身份管理平臺與應(yīng)用系統(tǒng)的接入方式研究

劉 暢，喻 瀟，王 捷，徐江珮，田 里

（1.國網(wǎng)湖北省電力公司電力科學(xué)研究院，湖北 武漢 430077;2.國網(wǎng)湖北省電力公司十堰供電公司，湖北 十堰 442000）

0 引言

現(xiàn)今，信息化已朝著電子化、互聯(lián)網(wǎng)化、移動化方向快速發(fā)展。隨著業(yè)務(wù)的多元化，組織機構(gòu)與信息系統(tǒng)環(huán)境變得龐大復(fù)雜，企業(yè)在數(shù)據(jù)安全、流程風(fēng)控和效率等方面都面臨嚴(yán)峻挑戰(zhàn)。組織中有日益增長的內(nèi)部人員、外包人員和外部客戶等不同維度的人員，以及不同人員所被賦予的崗位職責(zé)與權(quán)限，這些用戶與權(quán)限與組織流程的運營效率和風(fēng)險密切相關(guān)。大量數(shù)據(jù)顯示，多數(shù)安全風(fēng)險實際是來自組織的內(nèi)部人員，以及由于缺失規(guī)范的內(nèi)部控制體系導(dǎo)致相關(guān)聯(lián)外部人員違規(guī)操作，從而直接威脅到組織經(jīng)營安全。只有清晰、合理地權(quán)責(zé)劃分，才可能為風(fēng)險控制體系奠定堅實的基礎(chǔ)。身份管理平臺是科學(xué)進(jìn)行職責(zé)權(quán)限分工的必要工具，是完善組織內(nèi)部控制系統(tǒng)的重要手段。組織需要合理劃分每個人員的崗位職責(zé)和權(quán)限的安全邊界，確保合適的人、在合適的崗位，有適當(dāng)?shù)穆氊?zé)與訪問權(quán)限。

1 國內(nèi)外發(fā)展現(xiàn)狀

身份管理的概念來源于西方。早在2002年，美國政府對SOX的立法增加了對身份管理與訪問控制（Identity and Access Management）技術(shù)的需求。于是從2004開始，第一批身份管理產(chǎn)品相繼誕生，它們來自大家耳熟能詳?shù)膹S商：IBM、CA、Oracle、BMC等。

經(jīng)過若干版本的迭代和與用戶需求實踐的積累，2011年IDaaS概念被提出，即“身份即服務(wù)”。Okta,Onelogin,Centrify等一批新型的廠商開始在互聯(lián)網(wǎng)上提供身份基礎(chǔ)服務(wù)。時至今日，身份管理的覆蓋范圍擴展到了各種應(yīng)用系統(tǒng)；管理的對象延伸到對實體身份的管理，實體不僅包括人、組織，也包括各種物理對象、虛擬對象等等；管理的重心也從原來簡單的帳戶管理轉(zhuǎn)向授權(quán)管理和審計等方面。根據(jù)注明咨詢機構(gòu)Gartner在2017年6月發(fā)布的統(tǒng)計報告，全球市場中占主要地位的仍是Okta、Oracle、微軟、IBM和CA等大型廠商。

圖1 身份管理行業(yè)魔力四象限Fig.1 Identity management industry magic Quadrant

回顧中國國內(nèi)，身份管理概念的引入大概是在“十一五”期間，即2006-2010年。國內(nèi)的大型企業(yè)接團紛紛開始建設(shè)自己的身份管理體系。國家電網(wǎng)的“SG186”工程、中國石化集團的統(tǒng)一身份認(rèn)證項目即是其中的典型代表。此時，國外企業(yè)的產(chǎn)品通過直銷或者代理的方式進(jìn)入了國內(nèi)市場，同時也將身份管理的理念灌輸給國內(nèi)的企業(yè)客戶。

隨后，國內(nèi)也出現(xiàn)了專注于身份管理技術(shù)的高新企業(yè)。其中的典型代表有國內(nèi)軟件行業(yè)的先行者中科軟股份有限公司、技術(shù)專注而經(jīng)驗豐富的竹云科技有限公司等等。這些企業(yè)已經(jīng)完成了身份管理解決方案的國產(chǎn)化，并且在業(yè)內(nèi)也已經(jīng)有了一定的成功案例，技術(shù)比較成熟。

