设计院统一身份管理系统实施方案与问题分析

樊立让



设计院统一身份管理系统实施方案与问题分析

樊立让

西北勘测设计研究院有限公司，陕西 西安 710065

以账户统一管理为核心，介绍了某集团统一身份管理系统/4A平台，并结合设计院应用系统集成需求，提出了实施方案，分析了遇到的管理问题并提出了应对措施。

统一身份管理/4A平台；实施方案；问题分析

1 背景及存在的问题

某设计院是世界五百强企业——某大型央企集团（股份）有限公司的成员企业。随着设计院业务发展和转型升级，信息化的广度和深度不断提升，具备了较好的信息化应用水平。该设计院现已建成企业门户、勘测设计项目管理、财务、人力资源、公文办公与协同、即时消息等十多个覆盖生产、经营各相关业务的综合管理和业务系统。目前还在建设EPC项目管理、设计项目及设计资源系统、经营合同管理及辅助决策等多个信息系统。

这些已建或在建的系统各自维护一套独立的用户身份信息。随着公司各项业务的不断发展，应用系统数量越来越多，用户身份等基本信息没有统一管理，员工需要记录多个账户及密码，而且需要在不同的系统间频繁切换和访问；系统的使用往往会跨部门、跨地域，系统间也需要进行数据的交换和共享，因此账户的管理、权限的控制、行为的审计不再局限于单一的系统，需要在各个应用系统间进行整合；同时缺少用户的访问控制与审计，给信息管理和风险控制带来了较高的难度。

2 设计院统一身份管理系统/4A平台简介

4A是指认证、账户、授权、审计。设计院统一身份管理系统/4A平台（简称4A平台）是一种安全体系框架，主要涵盖用户信息同步、单点登录（SSO）等功能，为多系统提供用户身份、系统资源、权限策略等统一、安全、有效的配置和服务。

该设计院上级集团公司已建成基于PKI/CA技术安全体系架构的4A平台，除了统一的账户、授权、认证与审计服务，还可实现用户可信证书服务。其中授权和审计只是系统级的粗粒度授权和审计，对设计院有价值的只有统一账户管理、统一认证（单点登录/SSO）以及证书服务功能。统一身份认证应用了数字签名、加密等技术，安全级别高[1]。

2.1 实施范围与目标

经认真研究集团（股份）公司《统一身份管理系统建设方案》，结合设计院实际情况，提出如下实施方案：

2.1.1 实施范围

本次实施仅限在设计院总部部署的应用系统，后期条件成熟时涵盖在分子公司部署的应用系统；公司总部仅限网络等基础设施系统和主要的应用系统，不包括一些独立的的系统（如售饭系统等）。

表1

2.1.2 实施目标

以身份管理为基础，以严格认证为核心，通过统一身份管理系统与各应用系统的集成协同，构建针对设计院应用层面的信息安全基础保障措施，创建统一的账户管理机制和平台，面向不同的应用系统和用户提供统一的、一致的身份管理服务和身份认证服务；实现用户在不同应用系统的账户统一，每一个用户在所有系统中以统一的身份进行各种业务操作，无须记忆大量的账户名和口令。

2.2详细实施方案设计

先引进和搭建4A平台，再和HR系统集成，接着和已在集团有过集成案例的应用系统集成，然后总部主要应用系统实施；最后完全按照4A系统标准改造现有应用的系统集成。

2.2.1 引进集团推广的4A平台

集团（股份）公司明确提出了4A平台的建设标准和规范，并指定由北京某公司在全集团实施推广。系统部署说明见表1。

2.2.2 确定应用系统集成方案

应用集成方案确定主要包括如下工作：

（1）应用系统集成方式

集团推广的应用系统集成方案有如下三种方式：

方式一：4A系统提供标准，厂商按标准改造现有应用；

方式二：厂商提供标准及技术支持，4A系统进行扩展改造；

方式三：口令代填方式。

其中方式一优点明显，但集成费用较高；方式二费用较少，但安全性和标准的统一维护管理不如方式一；方式三存在安全问题，不予考虑。经与公司技术人员沟通，考虑到安全原因，设计院尽量按照方式一进行集成。

（2）系统数据同步方式

4A平台在实现与各类应用进行集成和策略交互的过程中，需要面向众多不同平台、不同架构和不同数据结构的应用系统和数据库，所以在面向以上平台时需要提供兼容性强且灵活便捷，能够快速集成整合的实现机制，目前在4A平台上主要考虑通过应用接口层（Web Service）和数据层两种方式来设计，其中数据层又可以提供基于触发器、ChangeLog和全库扫描的方式来进行数据变化的感知和交互[2]。

数据交互支持多种方式包括：手动同步、自动同步、订阅同步。

（3）账户密码存储方式

在4A平台统一认证的环境下，通常应用系统是不需要存储密码信息的。4A平台验证用户身份成功后，只需向应用系统传递用户账户即可。但由于某些原因，应用系统仍需要存储密码，并且为了保证密码的一致性，密码应与4A平台的密码一致。

例如邮件系统，除了在PC机上通过Web页面登录，还有可能通过邮件客户端、手机和iPad等移动终端登录。这些登录入口，目前尚不能纳入4A平台的管理。

2.2.3 确定基础设施系统集成方案

终端准入及上网行为管理、VPN系统、无线网络系统、邮件系统等大多为标准硬件设备或不可改造系统，且支持标准的第三方认证协议，建议由4A系统按标准进行集成。

2.3 管理问题及应对措施

4A平台的实施带来了一定的好处，统一身份、统一认证（单点登录）、认证安全性等；同时对各个系统的运维也有一定的管理要求，尤其是作为数据源的HR系统，当员工入职、离职岗位变更或其它原因的信息变更时，需要及时录入，触发统一用户信息的变更，否则就失去的统一身份管理的意义。

如果HR系统因为管理问题不能做到，建议在4A平台进行统一维护，及时推送到其他应用系统。

3 结束语

统一身份管理是异构信息系统集成的基础。设计院在方案实施过程中还会遇到一些问题，比如员工跨部门兼职、借调，外部临时用户，复杂系统的账户同步处理，以及与其他系统的集成配合等，都需要在后期的实施过程中协调和解决。

[1]欧高林.面向高职院校的统一身份管理系统的建设分析与技术探讨[J].电脑知识与技术，2015，11（32）：221-223.

[2]邓宇，宋成林，袁胜伟，等.企业门户技术及在企业管理信息系统中的应用[C]//2004全国电力行业信息化年会，2004.

The Implementation Scheme and Problem Analysis of the Unified Identity Management System in the Design Institute

Fan Lirang

Xibei Engineering Cooperation Limited, Shaanxi Xi’an 710065

Taking account unified management as the core, the paper introduces a unified identity management system /4A platform of a Group, and puts forward the implementation plan combined with the application system integration demand of the Design Institute, and finally analyzes the management problems encountered and puts forward some countermeasures.

unified identity management /4A platform; implementation scheme; problem analysis

TP393.18

A

1009-6434（2017）10-0063-02