小資料：統(tǒng)一用戶管理在企業(yè)信息化中的價(jià)值及框架

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

    隨著信息系統(tǒng)在企業(yè)的運(yùn)行中的全面滲透，企業(yè)建立了各種IT應(yīng)用系統(tǒng)，包括CRM、ERP、OA、HR、SCM、PLM等，還包括各種IT資源服務(wù)如數(shù)據(jù)庫(kù)、目錄、郵件、網(wǎng)絡(luò)接入系統(tǒng)、支持系統(tǒng)等。每一個(gè)應(yīng)用系統(tǒng)都對(duì)應(yīng)一個(gè)特定的用戶群體，以往應(yīng)用系統(tǒng)都儲(chǔ)存了自身的用戶信息，包括認(rèn)證信息（如用戶id及口令）以及授權(quán)信息。對(duì)不同應(yīng)用系統(tǒng)，用戶信息的存儲(chǔ)和管理往往沒(méi)有標(biāo)準(zhǔn)，存儲(chǔ)的方式包括數(shù)據(jù)庫(kù)、目錄或者文件，認(rèn)證的方式有口令校驗(yàn)、令牌等，授權(quán)策略的實(shí)現(xiàn)方式也多種多樣。

    應(yīng)用系統(tǒng)間用戶信息相互孤立引發(fā)了大量問(wèn)題，首先導(dǎo)致應(yīng)用系統(tǒng)不能建立面向用戶的統(tǒng)一視圖，相互之間信息共享困難；身份信息需要分別由人工維護(hù)，人員信息的新建、調(diào)整或調(diào)離都需要人工調(diào)整各個(gè)應(yīng)用系統(tǒng)的用戶數(shù)據(jù)； 其次隨著管理的復(fù)雜性提高，很難或幾乎不可能得到全部人員的整體身份信息的全貌，同一用戶在不同應(yīng)用系統(tǒng)間的信息之間也出現(xiàn)了沖突；同時(shí)，帶來(lái)一些安全漏洞，如當(dāng)人員離開(kāi)企業(yè)時(shí)，訪問(wèn)權(quán)限不能被及時(shí)取消，人員調(diào)動(dòng)時(shí)權(quán)限疊加，操作流程中的人為錯(cuò)誤也會(huì)留下安全漏洞；運(yùn)行過(guò)程中，高昂的維護(hù)成本也不容忽視，耗費(fèi)了大量的人工去操作用戶信息變更，并且每次變更用戶都往往需要等待很長(zhǎng)時(shí)間。

    統(tǒng)一用戶管理或統(tǒng)一身份管理新近被作為獨(dú)立的問(wèn)題提出，其實(shí)用戶和身份管理一直是人們信息化實(shí)踐的一部分，但目前的意義在于要改變以往的松散、孤立的管理方式，創(chuàng)建統(tǒng)一并可重用的用戶管理體系，并且逐步使之成為企業(yè)信息化中重要的基礎(chǔ)性構(gòu)件。

    二、用戶/身份管理的概念

    用戶是IT系統(tǒng)中各類活動(dòng)的實(shí)體，如人、組織、虛擬團(tuán)隊(duì)等。用戶管理是指在IT系統(tǒng)中對(duì)用戶和權(quán)限的控制，包括了身份管理、用戶授權(quán)、用戶認(rèn)證等，身份管理是基礎(chǔ)，用戶授權(quán)和認(rèn)證是之上的服務(wù)。身份是一個(gè)實(shí)體區(qū)別于其它實(shí)體的特性，IT系統(tǒng)中的身份通常指一個(gè)人在信息系統(tǒng)中的抽象，也可以是硬件、組織等實(shí)體的抽象，是屬于一個(gè)特定的實(shí)體的屬性的集合。身份屬性具有一些特點(diǎn)：往往是較短的數(shù)據(jù)元素如名稱、郵件、電話、照片、數(shù)字證書(shū)等，也可以是一些指向信息，如網(wǎng)絡(luò)鏈接、文檔編號(hào)等；這些屬性需要結(jié)構(gòu)化的組織，并且滿足一定的語(yǔ)義規(guī)定；身份信息的訪問(wèn)通常讀的幾率遠(yuǎn)大于寫(xiě)的幾率，并且要求較高的數(shù)據(jù)質(zhì)量。由于上述特點(diǎn)，身份信息非常適合以樹(shù)狀結(jié)構(gòu)組織，通過(guò)目錄方式存放，基于LDAP（V3）的目錄技術(shù)也是當(dāng)前身份管理的核心，是用戶身份信息的組織、存儲(chǔ)、交換、引用的基礎(chǔ)工具。

