高校信息系統用戶及權限統一管理的規劃研究

安軍

摘要：該文分析高校信息系統建設現狀，針對用戶管理及權限管理廣泛存在的問題，提出建立統一用戶目錄樹，完成用戶及組織架構數據同步，實現用戶生命周期管理和統一權限管理以及用戶自服務管理的設計規劃，為高校信息系統用戶及權限統一管理提供了清晰的思路，該文可供高校信息化系統規劃、建設的相關同仁在信息系統用戶及權限統一管理方面參考、借鑒。

關鍵詞：高校信息;系統用戶;權限;統一管理

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）18-0012-03

開放科學（資源服務）標識碼（OSID）：

1高校信息系統現狀

近年來，隨著信息技術的迅速發展和教育信息化的持續推進，許多高校建設了教務、學生、科研、人事等一系列信息系統，信息化建設已具一定規模。信息系統的建設為提升高校管理能力、創造良好教學環境提供有力支撐。

在高校內部已建成的眾多信息系統中，每套系統都有自己的用戶和權限管理功能，從IT管理者角度來看，隨著信息系統規模、用戶類型、用戶數量的不斷增加，以及因管理需要導致用戶、組織架構的頻繁變動和權限管理不斷細化給信息系統自身管理帶來很大困難;從系統開發者的角度來看，用戶、組織架構管理以及權限管理的重復開發，降低了新系統的開發速度、增加開發風險、造成開發成本增加;從實現數據共享和業務互通的角度來看，每個信息系統都有自己實現用戶和權限管理的技術方式，后臺使用的數據庫也不盡相同，系統異構導致信息的可移植性差，非常不利于信息系統數據共享與業務集成。因此，需通過便捷有效的統一用戶管理及權限管理體系改變被動局面，充分發揮信息系統效能。

2用戶及權限統一管理的需求

針對當下高校廣泛存在的用戶及權限管理問題，需建立統一化的用戶身份生命周期管理體系，為高校各信息系統提供統一標準的用戶基本信息數據，整體提高用戶及權限管理的效率和準確性，從而提升用戶體驗，降低維護人員工作量。

根據其他行業信息化系統建設的成功經驗，針對高校實際的管理需要，提出需求如下：

1）建立一套集中的用戶及組織架構信息庫，作為基礎設施為各信息系統提供用戶及組織架構基礎信息服務，利用數據同步接口實現對高校內各信息系統所需的用戶基礎信息和組織架構信息進行標準化管理。

2）通過對統一用戶目錄中主、從賬號的統一管理，實現用戶身份生命周期管理，可完成主、從賬號的創建、鎖定、刪除，主、從賬號間關聯與同步，離職用戶的主、從賬號一次性鎖定或清除。

3）實現統一用戶管理及權限管理系統對高校內信息系統進行集中統一的系統級權限管理，為后續實現基于角色管理的細顆粒度權限管理目標奠定基礎。

4）提供便捷的用戶自服務，實現個人基本信息自維護、信息系統賬號自申請、信息系統密碼自找回等功能。

3用戶及權限統一管理的規劃

3.1 統一用戶目錄樹

LDAP是輕型目錄訪問協議（LightweightDirectoryAccessProtocol）。顧名思義，它是用于訪問目錄服務的輕量級協議，方便用于B/S架構下訪問目錄服務[1]。目錄服務與普通數據庫不同，目錄服務使用具有層次的樹形結構來組織數據，特別適合用于人事組織結構管理、用戶基礎信息管理等具有層級和樹形結構特點數據的快速搜索和瀏覽。

在這里使用LDAP目錄來構建核心用戶目錄樹，集中統一存儲管理用戶基礎信息和組織架構信息。一般來講，高校的人事管理系統或OA系統中的人員及組織架構信息比較全面和準確，根據高校內部管理的具體情況，統一用戶及權限管理中的用戶基礎數據和組織架構基礎數據可來自這兩個系統。

1）用戶基本信息

用戶基本信息包括UID、姓名、性別、年齡、學歷、學位、職級、所學專業、畢業院校等信息。管理員能夠通過逐條錄入、文件導入或者系統間接口方式增加一個或一批用戶基礎信息數據并進行規范化處理，作為統一用戶管理的基礎數據。統一用戶管理中的用戶基本信息數據存儲在核心用戶目錄樹中，這部分信息數據作為基礎數據為高校內各信息系統提供用戶基礎數據同步服務。

在統一用戶及權限管理系統中，用戶基礎數據以樹形結構進行展示和管理，主要包括用戶數據從人事管理系統或OA系統中同步，原有用戶數據的屬性編輯、位置排序，人員的檢索等功能。