2 身份管理架構(gòu)

身份管理平臺現(xiàn)已成為信息化的基礎(chǔ)平臺之一。通常情況下，身份管理平臺從人力資源系統(tǒng)等權(quán)威用戶數(shù)據(jù)源處獲取基礎(chǔ)身份信息，并建立身份主數(shù)據(jù)，集中維護(hù)身份屬性，供應(yīng)給應(yīng)用系統(tǒng)。

若將身份管理平臺的邏輯架構(gòu)進(jìn)行抽象地概括，核心可以抽象為業(yè)務(wù)層和數(shù)據(jù)層。用戶可以通過瀏覽器訪問其用戶接口，進(jìn)行自助訪問；管理員通過瀏覽器進(jìn)行平臺管理。應(yīng)用系統(tǒng)則通過各種接入方式實現(xiàn)與身份管理的供應(yīng)和回收接口對接。

圖2 身份管理平臺基礎(chǔ)架構(gòu)Fig.2 Identity Management Platform Infrastructure

經(jīng)過身份管理項目中的一系列工作，權(quán)威的身份數(shù)據(jù)經(jīng)過一定流程輸入到身份管理平臺中，通過業(yè)務(wù)層和數(shù)據(jù)層之后，被整理成易于應(yīng)用系統(tǒng)取用的數(shù)據(jù)，通過身份管理平臺的供應(yīng)接口傳輸?shù)綉?yīng)用系統(tǒng)中。這些數(shù)據(jù)通常包括用戶（自然人）的基本身份數(shù)據(jù)、用戶在組織中的角色數(shù)據(jù)、用戶在特定應(yīng)用系統(tǒng)中的特殊屬性數(shù)據(jù)等。例如，用戶的姓名、身份證號碼、手機號碼、電子郵件地址、用戶工作單位、用戶崗位名稱、用戶的權(quán)限等級等。

3 應(yīng)用系統(tǒng)接入方式

應(yīng)用系統(tǒng)是指在信息化建設(shè)中，為了實現(xiàn)業(yè)務(wù)或職能的自動化、信息化，而建立的各種信息系統(tǒng)。例如，人力資源系統(tǒng)（簡稱HR系統(tǒng)）、協(xié)同辦公系統(tǒng)（簡稱OA系統(tǒng)）、企業(yè)資源規(guī)劃系統(tǒng)（簡稱ERP系統(tǒng)）等等。

應(yīng)用系統(tǒng)接入身份管理平臺主要是實現(xiàn)集中的身份信息的管理。從信息系統(tǒng)的整體規(guī)劃來看，身份管理平臺是基礎(chǔ)服務(wù)平臺，置于業(yè)務(wù)系統(tǒng)等應(yīng)用系統(tǒng)的下層，為上層應(yīng)用系統(tǒng)提供身份信息。從底層來看，身份管理平臺中的身份主數(shù)據(jù)，包含了各個應(yīng)用系統(tǒng)運行所需的電子身份信息，例如賬號、用戶基礎(chǔ)屬性（姓名、性別、年齡、部門等等），用戶基礎(chǔ)權(quán)限（用戶組、崗位、角色等等），以及其他個別應(yīng)用系統(tǒng)所需的特殊字段。接入的主要目標(biāo)，是實現(xiàn)這些數(shù)據(jù)在身份管理平臺和應(yīng)用系統(tǒng)之間的流動。

接入的過程往往是比較困難的。這是由于應(yīng)用系統(tǒng)的類型和數(shù)量都是非常大的。以中石化集團為例，其業(yè)務(wù)系統(tǒng)總數(shù)達(dá)到6000多個；其中，既有上世紀(jì)80年代建設(shè)的C/S架構(gòu)業(yè)務(wù)系統(tǒng)、主流的B/S架構(gòu)業(yè)務(wù)系統(tǒng)，也有最近上線的云架構(gòu)應(yīng)用系統(tǒng)。這些系統(tǒng)由不同的供應(yīng)商提供，采用不同的技術(shù)架構(gòu)，使用不同的基礎(chǔ)信息平臺。

