統一身份管理項目的最佳實踐
本文總結了統一身份管理項目實踐中的常見問題、項目解決方案、最佳實踐輸出等內容。
隨著信息技術的發展和信息化建設的進步,各個企業在信息化建設上不斷投入運行應用系統、商務平臺、系統設備等,隨著系統的加深投入,因不同時期為不同部門分別建設的各類信息化系統在技術架構與應用模式上差異明顯,信息化建設逐漸遇到了新問題。
例如由于系統、設備、服務器眾多,出現用戶管理混亂、越權訪問、誤操作、濫用、惡意攻擊等現象,為解決這一問題,統一身份管理需求出現,公司作為SOA綜合集成產品及解決方案的提供商,統一身份管理是主打方案之一,本文主要分享在各行業統一身份管理項目交付中沉淀的最佳實踐。
一、相關定義理解
統一身份管理項目主要實現統一用戶管理、統一認證管理、統一權限管理、統一安全審計功能,達到多個應用之間的用戶、認證統一管理、高效集成、安全監管,提升企業信息化應用能力。
許多人在這個項目與4A項目、主數據管理項目上存在一定的理解誤區,在講述解決方案之前,先對這兩個歧義進行說明。
1. 與4A概念的關系
4A是指:認證Authentication、賬號Account、授權Authorization、審計Audit,中文名稱為統一安全管理平臺解決方案。即將身份認證、授權、審計和賬號(即不可否認性及數據完整性)定義為網絡安全的四大組成部分,從而確立了身份認證在整個網絡安全系統中的地位與作用。
在軟件項目中統一身份管理也被稱作為4A項目,解決問題及實施方案包括4A中提到的內容,只不過很多時候對于不同用戶的需求場景與個性化業務,會在4A實施內容范圍上多實現一些功能,例如開發簡單的工作臺門戶,展現系統集成成果或與不同的集成類平臺產品結合,打造不同的解決方案等,加深項目的價值與作用。
2. 與主數據管理的區別
主數據管理是解決企業經營中各類主數據在不同系統中的名稱、編碼等信息不一致現象,保證企業內主數據單一視圖的準確性、一致性及完整性。
兩者在企業IT架構的層面、管理內容、功能、業務交互等方面都具備一定的差異。
在企業IT架構中統一身份管理項目屬于IT治理層面,注重技術架構的實現;主數據管理項目屬于數據治理層面,注重業務、數據架構的實現,兩者從不同層面、維度分別作為基礎支撐為更高層次的服務治理、業務治理奠定基礎。
在管理內容方面,統一身份管理企業內部的用戶、群組、角色;主數據管理企業內部的組織、人員、崗位,除此之外還管理其它如:客戶、供應商等主數據。
在功能方面,統一身份管理具備統一身份認證功能,弱化案例功能,很少或不預置管理案例;主數據管理不具備統一身份認證功能,提供基礎數據管理樣例。
在業務交互方面,統一身份管理主要與信息中心人員進行交互;主數據管理主要與業務人員進行交互,注重數據、業務的梳理。
二、常見問題分析
統一身份管理項目屬于IT整合階段的集成類問題,談到集成類問題,企業信息化建設的歷史原因不可避免,為解決運營管理問題由下至上無規劃的建設,造成不同時期、不同廠商、不同技術、不同平臺、不同規模的系統雜亂無序的構建,隨著系統增多到一定程度,新一階段的信息化問題一觸即發,具體表現如下:
1. 業務處理方面
- 用戶處理業務必須記住多個系統的用戶名及密碼,容易遺忘;
- 處理一個業務需要頻繁登錄與切換不同系統,繁瑣且效率低下;
- 信息分散難以獲取,缺少有效整合,用戶難以進行信息綜合利用;
2. IT運維方面
- 系統用戶名/密碼遺忘現象嚴重,IT維護難度及成本增大;
- 隨著用戶名/密碼增多,企業缺乏統一的賬號安全管理策略;
- 缺乏統一授權及訪問審計機制,非法操作無法快速定位追溯;
三、項目解決方案
