如何办好统一身份认证账号管理及集成

发布时间：2022-08-23 15:07 所属栏目：53 来源：互联网

导读：统一身份认证是整个 IT 架构的最基本的组成部分，而账号则是实现统一身份认证的基

　　统一身份认证是整个 IT 架构的最基本的组成部分，而账号则是实现统一身份认证的基础。做好账号的规划和设计直接决定着企业整个信息系统建设的便利与难易程度，决定着能否敏捷和快速赋能，决定着数字化转型的投入和效率。

　　我们今天将详细讨论下统一身份认证账号设计的几个相关问题：

　　1. 账号基础数据来源及管理
　　账号( Account )是统一身份认证系统中 4A 管理中的一个要素。账号数据来源于哪里是建设统一身份认证平台时首先要确认的问题。账号通常可以简单分为内部员工账号和外部客户 / 用户账号。内部账号也可能包括工勤账号、外包账号、合作伙伴账号等。外部客户 / 用户账号则通常是业务客户或用户的账号。内部和外部账号通常是两个领域的账号管理需求，需要分别进行处理。因此统一身份认证平台需要支持“多租户”能力，以区分不同领域账号管理或安全隔离要求。

　　2. 用户管理
　　账号管理可以很简单，不包含用户其他信息，只代表某个用户的身份。就像人的身份证号一样。不过用户的信息通常是很多的，比如姓名、年龄等基本信息，还有教育背景、工作经历、社会关系、培训经历、荣誉证书等信息。这些信息通常在人力资源系统里面进行维护管理。

　　从平台融合微服务架构设计来说，统一身份认证平台可以不需要考虑用户信息的管理和维护。用户管理可以单独成为一个独立的组件模块或微服务组件，可以放在人力资源系统、 CRM 系统等来维护。通过用户账号和用户信息关联起来，先在统一身份认证平台创建账号，然后其他应用使用这个账号进行数据结构、数据表设计和实现管理。

　　所有的用户在统一身份认证平台首先要根据规则生成账号，比如员工账号、外包账号、供应商账号等，然后账号作为外键来关联用户其他相关信息。

　　(1) 账号、用户和用户身份标识

　　用户管理一定要首先为用户创建账号。存量系统中用户都有账号 /ID 标识，但由于每个系统每个应用都是一套独立的账号体系，形成数据孤岛，带来众多的数据治理和数据使用问题，因此，通过构建统一的账号体系来解决这些问题，减少重复建设，提升数字化效率。为用户创建账号后并为用户绑定该账号，则用户就可以使用该账号来标识自己的身份。账号是用户身份的一种标识。在统一身份认证平台中，还会存储其它用户身份标识，比如人脸识别图像信息用于人脸识别认证，指纹信息用于指纹认证，虹膜信息用于虹膜认证，手机号用于短信验证码认证等。这些身份标识都可以唯一标识一个用户。

　　(2) 账号和身份绑定

　　账号可以是独立的，用户是独立的对象，但用户身份是和用户相关联的。首先要把账号分配给用户，然后采集用户身份标识信息，比如指纹、人脸、手机号等，把账号和用户身份标识对应起来，从而提供了统一的身份认证能力。用户可以选择登录认证方式来认证登录。

　　3.账号管理问题
　　在建设统一身份认证平台时，我们不得不面对公共账号、多账号、账号委托等问题。比如邮件系统的公共账号、多账号问题，业务系统的账号委托问题等，这些问题都可以结合授权机制来处理。

　　(1) 账号委托问题处理

　　在传统的应用系统中经常会遇到账号委托的问题，从身份认证和审计的角度来说是不合理的。账号委托是把账号直接赋予某个人来使用这个账号，就像我可以拿着你的身份证去办理一些事情，是以你的身份来办理的，所以可能其他人并不知道是我操作的，从审计角度来说，就是你的行为，而不是我的行为。所以这是有问题的。

　　(2) 公共账号问题

　　邮件系统等会涉及群组账号，比如以某个部门或者团队来发布通知。但必须明白，公共账号是不可以通过统一身份认证来登录的。公共账号只和某个应用系统相关，是特定的需求，有特定的适用范围，超过了这个范围就是无效的。

　　因此公共账号在统一认证平台是不保存的。如果某些应用用到公共账号，则可以在这些应用中来创建和维护，作为某个人的附属账号通过授权机制来进行管理和维护。也就是公共账号可以在这个应用系统内部授权给某个人来使用，一旦超出了这个应用系统范围则是无效的;同时也可以在需要的时候回收权限。

（编辑：ASP站长网）