如何做好统一身份认证账号管理及集成？

zhangzey

　　统一身份认证是整个 IT 架构的最基本的组成部分，而账号则是实现统一身份认证的基础。做好账号的规划和设计直接决定着企业整个信息系统建设的便利与难易程度，决定着能否敏捷和快速赋能，决定着数字化转型的投入和效率。

　　用户账号是用户身份的一种表示。统一认证身份系统系统往往作为外围系统来集成各个应用系统，而不是作为核心基础系统被其他应用系统来集成。所以传统统一身份认证系统的建设存在众多的问题，使设计实现复杂化，管理复杂化，集成复杂化。

　　我们今天将详细讨论下统一身份认证账号设计的几个相关问题：

　　一、 账号基础数据来源及管理

　　账号 ( Account ) 是统一身份认证系统中 4A 管理中的一个要素。账号数据来源于哪里是建设统一身份认证平台时首先要确认的问题。账号通常可以简单分为内部员工账号和外部客户 / 用户账号。内部账号也可能包括工勤账号、外包账号、合作伙伴账号等。外部客户 / 用户账号则通常是业务客户或用户的账号。内部和外部账号通常是两个领域的账号管理需求，需要分别进行处理。因此统一身份认证平台需要支持 " 多租户 " 能力，以区分不同领域账号管理或安全隔离要求。

　　内部账号通常可以基于公司的 AD 或人力资源系统账号为基础，构建统一账号管理能力。外部账号则可以基于 CRM 系统账号为基础构建外部用户统一账号认证管理能力。在统一身份认证平台内，表示用户身份的账号一定是唯一的。公司内部账号往往是基于 AD 或 LDAP 的，统一身份认证平台的账号体系一旦建立起来，就可以替换掉 AD 或 LDAP ，不用再去集成 AD 或 LDAP 。身份认证账号一定是处于最底层的，其他系统都要基于账号体系来构建登录认证的。

　　由于系统建设不可能一步到位，所以可能存在很多系统还是基于 AD 或 LDAP 进行账号管理的，这就需要统一身份认证平台提供临时中间层，支持 LDAP 集成接口，以替换那些用到 AD 或 LDAP 的系统的配置。

　　账号和用户是两个独立的对象。账号在统一身份认证平台来维护，而用户则往往在人力资源管理系统维护。在统一身份认证平台内部，账号可以关联多种身份标识，以支持不同的认证方式或多因子认证。而人力资源管理系统等应用系统，则按照系统集成统一身份认证平台的方式来实现。