對于統一身份管理項目主要使用IDM身份管理平臺或4A系統進行解決,通常情況下除了使用單一產品,還會搭配集成套件中的其它產品更好的輔助完成項目,如ESB企業服務總線,共同打造統一身份管理項目。
1. 方案總體介紹
通過統一用戶管理及認證體系,建立統一用戶資源庫,對企業信息系統用戶進行合理分類,實現用戶身份和權限的統一認證與授權管理,并對企業應用集成的運行環境、服務互操作、數據交換和通用服務等全過程進行統一系統監控安全審計,滿足對信息系統統一用戶管理、統一身份認證、統一授權管理以及安全審計的要求。
具體包括IDM身份管理平臺、ESB企業服務總線,方案體系架構如下圖所示:
使用IDM身份管理平臺主要實現企業內部用戶、群組、角色統一管理、認證管理及多關聯關系的權限管理、內置工作流功能實現對創建賬號、授權管理時的流程審批功能,審計功能實現行為的審計分析、追溯管理。
ESB企業服務總線在統一身份管理方案中主要作為提供數據同步接口、流程觸發、實現數據間抽取、轉換、同步、分發的工具。
2.?具體實施步驟
統一身份管理項目的順利落地不只是需要平臺系統、規劃方案,還需要完備項目實施方法論,例如前期1輪至2輪的需求調研、調研結束后的功能設計、對接標準規范的設計、對應場景需求的實施開發、最終成果的聯測驗收等一系列工作,根據不同需求及項目實施難以程度,通常周期在4-6個月區間。
(1)需求調研
需求調研是每個集成類項目必須要進行的一步,正確有效的需求調研是項目后續順利實施開發,保障項目驗收首要環節。
統一身份管理項目需求調研工作主要分為兩輪,第一輪調研為企業內部情況調研,包括項目具體涉及信息化系統情況:廠商、語言、數據庫;集成與單點配置系統需求、各部門涉及業務權限等內容的調研,確定統一用戶的源頭系統。
過程中出具系統需求規格說明書、開發與集成標準規范等初稿。召開項目啟動會召集各方統一目標、項目協作方式,明確相關負責人,之后進行第二輪調研,包括內部客戶與外部被集成廠商,明確對接形式,各方職權等。
(2)功能設計
功能設計與需求調研是一脈相承的,兩者具備一定的銜接性,在第一輪需求調研結束之后,就可以著手開始進行功能設計工作,期間要出具整體項目設計規格說明書,從實施設計中可以有效倒逼出需求是否正確或存在漏洞。
功能設計包括服務同步原型設計、集成標準設計等,對于統一身份管理項目需要制定并出具統一用戶規范,包括:數據同步規范、數據分發規范;統一認證規范,如:JAVA認證、PHP認證、.NET認證等;如果項目中涉及到定制化開發功能,還需要根據需求出具客戶定制化原型設計。
(3)實施開發
統一用戶管理:
統一用戶管理主要為用戶提供統一集中賬號(用戶/群組/角色)的管理與分發,包括賬戶間的狀態記錄、關聯關系、角色授權等,確保用戶賬戶使用和管理的安全性。
統一用戶管理的業務場景主要包括數據同步與數據分發,實現統一用戶管理首先需要確定企業數據的管理維護者是哪個系統,通常以人力資源管理系統作為信息同步中信息的源頭,也可以直接以IDM作為源系統,提供用戶/群組/角色的基本信息、職位關聯信息、賬號變動信息等同步至IDM,再由IDM將統一管理后的信息分發至相關系統。
實現當用戶基本信息發生變動時,其它系統中的信息隨之進行相應的變動處理,而不需要多方操作。
1)用戶同步
用戶同步部分通常由數據源提供變動信息,使用ESB企業服務總線撰寫同步流程,以獲取數據源頭的變動信息,對應的數據源系統按照統一同步接口標準提供全量或增量信息服務接口即可完成數據同步工作,同步的方式可以根據企業具體業務需求采用實時調用或定時輪詢方式。
通常采用實時調用方式,即IDM統一身份管理平臺提供變動信息的寫入服務,數據源信息變動時,直接調用IDM自身服務即可;如集成系統無法進行實時調用,可采用定時輪詢方式,由ESB企業服務總線創建定時同步流程,定時獲取數據源系統的變動信息寫入本地服務器,完成同步信息日志記錄,之后從服務器讀取該同步日志記錄,將日志內變動信息同步寫入IDM,生成對應的操作信息。
