統(tǒng)一身份認(rèn)證系統(tǒng)在集團(tuán)型企業(yè)的設(shè)計(jì)與應(yīng)用

摘要：文章對(duì)子公司統(tǒng)一身份認(rèn)證和集團(tuán)身份認(rèn)證對(duì)接的應(yīng)用展開(kāi)研究，主要從傳統(tǒng)的集團(tuán)型企業(yè)的組織結(jié)構(gòu)特點(diǎn)和信息化建設(shè)需求進(jìn)行分析，對(duì)統(tǒng)一身份認(rèn)證系統(tǒng)架構(gòu)、技術(shù)選擇、認(rèn)證方式、平臺(tái)部署等方面進(jìn)行設(shè)計(jì)與探討，為集團(tuán)型企業(yè)的統(tǒng)一身份認(rèn)證系統(tǒng)規(guī)劃與建設(shè)提供參考。

關(guān)鍵詞：集團(tuán)型企業(yè)；統(tǒng)一身份認(rèn)證；鑒權(quán)中心

doi：10.3969/J.ISSN.1672-7274.2023.03.039

中圖分類號(hào)：TP 3" " " " " " " "文獻(xiàn)標(biāo)示碼：A" " " " " " " "文章編碼：1672-7274（2023）03-0-03

Design and Application of Unified Identity Authentication System in Group Enterprises

WANG Yong

（Guoneng （Tianjin） Port Co.， Ltd.， Tianjin 300450， China）

Abstract： This paper studies the application of unified identity authentication of subsidiaries and group identity authentication docking， mainly analyzes the organizational structure characteristics and information construction needs of traditional group enterprises， and designs and discusses the unified identity authentication system architecture， technology selection， authentication methods， platform deployment and other aspects， providing guidance for the planning and construction of the unified identity authentication system of group enterprises.

Key words： group enterprise; unified identity authentication; authentication center

1" 研究背景

十四五規(guī)劃中，國(guó)家提出強(qiáng)化國(guó)家戰(zhàn)略科技力量，制定科技強(qiáng)國(guó)行動(dòng)綱要，健全社會(huì)主義市場(chǎng)經(jīng)濟(jì)條件下新型舉國(guó)體制，打好關(guān)鍵核心技術(shù)攻堅(jiān)戰(zhàn)，提高創(chuàng)新鏈整體效能，對(duì)科技和創(chuàng)新的重視度進(jìn)一步提升。同時(shí)強(qiáng)調(diào)加快數(shù)字化發(fā)展，利用通信技術(shù)對(duì)具體業(yè)務(wù)、場(chǎng)景進(jìn)行數(shù)字化改造，關(guān)注數(shù)字技術(shù)本身對(duì)業(yè)務(wù)的降本增效作用，利用互聯(lián)網(wǎng)、大數(shù)據(jù)等新一代信息技術(shù)對(duì)企業(yè)、政府等各類主體的架構(gòu)、運(yùn)營(yíng)、管理等各個(gè)層面進(jìn)行系統(tǒng)性的、全面的變革，使得數(shù)字技術(shù)成為賦能模式創(chuàng)新和業(yè)務(wù)突破的核心力量[1-2]。

進(jìn)入互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)高速發(fā)展的信息時(shí)代，集團(tuán)型企業(yè)在數(shù)字化轉(zhuǎn)型過(guò)程中，因其體量龐大、業(yè)務(wù)線繁多等特點(diǎn)，在數(shù)字化推進(jìn)的過(guò)程中，信息化系統(tǒng)數(shù)量持續(xù)增加，導(dǎo)致在用戶身份認(rèn)證與管理過(guò)程中存在的信息安全、管理效率等問(wèn)題日益突出。

2" 集團(tuán)型企業(yè)身份認(rèn)證問(wèn)題分析

2.1 信息化建設(shè)水平參差不齊

與以互聯(lián)網(wǎng)技術(shù)、科技創(chuàng)新為主營(yíng)業(yè)務(wù)的子公司相比，以傳統(tǒng)實(shí)體經(jīng)濟(jì)為主營(yíng)業(yè)務(wù)的子公司普遍存在整體信息化起步晚、覆蓋率較低的特點(diǎn)。這些子公司對(duì)數(shù)字化建設(shè)的統(tǒng)一規(guī)劃意識(shí)較為薄弱，同時(shí)缺乏自己固定的技術(shù)團(tuán)隊(duì)，信息化系統(tǒng)的建設(shè)往往針對(duì)某項(xiàng)特定業(yè)務(wù)進(jìn)行設(shè)計(jì)，并交由外包團(tuán)隊(duì)進(jìn)行開(kāi)發(fā)，從而導(dǎo)致各個(gè)業(yè)務(wù)系統(tǒng)在技術(shù)架構(gòu)、開(kāi)發(fā)語(yǔ)言、數(shù)據(jù)庫(kù)設(shè)計(jì)等諸多方面存在較大差異。

