4A是指:认证Authentication、账号Account、授权Authorization、审计Audit,中文名称为统一安全管理平台解决方案。即将身份认证、授权、审计和账号(即不可否认性及数据完整性)定义为网络安全的四大组成部分,从而确立了身份认证在整个网络安全系统中的地位与作用。
4A概念介绍-示意图
在软件项目中统一身份管理也被称作为4A项目,解决问题及实施方案包括4A中提到的内容,只不过很多时候对于不同用户的需求场景与个性化业务,会在4A实施内容范围上多实现一些功能,例如开发简单的工作台门户,展现系统集成成果或与不同的集成类平台产品结合,打造不同的解决方案等,加深项目的价值与作用。
主数据管理是解决企业经营中各类主数据在不同系统中的名称、编码等信息不一致现象,保证企业内主数据单一视图的准确性、一致性及完整性。两者在企业IT架构的层面、管理内容、功能、业务交互等方面都具备一定的差异。
对比类别 | 统一身份管理 | 主数据管理 |
架构层面 | IT治理层面,注重技术架构 | 数据治理层面,注重业务、数据架构 |
管理内容 | 管理企业内部的用户、应用账号、角色 | 管理企业内部的组织、人员、岗位,客户、供应商等主数据 |
功能方面 | 具备统一身份认证功能 | 不具备统一身份认证功能,提供基础数据管理样例 |
业务交互 | 与信息中心人员进行交互 | 主要与业务人员进行交互,注重数据、业务的梳理 |
在企业IT架构方面,统一身份管理项目属于IT治理层面,注重技术架构的实现;主数据管理项目属于数据治理层面,注重业务、数据架构的实现,两者从不同层面、维度分别作为基础支撑为更高层次的服务治理、业务治理奠定基础。
在管理内容方面,统一身份管理企业内部的用户、应用账号、角色;主数据管理企业内部的组织、人员、岗位,除此之外还管理其它如:客户、供应商等主数据。
在功能方面,统一身份管理项目具备统一身份认证功能,弱化案例功能,很少或不预置管理案例;主数据管理不具备统一身份认证功能,提供基础数据管理样例。
在业务交互方面,统一身份管理主要与信息中心人员进行交互;主数据管理主要与业务人员进行交互,注重数据、业务的梳理。
统一用户管理主要为用户提供统一集中账号(用户/账号/角色)的管理与分发,包括账户间的状态记录、关联关系、角色授权等,确保用户账户使用和管理的安全性。
统一用户管理的业务场景主要包括数据同步与数据分发,实现统一用户管理首先需要确定企业数据的管理维护者是哪个系统,通常以人力资源管理系统作为信息同步中信息的源头,提供用户/账号/角色的基本信息、职位关联信息、账号变动信息等同步至IDM,再由IDM将统一管理后的信息分发至相关系统。
最终通过统一用户管理的数据同步与数据分发实现当用户基本信息发生变动时,其它系统中的信息随之进行相应的变动处理,而不需要多方操作。
用户身份全生命周期管理-示意图
用户数据同步部分通常由企业内部权威数据源提供变动信息,以获取数据源头的变动信息,对应的数据源系统按照统一同步接口标准提供全量或增量信息服务接口即可完成数据同步工作,同步的方式可以根据企业具体业务需求采用实时调用或定时轮询方式。
通常采用实时调用方式,即IDM统一身份管理平台提供变动信息的写入服务,数据源信息变动时,直接调用IDM自身服务即可;
实时数据同步-示意图
如集成系统无法进行实时调用,可采用定时轮询方式,定时获取数据源系统的变动信息写入数据库中间表,完成同步信息日志记录,之后从服务器读取该同步日志记录,将日志内变动信息同步写入IDM,生成对应的员工入转调离操作信息。
定时数据同步-示意图
用户数据分发也是统一用户管理的重要步骤,顺序为数据源—IDM—各业务系统,具体为账户信息从数据源同步至IDM平台,IDM将用户数据信息进行加工后后分发给各业务系统。通常我们可以通过ESB企业服务总线创建用户数据分发流程,调用各业务系统提供的分发服务接口,实现用户数据信息的实时分发。
用户数据分发根据企业业务系统不同的情况、配合的程度分为采用不同的分发形式,常见的几种形式包括Restful API、中间表存储、数据库权限三种。Restful API形式主要由业务系统提供服务标准的API接口,供统一身份管理系统调用实现用户账号信息分发;中间表存储形式主要由业务系统提供数据库的中间表,通过ESB企业服务总线写入数据实现用户信息分发;数据库权限针对无法提供配合的业务系统,系统提供数据库操作权限,由ESB企业服务总线直接写入数据库操作。
用户数据分发-示意图