宮　成　王鴻捷　吳靖寰　傅賀平

中國(guó)石油工程建設(shè)有限公司西南分公司,　四川　成都　610041

0　前言

信息技術(shù)的發(fā)展及互聯(lián)網(wǎng)的普及,使企業(yè)應(yīng)用系統(tǒng)已呈快速增長(zhǎng)態(tài)勢(shì)。應(yīng)用系統(tǒng)在企業(yè)業(yè)務(wù)生產(chǎn)及管理等方面發(fā)揮著越來(lái)越重要的作用,并為各種業(yè)態(tài)下的企業(yè)生產(chǎn)經(jīng)營(yíng)模式的改變、企業(yè)精細(xì)化管理的實(shí)現(xiàn)提供基礎(chǔ)[1],有效地提高了企業(yè)的經(jīng)營(yíng)管理水平。

工程公司由于業(yè)務(wù)和管理的需要,應(yīng)用系統(tǒng)的建設(shè)也在不斷增長(zhǎng),由于歷史原因,不同時(shí)期建立的應(yīng)用系統(tǒng)所采用的技術(shù)不同,當(dāng)時(shí)為解決對(duì)應(yīng)用系統(tǒng)的權(quán)限及數(shù)據(jù)安全的管控,每個(gè)應(yīng)用系統(tǒng)分別部署獨(dú)立登陸賬號(hào)和密碼[2-4]。但由于應(yīng)用系統(tǒng)數(shù)量的不斷增長(zhǎng),導(dǎo)致了眾多的問(wèn)題:

1)用戶(hù)體驗(yàn)差:用戶(hù)必須記住不同應(yīng)用系統(tǒng)的用戶(hù)名和密碼,登錄每個(gè)應(yīng)用系統(tǒng)使用時(shí)不斷重復(fù)登錄操作。

2)運(yùn)維管理復(fù)雜:業(yè)務(wù)部門(mén)需要對(duì)各業(yè)務(wù)系統(tǒng)的多套用戶(hù)名及密碼進(jìn)行管理,運(yùn)維工作量巨大,難以管控。

3)安全隱患嚴(yán)重:用戶(hù)為記住登錄名和密碼,采用了簡(jiǎn)單的密碼,造成保密級(jí)別降低,為業(yè)務(wù)數(shù)據(jù)安全帶來(lái)極大的隱患。

4)信息不一致:各系統(tǒng)之間的賬號(hào)不統(tǒng)一,形成信息孤島現(xiàn)象[5]。

這種分散式的認(rèn)證方式已經(jīng)成為企業(yè)實(shí)現(xiàn)信息系統(tǒng)集成化、一體化所必須解決的問(wèn)題。本文根據(jù)工程公司的實(shí)際應(yīng)用情況提出了一種新的統(tǒng)一身份認(rèn)證建設(shè)思路,能夠較好地解決以上問(wèn)題。

1　規(guī)劃目標(biāo)

統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)應(yīng)在工程公司自身的信息化建設(shè)總體規(guī)劃下進(jìn)行,以遵循“統(tǒng)一規(guī)劃,分步實(shí)施”的策略[6],根據(jù)工程公司自身的實(shí)際需求,明確項(xiàng)目建設(shè)目標(biāo)。統(tǒng)一身份認(rèn)證平臺(tái)規(guī)劃目標(biāo)應(yīng)從兩方面考慮:

1)所謂統(tǒng)一身份認(rèn)證就是用戶(hù)只需通過(guò)一個(gè)賬號(hào)密碼,就可訪問(wèn)具有合法權(quán)限內(nèi)的所有資源,是統(tǒng)一身份認(rèn)證平臺(tái)實(shí)現(xiàn)的最基本目標(biāo)。

2)從整體信息化架構(gòu)角度考慮,構(gòu)建一個(gè)完整統(tǒng)一、高效穩(wěn)定、規(guī)范安全的集中式身份管理。

2　規(guī)劃范圍

范圍決定需求,需求決定架構(gòu)[7],如果范圍不能正確地定義將會(huì)導(dǎo)致一系列的不良連鎖反應(yīng),最終造成系統(tǒng)的嚴(yán)重缺陷。正確、合理的定義范圍是保證成功實(shí)施的重要工作之一。

