本文总结了统一身份管理项目实践中的常见问题、项目解决方案、最佳实践输出等内容。
随着信息技术的发展和信息化建设的进步,各个企业在信息化建设上不断投入运行应用系统、商务平台、系统设备等,随着系统的加深投入,因不同时期为不同部门分别建设的各类信息化系统在技术架构与应用模式上差异明显,信息化建设逐渐遇到了新问题。
统一身份管理项目主要实现统一用户管理、统一认证管理、统一权限管理、统一安全审计功能,达到多个应用之间的用户、认证统一管理、高效集成、安全监管,提升企业信息化应用能力。
许多人在这个项目与4A项目、主数据管理项目上存在一定的理解误区,在讲述解决方案之前,先对这两个歧义进行说明。
1.与4A概念的关系
在软件项目中统一身份管理也被称作为4A项目,解决问题及实施方案包括4A中提到的内容,只不过很多时候对于不同用户的需求场景与个性化业务,会在4A实施内容范围上多实现一些功能,例如开发简单的工作台门户,展现系统集成成果或与不同的集成类平台产品结合,打造不同的解决方案等,加深项目的价值与作用。
2.与主数据管理的区别
主数据管理是解决企业经营中各类主数据在不同系统中的名称、编码等信息不一致现象,保证企业内主数据单一视图的准确性、一致性及完整性。
两者在企业IT架构的层面、管理内容、功能、业务交互等方面都具备一定的差异。
在企业IT架构中统一身份管理项目属于IT治理层面,注重技术架构的实现;主数据管理项目属于数据治理层面,注重业务、数据架构的实现,两者从不同层面、维度分别作为基础支撑为更高层次的服务治理、业务治理奠定基础。
在管理内容方面,统一身份管理企业内部的用户、群组、角色;主数据管理企业内部的组织、人员、岗位,除此之外还管理其它如:客户、供应商等主数据。
在功能方面,统一身份管理具备统一身份认证功能,弱化案例功能,很少或不预置管理案例;主数据管理不具备统一身份认证功能,提供基础数据管理样例。
在业务交互方面,统一身份管理主要与信息中心人员进行交互;主数据管理主要与业务人员进行交互,注重数据、业务的梳理。
二、常见问题分析
统一身份管理项目属于IT整合阶段的集成类问题,谈到集成类问题,企业信息化建设的历史原因不可避免,为解决运营管理问题由下至上无规划的建设,造成不同时期、不同厂商、不同技术、不同平台、不同规模的系统杂乱无序的构建,随着系统增多到一定程度,新一阶段的信息化问题一触即发,具体表现如下:
1.业务处理方面2.IT运维方面三、项目解决方案
对于统一身份管理项目主要使用IDM身份管理平台或4A系统进行解决,通常情况下除了使用单一产品,还会搭配集成套件中的其它产品更好的辅助完成项目,如ESB企业服务总线,共同打造统一身份管理项目。
1.方案总体介绍
具体包括IDM身份管理平台、ESB企业服务总线,方案体系架构如下图所示:
ESB企业服务总线在统一身份管理方案中主要作为提供数据同步接口、流程触发、实现数据间抽取、转换、同步、分发的工具。
2.具体实施步骤
统一身份管理项目的顺利落地不只是需要平台系统、规划方案,还需要完备项目实施方法论,例如前期1轮至2轮的需求调研、调研结束后的功能设计、对接标准规范的设计、对应场景需求的实施开发、最终成果的联测验收等一系列工作,根据不同需求及项目实施难以程度,通常周期在4-6个月区间。
(1)需求调研
需求调研是每个集成类项目必须要进行的一步,正确有效的需求调研是项目后续顺利实施开发,保障项目验收首要环节。
统一身份管理项目需求调研工作主要分为两轮,第一轮调研为企业内部情况调研,包括项目具体涉及信息化系统情况:厂商、语言、数据库;集成与单点配置系统需求、各部门涉及业务权限等内容的调研,确定统一用户的源头系统。
(2)功能设计
功能设计与需求调研是一脉相承的,两者具备一定的衔接性,在第一轮需求调研结束之后,就可以着手开始进行功能设计工作,期间要出具整体项目设计规格说明书,从实施设计中可以有效倒逼出需求是否正确或存在漏洞。
功能设计包括服务同步原型设计、集成标准设计等,对于统一身份管理项目需要制定并出具统一用户规范,包括:数据同步规范、数据分发规范;统一认证规范,如:JAVA认证、PHP认证、.NET认证等;如果项目中涉及到定制化开发功能,还需要根据需求出具客户定制化原型设计。
(3)实施开发
统一用户管理:
实现当用户基本信息发生变动时,其它系统中的信息随之进行相应的变动处理,而不需要多方操作。
1)用户同步
