通過建設(shè)一套統(tǒng)一身份認(rèn)證的系統(tǒng)，將用戶的登錄入口進(jìn)行統(tǒng)一。企業(yè)用戶只需要知道一個(gè)地址，一套用戶名口令，進(jìn)行一次認(rèn)證，即可實(shí)現(xiàn)所有應(yīng)用集中訪問，可大大的提升用戶的使用體驗(yàn)。

那么我們回過頭來想一想，既然用戶的訪問入口進(jìn)行了統(tǒng)一，那么從架構(gòu)上來看，要是這個(gè)統(tǒng)一的入口白旗高高掛起、歇菜了，那豈不是所有的用戶都訪問不了？

上述統(tǒng)一認(rèn)證系統(tǒng)的故障場景，也正是在前期技術(shù)方案交流過程中，大多數(shù)客戶都在問的問題：

1、統(tǒng)一身份認(rèn)證系統(tǒng)本身架構(gòu)如何設(shè)計(jì)，以保障統(tǒng)一入口的高可用？

2、當(dāng)系統(tǒng)短時(shí)間內(nèi)無法訪問的情況下，關(guān)鍵業(yè)務(wù)系統(tǒng)如何保障業(yè)務(wù)訪問的連續(xù)性？

本篇文章專門針對(duì)客戶提出的兩個(gè)問題，從系統(tǒng)本身以及業(yè)務(wù)系統(tǒng)層面兩個(gè)不同的角度對(duì)上述問題進(jìn)行分析解答。

首先，針對(duì)統(tǒng)一認(rèn)證系統(tǒng)的高可用架構(gòu)設(shè)計(jì)，我們主要介紹三種方案：

傳統(tǒng)高可用架構(gòu)

高可用架構(gòu)設(shè)計(jì)-示意圖

傳統(tǒng)高可用架構(gòu)設(shè)計(jì)，主要從三個(gè)方面解決統(tǒng)一身份認(rèn)證系統(tǒng)的高可用問題：

● 應(yīng)用服務(wù)集群部署架構(gòu)：

統(tǒng)一身份認(rèn)證系統(tǒng)作為用戶的統(tǒng)一且的認(rèn)證入口，同時(shí)還會(huì)承擔(dān)所有用戶的大量的請(qǐng)求。為解決應(yīng)用服務(wù)器的單點(diǎn)故障問題，我們可以通過增加應(yīng)用服務(wù)器，進(jìn)行集群部署。同時(shí)，多臺(tái)服務(wù)器同時(shí)提供服務(wù)，可以降低單臺(tái)應(yīng)用服務(wù)器所承受的服務(wù)壓力，提高系統(tǒng)的服務(wù)性能，提升用戶的訪問速度。

應(yīng)用服務(wù)器前面部署負(fù)載均衡服務(wù)器調(diào)度用戶請(qǐng)求，根據(jù)分發(fā)策略將請(qǐng)求分發(fā)到多個(gè)應(yīng)用服務(wù)器節(jié)點(diǎn)。

當(dāng)系統(tǒng)的性能達(dá)到瓶頸時(shí)，也可以采用橫向擴(kuò)展應(yīng)用服務(wù)器的方式進(jìn)行性能擴(kuò)容。

小知識(shí)：

常用的負(fù)載均衡的選擇上，通常有硬件及軟件兩種方案：

? 硬件方案，價(jià)格比較昂貴，通常有F5、Redware等硬件產(chǎn)品；

? 軟件方案，通常使用LVS（Linux Virtual Server）、HAProxy、Nginx等方式，其中LVS工作于四層網(wǎng)絡(luò)，HAProxy可工作于四層及七層網(wǎng)絡(luò)，Nginx工作于七層網(wǎng)絡(luò)，版的Nginx（1.9版本后）加入了四層網(wǎng)絡(luò)的支持；

