馮　磊,王　楷,胡美慧,姚　斐（.國網(wǎng)新疆電力公司信息通信公司,烏魯木齊　830000;　.四川中電啟明星信息技術(shù)有限公司,成都　60000）

?

淺談統(tǒng)一權(quán)限管理平臺

馮磊1,王楷1,胡美慧1,姚斐2
（1.國網(wǎng)新疆電力公司信息通信公司,烏魯木齊830000;2.四川中電啟明星信息技術(shù)有限公司,成都610000）

摘 要：隨著互聯(lián)網(wǎng)的迅猛發(fā)展以及internet技術(shù)的廣泛應(yīng)用，加快企業(yè)信息化建設(shè)變得尤為迫切。目前，國內(nèi)信息化程度較高的行業(yè)紛紛啟動并實施了統(tǒng)一權(quán)限管理系統(tǒng)的建設(shè)。本文通過建設(shè)的統(tǒng)一權(quán)限管理平臺，從而能夠更加靈活、迅速的實現(xiàn)身份權(quán)限管理需求，提升公司身份權(quán)限管控水平，降低身份安全控制風(fēng)險。

關(guān)鍵詞：系統(tǒng)架構(gòu)；統(tǒng)一權(quán)限；管理平臺

0　引言

應(yīng)用統(tǒng)一權(quán)限管理平臺提高權(quán)限的集中管理，進(jìn)一步加快各業(yè)務(wù)系統(tǒng)之間的信息共享與融合，可以使信息資源重復(fù)利用，同時為業(yè)務(wù)功能組件化管理提供權(quán)限服務(wù)支撐，提高業(yè)務(wù)應(yīng)用及分析決策能力，避免了在權(quán)限調(diào)整過程中存在用戶權(quán)限放大的隱患。加快統(tǒng)一權(quán)限管理平臺的建設(shè)，以確保系統(tǒng)內(nèi)人員、組織機(jī)構(gòu)數(shù)據(jù)的一致性，利用權(quán)限分析檢測功能，對人員權(quán)限進(jìn)行全面監(jiān)控與合規(guī)性檢測，通過安全、高效的數(shù)據(jù)同步技術(shù)、提高調(diào)整效率。

1　統(tǒng)一權(quán)限平臺

統(tǒng)一權(quán)限平臺架構(gòu)。統(tǒng)一權(quán)限管理系統(tǒng)包括統(tǒng)一身份、統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)與安全審計四個核心功能模塊，實現(xiàn)人員身份管理、組織機(jī)構(gòu)管理、授權(quán)管理、合規(guī)性管理、安全審計等模塊功能，實現(xiàn)統(tǒng)一管理、流程規(guī)范、過程受控、備案審查的目的。整體架構(gòu)如圖1所示：

2　統(tǒng)一權(quán)限平臺技術(shù)支撐

2.1分布式緩存

統(tǒng)一權(quán)限管理平臺在系統(tǒng)緩存方面采用了memcached分布式緩存技術(shù)，客戶端的分布式設(shè)計成集群模式，客戶端集群由多個客戶端節(jié)點組成，應(yīng)用程序在保存數(shù)據(jù)時先通過分布式算法獲取到某一客戶端節(jié)點，客戶端節(jié)點通過內(nèi)部算法求出需存入的緩存服務(wù)器節(jié)點，同時將存入對象放入異步同步線程池中，同步給集群中的其它客戶端節(jié)點。

具體如下：

（1）數(shù)據(jù)緩存通過內(nèi)存緩存、磁盤緩存作為存儲介質(zhì)，通過同步、分片、路由實現(xiàn)靈活的集群、數(shù)據(jù)冗余。

（2）系統(tǒng)數(shù)據(jù)緩服務(wù)提供統(tǒng)一的緩存訪問接口API，接口支持以RESTful方式訪問。

（3）數(shù)據(jù)緩存提供基于Web的配置、管理、監(jiān)控界面。

（4）平臺通過提供LRU（Least Recently Used，最近最少使用算法）、LFU（Least Frequently Used ，最不經(jīng)常使用算法）和FIFO（First Input First Output，先入先出算法）等緩存策略及時清理過期緩存項目。

（5）數(shù)據(jù)緩存套件服務(wù)于系統(tǒng)的其他所有模塊，數(shù)據(jù)訪問層包含數(shù)據(jù)緩存服務(wù)的API。

2.2SSO認(rèn)證

統(tǒng)一權(quán)限管理平臺主要采用單點登陸認(rèn)證技術(shù)（Single Sign On，SSO），通過使用單點登陸，用戶登陸門戶后，可直接訪問相關(guān)業(yè)務(wù)平臺，在身份憑證有效期內(nèi)，也不需要再次進(jìn)行認(rèn)證，提高了系統(tǒng)的易用性、安全性和穩(wěn)定性。在系統(tǒng)服務(wù)器上，通過部署SSO認(rèn)證包，實現(xiàn)即裝即用，具有很強(qiáng)的靈活性，并且可以精確記錄用戶的日志等，對后續(xù)業(yè)務(wù)系統(tǒng)擴(kuò)展有良好的兼容性。

單點登陸的具體步驟如下：（1）登陸系統(tǒng)平臺后，從登陸認(rèn)證結(jié)果中獲取相關(guān)用戶id；（2）由用戶id映射不同應(yīng)用系統(tǒng)的用戶賬號；（3）最后用映射后的賬號訪問相應(yīng)的業(yè)務(wù)系統(tǒng)。

3　統(tǒng)一權(quán)限平臺與業(yè)務(wù)系統(tǒng)集成

統(tǒng)一權(quán)限與業(yè)務(wù)系統(tǒng)集成邏輯架構(gòu)。由統(tǒng)一權(quán)限系統(tǒng)提供統(tǒng)一的登錄認(rèn)證模塊，訪問業(yè)務(wù)系統(tǒng)若發(fā)現(xiàn)未登錄則會跳轉(zhuǎn)到統(tǒng)一權(quán)限的登錄頁面，登錄認(rèn)證后返回用戶訪問的業(yè)務(wù)系統(tǒng)的頁面。統(tǒng)一權(quán)限是相關(guān)權(quán)限數(shù)據(jù)在統(tǒng)一權(quán)限系統(tǒng)中維護(hù)，正向同步到業(yè)務(wù)系統(tǒng)中，常用同步范圍如對用戶、業(yè)務(wù)組織、業(yè)務(wù)角色分組、菜單的新增、刪除、修改業(yè)務(wù)角色的權(quán)限分配、業(yè)務(wù)角色分配人員等。圖2為統(tǒng)一權(quán)限與業(yè)務(wù)系統(tǒng)集成邏輯架構(gòu)：

4　結(jié)束語

本文針對統(tǒng)一權(quán)限系統(tǒng)從系統(tǒng)架構(gòu)、技術(shù)支撐、與業(yè)務(wù)系統(tǒng)集成方式進(jìn)行了介紹和分析。通過建設(shè)統(tǒng)一權(quán)限管理平臺，加強(qiáng)企業(yè)權(quán)限的集中、統(tǒng)一、精益和高效的管理，進(jìn)一步提升對企業(yè)內(nèi)組織、人員、賬號、權(quán)限的管控能力，加強(qiáng)了對資源的共享。

作者簡介：馮磊（1983-），男，河南獲嘉人，碩士，國網(wǎng)新疆電力公司信息通信公司專責(zé)，門戶、OA及統(tǒng)一權(quán)限系統(tǒng)。

DOI:10.16640/j.cnki.37-1222/t.2016.03.166