統一身份管理系統的設計與實現

李石師（中國石油化工股份有限公司北京燕山分公司，北京　102500）

統一身份管理系統的設計與實現

李石師
（中國石油化工股份有限公司北京燕山分公司，北京102500）

摘要：本文針對燕山石化公司在信息系統身份管理、用戶管理以及單點登錄等方面的需求，建設統一身份管理系統。系統實現涵蓋燕山石化云節點建設、應用單點登錄集成、賬號管理三大內容，并針對信息系統各自技術特點，分別采用聯邦模式、網關模式、微軟ADFS模式、易登錄方式實現單點集成。燕山石化統一身份系統與中石化活動目錄（AD）、PKI/CA及人力資源管理信息系統（SAPHR）進行了集成，實現了信息系統的身份認證和單點登錄。

關鍵詞：身份管理；單點登錄；功能設計

廣義地說，身份管理可描述為企業能夠建立并管理IT系統使用人員的數字身份，定義誰進入哪個系統并保護私人和業務機密信息的一套業務流程、政策和技術。過去，身份管理主要是防止未獲得授權的用戶訪問特定數據。如今，身份管理正在朝著讓可以信任的、經過認證的用戶訪問Web服務和應用這樣的模式發展。隨著信息化水平的提高，信息系統的數量逐漸增多，用戶身份和訪問管理也變得越來越復雜，企業需要在授予用戶IT資源訪問權限的同時，有效而精確地管理用戶。

1　系統建設背景

近年來，燕山石化緊緊圍繞自身的發展戰略和主營業務開展信息化工作，積極推進以ERP為主線的信息化建設與深化應用工作，基本建成了以ERP為核心的經營管理平臺、以MES為核心的生產執行平臺、以及其他信息基礎設施與運維平臺。但隨著IT應用的不斷深化與拓展，應用系統逐漸增多，涉及的業務范圍不斷擴大，用戶對應用系統的依賴程度越來越高，用戶因業務需要而使用多個應用系統的情況也越來越多。信息化應用的高速發展在為燕山石化在企業管理和生產經營方面帶來巨大收益的同時，也為應用系統的建設、管理和運維帶來了更多的挑戰，提出更高的要求。同時，隨著企業的發展，各種業務不斷調整，人員調動頻繁，導致企業信息系統用戶信息越來越復雜，這也極大增加了IT用戶管理的成本，并可能產生諸多安全風險，客觀上對實現用戶統一身份管理的需求越來越迫切。

2　系統功能設計

燕山石化統一身份管理系統的功能主要包括用戶管理、審計管理、認證和訪問管理三部分。其中，用戶管理主要實現用戶身份管理、組織管理、賬號管理、角色管理、口令管理等，認證和訪問管理主要實現統一認證和單點登錄功能，審計管理部分主要實現系統賬號管理審計、用戶行為審計、合規賬號審計，日志分析等功能。統一身份系統功能設計圖如圖1所示。

2.1用戶管理。用戶管理是用戶統一身份管理系統建設的重要組成部分。用戶統一身份管理系統的管理原則是：①集中部署：用戶身份信息、組織信息等集中在集團總部中心系統內，作為中國石化權威的人員信息庫。②統一管理：用戶信息的梳理、配置、維護等操作管理部分，由集團總部中心集中提供服務，委托區域中心管理。③分散應用：用戶信息由集團總部中心系統以子集或全集的方式同步到企業，使企業享有本地用戶信息資源。

2.2訪問管理。訪問管理是用戶統一身份管理系統建設的重要組成部分。本系統核心技術采用單點登錄（SSO）技術實現統一的安全認證，用戶只需要進行一次登錄，就可以訪問到所有已授權信息系統。訪問管理主要組成要素有：統一訪問、用戶統一身份認證、授權管理、單點登錄、訪問控制。SSO系統包括了統一的訪問系統、集中身份認證系統，實現對各個信息系統的一站式登錄。

2.3審計管理。實現對統一身份系統的審計管理，為安全審計平臺提供必要接口。審計管理包含審計日志管理、賬號管理審計、用戶行為審計、審計報表等功能。

圖1　統一身份系統功能設計圖

3　系統實現

統一身份系統組件主要包括：身份管理服務、數據同步和賬號管理接口服務、統一認證服務云、統一接入服務和身份管理系統核心數據存儲服務（統一目錄服務LDAP）。

3.1統一身份子節點。（1）在燕山石化建設統一身份管理子節點，部署基礎信息LDAP服務，存儲用戶及組織機構、角色等，提供統一認證功能。（2）燕山石化統一身份管理子節點用戶數據和組織機構等數據完全與總部HR系統中的數據保持一致。（3）燕山石化各應用系統的賬號由應用系統管理員統一開設，通過統一接口服務向燕山石化各應用推送數據。（4）燕山石化統一認證服務基于燕山石化本地LDAP服務，提供燕山石化各應用統一認證及單點登錄服務。

3.2賬號管理。統一身份管理系統的賬號管理功能根據應用系統類型的不同提供了兩種接入方式：①適配器模式。②消息模式。

3.3應急管理。為保證各應用系統認證服務的可靠性，燕山石化統一身份管理系統進行了系統容錯冗余設計，當本地認證服務失敗時，自動尋找中石化總部的認證服務。當總部與燕山石化統一身份管理子節點同時失效或發生異常情況時，燕山石化各應用系統立即切換到應急模式，按照應用的不同，應急方式也不完全相同。

4應用效果

燕山石化統一身份管理系統于2013 年5月啟動，同年10月18日上線試運行。系統運行以來，在身份管理、單點登錄等方面取得了較好的運行效果。

結語

燕山石化公司率先在中石化煉化企業范圍內建設并使用了統一身份管理系統，實現了信息系統用戶實名制和全生命周期管理；使用證書認證，提高了系統登錄安全等級；實現系統單點登錄，用戶只需記錄一套密碼，提高了用戶使用信息系統的滿意度。

參考文獻

[1]陳志德，黃欣沂，許力．身份認證安全協議理論與應用[M]．北京：電子工業出版社，2015．

[2]陳宇翔．LDAP詳解[M]．北京：機械工業出版社，2012．

中圖分類號：TP315

文獻標識碼：A