高校企業微信多身份難題的解決與實踐

胡淼 謝華 李俊

摘? 要：目前許多高校基于企業微信搭建移動服務平臺，并通過統一身份認證平臺與企業微信的對接為用戶提供“免登錄”體驗，但使得多身份用戶在使用企業微信時無法明確身份的難題凸顯。文章對企業微信接口與身份認證機制進行了研究，通過梳理數據源、確定合重方式、同步推送數據以及提供身份切換等一系列措施，實踐解決了多身份難題，同時完成身份數據的初步治理，為搭建身份治理平臺提供基礎與方向。

關鍵詞：企業微信；統一身份認證；多身份；身份治理

中圖分類號：TP311? 文獻標識碼：A? 文章編號：2096-4706（2023）02-0015-03

Solution and Practice of University Enterprise's WeChat Multi Identity Problem

HU Miao， XIE Hua， LI Jun

（Nanjing Sport Institute， Nanjing? 210014， China）

Abstract： At present， many colleges and universities build mobile service platforms based on enterprise WeChat， and provide users with a “login free” experience through the connection between the unified identity authentication platform and enterprise WeChat. However， the problem that multi identity users cannot identify themselves when using enterprise WeChat is highlighted. This paper studies the enterprise WeChat interface and identity authentication mechanism. Through a series of measures such as sorting out the data source， determining the way of combining， synchronously pushing data and providing identity switching， it solves the multi identity problem and completes the initial governance of identity data， providing the foundation and direction for building an identity governance platform.

Keywords： enterprise WeChat; unified identity authentication; multi identity; identity governance

0? 引? 言

隨著信息化不斷發展，各高校積極推進智慧校園建設，滿足各應用需求的業務系統層出不窮，但同時也帶來了網絡信息安全隱患、各系統賬號密碼繁多、系統間存在應用壁壘和數據孤島等問題，為解決上述問題，將現有業務系統適當改造，與校園統一身份認證平臺對接，實現身份與權限的統一管理與認證，成為當今主流。以筆者所在學校——南京體育學院為例，目前已完成全量數據中心、統一身份認證平臺以及融合門戶建設，與我校教務、學工、人事、科研等30多個業務系統完成認證及數據集成。

隨著移動服務的需求不斷增加，企業微信作為騰訊公司推出的一款專業辦公管理平臺，具有開發及推廣成本低、用戶黏度高、信息推送量不限且及時準確、安全性能較高、用戶通訊錄認證技術、終端適配等優勢，筆者學校選擇基于企業微信搭建移動端校園應用，但與此同時，校園應用與企業微信對接過程中，本身就存在弊端的多身份認證問題凸顯，亟待解決。

1? 存在問題

1.1? 相關技術概念

企業微信在身份認證體系構建方面提供了通訊錄管理以及身份驗證兩類基礎功能接口，能夠為校園移動應用在用戶的身份權限管理上提供方便的功能支撐[2]。

1.1.1? 通訊錄管理接口

提供用戶信息、組織機構信息的同步功能，學校通過該接口將教職工、學生、臨時人員等用戶信息以及全校組織機構（包括用戶組、崗位、角色等）信息同步至企業微信通訊錄，從而搭建通信錄認證白名單。

值得注意的是，接口中用戶信息字段UserID、mobile、email三者企業內必須唯一，也就意味著企業用戶通過手機號碼或郵箱來標識自己在企業內的唯一身份。

1.1.2? 身份驗證接口

企業微信提供了基于OAuth2協議的網頁授權登錄與掃碼授權登錄兩種身份驗證方式，與之對接的校園應用可通過該接口獲取當前登錄企業微信的用戶信息（UserID等參數）。

1.2? “企業微信+統一身份認證”模式下的免登錄體驗

筆者所在學校基于企業微信提供的上述接口，將學校統一身份認證平臺與企業微信完成身份認證技術對接，可以實現用戶在企業微信客戶端使用校園應用時達到“無感知”身份認證（無須輸入賬號密碼）。

首先，學校統一身份認證平臺與企業微信對接通訊錄管理接口，實現用戶信息、組織機構信息的實時同步，保證校園合法用戶才能使用手機號碼或手機號碼綁定的微信賬號登錄校園企業微信。

