安軍

摘要：該文分析高校信息系統(tǒng)建設(shè)現(xiàn)狀，針對用戶管理及權(quán)限管理廣泛存在的問題，提出建立統(tǒng)一用戶目錄樹，完成用戶及組織架構(gòu)數(shù)據(jù)同步，實現(xiàn)用戶生命周期管理和統(tǒng)一權(quán)限管理以及用戶自服務(wù)管理的設(shè)計規(guī)劃，為高校信息系統(tǒng)用戶及權(quán)限統(tǒng)一管理提供了清晰的思路，該文可供高校信息化系統(tǒng)規(guī)劃、建設(shè)的相關(guān)同仁在信息系統(tǒng)用戶及權(quán)限統(tǒng)一管理方面參考、借鑒。

關(guān)鍵詞：高校信息;系統(tǒng)用戶;權(quán)限;統(tǒng)一管理

中圖分類號：TP393? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2022）18-0012-03

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

1高校信息系統(tǒng)現(xiàn)狀

近年來，隨著信息技術(shù)的迅速發(fā)展和教育信息化的持續(xù)推進(jìn)，許多高校建設(shè)了教務(wù)、學(xué)生、科研、人事等一系列信息系統(tǒng)，信息化建設(shè)已具一定規(guī)模。信息系統(tǒng)的建設(shè)為提升高校管理能力、創(chuàng)造良好教學(xué)環(huán)境提供有力支撐。

在高校內(nèi)部已建成的眾多信息系統(tǒng)中，每套系統(tǒng)都有自己的用戶和權(quán)限管理功能，從IT管理者角度來看，隨著信息系統(tǒng)規(guī)模、用戶類型、用戶數(shù)量的不斷增加，以及因管理需要導(dǎo)致用戶、組織架構(gòu)的頻繁變動和權(quán)限管理不斷細(xì)化給信息系統(tǒng)自身管理帶來很大困難;從系統(tǒng)開發(fā)者的角度來看，用戶、組織架構(gòu)管理以及權(quán)限管理的重復(fù)開發(fā)，降低了新系統(tǒng)的開發(fā)速度、增加開發(fā)風(fēng)險、造成開發(fā)成本增加;從實現(xiàn)數(shù)據(jù)共享和業(yè)務(wù)互通的角度來看，每個信息系統(tǒng)都有自己實現(xiàn)用戶和權(quán)限管理的技術(shù)方式，后臺使用的數(shù)據(jù)庫也不盡相同，系統(tǒng)異構(gòu)導(dǎo)致信息的可移植性差，非常不利于信息系統(tǒng)數(shù)據(jù)共享與業(yè)務(wù)集成。因此，需通過便捷有效的統(tǒng)一用戶管理及權(quán)限管理體系改變被動局面，充分發(fā)揮信息系統(tǒng)效能。

2用戶及權(quán)限統(tǒng)一管理的需求

針對當(dāng)下高校廣泛存在的用戶及權(quán)限管理問題，需建立統(tǒng)一化的用戶身份生命周期管理體系，為高校各信息系統(tǒng)提供統(tǒng)一標(biāo)準(zhǔn)的用戶基本信息數(shù)據(jù)，整體提高用戶及權(quán)限管理的效率和準(zhǔn)確性，從而提升用戶體驗，降低維護(hù)人員工作量。

根據(jù)其他行業(yè)信息化系統(tǒng)建設(shè)的成功經(jīng)驗，針對高校實際的管理需要，提出需求如下：

1）建立一套集中的用戶及組織架構(gòu)信息庫，作為基礎(chǔ)設(shè)施為各信息系統(tǒng)提供用戶及組織架構(gòu)基礎(chǔ)信息服務(wù)，利用數(shù)據(jù)同步接口實現(xiàn)對高校內(nèi)各信息系統(tǒng)所需的用戶基礎(chǔ)信息和組織架構(gòu)信息進(jìn)行標(biāo)準(zhǔn)化管理。

2）通過對統(tǒng)一用戶目錄中主、從賬號的統(tǒng)一管理，實現(xiàn)用戶身份生命周期管理，可完成主、從賬號的創(chuàng)建、鎖定、刪除，主、從賬號間關(guān)聯(lián)與同步，離職用戶的主、從賬號一次性鎖定或清除。

3）實現(xiàn)統(tǒng)一用戶管理及權(quán)限管理系統(tǒng)對高校內(nèi)信息系統(tǒng)進(jìn)行集中統(tǒng)一的系統(tǒng)級權(quán)限管理，為后續(xù)實現(xiàn)基于角色管理的細(xì)顆粒度權(quán)限管理目標(biāo)奠定基礎(chǔ)。