2.2 信息系統(tǒng)數(shù)量多，用戶信息重疊

隨著企業(yè)信息化轉(zhuǎn)型進(jìn)程的推進(jìn)，集團(tuán)公司與各子公司根據(jù)自身業(yè)務(wù)需求，不斷完善信息化覆蓋范圍，使業(yè)務(wù)系統(tǒng)數(shù)量爆發(fā)式增長(zhǎng)，隨之帶來(lái)系統(tǒng)累計(jì)用戶數(shù)不斷增加。對(duì)于信息系統(tǒng)的管理者而言，各業(yè)務(wù)系統(tǒng)都有一套獨(dú)立的認(rèn)證、授權(quán)和審計(jì)機(jī)制，需要分別進(jìn)行維護(hù)和管理，賬號(hào)繁多導(dǎo)致管理成本較高。以集團(tuán)型企業(yè)人員調(diào)整為場(chǎng)景，往往集團(tuán)型企業(yè)的人員調(diào)整影響范圍大、涉及人員廣，需要同時(shí)對(duì)多個(gè)系統(tǒng)、多個(gè)用戶信息同時(shí)調(diào)整，通常情況下，單個(gè)員工所使用的業(yè)務(wù)系統(tǒng)數(shù)量遠(yuǎn)不止一個(gè)，這將帶來(lái)工作量的成倍增加，巨大的工作量下，重復(fù)的人工操作極易出錯(cuò)或遺漏，這也是導(dǎo)致企業(yè)信息化系統(tǒng)中出現(xiàn)“僵尸用戶”的主要原因，這些用戶的存在給集團(tuán)的信息安全埋下隱患。

2.3 經(jīng)營(yíng)管理模式多樣，系統(tǒng)交叉使用

與單體型企業(yè)不同，集團(tuán)型企業(yè)具有眾多下屬分支機(jī)構(gòu)，這些機(jī)構(gòu)統(tǒng)一受到集團(tuán)領(lǐng)導(dǎo)，需要全方位地協(xié)同工作，但因各個(gè)分支機(jī)構(gòu)業(yè)務(wù)的獨(dú)特性，其各具有一定的經(jīng)營(yíng)自主權(quán)，由此在信息系統(tǒng)的使用中導(dǎo)致兩個(gè)問(wèn)題出現(xiàn)：第一，對(duì)于員工而言，日常辦公既需要使用集團(tuán)統(tǒng)一規(guī)劃建設(shè)的信息化系統(tǒng)，例如會(huì)議系統(tǒng)、電子郵件、財(cái)務(wù)報(bào)銷、工作流程等，又需要使用子公司特色業(yè)務(wù)系統(tǒng)，那么需要在多個(gè)系統(tǒng)中頻繁切換、多次登錄，嚴(yán)重影響了辦公效率；第二，子公司往往因自身業(yè)務(wù)需要，招聘一定數(shù)量的外聘人員，這些人員在集團(tuán)中無(wú)相關(guān)系統(tǒng)的使用權(quán)限，無(wú)法接受集團(tuán)身份認(rèn)證的統(tǒng)一管理。因此長(zhǎng)遠(yuǎn)來(lái)看，統(tǒng)一身份認(rèn)證問(wèn)題對(duì)企業(yè)的信息化發(fā)展帶來(lái)了一定的阻礙。

3" 子公司統(tǒng)一身份認(rèn)證的應(yīng)用與探討

引入統(tǒng)一身份認(rèn)證平臺(tái)的優(yōu)勢(shì)如下。

在平臺(tái)中完成一次身份認(rèn)證后，即可使用注冊(cè)于該統(tǒng)一身份認(rèn)證平臺(tái)中的所有系統(tǒng)，使登錄過(guò)程得到極大簡(jiǎn)化，顯著提高了信息化系統(tǒng)的使用效率。

管理人員只需要在統(tǒng)一身份認(rèn)證平臺(tái)中對(duì)用戶進(jìn)行操作，即可同步完成多系統(tǒng)用戶基礎(chǔ)信息、組織結(jié)構(gòu)、權(quán)限劃分等更新，減輕管理工作負(fù)擔(dān)。