筆者認(rèn)為范圍的定義通俗來(lái)講就是為達(dá)成目標(biāo)所必須要做的事情。統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)范圍的確定應(yīng)以前文提出的規(guī)劃目標(biāo)為基礎(chǔ),并根據(jù)信息化整體IT架構(gòu)及應(yīng)用使用情況進(jìn)行分析、細(xì)化的一個(gè)過(guò)程。工程公司規(guī)劃統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)范圍可從三方面考慮:

1)制定身份認(rèn)證標(biāo)準(zhǔn),建設(shè)一個(gè)沒(méi)有重復(fù)、沖突的統(tǒng)一身份認(rèn)證信息架構(gòu)[8]。

2)兼容企業(yè)整體IT基礎(chǔ)架構(gòu)和運(yùn)行環(huán)境要求,筆者所在工程公司提出了需兼容企業(yè)內(nèi)部的私有云架構(gòu)模式。

3)滿足已存在的各種異構(gòu)應(yīng)用系統(tǒng)的接入及改造,實(shí)現(xiàn)各應(yīng)用系統(tǒng)之間身份認(rèn)證信息的整合。

3　技術(shù)路線選擇

如何將工程公司不同的業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行有效整合,做到統(tǒng)一認(rèn)證,統(tǒng)一管理[9-11],是實(shí)現(xiàn)統(tǒng)一身份認(rèn)證平臺(tái)核心關(guān)鍵。

3.1　統(tǒng)一身份認(rèn)證標(biāo)準(zhǔn)的建立

統(tǒng)一身份認(rèn)證標(biāo)準(zhǔn)的建立,應(yīng)建立在能夠滿足工程公司各種異構(gòu)應(yīng)用架構(gòu)的基礎(chǔ)上,與應(yīng)用系統(tǒng)本身的開(kāi)發(fā)語(yǔ)言、平臺(tái)無(wú)關(guān),無(wú)論是B/S結(jié)構(gòu)、C/S結(jié)構(gòu)以及移動(dòng)APP應(yīng)用(原生、混合、Web)結(jié)構(gòu)。

統(tǒng)一身份認(rèn)證標(biāo)準(zhǔn)的建立要充分利用SOA(面向服務(wù)體系)架構(gòu)松耦合的特點(diǎn)[12-13],采用國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議和規(guī)定的一些標(biāo)準(zhǔn)數(shù)據(jù)格式,包括登錄方式、交互流程、認(rèn)證協(xié)議等。

3.2　集中安全管控

統(tǒng)一身份認(rèn)證平臺(tái)的集中安全管控必須從全局角度考慮:

1)授權(quán)管理:對(duì)接入到統(tǒng)一身份認(rèn)證平臺(tái)的應(yīng)用進(jìn)行授權(quán),為應(yīng)用系統(tǒng)的接入提供安全、高效、可用的安全機(jī)制。

2)審計(jì)管理:對(duì)應(yīng)用系統(tǒng)的使用情況、用戶(hù)對(duì)應(yīng)用系統(tǒng)的訪問(wèn)行為進(jìn)行審計(jì),可為后續(xù)發(fā)生事故時(shí)提供一個(gè)可追查的機(jī)制[14]。

3.3　統(tǒng)一身份認(rèn)證平臺(tái)與用戶(hù)信息的關(guān)系

統(tǒng)一身份認(rèn)證平臺(tái)本身并不對(duì)用戶(hù)信息進(jìn)行管理,這取決于企業(yè)本身對(duì)信息管理的劃分。從工程公司信息化整體管理角度而言,用戶(hù)信息一般是由公司人力資源管理部門(mén)進(jìn)行管理[15]。該部分內(nèi)容的確定,對(duì)統(tǒng)一身份認(rèn)證平臺(tái)的整體架構(gòu)設(shè)計(jì)起著重要的作用。

