一、背景
随着信息系统在企业的运行中的全面渗透,企业建立了各种IT应用系统,包括CRM、ERP、OA、HR、SCM、PLM等,还包括各种IT资源服务如数据库、目录、邮件、网络接入系统、支持系统等。每一个应用系统都对应一个特定的用户群体,以往应用系统都储存了自身的用户信息,包括认证信息(如用户id及口令)以及授权信息。对不同应用系统,用户信息的存储和管理往往没有标准,存储的方式包括数据库、目录或者文件,认证的方式有口令校验、令牌等,授权策略的实现方式也多种多样。
应用系统间用户信息相互孤立引发了大量问题,首先导致应用系统不能建立面向用户的统一视图,相互之间信息共享困难;身份信息需要分别由人工维护,人员信息的新建、调整或调离都需要人工调整各个应用系统的用户数据; 其次随着管理的复杂性提高,很难或几乎不可能得到全部人员的整体身份信息的全貌,同一用户在不同应用系统间的信息之间也出现了冲突;同时,带来一些安全漏洞,如当人员离开企业时,访问权限不能被及时取消,人员调动时权限叠加,操作流程中的人为错误也会留下安全漏洞;运行过程中,高昂的维护成本也不容忽视,耗费了大量的人工去操作用户信息变更,并且每次变更用户都往往需要等待很长时间。
统一用户管理或统一身份管理新近被作为独立的问题提出,其实用户和身份管理一直是人们信息化实践的一部分,但目前的意义在于要改变以往的松散、孤立的管理方式,创建统一并可重用的用户管理体系,并且逐步使之成为企业信息化中重要的基础性构件。
二、用户/身份管理的概念
用户是IT系统中各类活动的实体,如人、组织、虚拟团队等。用户管理是指在IT系统中对用户和权限的控制,包括了身份管理、用户授权、用户认证等,身份管理是基础,用户授权和认证是之上的服务。身份是一个实体区别于其它实体的特性,IT系统中的身份通常指一个人在信息系统中的抽象,也可以是硬件、组织等实体的抽象,是属于一个特定的实体的属性的集合。身份属性具有一些特点:往往是较短的数据元素如名称、邮件、电话、照片、数字证书等,也可以是一些指向信息,如网络链接、文档编号等;这些属性需要结构化的组织,并且满足一定的语义规定;身份信息的访问通常读的几率远大于写的几率,并且要求较高的数据质量。由于上述特点,身份信息非常适合以树状结构组织,通过目录方式存放,基于LDAP(V3)的目录技术也是当前身份管理的核心,是用户身份信息的组织、存储、交换、引用的基础工具。
身份管理就是产生和维护身份属性的过程,也是管理不同实体之间关系的能力。身份管理(Identity Management)是用户管理(User Administration)的一部分,但较容易混淆,下面通过一个简单示例来说明:
上图有三个元素:示例的IT系统为HR系统,HR部门为应用的所有者,雇员ABC为用户。第1步要为雇员创建身份信息,这个过程属于身份管理,第2步HR部门为用户授权,第3步为用户认证。上述整个过程均属于用户管理。统一用户管理是信息化的基础应用服务,简单认为统一用户管理就是解决用户名口令问题的思维忽略了其在IT中重要地位。
三、分析企业身份管理需求
企业的确面临着统一用户管理缺失带来的种种窘境,也希望通过加强用户管理来改变这一切。如同多数信息化进程一样,统一用户管理体系建设也有很多无形的因素,必须和企业特性结合,模糊的需求可能导致错误的结果。需求研究是信息化成功的基石,明确适应当前及以后IT建设需要的用户管理需求也是不该被忽视的。
用户管理的应用范围和投入很有弹性,在一个简单的企业IT环境可能只是满足一两个特定功能,如实现简单的单点登陆,在一个复杂的IT环境中,需要从下到上建立用户管理体系,需要从分析企业的实际需求入手决定实现统一用户管理的路线。企业推行统一用户管理解决方案的需求,大致可以归结为以下几个方面。
1、 身份管理及维护的费用太高;
2、 不完全的,重复的,甚至不准确的身份信息太多;
3、 SSO和应用无缝集成;
