胡淼 谢华 李俊

摘  要：目前许多高校基于企业微信搭建移动服务平台，并通过统一身份认证平台与企业微信的对接为用户提供“免登录”体验，但使得多身份用户在使用企业微信时无法明确身份的难题凸显。文章对企业微信接口与身份认证机制进行了研究，通过梳理数据源、确定合重方式、同步推送数据以及提供身份切换等一系列措施，实践解决了多身份难题，同时完成身份数据的初步治理，为搭建身份治理平台提供基础与方向。

关键词：企业微信；统一身份认证；多身份；身份治理

中图分类号：TP311  文献标识码：A  文章编号：2096-4706（2023）02-0015-03

Solution and Practice of University Enterprise's WeChat Multi Identity Problem

HU Miao， XIE Hua， LI Jun

（Nanjing Sport Institute， Nanjing  210014， China）

Abstract： At present， many colleges and universities build mobile service platforms based on enterprise WeChat， and provide users with a “login free” experience through the connection between the unified identity authentication platform and enterprise WeChat. However， the problem that multi identity users cannot identify themselves when using enterprise WeChat is highlighted. This paper studies the enterprise WeChat interface and identity authentication mechanism. Through a series of measures such as sorting out the data source， determining the way of combining， synchronously pushing data and providing identity switching， it solves the multi identity problem and completes the initial governance of identity data， providing the foundation and direction for building an identity governance platform.

Keywords： enterprise WeChat; unified identity authentication; multi identity; identity governance

0  引  言

随着信息化不断发展，各高校积极推进智慧校园建设，满足各应用需求的业务系统层出不穷，但同时也带来了网络信息安全隐患、各系统账号密码繁多、系统间存在应用壁垒和数据孤岛等问题，为解决上述问题，将现有业务系统适当改造，与校园统一身份认证平台对接，实现身份与权限的统一管理与认证，成为当今主流。以笔者所在学校——南京体育学院为例，目前已完成全量数据中心、统一身份认证平台以及融合门户建设，与我校教务、学工、人事、科研等30多个业务系统完成认证及数据集成。

随着移动服务的需求不断增加，企业微信作为腾讯公司推出的一款专业办公管理平台，具有开发及推广成本低、用户黏度高、信息推送量不限且及时准确、安全性能较高、用户通讯录认证技术、终端适配等优势，笔者学校选择基于企业微信搭建移动端校园应用，但与此同时，校園应用与企业微信对接过程中，本身就存在弊端的多身份认证问题凸显，亟待解决。

1  存在问题

1.1  相关技术概念

企业微信在身份认证体系构建方面提供了通讯录管理以及身份验证两类基础功能接口，能够为校园移动应用在用户的身份权限管理上提供方便的功能支撑[2]。

1.1.1  通讯录管理接口

提供用户信息、组织机构信息的同步功能，学校通过该接口将教职工、学生、临时人员等用户信息以及全校组织机构（包括用户组、岗位、角色等）信息同步至企业微信通讯录，从而搭建通信录认证白名单。

值得注意的是，接口中用户信息字段UserID、mobile、email三者企业内必须唯一，也就意味着企业用户通过手机号码或邮箱来标识自己在企业内的唯一身份。

1.1.2  身份验证接口

企业微信提供了基于OAuth2协议的网页授权登录与扫码授权登录两种身份验证方式，与之对接的校园应用可通过该接口获取当前登录企业微信的用户信息（UserID等参数）。

1.2  “企业微信+统一身份认证”模式下的免登录体验

笔者所在学校基于企业微信提供的上述接口，将学校统一身份认证平台与企业微信完成身份认证技术对接，可以实现用户在企业微信客户端使用校园应用时达到“无感知”身份认证（无须输入账号密码）。

首先，学校统一身份认证平台与企业微信对接通讯录管理接口，实现用户信息、组织机构信息的实时同步，保证校园合法用户才能使用手机号码或手机号码绑定的微信账号登录校园企业微信。

其次，用户通过企业微信客户端访问校园应用时，统一身份认证平台通过企业微信提供的身份验证接口获取当前登录用户信息并进行身份认证，免去用户输入账号、密码环节。具体过程如图1所示。①用户点击企业微信中提供的校园应用链接，该链接均由各校园应用提供商构造的OAuth2协议链接；②企业微信后台根据用户请求中携带的各类参数，验证用户及请求的合法性；③若验证合法，企业微信后台返回携带有授权码的应用链接，企业微信客户端根据返回的应用链接重定向至对应的校园应用，请求服务；④校园应用接收到请求后，向校园统一身份认证平台请求身份认证，验证用户合法性、获取身份信息；⑤统一身份认证平台使用授权码通过企业微信提供的身份验证接口API获取当前登录用户身份信息，包括UserID、所在部门等信息；⑥统一身份认证平台根据获取到的用户信息验证用户合法性，并向校园应用返回认证结果，包含用户必要信息；⑦校园应用获得认证结果后，根据用户信息建立相应会话资源，并向企业微信返回授权资源及结果；⑧企业微信客户端根据授权资源向用户展现相应的应用页面。

1.3  多身份现象及企业微信“免登录”场景下存在的问题

由于笔者所在学校培养方向的特殊性，除教职工、学生等人员外，还存在教练员、运动员等身份用户，且校园存在大量人员具有多重身份，例如：教职工同时进行学位深造属于学生身份，在读学生同时属于校运动队在训运动员身份，甚至复杂情况下一个人同时具有3～4个校园身份。