可以為企業(yè)提供全局的賬號(hào)管理視圖，清晰地梳理資源與人員間的關(guān)系，及時(shí)發(fā)現(xiàn)不符合權(quán)限管理要求的人員、賬號(hào)，身份認(rèn)證的準(zhǔn)確性、實(shí)時(shí)性得到有效保障，實(shí)現(xiàn)高安全的身份認(rèn)證管理，有效提升企業(yè)信息安全水平。

統(tǒng)一身份認(rèn)證平臺(tái)的應(yīng)用，使得企業(yè)在業(yè)務(wù)系統(tǒng)使用中遇到的諸多問(wèn)題迎刃而解，但統(tǒng)一身份認(rèn)證平臺(tái)在面向集團(tuán)型企業(yè)的推廣與應(yīng)用過(guò)程中，仍然暴露出一些新的問(wèn)題。首先，完成統(tǒng)一身份認(rèn)證平臺(tái)與各個(gè)業(yè)務(wù)系統(tǒng)對(duì)接工作，需要雙方技術(shù)人員的通力配合，需要精密的統(tǒng)籌規(guī)劃；其次，集團(tuán)型企業(yè)需要進(jìn)行整合的業(yè)務(wù)系統(tǒng)數(shù)量眾多，系統(tǒng)的建設(shè)時(shí)間、技術(shù)標(biāo)準(zhǔn)、使用人員具有較大差異，導(dǎo)致集團(tuán)統(tǒng)一身份認(rèn)證平臺(tái)的技術(shù)人員分身乏術(shù)。此外，資源協(xié)調(diào)、流程申請(qǐng)、人員安排等非技術(shù)類因素都桎梏了統(tǒng)一身份認(rèn)證平臺(tái)在集團(tuán)中的使用推廣進(jìn)程。因此需要尋找一套較為高效的建設(shè)方案。

4" 解決方案

本方案以“集團(tuán)技術(shù)部門(mén)已完成統(tǒng)一身份認(rèn)證平臺(tái)搭建，并進(jìn)入向子公司推廣使用階段”為背景進(jìn)行設(shè)計(jì)，站在子公司視角，總結(jié)了一種兩級(jí)架構(gòu)的統(tǒng)一身份認(rèn)證平臺(tái)部署方式，為集團(tuán)型企業(yè)統(tǒng)一身份認(rèn)證平臺(tái)的快速推廣應(yīng)用提供一種新的思路。

4.1 技術(shù)選型

OAuth（Open Authorization）又稱開(kāi)放認(rèn)證，2010年被IETF認(rèn)定為互聯(lián)網(wǎng)標(biāo)準(zhǔn)協(xié)議，目前OAuth 2.0在國(guó)內(nèi)外知名平臺(tái)中均有著較為廣泛的應(yīng)用，據(jù)了解提供授權(quán)登錄的平臺(tái)主要分為四大類：①社交平臺(tái)，如微信、領(lǐng)英、Facbook；②電子商務(wù)平臺(tái)，如淘寶、支付寶、我買網(wǎng)；③綜合平臺(tái)，如百度、網(wǎng)易；④專用平臺(tái)，如360、盛大、釘釘[3]。鑒于其較高的技術(shù)成熟度和市場(chǎng)認(rèn)可度，本方案采用OAuth2.0授權(quán)機(jī)制。

4.2 系統(tǒng)架構(gòu)

在本方案中，為解決數(shù)量眾多的業(yè)務(wù)系統(tǒng)與集團(tuán)統(tǒng)一身份認(rèn)證平臺(tái)對(duì)接推進(jìn)困難的問(wèn)題，在子公司建設(shè)一套自有“鑒權(quán)中心”，以此減輕集團(tuán)的對(duì)接壓力。具體架構(gòu)如圖1所示。

4.3 平臺(tái)建設(shè)

建議子公司組建專項(xiàng)開(kāi)發(fā)團(tuán)隊(duì)進(jìn)行鑒權(quán)中心建設(shè)，主要規(guī)劃并完成以下三項(xiàng)主要業(yè)務(wù)。

（1）向上對(duì)接集團(tuán)4A系統(tǒng)。鑒權(quán)中心以客戶端形式向集團(tuán)4A系統(tǒng)注冊(cè)，本地開(kāi)發(fā)團(tuán)隊(duì)與集團(tuán)技術(shù)團(tuán)隊(duì)配合完成接口調(diào)試，實(shí)現(xiàn)子公司鑒權(quán)中心與集團(tuán)4A系統(tǒng)的統(tǒng)一身份認(rèn)證對(duì)接。