4、 Web服务需要安全规范的标准。
5、 确保关键型业务应用安全的代价太高,敏感、私密的信息需要保护;
6、 安全策略与审计跟踪的一致性需要得到保证,难以审计、跟踪所有进入系统的用户;
不同的企业有不同侧重点,面向大众用户服务的企业,重视给客户提供不间断体验(SSO),一个大型企业的内部应用系统可能具有上述一揽子的需求。多数企业面临不止一个问题,需要结合企业实际情况分清轻重缓急。企业应圈定一个要变革的应用系统和需求范围,对每一个应用系统分析,用投资回报比(ROI)来决定了是否将其纳入统一的用户管理体系。
四、建立用户管理体系框架
企业需要建立自身的用户管理体系,明确信息化主要组件的关系:用户/身份管理、门户、应用集成、安全控制、应用基础设施、运行环境等。从用户管理体系的视角,这里按照一个层次化结构探讨各类IT组件在体系里的角色,将体系架构分为四层,由底向上每一层向上一层提供服务,如下:
1、 基础应用及信息源层:
这一层可以理解为未建立统一的用户管理体系前的IT资源或信息资源(还没有形成IT系统),或被用户管理变革对象,包括企业或组织中已有的各类独立的应用系统,或各类实体身份信息的拥有者(如人力部门、资产管理部门等)。这一层代表了现状,是身份信息的源头,也是产生了各类矛盾的源头。在建立统一用户管理体系后,本层首先将向身份数据服务层提供身份信息,并将可以接受上层信息的更新、或者通过上层服务重新组织应用。
2、 身份数据服务层
这一层是整个身份管理体系的基础,从物理上通常对应于一个集中的或者分布的目录。本层通过各种连接器从底层获取信息,进行整理和存储,并提供统一、规范、集成的身份信息视图,并向身份服务层提供数据服务。
3、 身份服务层
这一层利用底层的身份数据提供定制的用户管理服务如:用户创建、用户认证、用户授权、用户审计、虚拟用户等;本层提供标准的接口,支持应用系统与统一用户管理体系的集成。
4、扩展应用层
这一层包括使用用户管理服务的所有应用系统,包括被改造的已有的应用系统和基于统一用户管理新建的工作流、门户、SSO、自服务系统等。
五、身份管理体系的实现
推行用户管理变革是一个系统的过程,需要对现状的整理、建立相应的软硬件设施、对已有应用的改造、以及对新的应用建立开发规范,并调整用户管理流程适应新的身份管理体系,几乎不可能存在开盒即用或者一站式的解决方案。这里要提出一个面向前面的体系框架的实施路线,可以作为企业IT建设的参考。
1、 基础应用及信息源层——现有身份信息建模
大型企业的信息系统鳞次栉比,数目通常达到数十个甚至几百个。第一步要对现状进行整理。首先确定范围,比如考虑仅将用户为全局的应用系统和信息源纳入管理变革的范围。 然后针对每一个要考虑的应用系统和信息源确定身份信息的内容属性和数据质量;还需要了解应用系统对身份信息的利用方式,应用系统与其它系统之间身份信息共享的现状。需要整体对身份信息进行评估,通常会存在以下冲突的情形:数据重复,数据质量不稳定,没有统一的ID(如用户名在不同系统间的差异)等。之后,需要从实际信息中抽象出身份信息模型,这个模型应基本覆盖已有系统的身份信息需求,并应预留扩展接口。
2、 身份数据层——建立统一的用户目录
身份数据层的实现必须满足以下要求:身份信息的正确和完整,服务的高可用性,信息的良好相关性,可以按照以下步骤进行:
(1)建立目录服务
首先身份数据层的任务是建立一个统一的身份信息的存储系统,通常为目录系统。目录服务是开放的标准的Internet应用,支持分布和集中方式的灵活组合,需要进行良好的规划。企业通常并不是从零开始建立目录系统,而是要对现有目录(包含其它数据源)的进行集成,主要通过元目录(Metadirectory,技术包括同步和信息中介等)或联合目录(Federated Directory)等技术进行。另外需要注意,身份管理是目录服务的一个典型应用,但目录服务还可以其它很多结构化信息存储、管理提供支持,具有很大潜在利用的空间。
