上周帶領(lǐng)大家初步了解統(tǒng)一身份管理項(xiàng)目、一些常見問題分析身份安全 | 統(tǒng)一身份管理如何實(shí)現(xiàn)?實(shí)踐出真知!今天具體講講統(tǒng)一身份管理項(xiàng)目的落地實(shí)施步驟。
IAM統(tǒng)一身份管理平臺落地,不單單是系統(tǒng)集成這么簡單,完整的項(xiàng)目落地,包含前期的調(diào)研,需求確認(rèn)、方案設(shè)計(jì)(規(guī)劃統(tǒng)籌結(jié)合客戶實(shí)際情況給出合理的方案),具體功能實(shí)現(xiàn)、集成聯(lián)調(diào)、上線、以及平臺上線后的運(yùn)營及推廣辦法,另外針對不同的行業(yè),調(diào)研的側(cè)重點(diǎn)可能不一樣,都需要有針對性的設(shè)計(jì)相應(yīng)的關(guān)注點(diǎn)、從系統(tǒng)調(diào)研結(jié)束,到功能需求的實(shí)現(xiàn)落地,到功能測試聯(lián)調(diào),上線,試運(yùn)行等一系列工作,通常這個(gè)項(xiàng)目持續(xù)周期在12—16周區(qū)間。
IAM項(xiàng)目實(shí)施分工合作界面主要如下:
需求調(diào)研
IAM項(xiàng)目實(shí)施,清楚的理解客戶的需求是項(xiàng)目成功的關(guān)鍵,同樣需求調(diào)研是對接每一個(gè)應(yīng)用系統(tǒng)必不可少的一個(gè)環(huán)節(jié),需求得到清晰的理解,才能保證項(xiàng)目順利進(jìn)行、直至成功的落地,從而保證項(xiàng)目達(dá)到客戶預(yù)期,完整的交付及驗(yàn)收。
IAM項(xiàng)目的需求調(diào)研一般包含如下內(nèi)容:
基本信息:
管理流程、網(wǎng)絡(luò)環(huán)境、安全標(biāo)準(zhǔn)等IT現(xiàn)狀調(diào)研。
企業(yè)IT用戶總數(shù)大概多少(使用單點(diǎn)登錄系統(tǒng)的用戶總數(shù))
企業(yè)IT用戶類型有哪些?(如內(nèi)部員工,供應(yīng)商,合作商、外部用戶、互聯(lián)網(wǎng)用戶等)
企業(yè)是否有權(quán)威數(shù)據(jù)來源(如EHR、主數(shù)據(jù)管理等系統(tǒng))?
企業(yè)權(quán)威數(shù)據(jù)來源是否有對外數(shù)據(jù)接口?
企業(yè)是否使用LDAP/AD域進(jìn)行用戶帳號管理?
企業(yè)是否有用戶帳號管理制度、流程?(如用戶增加、修改、鎖定、刪除等)
企業(yè)是否有內(nèi)部門戶網(wǎng)站?如無,是否需要建設(shè)簡易內(nèi)部門戶?如有,是否需要集成單點(diǎn)登錄系統(tǒng)?
企業(yè)是否需要實(shí)現(xiàn)移動設(shè)備上的應(yīng)用系統(tǒng)單點(diǎn)登錄?
