從組織人員“流動(dòng)”管理的角度探討4A的深入化應(yīng)用

李申章，郭　威，毛正雄，張雪堅(jiān)

（云南電網(wǎng)有限責(zé)任公司 信息中心，昆明 650217）

從組織人員“流動(dòng)”管理的角度探討4A的深入化應(yīng)用

李申章，郭威，毛正雄，張雪堅(jiān)

（云南電網(wǎng)有限責(zé)任公司 信息中心，昆明 650217）

4A平臺(tái)的定位是集統(tǒng)一身份、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、安全審計(jì)于一體，同時(shí)也是一套高效的統(tǒng)一權(quán)限管理集約化平臺(tái)，助力信息系統(tǒng)應(yīng)用安全管理。但從南網(wǎng)CSGII實(shí)施效果來看，制約4A應(yīng)用效率的原因之一，就是系統(tǒng)的組織人員管理，不能實(shí)現(xiàn)快速的切換和權(quán)限的高效變換。4A與各業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)一致性保證機(jī)制，成為了制約4A統(tǒng)一身份管理、統(tǒng)一認(rèn)證的關(guān)鍵問題。如何優(yōu)化和改善這數(shù)據(jù)一致性的保證機(jī)制，成為了4A深化應(yīng)用的重點(diǎn)，和需要關(guān)鍵解決的內(nèi)容。

組織；人員；權(quán)限；管理；4A

0　引言

企業(yè)在人力資源管理中始終存在著人員流動(dòng)問題，人員的流動(dòng)包括由社會(huì)向企業(yè)流動(dòng)、企業(yè)內(nèi)部不同崗位之間流動(dòng)和從企業(yè)向社會(huì)流動(dòng)三個(gè)進(jìn)程。“流水不腐，戶樞不蠹”，保持企業(yè)與外部社會(huì)之間人員一定的流動(dòng)對(duì)企業(yè)優(yōu)化人員結(jié)構(gòu)、提高人員素質(zhì)，從而使內(nèi)部人力資源更好地滿足企業(yè)發(fā)展需要是非常必要的。對(duì)于電網(wǎng)的系統(tǒng)建設(shè)亦是如此，系統(tǒng)的設(shè)計(jì)使用需要充分的考慮組織、人員的變化與流動(dòng)。4A平臺(tái)作為統(tǒng)一身份、統(tǒng)一認(rèn)證管理集約化平臺(tái)，組織機(jī)構(gòu)、人員、權(quán)限不斷的“流動(dòng)、變更”是系統(tǒng)運(yùn)行管理的常態(tài)，系統(tǒng)設(shè)計(jì)是否充分考慮到了管理人員流動(dòng)的常態(tài)應(yīng)用，是系統(tǒng)能否實(shí)用、易用的關(guān)鍵，本文結(jié)合4A系統(tǒng)的定位，及其當(dāng)前4A系統(tǒng)應(yīng)用的效果，從組織人員“流動(dòng)”管理的角度，探討4A的深入化應(yīng)用。

1　現(xiàn)狀分析

南方電網(wǎng)公司4A平臺(tái)上線，標(biāo)志著4A平臺(tái)的建設(shè)取得了階段性成果，并在全網(wǎng)各單位正式投入試運(yùn)行。經(jīng)過的持續(xù)化使用，系統(tǒng)暴露出了邏輯設(shè)計(jì)、應(yīng)用管理等方面的問題。隨著應(yīng)用不斷深入，用戶體驗(yàn)及業(yè)務(wù)需求不斷的呈現(xiàn)，需要4A平臺(tái)持續(xù)完善功能及需求，建設(shè)成實(shí)用、易用、好用的支撐性平臺(tái)。優(yōu)化管理流程，提升運(yùn)行管理效率和用戶體驗(yàn)，解決全網(wǎng)30萬用戶身份權(quán)限管理分散和用戶行為審計(jì)不足的問題。

