IDM身份管理系统是为解决企业内部多系统之间的用户信息不一致的问题而开发的,主要定位于解决企业在5A功能上的需求,即:Account账号管理、Authentication认证管理、Authorization授权管理、Audit审计管理、App Control应用管控5个方面的实际需求,进而规范用户身份信息,保证系统安全,提高工作效率。
IDM+ESB预置样例主要处理IDM+ESB集成方案的数据同步过程,需要覆盖组织、岗位、人员的同步、分发,以及基于IDM的权限分发,同时需要基于ESB的服务模型、API管理、应用集成、预警报警等进行相关服务、接口的预置。使预置样例多样化,提高产品的可用度。
整体说明主要是对IDM+ESB预置样例的整体需求进行说明,并对样例所使用到的组件场景进行整体规划,包括组件的编排、结合以及常用的数据转换以及映射等等,另外预置的服务在管理控制台进行注册和应用集成流程相结合,最后描述整体配置核心步骤。
1需求说明
本次IDM+ESB预置样例主要通过IDM的统一5A管控实现进行各系统的对接,并进行权限的统一。本次IDM+ESB预置样例创建的核心目的是通过样例工程使项目实施人员、新晋员工可以快速了解产品以及ESB组件的使用场景,IDM+ESB预置样例核心内容如下:
1.映射、转换组件的灵活应用,主要包括常见数据格式JavaBean、动态模型、XML、Json、DataRow、DataSet、DataBag、DataBox之间的数据格式处理及转换;
2.流程内循环、分支的处理;
3.基础组件预置样例在API服务进行注册并进行工程及流程的监控、统计、分析;
4.应用集成流程场景的配置及集成流程的调整;
5.IDM本身采用CAS认证,ESB采用cas认证和Oauth认证;
6.根据实际业务对ESB、IDM进行角色分配和权限配置,并支持相关角色和权限的同步;
7.服务接口均在ESB的API管理中进行注册和管理;
8.基于组织、岗位、人员数据实现IDM的统一用户;
2集成架构
IDM+ESB统一身份5A管控方案:主要以权威的业务系统为源头,将组织、角色、用户等信息同步到IDM平台,基于统一的用户信息完成统一认证;根据需求在IDM平台进行业务角色、权限角色的统一管理与权限分配,再通过IDM分发到对应的业务系统中,实现权限的统一;作为5A安全管控平台,IDM提供的密码策略、认证策略、监控预警、统一分析、业务系统注册与管理等功能可以充分满足企业在系统集成方面的需求。
3数据架构
整体架构以IDM+ESB为主,通过ESB实现IDM相关数据的同步分发,整体架构图如下:
1.以HR为数据源头,提供组织、岗位、人员等基础数据,由ESB为扩展组织、岗位、人员的数据提供服务,再通过ESB的应用集成同步至IDM平台;
2.模拟下游OA系统,由ESB扩展组织人员接收服务(参考SMC的组织人员接收服务),IDM的组织、人员通过ESB应用集成自动下发至OA系统;
3.IDM的组织、人员在分发时自动分发ESB的系统组织、人员(ESB提供组织人员的接收服务);
4.在IDM平台配置角色以及对应资源菜单权限,通过手动生成任务、同步的方式同步至ESB系统/OA系统资源权限中(ESB系统/OA系统提供角色权限的接收服务)。
4目标人员
内部IDM+ESB预置样例演示说明文档主要为公司新进人员以及集成底座项目人员学习提供参考。达成以下目的:
1.参与或接手IDM+ESB预置样例项目;
2.IDM+ESB预置样例环境搭建;
3.内部技术人员学习IDM+ESB预置样例。
内部IDM+ESB预置样例需要在多场景多机制下的集成流程进行演示,本样例模拟发送和接收接口进行场景配置,创建集成流程完成数据同步,调用查看运行监控和日志等,完成整个样例的演示。
1工程规划
工程命名:IdmSample;
工程别名:基础样例工程;
工程包名:com.aeaiesb.idm;
工程目录结构如下:
2
角色规划
为了更完备的模拟在项目中的使用场景,对于菜单进行授权,根据不用的角色要配置不同的菜单功能权限,所以预置如下角色。
在IDM+ESB预置样例中,对于各个系统分配了不同的角色,IDM和ESB集成场景模块均分为基础数据管理员和权限管理员。
具体在样例中则根据不同角色创建了两个不同的人员,都是由管理员进行权限设置。其中各个系统管理员需要在功能配置中的安全配置模块中配置各个角色的功能权限。
角色清单:
演示时,使用本机IP地址进行访问,并登录不同的人员角色账号进行演示,每个人员账号密码如下:
3演示内容
具体演示分为以下几个部分:
1.单点登录:登录ESB系统被IDM拦截登录后进入到平台首页(cas认证),在浏览器输入配置好的Oauth认证地址被IDM拦截登录后进入到平台首页(Oauth认证);
2.分角色操作:样例中不同系统创建了不同角色,IDM(基础数据管理员、权限管理员)、ESB(基础数据管理员、权限管理员)。介绍每个人的角色,查看不同人员对应可操作的功能菜单;
3.基础数据同步:从源头HR系统将主数据(组织、人员、岗位)同步至IDM进行管理,同步之后在IDM平台查看数据是否同步成功,日志是否回写,对应服务监控、以及服务日志等,查看OA系统表中数据是否同步成功;
4.账号分发:IDM账号数据分发至OA、ESB系统,查看数据是否同步成功,日志是否回写,对应服务监控、以及服务日志等;
5.角色分发:IDM平台将标准角色、实际角色分发至OA、ESB系统,查看数据是否同步成功,日志是否回写,对应服务监控、以及服务日志等;
6.权限下发:IDM平台给其他系统菜单授权下发至OA、ESB系统,查看是否授权成功,授权成功之后进行ESB登录验证,查看OA系统数据表。
4
演示流程
1.单点登录(ESB)使用管理员账号登录ESB平台演示cas和Oatuh两种认证方式;
2.角色权限查看:查看不同人员对应可操作的功能菜单,以及对应人员的作用;
3.样例介绍(PPT):分角色对样例中的原生服务、配置服务、场景配置、集成流程进行介绍查看;
4.集成流程调用(配置、审计可调用,所有人员都可查看调用结果,主要在集成流程中进行调用操作);
a)调用“组织架构”中的集成流程(组织、人员、岗位);
b)每次调用后查看对应流程监控以及日志;
5.账号分发:IDM账号数据分发至OA、ESB系统,查看数据是否同步成功,日志是否回写,对应服务监控、以及服务日志;
6.权限分发:IDM平台给其他系统菜单授权下发至OA、ESB系统,查看是否授权成功,授权成功之后进行ESB登录验证,查看OA系统数据表。
接下来介绍需要确认的IDM+ESB预置样例工程创建前期的前置工作,为后续公司新进人员作参考。
1数据结构
数据结构主要是指在服务生成或者组件操作时读取的数据库,而本章主要对需要用到的数据库表进行介绍,并对库表结构进行说明,数据库表清单如下:
2应用配置
在演示样例之前需要在IDM系统应用配置中添加OA系统的配置,用于流程的调用,具体配置如下所示:
3属性资源
在设计器内,通常通过全局变量的方式配置调用数据Url等,包括ESB和IDM调用Url地址、Oauth认证信息等,凡是涉及到经常变动的数据均设置成全局变量的形式。本样例涉及到的全局变量(OauthConfigs、GlobalConfigs、IPConfigs、TokenConfigs、ServiceFlowConfigs)需要在使用前进行编辑并保存,使之加载到缓存当中。
主要是基于IDM的统一认证、统一用户、统一授权、统一审核和统一应用管控,并结合OA、ESB实现集成对接,在演示IDM+ESB预置样例时,先从5A管控出发,能更直观地体现集成的效果,也更容易进行各系统之间的对接切换。
1演示步骤
集成底座方案作为企业信息化建设的基础方案,主要是为企业建立统一、稳定、可复用的基础框架,而IDM+ESB统一5A管控方案作为集成底座方案的子方案,主要的作用是利用5A管控体系的建立打通系统边界,从而实现权限的统一。
所以具体演示流程规划如下:
1.单点登录:登录ESB系统被IDM拦截登录后进入到平台首页(cas认证),在浏览器输入配置好的Oauth认证地址被IDM拦截登录后进入到平台首页(Oauth认证);
2.分角色操作:样例中不同系统创建了不同角色,IDM(基础数据管理员、权限管理员)、ESB(基础数据管理员、权限管理员)。介绍每个人的角色,查看不同人员对应可操作的功能菜单;
3.基础数据同步:从源头HR系统将主数据(组织、人员、岗位)同步至IDM进行管理,同步之后在IDM平台查看数据是否同步成功,日志是否回写,对应服务监控、以及服务日志等,查看OA系统表中数据是否同步成功;
4.账号分发:IDM账号数据分发至OA、ESB系统,查看数据是否同步成功,日志是否回写,对应服务监控、以及服务日志等;
5.角色分发:IDM平台将标准角色、实际角色分发至OA、ESB系统,查看数据是否同步成功,日志是否回写,对应服务监控、以及服务日志等;
6.权限下发:IDM平台给其他系统菜单授权下发至OA、ESB系统,查看是否授权成功,授权成功之后进行ESB登录验证,查看OA系统数据表。
2统一认证
基于IDM的CAS认证和Oauth认证来实现ESB系统的统一认证。
