馮 騏

（華東師范大學(xué)信息化辦公室，上海 20062）

0 引 言

校際間的數(shù)字化資源共享已經(jīng)成為必然趨勢，例如無線接入服務(wù)的跨域漫游認(rèn)證，教學(xué)資源的跨校共享等，基于這些應(yīng)用需求，形成了多個跨校認(rèn)證聯(lián)盟，例如上海市教育系統(tǒng)跨校身份認(rèn)證聯(lián)盟（31所高校和區(qū)縣），由華東師范大學(xué)、新疆師范大學(xué)、山西師范大學(xué)等組成的跨校聯(lián)盟試點等．隨著Shibboleth的版本不斷更新和跨校聯(lián)盟的進(jìn)一步擴(kuò)大，工作的重心主要集中在跨校認(rèn)證體系架構(gòu)的管理上，如何優(yōu)化管理、提高效率，成為眼下工作的重點．

1 跨校認(rèn)證技術(shù)組成

現(xiàn)有的這一套跨校認(rèn)證系統(tǒng)基于開源的Shibboleth技術(shù)構(gòu)建．

Shibboleth主要由三個部分組成：

（1）IDP（Identity Provider，身份提供者）

身份提供端：主要作用是向資源提供者提供用戶的屬性，以便使資源服務(wù)器根據(jù)其屬性對其訪問操作進(jìn)行授權(quán)和響應(yīng)．

（2）SP（Service Provider，資源提供者）

資源服務(wù)提供端，主要作用是響應(yīng)用戶的資源請求，并向該用戶所在的IDP查詢用戶的屬性，然后根據(jù)屬性作出允許或拒絕訪問資源的決策．

（3）WAYF（Where Are You From，認(rèn)證中心．Shibboleth 2．0之后更名為DS，即DiscoveryService，但是習(xí)慣上依然稱呼為WAYF）

圖1展示了目前跨校認(rèn)證系統(tǒng)的邏輯架構(gòu)．

圖1 跨校認(rèn)證邏輯圖

2 服務(wù)產(chǎn)品化對跨校認(rèn)證運維的借鑒

2006年，在IBM服務(wù)部門成立10周年的時候，IBM提出全面轉(zhuǎn)型“服務(wù)產(chǎn)品化”．經(jīng)過IBM多年的實踐，服務(wù)產(chǎn)品化概念已經(jīng)影響到服務(wù)行業(yè)的各個方面．服務(wù)產(chǎn)品化是通過改變服務(wù)的生產(chǎn)方式，把服務(wù)的生產(chǎn)過程變得像產(chǎn)品制造一樣，把服務(wù)的內(nèi)容分解，實現(xiàn)標(biāo)準(zhǔn)化，然后按照傳統(tǒng)產(chǎn)品市場的原則，把服務(wù)產(chǎn)品交付給客戶．服務(wù)產(chǎn)品化讓服務(wù)有標(biāo)準(zhǔn)，能夠被評估，改變了目前服務(wù)行業(yè)里一些過去無法解決的效率、成本、標(biāo)準(zhǔn)、定價以及評估等難題．

2．1 跨校認(rèn)證服務(wù)所面臨的困境

現(xiàn)有的上海市教育跨校認(rèn)證系統(tǒng)，其實質(zhì)上源于早年的一個科研項目．在不斷推廣并獲得用戶的好評后，如今的跨校認(rèn)證已經(jīng)成為覆蓋31所高校／區(qū)縣，提供10余種服務(wù)的跨校認(rèn)證共享，日訪問量近萬的龐然大物．而對這個龐然大物的服務(wù)支持，卻沒有跟上它增長的步伐．如今面臨以下若干問題．

2．1．1 跨校認(rèn)證系統(tǒng)部署不標(biāo)準(zhǔn)

跨校認(rèn)證系統(tǒng)是基于開源組件Shibboleth進(jìn)行構(gòu)建．其關(guān)鍵的IDP組件需要部署每個加盟的高校節(jié)點中，用于和高校自身的統(tǒng)一認(rèn)證系統(tǒng)對接．傳統(tǒng)的服務(wù)模式下，IDP組件的部署質(zhì)量取決于的實際部署的技術(shù)人員自身．不同的技術(shù)人員所部署的組件，所使用的服務(wù)器、操作系統(tǒng)、java環(huán)境、IDP組件的版本等都可能不同．部分情況下還可能針對某些高校的特殊情況進(jìn)行二次開發(fā)，而在技術(shù)人員發(fā)生流動后，這些二次開發(fā)的系統(tǒng)又缺乏針對性的維護(hù)．這些不標(biāo)準(zhǔn)的組件節(jié)點隨著整個跨校認(rèn)證系統(tǒng)的擴(kuò)大，極大的降低了運維的效率．