● 負(fù)載均衡HA部署架構(gòu)：

從以上應(yīng)用服務(wù)集群部署架構(gòu)上來看，雖然統(tǒng)一認(rèn)證應(yīng)用服務(wù)已實(shí)現(xiàn)了集群部署，多臺(tái)服務(wù)器提供服務(wù)避免了單點(diǎn)故障的問題。但是負(fù)載均衡服務(wù)同樣面臨著單點(diǎn)故障的問題，如負(fù)載均衡服務(wù)出現(xiàn)問題，所有用戶依然無法正常訪問。

所以，對(duì)負(fù)載均衡設(shè)備進(jìn)行HA高可用部署，同樣顯得很有必要：

通過將負(fù)載均衡服務(wù)進(jìn)行HA高可用部署，當(dāng)當(dāng)前提供服務(wù)的負(fù)載均衡服務(wù)出現(xiàn)故障時(shí)，可自動(dòng)將服務(wù)切換到熱備的均衡負(fù)載設(shè)備上，保障系統(tǒng)不間斷的提供服務(wù)。

● 數(shù)據(jù)服務(wù)集群部署架構(gòu)：

統(tǒng)一身份認(rèn)證系統(tǒng)的數(shù)據(jù)庫，這也是必須需要解決且關(guān)鍵的一環(huán)，對(duì)數(shù)據(jù)庫服務(wù)進(jìn)行集群部署，即可解決數(shù)據(jù)服務(wù)單點(diǎn)故障的問題。

在數(shù)據(jù)庫的集群部署上，根據(jù)不同的數(shù)據(jù)庫產(chǎn)品，同樣有著不同的集群技術(shù)方案，以下列舉以下主流的幾種數(shù)據(jù)庫的集群方案：

■ Oracle數(shù)據(jù)庫：采用共享存儲(chǔ)實(shí)現(xiàn)RAC集群方案，數(shù)據(jù)存放在一個(gè)共享存儲(chǔ)中，多個(gè)數(shù)據(jù)節(jié)點(diǎn)同時(shí)操作數(shù)據(jù)；

■ MySQL數(shù)據(jù)庫：可采用主主復(fù)制、主備復(fù)制模式，數(shù)據(jù)放在各自服務(wù)器上，通過配置的主主復(fù)制、主備復(fù)制模式實(shí)現(xiàn)數(shù)據(jù)文件的同步；

■ DB2數(shù)據(jù)庫：可提供HADR、pureScale等部署技術(shù)，其中HADR技術(shù)為雙活節(jié)點(diǎn)的部署模式，通過數(shù)據(jù)庫日志復(fù)制的方式實(shí)現(xiàn)節(jié)點(diǎn)間的數(shù)據(jù)同步，pureScale技術(shù)則為多服務(wù)節(jié)點(diǎn)+共享存儲(chǔ)的部署模式；

上述傳統(tǒng)架構(gòu)設(shè)計(jì)，企業(yè)可以通過橫向擴(kuò)展的方式進(jìn)行性能擴(kuò)容，可以滿足大多數(shù)企業(yè)的統(tǒng)一身份認(rèn)證系統(tǒng)建設(shè)需要。

微服務(wù)部署架構(gòu)

從架構(gòu)上來看，上述設(shè)計(jì)是基于傳統(tǒng)的部署方案進(jìn)行架構(gòu)設(shè)計(jì)。當(dāng)需要對(duì)統(tǒng)一身份進(jìn)行版本發(fā)布時(shí)，往往是動(dòng)一發(fā)牽全身，每次發(fā)布都需要需要發(fā)布的時(shí)間窗口，并提前對(duì)用戶進(jìn)行通知。

這個(gè)問題可通過的微服務(wù)架構(gòu)得到緩解：

首先，通過對(duì)統(tǒng)一身份認(rèn)證的服務(wù)模塊分拆為不同的微服務(wù)，包括：

? SSO模塊：提供統(tǒng)一認(rèn)證服務(wù)

? Selfcare模塊：提供用戶自助服務(wù)

? IDM模塊：提供身份管理服務(wù)

