安军

摘要：该文分析高校信息系统建设现状，针对用户管理及权限管理广泛存在的问题，提出建立统一用户目录树，完成用户及组织架构数据同步，实现用户生命周期管理和统一权限管理以及用户自服务管理的设计规划，为高校信息系统用户及权限统一管理提供了清晰的思路，该文可供高校信息化系统规划、建设的相关同仁在信息系统用户及权限统一管理方面参考、借鉴。

关键词：高校信息;系统用户;权限;统一管理

中图分类号：TP393      文献标识码：A

文章编号：1009-3044（2022）18-0012-03

开放科学（资源服务）标识码（OSID）：

1高校信息系统现状

近年来，随着信息技术的迅速发展和教育信息化的持续推进，许多高校建设了教务、学生、科研、人事等一系列信息系统，信息化建设已具一定规模。信息系统的建设为提升高校管理能力、创造良好教学环境提供有力支撑。

在高校内部已建成的众多信息系统中，每套系统都有自己的用户和权限管理功能，从IT管理者角度来看，随着信息系统规模、用户类型、用户数量的不断增加，以及因管理需要导致用户、组织架构的频繁变动和权限管理不断细化给信息系统自身管理带来很大困难;从系统开发者的角度来看，用户、组织架构管理以及权限管理的重复开发，降低了新系统的开发速度、增加开发风险、造成开发成本增加;从实现数据共享和业务互通的角度来看，每个信息系统都有自己实现用户和权限管理的技术方式，后台使用的数据库也不尽相同，系统异构导致信息的可移植性差，非常不利于信息系统数据共享与业务集成。因此，需通过便捷有效的统一用户管理及权限管理体系改变被动局面，充分发挥信息系统效能。

2用户及权限统一管理的需求

針对当下高校广泛存在的用户及权限管理问题，需建立统一化的用户身份生命周期管理体系，为高校各信息系统提供统一标准的用户基本信息数据，整体提高用户及权限管理的效率和准确性，从而提升用户体验，降低维护人员工作量。

根据其他行业信息化系统建设的成功经验，针对高校实际的管理需要，提出需求如下：

1）建立一套集中的用户及组织架构信息库，作为基础设施为各信息系统提供用户及组织架构基础信息服务，利用数据同步接口实现对高校内各信息系统所需的用户基础信息和组织架构信息进行标准化管理。

2）通过对统一用户目录中主、从账号的统一管理，实现用户身份生命周期管理，可完成主、从账号的创建、锁定、删除，主、从账号间关联与同步，离职用户的主、从账号一次性锁定或清除。

3）实现统一用户管理及权限管理系统对高校内信息系统进行集中统一的系统级权限管理，为后续实现基于角色管理的细颗粒度权限管理目标奠定基础。

4）提供便捷的用户自服务，实现个人基本信息自维护、信息系统账号自申请、信息系统密码自找回等功能。

3用户及权限统一管理的规划

3.1 统一用户目录树

LDAP是轻型目录访问协议（LightweightDirectoryAccessProtocol）。顾名思义，它是用于访问目录服务的轻量级协议，方便用于B/S架构下访问目录服务[1]。目录服务与普通数据库不同，目录服务使用具有层次的树形结构来组织数据，特别适合用于人事组织结构管理、用户基础信息管理等具有层级和树形结构特点数据的快速搜索和浏览。

在这里使用LDAP目录来构建核心用户目录树，集中统一存储管理用户基础信息和组织架构信息。一般来讲，高校的人事管理系统或OA系统中的人员及组织架构信息比较全面和准确，根据高校内部管理的具体情况，统一用户及权限管理中的用户基础数据和组织架构基础数据可来自这两个系统。

1）用户基本信息

用户基本信息包括UID、姓名、性别、年龄、学历、学位、职级、所学专业、毕业院校等信息。管理员能够通过逐条录入、文件导入或者系统间接口方式增加一个或一批用户基础信息数据并进行规范化处理，作为统一用户管理的基础数据。统一用户管理中的用户基本信息数据存储在核心用户目录树中，这部分信息数据作为基础数据为高校内各信息系统提供用户基础数据同步服务。

在统一用户及权限管理系统中，用户基础数据以树形结构进行展示和管理，主要包括用户数据从人事管理系统或OA系统中同步，原有用户数据的属性编辑、位置排序，人员的检索等功能。