2．1．2 跨校認(rèn)證運維工作效率低

跨校認(rèn)證系統(tǒng)實質(zhì)上是連接用戶所在高校和用戶所訪問的業(yè)務(wù)系統(tǒng)的一個中間件．因此當(dāng)用戶發(fā)生登陸異常時，其面臨的一個困境即是：“我應(yīng)該向哪里報修？”．其所在高校的信息辦無法直接處理，其所訪問的業(yè)務(wù)系統(tǒng)亦無法直接處理．而跨校認(rèn)證系統(tǒng)本身并沒有直接面向用戶的服務(wù)窗口．因此一個用戶的故障通常需要層層轉(zhuǎn)交，最后到達(dá)技術(shù)支持者的手中，其服務(wù)效率顯然是很低的．

那如果用戶能夠直接面對技術(shù)人員呢？為了提高跨校認(rèn)證的服務(wù)質(zhì)量，在2014年新的跨校認(rèn)證的DS界面上，增加了技術(shù)支持者的郵箱．以便用戶在發(fā)送跨校認(rèn)證故障時能直接反饋到技術(shù)人員處．然后事實上技術(shù)人員收到的大量郵件均為與業(yè)務(wù)系統(tǒng)相關(guān)的咨詢，例如成績查詢、選課咨詢，等等，真正跨校認(rèn)證故障產(chǎn)生的報修卻少之又少．因此增加了大量的工作量的同時，反而在這些問題上，降低處理的效率（因為同樣需要轉(zhuǎn)交咨詢到具體的業(yè)務(wù)系統(tǒng)負(fù)責(zé)任人）．

2．1．3 跨校認(rèn)證運維人員負(fù)荷高

跨校認(rèn)證近年了推廣的力度在不斷加大．2013年一年間，所覆蓋的院校從23所增加到31所，所支持的業(yè)務(wù)系統(tǒng)也從4～5個增加到現(xiàn)在的將近10個．業(yè)務(wù)量的大幅度增加帶來的了更多的維護(hù)負(fù)擔(dān)．由于跨校認(rèn)證系統(tǒng)存在一定的技術(shù)門檻，因此這些負(fù)擔(dān)被集中到了少數(shù)幾個技術(shù)人員身上，有時甚至集中在1個人身上．事實上，負(fù)責(zé)維護(hù)的高校技術(shù)人員通常并非全職負(fù)責(zé)跨校認(rèn)證的工作，往往還要負(fù)責(zé)學(xué)校內(nèi)的其他工作，并且這些工作的優(yōu)先級在有些時候，往往還會排在跨校認(rèn)證之前．

跨校認(rèn)證系統(tǒng)還將面臨不斷的擴(kuò)容，面臨新的節(jié)點部署，新的業(yè)務(wù)系統(tǒng)對接支持．這些都會產(chǎn)生較高的工作量，與技術(shù)人員學(xué)校內(nèi)其他的工作量疊加后，最終產(chǎn)生了很高的工作負(fù)荷．

2．1．4 跨校認(rèn)證運維成效難評估

盡管跨校認(rèn)證已經(jīng)得到了極大的推廣，用戶體量已經(jīng)非常龐大，并且在許多應(yīng)用上已經(jīng)廣泛在使用．例如上海市的教育無線通，每天通過跨校認(rèn)證進(jìn)行無線跨校認(rèn)證的用戶數(shù)達(dá)三四千人．但這些統(tǒng)計數(shù)據(jù)都是孤立于每個業(yè)務(wù)系統(tǒng)自身，缺乏一個整體的針對跨校認(rèn)證系統(tǒng)的使用情況數(shù)據(jù)．難以對整個跨校認(rèn)證系統(tǒng)的使用現(xiàn)狀進(jìn)行一個評估和分析．

跨校認(rèn)證的運維中，每一次故障的保修，每一個新節(jié)點的申請和加入，每一個業(yè)務(wù)系統(tǒng)的跨校認(rèn)證對接，均沒有形成相應(yīng)的固定流程，亦沒有專門的記錄和文檔．因此雖然跨校認(rèn)證的運維負(fù)擔(dān)很高，卻無法對運維人員的工作量進(jìn)行量化的統(tǒng)計和評估，這無疑打擊了運維者的工作積極性．