2）組織架構信息

組織架構信息主要包括組織編碼ID、組織名稱、組織級別、組織簡稱、組織描述、組織形態、組織狀態、上級組織編碼、主負責人、副負責人等基本信息。在高校內存在多個維度的組織架構信息，例如行政、黨、團等維度，以及為了完成某專項工作而設立的虛擬組織，多維度的組織架構所屬人員還會出現重疊。組織架構基本信息主要來自高校內部的人事管理系統，通過組織架構信息可以清晰完整描述高校內多維度的組織架構，組織架構信息的存儲在核心用戶目錄樹中，高校內各信息系統根據自身需要通過組織架構基本信息同步服務來獲取組織架構信息。

同樣，用戶組織架構信息在統一用戶及權限管理系統中以樹形結構進行展示和管理，主要包括組織的創建，原有組織的屬性編輯、位置排序，組織的檢索、組織的刪除等功能。

3.2 數據同步管理

統一用戶及權限管理系統在兼顧便捷性和安全性的前提下與高校內其他信息系統進行數據集成與同步，主要涉及如下兩個層面：

1）獲取用戶及組織架構基礎數據

從人事管理系統或OA系統到統一用戶及權限管理系統的數據集成與同步。通過系統間接口實現統一用戶及權限管理系統從人事管理系統或OA系統獲取用戶及組織架構基本信息。

2）提供用戶及組織架構數據服務

統一用戶及權限管理系統是為高校內其他信息系統提供用戶及組織架構信息服務的基礎設施，統一用戶及權限管理是高校內信息系統群實現統一門戶和統一認證的前提和基礎。統一用戶及權限管理系統通過系統間接口為下游系統及時提供靈活的、按需獲取的用戶及組織架構信息。

3.3 用戶生命周期管理

用戶賬號的創建、變更、鎖定與解鎖、注銷或刪除是用戶在信息系統中存在的完整生命周期，需要信息系統對用戶賬號進行規范管理以避免非法用戶帶來各種信息安全風險[2]。用戶生命周期管理對象包括對正式在編員工用戶、社聘員工用戶和臨時用戶的管理。用戶生命周期管理主要是通過工作流引擎定制開發的用戶管理電子審批流程來完成。

1）員工用戶管理

正式在編員工用戶和社聘員工用戶的管理流程包括員工入職、調動、離職以及借調等四大類流程[3]。員工的發生變化時，一方面會影響到人事管理系統并觸發其中的相關流程，另一方面也需要統一用戶及權限管理系統對用戶信息進行相應的維護。

2）臨時用戶管理

臨時用戶可以是內部用戶也可以是外部用戶。臨時用戶管理是指因管理需要申請的有指定有效期限的用戶賬號。臨時用戶管理流程包括臨時用戶創建、授權、變更和收回等方面的管理和審核流程，臨時用戶的創建需經過臨時用戶申請流程審批生效后才能創建。

3.4 權限的統一管理

統一權限管理，主要是指能夠集中統一地對用戶與相關信息系統的權限進行分配的過程。這里描述的權限，是指對特定資源的訪問，比如讀、寫、執行等操作。在高校信息系統特定的環境下權限管理是指許可特定用戶對特定資源進行一項或多項特定操作。

權限管理也有一個完整的生命周期，包括授予權限、權限變更、權限回收。在具體實踐中，權限管理往往基于角色進行管理，角色是具有相同操作權限的用戶組，把某個用戶賦予某個角色，那么該用戶將繼承這個角色下的所有權限?；诮巧臋嘞薰芾砜梢越档蜋嘞薰芾淼膹碗s度，減輕管理員的工作量。

權限管理分為兩個層面：一個層面是把每個信息系統作為一個資源來管理的粗顆粒度管理方式;另一個層面是把信息系統中的資源細項（每個功能模塊或功能頁面等）分別作為權限管理對象的細顆粒度管理方式。許多高校經過多年建設，信息系統數量多、系統權限管理復雜，建議現階段實現粗粒度系統級授權，也就是完成用戶到系統資源層面的粗顆粒度權限管理，待高校內部管理和技術成熟后再逐步細化。

1）信息系統管理

這里的信息系統是指由統一用戶及權限管理系統完成統一管理集成的高校內部信息系統。為了方便管理，在統一用戶及權限管理系統中提供信息系統的分類、分級管理，實現對納入本系統權限管理的信息系統進行管理，包括注冊、查詢、編輯、鎖定和注銷操作。

①注冊功能：管理員能夠在統一用戶及權限管理系統中通過人工添加的方式，針對具體的某項信息系統在統一用戶及權限管理系統中注冊新的信息系統信息，包括信息系統標識、IP地址、url地址、信息系統證書等;

②編輯功能：管理員能夠在統一用戶及權限管理系統中對被管理信息系統進行編輯修改，包括信息系統標識、IP地址、url地址、信息系統證書等;

③鎖定及解鎖功能：根據管理需要，管理員可以在統一用戶及權限管理系統中對被管理信息系統進行鎖定操作，鎖定的被管理信息系統將暫時停止統一用戶及權限的管理，解鎖后可恢復。

