用戶(hù)統(tǒng)一管理在鄭州軌道信息化建設(shè)中的研究與實(shí)現(xiàn)

夏景輝 秦義展 李昱見(jiàn)

(鄭州地鐵集團(tuán)有限公司 河南 鄭州 450046)

0 引 言

鄭州地鐵集團(tuán)有限公司(以下簡(jiǎn)稱(chēng)“公司”)是2008年2月22日經(jīng)鄭州市人民政府批準(zhǔn)成立的有限責(zé)任公司，負(fù)責(zé)鄭州市軌道交通項(xiàng)目的工程投資、建設(shè)、運(yùn)營(yíng)、軌道交通的廣告、通信、周邊土地開(kāi)發(fā)利用和特許經(jīng)營(yíng)權(quán)范圍內(nèi)的經(jīng)營(yíng)、融資等業(yè)務(wù)。

公司在信息化管理創(chuàng)新應(yīng)用方面，結(jié)合軌道交通建設(shè)密集型、資產(chǎn)密集型和資金密集型的特點(diǎn)和管理風(fēng)險(xiǎn)，尤其是在地鐵建設(shè)的大背景下，面對(duì)運(yùn)營(yíng)線(xiàn)路員工、企業(yè)供應(yīng)商(咨詢(xún)單位、施工單位和監(jiān)理單位等)和企業(yè)合作客戶(hù)(廣告公司等)急劇增多，且實(shí)施系統(tǒng)種類(lèi)繁多(如人力系統(tǒng)、財(cái)務(wù)系統(tǒng)、物資系統(tǒng)、費(fèi)控系統(tǒng)及資金系統(tǒng)等)，用戶(hù)統(tǒng)一管理顯得尤為重要。用戶(hù)統(tǒng)一管理強(qiáng)調(diào)了系統(tǒng)用戶(hù)的標(biāo)準(zhǔn)化和自動(dòng)化管理，使用戶(hù)管理、組織機(jī)構(gòu)管理更加規(guī)范和統(tǒng)一[1]，將各類(lèi)用戶(hù)單點(diǎn)登錄到門(mén)戶(hù)。

本文著重描述基于鄭州地鐵集團(tuán)有限公司一體化管理信息平臺(tái)的用戶(hù)統(tǒng)一管理及其應(yīng)用目標(biāo)、需求分析、設(shè)計(jì)、實(shí)施、部署和應(yīng)用等相關(guān)內(nèi)容。

1 應(yīng)用目標(biāo)及關(guān)鍵功能需求分析

1.1 應(yīng)用目標(biāo)

實(shí)現(xiàn)企業(yè)基礎(chǔ)庫(kù)的用戶(hù)管理和身份認(rèn)證服務(wù)，用戶(hù)包括內(nèi)部及外部用戶(hù)；把這些服務(wù)以組件或服務(wù)的形式發(fā)布，并具備相應(yīng)的使用規(guī)范、標(biāo)準(zhǔn)和指引。企業(yè)管理系統(tǒng)ERP(Enterprise Resource Planning)、辦公自動(dòng)化OA(Office Automation)、企業(yè)門(mén)戶(hù)(Portal)和將來(lái)自主開(kāi)發(fā)的系統(tǒng)等，都能使用這些組件或服務(wù)開(kāi)發(fā)。用戶(hù)統(tǒng)一管理使用戶(hù)管理、組織機(jī)構(gòu)管理更加規(guī)范和優(yōu)化，形成各類(lèi)用戶(hù)單點(diǎn)登錄到門(mén)戶(hù)的核心基礎(chǔ)。用戶(hù)統(tǒng)一管理應(yīng)實(shí)現(xiàn)組織機(jī)構(gòu)維護(hù)、用戶(hù)賬號(hào)管理、用戶(hù)憑證管理、組織/用戶(hù)信息同步等功能。

