上周帶領大家初步了解統(tǒng)一身份管理項目、一些常見問題分析身份安全 | 統(tǒng)一身份管理如何實現(xiàn)？實踐出真知！今天具體講講統(tǒng)一身份管理項目的落地實施步驟。

IAM統(tǒng)一身份管理平臺落地，不單單是系統(tǒng)集成這么簡單，完整的項目落地，包含前期的調(diào)研，需求確認、方案設計(規(guī)劃統(tǒng)籌結(jié)合客戶實際情況給出合理的方案)，具體功能實現(xiàn)、集成聯(lián)調(diào)、上線、以及平臺上線后的運營及推廣辦法，另外針對不同的行業(yè)，調(diào)研的側(cè)重點可能不一樣，都需要有針對性的設計相應的關(guān)注點、從系統(tǒng)調(diào)研結(jié)束，到功能需求的實現(xiàn)落地，到功能測試聯(lián)調(diào)，上線，試運行等一系列工作，通常這個項目持續(xù)周期在12—16周區(qū)間。

IAM項目實施分工合作界面主要如下：

IAM項目實施，清楚的理解客戶的需求是項目成功的關(guān)鍵，同樣需求調(diào)研是對接每一個應用系統(tǒng)的一個環(huán)節(jié)，需求得到清晰的理解，才能保證項目順利進行、直至成功的落地，從而保證項目達到客戶預期，完整的交付及驗收。

IAM項目的需求調(diào)研一般包含如下內(nèi)容：

基本信息：

管理流程、網(wǎng)絡環(huán)境、安全標準等IT現(xiàn)狀調(diào)研。

企業(yè)IT用戶總數(shù)大概多少（使用單點登錄系統(tǒng)的用戶總數(shù)）

企業(yè)IT用戶類型有哪些？（如內(nèi)部員工，供應商，合作商、外部用戶、互聯(lián)網(wǎng)用戶等）

企業(yè)是否有數(shù)據(jù)來源（如EHR、主數(shù)據(jù)管理等系統(tǒng)）？

企業(yè)數(shù)據(jù)來源是否有對外數(shù)據(jù)接口？

企業(yè)是否使用LDAP/AD域進行用戶帳號管理？

企業(yè)是否有用戶帳號管理制度、流程？（如用戶增加、修改、鎖定、刪除等）

企業(yè)是否有內(nèi)部門戶網(wǎng)站？如無，是否需要建設簡易內(nèi)部門戶？如有，是否需要集成單點登錄系統(tǒng)？

企業(yè)是否需要實現(xiàn)移動設備上的應用系統(tǒng)單點登錄？

企業(yè)需要什么類型的強認證方式？（如短信、二維碼、動態(tài)口令、數(shù)字證書或者其他等）

企業(yè)相關(guān)IT基礎設施描述（如數(shù)據(jù)中心數(shù)量，位置，是否有專線，專線帶寬多少等）

企業(yè)是否需要對應用系統(tǒng)的帳號進行集中自動化管理？（如統(tǒng)一創(chuàng)建、修改、禁用、注銷等）

詳細信息：

應用名稱、用戶數(shù)量、產(chǎn)品廠商、集成商、

使用用戶群（如內(nèi)部員工、供應商、經(jīng)銷商、外部人員、臨時人員等）、

用戶使用接入方式(B/S、CS、移動端)、自主開發(fā)/商務套件、能否進行改造、

部署環(huán)境（如單機房、多地機房、Saas應用）、

開發(fā)語言（系統(tǒng)開發(fā)語言，如Java，.Net，PHP等）、

數(shù)據(jù)庫類型和版本單機實例/多機集群架構(gòu)（例如系統(tǒng)考慮到高可用，同時安裝了多于一套的實例）、

系統(tǒng)用戶庫（如本地數(shù)據(jù)庫存儲、外部數(shù)據(jù)庫存儲、AD、外部LDAP存儲、本地LDAP存儲等）、

賬號命名規(guī)則（如使用工號、姓名全拼、姓名拼音首字母、隨機幾位字符等）、

密碼規(guī)則（如最少幾位數(shù)字、最少幾個字母、最小長度等）、

賬號增加（是否需要為用戶在應用系統(tǒng)上創(chuàng)建賬號）、

賬號修改（是否需要為用戶在應用系統(tǒng)上修改賬號相關(guān)信息）、

賬號禁用(是否需要為用戶在應用系統(tǒng)上禁用賬號)、

密碼同步(是否需要為用戶同步密碼到應用系統(tǒng))、

賬號開通方式（(紙質(zhì)、郵件、系統(tǒng)申請)）、

應用是否存在賬號管理接口（系統(tǒng)提供webservice接口實現(xiàn)賬號添加，刪除禁用，修改密碼功能）、

是否需要單點登錄（一次輸入賬號和密碼后，無需再次輸入即可登錄多個系統(tǒng)）等。

需求調(diào)研需要明確企業(yè)數(shù)據(jù)源及下游各個系統(tǒng)集成到何種程度，及下游應用系統(tǒng)可改造的程度，以及是否存在特殊的需求及場景。

