一、背景
隨著信息系統(tǒng)在企業(yè)的運行中的全面滲透,企業(yè)建立了各種IT應用系統(tǒng),包括CRM、ERP、OA、HR、SCM、PLM等,還包括各種IT資源服務如數(shù)據(jù)庫、目錄、郵件、網(wǎng)絡接入系統(tǒng)、支持系統(tǒng)等。每一個應用系統(tǒng)都對應一個特定的用戶群體,以往應用系統(tǒng)都儲存了自身的用戶信息,包括認證信息(如用戶id及口令)以及授權信息。對不同應用系統(tǒng),用戶信息的存儲和管理往往沒有標準,存儲的方式包括數(shù)據(jù)庫、目錄或者文件,認證的方式有口令校驗、令牌等,授權策略的實現(xiàn)方式也多種多樣。
應用系統(tǒng)間用戶信息相互孤立引發(fā)了大量問題,首先導致應用系統(tǒng)不能建立面向用戶的統(tǒng)一視圖,相互之間信息共享困難;身份信息需要分別由人工維護,人員信息的新建、調(diào)整或調(diào)離都需要人工調(diào)整各個應用系統(tǒng)的用戶數(shù)據(jù); 其次隨著管理的復雜性提高,很難或幾乎不可能得到全部人員的整體身份信息的全貌,同一用戶在不同應用系統(tǒng)間的信息之間也出現(xiàn)了沖突;同時,帶來一些安全漏洞,如當人員離開企業(yè)時,訪問權限不能被及時取消,人員調(diào)動時權限疊加,操作流程中的人為錯誤也會留下安全漏洞;運行過程中,高昂的維護成本也不容忽視,耗費了大量的人工去操作用戶信息變更,并且每次變更用戶都往往需要等待很長時間。
統(tǒng)一用戶管理或統(tǒng)一身份管理新近被作為獨立的問題提出,其實用戶和身份管理一直是人們信息化實踐的一部分,但目前的意義在于要改變以往的松散、孤立的管理方式,創(chuàng)建統(tǒng)一并可重用的用戶管理體系,并且逐步使之成為企業(yè)信息化中重要的基礎性構件。
二、用戶/身份管理的概念
用戶是IT系統(tǒng)中各類活動的實體,如人、組織、虛擬團隊等。用戶管理是指在IT系統(tǒng)中對用戶和權限的控制,包括了身份管理、用戶授權、用戶認證等,身份管理是基礎,用戶授權和認證是之上的服務。身份是一個實體區(qū)別于其它實體的特性,IT系統(tǒng)中的身份通常指一個人在信息系統(tǒng)中的抽象,也可以是硬件、組織等實體的抽象,是屬于一個特定的實體的屬性的集合。身份屬性具有一些特點:往往是較短的數(shù)據(jù)元素如名稱、郵件、電話、照片、數(shù)字證書等,也可以是一些指向信息,如網(wǎng)絡鏈接、文檔編號等;這些屬性需要結構化的組織,并且滿足一定的語義規(guī)定;身份信息的訪問通常讀的幾率遠大于寫的幾率,并且要求較高的數(shù)據(jù)質(zhì)量。由于上述特點,身份信息非常適合以樹狀結構組織,通過目錄方式存放,基于LDAP(V3)的目錄技術也是當前身份管理的核心,是用戶身份信息的組織、存儲、交換、引用的基礎工具。
身份管理就是產(chǎn)生和維護身份屬性的過程,也是管理不同實體之間關系的能力。身份管理(Identity Management)是用戶管理(User Administration)的一部分,但較容易混淆,下面通過一個簡單示例來說明:
上圖有三個元素:示例的IT系統(tǒng)為HR系統(tǒng),HR部門為應用的所有者,雇員ABC為用戶。第1步要為雇員創(chuàng)建身份信息,這個過程屬于身份管理,第2步HR部門為用戶授權,第3步為用戶認證。上述整個過程均屬于用戶管理。統(tǒng)一用戶管理是信息化的基礎應用服務,簡單認為統(tǒng)一用戶管理就是解決用戶名口令問題的思維忽略了其在IT中重要地位。
