企業統一集成管理平臺建設與研究分析

(中國中原對外工程有限公司，北京 100045)

1 研究目的與意義

隨著移動互聯網與現代信息電子技術的快速融合發展，使各類大型企業的內部管理信息化體系建設隨之不斷深入，現代大型企業的信息化建設與管理隨著OA、即時通訊、mail、HR、CRM、業財管理系統等信息化系統的逐步建立，這些已經建成的信息系統給企業帶來了巨大進步：工作效率提高、工作質量提高、企業風險可控、數據利用展示更加便利，但是系統的建設往往都是孤立的、分散的，數據孤島、業務分裂給企業的進一步發展造成了嚴重的桎梏，系統的整合、集成化辦公已成為趨勢，各級企業也在這一領域積極探索和研究[1]。

企業統一集成平臺按照ESB建設的好處是，ESB作為中心管道，采用SOA架構，用來連接各個服務節點，集成基于不同協議的不同服務，ESB 集成了信息路由的工作，以此來讓不同的信息系統與服務交互通訊。SOA轉向微服務是大趨勢，但央企面臨微服務建設還需一定的轉型過程，分布式架構通過業務需求將粗粒度的服務 (應用組件) 進行松散耦合， 服務直接通過獨立于硬件平臺， 操作系統和程序語言的接口或契約相互聯系。構建基于分布式架構的統一身份認證體系為數據集中后業務系統身份認證難題提供了可行的解決方案[2]。實際應用中， 企業在實現SSO的基礎上還會更進一步， 實施企業門戶。企業信息門戶作為企業信息化系統單一的登錄入口， 包括三方面的集成技術:Portal技術提供了界面的集成、EAI技術提供了應用的集成、目錄服務技術提供了數據信息的集成[3]。Portal強調以用戶為中心， 提供統一的登錄界面， 對各種應用程序或組件進行集成， 實現信息的集中訪問[4]。在身份認證方面，OAuth2.0提供一種無需加密的認證方式，此方式是基于現存的 cookie 驗證架構，Access Token本身將自己作為secret，通過HTTPS發送，從而替換了通過HMAC和token secret加密并發送的方式，既簡單，又安全[5]。

2 研究現狀

以“身份認證”為題在知網中進行搜索可以看到從15年開始這一領域的研究呈現顯著的增長態勢(見圖1、圖2)。

圖1 “身份認證”為題的增長趨勢Fig.1 The growing trend of topics related to “identity authentication”

圖2 “身份認證”相關內容主題分布Fig.2 Distribution of topics related to “identity authentication”

從內容主題分布也能夠看出，單點登錄、網絡安全、信息安全等已經成為統一身份認證門戶平臺的核心內容之一。通過對研讀相關論文，由此可以看出，國內身份認證門戶建設從理論到應用已經能夠形成科學的體系參考，統一身份認證門戶的體系由門戶+4 A(即統一待辦任務處理、統一用戶賬戶管理、 統一身份認證平臺、 統一權限管理平臺)組成。

中原公司目前運行的信息化系統有十余個，包含：OA與即時通訊、人力資源系統、財務系統、郵件系統、Wi-Fi管理系統、中原云打印、財務系統、企業微信、中原云盤、EPC項目管理系統、2019年即將投入運行的系統為業務財務一體化系統、市場開發平臺CRM、安全標準化管理系統。

對于中原公司的近千名員工，需要使用各類信息系統為中原公司開展業務提供服務， 在統一集成管理平臺的門戶上，每個員工只需在門戶登錄身份認證頁面輸入一次對應的用戶身份認證信息(如用戶名/認證密碼)，通過用戶身份驗證后在用戶訪問身份認證統一門戶集成身份認證平臺中集成的子系統時無需再一次輸入相應的用戶名/密碼，而是由統一身份認證平臺自動完成對員工在子系統的身份認證。

