人人澡人人国产在线久久草,亚洲色在线无码国产精品不卡

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

如何做好統(tǒng)一身份認(rèn)證賬號管理及集成？

統(tǒng)一身份認(rèn)證是整個(gè) IT 架構(gòu)的最基本的組成部分，而賬號則是實(shí)現(xiàn)統(tǒng)一身份認(rèn)證的基礎(chǔ)。做好賬號的規(guī)劃和設(shè)計(jì)直接決定著企業(yè)整個(gè)信息系統(tǒng)建設(shè)的便利與難易程度，決定著能否敏捷和快速賦能，決定著數(shù)字化轉(zhuǎn)型的投入和效率。

創(chuàng)新互聯(lián)主營欽北網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,重慶APP軟件開發(fā),欽北h5微信小程序開發(fā)搭建,欽北網(wǎng)站營銷推廣歡迎欽北等地區(qū)企業(yè)咨詢

用戶賬號是用戶身份的一種表示。傳統(tǒng)統(tǒng)一身份認(rèn)證系統(tǒng)往往作為外圍系統(tǒng)來集成各個(gè)應(yīng)用系統(tǒng)，而不是作為核心基礎(chǔ)系統(tǒng)被其他應(yīng)用系統(tǒng)來集成。所以傳統(tǒng)統(tǒng)一身份認(rèn)證系統(tǒng)的建設(shè)存在眾多的問題，使設(shè)計(jì)實(shí)現(xiàn)復(fù)雜化，管理復(fù)雜化，集成復(fù)雜化。

我們今天將詳細(xì)討論下統(tǒng)一身份認(rèn)證賬號設(shè)計(jì)的幾個(gè)相關(guān)問題：

1. 賬號基礎(chǔ)數(shù)據(jù)來源及管理

賬號( Account )是統(tǒng)一身份認(rèn)證系統(tǒng)中 4A 管理中的一個(gè)要素。賬號數(shù)據(jù)來源于哪里是建設(shè)統(tǒng)一身份認(rèn)證平臺時(shí)首先要確認(rèn)的問題。賬號通?？梢院唵畏譃閮?nèi)部員工賬號和外部客戶 / 用戶賬號。內(nèi)部賬號也可能包括工勤賬號、外包賬號、合作伙伴賬號等。外部客戶 / 用戶賬號則通常是業(yè)務(wù)客戶或用戶的賬號。內(nèi)部和外部賬號通常是兩個(gè)領(lǐng)域的賬號管理需求，需要分別進(jìn)行處理。因此統(tǒng)一身份認(rèn)證平臺需要支持“多租戶”能力，以區(qū)分不同領(lǐng)域賬號管理或安全隔離要求。

內(nèi)部賬號通常可以基于公司的 AD 或人力資源系統(tǒng)賬號為基礎(chǔ)，構(gòu)建統(tǒng)一賬號管理能力。外部賬號則可以基于 CRM 系統(tǒng)賬號為基礎(chǔ)構(gòu)建外部用戶統(tǒng)一賬號認(rèn)證管理能力。在統(tǒng)一身份認(rèn)證平臺內(nèi)，表示用戶身份的賬號一定是唯一的。公司內(nèi)部賬號往往是基于 AD 或 LDAP 的，統(tǒng)一身份認(rèn)證平臺的賬號體系一旦建立起來，就可以替換掉 AD 或 LDAP ，不用再去集成 AD 或 LDAP 。身份認(rèn)證賬號一定是處于最底層的，其他系統(tǒng)都要基于賬號體系來構(gòu)建登錄認(rèn)證的。

由于系統(tǒng)建設(shè)不可能一步到位，所以可能存在很多系統(tǒng)還是基于 AD 或 LDAP 進(jìn)行賬號管理的，這就需要統(tǒng)一身份認(rèn)證平臺提供臨時(shí)中間層，支持 LDAP 集成接口，以替換那些用到 AD 或 LDAP 的系統(tǒng)的配置。

