如何推進(jìn)統(tǒng)一權(quán)限平臺(tái)身份授權(quán)單軌使用

王 萍，胡 聰，李彥生

（國(guó)網(wǎng)安徽省電力公司信息通信分公司，合肥 230061）

如何推進(jìn)統(tǒng)一權(quán)限平臺(tái)身份授權(quán)單軌使用

王 萍，胡 聰，李彥生

（國(guó)網(wǎng)安徽省電力公司信息通信分公司，合肥 230061）

國(guó)網(wǎng)公司推廣統(tǒng)一權(quán)限平臺(tái)，即將身份授權(quán)工作整合到一個(gè)系統(tǒng)中使用，稱為單軌使用。這樣做不僅可以提高應(yīng)用安全性，統(tǒng)一操作體驗(yàn)，提高授權(quán)效率，還可以為企業(yè)提供其他增值服務(wù)。本文根據(jù)安徽省電力公司實(shí)施統(tǒng)一權(quán)限平臺(tái)的實(shí)際項(xiàng)目經(jīng)驗(yàn)，總結(jié)出導(dǎo)致身份授權(quán)無(wú)法單軌使用的幾大問(wèn)題，并針對(duì)這些問(wèn)題從管理層面和技術(shù)層面提出解決措施。

身份授權(quán)；應(yīng)用安全；統(tǒng)一權(quán)限

1　影響單軌使用的主要問(wèn)題

通過(guò)對(duì)各個(gè)省市公司調(diào)研，發(fā)現(xiàn)影響單軌使用的主要問(wèn)題有三點(diǎn)。

1.1存在系統(tǒng)自建賬號(hào)

SG186工程的目錄服務(wù)實(shí)施以后，理論上所有使用國(guó)網(wǎng)信息系統(tǒng)的賬號(hào)都應(yīng)該被錄入到目錄服務(wù)中，但是由于賬號(hào)更新頻繁、未入人資系統(tǒng)人員等原因，導(dǎo)致統(tǒng)一身份的管理工作并沒(méi)有被徹底貫徹，未得到長(zhǎng)期執(zhí)行。

1.2業(yè)務(wù)系統(tǒng)升級(jí)后造成資源和權(quán)限定義數(shù)據(jù)的不一致

統(tǒng)一權(quán)限平臺(tái)實(shí)現(xiàn)了統(tǒng)一身份授權(quán)，并將業(yè)務(wù)系統(tǒng)的資源數(shù)據(jù)管理起來(lái)，這樣的權(quán)限定義工作也應(yīng)該在統(tǒng)一權(quán)限平臺(tái)進(jìn)行。但在現(xiàn)有業(yè)務(wù)系統(tǒng)沒(méi)有集成以前，資源數(shù)據(jù)和權(quán)限定義工作是在有功能更新升級(jí)時(shí)采用數(shù)據(jù)腳本的方式一并導(dǎo)入，該方式目前并未得到改變，導(dǎo)致賬號(hào)權(quán)限資源和權(quán)限定義數(shù)據(jù)不一致。

1.3數(shù)據(jù)同步方式產(chǎn)生的數(shù)據(jù)差異性

現(xiàn)有系統(tǒng)的集成均采用同步適配器的方式進(jìn)行，統(tǒng)一權(quán)限平臺(tái)推送權(quán)限數(shù)據(jù)給業(yè)務(wù)應(yīng)用，業(yè)務(wù)應(yīng)用將權(quán)限數(shù)據(jù)轉(zhuǎn)換到系統(tǒng)當(dāng)中。這樣雙方都參與到轉(zhuǎn)義和數(shù)據(jù)交換過(guò)程，數(shù)據(jù)交換最終結(jié)果是否成功，對(duì)管理員來(lái)講是不可見(jiàn)的。

