統(tǒng)一身份認(rèn)證是整個(gè) IT 架構(gòu)的最基本的組成部分，而賬號(hào)則是實(shí)現(xiàn)統(tǒng)一身份認(rèn)證的基礎(chǔ)。做好賬號(hào)的規(guī)劃和設(shè)計(jì)直接決定著企業(yè)整個(gè)信息系統(tǒng)建設(shè)的便利與難易程度，決定著能否敏捷和快速賦能，決定著數(shù)字化轉(zhuǎn)型的投入和效率。

用戶(hù)賬號(hào)是用戶(hù)身份的一種表示。傳統(tǒng)統(tǒng)一身份認(rèn)證系統(tǒng)往往作為外圍系統(tǒng)來(lái)集成各個(gè)應(yīng)用系統(tǒng)，而不是作為核心基礎(chǔ)系統(tǒng)被其他應(yīng)用系統(tǒng)來(lái)集成。所以傳統(tǒng)統(tǒng)一身份認(rèn)證系統(tǒng)的建設(shè)存在眾多的問(wèn)題，使設(shè)計(jì)實(shí)現(xiàn)復(fù)雜化，管理復(fù)雜化，集成復(fù)雜化。

我們今天將詳細(xì)討論下統(tǒng)一身份認(rèn)證賬號(hào)設(shè)計(jì)的幾個(gè)相關(guān)問(wèn)題：

1. 賬號(hào)基礎(chǔ)數(shù)據(jù)來(lái)源及管理

賬號(hào)( Account )是統(tǒng)一身份認(rèn)證系統(tǒng)中 4A 管理中的一個(gè)要素。賬號(hào)數(shù)據(jù)來(lái)源于哪里是建設(shè)統(tǒng)一身份認(rèn)證平臺(tái)時(shí)首先要確認(rèn)的問(wèn)題。賬號(hào)通?？梢院?jiǎn)單分為內(nèi)部員工賬號(hào)和外部客戶(hù) / 用戶(hù)賬號(hào)。內(nèi)部賬號(hào)也可能包括工勤賬號(hào)、外包賬號(hào)、合作伙伴賬號(hào)等。外部客戶(hù) / 用戶(hù)賬號(hào)則通常是業(yè)務(wù)客戶(hù)或用戶(hù)的賬號(hào)。內(nèi)部和外部賬號(hào)通常是兩個(gè)領(lǐng)域的賬號(hào)管理需求，需要分別進(jìn)行處理。因此統(tǒng)一身份認(rèn)證平臺(tái)需要支持“多租戶(hù)”能力，以區(qū)分不同領(lǐng)域賬號(hào)管理或安全隔離要求。

內(nèi)部賬號(hào)通常可以基于公司的 AD 或人力資源系統(tǒng)賬號(hào)為基礎(chǔ)，構(gòu)建統(tǒng)一賬號(hào)管理能力。外部賬號(hào)則可以基于 CRM 系統(tǒng)賬號(hào)為基礎(chǔ)構(gòu)建外部用戶(hù)統(tǒng)一賬號(hào)認(rèn)證管理能力。在統(tǒng)一身份認(rèn)證平臺(tái)內(nèi)，表示用戶(hù)身份的賬號(hào)一定是唯一的。公司內(nèi)部賬號(hào)往往是基于 AD 或 LDAP 的，統(tǒng)一身份認(rèn)證平臺(tái)的賬號(hào)體系一旦建立起來(lái)，就可以替換掉 AD 或 LDAP ，不用再去集成 AD 或 LDAP 。身份認(rèn)證賬號(hào)一定是處于最底層的，其他系統(tǒng)都要基于賬號(hào)體系來(lái)構(gòu)建登錄認(rèn)證的。

由于系統(tǒng)建設(shè)不可能一步到位，所以可能存在很多系統(tǒng)還是基于 AD 或 LDAP 進(jìn)行賬號(hào)管理的，這就需要統(tǒng)一身份認(rèn)證平臺(tái)提供臨時(shí)中間層，支持 LDAP 集成接口，以替換那些用到 AD 或 LDAP 的系統(tǒng)的配置。

