李申章，郭　威，毛正雄，张雪坚

（云南电网有限责任公司 信息中心，昆明 650217）

从组织人员“流动”管理的角度探讨4A的深入化应用

李申章，郭威，毛正雄，张雪坚

（云南电网有限责任公司 信息中心，昆明 650217）

4A平台的定位是集统一身份、统一认证、统一授权、安全审计于一体，同时也是一套高效的统一权限管理集约化平台，助力信息系统应用安全管理。但从南网CSGII实施效果来看，制约4A应用效率的原因之一，就是系统的组织人员管理，不能实现快速的切换和权限的高效变换。4A与各业务系统之间的数据一致性保证机制，成为了制约4A统一身份管理、统一认证的关键问题。如何优化和改善这数据一致性的保证机制，成为了4A深化应用的重点，和需要关键解决的内容。

组织；人员；权限；管理；4A

0　引言

企业在人力资源管理中始终存在着人员流动问题，人员的流动包括由社会向企业流动、企业内部不同岗位之间流动和从企业向社会流动三个进程。“流水不腐，户枢不蠹”，保持企业与外部社会之间人员一定的流动对企业优化人员结构、提高人员素质，从而使内部人力资源更好地满足企业发展需要是非常必要的。对于电网的系统建设亦是如此，系统的设计使用需要充分的考虑组织、人员的变化与流动。4A平台作为统一身份、统一认证管理集约化平台，组织机构、人员、权限不断的“流动、变更”是系统运行管理的常态，系统设计是否充分考虑到了管理人员流动的常态应用，是系统能否实用、易用的关键，本文结合4A系统的定位，及其当前4A系统应用的效果，从组织人员“流动”管理的角度，探讨4A的深入化应用。

1　现状分析

南方电网公司4A平台上线，标志着4A平台的建设取得了阶段性成果，并在全网各单位正式投入试运行。经过的持续化使用，系统暴露出了逻辑设计、应用管理等方面的问题。随着应用不断深入，用户体验及业务需求不断的呈现，需要4A平台持续完善功能及需求，建设成实用、易用、好用的支撑性平台。优化管理流程，提升运行管理效率和用户体验，解决全网30万用户身份权限管理分散和用户行为审计不足的问题。

1.1用户管理

采取“分散到集中”的设计思路，把南方电网公司原来分散于各个应用系统中的用户数据统一集中到4A平台管理，各个应用系统中的人员信息以4A平台为依据，通过4A平台提供的信息同步接口实现应用系统和4A平台之间信息的同步。实现用户账号集中管理，业务系统用户账号信息需持续完善和清理，进一步规范用户生命周期管理，解决用户账号分散，多系统多账号，维护效率较低等问题。

1.2单点登录

4A平台与各业务应用集成，从技术和管理角度彻底解决用户的身份标识不安全问题，用户登录通过4A平台认证访问业务数据，做到“一处登录、处处通行”。目前4A平台单点登录未覆盖全部核心系统，需要进一步加强系统集成范围，同时在外网业务系统认证支撑方面需要实现外部用户的统一认证管理与安全密钥统一管理。

1.3授权管理

在用户信息集中管理的基础上，授权管理主要是把分散到各个业务系统中的权限管理集中到4A平台管理，各个业务系统只是保留访问控制模块，通过权限的统一管理，既可以减轻管理的复杂度，增加权限管理的及时性、精确性。需要解决业务系统管理员在4A平台上实现用户在各个系统的授权，简化操作，用户的增加、删除和授权、回收也将自动推送至各个业务系统，减少人工干预，提高运维效率。

1.4数据质量

针对4A平台和各业务系统的组织、用户、角色、权限等数据进行比对分析发现，数据质量低是造成系统易用性低的一个重要因素，主要表现在以下几个方面。

1.4.1匹配率不高

4A平台与各业务系统的组织、用户、角色、权限等数据，没有达到100%的匹配率存在一定数量数据无法实现4A平台与业务系统匹配，而这部分数据恰好是造成系统易用性差的主要因素，加上系统间集成关系复杂，难于保证匹配率实时处于100%，见图1。保证匹配率一直处于一个较高的水平需要付出大量人力物力。