（2）向下對(duì)接子公司各業(yè)務(wù)系統(tǒng)。以子公司技術(shù)部門(mén)人員與本地開(kāi)發(fā)團(tuán)隊(duì)為主導(dǎo)，調(diào)研子公司信息化系統(tǒng)現(xiàn)狀，并進(jìn)行各子系統(tǒng)用戶、組織、角色、權(quán)限進(jìn)行梳理；以集團(tuán)技術(shù)方案為基礎(chǔ)，充分結(jié)合子公司個(gè)性化需求，完成子公司自有認(rèn)證標(biāo)準(zhǔn)制定；統(tǒng)籌協(xié)調(diào)各系統(tǒng)運(yùn)維人員或原開(kāi)發(fā)團(tuán)隊(duì)進(jìn)行系統(tǒng)改造，實(shí)現(xiàn)子公司各個(gè)業(yè)務(wù)系統(tǒng)與鑒權(quán)中心的統(tǒng)一身份認(rèn)證對(duì)接。

（3）鑒權(quán)中心交互設(shè)計(jì)。鑒權(quán)中心除實(shí)現(xiàn)統(tǒng)一身份認(rèn)證功能，同時(shí)需兼顧系統(tǒng)配置的靈活性和操作界面的友好性，通過(guò)完善的系統(tǒng)架構(gòu)設(shè)計(jì)、頁(yè)面設(shè)計(jì)等，盡量簡(jiǎn)化對(duì)接調(diào)試步驟，降低系統(tǒng)自身的維護(hù)難度。

4.4 認(rèn)證方式

考慮到當(dāng)前主流信息化系統(tǒng)大多為基于Web的應(yīng)用程序，本方案選用了OAuth 2.0中的授權(quán)碼模式[4]，通過(guò)瀏覽器實(shí)現(xiàn)對(duì)多個(gè)B/S架構(gòu)應(yīng)用的統(tǒng)一賬戶認(rèn)證。系統(tǒng)通過(guò)用戶在客戶端請(qǐng)求時(shí)所攜帶的標(biāo)志信息與子公司鑒權(quán)中心配置信息相結(jié)合的方式，完成認(rèn)證方式的判定。鑒權(quán)中心設(shè)計(jì)了集團(tuán)認(rèn)證、子公司認(rèn)證兩種模式。

根據(jù)子公司信息化主管部門(mén)對(duì)各業(yè)務(wù)系統(tǒng)的管理要求以及系統(tǒng)的用戶類型分析，選擇合適的認(rèn)證方式，并在sso_type字段進(jìn)行配置。

關(guān)于認(rèn)證方式的選擇，我們根據(jù)系統(tǒng)實(shí)際應(yīng)用情況進(jìn)行如下總結(jié)。

（1）僅集團(tuán)認(rèn)證。系統(tǒng)用戶均為集團(tuán)正式員工，且系統(tǒng)中所涉及業(yè)務(wù)需接受集團(tuán)統(tǒng)一監(jiān)督與管理，推薦采用僅集團(tuán)認(rèn)證方式。例如，預(yù)算管理系統(tǒng)、客戶管理系統(tǒng)、庫(kù)存管理系統(tǒng)、供應(yīng)商管理系統(tǒng)、培訓(xùn)管理系統(tǒng)等。

（2）僅本地認(rèn)證。系統(tǒng)用戶均為外協(xié)員工或僅有少量正式員工應(yīng)用的業(yè)務(wù)系統(tǒng)，此類系統(tǒng)大多不涉及子公司核心業(yè)務(wù)，或僅為便于外協(xié)人員管理所設(shè)計(jì)的專項(xiàng)系統(tǒng)，推薦采用本地認(rèn)證方式。例如，運(yùn)維工單管理系統(tǒng)、工程維修管理系統(tǒng)等。

（3）集團(tuán)、本地認(rèn)證均支持。系統(tǒng)用戶大部分為公司正式員工，僅有少量外協(xié)員工，系統(tǒng)中所涉及業(yè)務(wù)往往具有較強(qiáng)的子公司特殊性，往往是為解決正式員工人力不足問(wèn)題，聘用了少數(shù)外協(xié)員工共同參與業(yè)務(wù)工作，為方便正式員工與外協(xié)人員共同使用，推薦采用集團(tuán)、本地認(rèn)證均支持的認(rèn)證方式。例如：現(xiàn)場(chǎng)作業(yè)安全保障系統(tǒng)、三維地下管網(wǎng)信息系統(tǒng)等。