在需求調(diào)研階段，需要輸出的文檔交付物：《用戶需求說明書》，同時可以先行準備應用系統(tǒng)的開發(fā)與集成標準規(guī)范，便于在第二輪的調(diào)研中更好的和客戶及集成廠商明確對接形式，各方職權(quán)，分工等。

項目的功能設計與前期的需求調(diào)研是環(huán)環(huán)緊扣，這兩部分是緊密相連，在客戶的需求明確后，接下來需要進入項目總體功能設計階段，在這期間要出具《項目設計規(guī)格說明書》。

方案設計階段通常涉及如下交付物：

• 《詳細設計說明書》

• 《數(shù)據(jù)庫設計說明書》

• 《接口設計說明書》

• 《技術(shù)標準與規(guī)范》

• 《數(shù)據(jù)庫設計規(guī)范》

• 《二次開發(fā)說明》

• 《數(shù)據(jù)同步及功能說明》

• 《安全管理文檔及規(guī)范》

在功能設計階段通常包括需求的原型設計、應用系統(tǒng)的集成方案等，對于統(tǒng)一身份管理項目需要制定并出具統(tǒng)一的規(guī)范，平臺提供系統(tǒng)接入標準，各應用系統(tǒng)遵循標準接入。

其中包括：

• 應用集成指南

• 系統(tǒng)架構(gòu)規(guī)范

• 數(shù)據(jù)定義規(guī)范

• 系統(tǒng)帳號供應接口規(guī)范

• 認證規(guī)范

統(tǒng)一用戶管理(簡稱IDM)主要為企業(yè)提供集中的用戶存儲目錄，其中包括上游數(shù)據(jù)源獲取，下下游數(shù)據(jù)供給，主要同步內(nèi)容包括，組織、崗位、用戶、角色等基本信息,通過集中的用戶信息供給，保證數(shù)據(jù)在下游業(yè)務系統(tǒng)的高度一致。

IDM和應用系統(tǒng)的集成，主要在數(shù)據(jù)源同步和下游系統(tǒng)數(shù)據(jù)提供，企業(yè)統(tǒng)一用戶管理最終的落地，首先需要明確數(shù)據(jù)源來自哪里，多數(shù)企業(yè)建立有自己的HR系統(tǒng)，建議企業(yè)以HR系統(tǒng)作為數(shù)據(jù)源，對于部分客戶存在多數(shù)據(jù)源的情況，IDM需要分情況對待，實現(xiàn)多數(shù)據(jù)源的對接，此時需要注意的是多數(shù)據(jù)源情況下要保證用戶性，對應企業(yè)暫無數(shù)據(jù)源的情況，也可以直接以IDM作為數(shù)據(jù)源，企業(yè)提供用戶、組織的基礎信息平臺上線初始化到IDM，后續(xù)所以的變更操作在IDM進行，由IDM把變更信息同步至各個應用系統(tǒng)。

打通企業(yè)上下游系統(tǒng)的對接，最終實現(xiàn)用戶全生命周期自動化管理，從而避免管理員過多的手工干預，在保證數(shù)據(jù)準確性的同時提高效率。

實現(xiàn)用戶的集中存儲是實現(xiàn)用戶統(tǒng)一認證的前提，平臺實現(xiàn)了用戶的”注冊”，即可開始對接用戶的統(tǒng)一認證工作，一般統(tǒng)一認證單點登錄基于OAuth、SAML、CAS等認協(xié)議，統(tǒng)一身份認證平臺（IAM）提供標準的接入方式（api、SDK等）為應用系統(tǒng)提供統(tǒng)一的認證方式和認證策略，通過應用系統(tǒng)的單點登錄集成，實現(xiàn)用戶一次認證，網(wǎng)內(nèi)通用，即：用戶經(jīng)過統(tǒng)一身份認證系統(tǒng)認證后，無需再次登錄即可訪問其具有訪問權(quán)限的應用系統(tǒng)。

應用系統(tǒng)的單點登錄集成過程中，不同的應用系統(tǒng)可能支持的協(xié)議不一樣，平臺需要提供多種協(xié)議便于應用系統(tǒng)接入，另外針對不同開發(fā)語言的也需要有相應的支持。

IDM身份管理提供了一個集中的存儲中心以日志的形式記錄用戶所做的所有操作。審計人員、安全管理人員可以隨時查看這些記錄用戶、系統(tǒng)和應用的日志信息。

IDM的審計功能可以記錄所有用戶帳號管理的行為，因此，企業(yè)用于準備和實行審計的人力、時間和財力都會有很大程度的減少，從而也會加快對審計人員的響應速度。

審計系統(tǒng)負責采集審計日志，進行格式化，并將審計日志存儲在數(shù)據(jù)庫中，供報表展現(xiàn)。

被審計的系統(tǒng)包括：SSO系統(tǒng)、IDM系統(tǒng)，以及應用系統(tǒng)。應用系統(tǒng)如果沒有針對安全時間的審計日志，可能需要對應用日志進行調(diào)整。