筆者所在工程公司,采用了基于活動(dòng)目錄進(jìn)行用戶(hù)身份驗(yàn)證的解決方案?；顒?dòng)目錄中的用戶(hù)及組織機(jī)構(gòu)信息與“人力資源公共數(shù)據(jù)管理平臺(tái)”實(shí)現(xiàn)無(wú)縫集成,不需要對(duì)活動(dòng)目錄中的用戶(hù)信息單獨(dú)維護(hù)。統(tǒng)一身份認(rèn)證平臺(tái)中的用戶(hù)身份認(rèn)證直接使用活動(dòng)目錄中的用戶(hù)信息進(jìn)行驗(yàn)證。

3.4　統(tǒng)一身份認(rèn)證與已有應(yīng)用系統(tǒng)的關(guān)系

工程公司必然會(huì)對(duì)已存在的應(yīng)用系統(tǒng)進(jìn)行改造,以適應(yīng)統(tǒng)一身份認(rèn)證方式。因此,如何實(shí)現(xiàn)讓已有應(yīng)用系統(tǒng)與統(tǒng)一身份認(rèn)證進(jìn)行無(wú)縫集成是需要解決的另一個(gè)問(wèn)題。建議遵循如下原則和方法解決:

1)統(tǒng)一身份認(rèn)證平臺(tái)為各應(yīng)用系統(tǒng)提供身份認(rèn)證服務(wù),其他業(yè)務(wù)系統(tǒng)只需根據(jù)其規(guī)則調(diào)用此服務(wù)即可。

2)已有應(yīng)用系統(tǒng)的身份認(rèn)證一般與權(quán)限控制緊密相連,權(quán)限控制是用戶(hù)通過(guò)身份認(rèn)證后,為用戶(hù)授權(quán)其在應(yīng)用系統(tǒng)中的角色和使用資源。當(dāng)前在一個(gè)比較完整、規(guī)范的企業(yè)信息化建設(shè)體系中,應(yīng)由一個(gè)統(tǒng)一身份認(rèn)證供各應(yīng)用系統(tǒng)使用,權(quán)限控制由各應(yīng)用系統(tǒng)自行管理。

3)針對(duì)應(yīng)用系統(tǒng)改造較多的工程公司,可能存在技術(shù)復(fù)雜(不同平臺(tái))、項(xiàng)目干系人眾多(各應(yīng)用系統(tǒng)的開(kāi)發(fā)商、業(yè)務(wù)部門(mén)、技術(shù)人員)等問(wèn)題。因此,可根據(jù)應(yīng)用系統(tǒng)的使用范圍、人數(shù)、改造難易程度等進(jìn)行優(yōu)先級(jí)排序,并在項(xiàng)目實(shí)施過(guò)程中制定合理的統(tǒng)一規(guī)劃。

4)明確統(tǒng)一身份認(rèn)證登錄賬號(hào)與已有應(yīng)用系統(tǒng)用戶(hù)信息的共同點(diǎn),可從用戶(hù)名、員工編號(hào)、郵箱名稱(chēng)等信息進(jìn)行關(guān)聯(lián)。

在已有應(yīng)用系統(tǒng)的改造過(guò)程中,必然會(huì)存在無(wú)法改造的應(yīng)用系統(tǒng),但針對(duì)自研及定制開(kāi)發(fā)類(lèi)型的軟件完全可避免。筆者所在工程公司對(duì)自研及定制研發(fā)類(lèi)軟件在開(kāi)發(fā)過(guò)程中就進(jìn)行管控,包含對(duì)成果文件(需求報(bào)告、設(shè)計(jì)報(bào)告、數(shù)據(jù)字典等)、代碼進(jìn)行審查(編寫(xiě)規(guī)范、注釋、編譯、封裝等),以避免此問(wèn)題發(fā)生。

4　建設(shè)方案比選

統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)一般有“產(chǎn)品+服務(wù)”模式和“定制化開(kāi)發(fā)”模式兩種。不管選擇哪種開(kāi)發(fā)模式,都需要以正確的、量體裁衣式的解決方案為基礎(chǔ)。