經(jīng)過業(yè)內(nèi)專家若干年的經(jīng)驗積累，通常會使用“連接器方式”和“私有協(xié)議/SDK方式”將應(yīng)用系統(tǒng)接入身份管理平臺。

3.1 連接器方式

連接器是身份管理平臺為了連接各目標(biāo)系統(tǒng)的數(shù)據(jù)存儲庫而編寫的程序。連接器在得到身份管理平臺的指示后，主動與應(yīng)用系統(tǒng)的數(shù)據(jù)庫對接，實現(xiàn)身份管理平臺操作目標(biāo)應(yīng)用系統(tǒng)數(shù)據(jù)的功能。

幾乎所有的應(yīng)用系統(tǒng)都可以抽象地看做是對數(shù)據(jù)做處理的信息系統(tǒng)。身份信息也是以數(shù)據(jù)的形態(tài)存儲在應(yīng)用系統(tǒng)中。因此，在應(yīng)對眾多復(fù)雜多樣的應(yīng)用系統(tǒng)時，直接操作數(shù)據(jù)來實現(xiàn)身份管理平臺接入的方式是非常直接的，也是廣泛可行的一個連接器必須實現(xiàn)兩類接口，Configuration和Connector。其中Configuration接口負(fù)責(zé)定義接口的基本屬性，例如連接器的URL、標(biāo)識信息、加密信息等。Connector類的接口則負(fù)責(zé)實現(xiàn)數(shù)據(jù)的增刪改查等具體功能。

圖3 連接器接入方式邏輯示意圖Fig.3 Connector access diagram logic diagram

（1）配置（Configuration）接口

配置接口中包含了連接器連接目標(biāo)系統(tǒng)并實現(xiàn)操作的一些參數(shù)。除此之外還可以實現(xiàn)Validate()來驗證參數(shù)的正確性。每一個連接參數(shù)使用Anno?tation(Java)or attribute(.NET)的方式來實現(xiàn)，它有這樣一些元屬性：

以下代碼用以實現(xiàn)一個無狀態(tài)的接口配置邏輯：

表1 配置接口元屬性表Tab.1 Configure interface element attribute table

表2 連接器接口元屬性表Tab.2 Connector interface element attribute table

Message文件是用來填寫接口中使用到的一些參數(shù)。例如helpm1essageKey、displayMessageKey等調(diào)用的參數(shù)?？蓪essage的配置將Connector的顯示信息進(jìn)行國際化操作。默認(rèn)的Message文件和Con?nector在同一個包中，可以使用messageCatalogPaths來指定。

通常一個連接器都要實現(xiàn)若干的基礎(chǔ)接口，例如創(chuàng)建接口、刪除接口、禁用接口、修改接口、查詢接口等。有的連接器還需要根據(jù)應(yīng)用系統(tǒng)的特殊情況設(shè)置特殊的接口,例如Scheme接口等。本文將討論典型接口的實現(xiàn)邏輯。

創(chuàng)建接口在目標(biāo)系統(tǒng)中創(chuàng)建對象，并返回對象的UID屬性。如果創(chuàng)建的操作部分成功，Connector回滾當(dāng)前的操作并拋出異常。如果不能回滾，則Connector可以拋出RetryableException。創(chuàng)建的實現(xiàn)邏輯如下：

類似的，Connector通過ObjectClass和UID在目標(biāo)應(yīng)用系統(tǒng)中刪除一個對象的實現(xiàn)如下：

通過ObjectClass和UID來確定一個對象，然后更新對應(yīng)對象的屬性。

以上典型接口的邏輯剖析可以從底層的角度展示一個連接器在實現(xiàn)目標(biāo)應(yīng)用系統(tǒng)接入時的接入方法。其他典型接口與上文中接口實現(xiàn)邏輯類似，在此不做贅述。連接器方式這種直接操作目標(biāo)應(yīng)用系統(tǒng)數(shù)據(jù)庫的方式適合用來應(yīng)對一些陳舊的應(yīng)用系統(tǒng)。