2　解決賬號(hào)不一致問(wèn)題

解決賬號(hào)不一致的管理手段關(guān)鍵在于賬號(hào)維護(hù)，從系統(tǒng)廠商回收賬號(hào)管理權(quán)限，使統(tǒng)一權(quán)限平臺(tái)成為賬號(hào)維護(hù)的唯一工具。實(shí)施技術(shù)手段上，主要采取將要求業(yè)務(wù)系統(tǒng)修改賬號(hào)與目錄保持一致的措施，同時(shí)配合目錄補(bǔ)錄和賬號(hào)通知的手段作為輔助。信通公司召集相關(guān)應(yīng)用廠商、目錄廠商告知執(zhí)行關(guān)于決定進(jìn)行統(tǒng)一身份單軌使用的行動(dòng)計(jì)劃，具體實(shí)施流程如下。

業(yè)務(wù)系統(tǒng)廠商確認(rèn)業(yè)務(wù)系統(tǒng)中賬號(hào)未與重要業(yè)務(wù)數(shù)據(jù)（如操作票、發(fā)票單據(jù)、合同等）綁定，即認(rèn)為具備修改條件。從以往實(shí)施經(jīng)驗(yàn)來(lái)看，除郵件系統(tǒng)賬號(hào)具有自身特殊性以外，幾乎沒(méi)有將系統(tǒng)賬號(hào)與業(yè)務(wù)數(shù)據(jù)綁定的系統(tǒng)設(shè)計(jì)。確認(rèn)后并出具修改賬號(hào)名的SQL腳本，確保修改后不影響業(yè)務(wù)操作，導(dǎo)出業(yè)務(wù)系統(tǒng)賬號(hào)交目錄廠商初步匹配。

目錄廠商通過(guò)數(shù)據(jù)庫(kù)SQL語(yǔ)句，分單位進(jìn)行應(yīng)用賬號(hào)與目錄賬號(hào)匹配清洗，排查出姓名重復(fù)的人員名單?？赡軙?huì)出現(xiàn)姓名重名、公共賬號(hào)、系統(tǒng)管理員賬號(hào)及一人多賬號(hào)等幾種匹配不上的情況。根據(jù)各單位統(tǒng)一身份程度不同，這類賬號(hào)會(huì)占系統(tǒng)總賬號(hào)2%～10%。

信通公司原則上應(yīng)對(duì)公共賬號(hào)、系統(tǒng)管理員賬號(hào)和一人多賬號(hào)進(jìn)行回收處理，并通過(guò)權(quán)限分配的方式解決該問(wèn)題。對(duì)姓名重復(fù)的賬號(hào)發(fā)回該單位確認(rèn)，匯總結(jié)果，交應(yīng)用廠商編制更改賬號(hào)名的批量SQL腳本，目錄廠商編制批量補(bǔ)錄腳本。完成后由信通公司告知各單位賬號(hào)變更執(zhí)行時(shí)間，要求各單位通知用戶采用統(tǒng)一賬號(hào)名登陸系統(tǒng)。最后，按照信通公司的操作流程和要求，在業(yè)務(wù)系統(tǒng)端執(zhí)行更改賬號(hào)名的批量SQL腳本和目錄廠商編制批量補(bǔ)錄的腳本，并將所有賬號(hào)重建關(guān)聯(lián)。

3　解決資源和權(quán)限定義不一致

解決資源和權(quán)限不一致問(wèn)題，在管理上應(yīng)抓業(yè)務(wù)系統(tǒng)的上線和升級(jí)的過(guò)程，要求應(yīng)用廠商系統(tǒng)上線升級(jí)包中不能包含對(duì)資源和權(quán)限定義的腳本，而是替換成統(tǒng)一權(quán)限平臺(tái)提供的權(quán)限數(shù)據(jù)增量導(dǎo)入模板。在實(shí)施中主要采取全量覆蓋初始化和增量導(dǎo)入的技術(shù)手段。信通公司召集相關(guān)應(yīng)用、權(quán)限廠商告知執(zhí)行統(tǒng)一權(quán)限單軌使用的行動(dòng)計(jì)劃，具體實(shí)施流程如下。