賬號和用戶是兩個(gè)獨(dú)立的對象。賬號在統(tǒng)一身份認(rèn)證平臺來維護(hù)，而用戶則往往在人力資源管理系統(tǒng)維護(hù)。在統(tǒng)一身份認(rèn)證平臺內(nèi)部，賬號可以關(guān)聯(lián)多種身份標(biāo)識，以支持不同的認(rèn)證方式或多因子認(rèn)證。而人力資源管理系統(tǒng)等應(yīng)用系統(tǒng)，則按照系統(tǒng)集成統(tǒng)一身份認(rèn)證平臺的方式來實(shí)現(xiàn)。

2. 用戶管理

賬號管理可以很簡單，不包含用戶其他信息，只代表某個(gè)用戶的身份。就像人的身份證號一樣。不過用戶的信息通常是很多的，比如姓名、年齡等基本信息，還有教育背景、工作經(jīng)歷、社會(huì)關(guān)系、培訓(xùn)經(jīng)歷、榮譽(yù)證書等信息。這些信息通常在人力資源系統(tǒng)里面進(jìn)行維護(hù)管理。

從平臺融合微服務(wù)架構(gòu)設(shè)計(jì)來說，統(tǒng)一身份認(rèn)證平臺可以不需要考慮用戶信息的管理和維護(hù)。用戶管理可以單獨(dú)成為一個(gè)獨(dú)立的組件模塊或微服務(wù)組件，可以放在人力資源系統(tǒng)、 CRM 系統(tǒng)等來維護(hù)。通過用戶賬號和用戶信息關(guān)聯(lián)起來，先在統(tǒng)一身份認(rèn)證平臺創(chuàng)建賬號，然后其他應(yīng)用使用這個(gè)賬號進(jìn)行數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)表設(shè)計(jì)和實(shí)現(xiàn)管理。

所有的用戶在統(tǒng)一身份認(rèn)證平臺首先要根據(jù)規(guī)則生成賬號，比如員工賬號、外包賬號、供應(yīng)商賬號等，然后賬號作為外鍵來關(guān)聯(lián)用戶其他相關(guān)信息。

(1) 賬號、用戶和用戶身份標(biāo)識

用戶管理一定要首先為用戶創(chuàng)建賬號。存量系統(tǒng)中用戶都有賬號 /ID 標(biāo)識，但由于每個(gè)系統(tǒng)每個(gè)應(yīng)用都是一套獨(dú)立的賬號體系，形成數(shù)據(jù)孤島，帶來眾多的數(shù)據(jù)治理和數(shù)據(jù)使用問題，因此，通過構(gòu)建統(tǒng)一的賬號體系來解決這些問題，減少重復(fù)建設(shè)，提升數(shù)字化效率。為用戶創(chuàng)建賬號后并為用戶綁定該賬號，則用戶就可以使用該賬號來標(biāo)識自己的身份。賬號是用戶身份的一種標(biāo)識。在統(tǒng)一身份認(rèn)證平臺中，還會(huì)存儲其它用戶身份標(biāo)識，比如人臉識別圖像信息用于人臉識別認(rèn)證，指紋信息用于指紋認(rèn)證，虹膜信息用于虹膜認(rèn)證，手機(jī)號用于短信驗(yàn)證碼認(rèn)證等。這些身份標(biāo)識都可以唯一標(biāo)識一個(gè)用戶。

(2) 賬號和身份綁定

賬號可以是獨(dú)立的，用戶是獨(dú)立的對象，但用戶身份是和用戶相關(guān)聯(lián)的。首先要把賬號分配給用戶，然后采集用戶身份標(biāo)識信息，比如指紋、人臉、手機(jī)號等，把賬號和用戶身份標(biāo)識對應(yīng)起來，從而提供了統(tǒng)一的身份認(rèn)證能力。用戶可以選擇登錄認(rèn)證方式來認(rèn)證登錄。

3. 應(yīng)用系統(tǒng)賬號集成

每個(gè)應(yīng)用系統(tǒng)幾乎都有一套自己的賬號、權(quán)限體系。而且 IT 這么多年的建設(shè)，每家公司都有大大小小幾十套上百套系統(tǒng)。所以賬號、權(quán)限、日志等可能就重復(fù)建設(shè)了幾十次上百次。要建設(shè)統(tǒng)一身份認(rèn)證體系，不得不集成這些大大小小的系統(tǒng)。那么該怎么集成?