通過(guò)統(tǒng)一的用戶(hù)身份管理體系，解決信息化體系管理中諸多問(wèn)題，如各自信息系統(tǒng)具有獨(dú)立的登錄認(rèn)證系統(tǒng)[3]，管理企業(yè)外部用戶(hù)的訪(fǎng)問(wèn)，快速部署用戶(hù)對(duì)大量資源的訪(fǎng)問(wèn)，控制對(duì)各種分散資源的訪(fǎng)問(wèn)，減少賬戶(hù)和密碼管理的IT成本，防止非法用戶(hù)的訪(fǎng)問(wèn)，同步各業(yè)務(wù)系統(tǒng)用戶(hù)賬戶(hù)的管理，快速自動(dòng)清理非授權(quán)用戶(hù)等。用戶(hù)統(tǒng)一管理是把所有的系統(tǒng)用戶(hù)進(jìn)行統(tǒng)一存放，形成一套全局用戶(hù)庫(kù)，作為企業(yè)內(nèi)所有IT應(yīng)用的用戶(hù)源。以輕量級(jí)目錄訪(fǎng)問(wèn)協(xié)議LDAP(Lightweight Directory Access Protocol)信息庫(kù)作為載體來(lái)實(shí)現(xiàn)企業(yè)用戶(hù)信息庫(kù)的構(gòu)建和用戶(hù)的統(tǒng)一管理。

用戶(hù)統(tǒng)一管理的應(yīng)用將成為企業(yè)管理信息系統(tǒng)日常維護(hù)的重要組成部分。通過(guò)標(biāo)準(zhǔn)化、即時(shí)化、規(guī)范化和自動(dòng)化的信息化手段固化企業(yè)用戶(hù)管理流程，為公司的一體化信息管理平臺(tái)提供有效的服務(wù)管理支持，同時(shí)也降低服務(wù)管理維護(hù)的成本。

1.2 關(guān)鍵功能需求分析

1.2.1構(gòu)建統(tǒng)一用戶(hù)身份庫(kù)

依托一體化管理信息平臺(tái)的建設(shè)思路，建立集中的用戶(hù)信息庫(kù)，統(tǒng)一管理應(yīng)用系統(tǒng)用戶(hù)，并制定用戶(hù)信息庫(kù)標(biāo)準(zhǔn)，包含人員信息、部門(mén)信息、組織結(jié)構(gòu)及用戶(hù)密碼規(guī)則等，最終使用接口同步，實(shí)現(xiàn)用戶(hù)信息庫(kù)與其他應(yīng)用系統(tǒng)用戶(hù)體系的同步和映射。

1.2.2用戶(hù)全生命周期管理

基于角色的用戶(hù)賬戶(hù)管理策略，企業(yè)內(nèi)部或外部人員在一體化管理信息平臺(tái)以用戶(hù)的方式訪(fǎng)問(wèn)系統(tǒng)，同時(shí)根據(jù)用戶(hù)自身角色申請(qǐng)相應(yīng)的權(quán)限。基于統(tǒng)一的用戶(hù)身份庫(kù)，形成用戶(hù)的產(chǎn)生、變更、銷(xiāo)戶(hù)、掛起等全生命周期，這其中也包含臨時(shí)用戶(hù)的建立(如外部供應(yīng)商)。全生命周期管理不僅是用戶(hù)的管理，還有用戶(hù)的自助服務(wù)，如自助修改密碼、賬號(hào)申請(qǐng)的審批或系統(tǒng)權(quán)限申請(qǐng)等[5]。

用戶(hù)全生命周期管理實(shí)現(xiàn)了用戶(hù)賬戶(hù)的全面管理，包含創(chuàng)建、修改、刪除和檢查等，同時(shí)建立用戶(hù)和組織架構(gòu)的緊密關(guān)系，為頻繁的組織架構(gòu)調(diào)整打下基礎(chǔ)。

