企業(yè)統(tǒng)一集成管理平臺建設與研究分析

(中國中原對外工程有限公司，北京 100045)

1 研究目的與意義

隨著移動互聯(lián)網(wǎng)與現(xiàn)代信息電子技術的快速融合發(fā)展，使各類大型企業(yè)的內(nèi)部管理信息化體系建設隨之不斷深入，現(xiàn)代大型企業(yè)的信息化建設與管理隨著OA、即時通訊、mail、HR、CRM、業(yè)財管理系統(tǒng)等信息化系統(tǒng)的逐步建立，這些已經(jīng)建成的信息系統(tǒng)給企業(yè)帶來了巨大進步：工作效率提高、工作質(zhì)量提高、企業(yè)風險可控、數(shù)據(jù)利用展示更加便利，但是系統(tǒng)的建設往往都是孤立的、分散的，數(shù)據(jù)孤島、業(yè)務分裂給企業(yè)的進一步發(fā)展造成了嚴重的桎梏，系統(tǒng)的整合、集成化辦公已成為趨勢，各級企業(yè)也在這一領域積極探索和研究[1]。

企業(yè)統(tǒng)一集成平臺按照ESB建設的好處是，ESB作為中心管道，采用SOA架構，用來連接各個服務節(jié)點，集成基于不同協(xié)議的不同服務，ESB 集成了信息路由的工作，以此來讓不同的信息系統(tǒng)與服務交互通訊。SOA轉向微服務是大趨勢，但央企面臨微服務建設還需一定的轉型過程，分布式架構通過業(yè)務需求將粗粒度的服務 (應用組件) 進行松散耦合， 服務直接通過獨立于硬件平臺， 操作系統(tǒng)和程序語言的接口或契約相互聯(lián)系。構建基于分布式架構的統(tǒng)一身份認證體系為數(shù)據(jù)集中后業(yè)務系統(tǒng)身份認證難題提供了可行的解決方案[2]。實際應用中， 企業(yè)在實現(xiàn)SSO的基礎上還會更進一步， 實施企業(yè)門戶。企業(yè)信息門戶作為企業(yè)信息化系統(tǒng)單一的登錄入口， 包括三方面的集成技術:Portal技術提供了界面的集成、EAI技術提供了應用的集成、目錄服務技術提供了數(shù)據(jù)信息的集成[3]。Portal強調(diào)以用戶為中心， 提供統(tǒng)一的登錄界面， 對各種應用程序或組件進行集成， 實現(xiàn)信息的集中訪問[4]。在身份認證方面，OAuth2.0提供一種無需加密的認證方式，此方式是基于現(xiàn)存的 cookie 驗證架構，Access Token本身將自己作為secret，通過HTTPS發(fā)送，從而替換了通過HMAC和token secret加密并發(fā)送的方式，既簡單，又安全[5]。

2 研究現(xiàn)狀

以“身份認證”為題在知網(wǎng)中進行搜索可以看到從15年開始這一領域的研究呈現(xiàn)顯著的增長態(tài)勢(見圖1、圖2)。

圖1 “身份認證”為題的增長趨勢Fig.1 The growing trend of topics related to “identity authentication”

圖2 “身份認證”相關內(nèi)容主題分布Fig.2 Distribution of topics related to “identity authentication”

從內(nèi)容主題分布也能夠看出，單點登錄、網(wǎng)絡安全、信息安全等已經(jīng)成為統(tǒng)一身份認證門戶平臺的核心內(nèi)容之一。通過對研讀相關論文，由此可以看出，國內(nèi)身份認證門戶建設從理論到應用已經(jīng)能夠形成科學的體系參考，統(tǒng)一身份認證門戶的體系由門戶+4 A(即統(tǒng)一待辦任務處理、統(tǒng)一用戶賬戶管理、 統(tǒng)一身份認證平臺、 統(tǒng)一權限管理平臺)組成。

中原公司目前運行的信息化系統(tǒng)有十余個，包含：OA與即時通訊、人力資源系統(tǒng)、財務系統(tǒng)、郵件系統(tǒng)、Wi-Fi管理系統(tǒng)、中原云打印、財務系統(tǒng)、企業(yè)微信、中原云盤、EPC項目管理系統(tǒng)、2019年即將投入運行的系統(tǒng)為業(yè)務財務一體化系統(tǒng)、市場開發(fā)平臺CRM、安全標準化管理系統(tǒng)。