全量覆蓋執(zhí)行，應(yīng)用廠商導(dǎo)出現(xiàn)有系統(tǒng)資源和權(quán)限定義數(shù)據(jù)至統(tǒng)一權(quán)限平臺(tái)數(shù)據(jù)導(dǎo)入模板。權(quán)限廠商使用數(shù)據(jù)導(dǎo)入工具進(jìn)行檢查，檢查結(jié)果可能存在業(yè)務(wù)組織上級(jí)依賴關(guān)系缺失、菜單資源上級(jí)依賴關(guān)系缺失、功能和菜單依賴關(guān)系缺失、存在權(quán)限關(guān)系而沒(méi)有角色、組織角色存在而沒(méi)有業(yè)務(wù)角色、組織角色存在而沒(méi)有業(yè)務(wù)組織，業(yè)務(wù)組織ID缺失等情況。一般出現(xiàn)這種情況的原因可能是業(yè)務(wù)系統(tǒng)中本身存在功能冗余、組織冗余、資源冗余，最后才導(dǎo)致關(guān)系丟失。將檢查結(jié)果交應(yīng)用廠商確認(rèn)，確認(rèn)結(jié)果交信通公司做記錄備案。應(yīng)用廠商編制將冗余數(shù)據(jù)批量刪除SQL腳本去除冗余，關(guān)系數(shù)據(jù)補(bǔ)錄至統(tǒng)一權(quán)限平臺(tái)數(shù)據(jù)導(dǎo)入模板中。

增量數(shù)據(jù)導(dǎo)入，信通公司應(yīng)要求各業(yè)務(wù)系統(tǒng)廠商在研發(fā)時(shí)將權(quán)限數(shù)據(jù)轉(zhuǎn)換成權(quán)限數(shù)據(jù)增量導(dǎo)入模板，該模板應(yīng)分為資源導(dǎo)入、角色導(dǎo)入、權(quán)限分配導(dǎo)入、權(quán)限定義導(dǎo)入四個(gè)部分，可以拆分也可以合并執(zhí)行。各系統(tǒng)上線升級(jí)時(shí)，涉及到權(quán)限變更數(shù)據(jù)，提交信通公司運(yùn)維人員在統(tǒng)一權(quán)限平臺(tái)中導(dǎo)入。

4　促進(jìn)統(tǒng)一權(quán)限平臺(tái)的使用

解決身份和權(quán)限數(shù)據(jù)一致的問(wèn)題后，還要確保統(tǒng)一身份授權(quán)使用。管理上應(yīng)當(dāng)回收原系統(tǒng)中的權(quán)限管理權(quán)限，將身份授權(quán)工作統(tǒng)一在一個(gè)平臺(tái)。同時(shí)在使用過(guò)程中對(duì)權(quán)限廠商不斷提出實(shí)用化需求，減小運(yùn)維工作量，例如用戶組便捷授權(quán)、多用戶多角色批量授權(quán)、校準(zhǔn)授權(quán)成功精準(zhǔn)度、權(quán)限復(fù)制等。信通公司可以通過(guò)權(quán)限平臺(tái)進(jìn)一步發(fā)揮對(duì)系統(tǒng)廠商的管理職能，對(duì)信息系統(tǒng)的資源進(jìn)行管理，同時(shí)通過(guò)統(tǒng)一身份和權(quán)限管理，提升信息部門的服務(wù)職能。

5　總　結(jié)

本文通過(guò)對(duì)國(guó)網(wǎng)推廣統(tǒng)一權(quán)限平臺(tái)無(wú)法進(jìn)行身份授權(quán)單軌使用的工程問(wèn)題的分析，指出其技術(shù)上的主要原因，是由于采用同步集成模式造成數(shù)據(jù)的不一致。因此在大型國(guó)網(wǎng)企業(yè)中，應(yīng)該提倡服務(wù)的集成模式，后續(xù)上線的業(yè)務(wù)系統(tǒng)應(yīng)該采用服務(wù)模式集成統(tǒng)一權(quán)限平臺(tái)，這樣能規(guī)避身份和權(quán)限的一致性問(wèn)題，使信息部門更專注于對(duì)應(yīng)用安全、內(nèi)控分析的管理及服務(wù)。

10.3969/j.issn.1673-0194.2015.08.079

TP393.18

A

1673-0194（2015）08-0103-01

2015-02-16