統(tǒng)一身份管理項目的最佳實踐

5 評論 15958 瀏覽 78 收藏 24 分鐘

本文總結了統(tǒng)一身份管理項目實踐中的常見問題、項目解決方案、最佳實踐輸出等內(nèi)容。

隨著信息技術的發(fā)展和信息化建設的進步,各個企業(yè)在信息化建設上不斷投入運行應用系統(tǒng)、商務平臺、系統(tǒng)設備等,隨著系統(tǒng)的加深投入,因不同時期為不同部門分別建設的各類信息化系統(tǒng)在技術架構與應用模式上差異明顯,信息化建設逐漸遇到了新問題。

例如由于系統(tǒng)、設備、服務器眾多,出現(xiàn)用戶管理混亂、越權訪問、誤操作、濫用、惡意攻擊等現(xiàn)象,為解決這一問題,統(tǒng)一身份管理需求出現(xiàn),公司作為SOA綜合集成產(chǎn)品及解決方案的提供商,統(tǒng)一身份管理是主打方案之一,本文主要分享在各行業(yè)統(tǒng)一身份管理項目交付中沉淀的最佳實踐。

一、相關定義理解

統(tǒng)一身份管理項目主要實現(xiàn)統(tǒng)一用戶管理、統(tǒng)一認證管理、統(tǒng)一權限管理、統(tǒng)一安全審計功能,達到多個應用之間的用戶、認證統(tǒng)一管理、高效集成、安全監(jiān)管,提升企業(yè)信息化應用能力。

許多人在這個項目與4A項目、主數(shù)據(jù)管理項目上存在一定的理解誤區(qū),在講述解決方案之前,先對這兩個歧義進行說明。

1. 與4A概念的關系

4A是指:認證Authentication、賬號Account、授權Authorization、審計Audit,中文名稱為統(tǒng)一安全管理平臺解決方案。即將身份認證、授權、審計和賬號(即不可否認性及數(shù)據(jù)完整性)定義為網(wǎng)絡安全的四大組成部分,從而確立了身份認證在整個網(wǎng)絡安全系統(tǒng)中的地位與作用。

在軟件項目中統(tǒng)一身份管理也被稱作為4A項目,解決問題及實施方案包括4A中提到的內(nèi)容,只不過很多時候對于不同用戶的需求場景與個性化業(yè)務,會在4A實施內(nèi)容范圍上多實現(xiàn)一些功能,例如開發(fā)簡單的工作臺門戶,展現(xiàn)系統(tǒng)集成成果或與不同的集成類平臺產(chǎn)品結合,打造不同的解決方案等,加深項目的價值與作用。

2. 與主數(shù)據(jù)管理的區(qū)別

主數(shù)據(jù)管理是解決企業(yè)經(jīng)營中各類主數(shù)據(jù)在不同系統(tǒng)中的名稱、編碼等信息不一致現(xiàn)象,保證企業(yè)內(nèi)主數(shù)據(jù)單一視圖的準確性、一致性及完整性。

兩者在企業(yè)IT架構的層面、管理內(nèi)容、功能、業(yè)務交互等方面都具備一定的差異。

在企業(yè)IT架構中統(tǒng)一身份管理項目屬于IT治理層面,注重技術架構的實現(xiàn);主數(shù)據(jù)管理項目屬于數(shù)據(jù)治理層面,注重業(yè)務、數(shù)據(jù)架構的實現(xiàn),兩者從不同層面、維度分別作為基礎支撐為更高層次的服務治理、業(yè)務治理奠定基礎。

管理內(nèi)容方面,統(tǒng)一身份管理企業(yè)內(nèi)部的用戶、群組、角色;主數(shù)據(jù)管理企業(yè)內(nèi)部的組織、人員、崗位,除此之外還管理其它如:客戶、供應商等主數(shù)據(jù)。

功能方面,統(tǒng)一身份管理具備統(tǒng)一身份認證功能,弱化案例功能,很少或不預置管理案例;主數(shù)據(jù)管理不具備統(tǒng)一身份認證功能,提供基礎數(shù)據(jù)管理樣例。

業(yè)務交互方面,統(tǒng)一身份管理主要與信息中心人員進行交互;主數(shù)據(jù)管理主要與業(yè)務人員進行交互,注重數(shù)據(jù)、業(yè)務的梳理。

二、常見問題分析

統(tǒng)一身份管理項目屬于IT整合階段的集成類問題,談到集成類問題,企業(yè)信息化建設的歷史原因不可避免,為解決運營管理問題由下至上無規(guī)劃的建設,造成不同時期、不同廠商、不同技術、不同平臺、不同規(guī)模的系統(tǒng)雜亂無序的構建,隨著系統(tǒng)增多到一定程度,新一階段的信息化問題一觸即發(fā),具體表現(xiàn)如下:

1. 業(yè)務處理方面

  1. 用戶處理業(yè)務必須記住多個系統(tǒng)的用戶名及密碼,容易遺忘;
  2. 處理一個業(yè)務需要頻繁登錄與切換不同系統(tǒng),繁瑣且效率低下;
  3. 信息分散難以獲取,缺少有效整合,用戶難以進行信息綜合利用;

2. IT運維方面

  1. 系統(tǒng)用戶名/密碼遺忘現(xiàn)象嚴重,IT維護難度及成本增大;
  2. 隨著用戶名/密碼增多,企業(yè)缺乏統(tǒng)一的賬號安全管理策略;
  3. 缺乏統(tǒng)一授權及訪問審計機制,非法操作無法快速定位追溯;

三、項目解決方案

對于統(tǒng)一身份管理項目主要使用IDM身份管理平臺或4A系統(tǒng)進行解決,通常情況下除了使用單一產(chǎn)品,還會搭配集成套件中的其它產(chǎn)品更好的輔助完成項目,如ESB企業(yè)服務總線,共同打造統(tǒng)一身份管理項目。

1. 方案總體介紹

通過統(tǒng)一用戶管理及認證體系,建立統(tǒng)一用戶資源庫,對企業(yè)信息系統(tǒng)用戶進行合理分類,實現(xiàn)用戶身份和權限的統(tǒng)一認證與授權管理,并對企業(yè)應用集成的運行環(huán)境、服務互操作、數(shù)據(jù)交換和通用服務等全過程進行統(tǒng)一系統(tǒng)監(jiān)控安全審計,滿足對信息系統(tǒng)統(tǒng)一用戶管理、統(tǒng)一身份認證、統(tǒng)一授權管理以及安全審計的要求。

具體包括IDM身份管理平臺、ESB企業(yè)服務總線,方案體系架構如下圖所示:

使用IDM身份管理平臺主要實現(xiàn)企業(yè)內(nèi)部用戶、群組、角色統(tǒng)一管理、認證管理及多關聯(lián)關系的權限管理、內(nèi)置工作流功能實現(xiàn)對創(chuàng)建賬號、授權管理時的流程審批功能,審計功能實現(xiàn)行為的審計分析、追溯管理。

ESB企業(yè)服務總線在統(tǒng)一身份管理方案中主要作為提供數(shù)據(jù)同步接口、流程觸發(fā)、實現(xiàn)數(shù)據(jù)間抽取、轉換、同步、分發(fā)的工具。

2.?具體實施步驟

統(tǒng)一身份管理項目的順利落地不只是需要平臺系統(tǒng)、規(guī)劃方案,還需要完備項目實施方法論,例如前期1輪至2輪的需求調(diào)研、調(diào)研結束后的功能設計、對接標準規(guī)范的設計、對應場景需求的實施開發(fā)、最終成果的聯(lián)測驗收等一系列工作,根據(jù)不同需求及項目實施難以程度,通常周期在4-6個月區(qū)間。

(1)需求調(diào)研

需求調(diào)研是每個集成類項目必須要進行的一步,正確有效的需求調(diào)研是項目后續(xù)順利實施開發(fā),保障項目驗收首要環(huán)節(jié)。

統(tǒng)一身份管理項目需求調(diào)研工作主要分為兩輪,第一輪調(diào)研為企業(yè)內(nèi)部情況調(diào)研,包括項目具體涉及信息化系統(tǒng)情況:廠商、語言、數(shù)據(jù)庫;集成與單點配置系統(tǒng)需求、各部門涉及業(yè)務權限等內(nèi)容的調(diào)研,確定統(tǒng)一用戶的源頭系統(tǒng)。

過程中出具系統(tǒng)需求規(guī)格說明書、開發(fā)與集成標準規(guī)范等初稿。召開項目啟動會召集各方統(tǒng)一目標、項目協(xié)作方式,明確相關負責人,之后進行第二輪調(diào)研,包括內(nèi)部客戶與外部被集成廠商,明確對接形式,各方職權等。

(2)功能設計

功能設計與需求調(diào)研是一脈相承的,兩者具備一定的銜接性,在第一輪需求調(diào)研結束之后,就可以著手開始進行功能設計工作,期間要出具整體項目設計規(guī)格說明書,從實施設計中可以有效倒逼出需求是否正確或存在漏洞。