4）提供便捷的用戶自服務(wù)，實現(xiàn)個人基本信息自維護(hù)、信息系統(tǒng)賬號自申請、信息系統(tǒng)密碼自找回等功能。

3用戶及權(quán)限統(tǒng)一管理的規(guī)劃

3.1 統(tǒng)一用戶目錄樹

LDAP是輕型目錄訪問協(xié)議（LightweightDirectoryAccessProtocol）。顧名思義，它是用于訪問目錄服務(wù)的輕量級協(xié)議，方便用于B/S架構(gòu)下訪問目錄服務(wù)[1]。目錄服務(wù)與普通數(shù)據(jù)庫不同，目錄服務(wù)使用具有層次的樹形結(jié)構(gòu)來組織數(shù)據(jù)，特別適合用于人事組織結(jié)構(gòu)管理、用戶基礎(chǔ)信息管理等具有層級和樹形結(jié)構(gòu)特點數(shù)據(jù)的快速搜索和瀏覽。

在這里使用LDAP目錄來構(gòu)建核心用戶目錄樹，集中統(tǒng)一存儲管理用戶基礎(chǔ)信息和組織架構(gòu)信息。一般來講，高校的人事管理系統(tǒng)或OA系統(tǒng)中的人員及組織架構(gòu)信息比較全面和準(zhǔn)確，根據(jù)高校內(nèi)部管理的具體情況，統(tǒng)一用戶及權(quán)限管理中的用戶基礎(chǔ)數(shù)據(jù)和組織架構(gòu)基礎(chǔ)數(shù)據(jù)可來自這兩個系統(tǒng)。

1）用戶基本信息

用戶基本信息包括UID、姓名、性別、年齡、學(xué)歷、學(xué)位、職級、所學(xué)專業(yè)、畢業(yè)院校等信息。管理員能夠通過逐條錄入、文件導(dǎo)入或者系統(tǒng)間接口方式增加一個或一批用戶基礎(chǔ)信息數(shù)據(jù)并進(jìn)行規(guī)范化處理，作為統(tǒng)一用戶管理的基礎(chǔ)數(shù)據(jù)。統(tǒng)一用戶管理中的用戶基本信息數(shù)據(jù)存儲在核心用戶目錄樹中，這部分信息數(shù)據(jù)作為基礎(chǔ)數(shù)據(jù)為高校內(nèi)各信息系統(tǒng)提供用戶基礎(chǔ)數(shù)據(jù)同步服務(wù)。

在統(tǒng)一用戶及權(quán)限管理系統(tǒng)中，用戶基礎(chǔ)數(shù)據(jù)以樹形結(jié)構(gòu)進(jìn)行展示和管理，主要包括用戶數(shù)據(jù)從人事管理系統(tǒng)或OA系統(tǒng)中同步，原有用戶數(shù)據(jù)的屬性編輯、位置排序，人員的檢索等功能。

2）組織架構(gòu)信息

組織架構(gòu)信息主要包括組織編碼ID、組織名稱、組織級別、組織簡稱、組織描述、組織形態(tài)、組織狀態(tài)、上級組織編碼、主負(fù)責(zé)人、副負(fù)責(zé)人等基本信息。在高校內(nèi)存在多個維度的組織架構(gòu)信息，例如行政、黨、團(tuán)等維度，以及為了完成某專項工作而設(shè)立的虛擬組織，多維度的組織架構(gòu)所屬人員還會出現(xiàn)重疊。組織架構(gòu)基本信息主要來自高校內(nèi)部的人事管理系統(tǒng)，通過組織架構(gòu)信息可以清晰完整描述高校內(nèi)多維度的組織架構(gòu)，組織架構(gòu)信息的存儲在核心用戶目錄樹中，高校內(nèi)各信息系統(tǒng)根據(jù)自身需要通過組織架構(gòu)基本信息同步服務(wù)來獲取組織架構(gòu)信息。

同樣，用戶組織架構(gòu)信息在統(tǒng)一用戶及權(quán)限管理系統(tǒng)中以樹形結(jié)構(gòu)進(jìn)行展示和管理，主要包括組織的創(chuàng)建，原有組織的屬性編輯、位置排序，組織的檢索、組織的刪除等功能。

3.2 數(shù)據(jù)同步管理

統(tǒng)一用戶及權(quán)限管理系統(tǒng)在兼顧便捷性和安全性的前提下與高校內(nèi)其他信息系統(tǒng)進(jìn)行數(shù)據(jù)集成與同步，主要涉及如下兩個層面：