賬號(hào)和用戶(hù)是兩個(gè)獨(dú)立的對(duì)象。賬號(hào)在統(tǒng)一身份認(rèn)證平臺(tái)來(lái)維護(hù)，而用戶(hù)則往往在人力資源管理系統(tǒng)維護(hù)。在統(tǒng)一身份認(rèn)證平臺(tái)內(nèi)部，賬號(hào)可以關(guān)聯(lián)多種身份標(biāo)識(shí)，以支持不同的認(rèn)證方式或多因子認(rèn)證。而人力資源管理系統(tǒng)等應(yīng)用系統(tǒng)，則按照系統(tǒng)集成統(tǒng)一身份認(rèn)證平臺(tái)的方式來(lái)實(shí)現(xiàn)。

2. 用戶(hù)管理

賬號(hào)管理可以很簡(jiǎn)單，不包含用戶(hù)其他信息，只代表某個(gè)用戶(hù)的身份。就像人的身份證號(hào)一樣。不過(guò)用戶(hù)的信息通常是很多的，比如姓名、年齡等基本信息，還有教育背景、工作經(jīng)歷、社會(huì)關(guān)系、培訓(xùn)經(jīng)歷、榮譽(yù)證書(shū)等信息。這些信息通常在人力資源系統(tǒng)里面進(jìn)行維護(hù)管理。

從平臺(tái)融合微服務(wù)架構(gòu)設(shè)計(jì)來(lái)說(shuō)，統(tǒng)一身份認(rèn)證平臺(tái)可以不需要考慮用戶(hù)信息的管理和維護(hù)。用戶(hù)管理可以單獨(dú)成為一個(gè)獨(dú)立的組件模塊或微服務(wù)組件，可以放在人力資源系統(tǒng)、 CRM 系統(tǒng)等來(lái)維護(hù)。通過(guò)用戶(hù)賬號(hào)和用戶(hù)信息關(guān)聯(lián)起來(lái)，先在統(tǒng)一身份認(rèn)證平臺(tái)創(chuàng)建賬號(hào)，然后其他應(yīng)用使用這個(gè)賬號(hào)進(jìn)行數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)表設(shè)計(jì)和實(shí)現(xiàn)管理。

所有的用戶(hù)在統(tǒng)一身份認(rèn)證平臺(tái)首先要根據(jù)規(guī)則生成賬號(hào)，比如員工賬號(hào)、外包賬號(hào)、供應(yīng)商賬號(hào)等，然后賬號(hào)作為外鍵來(lái)關(guān)聯(lián)用戶(hù)其他相關(guān)信息。

(1) 賬號(hào)、用戶(hù)和用戶(hù)身份標(biāo)識(shí)

用戶(hù)管理一定要首先為用戶(hù)創(chuàng)建賬號(hào)。存量系統(tǒng)中用戶(hù)都有賬號(hào) /ID 標(biāo)識(shí)，但由于每個(gè)系統(tǒng)每個(gè)應(yīng)用都是一套獨(dú)立的賬號(hào)體系，形成數(shù)據(jù)孤島，帶來(lái)眾多的數(shù)據(jù)治理和數(shù)據(jù)使用問(wèn)題，因此，通過(guò)構(gòu)建統(tǒng)一的賬號(hào)體系來(lái)解決這些問(wèn)題，減少重復(fù)建設(shè)，提升數(shù)字化效率。為用戶(hù)創(chuàng)建賬號(hào)后并為用戶(hù)綁定該賬號(hào)，則用戶(hù)就可以使用該賬號(hào)來(lái)標(biāo)識(shí)自己的身份。賬號(hào)是用戶(hù)身份的一種標(biāo)識(shí)。在統(tǒng)一身份認(rèn)證平臺(tái)中，還會(huì)存儲(chǔ)其它用戶(hù)身份標(biāo)識(shí)，比如人臉識(shí)別圖像信息用于人臉識(shí)別認(rèn)證，指紋信息用于指紋認(rèn)證，虹膜信息用于虹膜認(rèn)證，手機(jī)號(hào)用于短信驗(yàn)證碼認(rèn)證等。這些身份標(biāo)識(shí)都可以唯一標(biāo)識(shí)一個(gè)用戶(hù)。