1.CAS认证
配置地址:esb_server\presetapps\SMC\WEB-INF\web.xml
2.Oauth认证
配置位置:ESB控制台->系统资源->属性配置
配置位置:IDM控制台->应用管理->应用配置(认证配置勾选Oauth认证)
3
组织架构
组织架构主要是对组织、人员和岗位等基础数据的具体演示步骤,下面由组织同步、岗位同步和人员同步等三方面进行介绍:
组织同步
以HR系统为源头提供组织数据,通过ESB流程同步数据至IDM自动分发到OA系统当中:
1.手动录入HR系统组织数据;
2.在OA和IDM系统查看同步当前组织数据是否存在(基础数据管理员);
3.调用组织同步集成流程传入HR组织编码(基础数据管理员);
4.查看ESB流程同步日志信息是否同步成功(基础数据管理员);
5.在监控统计中查看流程统计次数(基础数据管理员);
6.查看OA和IDM系统组织数据是否同步成功(基础数据管理员)。
岗位同步
以HR系统为源头提供岗位数据,同步数据至IDM:
1.手动录入HR系统岗位相关数据;
2.在IDM系统查看同步当前岗位数据是否存在(基础数据管理员);
3.调用岗位同步集成流程传入HR岗位编码(基础数据管理员);
4.查看ESB流程同步日志信息是否同步成功(基础数据管理员);
5.在监控统计中查看流程统计次数(基础数据管理员);
6.查看IDM系统岗位数据是否同步成功(基础数据管理员)。
人员同步
以HR系统为源头提供人员数据,同步数据至IDM自动分发到OA系统当中:
1.手动录入HR系统人员相关数据;
2.在OA和IDM系统查看同步当前人员数据是否存在(基础数据管理员);
3.调用人员同步集成流程传入HR人员编码(基础数据管理员);
4.查看ESB流程同步日志信息是否同步成功(基础数据管理员);
5.在监控统计中查看流程统计次数(基础数据管理员);
6.查看MDM、ERP、IDM、FIS系统组织数据是否同步成功(基础数据管理员)。
4统一权限
统一权限分为角色下发和权限下发两部分,其中角色下发分为标准角色和实际角色,权限下发分为标准角色权限、实际角色权限、用户权限和组织权限,下面对角色下发和权限下发两方面来进行介绍:
角色下发
1.在ESB、OA系统查看要分发的标准角色、实际角色数据是否存在(权限管理员);
2.在IDM平台统一权限模块中的标准角色或实际角色(权限管理员);
3.新增角色生成任务进行提交至其他业务系统(权限管理员);
4.查看ESB、OA系统角色数据是否下发成功(管理员)。
权限下发
IDM权限数据分发至OA、ESB系统进行授权登录。
1.在ESB、OA系统查看要分发的权限数据是否存在(权限管理员);
2.在IDM平台统一权限模块中的授权管理选择对应业务系统给菜单进行授权(权限管理员);
3.在IDM平台操作管理模块的工作任务找到刚刚生成的任务进行提交(权限管理员);
4.查看ESB、OA系统权限数据是否下发成功(管理员),OA系统查看对应的数据表。
5登录测试
以上演示步骤完成之后,登录分发的用户账号,查看认证是否生效,查看权限是否下发成功。
作为将产品与业务深度结合的典型样例之一,IDM+ESB样例直接预置到ESB产品中,在使用ESB产品时可以直接快速生成样例进行学习和了解,加强对ESB功能的掌握,同时也能更全面地了解IDM在应用管控、统一账户、统一权限、统一审计和统一认证的应用。
1集成方案
IDM+ESB统一身份5A管控方案只是ESB典型应用场景之一,在ESB产品中除了IDM+ESB之外还预置了ESB、API、ESB+MDM、MDM+ESB、DAP+ESB等一系列样例,通过ESB与不同产品组合成基础方案,满足企业IT治理、数据治理、服务治理、统一认证、数据分析等不同的业务场景和需求。
2方案价值
IDM+ESB统一身份5A管控方案构建的目的就是为了实现进行各系统的对接,并进行权限的统一,所以在方案演示中要更强调如何通过IDM实现基于统一的用户信息完成统一认证。根据需求在IDM平台进行业务角色、权限角色的统一管理与权限分配,再通过IDM分发到对应的业务系统中,实现权限的统一。演示时要注意从业务出发,模拟实际业务操作流程来进行演示,体现产品和演示的专业性、准确性、灵活性、便捷性。
3业务价值
IDM+ESB统一身份5A管控方案主要是针对企业各个系统账户权限集成的需求,在账户权限集成的过程中,通过IDM产品进行统一5A的管控。IDM提供的密码策略、认证策略、监控预警、统一分析、业务系统注册与管理等功能可以充分满足企业在系统集成的需求。
