基于VPN实现企业虚拟私有云的体系架构
丁靖宇 乐嘉锦 金耀辉 网络
 华北电网是国家电网公司“SG186”工程示范单位之一,在“十一五”期间,围绕公司“一强三优”发展战略,大胆应用先进信息技术,打造了SE核心信息系统。作为EAI分项目的统一帐号管理平台,采用oracle公司基于关系数据库OIM产品,经过历时3年的建设和推广,建立了华北电网的企业级权威用户身份源,实现了跨应用系统的帐号集中管理、管控,建立了统一的、一致的帐号管理流程。

统一帐号管理平台已经为华北电网提供了近4万个权威的身份帐号,接入了ERP、门户等核心业务系统,对员工入职、部门变动、职位变更和离退休等全生命周期的管理进行有效的管理。还提供了强大审计监控功能,有效地保护了公司用户帐号资源的安全。国网公司统一推行的目录服务,和国网目录数据同步方面则较为方便,同时统一认证也是其产品的一大亮点。

华北电网公司对2套产品进行深度整合,充分发挥两大系统各自的长处和优点,优化了业务配置。

1 整合方案

遵循国家电网“SG186”典型设计指导思想,选用成熟、开放的技术方案。设计遵循开放性、继承性、标准性、安全性、可靠性、拓展性的原则。

1.1方案框架蓝图

如图1所示,统一帐号管理平台作为用户帐号管理的唯一入口,针对员工入职、部门调动、岗位变更、离退休等生命周期进行管理,主要功能包括:帐号开通、禁用、启用、撤销、身份信息变更、密码修改等,同时对各应用系统用户帐号进行监控和审计;对已经接入的ERP、门户、邮件等12个业务系统,通过统一帐号管理平台直接管理,用户身份信息实时同步更新到目录服务中。对国网统一推行的协同办公、招投标等业务系统,目录服务已经有现成的帐号同步接口,通过统一帐号平台管理目录服务中用户资源信息,再由目录服务将帐号信息分发到各国网统一推行业务系统中。

 

 

图1整体框架图

1.2组织结构管理

华北电网入资系统中组织结构最多会出现六级,应入资部门的要求,统一帐号管理平台中目前只维护到四级组织单位,对五级、六级组织单位自动归并到四级组织。统一帐号平台周期性从入资系统进行同步组织,并在平台中自动维护。组织结构调整通常有以下几类:组织新建、合并、拆分、改名、删除(见图2)。

 

组织新增流程:

(1)统一帐号管理平台从入资系统同步组织,检测到新组织后将新组织按照目录服务要求的格式写入数据库中间表;

(2)目录服务从中间表中将组织同步到目录服务中。

组织修改/删除:

组织的修改及删除业务逻辑较复杂,在修改组织、删除组织之前需要将该组织下的用户调整到新组织下才能进行修改、删除操作。

(1)统一帐号管理平台从入资系统同步组织,检测到部门改名/删除;

(2)进行用户同步,将用户转移到新组织节点下;

(3)删除/修改该组织节点。

1.3用户身份信息同步

身份信息双向同步,华北电网用户身份信息由统一帐号权限管理平台向目录服务同步,国网用户帐号从目录服务同步到统一帐号管理平台(见图3)。

 

图3身份信息同步

统一帐号平台每天定时从入资系统同步用户信息,统一帐号管理平台将华北电网用户帐号同步到目录服务中;对于实时性要求较高的密码等用户信息则通过统一帐号管理平台直接操作目录服务,实时更新。

国网用户帐号由目录服务推送到中间表中,统一帐号管理平台从中间表中同步到统一帐号管理平台中。

1.4用户资源(帐号)开通

统一帐号权限管理平台作为华北电网用户资源开通的唯一入口,各应用系统不再提供开通系统帐号,变更用户密码的功能。鉴于华北电网实际情况,用户资源管理大致分为2类:华北电网自建业务系统资源、国网统推系统资源(见图4)。

 

图4用户资源(帐号〕管理

华北电网核心业务系统大都已经接入统一帐号管理平台,国网统推系统目前尚未接入。华北电网自建系统资源管理:

(1)统一帐号管理平台开通/变更ERP、门户等系统用户帐号;

(2)统一帐号管理平台同步更新目录服务资源树。

国网统推业务系统资源管理:

(1)统一帐号管理平台新增国网统推系统用户访问资源;

(2)用户资源状态更新到目录服务中;

(3)目录服务同步用户帐号信息到各业务系统。

1.5用户帐号梳理

用户帐号集中管理,需要各应用系统使用权威的唯一的全局帐号,目前系统推广程度不尽相同,各应用系统用户帐号需要全面梳理,以便跟全局帐号建立关联关系;

统一帐号管理平台提供华北电网用户统一帐号,各新接入系统梳理用户帐号,并按照统一帐号标准调整不符合规范的用户帐号。

2关键技术和难点

2. 1组织结构管理

华北电网作为特大型网省公司,组织结构调整、人员信息变动较多;保证统一帐号平台和目录服务组织结构的统一性和实时性从技术上和业务上均具有较高的难度。

2.1.1组织管理业务分析

华北电网入资系统是组织结构的权威源,组织结构调整主要有表1中的情况。

根据上述业务处理的分析,所有的业务处理,都可以归纳为对组织的新增、更名和撤销操作。

2. 1.2组织结构表设计

ACT表主要字段信息见表24

 

 
  2.1.3关健接口设计

在组织结构表ACT添加trigger,当ACT表新增或者修改时调用Java存储过程同步更新目录服务中组织结构。具体步骤如下:

 

2. 2用户帐号梳理和调整

各系统推广程度不一样,帐号规范各异,解决全局系统下的帐号统一性问题,是保证帐号、口令的单一化,是实现帐号的集中发放、监管的前提条件,也是实现跨系统业务整合的基础。帐号的梳理和调整难点在于涉及的业务部门和实施厂家较多,既要解决帐号统一性问题,又要将对用户的影响降到最低。帐号梳理的关键步骤见图5所示。

2. 2. 1分析校验

华北电网用户多,各系统帐号信息完整度不同,帐号的分析比对难度较大。所以尽可能从多渠道获取用户帐号的信息,从多个纬度进行分析,尽量避免跨单位、跨部门、跨应用帐号重名情况的出现;每梳理出一个版本,让业务部门进行确认、反馈,经过3轮的迭代梳理,确保帐号梳理结果准确无误。

2.2.2各接入系统帐号调整

用户帐号梳理完成后为每个接入系统提供一份帐号调整清单,调整前需要通知到相关用户,并提示用户尽快处理完系统中的待办任务。

点击图片查看大图

对组织进行操作的接口

表3对组织进行操作的接口

点击图片查看大图

帐号梳理流程图

图5帐号梳理流程图

3成功经验总结

3.1优化资源配置是系统整合的基本原则

在对2个系统特点进行仔细分析后,既充分利用统一帐号管理平台优秀的帐号管理能力又较好地利用了目录服务在目录级联和统一认证方面的优势。各取所长、优化了资源配置,真正做到了1 +1 >2。

3. 2规范、集中、统一的管理能够带来良好的用户体验

2套系统部分管理功能重叠,整合后为各系统提供了权威、唯一的用户帐号,避免了“证”出多门,对外提供了一个唯一的服务入口,既给用户带来了良好的使用体验,又有效减小了后期的运维投入。

3. 3在项目实施过程中让用户适度参与

在帐号梳理过程中用户参与了数据的确认和反馈,对系统有了一些认识。用户的适度参与,能够较好地保证数据的准确性,同时也能减小后期培训和宣贯的工作量。

3. 4选用成熟开放的技术方案

成熟的技术方案能避免技术不确定性带来的潜在风险,开放的方案在满足现有需求基础上还应考虑到系统的可扩展性,具备良好的伸缩性和扩展性,以适应未来3一5年内业务的不断发展及业务规模的扩张。

4结语

本方案对统一帐号管理和目录服务进行了整合,优化了企业资源,对华北电网核心业务系统用户帐号权限进行集中统一管理,减小了后期运维人力投入。既满足了国家电网公司“SG186"工程总体要求,又保持了技术领先,也必将推动华北电网信息系统管理水平更上新的台阶。

CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