2）组织架构信息

组织架构信息主要包括组织编码ID、组织名称、组织级别、组织简称、组织描述、组织形态、组织状态、上级组织编码、主负责人、副负责人等基本信息。在高校内存在多个维度的组织架构信息，例如行政、党、团等维度，以及为了完成某专项工作而设立的虚拟组织，多维度的组织架构所属人员还会出现重叠。组织架构基本信息主要来自高校内部的人事管理系统，通过组织架构信息可以清晰完整描述高校内多维度的组织架构，组织架构信息的存储在核心用户目录树中，高校内各信息系统根据自身需要通过组织架构基本信息同步服务来获取组织架构信息。

同样，用户组织架构信息在统一用户及权限管理系统中以树形结构进行展示和管理，主要包括组织的创建，原有组织的属性编辑、位置排序，组织的检索、组织的删除等功能。

3.2 数据同步管理

统一用户及权限管理系统在兼顾便捷性和安全性的前提下与高校内其他信息系统进行数据集成与同步，主要涉及如下两个层面：

1）获取用户及组织架构基础数据

从人事管理系统或OA系统到统一用户及权限管理系统的数据集成与同步。通过系统间接口实现统一用户及权限管理系统从人事管理系统或OA系统获取用户及组织架构基本信息。

2）提供用户及组织架构数据服务

统一用户及权限管理系统是为高校内其他信息系统提供用户及组织架构信息服务的基础设施，统一用户及权限管理是高校内信息系统群实现统一门户和统一认证的前提和基础。统一用户及权限管理系统通过系统间接口为下游系统及时提供灵活的、按需获取的用户及组织架构信息。

3.3 用户生命周期管理

用户账号的创建、变更、锁定与解锁、注销或删除是用户在信息系统中存在的完整生命周期，需要信息系统对用户账号进行规范管理以避免非法用户带来各种信息安全风险[2]。用户生命周期管理对象包括对正式在编员工用户、社聘员工用户和临时用户的管理。用户生命周期管理主要是通过工作流引擎定制开发的用户管理电子审批流程来完成。

1）员工用户管理

正式在编员工用户和社聘员工用户的管理流程包括员工入职、调动、离职以及借调等四大类流程[3]。员工的发生变化时，一方面会影响到人事管理系统并触发其中的相关流程，另一方面也需要统一用户及权限管理系统对用户信息进行相应的维护。

2）临时用户管理

临时用户可以是内部用户也可以是外部用户。临时用户管理是指因管理需要申请的有指定有效期限的用户账号。临时用户管理流程包括临时用户创建、授权、变更和收回等方面的管理和审核流程，临时用户的创建需经过临时用户申请流程审批生效后才能创建。

3.4 权限的统一管理

统一权限管理，主要是指能够集中统一地对用户与相关信息系统的权限进行分配的过程。这里描述的权限，是指对特定资源的访问，比如读、写、执行等操作。在高校信息系统特定的环境下权限管理是指许可特定用户对特定资源进行一项或多项特定操作。

权限管理也有一个完整的生命周期，包括授予权限、权限变更、权限回收。在具体实践中，权限管理往往基于角色进行管理，角色是具有相同操作权限的用户组，把某个用户赋予某个角色，那么该用户将继承这个角色下的所有权限。基于角色的权限管理可以降低权限管理的复杂度，减轻管理员的工作量。

权限管理分为两个层面：一个层面是把每个信息系统作为一个资源来管理的粗颗粒度管理方式;另一个层面是把信息系统中的资源细项（每个功能模块或功能页面等）分别作为权限管理对象的细颗粒度管理方式。许多高校经过多年建设，信息系统数量多、系统权限管理复杂，建议现阶段实现粗粒度系统级授权，也就是完成用户到系统资源层面的粗颗粒度权限管理，待高校内部管理和技术成熟后再逐步细化。

1）信息系统管理

这里的信息系统是指由统一用户及权限管理系统完成统一管理集成的高校内部信息系统。为了方便管理，在统一用户及权限管理系统中提供信息系统的分类、分级管理，实现对纳入本系统权限管理的信息系统进行管理，包括注册、查询、编辑、锁定和注销操作。

①注册功能：管理员能够在统一用户及权限管理系统中通过人工添加的方式，针对具体的某项信息系统在统一用户及权限管理系统中注册新的信息系统信息，包括信息系统标识、IP地址、url地址、信息系统证书等;

②编辑功能：管理员能够在统一用户及权限管理系统中对被管理信息系统进行编辑修改，包括信息系统标识、IP地址、url地址、信息系统证书等;

③鎖定及解锁功能：根据管理需要，管理员可以在统一用户及权限管理系统中对被管理信息系统进行锁定操作，锁定的被管理信息系统将暂时停止统一用户及权限的管理，解锁后可恢复。

