熊亿民 中国移动通信集团福建有限公司手机动漫基地系统支撑室经理

4A系统结合工单系统实现授权关系可视化处理

熊亿民 中国移动通信集团福建有限公司手机动漫基地系统支撑室经理

4A管理系统作为安全管理及运维工作的支撑手段，实现集中化的账号管理，统一认证、集中授权以及操作审计。本文介绍了当前4A系统在实现账号授权中存在的潜在不一致问题，并设计通过账号授权变更的对象化处理、可视化处理实现对权限变化进行检查、审计，进行数据稽核，提高账号管理的精细化管理。

4A系统 授权关系 可视化 对象化

1 4A系统账号授权管理现状

4A管理系统作为安全管理及运维工作的支撑手段，实现集中化的账号管理，统一认证、集中授权以及操作审计。4A管理系统提供电子化流程满足安全管理和日常运维用户、账号、授权的需求。

当前申请人员通过工单系统填写申请单，描述说明账号授权的变更内容。根据工单系统中设置的工单运转流程执行审批过程。在工单系统中完成处理后工单通过接口推送至4A管理系统中，发送给相应的账号管理员，账号管理员根据工单内容，在4A管理系统中完成账号授权管理的具体维护操作。

在当前技术框架下，工单申请审批由工单系统完成，账号授权变更通过4A管理系统推送至资源。在此管理过程中需要保障申请内容与最终执行过程一致性，但实际运维过程中存在以下的困难和风险：

（1）由于账号授权申请和流程导入以描述方式体现，存在描述不清、理解偏差、执行有误的风险。

（2）由于账号授权变更申请与执行在不同支撑系统间完成，目前缺少对申请与实际执行情况的审计与验证机制，对执行结果与申请要求的一致性无法自动化进行稽核验证管理。

（3）没有建立主账号为视角的相关账号授权变更关联操作，无法获得主账号周期内权限变化过程“轨迹”，不便于对于账号授权变化梳理，不便于账号授权一致性的审计。

2 解决方案概述

针对上述管理过程中的实际问题，设计后述解决方案进行改进与优化。该方案结合4A系统与工单系统功能，通过使账号授权关系处理对象化，实现账号授权管理可视化。

目前工单系统中具有以附件形式进行提交申请内容的支撑功能，利用该流程，以附件方式提交对象化的权限变更数据，当工单系统执行完毕后导入4A管理系统时，账号管理员根据对象化的账号授权变更对象信息执行具体变更操作。4A管理系统周期性对于账号授权变化进行稽核操作，以账号为视角跟踪周期内账号授权变化的申请和执行过程，验证当前状态是否与各个操作执行结果是否一致。

3 授权关系可视化实现详述

为实现账号授权变更申请与执行过程的可视化处理（见图1），首先需要确定账号授权变更对象模型，设计“账号授权变更对象表”，表中确保涵盖账号授权变更所有申请内容；其次需要建立账号授权工单申请处理规范，即在申请人提交账号授权申请工单时必须提交“账号授权变更对象表”，后续针对表中所申请和变化的对象内容进行审核、审批过程；再次工单系统对于处理完成的工单系统自动推送至4A管理系统时，同时将“账号授权变更对象表”推送至4A管理系统，4A管理系统提取对象表中对象信息，形成自身系统中的账号授权变更执行数据并完成操作；最后4A系统基于账号视角统计权限变更情况。

在上述流程处理过程中，采用异步差量算法实现对数据的一致性稽核：

在实际生产中因为数据量较大，对单个工单数据的提取和对比是比较耗时的，因此在优化时，采用对数据的异步差量算法从历史数据中提前差异数据（见图2）。

图1 结合工单系统实现账号授权管理对象化处理过程

图2 账号授权管理的一致性稽核

表1 主账号导入变更对象表

（1）确立变更对象

根据当前账号权限管理现状，纳入工单管理流程对象化处理的主要包括主账号变更申请、从账号变更、主从账号授权管理流程，根据每项管理流程确立具体对象信息，固化形成“账号授权对象变更表”。以下以主账号导入、从账号导入、主从账号授权导入为例说明变更对象。

●主账号导入对象变更表

主账号导入对象示例如表1所示。

●从账号导入对象变更表

从账号导入对象示例如表2所示。

●主从账号授权导入变更对象表

主从账号授权导入对象示例如表3所示。

在确立各种账号管理流程对应具体变更对象后，以EXCEL格式形成变更对象表，用于作为附件在工单系统中进行导入。

（2）导入变更对象

在对账号权限变更管理流程进行分析后，将账号权限变更管理的各种描述说明转化为账号权限属性对象化的说明，可将相应对象化说明的属性直接转化成变更要求。对工单系统中涉及账号授权关系的流程处理中增加“账号授权对象变更表”必须导入控制点，即在工单系统中提交账号授权变更申请时，自动控制必须以附件形式导入“账号授权对象变更表”（见图3），作为对于变更内容的说明，用于后续的审批流程，同时作为变更内容一同同步至4A管理系统，用于提示在4A系统上执行具体的操作。

表2 从账号导入变更对象表

表3 主从账号授权导入变更对象表

图3 工单系统中导入变更对象

将“账号授权对象变更表”以附件形式添加至工单中，作为强制控制要求，确保变更对象信息的导入。

（3）提取变更对象

对于账号权限变更申请信息在工单系统完成申请、审核、审批流转后，通过工单系统与4A管理系统的接口将工单及附件信息发送至4A管理系统。4A管理系统接收工单信息，4A管理系统从“账号授权对象变更表”中逐一提取账号权限的对象信息，根据工单申请类型，将对象信息转化成系统内部的自动作业计划，由账号管理员对作业计划进行审核后，自动完成作业计划的执行，如将“主账号导入变更对象表”中内容对应转化至主账号创建作业计划。在上述过程中，账号授权关系中变更信息的提取由系统自动完成，不存在人为理解偏差，确保对象直接转化为账号权限变化的执行计划。

（4）核查一致性

4A管理系统定期核查主、从账号以及对象关系的变化。系统会周期性对每个主账号形成对象属性变化过程，统计主账号的变化由哪些工单变化而成，将所有变更工单以及“账号授权对象变更表”作为该主账号的管理属性进行呈现，可以逐个展现对象属性变化过程。4A管理系统具有权限变更模拟展现，可以展现账号对应的对象属性的变化过程和最终状态。在对变更信息梳理整理后，提供给账号管理员用于人工核查。

4 结束语

上述方案通过利用对象化方式导入、提取、展现账号授权关系的方法，将现有以文字描述体现变更信息转化为对象描述，提供系统自动化提取变更信息的技术基础；对以对象方式导入账号授权变更信息在多个系统间的流转过程中进行稽核，是实现信息一致性保障的技术手段。

通过该技术设计可提高工作流程中账号授权变更数据的一致性，提高4A管理系统自动化处理流程，减少人为误操作，确保后续4A系统账号访问操作的稳定性，达到提升企业运维、审计工作效率的目标。