2．2 跨校認(rèn)證服務(wù)的產(chǎn)品化

上文已經(jīng)描述，目前跨校認(rèn)證服務(wù)的困擾最大來源即是缺乏標(biāo)準(zhǔn)和由于不標(biāo)準(zhǔn)帶來的額外成本，以及缺乏評估．而這些都是服務(wù)產(chǎn)品化所擅長解決的問題．

跨校認(rèn)證服務(wù)的產(chǎn)品化，即是將目前的跨校認(rèn)證服務(wù)進(jìn)行規(guī)范和整合，打包為若干個標(biāo)準(zhǔn)化的產(chǎn)品，形成一套多個產(chǎn)品組合的跨校認(rèn)證解決方案，從而大幅度地提高跨校認(rèn)證的服務(wù)質(zhì)量和運維效率．

從跨校認(rèn)證的部署，運維和評估3個角度入手，我們組成以下3個跨校認(rèn)證產(chǎn)品．

· 跨校認(rèn)證接入組件（IDP）

· 跨校認(rèn)證監(jiān)控與分析平臺

下文將詳細(xì)描述這3個產(chǎn)品的具體組成和其中部分產(chǎn)品的應(yīng)用現(xiàn)狀．

3 跨校認(rèn)證產(chǎn)品

3．1 跨校認(rèn)證接入組件（IDP）

傳統(tǒng)的部署過程中，需要服務(wù)方和用戶方共同配合了完成整個系統(tǒng)的構(gòu)建．圖2展示了傳統(tǒng)部署模式下的工作流．

圖2 工作流圖

從圖2可見，大量的流程和時間，其實都消耗在了部署安裝前的協(xié)調(diào)準(zhǔn)備上．而打包后的產(chǎn)品——跨校認(rèn)證接入組件（IDP）則將解決這一問題．

基于標(biāo)準(zhǔn)產(chǎn)品的跨校認(rèn)證接入組件部署的工作流圖3所示．

昨天，唐小果跟爸媽去“唐家大院”拍攝一期關(guān)于古代大門的視頻。當(dāng)他們拍攝到一半的時候，遇到了一個賣糖人的老爺爺，他拿著一坨糖漿，一捏一揉，然后輕輕吹幾下，一拉一扯，一個惟妙惟肖的孫悟空糖人就做好了。

產(chǎn)品由表組成．

產(chǎn)品化的IDP組件帶來了以下3個優(yōu)點：

（1）產(chǎn)品內(nèi)容標(biāo)準(zhǔn)化

基于虛擬化的方式統(tǒng)一制作的模板，在正式打包進(jìn)產(chǎn)品前都經(jīng)過了嚴(yán)格的測試．因此無論在安全性、兼容性和穩(wěn)定性上都得到了保障，從而為所有的接入用戶均提供統(tǒng)一的標(biāo)準(zhǔn)化產(chǎn)品．

（2）產(chǎn)品響應(yīng)快速化

打包整合后的產(chǎn)品，使得服務(wù)方在接受到請求之后，即可直接向用戶提供產(chǎn)品，而無需協(xié)調(diào)用戶準(zhǔn)備一些底層環(huán)境．同時打包整合后的產(chǎn)品，使得技術(shù)人員只需要做極小的改動，即可完成部署．從而極大的提高了服務(wù)的相應(yīng)速度．

表1 跨校認(rèn)證接入組件組成

圖3 產(chǎn)品化后的工作流

（3）產(chǎn)品部署簡單化

由于打包的產(chǎn)品已經(jīng)完成基本的安裝和調(diào)試，最終的服務(wù)人員只需要針對具體不同的學(xué)校做少量的修改（例如修改域名、修改logo之類）．因此所需的技術(shù)門檻也大大地降低．較為繁瑣和重復(fù)的部署服務(wù)，可以有一般的技術(shù)人員完成，甚至可以外包．而核心技術(shù)人員只需要對產(chǎn)品進(jìn)行升級調(diào)優(yōu)，并發(fā)布新的版本即可．從而降低了IDP的部署難度和門檻，提高了工作效率．

在上海市跨校認(rèn)證最近新增的一些節(jié)點中，已經(jīng)使用了標(biāo)準(zhǔn)化IDP組件的部署方式，使得IDP組件的部署時間從過去的1周左右，下降至半天，效率提高了14倍．

3．2 跨校認(rèn)證運維服務(wù)

跨校認(rèn)證的運維，實質(zhì)上也是一種IT服務(wù)運維．因此很自然想到，要將其產(chǎn)品化和標(biāo)準(zhǔn)化，必須要應(yīng)用ITIL流程化的運維體系．