1.2.3構(gòu)建用戶(hù)賬號(hào)和供應(yīng)管理平臺(tái)

在用戶(hù)同步過(guò)程中利用OIM(Oracle Identity Management)并通過(guò)Connector組件獲取需要被統(tǒng)一管理的用戶(hù)，獲取到之后，在統(tǒng)一用戶(hù)管理平臺(tái)進(jìn)行用戶(hù)的創(chuàng)建，然后OIM向各個(gè)應(yīng)用系統(tǒng)進(jìn)行推送，在應(yīng)用系統(tǒng)中進(jìn)行各自的賬戶(hù)創(chuàng)建，與此同時(shí)統(tǒng)一用戶(hù)信息被保存到統(tǒng)一身份管理目錄。當(dāng)增加一個(gè)應(yīng)用系統(tǒng)時(shí)，只需要增加該應(yīng)用系統(tǒng)賬號(hào)(從賬號(hào))與用戶(hù)唯一賬號(hào)(主賬號(hào))的一個(gè)關(guān)聯(lián)信息即可，不會(huì)影響其他應(yīng)用系統(tǒng)。同時(shí)通過(guò)安全通道來(lái)保證單點(diǎn)登錄過(guò)程中數(shù)據(jù)傳輸?shù)陌踩玔2]。

統(tǒng)一用戶(hù)管理平臺(tái)可通過(guò)配置標(biāo)準(zhǔn)化的用戶(hù)來(lái)源，對(duì)公司現(xiàn)有的用戶(hù)創(chuàng)建用戶(hù)統(tǒng)一賬號(hào)，并通過(guò)自動(dòng)化的用戶(hù)同步，實(shí)現(xiàn)各個(gè)應(yīng)用系統(tǒng)與現(xiàn)有的身份管理目錄的身份同步。通過(guò)統(tǒng)一化、自動(dòng)化、標(biāo)準(zhǔn)化的人員接入模式，減少用戶(hù)管理過(guò)程中的管理員操作，提高管理效率。

1.2.4構(gòu)建集中訪(fǎng)問(wèn)認(rèn)證和單點(diǎn)登錄

基于地鐵企業(yè)的實(shí)際業(yè)務(wù)需求，可以結(jié)合地鐵行業(yè)的多系統(tǒng)多業(yè)務(wù)管理經(jīng)驗(yàn)，搭建高內(nèi)聚低耦合的一體化管理信息平臺(tái)。用戶(hù)可以通過(guò)統(tǒng)一的系統(tǒng)入口訪(fǎng)問(wèn)企業(yè)門(mén)戶(hù)信息。訪(fǎng)問(wèn)系統(tǒng)的過(guò)程中，需要構(gòu)建一套集中訪(fǎng)問(wèn)認(rèn)證和單點(diǎn)登錄的訪(fǎng)問(wèn)策略，完成用戶(hù)身份和用戶(hù)授權(quán)檢查。用戶(hù)根據(jù)自身授權(quán)情況，進(jìn)入授權(quán)系統(tǒng)完成實(shí)際業(yè)務(wù)。進(jìn)入其他授權(quán)系統(tǒng)模塊的權(quán)限，需要遵循各業(yè)務(wù)系統(tǒng)的授權(quán)體系和規(guī)則。

1.2.5用戶(hù)監(jiān)控與審計(jì)

用戶(hù)統(tǒng)一管理包括用戶(hù)登錄系統(tǒng)的監(jiān)控和系統(tǒng)操作的審計(jì)。在系統(tǒng)應(yīng)用層端，可以監(jiān)控到用戶(hù)的登錄IP及訪(fǎng)問(wèn)時(shí)間信息，在數(shù)據(jù)庫(kù)端，可以監(jiān)控到用戶(hù)操作功能及數(shù)據(jù)的跟蹤信息，能對(duì)發(fā)生的所有訪(fǎng)問(wèn)和修改進(jìn)行審計(jì)。還有事后觸發(fā)功能，實(shí)現(xiàn)特定內(nèi)容的審計(jì)。通過(guò)數(shù)據(jù)庫(kù)審計(jì)功能，可實(shí)現(xiàn)對(duì)異常用戶(hù)的檢測(cè)及未授權(quán)訪(fǎng)問(wèn)，如統(tǒng)計(jì)用戶(hù)在什么時(shí)間點(diǎn)訪(fǎng)問(wèn)了哪些應(yīng)用系統(tǒng)等。