三、分析企業(yè)身份管理需求
企業(yè)的確面臨著統(tǒng)一用戶管理缺失帶來的種種窘境,也希望通過加強用戶管理來改變這一切。如同多數(shù)信息化進程一樣,統(tǒng)一用戶管理體系建設也有很多無形的因素,必須和企業(yè)特性結合,模糊的需求可能導致錯誤的結果。需求研究是信息化成功的基石,明確適應當前及以后IT建設需要的用戶管理需求也是不該被忽視的。
用戶管理的應用范圍和投入很有彈性,在一個簡單的企業(yè)IT環(huán)境可能只是滿足一兩個特定功能,如實現(xiàn)簡單的單點登陸,在一個復雜的IT環(huán)境中,需要從下到上建立用戶管理體系,需要從分析企業(yè)的實際需求入手決定實現(xiàn)統(tǒng)一用戶管理的路線。企業(yè)推行統(tǒng)一用戶管理解決方案的需求,大致可以歸結為以下幾個方面。
1、 身份管理及維護的費用太高;
2、 不完全的,重復的,甚至不準確的身份信息太多;
3、 SSO和應用無縫集成;
4、 Web服務需要安全規(guī)范的標準。
5、 確保關鍵型業(yè)務應用安全的代價太高,敏感、私密的信息需要保護;
6、 安全策略與審計跟蹤的一致性需要得到保證,難以審計、跟蹤所有進入系統(tǒng)的用戶;
不同的企業(yè)有不同側重點,面向大眾用戶服務的企業(yè),重視給客戶提供不間斷體驗(SSO),一個大型企業(yè)的內(nèi)部應用系統(tǒng)可能具有上述一攬子的需求。多數(shù)企業(yè)面臨不止一個問題,需要結合企業(yè)實際情況分清輕重緩急。企業(yè)應圈定一個要變革的應用系統(tǒng)和需求范圍,對每一個應用系統(tǒng)分析,用投資回報比(ROI)來決定了是否將其納入統(tǒng)一的用戶管理體系。
四、建立用戶管理體系框架
企業(yè)需要建立自身的用戶管理體系,明確信息化主要組件的關系:用戶/身份管理、門戶、應用集成、安全控制、應用基礎設施、運行環(huán)境等。從用戶管理體系的視角,這里按照一個層次化結構探討各類IT組件在體系里的角色,將體系架構分為四層,由底向上每一層向上一層提供服務,如下:
1、 基礎應用及信息源層:
這一層可以理解為未建立統(tǒng)一的用戶管理體系前的IT資源或信息資源(還沒有形成IT系統(tǒng)),或被用戶管理變革對象,包括企業(yè)或組織中已有的各類獨立的應用系統(tǒng),或各類實體身份信息的擁有者(如人力部門、資產(chǎn)管理部門等)。這一層代表了現(xiàn)狀,是身份信息的源頭,也是產(chǎn)生了各類矛盾的源頭。在建立統(tǒng)一用戶管理體系后,本層首先將向身份數(shù)據(jù)服務層提供身份信息,并將可以接受上層信息的更新、或者通過上層服務重新組織應用。
2、 身份數(shù)據(jù)服務層
這一層是整個身份管理體系的基礎,從物理上通常對應于一個集中的或者分布的目錄。本層通過各種連接器從底層獲取信息,進行整理和存儲,并提供統(tǒng)一、規(guī)范、集成的身份信息視圖,并向身份服務層提供數(shù)據(jù)服務。
3、 身份服務層
這一層利用底層的身份數(shù)據(jù)提供定制的用戶管理服務如:用戶創(chuàng)建、用戶認證、用戶授權、用戶審計、虛擬用戶等;本層提供標準的接口,支持應用系統(tǒng)與統(tǒng)一用戶管理體系的集成。
4、擴展應用層
這一層包括使用用戶管理服務的所有應用系統(tǒng),包括被改造的已有的應用系統(tǒng)和基于統(tǒng)一用戶管理新建的工作流、門戶、SSO、自服務系統(tǒng)等。
五、身份管理體系的實現(xiàn)