對于中原公司的近千名員工，需要使用各類信息系統(tǒng)為中原公司開展業(yè)務提供服務， 在統(tǒng)一集成管理平臺的門戶上，每個員工只需在門戶登錄身份認證頁面輸入一次對應的用戶身份認證信息(如用戶名/認證密碼)，通過用戶身份驗證后在用戶訪問身份認證統(tǒng)一門戶集成身份認證平臺中集成的子系統(tǒng)時無需再一次輸入相應的用戶名/密碼，而是由統(tǒng)一身份認證平臺自動完成對員工在子系統(tǒng)的身份認證。

安全性：安全性是統(tǒng)一集成平臺的首要因素，在進行設計統(tǒng)一身份認證平臺子系統(tǒng)場景時，確定所需要設計的身份認證子系統(tǒng)所適合應用的場景以及在此應用場景下所要求能夠達到的安全保障目標。在進一步明確以上的因素之后，統(tǒng)一設計各身份認證的平臺子系統(tǒng)才能有效的保障各身份認證子系統(tǒng)的安全性，通過結合多種身份認證的方式(身份密碼/手機短信/電子郵件/微信/數(shù)字證書等)的強認證方式，以確定了訪問者的身份，保證了各身份子系統(tǒng)認證的安全和準確性，提高了訪問者登入認證子系統(tǒng)的速度和安全性。

可追溯：統(tǒng)一審計管理從管理行為審計、登錄行為審計、異常行為審計等多個方面記錄并展現(xiàn)管理員行為和用戶行為，將訪問日志保存在持久數(shù)據(jù)庫中，并提供圖形界面進行多條件查詢索引，同時提供圖形化的訪問量和自身狀態(tài)的圖示，實現(xiàn)全方位的行為追溯管理。

易用性：由于統(tǒng)一身份認證系統(tǒng)包含了所有用戶的認證信息，強化了人員主數(shù)據(jù)系統(tǒng)的同步更新，用戶只需要在統(tǒng)一集成管理平臺中注冊或修改自己的認證密碼及個人信息即可，既方便，又能保障用戶賬戶的安全，通過建立人員主數(shù)據(jù)，各系統(tǒng)的組織結構和人員信息無須重復維護。集成平臺聚合了各子應用系統(tǒng)的單點登錄，提高辦公系統(tǒng)的易用性。

3 項目目標、設計及實現(xiàn)

中原公司統(tǒng)一集成平臺項目的目標：通過技術手段，建立統(tǒng)一規(guī)范的應用系統(tǒng)賬號管理流程和管理體系，實現(xiàn)對應用系統(tǒng)賬號的全生命周期的管理；通過實現(xiàn)單點登陸提高工作效率；在統(tǒng)一門戶中建立統(tǒng)一的待辦中心上，快速實現(xiàn)對待辦信息的審閱和審批操作。

根據(jù)以上需求和目標，系統(tǒng)設計較傳統(tǒng)4 A不同的是，本項目采用門戶管理+中原公司“六統(tǒng)一”(統(tǒng)一用戶賬戶管理、 統(tǒng)一身份認證平臺、 統(tǒng)一權限管理平臺、統(tǒng)一審計管理、統(tǒng)一人員主數(shù)據(jù)、統(tǒng)一移動平臺)的方式實現(xiàn)。

根據(jù)系統(tǒng)設計內(nèi)容，結合已有的資源進行系統(tǒng)建設，充分利用現(xiàn)有已建立單點登錄和待辦推送的OA、HR、CRM、業(yè)財?shù)绕脚_，從而降低了該項目的開發(fā)成本，通過采用Oauth2.0單點登錄及統(tǒng)一身份認證協(xié)議的新技術，提高了系統(tǒng)的可靠性，使用LDAP協(xié)議整合支持該標準身份目錄樹的子系統(tǒng)，最終實現(xiàn)滿足中原公司需求的“統(tǒng)一集成平臺”。

在系統(tǒng)實現(xiàn)過程中需要考慮到海外項目部上網(wǎng)相對困難，搭建系統(tǒng)時需要從帶寬層面予以考慮，通過分布式部署或者網(wǎng)絡加速的方式提高系統(tǒng)的可用性，通過Nginx負載均衡技術穩(wěn)定門戶內(nèi)網(wǎng)訪問效率。

統(tǒng)一集成平臺將各子系統(tǒng)集約化辦公的新模式，是中原公司信息化創(chuàng)新的全新探索。統(tǒng)一集成平臺作為信息時代的新興事物，平臺建設將為中原公司的整體辦公效率注入新的活力。統(tǒng)一集成管理平臺將有效提升中原公司各部門及海外項目部的整體服務能力。

