用戶中臺在智慧校園中的設計與實現

姜建峰

（江蘇經貿職業技術學院 信息化建設與管理處，江蘇 南京 211168）

在近幾年的信息化建設中，各高校基本完成了智慧校園基礎支撐平臺建設，包括門戶、認證、數據中心，還新建了一批常用的業務系統，包括學工、OA、人事、科研、教務、財務、辦事大廳等。總體上提高了學校信息化水平，為師生提供了便利的在線服務。

2018年4月教育部印發《教育信息化2.0行動計劃》，提出到2022年要基本實現“三全兩高一大”的發展目標，即教學應用覆蓋全體教師、學習應用覆蓋全體適齡學生、數字校園建設覆蓋全體學校，信息化應用水平和師生信息素養普遍提高，建成“互聯網+教育”大平臺[1]。教育信息化從1.0時代進入2.0時代。

統一身份認證系統CAS（Central Authentica?tion Service）作為智慧校園建設的三大基礎平臺之一，在建設智慧校園，落實教育信息化2.0，服務師生信息化教學方面有無可比擬的作用。

1 統一身份認證系統當前的困境

統一身份認證系統是單點登錄SSO（Single Sign ON）的開源實現，具有較高的穩定性、安全性。目前國內智慧校園單點登錄絕大部分都基于統一身份認證系統。目前主流的統一身份認證門戶，在身份認證方面通常遵循標準的OAuth2.0與OIDC協議，該認證接入方式主要是針對B/S架構的業務系統，接入統一認證類庫[2]。統一身份認證門戶功能最完整、流程最嚴密的授權模式是授權碼模式，它也是國際標準OAuth2.0和OIDC協議的推薦模式。

在經典的應用場景中，統一身份認證模式有效解決了“一賬號通行”的問題，但在智慧校園建設場景，這一模式已遠遠不能滿足需求。它存在以下幾個亟待解決的問題：一是隨著信息化的普及與人工智能的興起，傳統的認證方式逐漸被微信二維碼、手機驗證碼、人臉識別等方式取代，需要對統一身份認證系統的鑒證方式進行擴充。二是隨著信息化用戶的沉淀，用戶類型越來越豐富，傳統智慧校園架構中的業務系統無法對用戶進行統一的管理，無法兼容并包所有的用戶類型，也無法給給類用戶賦予完善的組織架構，出現了管理真空。三是伴隨著微服務架構的普及，傳統統一身份認證系統對人員和系統的授權授信方式無法滿足高速迭代的發展需求。在以微服務形式重構的業務系統中，以需求為目標進行組合交付，消除了傳統應用系統與微服務系統的界限。在這種思路下，傳統業務系統的授權體系也被解構得分崩離析。

2 中臺模式的基本內涵與特征

傳統的應用系統分為前臺和后臺。在微服務架構下，前臺是快速地響應用戶的需求，迭代更新。后臺是相對穩定的后端資源，追求系統的穩定和長期有效的數據沉淀。越成熟的應用系統就越需要一個平臺來調和兩者的這種差異。

中臺是將共性的需求進行抽象，并打造成平臺化、組件化的系統能力，以接口、組件等形式共享給各業務單元使用，使企業可以針對特定問題，快速靈活地調用資源構建解決方案，為業務的創新和迭代賦能。中臺主要包含業務中臺與數據中臺。用戶中臺是業務中臺與數據中臺的混合產物，實現了子業務系統用戶業務和用戶數據的中臺化。

3 用戶中臺的設計與實現

構建用戶中臺能解決用戶賬號統一管理的問題，將過去分散到各個業務系統中的用戶進行集中管理，通過完善用戶信息，建立權威人員數據中心實現中心化授權，并提供接口，使業務系統和用戶中臺的信息保持同步。

權威人員數據中心：提升統一認證技術和規范，實現統一的人員數據管理，增加人員信息分級管理機制，提升維護效率，滿足人員異動、屬性多元等實際需求。

中心化授權：實現多維度、精細粒度權限體系設計。搭建基于數據結構層面的授權庫系統，支持將接入系統、接入微服務、應用權限信息存入授權庫，在用戶完成認證后，中心化的授權系統可將相應用戶接入應用的授權信息返回給系統，實現統一管控。

3.1 構建多級管理體系，補全用戶業務鏈

隨著辦事大廳與微服務業務的普及，學校內部用戶授信越來越復雜。用戶中臺的首要任務就是構建多級管理體系，維護學校實體的和虛擬的兩類組織架構，對角色進行管理，能夠對編號、名稱、角色類型進行查詢，同時支持對角色信息新增、刪除、修改、分配權限，并對權限分配用戶提供更多操作功能，同時對用戶分配權限范圍內應用細粒度進行授權，平臺能夠精細到功能模塊的權限分配，從而使得所有業務部門的所有業務系統乃至所有的業務模塊都能夠在用戶中臺上有獨立的相互對應的用戶管理功能。

