶信息錄入管理過程中，存在同一批次用戶權(quán)限分配不同的情況，人工對權(quán)限進(jìn)行管理難免出現(xiàn)紕漏，同時由于企業(yè)人員變動較為頻繁，會大大增加用戶管理成本。通過使用統(tǒng)一化的用戶管理可以避免以上的問題發(fā)生，進(jìn)而提高用戶管理的效率。由于是標(biāo)準(zhǔn)化，自動化的用戶同步過程，在管理實施過程中，運維人員不需要進(jìn)行頻繁 的操作，只需直接對用戶來源變更即可。

2) 在將用戶統(tǒng)一之后要對統(tǒng)一化的用戶進(jìn)行管理。在這個過程中，以往的管理模式中存在諸多用戶身份管理問題，如手動創(chuàng)建用戶賬戶、對應(yīng)用授權(quán)等耗時費力；ERP系統(tǒng)內(nèi)的職責(zé)劃分難以完成；許多被棄用賬戶難以被檢測和刪除；失效用戶和權(quán)限時人工操作過于繁瑣等。統(tǒng)一用戶安全管理平臺可有效解決以上問題，且用戶管理的安全也可以得到保障。通過端到端的訪問管理，對登錄風(fēng)險進(jìn)行分析、欺詐檢測和應(yīng)用細(xì)粒度授權(quán)管理等。[7]

3) 用戶統(tǒng)一管理為用戶提供了統(tǒng)一的接入服務(wù)[4]，通過多系統(tǒng)單點登錄，將分開的登錄進(jìn)行集中，簡化用戶操作，提高了用戶使用便捷程度。用戶初次訪問應(yīng)用程序時，由于本地沒有登錄憑證，因此瀏覽器會重新定向到統(tǒng)一身份認(rèn)證頁面[5]，在OAM內(nèi)部單點實現(xiàn)過程中將輸入用戶密碼與統(tǒng)一用戶信息庫進(jìn)行比對，比對成功后并且確認(rèn)用戶權(quán)限無誤后實現(xiàn)目標(biāo)系統(tǒng)的跳轉(zhuǎn)[8]。

統(tǒng)一的用戶管理平臺實現(xiàn)了以上三個階段的步驟，能夠提高在用戶的統(tǒng)一收集、統(tǒng)一管理、統(tǒng)一登錄等方面的用戶管理效率，并使得用戶安全的管理得到保障[9]，步驟流程參見圖2。

圖2 平臺實現(xiàn)流程圖

前期梳理員工數(shù)據(jù)，外部用戶數(shù)據(jù)及組織，崗位相關(guān)數(shù)據(jù)，整理成具體清單后，將用戶基礎(chǔ)數(shù)據(jù)通過Connector或線下導(dǎo)入方式，同步至統(tǒng)一用戶管理平臺。由統(tǒng)一用戶管理平臺對用戶訪問權(quán)限進(jìn)行維護(hù)確定，并維護(hù)統(tǒng)一用戶信息，同步至各業(yè)務(wù)系統(tǒng)。當(dāng)用戶信息更新時，自動觸發(fā)事件同步分發(fā)各業(yè)務(wù)系統(tǒng)，進(jìn)行用戶身份全生命周期管理，實現(xiàn)用戶入職創(chuàng)建，離職失效的實時效果。用戶通過單點登錄平臺，進(jìn)行業(yè)務(wù)系統(tǒng)的訪問，通過統(tǒng)一入口訪問各應(yīng)用系統(tǒng)，實現(xiàn)一次登錄，全網(wǎng)漫游的高效體驗。

3 實現(xiàn)和部分應(yīng)用效果分析

經(jīng)細(xì)化設(shè)計和實施部署，實現(xiàn)了用戶管理管控的標(biāo)準(zhǔn)化、自動化、實時化的新模式。用戶管理搜索界面和用戶統(tǒng)一登錄界面如圖3和圖4所示。

圖3 用戶管理搜索界面

圖4 用戶統(tǒng)一登錄界面

4 結(jié) 語

本文依托于鄭州地鐵集團(tuán)有限公司所實施的用戶統(tǒng)一管理進(jìn)行分析，從用戶管理的過程出發(fā)，將標(biāo)準(zhǔn)化的用戶管理模式融合到傳統(tǒng)的用戶管理模型中。通過分析平臺的關(guān)鍵功能需求，體現(xiàn)出該平臺的功能優(yōu)勢，并從分析的結(jié)果中提煉出針對目前用戶管理痛點的解決方案，以及提高服務(wù)管理效率的方案。根據(jù)平臺實施的架構(gòu)設(shè)計方案，對平臺整體的使用過程進(jìn)行了分析與闡述。