企業(yè)需要什么類型的強(qiáng)認(rèn)證方式?(如短信、二維碼、動態(tài)口令、數(shù)字證書或者其他等)
企業(yè)相關(guān)IT基礎(chǔ)設(shè)施描述(如數(shù)據(jù)中心數(shù)量,位置,是否有專線,專線帶寬多少等)
企業(yè)是否需要對應(yīng)用系統(tǒng)的帳號進(jìn)行集中自動化管理?(如統(tǒng)一創(chuàng)建、修改、禁用、注銷等)
詳細(xì)信息:
應(yīng)用名稱、用戶數(shù)量、產(chǎn)品廠商、集成商、
使用用戶群(如內(nèi)部員工、供應(yīng)商、經(jīng)銷商、外部人員、臨時(shí)人員等)、
用戶使用接入方式(B/S、CS、移動端)、自主開發(fā)/商務(wù)套件、能否進(jìn)行改造、
部署環(huán)境(如單機(jī)房、多地機(jī)房、Saas應(yīng)用)、
開發(fā)語言(系統(tǒng)開發(fā)語言,如Java,.Net,PHP等)、
數(shù)據(jù)庫類型和版本單機(jī)實(shí)例/多機(jī)集群架構(gòu)(例如系統(tǒng)考慮到高可用,同時(shí)安裝了多于一套的實(shí)例)、
系統(tǒng)用戶庫(如本地?cái)?shù)據(jù)庫存儲、外部數(shù)據(jù)庫存儲、AD、外部LDAP存儲、本地LDAP存儲等)、
賬號命名規(guī)則(如使用工號、姓名全拼、姓名拼音首字母、隨機(jī)幾位字符等)、
密碼規(guī)則(如最少幾位數(shù)字、最少幾個(gè)字母、最小長度等)、
賬號增加(是否需要為用戶在應(yīng)用系統(tǒng)上創(chuàng)建賬號)、
賬號修改(是否需要為用戶在應(yīng)用系統(tǒng)上修改賬號相關(guān)信息)、
賬號禁用(是否需要為用戶在應(yīng)用系統(tǒng)上禁用賬號)、
密碼同步(是否需要為用戶同步密碼到應(yīng)用系統(tǒng))、
賬號開通方式((紙質(zhì)、郵件、系統(tǒng)申請))、
應(yīng)用是否存在賬號管理接口(系統(tǒng)提供webservice接口實(shí)現(xiàn)賬號添加,刪除禁用,修改密碼功能)、
是否需要單點(diǎn)登錄(一次輸入賬號和密碼后,無需再次輸入即可登錄多個(gè)系統(tǒng))等。
需求調(diào)研需要明確企業(yè)權(quán)威數(shù)據(jù)源及下游各個(gè)系統(tǒng)集成到何種程度,及下游應(yīng)用系統(tǒng)可改造的程度,以及是否存在特殊的需求及場景。
在需求調(diào)研階段,需要輸出的文檔交付物:《用戶需求說明書》,同時(shí)可以先行準(zhǔn)備應(yīng)用系統(tǒng)的開發(fā)與集成標(biāo)準(zhǔn)規(guī)范,便于在第二輪的調(diào)研中更好的和客戶及集成廠商明確對接形式,各方職權(quán),分工等。
功能設(shè)計(jì)
項(xiàng)目的功能設(shè)計(jì)與前期的需求調(diào)研是環(huán)環(huán)緊扣,這兩部分是緊密相連,在客戶的需求明確后,接下來需要進(jìn)入項(xiàng)目總體功能設(shè)計(jì)階段,在這期間要出具《項(xiàng)目設(shè)計(jì)規(guī)格說明書》。
方案設(shè)計(jì)階段通常涉及如下交付物:
《詳細(xì)設(shè)計(jì)說明書》
《數(shù)據(jù)庫設(shè)計(jì)說明書》
《接口設(shè)計(jì)說明書》
《技術(shù)標(biāo)準(zhǔn)與規(guī)范》
《數(shù)據(jù)庫設(shè)計(jì)規(guī)范》
《二次開發(fā)說明》
《數(shù)據(jù)同步及功能說明》
《安全管理文檔及規(guī)范》