4.1　“產(chǎn)品+服務(wù)”模式

根據(jù)調(diào)研,“產(chǎn)品+服務(wù)”模式是當(dāng)前企業(yè)選擇較多的一種模式[16-18]。這種模式是軟件供應(yīng)商將產(chǎn)品功能基本固化,再根據(jù)個(gè)性化需求進(jìn)行二次開(kāi)發(fā),這種模式因有一個(gè)原型產(chǎn)品的存在,能夠快速地滿足一個(gè)較大應(yīng)用群體的共性化需求,以及后期的運(yùn)維服務(wù)等。筆者建議,工程公司選擇這種商業(yè)產(chǎn)品時(shí)要注意:前期一定要對(duì)產(chǎn)品有充分了解,確切是否能夠滿足所有需求,包括二次開(kāi)發(fā)是否能夠滿足工程公司自身的個(gè)性需求,因?yàn)樯虡I(yè)產(chǎn)品在設(shè)計(jì)架構(gòu)上基本是固化的,很難改變。

4.2　“定制化開(kāi)發(fā)”模式

“定制化開(kāi)發(fā)”模式是企業(yè)建設(shè)目標(biāo)需要什么,軟件開(kāi)發(fā)商就生產(chǎn)什么,是一種由無(wú)到有的一種模式。這種開(kāi)發(fā)模式與商業(yè)化產(chǎn)品對(duì)比,具有較強(qiáng)靈活性及適應(yīng)性,可更好地實(shí)現(xiàn)企業(yè)建設(shè)目標(biāo)。但同時(shí)也帶來(lái)了不小的挑戰(zhàn),因此需要以工程公司信息化建設(shè)部門(mén)為主導(dǎo),掌控整個(gè)平臺(tái)的架構(gòu)設(shè)計(jì),對(duì)整體規(guī)劃及技術(shù)有較高的要求。

4.3　兩種模式的對(duì)比分析

統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)具體選擇哪一種模式,不能一概而論,沒(méi)有最完美的,只有最適合的。表1是針對(duì)兩種模式的比較,建議工程公司根據(jù)自身需求情況并結(jié)合表1的分析結(jié)果,來(lái)選擇最適當(dāng)?shù)慕ㄔO(shè)模式。

表1“產(chǎn)品+服務(wù)”與“定制化開(kāi)發(fā)”模式對(duì)比分析

建設(shè)模式周期成本兼容性運(yùn)維/響應(yīng)個(gè)性化技術(shù)要求產(chǎn)品+服務(wù)短較低一般慢一般較低定制化開(kāi)發(fā)長(zhǎng)高高快滿足高

5　實(shí)踐與應(yīng)用

筆者所在工程公司按照上述提出的建設(shè)思路、方法進(jìn)行了規(guī)劃實(shí)施,統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)選用了“定制化開(kāi)發(fā)”模式。

統(tǒng)一身份認(rèn)證平臺(tái)自建成后,已無(wú)故障運(yùn)行28個(gè)月,并有18個(gè)應(yīng)用系統(tǒng)接入到統(tǒng)一身份認(rèn)證平臺(tái),其中包括13個(gè)B/S架構(gòu)應(yīng)用系統(tǒng)、2個(gè)C/S架構(gòu)應(yīng)用系統(tǒng)、3個(gè)移動(dòng)APP模式應(yīng)用系統(tǒng),用戶(hù)登錄訪問(wèn)總計(jì) 869 308次。該平臺(tái)的建設(shè)有效提升了公司信息化整體管理水平及用戶(hù)自身的工作效率。

6　結(jié)論

本文提出了一種適用于多應(yīng)用架構(gòu)模式的統(tǒng)一身份認(rèn)證建設(shè)思路,滿足當(dāng)前所有不同應(yīng)用架構(gòu)系統(tǒng)的統(tǒng)一身份認(rèn)證問(wèn)題,保證了各業(yè)務(wù)集成系統(tǒng)的松散耦合。

在工程公司的實(shí)際使用也展現(xiàn)了良好的應(yīng)用效果。用戶(hù)只需要記住一套用戶(hù)名/密碼就可以訪問(wèn)所有不同平臺(tái)、不同語(yǔ)言所開(kāi)發(fā)的應(yīng)用系統(tǒng),提升了用戶(hù)體驗(yàn)和IT的運(yùn)維管理工作。筆者建議,在統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)過(guò)程中,一定采用科學(xué)的項(xiàng)目實(shí)施方法論為指導(dǎo),才能較好實(shí)現(xiàn)建設(shè)目標(biāo)。