3.2 建設用戶中心，發揮用戶數據價值

教育信息化2.0要求構建一體化的“互聯網+教育”大平臺，引入“平臺+教育”服務模式，整合各級各類教育資源公共服務平臺和支持系統，逐步實現資源平臺、管理平臺的互通、銜接與開放，實現數字資源、優秀師資、教育數據、信息紅利的有效共享，助力教育服務供給模式升級和教育治理水平提升。大平臺的前提就是用戶的統一，用戶信息應該集中起來進行管理，按需（系統的需要、用戶的同意）提供給其他第三方系統使用。

建設用戶中心除了可以對在校師生進行管理外，還可以管理臨時人員、校友、訪客等。用戶中心具有將用戶的基礎信息（工號、姓名、性別、證件類型、證件號碼）、單位、職務等同步、導入、上傳與修改的功能。其中帳號信息包含鑒權方式信息，如帳號、證件、別名、密碼、郵箱、生物識別方式、一卡通、微信、QQ、支付寶、短信驗證碼方式等，用戶中心將以上多種驗證方式統一于一個用戶ID，平臺上能夠顯示這些信息的來源，用戶中心支持將脫敏的用戶信息根據不同的業務場景需求生成不同的二維碼推送給用戶。

3.3 提升鑒權能力，提高用戶使用度

統一用戶中心，作為核心簽證庫，應該是包含多種用戶鑒權方式信息，在完成業務系統、微服務系統的認證部分后，以統一的方式提供統一的、多樣的認證服務形式，以有效提升用戶體驗。

建設授權庫，存放接入系統和微服務的權限信息。在用戶完成認證后，中心化的授權系統可將相應用戶接入應用的授權信息返回給系統，實現統一管控。

提供管理所有集成用戶中臺的應用系統的功能。所有需要集成統一認證平臺的應用系統，都必須在此注冊授權。授予機構、人員、組訪問權限、登錄方式的維護、提供搜索、添加啟用和禁用等功能。

提供管理所有對接OAuth的應用系統。所有需要對接OAuth的應用系統，都必須在此注冊授權，否則不允許對接。

提供OAuth資源管理，在OAuth授權過程中，需要展示給用戶相關的授權選項（資源），即OAuth應用注冊過程中選擇的授權范圍，同時默認提供獲取用戶信息的基本權限接口。

基于用戶中臺以API形式開放相關接口后，此過程也可由用戶進行干預，完全自主管控信息。

3.4 沉淀用戶數據，提升決策能力

在企業中，中臺是為了更好地整合后端的計算、業務、數據資源，從而更敏捷、高效地為前臺服務，在高校中同樣如此。不同的是，高校中最有價值的是海量高維度、準確的數據資源，而在互聯網公司則是強大的技術、業務資源[3]。

用戶中臺支持對應用進行統計，使用折線圖和柱行圖的方式統計各個應用當天、年的訪問數和訪問用戶，訪問統計圖支持多種形式。支持全方位的訪問記錄統計，如賬號總數、教師賬號數、學生賬號數，部門訪問統計、應用訪問統計等，能夠展示部門、用戶、角色、崗位、用戶組總數等情況。

4 結語

用戶中臺是新技術發展的產物，它是高校在新時期根據自身業務需求結合《教育信息化2.0行動計劃》要求進行的信息化建設，相似的項目還有統一登錄平臺、融合門戶、微服務平臺、業務中臺、數據中臺、大數據中心等。各項目分工合作，基于“集約、融合、創新、服務”的理念，引入微服務、容器云等前沿信息技術手段，打造以“場景”為核心、“智慧服務”為目標的硬核體驗，實現“創新”與“融合”雙輪驅動，探索更科學、更有效的信息化應用服務新模式，為全體師生員工提供良好的計算機網絡和信息應用服務環境，將信息化技術融入學校日常教學、科研、管理、服務和校園生活的各個領域。在智慧環境中，基于開放性平臺，融合業務數據、應用、服務，而最終打造面向全用戶，全終端覆蓋，全場景的支持的微服務智慧校園生態。我們要從全局進行服務規劃與服務渠道建設，統籌學校各部門服務資源向用戶提供統一服務，依據“以人為本、融合服務”的原則，建設以“多渠道通辦”為核心的融合服務體系，促進信息化服務模式創新，實現服務模式多元、服務渠道暢通，為建設“服務型”高校打下堅實的信息化基礎。