安全性：安全性是統一集成平臺的首要因素，在進行設計統一身份認證平臺子系統場景時，確定所需要設計的身份認證子系統所適合應用的場景以及在此應用場景下所要求能夠達到的安全保障目標。在進一步明確以上的因素之后，統一設計各身份認證的平臺子系統才能有效的保障各身份認證子系統的安全性，通過結合多種身份認證的方式(身份密碼/手機短信/電子郵件/微信/數字證書等)的強認證方式，以確定了訪問者的身份，保證了各身份子系統認證的安全和準確性，提高了訪問者登入認證子系統的速度和安全性。

可追溯：統一審計管理從管理行為審計、登錄行為審計、異常行為審計等多個方面記錄并展現管理員行為和用戶行為，將訪問日志保存在持久數據庫中，并提供圖形界面進行多條件查詢索引，同時提供圖形化的訪問量和自身狀態的圖示，實現全方位的行為追溯管理。

易用性：由于統一身份認證系統包含了所有用戶的認證信息，強化了人員主數據系統的同步更新，用戶只需要在統一集成管理平臺中注冊或修改自己的認證密碼及個人信息即可，既方便，又能保障用戶賬戶的安全，通過建立人員主數據，各系統的組織結構和人員信息無須重復維護。集成平臺聚合了各子應用系統的單點登錄，提高辦公系統的易用性。

3 項目目標、設計及實現

中原公司統一集成平臺項目的目標：通過技術手段，建立統一規范的應用系統賬號管理流程和管理體系，實現對應用系統賬號的全生命周期的管理；通過實現單點登陸提高工作效率；在統一門戶中建立統一的待辦中心上，快速實現對待辦信息的審閱和審批操作。

根據以上需求和目標，系統設計較傳統4 A不同的是，本項目采用門戶管理+中原公司“六統一”(統一用戶賬戶管理、 統一身份認證平臺、 統一權限管理平臺、統一審計管理、統一人員主數據、統一移動平臺)的方式實現。

根據系統設計內容，結合已有的資源進行系統建設，充分利用現有已建立單點登錄和待辦推送的OA、HR、CRM、業財等平臺，從而降低了該項目的開發成本，通過采用Oauth2.0單點登錄及統一身份認證協議的新技術，提高了系統的可靠性，使用LDAP協議整合支持該標準身份目錄樹的子系統，最終實現滿足中原公司需求的“統一集成平臺”。

在系統實現過程中需要考慮到海外項目部上網相對困難，搭建系統時需要從帶寬層面予以考慮，通過分布式部署或者網絡加速的方式提高系統的可用性，通過Nginx負載均衡技術穩定門戶內網訪問效率。

統一集成平臺將各子系統集約化辦公的新模式，是中原公司信息化創新的全新探索。統一集成平臺作為信息時代的新興事物，平臺建設將為中原公司的整體辦公效率注入新的活力。統一集成管理平臺將有效提升中原公司各部門及海外項目部的整體服務能力。

為完成項目，已于2019年初開始閱讀相關文獻，研究相關領域動態，于6～7月項目概況確認，組建雙方項目組，項目主計劃編制、評審，設計方案，開展項目啟動會，同期搭建服務器環境，起草技術標準文檔，集成平臺相關系統部署及初步定制工作，部署環境測，OA測試環境搭建。8月份前業務規則梳理，組織人員數據定制修改，門戶前端開發，門戶資訊對接及組件開發，協調第三方系統對接準備。10月份前各業務系統實際對接工作，系統優化實施，完成整體系統建設，11月份開展安全、壓力、BUG、兼容性測試，問題收集調整反饋，問題集中調整解決，提交平臺使用說明文檔，12月份前完成上線試運行。在項目實施過程中進行項目相關文檔材料收集及項目總結。