在功能設(shè)計(jì)階段通常包括需求的原型設(shè)計(jì)、應(yīng)用系統(tǒng)的集成方案等,對于統(tǒng)一身份管理項(xiàng)目需要制定并出具統(tǒng)一的規(guī)范,平臺提供系統(tǒng)接入標(biāo)準(zhǔn),各應(yīng)用系統(tǒng)遵循標(biāo)準(zhǔn)接入。
其中包括:
應(yīng)用集成指南
系統(tǒng)架構(gòu)規(guī)范
數(shù)據(jù)定義規(guī)范
系統(tǒng)帳號供應(yīng)接口規(guī)范
認(rèn)證規(guī)范
實(shí)施開發(fā)
統(tǒng)一用戶管理
統(tǒng)一用戶管理(簡稱IDM)主要為企業(yè)提供集中的用戶存儲目錄,其中包括上游數(shù)據(jù)源獲取,下下游數(shù)據(jù)供給,主要同步內(nèi)容包括,組織、崗位、用戶、角色等基本信息,通過集中的用戶信息供給,保證數(shù)據(jù)在下游業(yè)務(wù)系統(tǒng)的高度一致。
IDM和應(yīng)用系統(tǒng)的集成,主要在權(quán)威數(shù)據(jù)源同步和下游系統(tǒng)數(shù)據(jù)提供,企業(yè)統(tǒng)一用戶管理最終的落地,首先需要明確數(shù)據(jù)源來自哪里,多數(shù)企業(yè)建立有自己的HR系統(tǒng),建議企業(yè)以HR系統(tǒng)作為權(quán)威數(shù)據(jù)源,對于部分客戶存在多數(shù)據(jù)源的情況,IDM需要分情況對待,實(shí)現(xiàn)多數(shù)據(jù)源的對接,此時(shí)需要注意的是多數(shù)據(jù)源情況下要保證用戶唯一性,對應(yīng)企業(yè)暫無權(quán)威數(shù)據(jù)源的情況,也可以直接以IDM作為數(shù)據(jù)源,企業(yè)提供用戶、組織的基礎(chǔ)信息平臺上線初始化到IDM,后續(xù)所以的變更操作在IDM進(jìn)行,由IDM把變更信息同步至各個(gè)應(yīng)用系統(tǒng)。
打通企業(yè)上下游系統(tǒng)的對接,最終實(shí)現(xiàn)用戶全生命周期自動化管理,從而避免管理員過多的手工干預(yù),在保證數(shù)據(jù)準(zhǔn)確性的同時(shí)提高效率。
統(tǒng)一身份認(rèn)證
實(shí)現(xiàn)用戶的集中存儲是實(shí)現(xiàn)用戶統(tǒng)一認(rèn)證的前提,平臺實(shí)現(xiàn)了用戶的”注冊”,即可開始對接用戶的統(tǒng)一認(rèn)證工作,一般統(tǒng)一認(rèn)證單點(diǎn)登錄基于OAuth、SAML、CAS等認(rèn)協(xié)議,統(tǒng)一身份認(rèn)證平臺(IAM)提供標(biāo)準(zhǔn)的接入方式(api、SDK等)為應(yīng)用系統(tǒng)提供統(tǒng)一的認(rèn)證方式和認(rèn)證策略,通過應(yīng)用系統(tǒng)的單點(diǎn)登錄集成,實(shí)現(xiàn)用戶一次認(rèn)證,網(wǎng)內(nèi)通用,即:用戶經(jīng)過統(tǒng)一身份認(rèn)證系統(tǒng)認(rèn)證后,無需再次登錄即可訪問其具有訪問權(quán)限的應(yīng)用系統(tǒng)。
應(yīng)用系統(tǒng)的單點(diǎn)登錄集成過程中,不同的應(yīng)用系統(tǒng)可能支持的協(xié)議不一樣,平臺需要提供多種協(xié)議便于應(yīng)用系統(tǒng)接入,另外針對不同開發(fā)語言的也需要有相應(yīng)的支持。
集中行為審計(jì)
IDM身份管理提供了一個(gè)集中的存儲中心以日志的形式記錄用戶所做的所有操作。審計(jì)人員、安全管理人員可以隨時(shí)查看這些記錄用戶、系統(tǒng)和應(yīng)用的日志信息。
