何謂身份
所謂身份,就是指能夠代表我們自己這樣一個自然人,在某個環境中所記錄的一系列屬性。比如一個學生的身份,表示你是在某所學校進行學習的一個人。或者公務員的身份,表示你是在某個國家公務機關的工作人員。
那麼同樣,在企業的IT環境中,我們同樣有着很多的身份。而這個身份通常是以一個系統賬戶作爲一個載體的。所以,我們進到一個公司,會獲得各種各樣的賬戶,比如登錄計算機的賬戶,登錄郵件系統的賬戶,登錄財務系統的賬戶,登錄人事系統的賬戶,等等。
而這些賬戶,就是我們在企業IT系統中的一個身份。所以對於企業IT的身份管理,也就等於是對IT系統賬戶的管理。
身份信息
剛纔也說了,身份是一個自然人的標識,但光有這個標識是沒有任何意義的。必須要有一系列的屬性,來作爲身份的信息,才能真正表示一個自然人在某個環境中的各種信息。
還是用開頭的那個例子,比如一個學生的身份信息,至少會包括姓名、學校、年級、班級等。而一個公務員的信息,也至少會包括姓名、單位、部門、級別、職務等等。
那麼對於IT系統中的身份或者賬戶,我們同樣需要這些信息,比如姓名、賬戶名、隸屬於某組、權限,等等。而這些信息,用IT的語言來說,就是數據。
所以,所謂企業IT的身份管理,最關鍵的地方,就是記錄、維護、和管理企業員工所用到的各種賬戶信息的數據。
現狀
談到這裏,可能有人問,講這些有何用?這些很重要麼?那麼我先不回答這些,先來談談這幾年我自己以及一些朋友,在企業IT工作中所遇到的一些問題。看是不是與大家在工作中碰到的困惑,有所相同。
第一,隨着企業IT的不斷髮展,業務系統越來越多,經常出現一個員工在多個系統中都有一個賬號的情況。甚至是在同一個系統中,一個員工都有多個賬號存在。一方面員工自己維護各個系統中的賬號信息比較麻煩,另一方面,IT管理員在賬戶上的管理工作量也是成倍增加。
第二,由於建設時間的先後問題,以及各種系統之間的兼容問題,會出現一個員工在A系統中的賬戶與在B系統中的不一樣。這樣的情況對員工和IT管理員抖增加了更多的麻煩和工作。
第三,對於企業而言,很多業務系統都是相互獨立,那麼賬戶信息也是獨立的。這樣就導致了對於賬號的管理,沒有實現統一的標準、自動化的處理、和標準流程化。更多的時候,是等到需要申請某個賬戶時,由用戶自己或者是HR部門最先發起,然後通過郵件或其他方式通知到各個IT系統的管理員,比如AD、郵件、OA、ERP等等,然後由IT管理員通過手動的方式進行賬戶的新建。過程麻煩,耗時也不少。如果碰到信息需要變更也是如此,稍有遺漏,就造成多個系統中的賬戶信息出現不一致的情況了。
第四,用戶重名的現象,幾乎任何企業都會出現,那麼如何確保IT賬戶的唯一性,成了一個老大難問題。不僅是在同一個系統中,進行有效的命名規則,還要考慮如何使各個系統中的賬戶信息,保持一致。
第五,如果上面的兩點結合結合起來,將更爲可怕。。打個比方,這時就很可能會出現一個叫張三的人,在A系統中的賬戶名爲“張三”,而在B系統中叫“張三A”,但另外還有一個叫張三的人,在A系統中叫“張三A”,而在B系統中叫“張三”。因爲可能是在最早的時候,第一個叫張三的人,只在A系統中存在,而第二個張三,只在B系統中存在,同時企業中又沒有一個統一的系統來維護所有業務系統中的賬戶信息,所以A和B系統的管理員都只能知道自己系統中已經存在“張三”,而爲了避免重名,只能開通“張三A”這個賬戶給第二個人了。。這樣一來,雖然保證了某一個業務系統中賬戶的唯一性,和系統的可用性。。但對於整個企業的IT來說,特別是對於整體的賬戶管理工作來說,就全亂了。
第六,剛纔提到了新建賬戶的情況,在員工離職的時候仍然會有問題。隨着一個用戶在企業工作時間的增加,到最後沒有人會知道這個用戶到底在哪些系統裏面擁有賬戶,以及用戶名等賬戶信息到底是什麼。這樣一來,經常會出現的情況就是,人走了,賬戶還能用。風險就在於,如果有些非分之想,這些賬戶,是可以幹很多事情的。這種風險,哪個老闆扛得起啊?
其實除了這些,賬戶管理中還有很多的問題,都是由於信息分散,管理分散,缺乏統一標準,和流程性。如果大家仔細想想,還可以列出更多的。
期望
以上所列出的情況,都是我這幾年在賬戶相關的工作中所真正遇到的過的事情。相信很多朋友也或多或少的碰到過。所以,我們很期望能夠有一個東西,或者一個專門的系統來針對身份信息、賬戶信息,進行一個統一的管理。
應用場景
大體上來說,我們可以想象到的幾種場景有:人員入職的賬戶創建;賬戶信息的更新同步;人員離職的狀態一致性
在人員入職時,可以從HR系統自動獲得新進員工的信息,同時將這個信息自動的同步到所有相關的業務系統中,並在業務系統中按照一定的標準和流程創建用戶賬號、屬性信息等。
如果發生信息變更時,可以通過這樣一套系統進行變更,並且同樣會將更新信息同步到所有相關的業務信息中。
如果有員工離職,那麼可以監控HR系統中該員工的狀態,如果發現某員工被標記成離職狀態。這套系統自動將所有業務系統中的該員工賬號進行標記,或者直接禁用。從而實現只要人員發生離職,立即回收所有權利,以避免安全風險的發生。
如果能實現這樣的自動化過程,一方面可以大量減少IT管理員創建用戶的手動操作工作量,另一方面可以建立起用戶賬戶信息的標準數據,從而實現全局性的信息統一性。
根本需求
所以,我們的根本需求就是,實現在企業這個全局性層面的賬戶信息的統一性管理,以及賬戶信息生命週期的標準化、流程化和自動化。
目標
那麼建立一套企業IT的身份管理系統,就成了我們的最根本的目標。
要這套系統的建立,從需求的分析、實現方式,到系統架構的設計、技術或產品的選型,再到與業務系統的對接方式,和已有數據的整理,是一個非常龐大並且複雜的系統化過程。
這幾年在這方面也花了不少精力,獲得的經驗和想法也有不少。
在這裏,我想之後一段時間,不定期的寫一些文章。一方面是想慢慢的把一些做過的事情和想法整理出來。另一方面,也是一個分享的過程,希望對跟我遇到同樣問題的朋友,有所啓發。