功能設計包括服務同步原型設計、集成標準設計等,對于統(tǒng)一身份管理項目需要制定并出具統(tǒng)一用戶規(guī)范,包括:數(shù)據(jù)同步規(guī)范、數(shù)據(jù)分發(fā)規(guī)范;統(tǒng)一認證規(guī)范,如:JAVA認證、PHP認證、.NET認證等;如果項目中涉及到定制化開發(fā)功能,還需要根據(jù)需求出具客戶定制化原型設計。

(3)實施開發(fā)

統(tǒng)一用戶管理:

統(tǒng)一用戶管理主要為用戶提供統(tǒng)一集中賬號(用戶/群組/角色)的管理與分發(fā),包括賬戶間的狀態(tài)記錄、關聯(lián)關系、角色授權等,確保用戶賬戶使用和管理的安全性。

統(tǒng)一用戶管理的業(yè)務場景主要包括數(shù)據(jù)同步與數(shù)據(jù)分發(fā),實現(xiàn)統(tǒng)一用戶管理首先需要確定企業(yè)數(shù)據(jù)的管理維護者是哪個系統(tǒng),通常以人力資源管理系統(tǒng)作為信息同步中信息的源頭,也可以直接以IDM作為源系統(tǒng),提供用戶/群組/角色的基本信息、職位關聯(lián)信息、賬號變動信息等同步至IDM,再由IDM將統(tǒng)一管理后的信息分發(fā)至相關系統(tǒng)。

實現(xiàn)當用戶基本信息發(fā)生變動時,其它系統(tǒng)中的信息隨之進行相應的變動處理,而不需要多方操作。

1)用戶同步

用戶同步部分通常由數(shù)據(jù)源提供變動信息,使用ESB企業(yè)服務總線撰寫同步流程,以獲取數(shù)據(jù)源頭的變動信息,對應的數(shù)據(jù)源系統(tǒng)按照統(tǒng)一同步接口標準提供全量或增量信息服務接口即可完成數(shù)據(jù)同步工作,同步的方式可以根據(jù)企業(yè)具體業(yè)務需求采用實時調(diào)用或定時輪詢方式。

通常采用實時調(diào)用方式,即IDM統(tǒng)一身份管理平臺提供變動信息的寫入服務,數(shù)據(jù)源信息變動時,直接調(diào)用IDM自身服務即可;如集成系統(tǒng)無法進行實時調(diào)用,可采用定時輪詢方式,由ESB企業(yè)服務總線創(chuàng)建定時同步流程,定時獲取數(shù)據(jù)源系統(tǒng)的變動信息寫入本地服務器,完成同步信息日志記錄,之后從服務器讀取該同步日志記錄,將日志內(nèi)變動信息同步寫入IDM,生成對應的操作信息。

2)用戶分發(fā)

用戶分發(fā)也是統(tǒng)一用戶管理的重要步驟,順序為數(shù)據(jù)源—IDM—各業(yè)務系統(tǒng),具體為賬戶信息從數(shù)據(jù)源同步至IDM并生成操作信息,IDM將操作信息打包成工作任務,這部分涉及到工作流審批,通常預置在身份管理平臺中,由各環(huán)節(jié)負責人進行數(shù)據(jù)分發(fā)的審批操作。ESB企業(yè)服務總線創(chuàng)建分發(fā)流程,調(diào)用分發(fā)服務,實現(xiàn)數(shù)據(jù)信息的分發(fā)。

數(shù)據(jù)分發(fā)根據(jù)企業(yè)業(yè)務系統(tǒng)不同的情況、配合的程度分為采用不同的分發(fā)形式,常見的幾種形式包括webService、中間表存儲、數(shù)據(jù)庫權限三種。

  1. webService形式主要由業(yè)務系統(tǒng)提供服務標準的webService,供流程調(diào)用實現(xiàn)信息分發(fā);
  2. 中間表存儲形式主要由業(yè)務系統(tǒng)提供中間庫、中間表及對應的存儲過程,ESB寫入服務,并調(diào)用對應的存儲過程,實現(xiàn)信息分發(fā);
  3. 數(shù)據(jù)庫權限針對無法提供配合的業(yè)務系統(tǒng),系統(tǒng)提供數(shù)據(jù)庫操作權限,由ESB直接寫入數(shù)據(jù)庫操作。

3)統(tǒng)一身份認證

統(tǒng)一用戶管理是統(tǒng)一身份認證的基礎,實現(xiàn)統(tǒng)一用戶管理后,即可開始統(tǒng)一身份認證工作,具體基于CAS認證方式對所有應用系統(tǒng)提供統(tǒng)一的認證方式和認證策略,通過單點登錄技術,用戶經(jīng)過統(tǒng)一身份認證系統(tǒng)認證后,無需再次登錄即可訪問其具有訪問權限的應用系統(tǒng)。