? Audit模塊：提供安全審計(jì)服務(wù)

? Admin Console模塊：提供后臺(tái)管理服務(wù)

同時(shí)，后端的身份認(rèn)證服務(wù)，通過API網(wǎng)關(guān)對(duì)外發(fā)布，并在API網(wǎng)關(guān)上實(shí)現(xiàn)身份認(rèn)證服務(wù)相關(guān)API的權(quán)限管控，保證系統(tǒng)安全性。

異地災(zāi)備部署架構(gòu)

前面介紹的高可用部署架構(gòu)，足以滿足中小企業(yè)對(duì)統(tǒng)一身份認(rèn)證系統(tǒng)建設(shè)的需要。

但針對(duì)規(guī)模較大的集團(tuán)類型企業(yè)，需要考慮建設(shè)異地災(zāi)備中心的部署架構(gòu)，以保障切換到災(zāi)備中心時(shí)業(yè)務(wù)訪問的連續(xù)性。

異地災(zāi)備部署架構(gòu)-示意圖

我們建議異地災(zāi)備中心部署同等架構(gòu)的統(tǒng)一身份認(rèn)證系統(tǒng)，底層數(shù)據(jù)服務(wù)采用以下同步機(jī)制：

? Oracle數(shù)據(jù)庫：采用共享存儲(chǔ)實(shí)現(xiàn)RAC集群方案，數(shù)據(jù)存放在一個(gè)共享存儲(chǔ)中，多個(gè)數(shù)據(jù)節(jié)點(diǎn)同時(shí)操作數(shù)據(jù)；

? MySQL數(shù)據(jù)庫：可采用主主復(fù)制、主備復(fù)制模式，數(shù)據(jù)放在各自服務(wù)器上，通過配置的主主復(fù)制、主備復(fù)制模式實(shí)現(xiàn)數(shù)據(jù)文件的同步；

? DB2數(shù)據(jù)庫：可提供HADR、pureScale等部署技術(shù)，其中HADR技術(shù)為雙活節(jié)點(diǎn)的部署模式，通過數(shù)據(jù)庫日志復(fù)制的方式實(shí)現(xiàn)節(jié)點(diǎn)間的數(shù)據(jù)同步；

接下來，我們來介紹為什么關(guān)鍵業(yè)務(wù)系統(tǒng)要做應(yīng)急逃生設(shè)計(jì)，以及如何做應(yīng)急逃生？

為什么要做應(yīng)急逃生設(shè)計(jì)？

統(tǒng)一身份認(rèn)證系統(tǒng)通過上述高可用架構(gòu)設(shè)計(jì)，已實(shí)現(xiàn)系統(tǒng)本身架構(gòu)設(shè)計(jì)層面的冗余備份，在非情況下足以保障業(yè)務(wù)系統(tǒng)訪問的連續(xù)性。

那為什么業(yè)務(wù)系統(tǒng)還要做應(yīng)急逃生設(shè)計(jì)呢？

應(yīng)急逃生，顧名思義，就是要解決統(tǒng)一身份認(rèn)證系統(tǒng)不可用的情況，用戶能夠繞過統(tǒng)一身份認(rèn)證系統(tǒng)不間斷訪問業(yè)務(wù)。

應(yīng)急逃生設(shè)計(jì)的初衷主要是兩個(gè)原因：

一是為滿足特定行業(yè)，特定場景下的關(guān)鍵業(yè)務(wù)系統(tǒng)連續(xù)訪問的要求，比如銀行、機(jī)場、證券等行業(yè)生產(chǎn)類的核心業(yè)務(wù)系統(tǒng)；

二是從源頭上解決用戶統(tǒng)一訪問入口前，業(yè)務(wù)系統(tǒng)最關(guān)注的核心訴求：業(yè)務(wù)系統(tǒng)如何切換回原登錄認(rèn)證入口進(jìn)行認(rèn)證；