    身份管理就是產(chǎn)生和維護(hù)身份屬性的過(guò)程，也是管理不同實(shí)體之間關(guān)系的能力。身份管理（Identity Management）是用戶管理(User Administration)的一部分，但較容易混淆，下面通過(guò)一個(gè)簡(jiǎn)單示例來(lái)說(shuō)明：

    上圖有三個(gè)元素：示例的IT系統(tǒng)為HR系統(tǒng)，HR部門為應(yīng)用的所有者，雇員ABC為用戶。第1步要為雇員創(chuàng)建身份信息，這個(gè)過(guò)程屬于身份管理，第2步HR部門為用戶授權(quán)，第3步為用戶認(rèn)證。上述整個(gè)過(guò)程均屬于用戶管理。統(tǒng)一用戶管理是信息化的基礎(chǔ)應(yīng)用服務(wù)，簡(jiǎn)單認(rèn)為統(tǒng)一用戶管理就是解決用戶名口令問(wèn)題的思維忽略了其在IT中重要地位。

  三、分析企業(yè)身份管理需求

    企業(yè)的確面臨著統(tǒng)一用戶管理缺失帶來(lái)的種種窘境，也希望通過(guò)加強(qiáng)用戶管理來(lái)改變這一切。如同多數(shù)信息化進(jìn)程一樣，統(tǒng)一用戶管理體系建設(shè)也有很多無(wú)形的因素，必須和企業(yè)特性結(jié)合，模糊的需求可能導(dǎo)致錯(cuò)誤的結(jié)果。需求研究是信息化成功的基石，明確適應(yīng)當(dāng)前及以后IT建設(shè)需要的用戶管理需求也是不該被忽視的。

    用戶管理的應(yīng)用范圍和投入很有彈性，在一個(gè)簡(jiǎn)單的企業(yè)IT環(huán)境可能只是滿足一兩個(gè)特定功能，如實(shí)現(xiàn)簡(jiǎn)單的單點(diǎn)登陸，在一個(gè)復(fù)雜的IT環(huán)境中，需要從下到上建立用戶管理體系，需要從分析企業(yè)的實(shí)際需求入手決定實(shí)現(xiàn)統(tǒng)一用戶管理的路線。企業(yè)推行統(tǒng)一用戶管理解決方案的需求，大致可以歸結(jié)為以下幾個(gè)方面。

    1、 身份管理及維護(hù)的費(fèi)用太高；
    2、 不完全的，重復(fù)的，甚至不準(zhǔn)確的身份信息太多；
    3、 SSO和應(yīng)用無(wú)縫集成；
    4、 Web服務(wù)需要安全規(guī)范的標(biāo)準(zhǔn)。
    5、 確保關(guān)鍵型業(yè)務(wù)應(yīng)用安全的代價(jià)太高，敏感、私密的信息需要保護(hù)；
    6、 安全策略與審計(jì)跟蹤的一致性需要得到保證，難以審計(jì)、跟蹤所有進(jìn)入系統(tǒng)的用戶；

    不同的企業(yè)有不同側(cè)重點(diǎn)，面向大眾用戶服務(wù)的企業(yè)，重視給客戶提供不間斷體驗(yàn)（SSO），一個(gè)大型企業(yè)的內(nèi)部應(yīng)用系統(tǒng)可能具有上述一攬子的需求。多數(shù)企業(yè)面臨不止一個(gè)問(wèn)題，需要結(jié)合企業(yè)實(shí)際情況分清輕重緩急。企業(yè)應(yīng)圈定一個(gè)要變革的應(yīng)用系統(tǒng)和需求范圍，對(duì)每一個(gè)應(yīng)用系統(tǒng)分析，用投資回報(bào)比（ROI）來(lái)決定了是否將其納入統(tǒng)一的用戶管理體系。
 
