身份安全 | 企業(yè)內(nèi)部身份數(shù)據(jù)同步解決方案介紹

4A是指：認證Authentication、賬號Account、授權(quán)Authorization、審計Audit，中文名稱為統(tǒng)一安全管理平臺解決方案。即將身份認證、授權(quán)、審計和賬號（即不可否認性及數(shù)據(jù)完整性）定義為網(wǎng)絡(luò)安全的四大組成部分，從而確立了身份認證在整個網(wǎng)絡(luò)安全系統(tǒng)中的地位與作用。

4A概念介紹-示意圖

在軟件項目中統(tǒng)一身份管理也被稱作為4A項目，解決問題及實施方案包括4A中提到的內(nèi)容，只不過很多時候?qū)τ诓煌脩舻男枨髨鼍芭c個性化業(yè)務(wù)，會在4A實施內(nèi)容范圍上多實現(xiàn)一些功能，例如開發(fā)簡單的工作臺門戶，展現(xiàn)系統(tǒng)集成成果或與不同的集成類平臺產(chǎn)品結(jié)合，打造不同的解決方案等，加深項目的價值與作用。

主數(shù)據(jù)管理是解決企業(yè)經(jīng)營中各類主數(shù)據(jù)在不同系統(tǒng)中的名稱、編碼等信息不一致現(xiàn)象，保證企業(yè)內(nèi)主數(shù)據(jù)單一視圖的準(zhǔn)確性、一致性及完整性。兩者在企業(yè)IT架構(gòu)的層面、管理內(nèi)容、功能、業(yè)務(wù)交互等方面都具備一定的差異。

在企業(yè)IT架構(gòu)方面，統(tǒng)一身份管理項目屬于IT治理層面，注重技術(shù)架構(gòu)的實現(xiàn)；主數(shù)據(jù)管理項目屬于數(shù)據(jù)治理層面，注重業(yè)務(wù)、數(shù)據(jù)架構(gòu)的實現(xiàn)，兩者從不同層面、維度分別作為基礎(chǔ)支撐為更高層次的服務(wù)治理、業(yè)務(wù)治理奠定基礎(chǔ)。

在管理內(nèi)容方面，統(tǒng)一身份管理企業(yè)內(nèi)部的用戶、應(yīng)用賬號、角色；主數(shù)據(jù)管理企業(yè)內(nèi)部的組織、人員、崗位，除此之外還管理其它如：客戶、供應(yīng)商等主數(shù)據(jù)。

在功能方面，統(tǒng)一身份管理項目具備統(tǒng)一身份認證功能，弱化案例功能，很少或不預(yù)置管理案例；主數(shù)據(jù)管理不具備統(tǒng)一身份認證功能，提供基礎(chǔ)數(shù)據(jù)管理樣例。

在業(yè)務(wù)交互方面，統(tǒng)一身份管理主要與信息中心人員進行交互；主數(shù)據(jù)管理主要與業(yè)務(wù)人員進行交互，注重數(shù)據(jù)、業(yè)務(wù)的梳理。

用戶身份全生命周期管理-示意圖

用戶數(shù)據(jù)同步部分通常由企業(yè)內(nèi)部權(quán)威數(shù)據(jù)源提供變動信息，以獲取數(shù)據(jù)源頭的變動信息，對應(yīng)的數(shù)據(jù)源系統(tǒng)按照統(tǒng)一同步接口標(biāo)準(zhǔn)提供全量或增量信息服務(wù)接口即可完成數(shù)據(jù)同步工作，同步的方式可以根據(jù)企業(yè)具體業(yè)務(wù)需求采用實時調(diào)用或定時輪詢方式。

通常采用實時調(diào)用方式，即IDM統(tǒng)一身份管理平臺提供變動信息的寫入服務(wù)，數(shù)據(jù)源信息變動時，直接調(diào)用IDM自身服務(wù)即可；

實時數(shù)據(jù)同步-示意圖

如集成系統(tǒng)無法進行實時調(diào)用，可采用定時輪詢方式，定時獲取數(shù)據(jù)源系統(tǒng)的變動信息寫入數(shù)據(jù)庫中間表，完成同步信息日志記錄，之后從服務(wù)器讀取該同步日志記錄，將日志內(nèi)變動信息同步寫入IDM，生成對應(yīng)的員工入轉(zhuǎn)調(diào)離操作信息。

定時數(shù)據(jù)同步-示意圖

用戶數(shù)據(jù)分發(fā)也是統(tǒng)一用戶管理的重要步驟，順序為數(shù)據(jù)源—IDM—各業(yè)務(wù)系統(tǒng)，具體為賬戶信息從數(shù)據(jù)源同步至IDM平臺，IDM將用戶數(shù)據(jù)信息進行加工后后分發(fā)給各業(yè)務(wù)系統(tǒng)。通常我們可以通過ESB企業(yè)服務(wù)總線創(chuàng)建用戶數(shù)據(jù)分發(fā)流程，調(diào)用各業(yè)務(wù)系統(tǒng)提供的分發(fā)服務(wù)接口，實現(xiàn)用戶數(shù)據(jù)信息的實時分發(fā)。

用戶數(shù)據(jù)分發(fā)根據(jù)企業(yè)業(yè)務(wù)系統(tǒng)不同的情況、配合的程度分為采用不同的分發(fā)形式，常見的幾種形式包括Restful API、中間表存儲、數(shù)據(jù)庫權(quán)限三種。Restful API形式主要由業(yè)務(wù)系統(tǒng)提供服務(wù)標(biāo)準(zhǔn)的API接口，供統(tǒng)一身份管理系統(tǒng)調(diào)用實現(xiàn)用戶賬號信息分發(fā)；中間表存儲形式主要由業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)庫的中間表，通過ESB企業(yè)服務(wù)總線寫入數(shù)據(jù)實現(xiàn)用戶信息分發(fā)；數(shù)據(jù)庫權(quán)限針對無法提供配合的業(yè)務(wù)系統(tǒng)，系統(tǒng)提供數(shù)據(jù)庫操作權(quán)限，由ESB企業(yè)服務(wù)總線直接寫入數(shù)據(jù)庫操作。

用戶數(shù)據(jù)分發(fā)-示意圖