如何做應(yīng)急逃生設(shè)計(jì)？

統(tǒng)一身份認(rèn)證系統(tǒng)要實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)系統(tǒng)的應(yīng)急逃生，需要從總體設(shè)計(jì)方案上實(shí)現(xiàn)以下要素：

? 業(yè)務(wù)系統(tǒng)切換回原登錄入口，用戶使用什么樣的密碼進(jìn)行認(rèn)證？

? 用戶切換回本地認(rèn)證時(shí)，原系統(tǒng)用戶的應(yīng)急逃生密碼是否需要集中管理？

? 統(tǒng)一身份認(rèn)證系統(tǒng)的認(rèn)證體系，是否需要和業(yè)務(wù)系統(tǒng)的本地認(rèn)證體系脫鉤？

? 在應(yīng)急逃生方案設(shè)計(jì)時(shí)，如何保障統(tǒng)一身份認(rèn)證系統(tǒng)本身密碼的安全性？

針對(duì)上述應(yīng)急逃生設(shè)計(jì)需求的關(guān)注要素，我們引入業(yè)務(wù)系統(tǒng)“應(yīng)急碼”的設(shè)計(jì)理念，通過集中管控業(yè)務(wù)系統(tǒng)應(yīng)急碼的模式，來解決業(yè)務(wù)系統(tǒng)關(guān)注的核心訴求-應(yīng)急逃生。

●“應(yīng)急碼”的概念定義：

業(yè)務(wù)系統(tǒng)切換回本地認(rèn)證入口時(shí)，用戶登錄原入口認(rèn)證時(shí)可以使用的登錄密碼；

● 如何生成 & 如何通知 “應(yīng)急碼”：

前提：統(tǒng)一身份認(rèn)證系統(tǒng)已經(jīng)集中管理關(guān)鍵業(yè)務(wù)系統(tǒng)的訪問權(quán)限；

統(tǒng)一身份管理模塊-示意圖

1. 當(dāng)用戶申請(qǐng)開通業(yè)務(wù)系統(tǒng)的訪問權(quán)*，由統(tǒng)一身份認(rèn)證系統(tǒng)為業(yè)務(wù)系統(tǒng)生成獨(dú)立的“應(yīng)急碼”；

其中，應(yīng)急碼由獨(dú)立的密碼策略生成，以區(qū)分于現(xiàn)有賬號(hào)密碼生成機(jī)制，以保障統(tǒng)一身份認(rèn)證系統(tǒng)的安全性。

2. 當(dāng)業(yè)務(wù)系統(tǒng)權(quán)限成功開通后，通過郵件或者短信通知的機(jī)制，告知用戶該業(yè)務(wù)系統(tǒng)的“應(yīng)急碼”，以確保應(yīng)急碼可以通知到最終用戶。

備注：

當(dāng)用戶申請(qǐng)多個(gè)業(yè)務(wù)系統(tǒng)權(quán)*，上述應(yīng)急碼生成與通知機(jī)制就可以保障各個(gè)業(yè)務(wù)系統(tǒng)應(yīng)急碼的不同，間接保障各自關(guān)鍵業(yè)務(wù)系統(tǒng)的安全性。

● 用戶如何使用“應(yīng)急碼”：

應(yīng)急逃生場景-示意圖

逃生切換前提：

IAM系統(tǒng)出現(xiàn)不能訪問情況，短時(shí)間內(nèi)無法恢復(fù)統(tǒng)一認(rèn)證服務(wù)；

應(yīng)急碼如何使用：

a) 業(yè)務(wù)管理員手動(dòng)切換回本地緊急認(rèn)證模式，為用戶登錄提供應(yīng)急認(rèn)證服務(wù)；

b) 用戶需要使用應(yīng)用賬號(hào)和應(yīng)急登錄碼進(jìn)行登錄認(rèn)證；

c) 業(yè)務(wù)系統(tǒng)認(rèn)證成功后，用戶可以正常使用業(yè)務(wù)系統(tǒng)；