1.2.6系統(tǒng)穩(wěn)定性、擴(kuò)展性和安全性

為保證服務(wù)不間斷，整套用戶(hù)統(tǒng)一管理體系需要集群環(huán)境。基于UNIX類(lèi)或LINUX操作系統(tǒng)平臺(tái)和高可用性軟件，確保系統(tǒng)安全、穩(wěn)定、可靠的運(yùn)行。系統(tǒng)的擴(kuò)展性也需要同步考慮，以保證與已有系統(tǒng)及未來(lái)建設(shè)系統(tǒng)進(jìn)行集成。

用戶(hù)統(tǒng)一管理的審計(jì)功能要能夠覆蓋到集中身份管理、身份認(rèn)證、授權(quán)與應(yīng)用系統(tǒng)訪(fǎng)問(wèn)等多個(gè)環(huán)節(jié)。確保安全基礎(chǔ)設(shè)施的安全性，包括：物理環(huán)境安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全等。

2 統(tǒng)一用戶(hù)安全管理平臺(tái)架構(gòu)設(shè)計(jì)

統(tǒng)一用戶(hù)安全管理平臺(tái)作為一個(gè)優(yōu)秀用戶(hù)管理工具，通過(guò)標(biāo)準(zhǔn)的管理用戶(hù)生命周期，更加高效標(biāo)準(zhǔn)地對(duì)現(xiàn)有用戶(hù)進(jìn)行管理。如圖1所示，該平臺(tái)的管理應(yīng)用功能主要依托訪(fǎng)問(wèn)管理OAM(Oracle Access Manager)，身份管理OIM和互聯(lián)網(wǎng)管理OID(Oracle Internet Directory)的服務(wù)實(shí)現(xiàn)。

圖1 用戶(hù)管理生命周期

統(tǒng)一用戶(hù)安全管理平臺(tái)的OIM模塊通過(guò)標(biāo)準(zhǔn)Connector連接人力系統(tǒng)，進(jìn)行員工基礎(chǔ)信息的獲取，獲取到基礎(chǔ)信息后自動(dòng)根據(jù)一定規(guī)則創(chuàng)建員工賬戶(hù)，并實(shí)時(shí)觸發(fā)數(shù)據(jù)分發(fā)事件，通過(guò)標(biāo)準(zhǔn)Webservice Connector或EBS Connector連接下游系統(tǒng)進(jìn)行用戶(hù)數(shù)據(jù)分發(fā)。OIM模塊創(chuàng)建用戶(hù)賬戶(hù)數(shù)據(jù)后會(huì)同步至OID模塊中進(jìn)行統(tǒng)一用戶(hù)信息存儲(chǔ)。OAM模塊在用戶(hù)訪(fǎng)問(wèn)時(shí)，進(jìn)行單點(diǎn)資源授權(quán)，與OID模塊中的用戶(hù)信息進(jìn)行統(tǒng)一認(rèn)證，認(rèn)證通過(guò)且在OAM模塊中該資源已授權(quán)，則允許用戶(hù)訪(fǎng)問(wèn)。