(2) 賬號(hào)和身份綁定

賬號(hào)可以是獨(dú)立的，用戶(hù)是獨(dú)立的對(duì)象，但用戶(hù)身份是和用戶(hù)相關(guān)聯(lián)的。首先要把賬號(hào)分配給用戶(hù)，然后采集用戶(hù)身份標(biāo)識(shí)信息，比如指紋、人臉、手機(jī)號(hào)等，把賬號(hào)和用戶(hù)身份標(biāo)識(shí)對(duì)應(yīng)起來(lái)，從而提供了統(tǒng)一的身份認(rèn)證能力。用戶(hù)可以選擇登錄認(rèn)證方式來(lái)認(rèn)證登錄。

3. 應(yīng)用系統(tǒng)賬號(hào)集成

每個(gè)應(yīng)用系統(tǒng)幾乎都有一套自己的賬號(hào)、權(quán)限體系。而且 IT 這么多年的建設(shè)，每家公司都有大大小小幾十套上百套系統(tǒng)。所以賬號(hào)、權(quán)限、日志等可能就重復(fù)建設(shè)了幾十次上百次。要建設(shè)統(tǒng)一身份認(rèn)證體系，不得不集成這些大大小小的系統(tǒng)。那么該怎么集成?

我了解到的幾乎都是把數(shù)據(jù)復(fù)制一份導(dǎo)入到統(tǒng)一認(rèn)證平臺(tái)?？赡艽蠹叶剂?xí)慣了數(shù)據(jù)導(dǎo)來(lái)導(dǎo)去，但這是我最反對(duì)的，最深?lèi)和唇^的。那么多數(shù)據(jù)孤島、數(shù)據(jù)不一致、數(shù)據(jù)混亂等問(wèn)題就是這樣造成的。很多人往往為了一時(shí)的便利根本不考慮其他，后期你不得不付出數(shù)倍數(shù)十倍的代價(jià)來(lái)解決這個(gè)問(wèn)題。就像說(shuō)句謊言，你不得不用十句百句來(lái)圓謊。

在討論正確的處理方法之前，我們需要明確在建設(shè)統(tǒng)一身份認(rèn)證平臺(tái)時(shí)權(quán)限分層的問(wèn)題。認(rèn)識(shí)并理解用戶(hù)訪(fǎng)問(wèn)權(quán)限的層級(jí)是認(rèn)證體系建設(shè)的關(guān)鍵之一。

(1) 權(quán)限分層

首先統(tǒng)一身份認(rèn)證平臺(tái)用戶(hù)登錄后，看到的是他能訪(fǎng)問(wèn)的應(yīng)用系統(tǒng)列表，比如一個(gè)人可以訪(fǎng)問(wèn) OA 、 CRM ，另外一個(gè)人可以訪(fǎng)問(wèn) OA 、 HR 系統(tǒng)。這是第一層的權(quán)限訪(fǎng)問(wèn)控制。

其次，用戶(hù)進(jìn)入特定的應(yīng)用系統(tǒng)之后，有操作不同應(yīng)用功能的權(quán)限。比如一個(gè)人能訪(fǎng)問(wèn) OA 系統(tǒng)的報(bào)表功能，另外一個(gè)人可以訪(fǎng)問(wèn) OA 系統(tǒng)除報(bào)表外的其他功能。不同的人在某個(gè)應(yīng)用系統(tǒng)中的角色是不一樣的，角色對(duì)應(yīng)的權(quán)限也就不一樣了。