今后可制定應用審計日志規(guī)范，對于新開發(fā)應用，要求按照日志規(guī)范的格式輸出日志，以便快速方便的與審計系統(tǒng)集成。

審計系統(tǒng)將每條審計日志解析成如下字段：

1）Who：誰

2）What：什么事件

3）On What：在什么設備

4）When：什么時間

5）Where：在哪里：

6）Where From：從哪里

7）Where To：到哪里

需求功能開發(fā)完成，往往伴隨的只是開發(fā)人員自測完畢，此時還需要測試團隊的介入，進行專業(yè)全流程的測試，完整的測試是對交付項目質(zhì)量一個驗證，有效的測試可以及時發(fā)現(xiàn)前期需求功能實現(xiàn)是否存在問題，嚴謹?shù)臏y試，才能保證項目上線質(zhì)量。

項目中的測試需要多輪測試，包括單元測試、整體測試、業(yè)務聯(lián)測及UAT測試、性能測試。

單元測試通常為開發(fā)階段開發(fā)人員最功能自行測試，檢測邏輯、代碼、功能是否合理、可用；

整體測試（全流程）是把完整的客戶業(yè)務場景進行串聯(lián)，從整體應用環(huán)境上進行測試，看功能是否貫穿滿足客戶業(yè)務；

業(yè)務聯(lián)測（UAT）需要客戶方業(yè)務人員共同參與，模擬真實業(yè)務場景，最終驗證是否具備上線驗收資格，需要得到客戶的簽字確認。

雖然統(tǒng)一身份管理項目不像主數(shù)據(jù)治理、業(yè)務流程再造項目那樣具備嚴格的行業(yè)特征，需要實施人員具備很強的業(yè)務熟悉度與理解力，但并不代表統(tǒng)一身份管理項目就不需要對客戶的業(yè)務場景進行深入了解，整理分析。

除使用高質(zhì)的平臺工具外，與客戶之間的協(xié)調(diào)配合、充分調(diào)研、需求封閉、加強測試、快速上線等環(huán)節(jié)一個都不能少。

項目啟動之后，做好需求調(diào)研準備工作，需求調(diào)研計劃準備（調(diào)研問卷模版、調(diào)研方式、時間計劃）充分，主要包括對客戶行業(yè)背景，項目痛點，項目范圍，邊界及客戶的期望進行深入了解，將項目中客戶的需求清晰化，例如應用系統(tǒng)集成是否實現(xiàn)賬號統(tǒng)一管理和單點登錄兩部分，應用系統(tǒng)對于數(shù)據(jù)同步的要求是全員同步還是部分用戶同步。

在需求確認過程中除了客戶的常規(guī)的業(yè)務場景之外，特殊業(yè)務場景也需要明確，例如客戶是否存在一人多組織，多角色、多崗位等情況，用戶離職返聘賬號是否新開還是沿用之前的賬號等等。

充分細致的需求調(diào)研可以避免后續(xù)項目需求的擴大，甚至出現(xiàn)落地效果與客戶實際業(yè)務存在偏差，進一步再次調(diào)整對接。

在需求調(diào)研階段對客戶的需求，項目的范圍、邊界進行鎖定，在項目進行正式實施前必須和客戶明確接下來項目落地的范圍，該過程需要得到客戶的確認（簽字、郵件等形式）如果對于客戶集成范圍存在待建系統(tǒng)，則需要與客戶明確相關(guān)風險，明確本期范圍，防止后續(xù)需求蔓延擴散，保證項目交付不超期。

在實際項目實施落地過程中，會存在各種各樣的問題/風險，例如客戶系統(tǒng)無法改造，、架構(gòu)技術(shù)等等，不同的情況，對應統(tǒng)一身份管理系統(tǒng)來說面臨的解決辦法存在不同形式，對于實施交付團隊而言需要在平時的項目中沉淀出實踐及復用代碼等方法，可以較為穩(wěn)定的實現(xiàn)應對。

如果是由于產(chǎn)品層面或難以實現(xiàn)的需求，而客戶需要快速上線，在項目過程中提前暴露出來，不管是實施過程中技術(shù)，商務問題都需要盡早暴露出來，請求相關(guān)技術(shù)人員，商務支持協(xié)助。

測試是對開發(fā)人員交付物質(zhì)量的檢驗，測試的結(jié)果決定了項目上線節(jié)點，測試不僅僅是對產(chǎn)品、功能、性能方面的驗證，更是對客戶需求把握的考量，需要對需求、業(yè)務場景深刻理解。

對應測試過程中風險的問題，及時的暴露出來，防止后續(xù)上線期間因處理測試出來的問題影響上線進度。

測試意味著對項目質(zhì)量負責，客戶是否愿意繼續(xù)二期，其中重要的一方面是源自于對系統(tǒng)質(zhì)量的信任度。

統(tǒng)一身份管理項目落地交付，在整個項目中或多或少都會遇到問題，項目組一定要及時總結(jié)，并且定期召開項目復盤會議，進行相關(guān)的分享交流，沉淀項目過程中經(jīng)驗和教訓。