    四、建立用戶管理體系框架

    企業(yè)需要建立自身的用戶管理體系，明確信息化主要組件的關(guān)系：用戶/身份管理、門戶、應(yīng)用集成、安全控制、應(yīng)用基礎(chǔ)設(shè)施、運(yùn)行環(huán)境等。從用戶管理體系的視角，這里按照一個(gè)層次化結(jié)構(gòu)探討各類IT組件在體系里的角色，將體系架構(gòu)分為四層，由底向上每一層向上一層提供服務(wù)，如下：

    1、 基礎(chǔ)應(yīng)用及信息源層：

    這一層可以理解為未建立統(tǒng)一的用戶管理體系前的IT資源或信息資源（還沒(méi)有形成IT系統(tǒng)），或被用戶管理變革對(duì)象，包括企業(yè)或組織中已有的各類獨(dú)立的應(yīng)用系統(tǒng)，或各類實(shí)體身份信息的擁有者(如人力部門、資產(chǎn)管理部門等)。這一層代表了現(xiàn)狀，是身份信息的源頭，也是產(chǎn)生了各類矛盾的源頭。在建立統(tǒng)一用戶管理體系后，本層首先將向身份數(shù)據(jù)服務(wù)層提供身份信息，并將可以接受上層信息的更新、或者通過(guò)上層服務(wù)重新組織應(yīng)用。

    2、 身份數(shù)據(jù)服務(wù)層

    這一層是整個(gè)身份管理體系的基礎(chǔ)，從物理上通常對(duì)應(yīng)于一個(gè)集中的或者分布的目錄。本層通過(guò)各種連接器從底層獲取信息，進(jìn)行整理和存儲(chǔ)，并提供統(tǒng)一、規(guī)范、集成的身份信息視圖，并向身份服務(wù)層提供數(shù)據(jù)服務(wù)。

    3、 身份服務(wù)層

    這一層利用底層的身份數(shù)據(jù)提供定制的用戶管理服務(wù)如：用戶創(chuàng)建、用戶認(rèn)證、用戶授權(quán)、用戶審計(jì)、虛擬用戶等；本層提供標(biāo)準(zhǔn)的接口，支持應(yīng)用系統(tǒng)與統(tǒng)一用戶管理體系的集成。

    4、擴(kuò)展應(yīng)用層

    這一層包括使用用戶管理服務(wù)的所有應(yīng)用系統(tǒng)，包括被改造的已有的應(yīng)用系統(tǒng)和基于統(tǒng)一用戶管理新建的工作流、門戶、SSO、自服務(wù)系統(tǒng)等。

  五、身份管理體系的實(shí)現(xiàn)

    推行用戶管理變革是一個(gè)系統(tǒng)的過(guò)程，需要對(duì)現(xiàn)狀的整理、建立相應(yīng)的軟硬件設(shè)施、對(duì)已有應(yīng)用的改造、以及對(duì)新的應(yīng)用建立開(kāi)發(fā)規(guī)范，并調(diào)整用戶管理流程適應(yīng)新的身份管理體系，幾乎不可能存在開(kāi)盒即用或者一站式的解決方案。這里要提出一個(gè)面向前面的體系框架的實(shí)施路線，可以作為企業(yè)IT建設(shè)的參考。

    1、 基礎(chǔ)應(yīng)用及信息源層——現(xiàn)有身份信息建模

    大型企業(yè)的信息系統(tǒng)鱗次櫛比，數(shù)目通常達(dá)到數(shù)十個(gè)甚至幾百個(gè)。第一步要對(duì)現(xiàn)狀進(jìn)行整理。首先確定范圍，比如考慮僅將用戶為全局的應(yīng)用系統(tǒng)和信息源納入管理變革的范圍。 然后針對(duì)每一個(gè)要考慮的應(yīng)用系統(tǒng)和信息源確定身份信息的內(nèi)容屬性和數(shù)據(jù)質(zhì)量；還需要了解應(yīng)用系統(tǒng)對(duì)身份信息的利用方式，應(yīng)用系統(tǒng)與其它系統(tǒng)之間身份信息共享的現(xiàn)狀。需要整體對(duì)身份信息進(jìn)行評(píng)估，通常會(huì)存在以下沖突的情形：數(shù)據(jù)重復(fù)，數(shù)據(jù)質(zhì)量不穩(wěn)定，沒(méi)有統(tǒng)一的ID（如用戶名在不同系統(tǒng)間的差異）等。之后，需要從實(shí)際信息中抽象出身份信息模型，這個(gè)模型應(yīng)基本覆蓋已有系統(tǒng)的身份信息需求，并應(yīng)預(yù)留擴(kuò)展接口。