我了解到的幾乎都是把數(shù)據(jù)復(fù)制一份導(dǎo)入到統(tǒng)一認(rèn)證平臺?？赡艽蠹叶剂?xí)慣了數(shù)據(jù)導(dǎo)來導(dǎo)去，但這是我最反對的，最深惡痛絕的。那么多數(shù)據(jù)孤島、數(shù)據(jù)不一致、數(shù)據(jù)混亂等問題就是這樣造成的。很多人往往為了一時(shí)的便利根本不考慮其他，后期你不得不付出數(shù)倍數(shù)十倍的代價(jià)來解決這個(gè)問題。就像說句謊言，你不得不用十句百句來圓謊。

在討論正確的處理方法之前，我們需要明確在建設(shè)統(tǒng)一身份認(rèn)證平臺時(shí)權(quán)限分層的問題。認(rèn)識并理解用戶訪問權(quán)限的層級是認(rèn)證體系建設(shè)的關(guān)鍵之一。

(1) 權(quán)限分層

首先統(tǒng)一身份認(rèn)證平臺用戶登錄后，看到的是他能訪問的應(yīng)用系統(tǒng)列表，比如一個(gè)人可以訪問 OA 、 CRM ，另外一個(gè)人可以訪問 OA 、 HR 系統(tǒng)。這是第一層的權(quán)限訪問控制。

其次，用戶進(jìn)入特定的應(yīng)用系統(tǒng)之后，有操作不同應(yīng)用功能的權(quán)限。比如一個(gè)人能訪問 OA 系統(tǒng)的報(bào)表功能，另外一個(gè)人可以訪問 OA 系統(tǒng)除報(bào)表外的其他功能。不同的人在某個(gè)應(yīng)用系統(tǒng)中的角色是不一樣的，角色對應(yīng)的權(quán)限也就不一樣了。

(2) 新上線應(yīng)用

對于新研發(fā)上線的應(yīng)用，在研發(fā)之初就要使用統(tǒng)一身份認(rèn)證平臺的賬號和權(quán)限體系，通過統(tǒng)一身份認(rèn)證平臺提供的標(biāo)準(zhǔn)化接口來集成。這樣，所有的應(yīng)用最終將融合為一個(gè)系統(tǒng)，每個(gè)應(yīng)用相當(dāng)于一個(gè)當(dāng)前系統(tǒng)的一個(gè)組件模塊。

(3) 存量應(yīng)用系統(tǒng)

統(tǒng)一身份認(rèn)證平臺的賬號首先解決的是用戶登錄認(rèn)證的問題。登錄之后訪問存量系統(tǒng)時(shí)，由于賬號可能存在不一致，這就需要在統(tǒng)一身份認(rèn)證平臺內(nèi)支持賬號映射能力，自動(dòng)轉(zhuǎn)換為可訪問系統(tǒng)的內(nèi)部賬號。這樣不用更改存量系統(tǒng)，只實(shí)現(xiàn)統(tǒng)一身份認(rèn)證和單點(diǎn)登錄能力。

4. 賬號管理問題

在建設(shè)統(tǒng)一身份認(rèn)證平臺時(shí)，我們不得不面對公共賬號、多賬號、賬號委托等問題。比如郵件系統(tǒng)的公共賬號、多賬號問題，業(yè)務(wù)系統(tǒng)的賬號委托問題等，這些問題都可以結(jié)合授權(quán)機(jī)制來處理。

(1) 賬號委托問題處理

在傳統(tǒng)的應(yīng)用系統(tǒng)中經(jīng)常會(huì)遇到賬號委托的問題，從身份認(rèn)證和審計(jì)的角度來說是不合理的。賬號委托是把賬號直接賦予某個(gè)人來使用這個(gè)賬號，就像我可以拿著你的身份證去辦理一些事情，是以你的身份來辦理的，所以可能其他人并不知道是我操作的，從審計(jì)角度來說，就是你的行為，而不是我的行為。所以這是有問題的。

正確的做法是通過授權(quán)管理機(jī)制來實(shí)現(xiàn)。你可以把你的權(quán)限授權(quán)給我，我就有權(quán)限操作你能操作的業(yè)務(wù)功能。從審計(jì)角度來看，這是我的行為，也可以看到你授權(quán)給我了，所以我能代表你來做這些業(yè)務(wù)，如果有什么意外或不正確，可以通過審計(jì)記錄很容易定位到操作人。