1）獲取用戶及組織架構(gòu)基礎(chǔ)數(shù)據(jù)

從人事管理系統(tǒng)或OA系統(tǒng)到統(tǒng)一用戶及權(quán)限管理系統(tǒng)的數(shù)據(jù)集成與同步。通過系統(tǒng)間接口實現(xiàn)統(tǒng)一用戶及權(quán)限管理系統(tǒng)從人事管理系統(tǒng)或OA系統(tǒng)獲取用戶及組織架構(gòu)基本信息。

2）提供用戶及組織架構(gòu)數(shù)據(jù)服務(wù)

統(tǒng)一用戶及權(quán)限管理系統(tǒng)是為高校內(nèi)其他信息系統(tǒng)提供用戶及組織架構(gòu)信息服務(wù)的基礎(chǔ)設(shè)施，統(tǒng)一用戶及權(quán)限管理是高校內(nèi)信息系統(tǒng)群實現(xiàn)統(tǒng)一門戶和統(tǒng)一認(rèn)證的前提和基礎(chǔ)。統(tǒng)一用戶及權(quán)限管理系統(tǒng)通過系統(tǒng)間接口為下游系統(tǒng)及時提供靈活的、按需獲取的用戶及組織架構(gòu)信息。

3.3 用戶生命周期管理

用戶賬號的創(chuàng)建、變更、鎖定與解鎖、注銷或刪除是用戶在信息系統(tǒng)中存在的完整生命周期，需要信息系統(tǒng)對用戶賬號進(jìn)行規(guī)范管理以避免非法用戶帶來各種信息安全風(fēng)險[2]。用戶生命周期管理對象包括對正式在編員工用戶、社聘員工用戶和臨時用戶的管理。用戶生命周期管理主要是通過工作流引擎定制開發(fā)的用戶管理電子審批流程來完成。

1）員工用戶管理

正式在編員工用戶和社聘員工用戶的管理流程包括員工入職、調(diào)動、離職以及借調(diào)等四大類流程[3]。員工的發(fā)生變化時，一方面會影響到人事管理系統(tǒng)并觸發(fā)其中的相關(guān)流程，另一方面也需要統(tǒng)一用戶及權(quán)限管理系統(tǒng)對用戶信息進(jìn)行相應(yīng)的維護(hù)。

2）臨時用戶管理

臨時用戶可以是內(nèi)部用戶也可以是外部用戶。臨時用戶管理是指因管理需要申請的有指定有效期限的用戶賬號。臨時用戶管理流程包括臨時用戶創(chuàng)建、授權(quán)、變更和收回等方面的管理和審核流程，臨時用戶的創(chuàng)建需經(jīng)過臨時用戶申請流程審批生效后才能創(chuàng)建。

3.4 權(quán)限的統(tǒng)一管理

統(tǒng)一權(quán)限管理，主要是指能夠集中統(tǒng)一地對用戶與相關(guān)信息系統(tǒng)的權(quán)限進(jìn)行分配的過程。這里描述的權(quán)限，是指對特定資源的訪問，比如讀、寫、執(zhí)行等操作。在高校信息系統(tǒng)特定的環(huán)境下權(quán)限管理是指許可特定用戶對特定資源進(jìn)行一項或多項特定操作。

權(quán)限管理也有一個完整的生命周期，包括授予權(quán)限、權(quán)限變更、權(quán)限回收。在具體實踐中，權(quán)限管理往往基于角色進(jìn)行管理，角色是具有相同操作權(quán)限的用戶組，把某個用戶賦予某個角色，那么該用戶將繼承這個角色下的所有權(quán)限?；诮巧臋?quán)限管理可以降低權(quán)限管理的復(fù)雜度，減輕管理員的工作量。

權(quán)限管理分為兩個層面：一個層面是把每個信息系統(tǒng)作為一個資源來管理的粗顆粒度管理方式;另一個層面是把信息系統(tǒng)中的資源細(xì)項（每個功能模塊或功能頁面等）分別作為權(quán)限管理對象的細(xì)顆粒度管理方式。許多高校經(jīng)過多年建設(shè)，信息系統(tǒng)數(shù)量多、系統(tǒng)權(quán)限管理復(fù)雜，建議現(xiàn)階段實現(xiàn)粗粒度系統(tǒng)級授權(quán)，也就是完成用戶到系統(tǒng)資源層面的粗顆粒度權(quán)限管理，待高校內(nèi)部管理和技術(shù)成熟后再逐步細(xì)化。