推行用戶管理變革是一個系統(tǒng)的過程,需要對現(xiàn)狀的整理、建立相應的軟硬件設施、對已有應用的改造、以及對新的應用建立開發(fā)規(guī)范,并調(diào)整用戶管理流程適應新的身份管理體系,幾乎不可能存在開盒即用或者一站式的解決方案。這里要提出一個面向前面的體系框架的實施路線,可以作為企業(yè)IT建設的參考。
1、 基礎應用及信息源層——現(xiàn)有身份信息建模
大型企業(yè)的信息系統(tǒng)鱗次櫛比,數(shù)目通常達到數(shù)十個甚至幾百個。第一步要對現(xiàn)狀進行整理。首先確定范圍,比如考慮僅將用戶為全局的應用系統(tǒng)和信息源納入管理變革的范圍。 然后針對每一個要考慮的應用系統(tǒng)和信息源確定身份信息的內(nèi)容屬性和數(shù)據(jù)質(zhì)量;還需要了解應用系統(tǒng)對身份信息的利用方式,應用系統(tǒng)與其它系統(tǒng)之間身份信息共享的現(xiàn)狀。需要整體對身份信息進行評估,通常會存在以下沖突的情形:數(shù)據(jù)重復,數(shù)據(jù)質(zhì)量不穩(wěn)定,沒有統(tǒng)一的ID(如用戶名在不同系統(tǒng)間的差異)等。之后,需要從實際信息中抽象出身份信息模型,這個模型應基本覆蓋已有系統(tǒng)的身份信息需求,并應預留擴展接口。
2、 身份數(shù)據(jù)層——建立統(tǒng)一的用戶目錄
身份數(shù)據(jù)層的實現(xiàn)必須滿足以下要求:身份信息的正確和完整,服務的高可用性,信息的良好相關性,可以按照以下步驟進行:
(1)建立目錄服務
首先身份數(shù)據(jù)層的任務是建立一個統(tǒng)一的身份信息的存儲系統(tǒng),通常為目錄系統(tǒng)。目錄服務是開放的標準的Internet應用,支持分布和集中方式的靈活組合,需要進行良好的規(guī)劃。企業(yè)通常并不是從零開始建立目錄系統(tǒng),而是要對現(xiàn)有目錄(包含其它數(shù)據(jù)源)的進行集成,主要通過元目錄(Metadirectory,技術包括同步和信息中介等)或聯(lián)合目錄(Federated Directory)等技術進行。另外需要注意,身份管理是目錄服務的一個典型應用,但目錄服務還可以其它很多結構化信息存儲、管理提供支持,具有很大潛在利用的空間。
(2)確定信息來源
根據(jù)應用和身份信息層提供的身份模型建立目錄信息樹(DIT),將數(shù)據(jù)質(zhì)量保證的程度作為確定信息來源的依據(jù),比如用戶名、創(chuàng)建、禁用信息應由人力部提供,郵件名由郵件系統(tǒng)提供,數(shù)字證書由CA提供等。
(3)信息抽取
通過不同的連接器從各個信息源中抽取屬性,同時進行信息的規(guī)范化、匯總(單個實體分散屬性的組合)、同步。這一點是身份管理體系建立中較困難的工作,舊有系統(tǒng)的信息缺乏規(guī)劃,比如沒有統(tǒng)一的用戶id,有時不能完全通過程序實現(xiàn)身份信息的匯總。
(4)信息轉換和發(fā)布
為了適應更多的應用,比如虛擬身份的應用,或者其它需要更多屬性的應用,可以根據(jù)規(guī)則進行信息的轉換,并通過目錄服務發(fā)布,目錄信息的發(fā)布同樣需要遵循安全訪問控制策略。
3、 用戶管理服務層——為應用系統(tǒng)提供用戶管理服務
身份數(shù)據(jù)層(用戶目錄)的建立為用戶管理打下了堅實的基礎,可在其上開發(fā)出一系列基于身份信息的統(tǒng)一服務,這些服務對應用系統(tǒng)開放或者對應用系統(tǒng)提供接口,以下是最重要的幾個服務。