(2) 新上線(xiàn)應(yīng)用

對(duì)于新研發(fā)上線(xiàn)的應(yīng)用，在研發(fā)之初就要使用統(tǒng)一身份認(rèn)證平臺(tái)的賬號(hào)和權(quán)限體系，通過(guò)統(tǒng)一身份認(rèn)證平臺(tái)提供的標(biāo)準(zhǔn)化接口來(lái)集成。這樣，所有的應(yīng)用最終將融合為一個(gè)系統(tǒng)，每個(gè)應(yīng)用相當(dāng)于一個(gè)當(dāng)前系統(tǒng)的一個(gè)組件模塊。

(3) 存量應(yīng)用系統(tǒng)

統(tǒng)一身份認(rèn)證平臺(tái)的賬號(hào)首先解決的是用戶(hù)登錄認(rèn)證的問(wèn)題。登錄之后訪(fǎng)問(wèn)存量系統(tǒng)時(shí)，由于賬號(hào)可能存在不一致，這就需要在統(tǒng)一身份認(rèn)證平臺(tái)內(nèi)支持賬號(hào)映射能力，自動(dòng)轉(zhuǎn)換為可訪(fǎng)問(wèn)系統(tǒng)的內(nèi)部賬號(hào)。這樣不用更改存量系統(tǒng)，只實(shí)現(xiàn)統(tǒng)一身份認(rèn)證和單點(diǎn)登錄能力。

4. 賬號(hào)管理問(wèn)題

在建設(shè)統(tǒng)一身份認(rèn)證平臺(tái)時(shí)，我們不得不面對(duì)公共賬號(hào)、多賬號(hào)、賬號(hào)委托等問(wèn)題。比如郵件系統(tǒng)的公共賬號(hào)、多賬號(hào)問(wèn)題，業(yè)務(wù)系統(tǒng)的賬號(hào)委托問(wèn)題等，這些問(wèn)題都可以結(jié)合授權(quán)機(jī)制來(lái)處理。

(1) 賬號(hào)委托問(wèn)題處理

在傳統(tǒng)的應(yīng)用系統(tǒng)中經(jīng)常會(huì)遇到賬號(hào)委托的問(wèn)題，從身份認(rèn)證和審計(jì)的角度來(lái)說(shuō)是不合理的。賬號(hào)委托是把賬號(hào)直接賦予某個(gè)人來(lái)使用這個(gè)賬號(hào)，就像我可以拿著你的身份證去辦理一些事情，是以你的身份來(lái)辦理的，所以可能其他人并不知道是我操作的，從審計(jì)角度來(lái)說(shuō)，就是你的行為，而不是我的行為。所以這是有問(wèn)題的。

正確的做法是通過(guò)授權(quán)管理機(jī)制來(lái)實(shí)現(xiàn)。你可以把你的權(quán)限授權(quán)給我，我就有權(quán)限操作你能操作的業(yè)務(wù)功能。從審計(jì)角度來(lái)看，這是我的行為，也可以看到你授權(quán)給我了，所以我能代表你來(lái)做這些業(yè)務(wù)，如果有什么意外或不正確，可以通過(guò)審計(jì)記錄很容易定位到操作人。

功能實(shí)現(xiàn)并不難，難在思想和思維。一說(shuō)要改變這些不正確的設(shè)計(jì)，很多人就會(huì)有很多藉口，要么推托業(yè)務(wù)要求，要么推托改起來(lái)太復(fù)雜等等，其實(shí)也就是不愿意改，怕改出問(wèn)題。這樣就要求在數(shù)字化轉(zhuǎn)型提升應(yīng)用效率的時(shí)候需要有全局規(guī)劃、頂層設(shè)計(jì)，通過(guò)開(kāi)發(fā)人員自覺(jué)來(lái)完善幾乎是不可能的。

