1、从组织人员 “ 流动 ” 管理的角度探讨 4A的深入化应用 摘 要 4A 平台的定位是集统一身份、统一认证、统一授权、安全审计于一体,同时也是一套高效的统一权限管理集约化平台,助力信息系统应用安全管理。但从南网 CSGII 实施效果来看,制约 4A 应用效率的原因之一,就是系统的组织人员管理,不能实现快速的切换和权限的高效变换。 4A 与各业务系统之间的数据一致性保证机制,成为了制约 4A 统一身份管理、统一认证的关键问题。如何优化和改善这数据一致性的保证机制,成为了 4A深化应用的重点,和需要关键解决的内容。 下载 关键词 组织;人员;权限;管理; 4A doi : 10 . 3969 /
2、j . issn . 1673 - 0194 . 2016. 19. 045 中图分类号 F279.23 文献标识码 A 文章编号 1673 - 0194( 2016)19- 0082- 05 0 引 言 企业在人力资源管理中始终存在着人员流动问题,人员的流动包括由社会向企业流动、企业内部不同岗位之间流动和从企业向社会流动三个进程。“ 流水不腐,户枢不蠹 ” ,保持企业与外部社会之间人员一定的流动对企业优化人员结构、提高人员素质,从而 使内部人力资源更好地满足企业发展需要是非常必要的。对于电网的系统建设亦是如此,系统的设计使用需要充分的考虑组织、人员的变化与流动。 4A 平台作为统一身份、统一
3、认证管理集约化平台,组织机构、人员、权限不断的 “ 流动、变更 ” 是系统运行管理的常态,系统设计是否充分考虑到了管理人员流动的常态应用,是系统能否实用、易用的关键,本文结合 4A系统的定位,及其当前 4A系统应用的效果,从组织人员 “ 流动 ” 管理的角度,探讨 4A 的深入化应用。 1 现状分析 南方电网公司 4A 平台上线,标志着 4A 平台的建设取得了阶段性 成果,并在全网各单位正式投入试运行。经过的持续化使用,系统暴露出了逻辑设计、应用管理等方面的问题。随着应用不断深入,用户体验及业务需求不断的呈现,需要 4A 平台持续完善功能及需求,建设成实用、易用、好用的支撑性平台。优化管理流程
4、,提升运行管理效率和用户体验,解决全网30 万用户身份权限管理分散和用户行为审计不足的问题。 1.1 用户管理 采取 “ 分散到集中 ” 的设计思路,把南方电网公司原来分散于各个应用系统中的用户数据统一集中到 4A 平台管理,各个应用系统中的人员信息以4A平台为依据,通过 4A平台 提供的信息同步接口实现应用系统和 4A平台之间信息的同步。实现用户账号集中管理,业务系统用户账号信息需持续完善和清理,进一步规范用户生命周期管理,解决用户账号分散,多系统多账号,维护效率较低等问题。 1.2 单点登录 4A 平台与各业务应用集成,从技术和管理角度彻底解决用户的身份标识不安全问题,用户登录通过 4A
5、平台认证访问业务数据,做到 “ 一处登录、处处通行 ” 。目前 4A 平台单点登录未覆盖全部核心系统,需要进一步加强系统集成范围,同时在外网业务系统认证支撑方面需要实现外部用户的统一认证管理与安全 密钥统一管理。 1.3 授权管理 在用户信息集中管理的基础上,授权管理主要是把分散到各个业务系统中的权限管理集中到 4A 平台管理,各个业务系统只是保留访问控制模块,通过权限的统一管理,既可以减轻管理的复杂度,增加权限管理的及时性、精确性。需要解决业务系统管理员在 4A 平台上实现用户在各个系统的授权,简化操作,用户的增加、删除和授权、回收也将自动推送至各个业务系统,减少人工干预,提高运维效率。 1
6、.4 数据质量 针对 4A平台和各业务系统的组织、用户、角色、权限等数据进行比对 分析发现,数据质量低是造成系统易用性低的一个重要因素,主要表现在以下几个方面。 1.4.1 匹配率不高 4A平台与各业务系统的组织、用户、角色、权限等数据,没有达到 100%的匹配率存在一定数量数据无法实现 4A 平台与业务系统匹配,而这部分数据恰好是造成系统易用性差的主要因素,加上系统间集成关系复杂,难于保证匹配率实时处于 100%,见图 1。保证匹配率一直处于一个较高的水平需要付出大量人力物力。 1.4.2 数据变化不规律 通过监控业务系统组织、用户、角色、权限数据的变化情 况,可以判断系统是否进入一个稳定的
7、运行期间,少量且有规律的组织人员变化则是正常,符合人员流动变化的实际,但是突然大幅度的变化,则说明业务系统使用还不趋于稳定,存在着大量变更操作,见图 2。 1.4.3 用户权限完整率低 通过对业务系统的用户权限进行监控分析发现,业务系统中大量账户未分配权限。此数据说明,业务系统存在大量无法正常应用系统的账户数据,见图 3。 1.4.4 存在冗余脏数据 通过对比分析发现,业务系统中存在同一个组织部门下,相同人名的用户数据有多条,或者相同的组 织、用户 ID 存在多条记录等情况。系统间存在有冗余。该问题的存在将会影响以 4A 为数据源头,进行用户数据更改时,同步接口无法正确的将用户数据推送至业务系
8、统,或者 4A 更改一条数据,而造成业务系统会同时更改两条数据,从而使业务系统兼岗人员用户无法正常使用系统。 1.5 监管技术 当前的 4A平台应用,缺少一套及时监控分析各业务系统账户权限数据质量和一致性的工具,不能及时获得 4A 与业务系统之间的一致性、数据完整性、用户权限完整率等指标,不能及时的发现、消除问题,导致系统的易用性降低,管理工作量较大, 所以,系统管理急需一套业务系统账号权限一致性监管工具,辅助管理人员管理业务系统。 2 解决措施 基于当前 4A系统应用效果,结合 4A系统的设计定位,加强 4A系统业务功能及协调管理,从组织人员 “ 流动 ” 管理的角度,从以下几个方面探讨4A 的深入化应用。