(1)用戶認證和用戶授權
最基本的服務是統(tǒng)一用戶認證和授權,認證即是IT系統(tǒng)確定“你是誰”的過程,可以通過目錄的基本操作(如LDAP Bind)、封裝的目錄接口(如ADSI)、或者特定軟件產(chǎn)品實現(xiàn),授權是IT系統(tǒng)確定“你可以做什么”的過程。有的軟件提供了認證和授權集成的功能。統(tǒng)一處理所有的認證和授權,相對增加安全性(雖然存在破解一個就破解全局的問題),同時簡化用戶的使用體驗。
(2)統(tǒng)一審計
通過統(tǒng)一的認證授權服務可以集中審計,可以跟蹤用戶所有的操作,監(jiān)測異常訪問行為,建立一些安全措施,并可以統(tǒng)計各個應用系統(tǒng)的利用情況。
(3)用戶創(chuàng)建方案
在單點實現(xiàn)的用戶創(chuàng)建是IT系統(tǒng)的挑戰(zhàn)之一,通過統(tǒng)一的身份數(shù)據(jù)服務簡化了這一目標的實現(xiàn)。用戶定義流程的自動化,單點創(chuàng)建用戶并賦訪問權限,以及用戶調(diào)整時取消或賦權限都成了可能。有時候不只是個人,也可能是項目或組織的信息創(chuàng)建。用戶創(chuàng)建方案作為向應用提供提供的服務,需要運行穩(wěn)定、支持松散流程、并可對過程進行審計。
4、 擴展應用層——統(tǒng)一身份管理的應用推廣
完善的身份管理服務具備過去孤立的身份管理不可比擬的優(yōu)勢,從長遠來看,企業(yè)的應用系統(tǒng)將會使用統(tǒng)一的認證服務而不是自己的用戶管理。在具體實現(xiàn)上卻要遵循一個漸進的過程,首先要創(chuàng)建標準使新上線的應用集成統(tǒng)一的身份服務。然后要制定逐步改造舊有應用系統(tǒng)的計劃,通過對用戶創(chuàng)建、SSO、密碼管理等技術改造舊有系統(tǒng)。同時,一些基于統(tǒng)一用戶管理體系的新應用出現(xiàn):
(1)工作流:用圖形化的方式為流程建模,自動的流程處理,支持事件驅動和規(guī)則驅動,用戶角色定義等。
(2)SSO:如果有統(tǒng)一的身份數(shù)據(jù),SSO可以利用身份服務層提供的服務可以做到完全的安全訪問控制,身份服務層可以提供統(tǒng)一認證和授權,還有審計。如果舊的應用使用分散的用戶信息,只能做到一些簡單的一次性登陸(如通過腳本或者用戶名口令傳遞)。
(3)信息門戶:統(tǒng)一的身份管理體系也是門戶的基礎,體現(xiàn)在兩個方面,一是門戶需要基于SSO方案提供無縫的身份和訪問控制,而是需要通過身份信息進行基于角色的或者策略的訪問控制,并提供自服務的接口。
其它統(tǒng)一身份管理衍生的應用還包括跨組織的應用集成,如自服務的CRM,跨組織的供應鏈管理等。
六、總結
1、 身份管理建設始于需求的建立和身份信息建模。
2、 當前統(tǒng)一身份管理的技術基礎是統(tǒng)一的目錄服務。
3、 統(tǒng)一身份服務是向應用系統(tǒng)開放的集成規(guī)范和接口。
4、 身份管理在信息化中具有核心地位,是貫穿門戶、安全訪問控制、應用集成的基礎組件。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:統(tǒng)一用戶管理在企業(yè)信息化ERP系統(tǒng)中的價值及框架
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1081993461.html