IDM身份管理系统为解决企业内部多系统之间的用户信息不一致而开发的,主要定位于解决企业在5A功能上的需求,即:Account账号管理、Authentication认证管理、Authorization授权管理、Audit审计管理、App Control应用管控5个方面的实际需求,进而规范用户身份信息,保证系统安全,提高工作效率。
本次开发需要对统一权限模块功能进行调整,新增“统一角色”策略,本篇文档主要介绍数据清洗功能的具体实现思路。IDM身份管理平台满足对企业信息系统的统一用户管理、统一身份认证、统一授权管理以及安全审计的要求,能够实现各业务系统的统一登录和集中访问,实现用户身份和权限的统一认证与授权管理,为企业不同的业务系统提供统一的用户管理和认证服务。IDM主要对组织、角色、人员进行管理,并对其所有的状态进行记录,如:初始化、审批中、已启用、已禁用等,账户统一管理可以实现从HR系统中获取组织用户数据,也可直接在IDM系统中录入数据,用户信息中的部分属性信息根据同步策略由HR系统或其它指定系统同步更新到用户目录,其它用户信息可在应用系统中各自进行维护,通过IDM统一用户信息后,发送到各个业务系统。
IDM主要是实现统一认证、授权、审计管理,提高企业身份认证及访问安全,建立授权流程审批机制,使用户身份信息、授权信息、审批信息等操作更加规范化、标准化,提高整体IT架构的风险防范能力。
消除企业系统间的信息孤岛,为各系统提供统一身份认证、用户身份管理服务,逐步实现系统身份系统的整合,构建面向用户的认证和授权服务,使业务操作更流畅。为简化IT运维提供强大的技术手段和标准,实现账户数据自动化同步操作,同时制定合规的安全服务规范,构建统一的、支撑企业级的认证授权安全服务基础设施。统一权限功能包括角色管理、权限资源和授权管理三个模块,具体功能架构如下:
角色管理包括:标准角色和实际角色两个模块,用户可以对各个应用系统下的标准角色和实际角色进行注册,支持excel导入和接口导入功能。权限资源包括:功能资源、数据资源、接口资源三个模块。功能资源主要对各个应用系统的功能目录、功能菜单、功能页面URL、页面操作信息进行管理,支持excel导入和接口导入功能。授权管理模块主要为各个应用系统的不同权限资源建立和标准角色、实际角色、人员、组织的关联关系。本次开发需要对统一权限模块功能进行调整,新增“统一角色”策略,下面主要介绍具体需求以及本次功能调整的实现思路。1.当业务系统的角色和岗位相同时,不需要在统一权限中单独配置角色及其关联信息,可以直接复用基础管理模块中的岗位信息,统一管理角色。2.当业务系统的角色和岗位不同时,需要在IDM统一权限模块中配置单独的角色信息。统一权限扩展“统一角色”策略,当“统一角色”策略为“是”时,统一权限模块中的标准角色、实际角色、实际角色与人员的关联关系,都从基础管理中获取,且为只读状态,不能修改;当“统一角色”策略为“否”时,统一权限模块中可以配置系统独有的标准角色及其对应的关联关系,不能与基础管理模块中的岗位进行关联。a)新增岗位时,岗位类型添加默认值(默认为行政岗位,去除选项前的“是否”)。b)新增按钮调整为三个:“新增目录”、“新增行政岗位”、“新增权限岗位”。a)统一权限模块中的标准角色、实际角色、实际角色与人员的关联关系,都从基础管理中获取,且为只读状态,不能修改。b)标准角色中的关联岗位显示对应的关联岗位(一一对应且不能添加或删除)。c)应用配置中的“标准角色直接关联用户”和“实际角色跨组织关联用户”策略必须为“否”(与“是否统一角色”策略互斥)。d)应用配置中的“统一组织”策略必须为“是”(与“是否统一角色”策略相同)。a)统一权限模块中可以配置系统独有的标准角色及其对应的关联关系。c)应用配置中的“标准角色直接关联用户”、“实际角色跨组织关联用户”和“统一组织”策略可以随意选择。本次功能调整需要修改岗位管理、应用配置和统一权限三个模块的功能,下面主要介绍本次功能调整具体的实现步骤。1.点击“新增”按钮时,可以选择岗位类型(目录、行政岗位、权限岗位)。
2.目录下可以新增目录和岗位,岗位下不能新增目录和岗位。
2.当“统一角色”策略为“是”时,“标准角色直接关联用户”和“实际角色跨组织关联用户”策略必须为“否”,“统一组织”策略必须为“是”。
a)标准角色模块信息从岗位管理模块获取,左侧显示岗位目录树形菜单,右侧列表显示当前目录下的权限岗位信息。只有查看与生成任务功能,不能新增或修改。
b)标准角色明细页面显示当前角色对应的权限岗位信息。
c)标准角色明细页面的关联组织信息,显示当前权限岗位的关联组织信息(只有查询功能)。
a)左侧显示基础管理中的组织树形菜单,右侧显示与当前组织关联的权限岗位列表。只有查看与生成任务功能,不能新增或修改。
b)实际角色明细页面显示与当前实际岗位关联的人员信息(只有查看功能,不能新增或删除)。
实际角色明细页面的组织树形菜单根据“统一组织”策略来获取,右侧可以配置系统独有的实际角色信息。
开发完成后,需要对上述功能以及对应的接口进行测试,下面主要介绍具体的测试步骤。1.调整“应用配置”模块的“统一角色”策略,测试“标准角色”模块的角色信息是否正确。
2.调整“应用配置”模块的“统一角色”策略,测试“实际角色”模块的角色信息是否正确。
1.调整“应用配置”模块的“统一角色”策略,测试“授权管理”模块的标准角色和实际角色选择树形菜单显示是否正确。
1.对角色导入、角色分发和权限分发接口功能进行测试。
在学习IDM身份管理平台的过程中,自己的技术能力及意识形态等多方面都得到了很大提升,并且有很多感悟,现在将我在本工作中的收获总结如下。在完善IDM产品的过程中我学到很多东西,比如在开发过程中要养成先进行思考理清自己的思路然后再开发的习惯,当自己的思路清晰之后,在实现功能上也会变得顺畅很多,不会的技术点可以通过查询相关资料来解决,这样才能不断地提升自己学习思考的能力。IDM统一权限功能能够以用户身份为中心,解决企业当前权限管理面临的开通难、查询难、回收难和管理难的问题,实现企业业务权限的集中化、标准化、安全化,加速企业权限管理建设,降低对权限的管理与维护成本。IDM身份管理平台满足企业信息系统的统一用户管理、统一身份认证、统一授权管理以及安全审计的要求,能够实现各业务系统的统一登录和集中访问,实现用户身份和权限的统一认证与授权管理,为企业各业务系统提供统一的用户管理及认证服务。IDM能够迎合企业集团化统一管控需求,满足企业全面管理,解决企业信息孤岛问题,从安全、架构、管理、运维多层面进行整体规划、分布建设、实时同步、检查审计,在企业实现5A管控、集团统一管控、信息公司承建托管、分子公司管理的过程中落地实现人员、信息、流程的大集成,能为集团整合内部资源、推动战略执行、防范项目风险提供全面的数据支持。
