身份管理係統采用集中部署的架構，在中石化總部建立集中的身份管理係統和集中的用戶信息庫，形成集中、權威的用戶和帳號信息源，為IT應用提供基於帳號信息的基礎服務能力，包括帳號信息、認證、訪問控製、單點登錄和帳號安全合規管理。

統一認證服務雲采用聯邦認證體係進行建設，為企業提供雲架構的身份服務，減少每個企業在本地建立係統造成的架構複雜、數據冗餘和係統管理、維護的負擔。支持多級分布部署的方式，勝利油田做為雲架構的子節點，與總部集中部署的係統能夠實現數據的實時一致性管理，與SAP-HR係統人員狀態變更進行聯動。

接口服務為被集成的總部集中應用係統和企業應用係統提供帳號管理、認證、訪問控製和審計相關的接口服務。應用係統通過此接口實現應用之間安全、高效的身份認證與單點登錄。

2、服務功能

服務組件主要包括身份管理服務、數據同步和賬號管理接口服務、統一認證服務雲、統一接入服務、統一目錄服務LDAP。

身份管理核心服務：實現用戶在企業全生命管理，為管理員和個人用戶提供不同權限的管理視圖。

數據同步接口和賬號管理接口服務：實現與企業基礎應用係統和常用應用係統的集成，實現HR人員數據到身份管理係統的同步、相關證書的申請、發布，以及與使用比較廣泛AD係統的賬號同步。

統一認證服務雲：為企業應用提供賬號管理、聯邦認證以及單點登錄服務。所有管理和核心數據都集中存儲在統一目錄服務中。

統一接入服務：為總部集中應用係統提供用戶訪問的統一接入、集中認證和單點登錄服務。

統一目錄服務LDAP：LDAP存儲了與HR係統保持一致的組織機構和用戶信息，總部的目錄服務與勝利的目錄服務保持實時的用戶數據同步。

PaaS雲平台：在身份認證應用上采用了“雲”技術實現部分係統模塊的部署，形成用戶中心“統一接入服務”、“統一目錄服務”和“統一認證服務”的PaaS雲平台，通過雲架構的特點為用戶和應用提供更健壯的不間斷服務能力。

四、建設應用效果

通過兩年多的持續努力，勝利油田全麵建成了用戶管理中心，取得了顯著的應用效果，為13萬油田用戶發放了統一賬號的電子身份證，實現了應用係統帳號的統一管理，解決了油田內部應用和中石化總部推廣應用的單點登錄問題，支持數字證書、動態口令等多因素高安全認證機製，實現了基於HR人事事件的用戶全生命周期管理。

勝利油田還在中石化第一家實現了總部與企業一體的統一認證服務雲，在北京和勝利兩地站點間建立了認證服務互信機製，確保了勝利本地認證服務的可靠性；同時，勝利站點作為中石化認證係統的災備站點，一旦總部站點故障，勝利將全麵承擔起中石化及下屬各企業的認證服務。

用戶管理中心的建成大大提高了勝利油田的用戶身份管理效率，簡化了應用係統在用戶管理方麵的開發工作，解決了因應用係統增多導致用戶帳號增多而為企業帶來更多安全隱患的問題，幫助勝利油田實現了企業級的用戶安全管理。

參考文獻

[1]趙捷.《企業信息化總體架構》.清華大學出版社，2011.

[2]蔡永泉，周藝華.《數字鑒別與認證》.北京航空航天大學出版社，2011.

[3]李雙.《訪問控製與加密》.機械工業出版社，2012.

[4]毛新生.《SOA原理方法實踐》.電子工業出版社，2007.