例如，在某早期建設(shè)的應(yīng)用系統(tǒng)中，使用IBM的DB2數(shù)據(jù)庫作為后端數(shù)據(jù)存儲。其應(yīng)用系統(tǒng)采用早期的技術(shù)部署于IBM的小型機上。此應(yīng)用系統(tǒng)的用戶管理模塊，會維護(hù)數(shù)據(jù)庫中的一張用戶表，從而實現(xiàn)對賬號的增刪改查。此時，要將該系統(tǒng)接入到身份管理平臺中，也就意味著用戶的增刪改查應(yīng)該由身份管理平臺統(tǒng)一負(fù)責(zé)。管理員不再登錄到該應(yīng)用系統(tǒng)，而是直接在身份管理平臺中進(jìn)行用戶的增刪改查。

在此案例中，身份管理平臺將通過連接器發(fā)起數(shù)據(jù)變更的操作，主動將變更同步到應(yīng)用系統(tǒng)的數(shù)據(jù)庫用戶表中。具體實現(xiàn)中，連接器調(diào)用IBM提供的ODBC，通過DB2的接口來進(jìn)行用戶表中數(shù)據(jù)項的增刪改查。這種方式的實現(xiàn)非常簡單直接，以判斷用戶類別是內(nèi)部員工還是外包人員的代碼為例：

連接器方式在身份管理平臺的接入項目中非常常見，它可以通過簡單的方法來實現(xiàn)應(yīng)用系統(tǒng)的接入。因此，能夠在很多復(fù)雜的應(yīng)用系統(tǒng)環(huán)境中使用。但是，由于是針對數(shù)據(jù)層的直接接入，如果操作不慎，可能造成應(yīng)用系統(tǒng)錯誤，致使業(yè)務(wù)停滯。而且，連接器的編寫必須根據(jù)應(yīng)用系統(tǒng)的實際情況來完成，不同的應(yīng)用系統(tǒng)往往不能通用。因而，在身份管理項目中往往要花費很多精力在連接器的開發(fā)和測試上，支出的代價可謂比較可觀。

因此，連接器方式雖然簡單高效，卻不是一個值得推薦和廣泛使用的接入方式。在近些年的項目場景中，往往只是使用這種方式處理那些年代久遠(yuǎn)且無法改造的應(yīng)用系統(tǒng)和已經(jīng)成熟的標(biāo)準(zhǔn)商業(yè)套件。

3.2 私有協(xié)議/SDK方式

私有協(xié)議方式（又稱為SDK方式），將身份管理平臺中的身份數(shù)據(jù)，以標(biāo)準(zhǔn)的規(guī)范格式提供給應(yīng)用系統(tǒng)，實現(xiàn)應(yīng)用系統(tǒng)的身份管理接入。

圖4 私有協(xié)議/SDK接入方式邏輯示意圖Fig.4 Private protocol/SDK access diagram

與連接器不同的是，這種方式不再主動去操作應(yīng)用系統(tǒng)的數(shù)據(jù)，而是提供這些數(shù)據(jù)，等待應(yīng)用系統(tǒng)來取用。這種變化，將主動權(quán)交還給應(yīng)用系統(tǒng)，保障應(yīng)用系統(tǒng)中的數(shù)據(jù)只會通過應(yīng)用系統(tǒng)自身進(jìn)行修改。而且，身份管理平臺通過提供標(biāo)準(zhǔn)的數(shù)據(jù)服務(wù)接口，也降低了自身系統(tǒng)的復(fù)雜程度，并且為新建應(yīng)用系統(tǒng)提供了統(tǒng)一的接入標(biāo)準(zhǔn)。進(jìn)一步推進(jìn)了企業(yè)的信息系統(tǒng)標(biāo)準(zhǔn)化進(jìn)程。采用私有協(xié)議/SDK方式進(jìn)行集成時，無需編寫連接器，但要求應(yīng)用系統(tǒng)進(jìn)行改造。身份管理平臺則只需完成對應(yīng)的配置，即可與應(yīng)用系統(tǒng)完成接入。

通常情況下，為了方便應(yīng)用系統(tǒng)端進(jìn)行改造，身份管理平臺會提供封裝完畢的抽象類，它一般包括如下方法：

（1） Create(objectCode, attributes)，return Key(String)