1.1用戶管理

采取“分散到集中”的設(shè)計(jì)思路，把南方電網(wǎng)公司原來分散于各個(gè)應(yīng)用系統(tǒng)中的用戶數(shù)據(jù)統(tǒng)一集中到4A平臺(tái)管理，各個(gè)應(yīng)用系統(tǒng)中的人員信息以4A平臺(tái)為依據(jù)，通過4A平臺(tái)提供的信息同步接口實(shí)現(xiàn)應(yīng)用系統(tǒng)和4A平臺(tái)之間信息的同步。實(shí)現(xiàn)用戶賬號(hào)集中管理，業(yè)務(wù)系統(tǒng)用戶賬號(hào)信息需持續(xù)完善和清理，進(jìn)一步規(guī)范用戶生命周期管理，解決用戶賬號(hào)分散，多系統(tǒng)多賬號(hào)，維護(hù)效率較低等問題。

1.2單點(diǎn)登錄

4A平臺(tái)與各業(yè)務(wù)應(yīng)用集成，從技術(shù)和管理角度徹底解決用戶的身份標(biāo)識(shí)不安全問題，用戶登錄通過4A平臺(tái)認(rèn)證訪問業(yè)務(wù)數(shù)據(jù)，做到“一處登錄、處處通行”。目前4A平臺(tái)單點(diǎn)登錄未覆蓋全部核心系統(tǒng)，需要進(jìn)一步加強(qiáng)系統(tǒng)集成范圍，同時(shí)在外網(wǎng)業(yè)務(wù)系統(tǒng)認(rèn)證支撐方面需要實(shí)現(xiàn)外部用戶的統(tǒng)一認(rèn)證管理與安全密鑰統(tǒng)一管理。

1.3授權(quán)管理

在用戶信息集中管理的基礎(chǔ)上，授權(quán)管理主要是把分散到各個(gè)業(yè)務(wù)系統(tǒng)中的權(quán)限管理集中到4A平臺(tái)管理，各個(gè)業(yè)務(wù)系統(tǒng)只是保留訪問控制模塊，通過權(quán)限的統(tǒng)一管理，既可以減輕管理的復(fù)雜度，增加權(quán)限管理的及時(shí)性、精確性。需要解決業(yè)務(wù)系統(tǒng)管理員在4A平臺(tái)上實(shí)現(xiàn)用戶在各個(gè)系統(tǒng)的授權(quán)，簡(jiǎn)化操作，用戶的增加、刪除和授權(quán)、回收也將自動(dòng)推送至各個(gè)業(yè)務(wù)系統(tǒng)，減少人工干預(yù)，提高運(yùn)維效率。

1.4數(shù)據(jù)質(zhì)量

針對(duì)4A平臺(tái)和各業(yè)務(wù)系統(tǒng)的組織、用戶、角色、權(quán)限等數(shù)據(jù)進(jìn)行比對(duì)分析發(fā)現(xiàn)，數(shù)據(jù)質(zhì)量低是造成系統(tǒng)易用性低的一個(gè)重要因素，主要表現(xiàn)在以下幾個(gè)方面。

1.4.1匹配率不高

4A平臺(tái)與各業(yè)務(wù)系統(tǒng)的組織、用戶、角色、權(quán)限等數(shù)據(jù)，沒有達(dá)到100%的匹配率存在一定數(shù)量數(shù)據(jù)無法實(shí)現(xiàn)4A平臺(tái)與業(yè)務(wù)系統(tǒng)匹配，而這部分?jǐn)?shù)據(jù)恰好是造成系統(tǒng)易用性差的主要因素，加上系統(tǒng)間集成關(guān)系復(fù)雜，難于保證匹配率實(shí)時(shí)處于100%，見圖1。保證匹配率一直處于一個(gè)較高的水平需要付出大量人力物力。

