kibana集成内部账号_身份安全 | 企业内部身份数据同步解决方案介绍

0 1 背景介绍随着信息技术的发展和信息化建设的进步，各个企业在信息化建设上不断投入运行应用系统、商务平台、系统设备等，随着系统的加深投入，因不同时期为不同部门分别建设的各类信息化系统在技术架构与应用模式上差异明显，信息化建设逐渐遇到了新问题，例如由于系统众多出现用户管理混乱、越权访问、误操作、滥用、恶意攻击等现象，为解决这一问题，企业内部统一身份管理需求出现，许多人在统一身份管理项目与主数据管理项目上存在一定的理解误区，本文主要介绍统一身份管理与主数据建设的差异性，以及统一身份管理中身份数据同步的解决方案。

 

02 统一身份管理与主数据管理的差异统一身份管理项目主要实现统一用户管理、统一认证管理、统一权限管理、统一安全审计功能，达到多个应用之间的用户、认证统一管理、高效集成、安全监管，提升企业信息化应用能力。许多人在这个项目与4A项目、主数据管理项目上存在一定的理解误区，在讲述解决方案之前，先对这两个歧义进行说明。与4A概念的关系

4A是指：认证Authentication、账号Account、授权Authorization、审计Audit，中文名称为统一安全管理平台解决方案。即将身份认证、授权、审计和账号(即不可否认性及数据完整性)定义为网络安全的四大组成部分，从而确立了身份认证在整个网络安全系统中的地位与作用。

 

4A概念介绍-示意图

在软件项目中统一身份管理也被称作为4A项目，解决问题及实施方案包括4A中提到的内容，只不过很多时候对于不同用户的需求场景与个性化业务，会在4A实施内容范围上多实现一些功能，例如开发简单的工作台门户，展现系统集成成果或与不同的集成类平台产品结合，打造不同的解决方案等，加深项目的价值与作用。

与主数据管理的区别

主数据管理是解决企业经营中各类主数据在不同系统中的名称、编码等信息不一致现象，保证企业内主数据单一视图的准确性、一致性及完整性。两者在企业IT架构的层面、管理内容、功能、业务交互等方面都具备一定的差异。

对比类别	统一身份管理	主数据管理
架构层面	IT治理层面，注重技术架构	数据治理层面，注重业务、数据架构
管理内容	管理企业内部的用户、应用账号、角色	管理企业内部的组织、人员、岗位，客户、供应商等主数据
功能方面	具备统一身份认证功能	不具备统一身份认证功能，提供基础数据管理样例
业务交互	与信息中心人员进行交互	主要与业务人员进行交互，注重数据、业务的梳理

在企业IT架构方面，统一身份管理项目属于IT治理层面，注重技术架构的实现；主数据管理项目属于数据治理层面，注重业务、数据架构的实现，两者从不同层面、维度分别作为基础支撑为更高层次的服务治理、业务治理奠定基础。

在管理内容方面，统一身份管理企业内部的用户、应用账号、角色；主数据管理企业内部的组织、人员、岗位，除此之外还管理其它如：客户、供应商等主数据。

在功能方面，统一身份管理项目具备统一身份认证功能，弱化案例功能，很少或不预置管理案例；主数据管理不具备统一身份认证功能，提供基础数据管理样例。

在业务交互方面，统一身份管理主要与信息中心人员进行交互；主数据管理主要与业务人员进行交互，注重数据、业务的梳理。

0 3 企业内部身份数据同步解决方案介绍

统一用户管理主要为用户提供统一集中账号(用户/账号/角色)的管理与分发，包括账户间的状态记录、关联关系、角色授权等，确保用户账户使用和管理的安全性。

 统一用户管理的业务场景主要包括数据同步与数据分发，实现统一用户管理首先需要确定企业数据的管理维护者是哪个系统，通常以人力资源管理系统作为信息同步中信息的源头，提供用户/账号/角色的基本信息、职位关联信息、账号变动信息等同步至IDM，再由IDM将统一管理后的信息分发至相关系统。

最终通过统一用户管理的数据同步与数据分发实现当用户基本信息发生变动时，其它系统中的信息随之进行相应的变动处理，而不需要多方操作。

用户身份全生命周期管理-示意图

3.1、用户数据同步场景

用户数据同步部分通常由企业内部权威数据源提供变动信息，以获取数据源头的变动信息，对应的数据源系统按照统一同步接口标准提供全量或增量信息服务接口即可完成数据同步工作，同步的方式可以根据企业具体业务需求采用实时调用或定时轮询方式。

通常采用实时调用方式，即IDM统一身份管理平台提供变动信息的写入服务，数据源信息变动时，直接调用IDM自身服务即可；

 

实时数据同步-示意图

如集成系统无法进行实时调用，可采用定时轮询方式，定时获取数据源系统的变动信息写入数据库中间表，完成同步信息日志记录，之后从服务器读取该同步日志记录，将日志内变动信息同步写入IDM，生成对应的员工入转调离操作信息。

 

定时数据同步-示意图

3.2、用户数据分发场景

用户数据分发也是统一用户管理的重要步骤，顺序为数据源—IDM—各业务系统，具体为账户信息从数据源同步至IDM平台，IDM将用户数据信息进行加工后后分发给各业务系统。通常我们可以通过ESB企业服务总线创建用户数据分发流程，调用各业务系统提供的分发服务接口，实现用户数据信息的实时分发。

用户数据分发根据企业业务系统不同的情况、配合的程度分为采用不同的分发形式，常见的几种形式包括Restful API、中间表存储、数据库权限三种。Restful API形式主要由业务系统提供服务标准的API接口，供统一身份管理系统调用实现用户账号信息分发；中间表存储形式主要由业务系统提供数据库的中间表，通过ESB企业服务总线写入数据实现用户信息分发；数据库权限针对无法提供配合的业务系统，系统提供数据库操作权限，由ESB企业服务总线直接写入数据库操作。

 

用户数据分发-示意图

0 4 总结数据经济时代，数据治理、大数据分析等项目占据了企业内部建设的主要位置，一定程度上削弱了企业内部对统一身份的管理，统一身份管理项目做为企业信息化IT治理部分的基础，是每个企业信息化建设的必经之路，也会为后续信息化建设奠定基础，不与其它信息化建设手段冲突，作为“新基建”的实现手段同样应该被企业所重视。 往期 精彩回顾 零信任 | 零信任架构和访问控制模型ABAC 技术干货 | 遇见零信任——零信任框架

身份安全 | 互联网+政务安全体系建设

身份安全 | 零信任架构之重构IAM