應(yīng)用系統(tǒng)實現(xiàn)這個方法，完成應(yīng)用系統(tǒng)端的目標(biāo)對象的創(chuàng)建。應(yīng)用系統(tǒng)要返回賬號的Key，身份管理平臺會把這個Key保存在系統(tǒng)中，以后的更新、刪除等操作，就可以用這個Key作為關(guān)鍵字。如果失敗，要有Exception拋出，Exception中有失敗的原因描述。

（2） Update(objectCode,key,attributes,action)，re?turn Key（String）

Action可以有（Update、Enable、Disable、Lock、Un?lock）。應(yīng)用系統(tǒng)實現(xiàn)這個方法，完成應(yīng)用系統(tǒng)端的目標(biāo)對象更新，并返回Key值。如果失敗要有Ex?ception拋出，Exceptin中有失敗的原因。身份管理平臺對賬號的啟用、禁用等操作，在客戶端中被調(diào)用的也是Update，只是傳的action不同。

（3）Delete(objectClassName,Key)

應(yīng)用系統(tǒng)實現(xiàn)這個方法，完成應(yīng)用系統(tǒng)端的目標(biāo)對象刪除。如果失敗，要有Exception拋出，Excep?tion中有失敗的原因。

（4）Search(objectCode，filter，returnAttrsNameList，pageNumber，pageSize)

根據(jù)傳入的returnAttrsNameList，組裝對象。將組織好的目標(biāo)對象列表返回。應(yīng)用系統(tǒng)根據(jù)傳入的Filter和Page查詢目標(biāo)對象。查詢的時候，根據(jù)依賴關(guān)系情況進(jìn)行返回：

·有層級關(guān)系的目標(biāo)對象（比如TORG），要先返回父節(jié)點，再返回子節(jié)點；

·有Manager的目標(biāo)對象（TACC），要先返回Manager。

以一個Java開發(fā)的B/S架構(gòu)的WEB應(yīng)用系統(tǒng)為例。為了能以私有協(xié)議/SDK的方式接入身份管理平臺，首先要將上述抽象類以Servlet方式嵌入到應(yīng)用系統(tǒng)中。應(yīng)用系統(tǒng)管理員修改web.xml文件，以便在應(yīng)用系統(tǒng)啟動時可以同時啟用該身份管理Servlet。

以身份管理平臺提供的抽象類為基礎(chǔ)，應(yīng)用系統(tǒng)的改造工作就相對簡易了。思路大體分為3部分：配置文件、屬性映射、完成操作。

其中，配置文件用于連接身份管理平臺，其中一般包含連接用的URL、身份標(biāo)識信息以及加密隧道等配置。Main函數(shù)需要有訪問該配置文件的權(quán)限。例如，以下代碼從D盤根目錄下讀取了配置文件“im-integration.fps.properties”，并從身份管理平臺取一次數(shù)據(jù)。

取到數(shù)據(jù)之后，需要將數(shù)據(jù)格式調(diào)整為應(yīng)用系統(tǒng)可以識別的格式，這個過程就是屬性映射。這部分的實現(xiàn)邏輯條理非常清晰，以用戶的常見身份屬性為例，如下代碼實現(xiàn)了屬性的映射。

完成了屬性定義后，就可以根據(jù)情況對應(yīng)用系統(tǒng)的數(shù)據(jù)進(jìn)行更新了。仍然使用上文的例子，要更新該用戶的屬性，直接調(diào)用應(yīng)用系統(tǒng)中的用戶信息修改的方法即可。為了清晰，本文以應(yīng)用直接寫數(shù)據(jù)庫為例：

應(yīng)用系統(tǒng)中所需的其他身份數(shù)據(jù)的下拉與上推過程邏輯與上述用戶屬性的過程類似，在此不再贅述。

私有協(xié)議/SDK接入方式在身份項目的實施中可以清晰地定義身份管理平臺和應(yīng)用系統(tǒng)的界限，使得原本紛繁復(fù)雜的接入過程變得條理清晰。身份管理平臺通過提供已經(jīng)封裝好的抽象類，簡化了應(yīng)用系統(tǒng)改造的過程，大幅度縮短了改造工程的實施周期。故而，在現(xiàn)今的身份管理項目中，使用這種接入方式可以提高整個項目的實施水平，也方便日后的維護(hù)。但是，如果應(yīng)用系統(tǒng)不能支持改造，這種接入方式是無法實施的。因此，對應(yīng)用系統(tǒng)的運維團隊的代碼能力要求相對要高一些。