    2、 身份數(shù)據(jù)層——建立統(tǒng)一的用戶目錄

    身份數(shù)據(jù)層的實(shí)現(xiàn)必須滿足以下要求：身份信息的正確和完整，服務(wù)的高可用性，信息的良好相關(guān)性，可以按照以下步驟進(jìn)行：

    （1）建立目錄服務(wù)

    首先身份數(shù)據(jù)層的任務(wù)是建立一個(gè)統(tǒng)一的身份信息的存儲(chǔ)系統(tǒng)，通常為目錄系統(tǒng)。目錄服務(wù)是開(kāi)放的標(biāo)準(zhǔn)的Internet應(yīng)用，支持分布和集中方式的靈活組合，需要進(jìn)行良好的規(guī)劃。企業(yè)通常并不是從零開(kāi)始建立目錄系統(tǒng)，而是要對(duì)現(xiàn)有目錄（包含其它數(shù)據(jù)源）的進(jìn)行集成，主要通過(guò)元目錄（Metadirectory，技術(shù)包括同步和信息中介等）或聯(lián)合目錄（Federated Directory）等技術(shù)進(jìn)行。另外需要注意，身份管理是目錄服務(wù)的一個(gè)典型應(yīng)用，但目錄服務(wù)還可以其它很多結(jié)構(gòu)化信息存儲(chǔ)、管理提供支持，具有很大潛在利用的空間。

    （2）確定信息來(lái)源

    根據(jù)應(yīng)用和身份信息層提供的身份模型建立目錄信息樹(shù)（DIT），將數(shù)據(jù)質(zhì)量保證的程度作為確定信息來(lái)源的依據(jù)，比如用戶名、創(chuàng)建、禁用信息應(yīng)由人力部提供，郵件名由郵件系統(tǒng)提供，數(shù)字證書(shū)由CA提供等。

    （3）信息抽取

    通過(guò)不同的連接器從各個(gè)信息源中抽取屬性，同時(shí)進(jìn)行信息的規(guī)范化、匯總（單個(gè)實(shí)體分散屬性的組合）、同步。這一點(diǎn)是身份管理體系建立中較困難的工作，舊有系統(tǒng)的信息缺乏規(guī)劃，比如沒(méi)有統(tǒng)一的用戶id，有時(shí)不能完全通過(guò)程序?qū)崿F(xiàn)身份信息的匯總。

    （4）信息轉(zhuǎn)換和發(fā)布

    為了適應(yīng)更多的應(yīng)用，比如虛擬身份的應(yīng)用，或者其它需要更多屬性的應(yīng)用，可以根據(jù)規(guī)則進(jìn)行信息的轉(zhuǎn)換，并通過(guò)目錄服務(wù)發(fā)布，目錄信息的發(fā)布同樣需要遵循安全訪問(wèn)控制策略。
 
    3、 用戶管理服務(wù)層——為應(yīng)用系統(tǒng)提供用戶管理服務(wù)

    身份數(shù)據(jù)層（用戶目錄）的建立為用戶管理打下了堅(jiān)實(shí)的基礎(chǔ)，可在其上開(kāi)發(fā)出一系列基于身份信息的統(tǒng)一服務(wù)，這些服務(wù)對(duì)應(yīng)用系統(tǒng)開(kāi)放或者對(duì)應(yīng)用系統(tǒng)提供接口，以下是最重要的幾個(gè)服務(wù)。

    （1）用戶認(rèn)證和用戶授權(quán)

    最基本的服務(wù)是統(tǒng)一用戶認(rèn)證和授權(quán)，認(rèn)證即是IT系統(tǒng)確定“你是誰(shuí)”的過(guò)程，可以通過(guò)目錄的基本操作(如LDAP Bind)、封裝的目錄接口（如ADSI）、或者特定軟件產(chǎn)品實(shí)現(xiàn)，授權(quán)是IT系統(tǒng)確定“你可以做什么”的過(guò)程。有的軟件提供了認(rèn)證和授權(quán)集成的功能。統(tǒng)一處理所有的認(rèn)證和授權(quán)，相對(duì)增加安全性（雖然存在破解一個(gè)就破解全局的問(wèn)題），同時(shí)簡(jiǎn)化用戶的使用體驗(yàn)。

