淺談統一權限管理平臺

馮　磊,王　楷,胡美慧,姚　斐（.國網新疆電力公司信息通信公司,烏魯木齊　830000;　.四川中電啟明星信息技術有限公司,成都　60000）

?

淺談統一權限管理平臺

馮磊1,王楷1,胡美慧1,姚斐2
（1.國網新疆電力公司信息通信公司,烏魯木齊830000;2.四川中電啟明星信息技術有限公司,成都610000）

摘 要：隨著互聯網的迅猛發展以及internet技術的廣泛應用，加快企業信息化建設變得尤為迫切。目前，國內信息化程度較高的行業紛紛啟動并實施了統一權限管理系統的建設。本文通過建設的統一權限管理平臺，從而能夠更加靈活、迅速的實現身份權限管理需求，提升公司身份權限管控水平，降低身份安全控制風險。

關鍵詞：系統架構；統一權限；管理平臺

0　引言

應用統一權限管理平臺提高權限的集中管理，進一步加快各業務系統之間的信息共享與融合，可以使信息資源重復利用，同時為業務功能組件化管理提供權限服務支撐，提高業務應用及分析決策能力，避免了在權限調整過程中存在用戶權限放大的隱患。加快統一權限管理平臺的建設，以確保系統內人員、組織機構數據的一致性，利用權限分析檢測功能，對人員權限進行全面監控與合規性檢測，通過安全、高效的數據同步技術、提高調整效率。

1　統一權限平臺

統一權限平臺架構。統一權限管理系統包括統一身份、統一認證管理、統一授權與安全審計四個核心功能模塊，實現人員身份管理、組織機構管理、授權管理、合規性管理、安全審計等模塊功能，實現統一管理、流程規范、過程受控、備案審查的目的。整體架構如圖1所示：

2　統一權限平臺技術支撐

2.1分布式緩存

統一權限管理平臺在系統緩存方面采用了memcached分布式緩存技術，客戶端的分布式設計成集群模式，客戶端集群由多個客戶端節點組成，應用程序在保存數據時先通過分布式算法獲取到某一客戶端節點，客戶端節點通過內部算法求出需存入的緩存服務器節點，同時將存入對象放入異步同步線程池中，同步給集群中的其它客戶端節點。

具體如下：

（1）數據緩存通過內存緩存、磁盤緩存作為存儲介質，通過同步、分片、路由實現靈活的集群、數據冗余。

（2）系統數據緩服務提供統一的緩存訪問接口API，接口支持以RESTful方式訪問。

（3）數據緩存提供基于Web的配置、管理、監控界面。

（4）平臺通過提供LRU（Least Recently Used，最近最少使用算法）、LFU（Least Frequently Used ，最不經常使用算法）和FIFO（First Input First Output，先入先出算法）等緩存策略及時清理過期緩存項目。

（5）數據緩存套件服務于系統的其他所有模塊，數據訪問層包含數據緩存服務的API。

2.2SSO認證

統一權限管理平臺主要采用單點登陸認證技術（Single Sign On，SSO），通過使用單點登陸，用戶登陸門戶后，可直接訪問相關業務平臺，在身份憑證有效期內，也不需要再次進行認證，提高了系統的易用性、安全性和穩定性。在系統服務器上，通過部署SSO認證包，實現即裝即用，具有很強的靈活性，并且可以精確記錄用戶的日志等，對后續業務系統擴展有良好的兼容性。

單點登陸的具體步驟如下：（1）登陸系統平臺后，從登陸認證結果中獲取相關用戶id；（2）由用戶id映射不同應用系統的用戶賬號；（3）最后用映射后的賬號訪問相應的業務系統。

3　統一權限平臺與業務系統集成

統一權限與業務系統集成邏輯架構。由統一權限系統提供統一的登錄認證模塊，訪問業務系統若發現未登錄則會跳轉到統一權限的登錄頁面，登錄認證后返回用戶訪問的業務系統的頁面。統一權限是相關權限數據在統一權限系統中維護，正向同步到業務系統中，常用同步范圍如對用戶、業務組織、業務角色分組、菜單的新增、刪除、修改業務角色的權限分配、業務角色分配人員等。圖2為統一權限與業務系統集成邏輯架構：

4　結束語

本文針對統一權限系統從系統架構、技術支撐、與業務系統集成方式進行了介紹和分析。通過建設統一權限管理平臺，加強企業權限的集中、統一、精益和高效的管理，進一步提升對企業內組織、人員、賬號、權限的管控能力，加強了對資源的共享。

作者簡介：馮磊（1983-），男，河南獲嘉人，碩士，國網新疆電力公司信息通信公司專責，門戶、OA及統一權限系統。

DOI:10.16640/j.cnki.37-1222/t.2016.03.166