跨校認(rèn)證系統(tǒng)涉及幾十所高校和多個業(yè)務(wù)系統(tǒng)．在這樣松散的結(jié)構(gòu)里實現(xiàn)嚴(yán)格的ITIL流程顯然不現(xiàn)實．但是一些基本的流程和結(jié)構(gòu)需要確立，一些基本的角色層級需要形成．

服務(wù)層：面向用戶的服務(wù)窗口，接受所有請求（加盟申請，故障報修等），提供一線的支持；生成對應(yīng)的工單，協(xié)調(diào)二線的技術(shù)人員；跟蹤工單以了解事件的處理進(jìn)程；回訪用戶獲取確認(rèn)并終止事件；生成事件的報告．

技術(shù)層：根據(jù)一線提交的工單，提供二線的技術(shù)服務(wù)支持；

決策層：根據(jù)運維的運行狀況進(jìn)行作為決策依據(jù)和參考．對一些重大事件（節(jié)點加盟申請，重大故障事故等）進(jìn)行處理和協(xié)調(diào)工作．

圖4展示了基于ITIL流程下的跨校認(rèn)證事件處理流程圖．

在基于ITIL流程化的服務(wù)產(chǎn)品中，很容易就跨校認(rèn)證的運維工作量和工作效率進(jìn)行精確到人的評估和分析，形成對應(yīng)的獎懲機(jī)制，從而調(diào)動服務(wù)人員的積極性．通過對工單的追蹤和分析，能夠精確的了解跨校認(rèn)證目前的用戶體驗，從而為決策提供依據(jù)．

3．3 跨校認(rèn)證監(jiān)控與分析平臺

跨校認(rèn)證系統(tǒng)是一個分布式的松散結(jié)構(gòu)，因此在日志處理和系統(tǒng)監(jiān)控上先天存在不足．一方面，每個IDP服務(wù)器的日志都只保存在服務(wù)器本地，既有本地服務(wù)器空間存滿的風(fēng)險，也有日志存儲分散、日志僅能以文本方式展示、不易查詢分析等缺點．另一方面，傳統(tǒng)的系統(tǒng)監(jiān)控僅能監(jiān)控服務(wù)器的運作正常與否，無法檢測系統(tǒng)內(nèi)的IDP服務(wù)是否正常工作，無法第一時間感知到跨校認(rèn)證故障的發(fā)生．因此需要一個產(chǎn)品來對整個跨校聯(lián)盟內(nèi)的IDP服務(wù)進(jìn)行日志收集分析，實時監(jiān)控和告警，即“跨校認(rèn)證監(jiān)控和分析平臺”．

圖4 事務(wù)處理流程

該產(chǎn)品應(yīng)該能實現(xiàn)以下功能：

統(tǒng)一日志收集：系統(tǒng)要求能夠?qū)⒎植荚诟鞯氐膇dp服務(wù)器的log，進(jìn)行實時的收集儲存．

實時監(jiān)控和告警：系統(tǒng)要求能夠?qū)崟r監(jiān)控idp服務(wù)的運行狀態(tài)，并對影響跨校認(rèn)證的異常錯誤給出及時的告警（通過系統(tǒng)web提示和告警郵件的兩種方式）．

數(shù)據(jù)分析和挖掘：對跨校認(rèn)證采集的日志數(shù)據(jù)進(jìn)行提取分析處理，將其錄入數(shù)據(jù)庫．同時可對數(shù)據(jù)庫進(jìn)行分析和挖掘，提供跨校認(rèn)證系統(tǒng)使用情況的趨勢分析報告．

圖5為系統(tǒng)的結(jié)構(gòu)邏輯圖．

該產(chǎn)品的開發(fā)已經(jīng)完成demo版本．目前已經(jīng)在試運行中，并已經(jīng)得到了一些相當(dāng)有趣的數(shù)據(jù)．圖6展示了目前跨校認(rèn)證系統(tǒng)中不同業(yè)務(wù)系統(tǒng)的流量占比．

可以看到shec－wc－test2這個SP，即上海市教育無線通的流量占了絕大多數(shù)的比率．．

針對無線通的使用情況做進(jìn)一步的分析，能夠得到一些更有趣的信息

圖7從左至右分別展示華東師范大學(xué)、上海對外經(jīng)貿(mào)大學(xué)、上海交通大學(xué)醫(yī)學(xué)院、復(fù)旦大學(xué)的無線通流量．

圖8從左至右分別展示上海師范大學(xué)、上海大學(xué)、上海外國語大學(xué)的無線通流量．

可以看到，上海師范大學(xué)、上海大學(xué)和上海外國語大學(xué)的流量周期性非常明顯，而華東師范大學(xué)、上海對外貿(mào)易大學(xué)、上海交通大學(xué)醫(yī)學(xué)院和復(fù)旦大學(xué)的流量周期性則不太顯著．