图1　匹配率监控图

1.4.2数据变化不规律

通过监控业务系统组织、用户、角色、权限数据的变化情况，可以判断系统是否进入一个稳定的运行期间，少量且有规律的组织人员变化则是正常，符合人员流动变化的实际，但是突然大幅度的变化，则说明业务系统使用还不趋于稳定，存在着大量变更操作，见图2。

1.4.3用户权限完整率低

通过对业务系统的用户权限进行监控分析发现，业务系统中大量账户未分配权限。此数据说明，业务系统存在大量无法正常应用系统的账户数据，见图3。

图2　数据变化率监控图

图3　权限完整率监控图

1.4.4存在冗余脏数据

通过对比分析发现，业务系统中存在同一个组织部门下，相同人名的用户数据有多条，或者相同的组织、用户ID存在多条记录等情况。系统间存在有冗余。该问题的存在将会影响以4A为数据源头，进行用户数据更改时，同步接口无法正确的将用户数据推送至业务系统，或者4A更改一条数据，而造成业务系统会同时更改两条数据，从而使业务系统兼岗人员用户无法正常使用系统。

1.5监管技术

当前的4A平台应用，缺少一套及时监控分析各业务系统账户权限数据质量和一致性的工具，不能及时获得4A与业务系统之间的一致性、数据完整性、用户权限完整率等指标，不能及时的发现、消除问题，导致系统的易用性降低，管理工作量较大，所以，系统管理急需一套业务系统账号权限一致性监管工具，辅助管理人员管理业务系统。

2　解决措施

基于当前4A系统应用效果，结合4A系统的设计定位，加强4A系统业务功能及协调管理，从组织人员“流动”管理的角度，从以下几个方面探讨4A的深入化应用。

2.1严格落实4A统一管理、统一认证的目标

组织提高4A与各业务系统的数据质量，保证匹配率大于99.99%、用户权限完整率大于90%。控制数据变化率，严禁业务系统私自修改刷新组织、用户、岗位角色、资源的数据。从技术上、制度上保证4A统一管理、统一认证的唯一合法性。

2.2扩展4A的支持移动端的统一认证授权

随着移动技术的发展和应用移动化的增加，4A作为统一身份、统一认证、统一授权的系统，支持移动平台的授权的需求也随之增加。扩展4A的支持移动端的统一认证授权是深化应用需要研究的关键。

2.3建立分层分级管理机制

为规范各CSGII系统接入4A管控后的用户、角色及权限管理，为各系统的全面推广和深化应用提供基础保障。需要采用分级授权，统一管理模式。企业级管理信息系统（CSGⅡ）的用户权限申请、变更和删除的具体受理、操作和复核分省、地市两级进行（县级单位由所属供电局负责）。避免因过分集中管理造成进度缓慢、或者因过分分散管理而导致技术支持不到位的情况发生。

2.4流程化、批量化管理

在实现权限的统一集中管控基础上，需要进一步对授权委托、批量易用授权、权限审批流程等进行加强，需要实现基于流程的自动化易用授权管理体系。

2.5岗位、角色权限标准化

资产、GIS、营销等系统，岗位角色的设定具有一定的相似性，可以配置出标准岗位、角色的权限模板，当职工业务岗位、角色需要变换时，秩序将标准岗位、角色赋值给职工即可，提高管理员分配权限的效率。目前的4A平台缺少该标准化的设计模式，授权效率较低，所以提高4A平台的应用效率，设计实现岗位、角色的权限标准化模板功能，尤为重要，见图4。户权限，进行复制，快速粘贴赋值给待分配权限的用户，从而实现快速授权的目的，类似于Office办公软件的“格式刷”功能。

图4　标准岗位、角色授权示意图

（3）集中一次授权多个系统

在实际的工作过程中，如营配电子移交流程，一个岗位需要同时拥有多个系统相应的角色权限，按照电子化移交流程的岗位设定，4A系统作为统一账户权限管理工具，研究通用的集中一次授权的工具，实现一次将各个业务系统的角色权限，一次授权给对应的账户，从而提高授权的效率，见图5。

实现上述标准化功能，4A平台可以从以下几个方面进行深化完善。

（1）制作标准化模板

根据业务系统的业务工作的规律，将业务系统的权限进行分组，建立统一标准的标准岗位、角色。授权时，再将标准的岗位、角色授予用户。从而实现快速授权。该设计实现逻辑，可参考营销、资产等系统自身权限管理功能，充分吸收业务系统便捷的设计理念，为4A系统所用。