圖1　匹配率監(jiān)控圖

1.4.2數(shù)據(jù)變化不規(guī)律

通過監(jiān)控業(yè)務(wù)系統(tǒng)組織、用戶、角色、權(quán)限數(shù)據(jù)的變化情況，可以判斷系統(tǒng)是否進(jìn)入一個(gè)穩(wěn)定的運(yùn)行期間，少量且有規(guī)律的組織人員變化則是正常，符合人員流動(dòng)變化的實(shí)際，但是突然大幅度的變化，則說明業(yè)務(wù)系統(tǒng)使用還不趨于穩(wěn)定，存在著大量變更操作，見圖2。

1.4.3用戶權(quán)限完整率低

通過對(duì)業(yè)務(wù)系統(tǒng)的用戶權(quán)限進(jìn)行監(jiān)控分析發(fā)現(xiàn)，業(yè)務(wù)系統(tǒng)中大量賬戶未分配權(quán)限。此數(shù)據(jù)說明，業(yè)務(wù)系統(tǒng)存在大量無法正常應(yīng)用系統(tǒng)的賬戶數(shù)據(jù)，見圖3。

圖2　數(shù)據(jù)變化率監(jiān)控圖

圖3　權(quán)限完整率監(jiān)控圖

1.4.4存在冗余臟數(shù)據(jù)

通過對(duì)比分析發(fā)現(xiàn)，業(yè)務(wù)系統(tǒng)中存在同一個(gè)組織部門下，相同人名的用戶數(shù)據(jù)有多條，或者相同的組織、用戶ID存在多條記錄等情況。系統(tǒng)間存在有冗余。該問題的存在將會(huì)影響以4A為數(shù)據(jù)源頭，進(jìn)行用戶數(shù)據(jù)更改時(shí)，同步接口無法正確的將用戶數(shù)據(jù)推送至業(yè)務(wù)系統(tǒng)，或者4A更改一條數(shù)據(jù)，而造成業(yè)務(wù)系統(tǒng)會(huì)同時(shí)更改兩條數(shù)據(jù)，從而使業(yè)務(wù)系統(tǒng)兼崗人員用戶無法正常使用系統(tǒng)。

1.5監(jiān)管技術(shù)

當(dāng)前的4A平臺(tái)應(yīng)用，缺少一套及時(shí)監(jiān)控分析各業(yè)務(wù)系統(tǒng)賬戶權(quán)限數(shù)據(jù)質(zhì)量和一致性的工具，不能及時(shí)獲得4A與業(yè)務(wù)系統(tǒng)之間的一致性、數(shù)據(jù)完整性、用戶權(quán)限完整率等指標(biāo)，不能及時(shí)的發(fā)現(xiàn)、消除問題，導(dǎo)致系統(tǒng)的易用性降低，管理工作量較大，所以，系統(tǒng)管理急需一套業(yè)務(wù)系統(tǒng)賬號(hào)權(quán)限一致性監(jiān)管工具，輔助管理人員管理業(yè)務(wù)系統(tǒng)。

2　解決措施

基于當(dāng)前4A系統(tǒng)應(yīng)用效果，結(jié)合4A系統(tǒng)的設(shè)計(jì)定位，加強(qiáng)4A系統(tǒng)業(yè)務(wù)功能及協(xié)調(diào)管理，從組織人員“流動(dòng)”管理的角度，從以下幾個(gè)方面探討4A的深入化應(yīng)用。

2.1嚴(yán)格落實(shí)4A統(tǒng)一管理、統(tǒng)一認(rèn)證的目標(biāo)

組織提高4A與各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)質(zhì)量，保證匹配率大于99.99%、用戶權(quán)限完整率大于90%。控制數(shù)據(jù)變化率，嚴(yán)禁業(yè)務(wù)系統(tǒng)私自修改刷新組織、用戶、崗位角色、資源的數(shù)據(jù)。從技術(shù)上、制度上保證4A統(tǒng)一管理、統(tǒng)一認(rèn)證的唯一合法性。