④注銷功能：當某個被管理信息系統退網下線停止服務，或者系統出現異常狀態時，管理員在統一用戶及權限管理系統的管理界面中對被該信息系統進行注銷操作。注銷的被管信息系統將徹底無法進行統一用戶和權限管理，除非進行再次注冊操作。

2）用戶授權管理

用戶授權管理是指管理員可以針對特定資源的操作權限（讀、寫、執行等操作）進行單獨用戶授權或基于角色（用戶組）進行集體授權。在高校的統一用戶及授權管理系統中，主要是指對用戶或用戶組授權某個高校內部信息系統的訪問權限。

對于納入統一用戶及權限管理系統管理的信息系統有相應的從賬號，從賬號與主賬號存在著對應隸屬關系。一個普通用戶要具有訪問某個信息系統的權限就必須擁有該信息系統的從賬號。

用戶從賬號的申請需通過信息系統從賬號申請流程審批生效后才可創建，從賬號創建的同時會與主賬號建立隸屬關系。

有兩種原因可以導致某個用戶的信息系統從賬號的鎖定或刪除。一種原因是該用戶的主賬號被鎖定或刪除，另一種原因是僅將該用戶的這個應用從賬號鎖定或刪除。

3）角色管理

角色是指擁有一系列權限的用戶集合（用戶組）。基于角色（用戶組）的權限管理方式，可以簡化授權管理，提高授權的便捷性[4]。

在統一用戶及權限管理系統中梳理具有共性權限的用戶及組織、定義角色，通過角色來進行授權管理。為滿足管理、使用的需求，角色應包含但不限于以下屬性：標識、類型、狀態、創建修改時間、有效時間、權限（信息系統）內容。

考慮到高校信息系統現狀，很多信息系統的授權比較復雜，例如：在教務管理系統中角色、權限的分類多種多樣，并且高校內不同的信息系統的角色定義不一，含義也不盡相同，通過統一用戶及權限管理系統中的角色和眾多信息系統的角色進行映射，這種模式會對系統的管理和維護帶來過大的復雜度，反而影響管理效能?，F階段可以先實現系統級授權的粗顆粒度管理方式，隨著高校內部管理和技術成熟，后期可以把高校內各信息系統所包含的角色進行梳理，針對每個信息系統建立角色權限定義與變更和用戶組定義與變更的同步機制，完成統一用戶及權限管理系統從賬號角色與信息系統用戶角色對應，最終實現基于角色管理的細顆粒度權限管理目標[5]。

3.5用戶自服務管理

為了減輕系統管理員工作強度，方便普通用戶便捷獲取相應服務，提高高校各信息系統用戶及權限管理的時效性，在統一用戶及權限管理系統中提供用戶自服務功能。普通用戶可在統一用戶及權限管理系統中進行用戶個人基本數據修改，信息系統賬號自申請，信息系統密碼自服務等用戶自服務功能。

1）個人基本信息服務

普通用戶可通過自服務查閱本人身份信息和信息系統授權，對用戶ID、所屬部門、職級等敏感信息以外的個人信息進行編輯、修改。

2）信息系統賬號服務

普通用戶可通過自服務申請所需信息系統賬號，通過審批后可創建相應賬號，獲取訪問該信息系統的權限。

3）信息系統密碼服務

普通用戶可使用該自服務功能修改自己的主、從賬號密碼，在密碼丟失時可通過指引來重置密碼。

4 結語

統一用戶及權限管理是實現統一認證和統一門戶展示的前提和基礎。筆者研究借鑒其他行業統一用戶及權限管理系統的成功經驗，基于LDAP（LightweightDirectoryAccessProtocol輕量級目錄訪問協議）協議構建高校內部核心用戶目錄樹，對用戶身份數據、組織架構數據、權限數據進行規范管理，為高校內部各信息系統提供統一標準的用戶基本信息數據、組織架構數據和權限管理數據，完成用戶生命周期的統一管理，實現統一、安全、靈活和可擴展的統一用戶及權限管理系統，借此整體提高高校信息系統用戶及權限管理的效率和準確性，提升用戶體驗，降低維護人員工作量。

參考文獻：

[1] 趙豪邁.整合“信息煙囪”的治理實踐與經驗評析[J].國家治理，2020（33）：41-45.

[2] 李穎.基于校園網的單點登錄系統研究[J].電腦開發與應用，2013，26（3）：14-16.

[3] 翁曉泳，蔡瀟.身份認證系統在電子政務中的應用研究[J].信息技術與信息化，2020（10）：35-37.

[4] 王文成.集成平臺在醫院信息系統集成中的應用[J].中國信息界，2020（5）：86-89.

[5] 胡麗麗.單點登陸在統一用戶管理系統中的應用研究[J].電腦知識與技術，2017，13（31）：256-257.

【通聯編輯：光文玲】