1）信息系統(tǒng)管理

這里的信息系統(tǒng)是指由統(tǒng)一用戶及權(quán)限管理系統(tǒng)完成統(tǒng)一管理集成的高校內(nèi)部信息系統(tǒng)。為了方便管理，在統(tǒng)一用戶及權(quán)限管理系統(tǒng)中提供信息系統(tǒng)的分類、分級管理，實現(xiàn)對納入本系統(tǒng)權(quán)限管理的信息系統(tǒng)進(jìn)行管理，包括注冊、查詢、編輯、鎖定和注銷操作。

①注冊功能：管理員能夠在統(tǒng)一用戶及權(quán)限管理系統(tǒng)中通過人工添加的方式，針對具體的某項信息系統(tǒng)在統(tǒng)一用戶及權(quán)限管理系統(tǒng)中注冊新的信息系統(tǒng)信息，包括信息系統(tǒng)標(biāo)識、IP地址、url地址、信息系統(tǒng)證書等;

②編輯功能：管理員能夠在統(tǒng)一用戶及權(quán)限管理系統(tǒng)中對被管理信息系統(tǒng)進(jìn)行編輯修改，包括信息系統(tǒng)標(biāo)識、IP地址、url地址、信息系統(tǒng)證書等;

③鎖定及解鎖功能：根據(jù)管理需要，管理員可以在統(tǒng)一用戶及權(quán)限管理系統(tǒng)中對被管理信息系統(tǒng)進(jìn)行鎖定操作，鎖定的被管理信息系統(tǒng)將暫時停止統(tǒng)一用戶及權(quán)限的管理，解鎖后可恢復(fù)。

④注銷功能：當(dāng)某個被管理信息系統(tǒng)退網(wǎng)下線停止服務(wù)，或者系統(tǒng)出現(xiàn)異常狀態(tài)時，管理員在統(tǒng)一用戶及權(quán)限管理系統(tǒng)的管理界面中對被該信息系統(tǒng)進(jìn)行注銷操作。注銷的被管信息系統(tǒng)將徹底無法進(jìn)行統(tǒng)一用戶和權(quán)限管理，除非進(jìn)行再次注冊操作。

2）用戶授權(quán)管理

用戶授權(quán)管理是指管理員可以針對特定資源的操作權(quán)限（讀、寫、執(zhí)行等操作）進(jìn)行單獨用戶授權(quán)或基于角色（用戶組）進(jìn)行集體授權(quán)。在高校的統(tǒng)一用戶及授權(quán)管理系統(tǒng)中，主要是指對用戶或用戶組授權(quán)某個高校內(nèi)部信息系統(tǒng)的訪問權(quán)限。

對于納入統(tǒng)一用戶及權(quán)限管理系統(tǒng)管理的信息系統(tǒng)有相應(yīng)的從賬號，從賬號與主賬號存在著對應(yīng)隸屬關(guān)系。一個普通用戶要具有訪問某個信息系統(tǒng)的權(quán)限就必須擁有該信息系統(tǒng)的從賬號。

用戶從賬號的申請需通過信息系統(tǒng)從賬號申請流程審批生效后才可創(chuàng)建，從賬號創(chuàng)建的同時會與主賬號建立隸屬關(guān)系。

有兩種原因可以導(dǎo)致某個用戶的信息系統(tǒng)從賬號的鎖定或刪除。一種原因是該用戶的主賬號被鎖定或刪除，另一種原因是僅將該用戶的這個應(yīng)用從賬號鎖定或刪除。

3）角色管理

角色是指擁有一系列權(quán)限的用戶集合（用戶組）?；诮巧ㄓ脩艚M）的權(quán)限管理方式，可以簡化授權(quán)管理，提高授權(quán)的便捷性[4]。

在統(tǒng)一用戶及權(quán)限管理系統(tǒng)中梳理具有共性權(quán)限的用戶及組織、定義角色，通過角色來進(jìn)行授權(quán)管理。為滿足管理、使用的需求，角色應(yīng)包含但不限于以下屬性：標(biāo)識、類型、狀態(tài)、創(chuàng)建修改時間、有效時間、權(quán)限（信息系統(tǒng)）內(nèi)容。