IDM的審計(jì)功能可以記錄所有用戶帳號管理的行為,因此,企業(yè)用于準(zhǔn)備和實(shí)行審計(jì)的人力、時(shí)間和財(cái)力都會有很大程度的減少,從而也會加快對審計(jì)人員的響應(yīng)速度。
審計(jì)系統(tǒng)負(fù)責(zé)采集審計(jì)日志,進(jìn)行格式化,并將審計(jì)日志存儲在數(shù)據(jù)庫中,供報(bào)表展現(xiàn)。
被審計(jì)的系統(tǒng)包括:SSO系統(tǒng)、IDM系統(tǒng),以及應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)如果沒有針對安全時(shí)間的審計(jì)日志,可能需要對應(yīng)用日志進(jìn)行調(diào)整。
今后可制定應(yīng)用審計(jì)日志規(guī)范,對于新開發(fā)應(yīng)用,要求按照日志規(guī)范的格式輸出日志,以便快速方便的與審計(jì)系統(tǒng)集成。
審計(jì)系統(tǒng)將每條審計(jì)日志解析成如下字段:
1)Who:誰
2)What:什么事件
3)On What:在什么設(shè)備
4)When:什么時(shí)間
5)Where:在哪里:
6)Where From:從哪里
7)Where To:到哪里
測試驗(yàn)收
需求功能開發(fā)完成,往往伴隨的只是開發(fā)人員自測完畢,此時(shí)還需要測試團(tuán)隊(duì)的介入,進(jìn)行專業(yè)全流程的測試,完整的測試是對交付項(xiàng)目質(zhì)量一個(gè)驗(yàn)證,有效的測試可以及時(shí)發(fā)現(xiàn)前期需求功能實(shí)現(xiàn)是否存在問題,嚴(yán)謹(jǐn)?shù)臏y試,才能保證項(xiàng)目上線質(zhì)量。
項(xiàng)目中的測試需要多輪測試,包括單元測試、整體測試、業(yè)務(wù)聯(lián)測及UAT測試、性能測試。
單元測試通常為開發(fā)階段開發(fā)人員最功能自行測試,檢測邏輯、代碼、功能是否合理、可用;
整體測試(全流程)是把完整的客戶業(yè)務(wù)場景進(jìn)行串聯(lián),從整體應(yīng)用環(huán)境上進(jìn)行測試,看功能是否貫穿滿足客戶業(yè)務(wù);
業(yè)務(wù)聯(lián)測(UAT)需要客戶方業(yè)務(wù)人員共同參與,模擬真實(shí)業(yè)務(wù)場景,最終驗(yàn)證是否具備上線驗(yàn)收資格,需要得到客戶的簽字確認(rèn)。
<section data-tools="135編輯器" data-id="98470" style="margin:0px;padding:0px;max-inline-size:100%;border-width:0px;border-style:none;border-color:initial;z-index:0;min-width:90px;caret-color:#FF0000;font-size:17px;font-family:微軟雅黑, " box-sizing:border-box="" !important;outline:none="" 0px="" !important;"="">
雖然統(tǒng)一身份管理項(xiàng)目不像主數(shù)據(jù)治理、業(yè)務(wù)流程再造項(xiàng)目那樣具備嚴(yán)格的行業(yè)特征,需要實(shí)施人員具備很強(qiáng)的業(yè)務(wù)熟悉度與理解力,但并不代表統(tǒng)一身份管理項(xiàng)目就不需要對客戶的業(yè)務(wù)場景進(jìn)行深入了解,整理分析。