其次，用戶通過企業微信客戶端訪問校園應用時，統一身份認證平臺通過企業微信提供的身份驗證接口獲取當前登錄用戶信息并進行身份認證，免去用戶輸入賬號、密碼環節。具體過程如圖1所示。①用戶點擊企業微信中提供的校園應用鏈接，該鏈接均由各校園應用提供商構造的OAuth2協議鏈接；②企業微信后臺根據用戶請求中攜帶的各類參數，驗證用戶及請求的合法性；③若驗證合法，企業微信后臺返回攜帶有授權碼的應用鏈接，企業微信客戶端根據返回的應用鏈接重定向至對應的校園應用，請求服務；④校園應用接收到請求后，向校園統一身份認證平臺請求身份認證，驗證用戶合法性、獲取身份信息；⑤統一身份認證平臺使用授權碼通過企業微信提供的身份驗證接口API獲取當前登錄用戶身份信息，包括UserID、所在部門等信息；⑥統一身份認證平臺根據獲取到的用戶信息驗證用戶合法性，并向校園應用返回認證結果，包含用戶必要信息；⑦校園應用獲得認證結果后，根據用戶信息建立相應會話資源，并向企業微信返回授權資源及結果；⑧企業微信客戶端根據授權資源向用戶展現相應的應用頁面。

1.3? 多身份現象及企業微信“免登錄”場景下存在的問題

由于筆者所在學校培養方向的特殊性，除教職工、學生等人員外，還存在教練員、運動員等身份用戶，且校園存在大量人員具有多重身份，例如：教職工同時進行學位深造屬于學生身份，在讀學生同時屬于校運動隊在訓運動員身份，甚至復雜情況下一個人同時具有3～4個校園身份。

多身份用戶在使用學校各類業務及資源時，出現以下幾點問題。

1.3.1? 需記住多套身份賬號密碼

具有多身份的用戶在處理不同身份事項時，即使學校已搭建統一身份認證機制，但仍需要使用不同身份的賬號和密碼登錄，因為統一身份認證機制僅解決了同一身份在不同業務系統中的重復登錄問題，針對多身份情況，仍需要用戶記住多套賬號和密碼，來回登錄，使用感受較差。

1.3.2? 使用企業微信時無法明確身份

在企業微信“免登錄”場景下，多身份問題進一步凸顯，且直接影響業務使用，具體情況如下：

企業微信以手機號碼或郵箱（一般為手機號碼）作為通訊錄唯一標識，這使得學校與企業微信同步通訊錄數據后，企業微信根據同步推送的手機號碼為每一個企業微信用戶確定一個身份（對應一個UserID），如果單純想要在企業微信中區分多重身份，需要用戶使用不同手機號碼（或不同手機號碼綁定的微信）加入企業微信才能實現。而正常情況下即使擁有校園多重身份的用戶，在系統登記使用的手機號碼通常只有一個，也就是身份賬號不同，但手機號碼相同，這就使得多身份用戶無法在企業微信獲得多個身份。統一身份認證平臺通過企業微信提供的身份驗證接口獲取登錄用戶的UserID也只能與系統登記的手機號碼產生對應關系，無法明確用戶的具體身份，無法為用戶確定具體業務權限，這使得多身份用戶在企業微信客戶端無法正常使用校園業務。

2? 解決與實踐

2.1? 解決思路

2.1.1? 匯總數據統一歸類

梳理不同身份數據的數據來源，明確集成方式，確保每一類身份數據擁有唯一的權威數據源；根據企業微信接口性質，確定身份數據以手機號碼進行歸類合重，并嚴格控制手機號碼的數據來源及修改渠道，保證合重準確性。

筆者所在學校將身份類型分為五大類，包括教職工、本科生、研究生、運動員、臨時人員，這五類身份數據來源分別為：人事系統、教務系統、研究生系統、訓練系統及流程平臺。這些業務系統均與學校數據中心完成數據集成與同步，數據中心再將匯總數據同步給統一身份認證平臺，由統一身份認證平臺完成歸類合重，并提供唯一的手機號碼修改渠道，成為學校手機號碼的權威數據源，并反向同步更新給數據中心，從而保證數據一致性。

2.1.2? 實現數據同步推送

將全校身份數據根據手機號碼歸類合重，對應同一個用戶并展示，根據企業微信接口性質，為每一個用戶標記UserID，完成手機號碼與UserID的一對一關系，明確每個身份數據的有效期，清理、修改和完善各業務系統的歷史推送數據，并適當修改業務邏輯，保證后續數據的準確性，完成身份數據的初步治理。根據身份數據的有效期，將每個用戶（UserID及手機號碼）的有效身份數據推送至企業微信，保證一個手機號可以對應多個身份，建設企業微信通訊錄白名單。