（2）人员权限复制粘贴

因业务工作的相似性，不通的人员会执行同样或者相似的工作，需要业务系统分配相同的岗位、角色。将已分配权限的用

图5　集中授权示意图

2.6增加一致性维护功能

为了保证4A平台统一管理组织用户、权限、认证、审计信息，与各个业务系统一直，增加4A与业务系统一致性维护功能。通过图形化的展示，直观的比对出系统间数据间的差异，精准分析，提前预判和响应。通过可视化的功能与自动提醒功能，提高管理运维效率，从而确保4A平台与业务系统间数据的一致性，见图6。

图6　一致性监控维护示意图

2.7增加数据监控分析工具

增加4A与各业务系统数据一致性分析监控工具，通过监控4A系统与各业务系统组织、用户、用户角色、角色、角色资源、资源的数据变化，通过一致性比对、数据变化率、用户权限完整率、重复数据量等方面进行全面的分析计算，获得指标值，同时报出存在差异的数据，明确指导4A平台管理员，开展运维管理工作。

2.8异常保障机制

2.8.1系统自动容错机制

（1）变化自动触发同步

按照系统的统一设计，人资系统作为组织、人员的数据源头，4A平台接收人资数据后进行集中管理分配权限，并同步至业务系统。当前这一设计的实现，依靠的是系统管理人员的手工的方式达成，并不能由系统自动触发完成。要达成高效的维护组织、账户信息，并且保证4A与各业务系统的数据一致性，减少管理人员的参与程度。实现组织、人员变换自动触发同步功能，即当组织、人员一旦发生变化后自动触发发同步，驱动业务系统及时变更。这是4A深入应用非常必要的优化内容。

（2）同步失败 “自动重合闸”

4A数据同步给业务系统，经常遇到网络中断，SOA平台等待失败等问题，该类问题可以采用既定次数的再次同步方式，例如当遇到失败时，采用类似电网调度中的 “自动重合闸”机制，定时重启，减低人为干预量，提高系统自主容错能力。当既定次数的重合闸机制启动后，还是无法解决的同步失败，转交由人工干预模式解决。

2.8.2人工干预机制

（1）以“同步顺畅率”作为考核指标

4A系统是否顺畅的工作，提高系统容错纠错能力，降低人工干预的程度。以“同步顺畅率”作为评价考核系统应用成熟度的一项指标，即自动同步成功数除于需要同步数据数量的比值，作为系统成熟度评价指标。

（2）以“匹配率、权限完整率”作为考核指标

通过实时的监控，以“匹配率、权限完整率”作为评价考核系统应用成熟度的一项指标，一旦发现4A与业务系统的匹配率、权限完整率低于规定的阈值时，必须启动人工干预机制，组织4A与业务系统进行共同分析，消除差异，保证匹配率、权限完整率符合要求。

3　总结

降低、取消业务系统自身对的组织人员权限的管理，统一交由4A系统管理。要求4A平台必须要有通用的组织、账户、权限管理设计，更需要便捷、稳定、可靠的功能作为支撑，有效的服务于组织人员的“流动、变化”的实际应用需求。也是4A平台能够正真实现集统一身份、统一认证、统一授权、安全审计于一体的关键，是4A深入化应用该优化完善的重点。

主要参考文献

［1］张振，朱志祥，梁小江.一种统一用户管理和认证授权方案［J］.电子技术，2015（5）.

［2］范围.基于CAS的单点登录系统应用研究［J］.电子测试，2016（8）.

［3］刘永庆.一种基于SOA架构的访问控制安全服务模型研究［J］.网络安全技术与应，2016（5）.

［4］沈清涛.移动互联网络安全认证及安全应用中若干关键技术研究［J］.网络安全技术与应用，2016（4）.

［5］陆志刚，王杰，魏峻.基于SAML的真单点登录框架［J］.计算机系统应用，2016（2）.

10.3969/j.issn.1673-0194.2016.19.045

F279.23

A

1673-0194（2016）19-0082-05

2016-05-19

李申章（1985-），男，云南昆明人，工程师，主要研究方向：电力信息化系统软件，电网可视化管理。