(2)确定信息来源
根据应用和身份信息层提供的身份模型建立目录信息树(DIT),将数据质量保证的程度作为确定信息来源的依据,比如用户名、创建、禁用信息应由人力部提供,邮件名由邮件系统提供,数字证书由CA提供等。
(3)信息抽取
通过不同的连接器从各个信息源中抽取属性,同时进行信息的规范化、汇总(单个实体分散属性的组合)、同步。这一点是身份管理体系建立中较困难的工作,旧有系统的信息缺乏规划,比如没有统一的用户id,有时不能完全通过程序实现身份信息的汇总。
(4)信息转换和发布
为了适应更多的应用,比如虚拟身份的应用,或者其它需要更多属性的应用,可以根据规则进行信息的转换,并通过目录服务发布,目录信息的发布同样需要遵循安全访问控制策略。
3、 用户管理服务层——为应用系统提供用户管理服务
身份数据层(用户目录)的建立为用户管理打下了坚实的基础,可在其上开发出一系列基于身份信息的统一服务,这些服务对应用系统开放或者对应用系统提供接口,以下是最重要的几个服务。
(1)用户认证和用户授权
最基本的服务是统一用户认证和授权,认证即是IT系统确定“你是谁”的过程,可以通过目录的基本操作(如LDAP Bind)、封装的目录接口(如ADSI)、或者特定软件产品实现,授权是IT系统确定“你可以做什么”的过程。有的软件提供了认证和授权集成的功能。统一处理所有的认证和授权,相对增加安全性(虽然存在破解一个就破解全局的问题),同时简化用户的使用体验。
(2)统一审计
通过统一的认证授权服务可以集中审计,可以跟踪用户所有的操作,监测异常访问行为,建立一些安全措施,并可以统计各个应用系统的利用情况。
(3)用户创建方案
在单点实现的用户创建是IT系统的挑战之一,通过统一的身份数据服务简化了这一目标的实现。用户定义流程的自动化,单点创建用户并赋访问权限,以及用户调整时取消或赋权限都成了可能。有时候不只是个人,也可能是项目或组织的信息创建。用户创建方案作为向应用提供提供的服务,需要运行稳定、支持松散流程、并可对过程进行审计。
4、 扩展应用层——统一身份管理的应用推广
完善的身份管理服务具备过去孤立的身份管理不可比拟的优势,从长远来看,企业的应用系统将会使用统一的认证服务而不是自己的用户管理。在具体实现上却要遵循一个渐进的过程,首先要创建标准使新上线的应用集成统一的身份服务。然后要制定逐步改造旧有应用系统的计划,通过对用户创建、SSO、密码管理等技术改造旧有系统。同时,一些基于统一用户管理体系的新应用出现:
(1)工作流:用图形化的方式为流程建模,自动的流程处理,支持事件驱动和规则驱动,用户角色定义等。
(2)SSO:如果有统一的身份数据,SSO可以利用身份服务层提供的服务可以做到完全的安全访问控制,身份服务层可以提供统一认证和授权,还有审计。如果旧的应用使用分散的用户信息,只能做到一些简单的一次性登陆(如通过脚本或者用户名口令传递)。
(3)信息门户:统一的身份管理体系也是门户的基础,体现在两个方面,一是门户需要基于SSO方案提供无缝的身份和访问控制,而是需要通过身份信息进行基于角色的或者策略的访问控制,并提供自服务的接口。
其它统一身份管理衍生的应用还包括跨组织的应用集成,如自服务的CRM,跨组织的供应链管理等。
六、总结
1、 身份管理建设始于需求的建立和身份信息建模。
2、 当前统一身份管理的技术基础是统一的目录服务。
3、 统一身份服务是向应用系统开放的集成规范和接口。
4、 身份管理在信息化中具有核心地位,是贯穿门户、安全访问控制、应用集成的基础组件。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文网址:http://www.toberp.com/html/consultation/1081993461.html