在統(tǒng)一身份認證工作中,基于客戶不同的系統(tǒng)語言及業(yè)務要求,需要支持多種技術語言的認證協(xié)議,常見的包括Java、PHP及.NET認證。

統(tǒng)一認證與單點登錄部分通常會涉及對相關功能的改造與開發(fā),這時需要客戶方技術人員、被集成廠商方技術人員進行一定的配合,通常統(tǒng)一身份認證需要與ESB企業(yè)服務總線配合協(xié)作,共同完成接口同步功能。

4)統(tǒng)一權限審計

統(tǒng)一權限管理為對用戶對應業(yè)務系統(tǒng)的登錄權限和業(yè)務系統(tǒng)操作權限進行管理,這些權限統(tǒng)一由IDM身份管理平臺發(fā)起,包括用戶、群組、角色、菜單的授權,ESB觸發(fā)審批流程,對應權限負責人進行授權審批,審批通過后即可實現(xiàn)用戶授權。

IDM中支持標準角色、實際角色兩種典型的角色,標準角色用于制定統(tǒng)一的權限管理標準,標準角色與群組關聯(lián)形成實際角色,對于資源(應用、菜單、頁面、操作)可以授權到標準角色、實際角色、人員和組織。

統(tǒng)一審計管理操作,主要以日志的形式記錄什么人、在什么時間、登錄了什么系統(tǒng)、做了哪些操作,無論是同步至IDM的數(shù)據(jù)信息還是從IDM進行審批并分發(fā)至各業(yè)務系統(tǒng)的數(shù)據(jù)信息,都會通過日志的方式記錄,相關技術或者運維人員可以在后臺查看每一條操作記錄信息,快速對問題進行追溯及查看。不只是操作審計信息,對于訪問審計信息、數(shù)據(jù)審計信息都可以通過對應的日志、月表等形式進行記錄查看。

(4)測試驗收

測試是每個項目不可省去的環(huán)節(jié),有效的測試可以及時發(fā)現(xiàn)功能問題,保證上線質(zhì)量。

項目中需要多輪測試,包括單元測試、交叉測試、整體測試、業(yè)務聯(lián)測。

  • 單元測試為開發(fā)人員對開發(fā)的功能自行測試,檢測邏輯、代碼、功能是否合理、可用,測試需要連續(xù)成功3次以上才可通過;
  • 交叉測試由不同開發(fā)人員對彼此開發(fā)的功能進行互測,避免當局者迷的現(xiàn)象發(fā)生;
  • 整體測試為將業(yè)務功能串聯(lián),從整體應用環(huán)境上進行測試,看功能是否貫穿滿足客戶業(yè)務;
  • 業(yè)務聯(lián)測需要客戶方業(yè)務人員共同參與,模擬真實業(yè)務場景,最終驗證是否具備上線驗收資格。

如果測試無問題,即可進行項目的驗收準備,召開項目驗收會議,簽署驗收協(xié)議。

四、最佳實踐輸出

雖然統(tǒng)一身份管理項目不像主數(shù)據(jù)治理、業(yè)務流程再造項目那樣具備嚴格的行業(yè)特征,需要實施人員具備很強的業(yè)務熟悉度與理解力,但并不代表統(tǒng)一身份管理項目就不需要對客戶的業(yè)務場景進行深入了解,整理分析。

除使用高質(zhì)的平臺工具外,與客戶之間的協(xié)調(diào)配合、充分調(diào)研、需求封閉、加強測試、快速上線等環(huán)節(jié)一個都不能少。

1. 充分調(diào)研,避免反復

調(diào)研階段一定要做到充分調(diào)研,最佳效果是在調(diào)研階段對客戶業(yè)務場景進行深入了解,將項目中所有已知或預測的問題全部清晰化,例如人員同步分發(fā)工作,對客戶需要的數(shù)據(jù)源進行業(yè)務場景全面分析整理。

分析過程中除常規(guī)業(yè)務外,還要將特殊情況進行分析、調(diào)研,明確一人多崗、臨時調(diào)派、退休/離職、二級單位等情況下,數(shù)據(jù)源如何分發(fā)至業(yè)務系統(tǒng),相應出具集成標準規(guī)范。

充分的調(diào)研可以避免項目中出現(xiàn)成果與客戶實際業(yè)務偏差,不得不臨時調(diào)整對接業(yè)務的情況,保證項目的進度,避免中途反復。