統(tǒng)一用戶(hù)安全管理平臺(tái)，前期通過(guò)Connector對(duì)用戶(hù)進(jìn)行統(tǒng)一收集，中期使用OIM對(duì)這些用戶(hù)進(jìn)行統(tǒng)一的管理，后期通過(guò)OAM使得用戶(hù)登錄安全等得到實(shí)現(xiàn)，在用戶(hù)安全管理的生命周期中都起到了使用戶(hù)管理得到安全化，統(tǒng)一化的作用。只有依賴(lài)目前既定的用戶(hù)管理標(biāo)準(zhǔn)，通過(guò)既定的流程使得零散的用戶(hù)管理得到整合，化零為整，使得企業(yè)用戶(hù)的安全、高效管理得到保障。

在設(shè)計(jì)實(shí)現(xiàn)關(guān)鍵功能的過(guò)程中，需要從三個(gè)階段來(lái)完成服務(wù)的標(biāo)準(zhǔn)化管控和高效的集成：

1) 在用戶(hù)管理之初，需要OIM通過(guò)Connector中獲取到需要進(jìn)行管理的用戶(hù)，通過(guò)標(biāo)準(zhǔn)化的用戶(hù)整合服務(wù)。在統(tǒng)一收集完之后，可基于標(biāo)準(zhǔn)的OIM的賬號(hào)源將該賬號(hào)同步至各個(gè)需求系統(tǒng)。通過(guò)統(tǒng)一化的用戶(hù)管理可以避免用戶(hù)信息孤島、用戶(hù)重復(fù)管理、手工創(chuàng)建用戶(hù)操作繁雜、由于系統(tǒng)過(guò)多用戶(hù)賬戶(hù)密碼也需要管理多個(gè)[6]等用戶(hù)管理痛點(diǎn)。在用戶(hù)信息錄入管理過(guò)程中，存在同一批次用戶(hù)權(quán)限分配不同的情況，人工對(duì)權(quán)限進(jìn)行管理難免出現(xiàn)紕漏，同時(shí)由于企業(yè)人員變動(dòng)較為頻繁，會(huì)大大增加用戶(hù)管理成本。通過(guò)使用統(tǒng)一化的用戶(hù)管理可以避免以上的問(wèn)題發(fā)生，進(jìn)而提高用戶(hù)管理的效率。由于是標(biāo)準(zhǔn)化，自動(dòng)化的用戶(hù)同步過(guò)程，在管理實(shí)施過(guò)程中，運(yùn)維人員不需要進(jìn)行頻繁 的操作，只需直接對(duì)用戶(hù)來(lái)源變更即可。

2) 在將用戶(hù)統(tǒng)一之后要對(duì)統(tǒng)一化的用戶(hù)進(jìn)行管理。在這個(gè)過(guò)程中，以往的管理模式中存在諸多用戶(hù)身份管理問(wèn)題，如手動(dòng)創(chuàng)建用戶(hù)賬戶(hù)、對(duì)應(yīng)用授權(quán)等耗時(shí)費(fèi)力；ERP系統(tǒng)內(nèi)的職責(zé)劃分難以完成；許多被棄用賬戶(hù)難以被檢測(cè)和刪除；失效用戶(hù)和權(quán)限時(shí)人工操作過(guò)于繁瑣等。統(tǒng)一用戶(hù)安全管理平臺(tái)可有效解決以上問(wèn)題，且用戶(hù)管理的安全也可以得到保障。通過(guò)端到端的訪(fǎng)問(wèn)管理，對(duì)登錄風(fēng)險(xiǎn)進(jìn)行分析、欺詐檢測(cè)和應(yīng)用細(xì)粒度授權(quán)管理等。[7]