功能實(shí)現(xiàn)并不難，難在思想和思維。一說要改變這些不正確的設(shè)計(jì)，很多人就會(huì)有很多藉口，要么推托業(yè)務(wù)要求，要么推托改起來太復(fù)雜等等，其實(shí)也就是不愿意改，怕改出問題。這樣就要求在數(shù)字化轉(zhuǎn)型提升應(yīng)用效率的時(shí)候需要有全局規(guī)劃、頂層設(shè)計(jì)，通過開發(fā)人員自覺來完善幾乎是不可能的。

(2) 公共賬號問題

郵件系統(tǒng)等會(huì)涉及群組賬號，比如以某個(gè)部門或者團(tuán)隊(duì)來發(fā)布通知。但必須明白，公共賬號是不可以通過統(tǒng)一身份認(rèn)證來登錄的。公共賬號只和某個(gè)應(yīng)用系統(tǒng)相關(guān)，是特定的需求，有特定的適用范圍，超過了這個(gè)范圍就是無效的。

因此公共賬號在統(tǒng)一認(rèn)證平臺是不保存的。如果某些應(yīng)用用到公共賬號，則可以在這些應(yīng)用中來創(chuàng)建和維護(hù)，作為某個(gè)人的附屬賬號通過授權(quán)機(jī)制來進(jìn)行管理和維護(hù)。也就是公共賬號可以在這個(gè)應(yīng)用系統(tǒng)內(nèi)部授權(quán)給某個(gè)人來使用，一旦超出了這個(gè)應(yīng)用系統(tǒng)范圍則是無效的;同時(shí)也可以在需要的時(shí)候回收權(quán)限。

(3) 多賬號問題

既然有公共賬號，難免就需要有人來維護(hù)或代表這些公共賬號處理一些事情。但就像前面我們討論的公共賬號問題，一定是有范圍限定的。在統(tǒng)一身份認(rèn)證平臺內(nèi)，一個(gè)用戶的賬號是唯一的。只有具體到某個(gè)應(yīng)用系統(tǒng)內(nèi)，才會(huì)有多賬號問題，多賬號也就只限定在這個(gè)應(yīng)用系統(tǒng)內(nèi)。在統(tǒng)一身份認(rèn)證平臺內(nèi)部賬號映射管理時(shí)，可為該應(yīng)用系統(tǒng)映射多個(gè)“內(nèi)部賬號”(或可稱為“二級賬號”)，用戶訪問該應(yīng)用系統(tǒng)時(shí)則可選擇用哪個(gè)“內(nèi)部賬號”登錄。

5. 管理賬號/運(yùn)維賬號問題

應(yīng)用初始管理賬號和運(yùn)維賬號也是需要考慮的。通常我們設(shè)置應(yīng)用系統(tǒng)初始 admin 賬號，用 admin 來初始化應(yīng)用系統(tǒng)。一旦通過角色權(quán)限設(shè)置管理員用戶， admin 賬號就需要被停用。在統(tǒng)一身份認(rèn)證平臺，是不能映射用戶到應(yīng)用 admin 賬號的， Admin 只是做初始化。后期的管理和運(yùn)維都要用統(tǒng)一身份認(rèn)證平臺的賬號，對應(yīng)到具體的有身份的人。這樣才符合認(rèn)證審計(jì)的要求。

很多人不理解建設(shè)統(tǒng)一身份認(rèn)證平臺的初衷，僅僅把它當(dāng)作一個(gè)系統(tǒng)實(shí)現(xiàn)單點(diǎn)登錄、雙因子認(rèn)證等，更沒有認(rèn)真考慮賬號管理等問題，而忽略了其潛在的價(jià)值。就像我們前面提到的，統(tǒng)一身份認(rèn)證平臺是實(shí)現(xiàn)平臺融合的最基礎(chǔ)組件，只有設(shè)計(jì)好整個(gè)賬號體系，才能為后續(xù)的應(yīng)用建設(shè)帶來敏捷和效率。

網(wǎng)頁題目：如何做好統(tǒng)一身份認(rèn)證賬號管理及集成？
轉(zhuǎn)載源于：http://m.5511xx.com/article/dhdicsc.html