(2) 公共賬號(hào)問(wèn)題

郵件系統(tǒng)等會(huì)涉及群組賬號(hào)，比如以某個(gè)部門(mén)或者團(tuán)隊(duì)來(lái)發(fā)布通知。但必須明白，公共賬號(hào)是不可以通過(guò)統(tǒng)一身份認(rèn)證來(lái)登錄的。公共賬號(hào)只和某個(gè)應(yīng)用系統(tǒng)相關(guān)，是特定的需求，有特定的適用范圍，超過(guò)了這個(gè)范圍就是無(wú)效的。

因此公共賬號(hào)在統(tǒng)一認(rèn)證平臺(tái)是不保存的。如果某些應(yīng)用用到公共賬號(hào)，則可以在這些應(yīng)用中來(lái)創(chuàng)建和維護(hù)，作為某個(gè)人的附屬賬號(hào)通過(guò)授權(quán)機(jī)制來(lái)進(jìn)行管理和維護(hù)。也就是公共賬號(hào)可以在這個(gè)應(yīng)用系統(tǒng)內(nèi)部授權(quán)給某個(gè)人來(lái)使用，一旦超出了這個(gè)應(yīng)用系統(tǒng)范圍則是無(wú)效的;同時(shí)也可以在需要的時(shí)候回收權(quán)限。

(3) 多賬號(hào)問(wèn)題

既然有公共賬號(hào)，難免就需要有人來(lái)維護(hù)或代表這些公共賬號(hào)處理一些事情。但就像前面我們討論的公共賬號(hào)問(wèn)題，一定是有范圍限定的。在統(tǒng)一身份認(rèn)證平臺(tái)內(nèi)，一個(gè)用戶(hù)的賬號(hào)是唯一的。只有具體到某個(gè)應(yīng)用系統(tǒng)內(nèi)，才會(huì)有多賬號(hào)問(wèn)題，多賬號(hào)也就只限定在這個(gè)應(yīng)用系統(tǒng)內(nèi)。在統(tǒng)一身份認(rèn)證平臺(tái)內(nèi)部賬號(hào)映射管理時(shí)，可為該應(yīng)用系統(tǒng)映射多個(gè)“內(nèi)部賬號(hào)”(或可稱(chēng)為“二級(jí)賬號(hào)”)，用戶(hù)訪(fǎng)問(wèn)該應(yīng)用系統(tǒng)時(shí)則可選擇用哪個(gè)“內(nèi)部賬號(hào)”登錄。

5. 管理賬號(hào)/運(yùn)維賬號(hào)問(wèn)題

應(yīng)用初始管理賬號(hào)和運(yùn)維賬號(hào)也是需要考慮的。通常我們?cè)O(shè)置應(yīng)用系統(tǒng)初始 admin 賬號(hào)，用 admin 來(lái)初始化應(yīng)用系統(tǒng)。一旦通過(guò)角色權(quán)限設(shè)置管理員用戶(hù)， admin 賬號(hào)就需要被停用。在統(tǒng)一身份認(rèn)證平臺(tái)，是不能映射用戶(hù)到應(yīng)用 admin 賬號(hào)的， Admin 只是做初始化。后期的管理和運(yùn)維都要用統(tǒng)一身份認(rèn)證平臺(tái)的賬號(hào)，對(duì)應(yīng)到具體的有身份的人。這樣才符合認(rèn)證審計(jì)的要求。

很多人不理解建設(shè)統(tǒng)一身份認(rèn)證平臺(tái)的初衷，僅僅把它當(dāng)作一個(gè)系統(tǒng)實(shí)現(xiàn)單點(diǎn)登錄、雙因子認(rèn)證等，更沒(méi)有認(rèn)真考慮賬號(hào)管理等問(wèn)題，而忽略了其潛在的價(jià)值。就像我們前面提到的，統(tǒng)一身份認(rèn)證平臺(tái)是實(shí)現(xiàn)平臺(tái)融合的最基礎(chǔ)組件，只有設(shè)計(jì)好整個(gè)賬號(hào)體系，才能為后續(xù)的應(yīng)用建設(shè)帶來(lái)敏捷和效率。