除使用高質(zhì)的平臺工具外,與客戶之間的協(xié)調(diào)配合、充分調(diào)研、需求封閉、加強(qiáng)測試、快速上線等環(huán)節(jié)一個(gè)都不能少。
項(xiàng)目啟動之后,做好需求調(diào)研準(zhǔn)備工作,需求調(diào)研計(jì)劃準(zhǔn)備(調(diào)研問卷模版、調(diào)研方式、時(shí)間計(jì)劃)充分,主要包括對客戶行業(yè)背景,項(xiàng)目痛點(diǎn),項(xiàng)目范圍,邊界及客戶的期望進(jìn)行深入了解,將項(xiàng)目中客戶的需求清晰化,例如應(yīng)用系統(tǒng)集成是否實(shí)現(xiàn)賬號統(tǒng)一管理和單點(diǎn)登錄兩部分,應(yīng)用系統(tǒng)對于數(shù)據(jù)同步的要求是全員同步還是部分用戶同步。
在需求確認(rèn)過程中除了客戶的常規(guī)的業(yè)務(wù)場景之外,特殊業(yè)務(wù)場景也需要明確,例如客戶是否存在一人多組織,多角色、多崗位等情況,用戶離職返聘賬號是否新開還是沿用之前的賬號等等。
充分細(xì)致的需求調(diào)研可以避免后續(xù)項(xiàng)目需求的擴(kuò)大,甚至出現(xiàn)落地效果與客戶實(shí)際業(yè)務(wù)存在偏差,進(jìn)一步再次調(diào)整對接。
在需求調(diào)研階段對客戶的需求,項(xiàng)目的范圍、邊界進(jìn)行鎖定,在項(xiàng)目進(jìn)行正式實(shí)施前必須和客戶明確接下來項(xiàng)目落地的范圍,該過程需要得到客戶的確認(rèn)(簽字、郵件等形式)如果對于客戶集成范圍存在待建系統(tǒng),則需要與客戶明確相關(guān)風(fēng)險(xiǎn),明確本期范圍,防止后續(xù)需求蔓延擴(kuò)散,保證項(xiàng)目交付不超期。
在實(shí)際項(xiàng)目實(shí)施落地過程中,會存在各種各樣的問題/風(fēng)險(xiǎn),例如客戶系統(tǒng)無法改造,、架構(gòu)技術(shù)等等,不同的情況,對應(yīng)統(tǒng)一身份管理系統(tǒng)來說面臨的解決辦法存在不同形式,對于實(shí)施交付團(tuán)隊(duì)而言需要在平時(shí)的項(xiàng)目中沉淀出最佳實(shí)踐及復(fù)用代碼等方法,可以較為穩(wěn)定的實(shí)現(xiàn)應(yīng)對。
如果是由于產(chǎn)品層面或難以實(shí)現(xiàn)的需求,而客戶需要快速上線,在項(xiàng)目過程中提前暴露出來,不管是實(shí)施過程中技術(shù),商務(wù)問題都需要盡早暴露出來,請求相關(guān)技術(shù)人員,商務(wù)支持協(xié)助。
測試是對開發(fā)人員交付物質(zhì)量的檢驗(yàn),測試的結(jié)果決定了項(xiàng)目上線節(jié)點(diǎn),測試不僅僅是對產(chǎn)品、功能、性能方面的驗(yàn)證,更是對客戶需求把握的考量,需要對需求、業(yè)務(wù)場景深刻理解。
對應(yīng)測試過程中風(fēng)險(xiǎn)的問題,及時(shí)的暴露出來,防止后續(xù)上線期間因處理測試出來的問題影響上線進(jìn)度。
測試意味著對項(xiàng)目質(zhì)量負(fù)責(zé),客戶是否愿意繼續(xù)二期,其中重要的一方面是源自于對系統(tǒng)質(zhì)量的信任度。
統(tǒng)一身份管理項(xiàng)目落地交付,在整個(gè)項(xiàng)目中或多或少都會遇到問題,項(xiàng)目組一定要及時(shí)總結(jié),并且定期召開項(xiàng)目復(fù)盤會議,進(jìn)行相關(guān)的分享交流,沉淀項(xiàng)目過程中經(jīng)驗(yàn)和教訓(xùn)。