④注销功能：当某个被管理信息系统退网下线停止服务，或者系统出现异常状态时，管理员在统一用户及权限管理系统的管理界面中对被该信息系统进行注销操作。注销的被管信息系统将彻底无法进行统一用户和权限管理，除非进行再次注册操作。

2）用户授权管理

用户授权管理是指管理员可以针对特定资源的操作权限（读、写、执行等操作）进行单独用户授权或基于角色（用户组）进行集体授权。在高校的统一用户及授权管理系统中，主要是指对用户或用户组授权某个高校内部信息系统的访问权限。

对于纳入统一用户及权限管理系统管理的信息系统有相应的从账号，从账号与主账号存在着对应隶属关系。一个普通用户要具有访问某个信息系统的权限就必须拥有该信息系统的从账号。

用户从账号的申请需通过信息系统从账号申请流程审批生效后才可创建，从账号创建的同时会与主账号建立隶属关系。

有两种原因可以导致某个用户的信息系统从账号的锁定或删除。一种原因是该用户的主账号被锁定或删除，另一种原因是仅将该用户的这个应用从账号锁定或删除。

3）角色管理

角色是指拥有一系列权限的用户集合（用户组）。基于角色（用户组）的权限管理方式，可以简化授权管理，提高授权的便捷性[4]。

在统一用户及权限管理系统中梳理具有共性权限的用户及组织、定义角色，通过角色来进行授权管理。为满足管理、使用的需求，角色应包含但不限于以下属性：标识、类型、状态、创建修改时间、有效时间、权限（信息系统）内容。

考虑到高校信息系统现状，很多信息系统的授权比较复杂，例如：在教务管理系统中角色、权限的分类多种多样，并且高校内不同的信息系统的角色定义不一，含义也不尽相同，通过统一用户及权限管理系统中的角色和众多信息系统的角色进行映射，这种模式会对系统的管理和维护带来过大的复杂度，反而影响管理效能。现阶段可以先实现系统级授权的粗颗粒度管理方式，随着高校内部管理和技术成熟，后期可以把高校内各信息系统所包含的角色进行梳理，针对每个信息系统建立角色权限定义与变更和用户组定义与变更的同步机制，完成统一用户及权限管理系统从账号角色与信息系统用户角色对应，最终实现基于角色管理的细颗粒度权限管理目标[5]。

3.5用户自服务管理

为了减轻系统管理员工作强度，方便普通用户便捷获取相应服务，提高高校各信息系统用户及权限管理的时效性，在统一用户及权限管理系统中提供用户自服务功能。普通用户可在统一用户及权限管理系统中进行用户个人基本数据修改，信息系统账号自申请，信息系统密码自服务等用户自服务功能。

1）个人基本信息服务

普通用户可通过自服务查阅本人身份信息和信息系统授权，对用户ID、所属部门、职级等敏感信息以外的个人信息进行编辑、修改。

2）信息系统账号服务

普通用户可通过自服务申请所需信息系统账号，通过审批后可创建相应账号，获取访问该信息系统的权限。

3）信息系统密码服务

普通用户可使用该自服务功能修改自己的主、从账号密码，在密码丢失时可通过指引来重置密码。

4 结语

统一用户及权限管理是实现统一认证和统一门户展示的前提和基础。笔者研究借鉴其他行业统一用户及权限管理系统的成功经验，基于LDAP（LightweightDirectoryAccessProtocol轻量级目录访问协议）协议构建高校内部核心用户目录树，对用户身份数据、组织架构数据、权限数据进行规范管理，为高校内部各信息系统提供统一标准的用户基本信息数据、组织架构数据和权限管理数据，完成用户生命周期的统一管理，实现统一、安全、灵活和可扩展的统一用户及权限管理系统，借此整体提高高校信息系统用户及权限管理的效率和准确性，提升用户体验，降低维护人员工作量。

参考文献：

[1] 赵豪迈.整合“信息烟囱”的治理实践与经验评析[J].国家治理，2020（33）：41-45.

[2] 李颖.基于校园网的单点登录系统研究[J].电脑开发与应用，2013，26（3）：14-16.

[3] 翁晓泳，蔡潇.身份认证系统在电子政务中的应用研究[J].信息技术与信息化，2020（10）：35-37.

[4] 王文成.集成平台在医院信息系统集成中的应用[J].中国信息界，2020（5）：86-89.

[5] 胡丽丽.单点登陆在统一用户管理系统中的应用研究[J].电脑知识与技术，2017，13（31）：256-257.

【通联编辑：光文玲】