4 項目研究成果

4.1 系統需求分析

中原公司總部及各項目部總用戶數目前在1200人左右，應用系統繁多，賬號零散分布在各個系統中，雖然管理上沒有出現大的問題，但還是有以下的管理情況出現：

系統繁多，用戶在使用體驗上極為不便，容易出現忘記密碼的情況；十余個系統中，除了OA系統之外，其他系統的組織結構不能及時從HR系統中得到同步，使組織結構保持更新，在管理和維護上造成了比較多的麻煩；虛擬組織(如臨時人員、分包商臨時使用等情況所需)用戶管理流程復雜、需要大量手動操作維護，效率低；權限授權方式繁瑣，全部由信息系統管理員授權，沒有分級授權；用戶訪問行為無法審計，且零散的賬號與密碼容易被釣魚竊取，導致網絡攻擊等情況出現；機構分散并且海外分支機構較多，由于公司海外機構及員工較多，國際用戶對登入內網工作造成一定困擾，需要更多的互聯網加速手段來支撐統一集成平臺，以降低海外部門移動辦公的工作難度。

通過對中原公司系統賬號管理現狀進行分析，結合國內企業和集團內公司關于統一身份認證平臺的使用情況調研，結合中原公司市場開發、移動辦公、項目總承包管理的工作特點，搭建統一任務集中處理門戶及統一集成管理后臺。

實現功能包括：

統一集成管理后臺：建立中原公司“六統一”體系，即統一用戶賬戶管理、 統一身份認證平臺、 統一權限管理平臺、統一審計管理、統一人員主數據、統一移動平臺，實現全方位后臺管理。

統一門戶：實現通過一次強認證登錄，從互聯網通過VPN或內網訪問統一門戶，通過進入統一門戶將現有系統入口、功能、待辦及資訊等在統一門戶內展現；建立“四聚合”體系，通過應用聚合、功能聚合、待辦聚合、信息聚合的一體化集成方案，將所有的業務應用系統聚合，借助內容信息管理和站點注冊，為中原公司提供一站式的門戶展示平臺。

4.2 系統架構分析

在需求分析階段，首先對照通用的4 A標準等進行功能梳理，在系統設計層面確保符合上述基本要求；其次需要對照中原公司的個性化需求，根據企業特征進行架構設計，從而符合實際工作需要；最后，最重要的是以實際工作需求出發，充分整合利用已有平臺的資源，避免大而全的系統造成的資源浪費，同時采用最新的Oauth2.0認證技術、LDAP目錄協議和Nginx代理加速技術為集成平臺加速服務。

集成平臺：目前正常運行的模塊服務主要有企業門戶管理系統、組織人員主數據管理系統、統一認證服務平臺、安全管理平臺、個人安全中心、ETL數據集成工具等。

門戶管理系統：為企業提供統一的門戶展示功能，門戶提供了統一的界面，用戶在統一的門戶界面可以查看，操作，鏈接到分散的各個功能系統，提供了功能展示，不用到每個功能系統進行復雜的操作即可查看功能，節約了時間。

組織人員主數據系統：以主數據管理系統產品為基礎，基于集團組織人員管理現狀，實現了以廣訊通平臺為基礎的組織人員主數據管理，形成了集團標準的組織人員數據庫，實現了組織人員數據與業務系統的互聯互通。

統一身份認證服務：以人員主數據為基礎，建立了以業內領先的OAuth2.0協議、LDAP目錄協議為規范的統一認證服務系統，為業務系統的單點登錄全網漫游提供了標準，實現了廣訊通、WEB不同終端的統一用戶身份登錄認證。

安全管理平臺：安全管理平臺為統一身份認證系統提供了數據支撐，包括業務系統的配置管理、業務系統的授權管理，配置管理主要包括業務系統的標識、名稱、圖標、統一集成地址、系統管理員等信息。通過授權管理，可以為用戶授予業務系統的權限或取消權限。

個人安全中心：個人中心為用戶提供個人服務功能，用戶可以通過個人中心進行個人信息的修改、統一密碼的修改、重置密碼、業務系統用戶綁定、個人賬號登錄及敏感操作的查詢。

數據集成工具：根據公司的信息化整體建設情況，考慮后續的數據共享集成需求，建設了數據集成系統，實現了主題分類管理、業務實體模型管理、業務分析模型管理、數據源管理、ETL任務管理等功能，為未來建設企業數據倉庫，打破數據孤島，實現數據共享提供了基礎支撐。