為完成項目，已于2019年初開始閱讀相關文獻，研究相關領域動態(tài)，于6～7月項目概況確認，組建雙方項目組，項目主計劃編制、評審，設計方案，開展項目啟動會，同期搭建服務器環(huán)境，起草技術標準文檔，集成平臺相關系統(tǒng)部署及初步定制工作，部署環(huán)境測，OA測試環(huán)境搭建。8月份前業(yè)務規(guī)則梳理，組織人員數(shù)據(jù)定制修改，門戶前端開發(fā)，門戶資訊對接及組件開發(fā)，協(xié)調(diào)第三方系統(tǒng)對接準備。10月份前各業(yè)務系統(tǒng)實際對接工作，系統(tǒng)優(yōu)化實施，完成整體系統(tǒng)建設，11月份開展安全、壓力、BUG、兼容性測試，問題收集調(diào)整反饋，問題集中調(diào)整解決，提交平臺使用說明文檔，12月份前完成上線試運行。在項目實施過程中進行項目相關文檔材料收集及項目總結。

4 項目研究成果

4.1 系統(tǒng)需求分析

中原公司總部及各項目部總用戶數(shù)目前在1200人左右，應用系統(tǒng)繁多，賬號零散分布在各個系統(tǒng)中，雖然管理上沒有出現(xiàn)大的問題，但還是有以下的管理情況出現(xiàn)：

系統(tǒng)繁多，用戶在使用體驗上極為不便，容易出現(xiàn)忘記密碼的情況；十余個系統(tǒng)中，除了OA系統(tǒng)之外，其他系統(tǒng)的組織結構不能及時從HR系統(tǒng)中得到同步，使組織結構保持更新，在管理和維護上造成了比較多的麻煩；虛擬組織(如臨時人員、分包商臨時使用等情況所需)用戶管理流程復雜、需要大量手動操作維護，效率低；權限授權方式繁瑣，全部由信息系統(tǒng)管理員授權，沒有分級授權；用戶訪問行為無法審計，且零散的賬號與密碼容易被釣魚竊取，導致網(wǎng)絡攻擊等情況出現(xiàn)；機構分散并且海外分支機構較多，由于公司海外機構及員工較多，國際用戶對登入內(nèi)網(wǎng)工作造成一定困擾，需要更多的互聯(lián)網(wǎng)加速手段來支撐統(tǒng)一集成平臺，以降低海外部門移動辦公的工作難度。

通過對中原公司系統(tǒng)賬號管理現(xiàn)狀進行分析，結合國內(nèi)企業(yè)和集團內(nèi)公司關于統(tǒng)一身份認證平臺的使用情況調(diào)研，結合中原公司市場開發(fā)、移動辦公、項目總承包管理的工作特點，搭建統(tǒng)一任務集中處理門戶及統(tǒng)一集成管理后臺。

實現(xiàn)功能包括：

統(tǒng)一集成管理后臺：建立中原公司“六統(tǒng)一”體系，即統(tǒng)一用戶賬戶管理、 統(tǒng)一身份認證平臺、 統(tǒng)一權限管理平臺、統(tǒng)一審計管理、統(tǒng)一人員主數(shù)據(jù)、統(tǒng)一移動平臺，實現(xiàn)全方位后臺管理。

統(tǒng)一門戶：實現(xiàn)通過一次強認證登錄，從互聯(lián)網(wǎng)通過VPN或內(nèi)網(wǎng)訪問統(tǒng)一門戶，通過進入統(tǒng)一門戶將現(xiàn)有系統(tǒng)入口、功能、待辦及資訊等在統(tǒng)一門戶內(nèi)展現(xiàn)；建立“四聚合”體系，通過應用聚合、功能聚合、待辦聚合、信息聚合的一體化集成方案，將所有的業(yè)務應用系統(tǒng)聚合，借助內(nèi)容信息管理和站點注冊，為中原公司提供一站式的門戶展示平臺。

4.2 系統(tǒng)架構分析

在需求分析階段，首先對照通用的4 A標準等進行功能梳理，在系統(tǒng)設計層面確保符合上述基本要求；其次需要對照中原公司的個性化需求，根據(jù)企業(yè)特征進行架構設計，從而符合實際工作需要；最后，最重要的是以實際工作需求出發(fā)，充分整合利用已有平臺的資源，避免大而全的系統(tǒng)造成的資源浪費，同時采用最新的Oauth2.0認證技術、LDAP目錄協(xié)議和Nginx代理加速技術為集成平臺加速服務。