2.2擴(kuò)展4A的支持移動(dòng)端的統(tǒng)一認(rèn)證授權(quán)

隨著移動(dòng)技術(shù)的發(fā)展和應(yīng)用移動(dòng)化的增加，4A作為統(tǒng)一身份、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)的系統(tǒng)，支持移動(dòng)平臺(tái)的授權(quán)的需求也隨之增加。擴(kuò)展4A的支持移動(dòng)端的統(tǒng)一認(rèn)證授權(quán)是深化應(yīng)用需要研究的關(guān)鍵。

2.3建立分層分級(jí)管理機(jī)制

為規(guī)范各CSGII系統(tǒng)接入4A管控后的用戶、角色及權(quán)限管理，為各系統(tǒng)的全面推廣和深化應(yīng)用提供基礎(chǔ)保障。需要采用分級(jí)授權(quán)，統(tǒng)一管理模式。企業(yè)級(jí)管理信息系統(tǒng)（CSGⅡ）的用戶權(quán)限申請(qǐng)、變更和刪除的具體受理、操作和復(fù)核分省、地市兩級(jí)進(jìn)行（縣級(jí)單位由所屬供電局負(fù)責(zé)）。避免因過分集中管理造成進(jìn)度緩慢、或者因過分分散管理而導(dǎo)致技術(shù)支持不到位的情況發(fā)生。

2.4流程化、批量化管理

在實(shí)現(xiàn)權(quán)限的統(tǒng)一集中管控基礎(chǔ)上，需要進(jìn)一步對(duì)授權(quán)委托、批量易用授權(quán)、權(quán)限審批流程等進(jìn)行加強(qiáng)，需要實(shí)現(xiàn)基于流程的自動(dòng)化易用授權(quán)管理體系。

2.5崗位、角色權(quán)限標(biāo)準(zhǔn)化

資產(chǎn)、GIS、營銷等系統(tǒng)，崗位角色的設(shè)定具有一定的相似性，可以配置出標(biāo)準(zhǔn)崗位、角色的權(quán)限模板，當(dāng)職工業(yè)務(wù)崗位、角色需要變換時(shí)，秩序?qū)?biāo)準(zhǔn)崗位、角色賦值給職工即可，提高管理員分配權(quán)限的效率。目前的4A平臺(tái)缺少該標(biāo)準(zhǔn)化的設(shè)計(jì)模式，授權(quán)效率較低，所以提高4A平臺(tái)的應(yīng)用效率，設(shè)計(jì)實(shí)現(xiàn)崗位、角色的權(quán)限標(biāo)準(zhǔn)化模板功能，尤為重要，見圖4。戶權(quán)限，進(jìn)行復(fù)制，快速粘貼賦值給待分配權(quán)限的用戶，從而實(shí)現(xiàn)快速授權(quán)的目的，類似于Office辦公軟件的“格式刷”功能。

圖4　標(biāo)準(zhǔn)崗位、角色授權(quán)示意圖

（3）集中一次授權(quán)多個(gè)系統(tǒng)

在實(shí)際的工作過程中，如營配電子移交流程，一個(gè)崗位需要同時(shí)擁有多個(gè)系統(tǒng)相應(yīng)的角色權(quán)限，按照電子化移交流程的崗位設(shè)定，4A系統(tǒng)作為統(tǒng)一賬戶權(quán)限管理工具，研究通用的集中一次授權(quán)的工具，實(shí)現(xiàn)一次將各個(gè)業(yè)務(wù)系統(tǒng)的角色權(quán)限，一次授權(quán)給對(duì)應(yīng)的賬戶，從而提高授權(quán)的效率，見圖5。