2)用戶分發
用戶分發也是統一用戶管理的重要步驟,順序為數據源—IDM—各業務系統,具體為賬戶信息從數據源同步至IDM并生成操作信息,IDM將操作信息打包成工作任務,這部分涉及到工作流審批,通常預置在身份管理平臺中,由各環節負責人進行數據分發的審批操作。ESB企業服務總線創建分發流程,調用分發服務,實現數據信息的分發。
數據分發根據企業業務系統不同的情況、配合的程度分為采用不同的分發形式,常見的幾種形式包括webService、中間表存儲、數據庫權限三種。
- webService形式主要由業務系統提供服務標準的webService,供流程調用實現信息分發;
- 中間表存儲形式主要由業務系統提供中間庫、中間表及對應的存儲過程,ESB寫入服務,并調用對應的存儲過程,實現信息分發;
- 數據庫權限針對無法提供配合的業務系統,系統提供數據庫操作權限,由ESB直接寫入數據庫操作。
3)統一身份認證
統一用戶管理是統一身份認證的基礎,實現統一用戶管理后,即可開始統一身份認證工作,具體基于CAS認證方式對所有應用系統提供統一的認證方式和認證策略,通過單點登錄技術,用戶經過統一身份認證系統認證后,無需再次登錄即可訪問其具有訪問權限的應用系統。
在統一身份認證工作中,基于客戶不同的系統語言及業務要求,需要支持多種技術語言的認證協議,常見的包括Java、PHP及.NET認證。
統一認證與單點登錄部分通常會涉及對相關功能的改造與開發,這時需要客戶方技術人員、被集成廠商方技術人員進行一定的配合,通常統一身份認證需要與ESB企業服務總線配合協作,共同完成接口同步功能。
4)統一權限審計
統一權限管理為對用戶對應業務系統的登錄權限和業務系統操作權限進行管理,這些權限統一由IDM身份管理平臺發起,包括用戶、群組、角色、菜單的授權,ESB觸發審批流程,對應權限負責人進行授權審批,審批通過后即可實現用戶授權。
IDM中支持標準角色、實際角色兩種典型的角色,標準角色用于制定統一的權限管理標準,標準角色與群組關聯形成實際角色,對于資源(應用、菜單、頁面、操作)可以授權到標準角色、實際角色、人員和組織。
統一審計管理操作,主要以日志的形式記錄什么人、在什么時間、登錄了什么系統、做了哪些操作,無論是同步至IDM的數據信息還是從IDM進行審批并分發至各業務系統的數據信息,都會通過日志的方式記錄,相關技術或者運維人員可以在后臺查看每一條操作記錄信息,快速對問題進行追溯及查看。不只是操作審計信息,對于訪問審計信息、數據審計信息都可以通過對應的日志、月表等形式進行記錄查看。
(4)測試驗收
測試是每個項目不可省去的環節,有效的測試可以及時發現功能問題,保證上線質量。
項目中需要多輪測試,包括單元測試、交叉測試、整體測試、業務聯測。
- 單元測試為開發人員對開發的功能自行測試,檢測邏輯、代碼、功能是否合理、可用,測試需要連續成功3次以上才可通過;
- 交叉測試由不同開發人員對彼此開發的功能進行互測,避免當局者迷的現象發生;
- 整體測試為將業務功能串聯,從整體應用環境上進行測試,看功能是否貫穿滿足客戶業務;
- 業務聯測需要客戶方業務人員共同參與,模擬真實業務場景,最終驗證是否具備上線驗收資格。
如果測試無問題,即可進行項目的驗收準備,召開項目驗收會議,簽署驗收協議。
四、最佳實踐輸出
雖然統一身份管理項目不像主數據治理、業務流程再造項目那樣具備嚴格的行業特征,需要實施人員具備很強的業務熟悉度與理解力,但并不代表統一身份管理項目就不需要對客戶的業務場景進行深入了解,整理分析。