用户同步部分通常由数据源提供变动信息,使用ESB企业服务总线撰写同步流程,以获取数据源头的变动信息,对应的数据源系统按照统一同步接口标准提供全量或增量信息服务接口即可完成数据同步工作,同步的方式可以根据企业具体业务需求采用实时调用或定时轮询方式。
通常采用实时调用方式,即IDM统一身份管理平台提供变动信息的写入服务,数据源信息变动时,直接调用IDM自身服务即可;如集成系统无法进行实时调用,可采用定时轮询方式,由ESB企业服务总线创建定时同步流程,定时获取数据源系统的变动信息写入本地服务器,完成同步信息日志记录,之后从服务器读取该同步日志记录,将日志内变动信息同步写入IDM,生成对应的操作信息。
2)用户分发
用户分发也是统一用户管理的重要步骤,顺序为数据源—IDM—各业务系统,具体为账户信息从数据源同步至IDM并生成操作信息,IDM将操作信息打包成工作任务,这部分涉及到工作流审批,通常预置在身份管理平台中,由各环节负责人进行数据分发的审批操作。ESB企业服务总线创建分发流程,调用分发服务,实现数据信息的分发。
数据分发根据企业业务系统不同的情况、配合的程度分为采用不同的分发形式,常见的几种形式包括webService、中间表存储、数据库权限三种。
3)统一身份认证
在统一身份认证工作中,基于客户不同的系统语言及业务要求,需要支持多种技术语言的认证协议,常见的包括Java、PHP及.NET认证。
4)统一权限审计
(4)测试验收
测试是每个项目不可省去的环节,有效的测试可以及时发现功能问题,保证上线质量。
项目中需要多轮测试,包括单元测试、交叉测试、整体测试、业务联测。
如果测试无问题,即可进行项目的验收准备,召开项目验收会议,签署验收协议。
四、最佳实践输出
虽然统一身份管理项目不像主数据治理、业务流程再造项目那样具备严格的行业特征,需要实施人员具备很强的业务熟悉度与理解力,但并不代表统一身份管理项目就不需要对客户的业务场景进行深入了解,整理分析。
除使用高质的平台工具外,与客户之间的协调配合、充分调研、需求封闭、加强测试、快速上线等环节一个都不能少。
1.充分调研,避免反复
调研阶段一定要做到充分调研,最佳效果是在调研阶段对客户业务场景进行深入了解,将项目中所有已知或预测的问题全部清晰化,例如人员同步分发工作,对客户需要的数据源进行业务场景全面分析整理。
分析过程中除常规业务外,还要将特殊情况进行分析、调研,明确一人多岗、临时调派、退休/离职、二级单位等情况下,数据源如何分发至业务系统,相应出具集成标准规范。
充分的调研可以避免项目中出现成果与客户实际业务偏差,不得不临时调整对接业务的情况,保证项目的进度,避免中途反复。
2.封闭需求,防止蔓延
调研阶段一定要封闭用户的需求,并使其明确项目进行中需求变更或蔓延带来的影响。
项目中会遇到项目开展同时伴随着客户应用系统构建的情况,这就涉及是否将待建系统算在或不算在本次实施范围内的问题。
若不算在内,则需要封闭需求并与客户明确本期范围,防止后续需求蔓延。
3.暴露问题,及时求助
项目实施过程中,因为客户所用系统语言、架构、技术、处理业务模式、方法都不同,根据具体处理操作在统一身份认证实现上会有不同的形式,对于专业的产品及项目实施团队会在多个项目中沉淀出最佳实践及复用代码等方法,可以较为稳定的实现应对。
解决问题期间,项目现场人员在现场也需要推进其它事项、协调,为后面的测试、上线等工作打出余量空间。
4.加强测试,快速上线
测试验收是整个项目最重要的一环,其成果直接决定项目验收进度,测试不仅检查产品的功能和性能是否好用,还需要对业务的满足性进行测试,通过测试倒逼设计是否合理。
另外,评定项目是否成功或产生二期需求,很重要的一点是让客户是否真正的将系统用起来,使用的人越多说明系统对用户越重要,项目中要采用分阶段功能快速上线,保证实施2个月左右即可上线部分功能供用户使用。
5.项目复盘,沉淀积累
随着项目的展开,接触业务的增多,可以对项目中所用的技术及对接方式整理出来,不断通过方法,模式,代码的积累,逐渐加快项目交付速度及提高项目成功率。
数据经济时代,数据治理、大数据分析等项目占据了企业内部建设的主要位置,一定程度上削弱了企业内部对统一身份的管理,统一身份管理做为企业信息化IT治理部分的基础,是每个企业信息化建设的必经之路,也会为后续信息化建设奠定基础,不与其它信息化建设手段冲突,同样应该被企业所重视。
本文由@数通畅联原创发布于人人都是产品经理,未经许可,禁止转载。