實(shí)現(xiàn)上述標(biāo)準(zhǔn)化功能，4A平臺(tái)可以從以下幾個(gè)方面進(jìn)行深化完善。

（1）制作標(biāo)準(zhǔn)化模板

根據(jù)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)工作的規(guī)律，將業(yè)務(wù)系統(tǒng)的權(quán)限進(jìn)行分組，建立統(tǒng)一標(biāo)準(zhǔn)的標(biāo)準(zhǔn)崗位、角色。授權(quán)時(shí)，再將標(biāo)準(zhǔn)的崗位、角色授予用戶。從而實(shí)現(xiàn)快速授權(quán)。該設(shè)計(jì)實(shí)現(xiàn)邏輯，可參考營銷、資產(chǎn)等系統(tǒng)自身權(quán)限管理功能，充分吸收業(yè)務(wù)系統(tǒng)便捷的設(shè)計(jì)理念，為4A系統(tǒng)所用。

（2）人員權(quán)限復(fù)制粘貼

因業(yè)務(wù)工作的相似性，不通的人員會(huì)執(zhí)行同樣或者相似的工作，需要業(yè)務(wù)系統(tǒng)分配相同的崗位、角色。將已分配權(quán)限的用

圖5　集中授權(quán)示意圖

2.6增加一致性維護(hù)功能

為了保證4A平臺(tái)統(tǒng)一管理組織用戶、權(quán)限、認(rèn)證、審計(jì)信息，與各個(gè)業(yè)務(wù)系統(tǒng)一直，增加4A與業(yè)務(wù)系統(tǒng)一致性維護(hù)功能。通過圖形化的展示，直觀的比對(duì)出系統(tǒng)間數(shù)據(jù)間的差異，精準(zhǔn)分析，提前預(yù)判和響應(yīng)。通過可視化的功能與自動(dòng)提醒功能，提高管理運(yùn)維效率，從而確保4A平臺(tái)與業(yè)務(wù)系統(tǒng)間數(shù)據(jù)的一致性，見圖6。

圖6　一致性監(jiān)控維護(hù)示意圖

2.7增加數(shù)據(jù)監(jiān)控分析工具

增加4A與各業(yè)務(wù)系統(tǒng)數(shù)據(jù)一致性分析監(jiān)控工具，通過監(jiān)控4A系統(tǒng)與各業(yè)務(wù)系統(tǒng)組織、用戶、用戶角色、角色、角色資源、資源的數(shù)據(jù)變化，通過一致性比對(duì)、數(shù)據(jù)變化率、用戶權(quán)限完整率、重復(fù)數(shù)據(jù)量等方面進(jìn)行全面的分析計(jì)算，獲得指標(biāo)值，同時(shí)報(bào)出存在差異的數(shù)據(jù)，明確指導(dǎo)4A平臺(tái)管理員，開展運(yùn)維管理工作。

2.8異常保障機(jī)制

2.8.1系統(tǒng)自動(dòng)容錯(cuò)機(jī)制

（1）變化自動(dòng)觸發(fā)同步

按照系統(tǒng)的統(tǒng)一設(shè)計(jì)，人資系統(tǒng)作為組織、人員的數(shù)據(jù)源頭，4A平臺(tái)接收人資數(shù)據(jù)后進(jìn)行集中管理分配權(quán)限，并同步至業(yè)務(wù)系統(tǒng)。當(dāng)前這一設(shè)計(jì)的實(shí)現(xiàn)，依靠的是系統(tǒng)管理人員的手工的方式達(dá)成，并不能由系統(tǒng)自動(dòng)觸發(fā)完成。要達(dá)成高效的維護(hù)組織、賬戶信息，并且保證4A與各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)一致性，減少管理人員的參與程度。實(shí)現(xiàn)組織、人員變換自動(dòng)觸發(fā)同步功能，即當(dāng)組織、人員一旦發(fā)生變化后自動(dòng)觸發(fā)發(fā)同步，驅(qū)動(dòng)業(yè)務(wù)系統(tǒng)及時(shí)變更。這是4A深入應(yīng)用非常必要的優(yōu)化內(nèi)容。

（2）同步失敗 “自動(dòng)重合閘”