圖5 系統(tǒng)邏輯圖

圖6 流量拼圖

為何用戶的跨校無線通的流量會在周末出現(xiàn)高峰，這是一個很值得研究的話題．一個可能的解釋是學(xué)生們在周末參加其他學(xué)?？缧］o修上課，但這又不足以解釋為何復(fù)旦的流量周期性不那么顯著．

總之，整合了日志數(shù)據(jù)后的跨校認(rèn)證監(jiān)控與分析平臺，能夠給與越來越多的數(shù)據(jù)供挖掘分析，從而不僅僅對跨校認(rèn)證的決策產(chǎn)生影響，甚至能夠?qū)Ω咝５慕虒W(xué)合作等方面的決策提供幫助．

4 總結(jié)與展望

基于Shibboleth的跨校認(rèn)證技術(shù)為數(shù)字化資源的共享提供了技術(shù)平臺，形成了由多所高校所共同組成的跨校聯(lián)盟．隨著跨校聯(lián)盟規(guī)模和范圍的擴(kuò)大，認(rèn)證系統(tǒng)的維護(hù)負(fù)擔(dān)也隨之增大．為了從根本上提高跨校認(rèn)證服務(wù)的運維質(zhì)量，本文提出了以產(chǎn)品化的概念來運維跨校認(rèn)證服務(wù)，并提出了3個跨校認(rèn)證產(chǎn)品，從產(chǎn)品的理念，技術(shù)組成和部分的應(yīng)用的情況都給予了介紹．在運維的標(biāo)準(zhǔn)和評估上，提供了充分的支持．

然而產(chǎn)品化的3大特點標(biāo)準(zhǔn)，定價，評估中，定價亦是其至關(guān)重要的一環(huán)．在商業(yè)的服務(wù)產(chǎn)品化中，甚至能夠產(chǎn)生準(zhǔn)確合理的定價才是其將服務(wù)產(chǎn)品化的最主要原因．產(chǎn)品本身就指的是能夠提供給市場，被人們使用和消費，并能夠滿足人們某種需求的東西．但是在現(xiàn)有的體制框架下，卻很難以市場化的方式對產(chǎn)品進(jìn)行定價，更難以將產(chǎn)品的價值轉(zhuǎn)換成合理的報酬，直接回饋給這些產(chǎn)品的生產(chǎn)團(tuán)隊．

本文所提供的3個跨校認(rèn)證產(chǎn)品中，跨校認(rèn)證接入組件（IDP）已經(jīng)正式運行，并取得了極好的效果．跨校認(rèn)證監(jiān)控和分析平臺正在試運行demo，也收到了一定的成效．跨校認(rèn)證運維服務(wù)，其基于ITIL的運維理念，已經(jīng)在筆者所在學(xué)校的信息化部門運行了2年，收效斐然．但是基于整個跨校認(rèn)證聯(lián)盟來組建基于ITIL的服務(wù)流程，還需要更多的協(xié)調(diào)和溝通．

圖7 流量圖1

圖8 流量圖2

總之，通過產(chǎn)品化的概念來運維跨校認(rèn)證服務(wù)能夠顯著的提高運維效率和質(zhì)量，并降低運維成本．本文提供的跨校認(rèn)證產(chǎn)品和理念，均經(jīng)過實際應(yīng)用的檢驗，適用于進(jìn)一步推廣．

［1］ 馮騏，張赫，劉莉，張增修．虛擬化跨校認(rèn)證IDP的部署［J］．中國教育網(wǎng)絡(luò)，2013，7：74－77．

［2］ IBM踐行“服務(wù)產(chǎn)品化”戰(zhàn)略：“企業(yè)IT安全”服務(wù)產(chǎn)品線全線出爐［J］．通信世界．2006，47：B19．

［3］ 方延峰．基于ITIL的高校IT服務(wù)管理系統(tǒng)的設(shè)計與實現(xiàn)［D］．長沙國防科技大學(xué)，2009．

［4］ 王朗．服務(wù)產(chǎn)品化對高校圖書館的借鑒價值［J］．圖書館論壇，2012，32（2）：29－32．

［5］ Shibboleth home page［EB－OL］．［2014－09－05］．http：／／shibboleth．net．

［6］ Shibboleth 2 home page［EB－OL］．［2014－09－05］．https：／／wiki．shibboleth．net／confluence／display／SHIB2／Home．

［7］ 百度百科．服務(wù)產(chǎn)品化［EB－OL］．［2014－09－05］．http：／／baike．baidu．com／view／10328882．htm．