4 結(jié)語

通過剖析這兩種接入方式的實現(xiàn)邏輯，可以得出以下結(jié)論：連接器方式和私有協(xié)議/SDK方式均能滿足身份管理平臺的接入要求。然而，前者與應(yīng)用系統(tǒng)關(guān)系更緊密，項目中開發(fā)工作量相對較大，增加了系統(tǒng)的復(fù)雜性，提高了故障定位的難度；后者則采用統(tǒng)一的接口協(xié)議，明確了應(yīng)用系統(tǒng)與身份管理平臺之間的界限，減少了身份管理項目的開發(fā)工作量，簡化了信息部門的運維工作。因此，在條件允許的情況下，建議首選私有協(xié)議/SDK方式來實現(xiàn)身份管理的接入，連接器方式可以作為一個補充，應(yīng)對項目中的特殊情況。

身份管理作為信息安全范疇下的一個細(xì)分領(lǐng)域，已經(jīng)得到信息主管單位的重視，并且在各行業(yè)的信息化部門中廣泛得以應(yīng)用。通過本文對身份管理平臺接入方式的梳理和總結(jié)，可以讓更多的企業(yè)或組織從中受益，提高自身的信息安全水平和內(nèi)部風(fēng)險控制水平，以更完善的基礎(chǔ)信息服務(wù)來輔助業(yè)務(wù)的高速發(fā)展。

[參考文獻(xiàn)]（References）

[1] 薛聰,向繼,高能.身份管理發(fā)展趨勢和中國科學(xué)院身份管理系統(tǒng)[J].科研信息化技術(shù)與應(yīng)用,2015,6(01):41-49.XUE Cong,XIANG Ji,GAO Neng.The trend of iden?tity management and the identity management sys?tem of Chinese academy of sciences[J].E-science Technology and Application,2015，(01):41-49.

[2] 陳志德,黃欣沂,許力.身份認(rèn)證安全協(xié)議理論與應(yīng)用.[M].北京:電子工業(yè)出版社,2015.CHEN Zhide,HUANG Xinyi,XU Li.Theory and application ofauthentication protocol[M].Beijing:Publishing House of Electronics Industry,2015.

[3] 陳茂隆.云計算平臺下用戶身份管理系統(tǒng)的設(shè)計與開發(fā)[D].天津:天津大學(xué),2012.CHEN Maolong.Design and implementation of user identity managementsystem in cloud computing center[D].Tianjin:Tianjin University,2012.

[4] 趙琨.身份管理系統(tǒng)與企業(yè)信息系統(tǒng)的集成與應(yīng)用研究[D].上海：上海交通大學(xué),2008.ZHAO Kun.The research of integration and applica?tion of identify management with enterprise’s infor?mation system[D].Shanghai:Shanghai Jiaotong Uni?versity，2008.

[5] 于子元.基于SAML和REST的企業(yè)級身份管理系統(tǒng)的研究與實現(xiàn)[D].長春:東北師范大學(xué),2009.YU Ziyuan.The research and implementation of en?terprise identity management system based on SAML and REST[D].Changchun:Northeast Normal University,2009.

[6] 徐元區(qū).基于統(tǒng)一身份管理的企業(yè)安全體系架構(gòu)的設(shè)計和實現(xiàn)[D].北京:北京郵電大學(xué),2008.XU Yuanqu.Design and implementation of security system in enterprise it infrustructure based on uni?fied identity authentication[D].Beijing:Beijing Uni?versity Of Posts And Telecommunications,2008.

[7] 李石師.統(tǒng)一身份管理系統(tǒng)的設(shè)計與實現(xiàn)[J].中國新技術(shù)新產(chǎn)品,2015(15):27.LI Shisi.The design and implementation of a unified identity management system[J].China New Technolo?gies and Products,2015(15):27.