4.5 應(yīng)用效果

通過(guò)鑒權(quán)中心建設(shè)，子公司現(xiàn)有業(yè)務(wù)系統(tǒng)只需完成與鑒權(quán)中心接口對(duì)接，即可實(shí)現(xiàn)集團(tuán)統(tǒng)一身份認(rèn)證，若子公司出現(xiàn)業(yè)務(wù)系統(tǒng)新增或注銷，在本地修改配置信息即可及時(shí)、高效地完成對(duì)各個(gè)系統(tǒng)賬號(hào)的管理。對(duì)于不在集團(tuán)總公司中進(jìn)行身份信息管理的外聘、臨時(shí)性工作人員，鑒權(quán)中心也可為其提供統(tǒng)一身份認(rèn)證管理服務(wù)。

子公司員工只需要錄入一次用戶名密碼，在token有效期內(nèi)切換任意有權(quán)限的業(yè)務(wù)系統(tǒng)均可流暢操作，因忘記個(gè)人賬號(hào)密碼而向管理人員申請(qǐng)重置的情況少有發(fā)生，員工對(duì)公司信息化建設(shè)滿意度提升。

信息系統(tǒng)管理人員只通過(guò)鑒權(quán)中心即可完成對(duì)本公司人員授權(quán)操作，包括新賬號(hào)分配、離職人員賬號(hào)回收、調(diào)動(dòng)人員賬號(hào)調(diào)整等，無(wú)須在多個(gè)系統(tǒng)上重復(fù)操作，工作量極大減少，同時(shí)有效避免了遺漏和錯(cuò)誤配置等問(wèn)題。

公司管理人員可通過(guò)鑒權(quán)中心查看每位員工所使用的業(yè)務(wù)系統(tǒng)數(shù)量、調(diào)用頻次、權(quán)限分配等信息，在鑒權(quán)中心設(shè)置統(tǒng)計(jì)分析功能，可為管理人員在業(yè)務(wù)系統(tǒng)考評(píng)、人員調(diào)度、權(quán)限管理等方面提供有力的數(shù)據(jù)支撐。

5" 結(jié)束語(yǔ)

隨著全國(guó)信息化進(jìn)程的推進(jìn)與科學(xué)技術(shù)的發(fā)展，企業(yè)信息化建設(shè)目標(biāo)由最初的追求業(yè)務(wù)覆蓋全面性，逐漸向提升信息化系統(tǒng)的規(guī)范性、統(tǒng)一性、智能性轉(zhuǎn)變，因此也對(duì)企業(yè)的管理人員、技術(shù)人員提出了更高的要求。在集團(tuán)型企業(yè)中，面對(duì)新系統(tǒng)、新技術(shù)的推廣使用工作，更要做好充分的統(tǒng)籌設(shè)計(jì)與職責(zé)分工，明確制度規(guī)范與操作要求，在技術(shù)方案的設(shè)計(jì)中既要考慮技術(shù)選型適配性和功能設(shè)計(jì)創(chuàng)新性，又要兼顧部署應(yīng)用方案的可復(fù)制性，以便于新系統(tǒng)在數(shù)量龐大的分支機(jī)構(gòu)中迅速地完成推廣與應(yīng)用。鑒權(quán)中心的設(shè)計(jì)方案不僅簡(jiǎn)化了子公司面向集團(tuán)的對(duì)接步驟，提高了集團(tuán)統(tǒng)一身份認(rèn)證系統(tǒng)在子公司部署的應(yīng)用效率，還良好地滿足了子公司在統(tǒng)一身份認(rèn)證方面的個(gè)性化需求，真正實(shí)現(xiàn)了對(duì)子公司中所有人員系統(tǒng)賬號(hào)信息的統(tǒng)一管理。■

參考文獻(xiàn)

[1] 中共中央關(guān)于制定國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和二〇三五年遠(yuǎn)景目標(biāo)的建議[EB/OL].http：//zhs.mofcom.gov.cn/article/zt_shisiwu/subjectcc/202107/20210703176009.shtml.

[2] “十四五”信息通信行業(yè)發(fā)展規(guī)劃系列解讀｜拓展數(shù)字化應(yīng)用新空間 全面支撐數(shù)字中國(guó)建設(shè)[EB/OL].https：//www.cnii.com.cn/rmydb/202111/t20211129_326319.html

[3] 朱博昌．基于OAuth2.0協(xié)議的授權(quán)登錄國(guó)內(nèi)應(yīng)用現(xiàn)狀研究[J]．現(xiàn)代信息科技，2019，3（20）：151-154.

[4] OAuth 2.0 Authorization Code Grant [EB/OL].https：//oauth.net/2/grant-types/authorization-code/.