4.3 系統設計及應用情況分析

根據上述技術架構，結合中原公司黨務工作實際需求，構建了系統邏輯結構層次，分為用戶層、展示層、業務邏輯層、數據接口層、數據結構層。

用戶層根據管理維度不同，在主數據系統中將用戶組織分為行政組織用戶、黨組織兩大類。行政組織包含公司全部用戶，按照權限可進入不同應用系統；黨組織包含公司全部黨員用戶，黨員可進入和使用中原公司“智慧黨建系統”。

展示層中主要通過統一集成平臺對信息進行前端展示，不同角色組所需的相應數據能夠快速的從各子系統中獲取。

業務邏輯層里邊可以分為應用聚合、功能聚合、待辦聚合、信息聚合，為信息化用戶提供一站式的信息化服務平臺，從而滿足統一集成平臺對業務過程中的各項需求。

數據接口層主要是統一集成平臺與現有系統進行數據對接，包含：OA與即時通訊、人力資源管理系統、業財一體化系統、郵件系統、Wi-Fi管理系統、中原云打印、智慧黨建系統、企業微信、中原云盤、EPC項目管理系統、2019年即將投入運行的系統為業務財務一體化系統、市場開發平臺CRM、安全生產標準化管理系統等。其中由于企業原有移動端應用是基于企業微信搭建的，因此為保持移動端使用習慣的一致性，因此本項目在移動端方面，考慮基于企業微信搭建統一的企業移動端平臺。

數據結構層則是從系統實現角度考慮系統搭建過程中使用的頁面處理技術、數據結構、網絡結構、硬件配置等。在中原公司實際的項目中采用的是.NETASP技術，使用SQL_Server作為主要數據庫，通過web_service、API、數據視圖等方式調用接口，實現系統之間的數據對接。

4.4 項目研究結論分析

隨著信息化、移動互聯與大數據的發展，零散信息系統的整合是新形勢下的必由之路，統一入口單點登入及身份認證、組織人員統一管理、信息發布及BI統一展示、安全行為統一審計、待辦任務統一處理是大勢所趨。

從公司的管理角度需要完成的工作一方面是根據各部門日常工作任務通過各子系統順利開展，另一方面是在對各系統的數據統計圖表加以展示，對領導層的決策分析加以領導駕駛艙輔助。

從各子系統的角度，需要能夠通過系統記錄各項活動的開展情況，并且通過系統輔助完成OA、CRM、業財、HR等工作，依托于數據分析體系和BI展示，提高了統計數據采集和分析統計的數據及時性和統計分析的數據準確性，降低了系統工作進行過程中所需要開展的各項工作以及整體管理成本和系統工作量，提高了系統工作效率。

以業務功能需求為基礎，通過應用聚合、功能聚合、待辦聚合、信息聚合為信息化用戶提供一站式的信息化服務平臺。企業門戶是所有信息化資源的統一入口，也是數據的聚集平臺。

從系統部署角度考慮到海外駐地的使用場景，需要在系統底層架構中構建Nginx代理負載模塊，必要時可在當地部署WEB服務器，之后通過服務器同步的方式進行數據交互，從而保證海外項目部以及代表處能夠正常使用統一集成平臺。從使用便捷性的角度考慮，移動端的應用是必備的部署方式，從使用場景進行分析，移動端應用最重要的部分是去APP化、集中部署，通過企業微信的統一入口，使移動端加強統一性和便捷性。

根據上述分析，在中原公司已經完成了系統需求分析、設計。從6月份開始進行部署，已經按照項目研究內容完成了框架搭建，計劃將于11月底完成功能設計，進行上線測試。

5 結論

研究內容來自于中原公司的實際業務需求與真實研發的項目，并根據研究成果，構建了符合企業需要的統一集成管理平臺，在使用新技術實現信息系統整合方面有較高的實用價值。該項目構建了統一集成管理平臺的總體功能管理架構，對所有功能的應用和業務邏輯關系進行了合理的劃分，強化了系統的適用性和可拓展性，并最終將相關項目技術研究成果應用于實際的統一集成管理平臺開發項目，最終設計并實現了整合所有功能和應用管理系統的統一集成管理平臺。