集成平臺：目前正常運行的模塊服務主要有企業(yè)門戶管理系統(tǒng)、組織人員主數(shù)據(jù)管理系統(tǒng)、統(tǒng)一認證服務平臺、安全管理平臺、個人安全中心、ETL數(shù)據(jù)集成工具等。

門戶管理系統(tǒng)：為企業(yè)提供統(tǒng)一的門戶展示功能，門戶提供了統(tǒng)一的界面，用戶在統(tǒng)一的門戶界面可以查看，操作，鏈接到分散的各個功能系統(tǒng)，提供了功能展示，不用到每個功能系統(tǒng)進行復雜的操作即可查看功能，節(jié)約了時間。

組織人員主數(shù)據(jù)系統(tǒng)：以主數(shù)據(jù)管理系統(tǒng)產(chǎn)品為基礎，基于集團組織人員管理現(xiàn)狀，實現(xiàn)了以廣訊通平臺為基礎的組織人員主數(shù)據(jù)管理，形成了集團標準的組織人員數(shù)據(jù)庫，實現(xiàn)了組織人員數(shù)據(jù)與業(yè)務系統(tǒng)的互聯(lián)互通。

統(tǒng)一身份認證服務：以人員主數(shù)據(jù)為基礎，建立了以業(yè)內(nèi)領先的OAuth2.0協(xié)議、LDAP目錄協(xié)議為規(guī)范的統(tǒng)一認證服務系統(tǒng)，為業(yè)務系統(tǒng)的單點登錄全網(wǎng)漫游提供了標準，實現(xiàn)了廣訊通、WEB不同終端的統(tǒng)一用戶身份登錄認證。

安全管理平臺：安全管理平臺為統(tǒng)一身份認證系統(tǒng)提供了數(shù)據(jù)支撐，包括業(yè)務系統(tǒng)的配置管理、業(yè)務系統(tǒng)的授權管理，配置管理主要包括業(yè)務系統(tǒng)的標識、名稱、圖標、統(tǒng)一集成地址、系統(tǒng)管理員等信息。通過授權管理，可以為用戶授予業(yè)務系統(tǒng)的權限或取消權限。

個人安全中心：個人中心為用戶提供個人服務功能，用戶可以通過個人中心進行個人信息的修改、統(tǒng)一密碼的修改、重置密碼、業(yè)務系統(tǒng)用戶綁定、個人賬號登錄及敏感操作的查詢。

數(shù)據(jù)集成工具：根據(jù)公司的信息化整體建設情況，考慮后續(xù)的數(shù)據(jù)共享集成需求，建設了數(shù)據(jù)集成系統(tǒng)，實現(xiàn)了主題分類管理、業(yè)務實體模型管理、業(yè)務分析模型管理、數(shù)據(jù)源管理、ETL任務管理等功能，為未來建設企業(yè)數(shù)據(jù)倉庫，打破數(shù)據(jù)孤島，實現(xiàn)數(shù)據(jù)共享提供了基礎支撐。

4.3 系統(tǒng)設計及應用情況分析

根據(jù)上述技術架構，結合中原公司黨務工作實際需求，構建了系統(tǒng)邏輯結構層次，分為用戶層、展示層、業(yè)務邏輯層、數(shù)據(jù)接口層、數(shù)據(jù)結構層。

用戶層根據(jù)管理維度不同，在主數(shù)據(jù)系統(tǒng)中將用戶組織分為行政組織用戶、黨組織兩大類。行政組織包含公司全部用戶，按照權限可進入不同應用系統(tǒng)；黨組織包含公司全部黨員用戶，黨員可進入和使用中原公司“智慧黨建系統(tǒng)”。

展示層中主要通過統(tǒng)一集成平臺對信息進行前端展示，不同角色組所需的相應數(shù)據(jù)能夠快速的從各子系統(tǒng)中獲取。

業(yè)務邏輯層里邊可以分為應用聚合、功能聚合、待辦聚合、信息聚合，為信息化用戶提供一站式的信息化服務平臺，從而滿足統(tǒng)一集成平臺對業(yè)務過程中的各項需求。