3) 用戶(hù)統(tǒng)一管理為用戶(hù)提供了統(tǒng)一的接入服務(wù)[4]，通過(guò)多系統(tǒng)單點(diǎn)登錄，將分開(kāi)的登錄進(jìn)行集中，簡(jiǎn)化用戶(hù)操作，提高了用戶(hù)使用便捷程度。用戶(hù)初次訪(fǎng)問(wèn)應(yīng)用程序時(shí)，由于本地沒(méi)有登錄憑證，因此瀏覽器會(huì)重新定向到統(tǒng)一身份認(rèn)證頁(yè)面[5]，在OAM內(nèi)部單點(diǎn)實(shí)現(xiàn)過(guò)程中將輸入用戶(hù)密碼與統(tǒng)一用戶(hù)信息庫(kù)進(jìn)行比對(duì)，比對(duì)成功后并且確認(rèn)用戶(hù)權(quán)限無(wú)誤后實(shí)現(xiàn)目標(biāo)系統(tǒng)的跳轉(zhuǎn)[8]。

統(tǒng)一的用戶(hù)管理平臺(tái)實(shí)現(xiàn)了以上三個(gè)階段的步驟，能夠提高在用戶(hù)的統(tǒng)一收集、統(tǒng)一管理、統(tǒng)一登錄等方面的用戶(hù)管理效率，并使得用戶(hù)安全的管理得到保障[9]，步驟流程參見(jiàn)圖2。

圖2 平臺(tái)實(shí)現(xiàn)流程圖

前期梳理員工數(shù)據(jù)，外部用戶(hù)數(shù)據(jù)及組織，崗位相關(guān)數(shù)據(jù)，整理成具體清單后，將用戶(hù)基礎(chǔ)數(shù)據(jù)通過(guò)Connector或線(xiàn)下導(dǎo)入方式，同步至統(tǒng)一用戶(hù)管理平臺(tái)。由統(tǒng)一用戶(hù)管理平臺(tái)對(duì)用戶(hù)訪(fǎng)問(wèn)權(quán)限進(jìn)行維護(hù)確定，并維護(hù)統(tǒng)一用戶(hù)信息，同步至各業(yè)務(wù)系統(tǒng)。當(dāng)用戶(hù)信息更新時(shí)，自動(dòng)觸發(fā)事件同步分發(fā)各業(yè)務(wù)系統(tǒng)，進(jìn)行用戶(hù)身份全生命周期管理，實(shí)現(xiàn)用戶(hù)入職創(chuàng)建，離職失效的實(shí)時(shí)效果。用戶(hù)通過(guò)單點(diǎn)登錄平臺(tái)，進(jìn)行業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)，通過(guò)統(tǒng)一入口訪(fǎng)問(wèn)各應(yīng)用系統(tǒng)，實(shí)現(xiàn)一次登錄，全網(wǎng)漫游的高效體驗(yàn)。

3 實(shí)現(xiàn)和部分應(yīng)用效果分析

經(jīng)細(xì)化設(shè)計(jì)和實(shí)施部署，實(shí)現(xiàn)了用戶(hù)管理管控的標(biāo)準(zhǔn)化、自動(dòng)化、實(shí)時(shí)化的新模式。用戶(hù)管理搜索界面和用戶(hù)統(tǒng)一登錄界面如圖3和圖4所示。

圖3 用戶(hù)管理搜索界面

圖4 用戶(hù)統(tǒng)一登錄界面

4 結(jié) 語(yǔ)

本文依托于鄭州地鐵集團(tuán)有限公司所實(shí)施的用戶(hù)統(tǒng)一管理進(jìn)行分析，從用戶(hù)管理的過(guò)程出發(fā)，將標(biāo)準(zhǔn)化的用戶(hù)管理模式融合到傳統(tǒng)的用戶(hù)管理模型中。通過(guò)分析平臺(tái)的關(guān)鍵功能需求，體現(xiàn)出該平臺(tái)的功能優(yōu)勢(shì)，并從分析的結(jié)果中提煉出針對(duì)目前用戶(hù)管理痛點(diǎn)的解決方案，以及提高服務(wù)管理效率的方案。根據(jù)平臺(tái)實(shí)施的架構(gòu)設(shè)計(jì)方案，對(duì)平臺(tái)整體的使用過(guò)程進(jìn)行了分析與闡述。