身份安全 | 企業(yè)內(nèi)部身份數(shù)據(jù)同步解決方案介紹

4A是指：認(rèn)證Authentication、賬號(hào)Account、授權(quán)Authorization、審計(jì)Audit，中文名稱為統(tǒng)一安全管理平臺(tái)解決方案。即將身份認(rèn)證、授權(quán)、審計(jì)和賬號(hào)（即不可否認(rèn)性及數(shù)據(jù)完整性）定義為網(wǎng)絡(luò)安全的四大組成部分，從而確立了身份認(rèn)證在整個(gè)網(wǎng)絡(luò)安全系統(tǒng)中的地位與作用。

4A概念介紹-示意圖

在軟件項(xiàng)目中統(tǒng)一身份管理也被稱作為4A項(xiàng)目，解決問(wèn)題及實(shí)施方案包括4A中提到的內(nèi)容，只不過(guò)很多時(shí)候?qū)τ诓煌脩舻男枨髨?chǎng)景與個(gè)性化業(yè)務(wù)，會(huì)在4A實(shí)施內(nèi)容范圍上多實(shí)現(xiàn)一些功能，例如開(kāi)發(fā)簡(jiǎn)單的工作臺(tái)門(mén)戶，展現(xiàn)系統(tǒng)集成成果或與不同的集成類平臺(tái)產(chǎn)品結(jié)合，打造不同的解決方案等，加深項(xiàng)目的價(jià)值與作用。

主數(shù)據(jù)管理是解決企業(yè)經(jīng)營(yíng)中各類主數(shù)據(jù)在不同系統(tǒng)中的名稱、編碼等信息不一致現(xiàn)象，保證企業(yè)內(nèi)主數(shù)據(jù)單一視圖的準(zhǔn)確性、一致性及完整性。兩者在企業(yè)IT架構(gòu)的層面、管理內(nèi)容、功能、業(yè)務(wù)交互等方面都具備一定的差異。

在企業(yè)IT架構(gòu)方面，統(tǒng)一身份管理項(xiàng)目屬于IT治理層面，注重技術(shù)架構(gòu)的實(shí)現(xiàn)；主數(shù)據(jù)管理項(xiàng)目屬于數(shù)據(jù)治理層面，注重業(yè)務(wù)、數(shù)據(jù)架構(gòu)的實(shí)現(xiàn)，兩者從不同層面、維度分別作為基礎(chǔ)支撐為更高層次的服務(wù)治理、業(yè)務(wù)治理奠定基礎(chǔ)。

在管理內(nèi)容方面，統(tǒng)一身份管理企業(yè)內(nèi)部的用戶、應(yīng)用賬號(hào)、角色；主數(shù)據(jù)管理企業(yè)內(nèi)部的組織、人員、崗位，除此之外還管理其它如：客戶、供應(yīng)商等主數(shù)據(jù)。

在功能方面，統(tǒng)一身份管理項(xiàng)目具備統(tǒng)一身份認(rèn)證功能，弱化案例功能，很少或不預(yù)置管理案例；主數(shù)據(jù)管理不具備統(tǒng)一身份認(rèn)證功能，提供基礎(chǔ)數(shù)據(jù)管理樣例。

在業(yè)務(wù)交互方面，統(tǒng)一身份管理主要與信息中心人員進(jìn)行交互；主數(shù)據(jù)管理主要與業(yè)務(wù)人員進(jìn)行交互，注重?cái)?shù)據(jù)、業(yè)務(wù)的梳理。

用戶身份全生命周期管理-示意圖

用戶數(shù)據(jù)同步部分通常由企業(yè)內(nèi)部權(quán)威數(shù)據(jù)源提供變動(dòng)信息，以獲取數(shù)據(jù)源頭的變動(dòng)信息，對(duì)應(yīng)的數(shù)據(jù)源系統(tǒng)按照統(tǒng)一同步接口標(biāo)準(zhǔn)提供全量或增量信息服務(wù)接口即可完成數(shù)據(jù)同步工作，同步的方式可以根據(jù)企業(yè)具體業(yè)務(wù)需求采用實(shí)時(shí)調(diào)用或定時(shí)輪詢方式。

通常采用實(shí)時(shí)調(diào)用方式，即IDM統(tǒng)一身份管理平臺(tái)提供變動(dòng)信息的寫(xiě)入服務(wù)，數(shù)據(jù)源信息變動(dòng)時(shí)，直接調(diào)用IDM自身服務(wù)即可；

實(shí)時(shí)數(shù)據(jù)同步-示意圖

如集成系統(tǒng)無(wú)法進(jìn)行實(shí)時(shí)調(diào)用，可采用定時(shí)輪詢方式，定時(shí)獲取數(shù)據(jù)源系統(tǒng)的變動(dòng)信息寫(xiě)入數(shù)據(jù)庫(kù)中間表，完成同步信息日志記錄，之后從服務(wù)器讀取該同步日志記錄，將日志內(nèi)變動(dòng)信息同步寫(xiě)入IDM，生成對(duì)應(yīng)的員工入轉(zhuǎn)調(diào)離操作信息。

定時(shí)數(shù)據(jù)同步-示意圖

用戶數(shù)據(jù)分發(fā)也是統(tǒng)一用戶管理的重要步驟，順序?yàn)閿?shù)據(jù)源—IDM—各業(yè)務(wù)系統(tǒng)，具體為賬戶信息從數(shù)據(jù)源同步至IDM平臺(tái)，IDM將用戶數(shù)據(jù)信息進(jìn)行加工后后分發(fā)給各業(yè)務(wù)系統(tǒng)。通常我們可以通過(guò)ESB企業(yè)服務(wù)總線創(chuàng)建用戶數(shù)據(jù)分發(fā)流程，調(diào)用各業(yè)務(wù)系統(tǒng)提供的分發(fā)服務(wù)接口，實(shí)現(xiàn)用戶數(shù)據(jù)信息的實(shí)時(shí)分發(fā)。

用戶數(shù)據(jù)分發(fā)根據(jù)企業(yè)業(yè)務(wù)系統(tǒng)不同的情況、配合的程度分為采用不同的分發(fā)形式，常見(jiàn)的幾種形式包括Restful API、中間表存儲(chǔ)、數(shù)據(jù)庫(kù)權(quán)限三種。Restful API形式主要由業(yè)務(wù)系統(tǒng)提供服務(wù)標(biāo)準(zhǔn)的API接口，供統(tǒng)一身份管理系統(tǒng)調(diào)用實(shí)現(xiàn)用戶賬號(hào)信息分發(fā)；中間表存儲(chǔ)形式主要由業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)庫(kù)的中間表，通過(guò)ESB企業(yè)服務(wù)總線寫(xiě)入數(shù)據(jù)實(shí)現(xiàn)用戶信息分發(fā)；數(shù)據(jù)庫(kù)權(quán)限針對(duì)無(wú)法提供配合的業(yè)務(wù)系統(tǒng)，系統(tǒng)提供數(shù)據(jù)庫(kù)操作權(quán)限，由ESB企業(yè)服務(wù)總線直接寫(xiě)入數(shù)據(jù)庫(kù)操作。

用戶數(shù)據(jù)分發(fā)-示意圖