數(shù)據(jù)接口層主要是統(tǒng)一集成平臺與現(xiàn)有系統(tǒng)進行數(shù)據(jù)對接，包含：OA與即時通訊、人力資源管理系統(tǒng)、業(yè)財一體化系統(tǒng)、郵件系統(tǒng)、Wi-Fi管理系統(tǒng)、中原云打印、智慧黨建系統(tǒng)、企業(yè)微信、中原云盤、EPC項目管理系統(tǒng)、2019年即將投入運行的系統(tǒng)為業(yè)務財務一體化系統(tǒng)、市場開發(fā)平臺CRM、安全生產(chǎn)標準化管理系統(tǒng)等。其中由于企業(yè)原有移動端應用是基于企業(yè)微信搭建的，因此為保持移動端使用習慣的一致性，因此本項目在移動端方面，考慮基于企業(yè)微信搭建統(tǒng)一的企業(yè)移動端平臺。

數(shù)據(jù)結構層則是從系統(tǒng)實現(xiàn)角度考慮系統(tǒng)搭建過程中使用的頁面處理技術、數(shù)據(jù)結構、網(wǎng)絡結構、硬件配置等。在中原公司實際的項目中采用的是.NETASP技術，使用SQL_Server作為主要數(shù)據(jù)庫，通過web_service、API、數(shù)據(jù)視圖等方式調(diào)用接口，實現(xiàn)系統(tǒng)之間的數(shù)據(jù)對接。

4.4 項目研究結論分析

隨著信息化、移動互聯(lián)與大數(shù)據(jù)的發(fā)展，零散信息系統(tǒng)的整合是新形勢下的必由之路，統(tǒng)一入口單點登入及身份認證、組織人員統(tǒng)一管理、信息發(fā)布及BI統(tǒng)一展示、安全行為統(tǒng)一審計、待辦任務統(tǒng)一處理是大勢所趨。

從公司的管理角度需要完成的工作一方面是根據(jù)各部門日常工作任務通過各子系統(tǒng)順利開展，另一方面是在對各系統(tǒng)的數(shù)據(jù)統(tǒng)計圖表加以展示，對領導層的決策分析加以領導駕駛艙輔助。

從各子系統(tǒng)的角度，需要能夠通過系統(tǒng)記錄各項活動的開展情況，并且通過系統(tǒng)輔助完成OA、CRM、業(yè)財、HR等工作，依托于數(shù)據(jù)分析體系和BI展示，提高了統(tǒng)計數(shù)據(jù)采集和分析統(tǒng)計的數(shù)據(jù)及時性和統(tǒng)計分析的數(shù)據(jù)準確性，降低了系統(tǒng)工作進行過程中所需要開展的各項工作以及整體管理成本和系統(tǒng)工作量，提高了系統(tǒng)工作效率。

以業(yè)務功能需求為基礎，通過應用聚合、功能聚合、待辦聚合、信息聚合為信息化用戶提供一站式的信息化服務平臺。企業(yè)門戶是所有信息化資源的統(tǒng)一入口，也是數(shù)據(jù)的聚集平臺。

從系統(tǒng)部署角度考慮到海外駐地的使用場景，需要在系統(tǒng)底層架構中構建Nginx代理負載模塊，必要時可在當?shù)夭渴餡EB服務器，之后通過服務器同步的方式進行數(shù)據(jù)交互，從而保證海外項目部以及代表處能夠正常使用統(tǒng)一集成平臺。從使用便捷性的角度考慮，移動端的應用是必備的部署方式，從使用場景進行分析，移動端應用最重要的部分是去APP化、集中部署，通過企業(yè)微信的統(tǒng)一入口，使移動端加強統(tǒng)一性和便捷性。

根據(jù)上述分析，在中原公司已經(jīng)完成了系統(tǒng)需求分析、設計。從6月份開始進行部署，已經(jīng)按照項目研究內(nèi)容完成了框架搭建，計劃將于11月底完成功能設計，進行上線測試。

5 結論

研究內(nèi)容來自于中原公司的實際業(yè)務需求與真實研發(fā)的項目，并根據(jù)研究成果，構建了符合企業(yè)需要的統(tǒng)一集成管理平臺，在使用新技術實現(xiàn)信息系統(tǒng)整合方面有較高的實用價值。該項目構建了統(tǒng)一集成管理平臺的總體功能管理架構，對所有功能的應用和業(yè)務邏輯關系進行了合理的劃分，強化了系統(tǒng)的適用性和可拓展性，并最終將相關項目技術研究成果應用于實際的統(tǒng)一集成管理平臺開發(fā)項目，最終設計并實現(xiàn)了整合所有功能和應用管理系統(tǒng)的統(tǒng)一集成管理平臺。