4A數(shù)據(jù)同步給業(yè)務(wù)系統(tǒng)，經(jīng)常遇到網(wǎng)絡(luò)中斷，SOA平臺(tái)等待失敗等問題，該類問題可以采用既定次數(shù)的再次同步方式，例如當(dāng)遇到失敗時(shí)，采用類似電網(wǎng)調(diào)度中的 “自動(dòng)重合閘”機(jī)制，定時(shí)重啟，減低人為干預(yù)量，提高系統(tǒng)自主容錯(cuò)能力。當(dāng)既定次數(shù)的重合閘機(jī)制啟動(dòng)后，還是無法解決的同步失敗，轉(zhuǎn)交由人工干預(yù)模式解決。

2.8.2人工干預(yù)機(jī)制

（1）以“同步順暢率”作為考核指標(biāo)

4A系統(tǒng)是否順暢的工作，提高系統(tǒng)容錯(cuò)糾錯(cuò)能力，降低人工干預(yù)的程度。以“同步順暢率”作為評(píng)價(jià)考核系統(tǒng)應(yīng)用成熟度的一項(xiàng)指標(biāo)，即自動(dòng)同步成功數(shù)除于需要同步數(shù)據(jù)數(shù)量的比值，作為系統(tǒng)成熟度評(píng)價(jià)指標(biāo)。

（2）以“匹配率、權(quán)限完整率”作為考核指標(biāo)

通過實(shí)時(shí)的監(jiān)控，以“匹配率、權(quán)限完整率”作為評(píng)價(jià)考核系統(tǒng)應(yīng)用成熟度的一項(xiàng)指標(biāo)，一旦發(fā)現(xiàn)4A與業(yè)務(wù)系統(tǒng)的匹配率、權(quán)限完整率低于規(guī)定的閾值時(shí)，必須啟動(dòng)人工干預(yù)機(jī)制，組織4A與業(yè)務(wù)系統(tǒng)進(jìn)行共同分析，消除差異，保證匹配率、權(quán)限完整率符合要求。

3　總結(jié)

降低、取消業(yè)務(wù)系統(tǒng)自身對(duì)的組織人員權(quán)限的管理，統(tǒng)一交由4A系統(tǒng)管理。要求4A平臺(tái)必須要有通用的組織、賬戶、權(quán)限管理設(shè)計(jì)，更需要便捷、穩(wěn)定、可靠的功能作為支撐，有效的服務(wù)于組織人員的“流動(dòng)、變化”的實(shí)際應(yīng)用需求。也是4A平臺(tái)能夠正真實(shí)現(xiàn)集統(tǒng)一身份、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、安全審計(jì)于一體的關(guān)鍵，是4A深入化應(yīng)用該優(yōu)化完善的重點(diǎn)。

主要參考文獻(xiàn)

［1］張振，朱志祥，梁小江.一種統(tǒng)一用戶管理和認(rèn)證授權(quán)方案［J］.電子技術(shù)，2015（5）.

［2］范圍.基于CAS的單點(diǎn)登錄系統(tǒng)應(yīng)用研究［J］.電子測(cè)試，2016（8）.

［3］劉永慶.一種基于SOA架構(gòu)的訪問控制安全服務(wù)模型研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)，2016（5）.

［4］沈清濤.移動(dòng)互聯(lián)網(wǎng)絡(luò)安全認(rèn)證及安全應(yīng)用中若干關(guān)鍵技術(shù)研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（4）.

［5］陸志剛，王杰，魏峻.基于SAML的真單點(diǎn)登錄框架［J］.計(jì)算機(jī)系統(tǒng)應(yīng)用，2016（2）.

10.3969/j.issn.1673-0194.2016.19.045

F279.23

A

1673-0194（2016）19-0082-05

2016-05-19

李申章（1985-），男，云南昆明人，工程師，主要研究方向：電力信息化系統(tǒng)軟件，電網(wǎng)可視化管理。