    （2）統(tǒng)一審計(jì)

    通過(guò)統(tǒng)一的認(rèn)證授權(quán)服務(wù)可以集中審計(jì)，可以跟蹤用戶所有的操作，監(jiān)測(cè)異常訪問(wèn)行為，建立一些安全措施，并可以統(tǒng)計(jì)各個(gè)應(yīng)用系統(tǒng)的利用情況。

    （3）用戶創(chuàng)建方案

    在單點(diǎn)實(shí)現(xiàn)的用戶創(chuàng)建是IT系統(tǒng)的挑戰(zhàn)之一，通過(guò)統(tǒng)一的身份數(shù)據(jù)服務(wù)簡(jiǎn)化了這一目標(biāo)的實(shí)現(xiàn)。用戶定義流程的自動(dòng)化，單點(diǎn)創(chuàng)建用戶并賦訪問(wèn)權(quán)限，以及用戶調(diào)整時(shí)取消或賦權(quán)限都成了可能。有時(shí)候不只是個(gè)人，也可能是項(xiàng)目或組織的信息創(chuàng)建。用戶創(chuàng)建方案作為向應(yīng)用提供提供的服務(wù)，需要運(yùn)行穩(wěn)定、支持松散流程、并可對(duì)過(guò)程進(jìn)行審計(jì)。

    4、 擴(kuò)展應(yīng)用層——統(tǒng)一身份管理的應(yīng)用推廣

    完善的身份管理服務(wù)具備過(guò)去孤立的身份管理不可比擬的優(yōu)勢(shì)，從長(zhǎng)遠(yuǎn)來(lái)看，企業(yè)的應(yīng)用系統(tǒng)將會(huì)使用統(tǒng)一的認(rèn)證服務(wù)而不是自己的用戶管理。在具體實(shí)現(xiàn)上卻要遵循一個(gè)漸進(jìn)的過(guò)程，首先要?jiǎng)?chuàng)建標(biāo)準(zhǔn)使新上線的應(yīng)用集成統(tǒng)一的身份服務(wù)。然后要制定逐步改造舊有應(yīng)用系統(tǒng)的計(jì)劃，通過(guò)對(duì)用戶創(chuàng)建、SSO、密碼管理等技術(shù)改造舊有系統(tǒng)。同時(shí)，一些基于統(tǒng)一用戶管理體系的新應(yīng)用出現(xiàn)：

    （1）工作流：用圖形化的方式為流程建模，自動(dòng)的流程處理，支持事件驅(qū)動(dòng)和規(guī)則驅(qū)動(dòng)，用戶角色定義等。

    （2）SSO：如果有統(tǒng)一的身份數(shù)據(jù)，SSO可以利用身份服務(wù)層提供的服務(wù)可以做到完全的安全訪問(wèn)控制，身份服務(wù)層可以提供統(tǒng)一認(rèn)證和授權(quán)，還有審計(jì)。如果舊的應(yīng)用使用分散的用戶信息，只能做到一些簡(jiǎn)單的一次性登陸（如通過(guò)腳本或者用戶名口令傳遞）。

    （3）信息門戶：統(tǒng)一的身份管理體系也是門戶的基礎(chǔ)，體現(xiàn)在兩個(gè)方面，一是門戶需要基于SSO方案提供無(wú)縫的身份和訪問(wèn)控制，而是需要通過(guò)身份信息進(jìn)行基于角色的或者策略的訪問(wèn)控制，并提供自服務(wù)的接口。

    其它統(tǒng)一身份管理衍生的應(yīng)用還包括跨組織的應(yīng)用集成，如自服務(wù)的CRM，跨組織的供應(yīng)鏈管理等。

    六、總結(jié)

    1、 身份管理建設(shè)始于需求的建立和身份信息建模。
    2、 當(dāng)前統(tǒng)一身份管理的技術(shù)基礎(chǔ)是統(tǒng)一的目錄服務(wù)。
    3、 統(tǒng)一身份服務(wù)是向應(yīng)用系統(tǒng)開(kāi)放的集成規(guī)范和接口。
    4、 身份管理在信息化中具有核心地位，是貫穿門戶、安全訪問(wèn)控制、應(yīng)用集成的基礎(chǔ)組件。

    來(lái)源：e-works