考慮到高校信息系統(tǒng)現(xiàn)狀，很多信息系統(tǒng)的授權(quán)比較復(fù)雜，例如：在教務(wù)管理系統(tǒng)中角色、權(quán)限的分類多種多樣，并且高校內(nèi)不同的信息系統(tǒng)的角色定義不一，含義也不盡相同，通過統(tǒng)一用戶及權(quán)限管理系統(tǒng)中的角色和眾多信息系統(tǒng)的角色進(jìn)行映射，這種模式會對系統(tǒng)的管理和維護(hù)帶來過大的復(fù)雜度，反而影響管理效能。現(xiàn)階段可以先實現(xiàn)系統(tǒng)級授權(quán)的粗顆粒度管理方式，隨著高校內(nèi)部管理和技術(shù)成熟，后期可以把高校內(nèi)各信息系統(tǒng)所包含的角色進(jìn)行梳理，針對每個信息系統(tǒng)建立角色權(quán)限定義與變更和用戶組定義與變更的同步機制，完成統(tǒng)一用戶及權(quán)限管理系統(tǒng)從賬號角色與信息系統(tǒng)用戶角色對應(yīng)，最終實現(xiàn)基于角色管理的細(xì)顆粒度權(quán)限管理目標(biāo)[5]。

3.5用戶自服務(wù)管理

為了減輕系統(tǒng)管理員工作強度，方便普通用戶便捷獲取相應(yīng)服務(wù)，提高高校各信息系統(tǒng)用戶及權(quán)限管理的時效性，在統(tǒng)一用戶及權(quán)限管理系統(tǒng)中提供用戶自服務(wù)功能。普通用戶可在統(tǒng)一用戶及權(quán)限管理系統(tǒng)中進(jìn)行用戶個人基本數(shù)據(jù)修改，信息系統(tǒng)賬號自申請，信息系統(tǒng)密碼自服務(wù)等用戶自服務(wù)功能。

1）個人基本信息服務(wù)

普通用戶可通過自服務(wù)查閱本人身份信息和信息系統(tǒng)授權(quán)，對用戶ID、所屬部門、職級等敏感信息以外的個人信息進(jìn)行編輯、修改。

2）信息系統(tǒng)賬號服務(wù)

普通用戶可通過自服務(wù)申請所需信息系統(tǒng)賬號，通過審批后可創(chuàng)建相應(yīng)賬號，獲取訪問該信息系統(tǒng)的權(quán)限。

3）信息系統(tǒng)密碼服務(wù)

普通用戶可使用該自服務(wù)功能修改自己的主、從賬號密碼，在密碼丟失時可通過指引來重置密碼。

4 結(jié)語

統(tǒng)一用戶及權(quán)限管理是實現(xiàn)統(tǒng)一認(rèn)證和統(tǒng)一門戶展示的前提和基礎(chǔ)。筆者研究借鑒其他行業(yè)統(tǒng)一用戶及權(quán)限管理系統(tǒng)的成功經(jīng)驗，基于LDAP（LightweightDirectoryAccessProtocol輕量級目錄訪問協(xié)議）協(xié)議構(gòu)建高校內(nèi)部核心用戶目錄樹，對用戶身份數(shù)據(jù)、組織架構(gòu)數(shù)據(jù)、權(quán)限數(shù)據(jù)進(jìn)行規(guī)范管理，為高校內(nèi)部各信息系統(tǒng)提供統(tǒng)一標(biāo)準(zhǔn)的用戶基本信息數(shù)據(jù)、組織架構(gòu)數(shù)據(jù)和權(quán)限管理數(shù)據(jù)，完成用戶生命周期的統(tǒng)一管理，實現(xiàn)統(tǒng)一、安全、靈活和可擴(kuò)展的統(tǒng)一用戶及權(quán)限管理系統(tǒng)，借此整體提高高校信息系統(tǒng)用戶及權(quán)限管理的效率和準(zhǔn)確性，提升用戶體驗，降低維護(hù)人員工作量。

參考文獻(xiàn)：

[1] 趙豪邁.整合“信息煙囪”的治理實踐與經(jīng)驗評析[J].國家治理，2020（33）：41-45.

[2] 李穎.基于校園網(wǎng)的單點登錄系統(tǒng)研究[J].電腦開發(fā)與應(yīng)用，2013，26（3）：14-16.

[3] 翁曉泳，蔡瀟.身份認(rèn)證系統(tǒng)在電子政務(wù)中的應(yīng)用研究[J].信息技術(shù)與信息化，2020（10）：35-37.

[4] 王文成.集成平臺在醫(yī)院信息系統(tǒng)集成中的應(yīng)用[J].中國信息界，2020（5）：86-89.

[5] 胡麗麗.單點登陸在統(tǒng)一用戶管理系統(tǒng)中的應(yīng)用研究[J].電腦知識與技術(shù)，2017，13（31）：256-257.

【通聯(lián)編輯：光文玲】