除使用高質的平臺工具外,與客戶之間的協調配合、充分調研、需求封閉、加強測試、快速上線等環節一個都不能少。
1. 充分調研,避免反復
調研階段一定要做到充分調研,最佳效果是在調研階段對客戶業務場景進行深入了解,將項目中所有已知或預測的問題全部清晰化,例如人員同步分發工作,對客戶需要的數據源進行業務場景全面分析整理。
分析過程中除常規業務外,還要將特殊情況進行分析、調研,明確一人多崗、臨時調派、退休/離職、二級單位等情況下,數據源如何分發至業務系統,相應出具集成標準規范。
充分的調研可以避免項目中出現成果與客戶實際業務偏差,不得不臨時調整對接業務的情況,保證項目的進度,避免中途反復。
2. 封閉需求,防止蔓延
調研階段一定要封閉用戶的需求,并使其明確項目進行中需求變更或蔓延帶來的影響。
項目中會遇到項目開展同時伴隨著客戶應用系統構建的情況,這就涉及是否將待建系統算在或不算在本次實施范圍內的問題。
正式實施前必須嚴格明確實施范圍,若實施范圍包括待建系統,則需要與客戶明確相關風險及協調配合等事宜,并在計劃中打好系統構建延期、廠商不配合等時間量,保證項目交付不超期。
若不算在內,則需要封閉需求并與客戶明確本期范圍,防止后續需求蔓延。
3. 暴露問題,及時求助
項目實施過程中,因為客戶所用系統語言、架構、技術、處理業務模式、方法都不同,根據具體處理操作在統一身份認證實現上會有不同的形式,對于專業的產品及項目實施團隊會在多個項目中沉淀出最佳實踐及復用代碼等方法,可以較為穩定的實現應對。
對于首次遇到的產品或難以實現的需求需要快速攻克,在計劃中提前做好相關問題準備,實施中遇到技術難題需要盡早暴露出來,請求公司內部產品研發人員或技術人員支持協助,定位問題。
解決問題期間,項目現場人員在現場也需要推進其它事項、協調,為后面的測試、上線等工作打出余量空間。
4. 加強測試,快速上線
測試驗收是整個項目最重要的一環,其成果直接決定項目驗收進度,測試不僅檢查產品的功能和性能是否好用,還需要對業務的滿足性進行測試,通過測試倒逼設計是否合理。
測試工作并不是等到整體開發實施結束后統一測試,越早開展越好。對做完的功能及時測試,以最早的時間暴露問題,防止后續上線期間因處理測試出來的問題影響上線進度。
另外,評定項目是否成功或產生二期需求,很重要的一點是讓客戶是否真正的將系統用起來,使用的人越多說明系統對用戶越重要,項目中要采用分階段功能快速上線,保證實施2個月左右即可上線部分功能供用戶使用。
5. 項目復盤,沉淀積累
在項目中遇到的問題一定要及時總結,定期復盤,并與相關人員分享交流,沉淀經驗教訓與最佳實踐。
對于項目復盤的產出,不只是做事方法與實施方法論,還包括項目功能及集成認證相關代碼的沉淀。統一身份管理項目是沒有明確的行業劃分的,不具備顯著的行業特點,唯一產生差異的是不同用戶的系統及集成認證形式。
隨著項目的展開,接觸業務的增多,可以對項目中所用的技術及對接方式整理出來,不斷通過方法,模式,代碼的積累,逐漸加快項目交付速度及提高項目成功率。
數據經濟時代,數據治理、大數據分析等項目占據了企業內部建設的主要位置,一定程度上削弱了企業內部對統一身份的管理,統一身份管理做為企業信息化IT治理部分的基礎,是每個企業信息化建設的必經之路,也會為后續信息化建設奠定基礎,不與其它信息化建設手段沖突,同樣應該被企業所重視。
本文由@數通暢聯 原創發布于人人都是產品經理,未經許可,禁止轉載。
題圖來自Unsplash, 基于CC0協議
前人幾年前就整理好的IAM項目建設思路,對如今的項目落地依舊具備有效的借鑒意義,好文章?。?!
多年前的文章,看了后受益良多,感謝博主分享
群組是什么呢?
掛了嗎?
第一次打開是沒有顯示,關閉頁面后再次打開就可以正常瀏覽了