2. 封閉需求,防止蔓延

調(diào)研階段一定要封閉用戶的需求,并使其明確項目進行中需求變更或蔓延帶來的影響。

項目中會遇到項目開展同時伴隨著客戶應用系統(tǒng)構建的情況,這就涉及是否將待建系統(tǒng)算在或不算在本次實施范圍內(nèi)的問題。

正式實施前必須嚴格明確實施范圍,若實施范圍包括待建系統(tǒng),則需要與客戶明確相關風險及協(xié)調(diào)配合等事宜,并在計劃中打好系統(tǒng)構建延期、廠商不配合等時間量,保證項目交付不超期。

若不算在內(nèi),則需要封閉需求并與客戶明確本期范圍,防止后續(xù)需求蔓延。

3. 暴露問題,及時求助

項目實施過程中,因為客戶所用系統(tǒng)語言、架構、技術、處理業(yè)務模式、方法都不同,根據(jù)具體處理操作在統(tǒng)一身份認證實現(xiàn)上會有不同的形式,對于專業(yè)的產(chǎn)品及項目實施團隊會在多個項目中沉淀出最佳實踐及復用代碼等方法,可以較為穩(wěn)定的實現(xiàn)應對。

對于首次遇到的產(chǎn)品或難以實現(xiàn)的需求需要快速攻克,在計劃中提前做好相關問題準備,實施中遇到技術難題需要盡早暴露出來,請求公司內(nèi)部產(chǎn)品研發(fā)人員或技術人員支持協(xié)助,定位問題。

解決問題期間,項目現(xiàn)場人員在現(xiàn)場也需要推進其它事項、協(xié)調(diào),為后面的測試、上線等工作打出余量空間。

4. 加強測試,快速上線

測試驗收是整個項目最重要的一環(huán),其成果直接決定項目驗收進度,測試不僅檢查產(chǎn)品的功能和性能是否好用,還需要對業(yè)務的滿足性進行測試,通過測試倒逼設計是否合理。

測試工作并不是等到整體開發(fā)實施結束后統(tǒng)一測試,越早開展越好。對做完的功能及時測試,以最早的時間暴露問題,防止后續(xù)上線期間因處理測試出來的問題影響上線進度。

另外,評定項目是否成功或產(chǎn)生二期需求,很重要的一點是讓客戶是否真正的將系統(tǒng)用起來,使用的人越多說明系統(tǒng)對用戶越重要,項目中要采用分階段功能快速上線,保證實施2個月左右即可上線部分功能供用戶使用。

5. 項目復盤,沉淀積累

在項目中遇到的問題一定要及時總結,定期復盤,并與相關人員分享交流,沉淀經(jīng)驗教訓與最佳實踐。

對于項目復盤的產(chǎn)出,不只是做事方法與實施方法論,還包括項目功能及集成認證相關代碼的沉淀。統(tǒng)一身份管理項目是沒有明確的行業(yè)劃分的,不具備顯著的行業(yè)特點,唯一產(chǎn)生差異的是不同用戶的系統(tǒng)及集成認證形式。

隨著項目的展開,接觸業(yè)務的增多,可以對項目中所用的技術及對接方式整理出來,不斷通過方法,模式,代碼的積累,逐漸加快項目交付速度及提高項目成功率。

數(shù)據(jù)經(jīng)濟時代,數(shù)據(jù)治理、大數(shù)據(jù)分析等項目占據(jù)了企業(yè)內(nèi)部建設的主要位置,一定程度上削弱了企業(yè)內(nèi)部對統(tǒng)一身份的管理,統(tǒng)一身份管理做為企業(yè)信息化IT治理部分的基礎,是每個企業(yè)信息化建設的必經(jīng)之路,也會為后續(xù)信息化建設奠定基礎,不與其它信息化建設手段沖突,同樣應該被企業(yè)所重視。

 

本文由@數(shù)通暢聯(lián) 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理,未經(jīng)許可,禁止轉載。

題圖來自Unsplash, 基于CC0協(xié)議

更多精彩內(nèi)容,請關注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App
評論
評論請登錄
  1. 前人幾年前就整理好的IAM項目建設思路,對如今的項目落地依舊具備有效的借鑒意義,好文章?。?!

    來自江蘇 回復
  2. 多年前的文章,看了后受益良多,感謝博主分享

    來自廣東 回復
  3. 群組是什么呢?

    回復
  4. 掛了嗎?

    回復
    1. 第一次打開是沒有顯示,關閉頁面后再次打開就可以正常瀏覽了

      回復