2.1.3? 提供多重身份切換登錄

當用戶通過企業微信客戶端進行免登錄認證時，統一身份認證平臺通過企業微信提供的身份驗證接口獲取當前登錄用戶信息（UserID），便能方便快捷地查詢出該用戶的所有身份數據，并提供身份選擇/切換頁面，用戶選擇相應身份后，便能夠以該身份訪問相應業務系統，處理對應身份業務，從而有效解決多身份用戶使用企業微信時無法明確身份的問題。

同時，統一身份認證平臺提供“手機號碼+密碼”登錄方式，當以該方式進行認證時，平臺同樣根據手機號碼查詢出該用戶的所有身份數據，并提供身份選擇/切換頁面，從而解決多身份用戶需使用不同身份賬號密碼才能登錄對應身份辦理身份事項的難題。

2.1.4? 實現共享治理成果

多身份問題可能不局限在一個平臺或一種應用場景，開放梳理完成的多身份數據及相關接口供其他系統使用，可解決共性問題，共享治理成果。

2.2? 實踐效果

2.2.1? 登錄

多身份治理完成后，用戶無須記住多個身份賬號及密碼，可根據合重的手機號碼登錄，再選擇相應身份進入系統。身份選擇與切換界面如圖2所示。

2.2.2? 企業微信客戶端

企業微信客戶端提供免登錄體驗的同時，多身份用戶直接按需選擇業務辦理的身份，提高用戶辦理事項的使用效率。

2.2.3? 后臺管理端

后臺管理端根據“一用戶多身份”匯總展示身份數據，并標識各身份狀態及有效期。后臺“一用戶多身份”數據展示效果界面如圖3所示。

3? 結? 論

筆者所在學校基于企業微信搭建校園移動辦公環境，并通過統一身份認證平臺與企業微信的對接為用戶提供方便快捷的“免登錄”體驗，但使得多身份用戶在使用企業微信時無法明確身份的難題更為突出，學校通過對企業微信接口與身份認證機制進行研究，提出緊抓數據來源、明確合重方式、同步推送數據、提供身份切換等一系列措施，使得多身份用戶不必記住多套身份賬號和密碼，只需使用“手機號碼+密碼”登錄方式便可在多個身份中來回切換選擇，同時通過企業微信使用校園應用時，也可通過“免登錄+選擇身份”方式以明確的身份進入具體應用完成相應事務。與此同時，學校也完成了身份數據的初步治理，并開放數據接口、共享治理成果，為學校身份治理提供了基礎與方向。

后續，學校在多身份方面仍有許多新的探究方向：首先，針對學校一人多身份的應用需求下，目前尚無模型或平臺能夠實現業務辦理與消息通知等徹底融合的場景，例如：用戶可查看自己全部身份權限下能夠使用的應用，并選擇相應應用與身份進入系統；用戶可查看自己全部身份權限下的待辦任務，并以相應身份完成對應的任務；用戶能夠收到自己全部身份權限下的消息提醒等。同時，后臺管理端層面目前也只是具備多身份數據的展示功能，后續可搭建基于機構、崗位、人員等維度的身份治理平臺，基于校園機構、崗位及身份數據的治理成果提供可視化管理平臺，進一步實現高校身份治理。

參考文獻：

[1] 李建國，姚軍光.基于企業微信的移動校園建設研究 [J].青島遠洋船員職業學院學報，2021，42（3）：7-10.

[2] 張剛剛.智慧校園下“企業微信+CAS”的統一身份認證方案設計 [J].軟件導刊，2022，21（1）：34-39.

[3] 陳胤梁，江峰，王莉.淺談基于用戶體驗的校園統一身份認證系統優化 [J].電腦知識與技術，2021，17（9）：68-70.

[4] 樂海平.基于微信企業號的高校移動服務平臺建設 [J].教育教學論壇，2020（47）：15-16.

[5] 許彩龍.基于微信企業號的高校移動門戶建設與應用 [J].數字技術與應用，2022，40（5）：208-210.

[6] 徐建，宗銳，寇贇，等.基于統一身份認證的微應用開發應用探索 [J].電子世界，2021（12）：57-58.

作者簡介：胡淼（1981—），女，漢族，江蘇無錫人，實驗師，碩士，研究方向：智慧校園建設與服務。

收稿日期：2022-08-29