多身份用户在使用学校各类业务及资源时，出现以下几点问题。

1.3.1  需记住多套身份账号密码

具有多身份的用户在处理不同身份事项时，即使学校已搭建统一身份认证机制，但仍需要使用不同身份的账号和密码登录，因为统一身份认证机制仅解决了同一身份在不同业务系统中的重复登录问题，针对多身份情况，仍需要用户记住多套账号和密码，来回登录，使用感受较差。

1.3.2  使用企业微信时无法明确身份

在企业微信“免登录”场景下，多身份问题进一步凸显，且直接影响业务使用，具体情况如下：

企业微信以手机号码或邮箱（一般为手机号码）作为通讯录唯一标识，这使得学校与企业微信同步通讯录数据后，企业微信根据同步推送的手机号码为每一个企业微信用户确定一个身份（对应一个UserID），如果单纯想要在企业微信中区分多重身份，需要用户使用不同手机号码（或不同手机号码绑定的微信）加入企业微信才能实现。而正常情况下即使拥有校园多重身份的用户，在系统登记使用的手机号码通常只有一个，也就是身份账号不同，但手机号码相同，这就使得多身份用户无法在企业微信获得多个身份。统一身份认证平台通过企业微信提供的身份验证接口获取登录用户的UserID也只能与系统登记的手机号码产生对应关系，无法明确用户的具体身份，无法为用户确定具体业务权限，这使得多身份用户在企业微信客户端无法正常使用校园业务。

2  解决与实践

2.1  解决思路

2.1.1  汇总数据统一归类

梳理不同身份数据的数据来源，明确集成方式，确保每一类身份数据拥有唯一的权威数据源；根据企业微信接口性质，确定身份数据以手机号码进行归类合重，并严格控制手机号码的数据来源及修改渠道，保证合重准确性。

笔者所在学校将身份类型分为五大类，包括教职工、本科生、研究生、运动员、临时人员，这五类身份数据来源分别为：人事系统、教务系统、研究生系统、训练系统及流程平台。这些业务系统均与学校数据中心完成数据集成与同步，数据中心再将汇总数据同步给统一身份认证平台，由统一身份认证平台完成归类合重，并提供唯一的手机号码修改渠道，成为学校手机号码的权威数据源，并反向同步更新给数据中心，从而保证数据一致性。

2.1.2  实现数据同步推送

将全校身份数据根据手机号码归类合重，对应同一个用户并展示，根据企业微信接口性质，为每一个用户标记UserID，完成手机号码与UserID的一对一关系，明确每个身份数据的有效期，清理、修改和完善各业务系统的历史推送数据，并适當修改业务逻辑，保证后续数据的准确性，完成身份数据的初步治理。根据身份数据的有效期，将每个用户（UserID及手机号码）的有效身份数据推送至企业微信，保证一个手机号可以对应多个身份，建设企业微信通讯录白名单。

2.1.3  提供多重身份切换登录

当用户通过企业微信客户端进行免登录认证时，统一身份认证平台通过企业微信提供的身份验证接口获取当前登录用户信息（UserID），便能方便快捷地查询出该用户的所有身份数据，并提供身份选择/切换页面，用户选择相应身份后，便能够以该身份访问相应业务系统，处理对应身份业务，从而有效解决多身份用户使用企业微信时无法明确身份的问题。

同时，统一身份认证平台提供“手机号码+密码”登录方式，当以该方式进行认证时，平台同样根据手机号码查询出该用户的所有身份数据，并提供身份选择/切换页面，从而解决多身份用户需使用不同身份账号密码才能登录对应身份办理身份事项的难题。

2.1.4  实现共享治理成果

多身份问题可能不局限在一个平台或一种应用场景，开放梳理完成的多身份数据及相关接口供其他系统使用，可解决共性问题，共享治理成果。

2.2  实践效果

2.2.1  登录

多身份治理完成后，用户无须记住多个身份账号及密码，可根据合重的手机号码登录，再选择相应身份进入系统。身份选择与切换界面如图2所示。

2.2.2  企业微信客户端

企业微信客户端提供免登录体验的同时，多身份用户直接按需选择业务办理的身份，提高用户办理事项的使用效率。

2.2.3  后台管理端

后台管理端根据“一用户多身份”汇总展示身份数据，并标识各身份状态及有效期。后台“一用户多身份”数据展示效果界面如图3所示。

3  结  论

笔者所在学校基于企业微信搭建校园移动办公环境，并通过统一身份认证平台与企业微信的对接为用户提供方便快捷的“免登录”体验，但使得多身份用户在使用企业微信时无法明确身份的难题更为突出，学校通过对企业微信接口与身份认证机制进行研究，提出紧抓数据来源、明确合重方式、同步推送数据、提供身份切换等一系列措施，使得多身份用户不必记住多套身份账号和密码，只需使用“手机号码+密码”登录方式便可在多个身份中来回切换选择，同时通过企业微信使用校园应用时，也可通过“免登录+选择身份”方式以明确的身份进入具体应用完成相应事务。与此同时，学校也完成了身份数据的初步治理，并开放数据接口、共享治理成果，为学校身份治理提供了基础与方向。

后续，学校在多身份方面仍有许多新的探究方向：首先，针对学校一人多身份的应用需求下，目前尚无模型或平台能够实现业务办理与消息通知等彻底融合的场景，例如：用户可查看自己全部身份权限下能够使用的应用，并选择相应应用与身份进入系统；用户可查看自己全部身份权限下的待办任务，并以相应身份完成对应的任务；用户能够收到自己全部身份权限下的消息提醒等。同时，后台管理端层面目前也只是具备多身份数据的展示功能，后续可搭建基于机构、岗位、人员等维度的身份治理平台，基于校園机构、岗位及身份数据的治理成果提供可视化管理平台，进一步实现高校身份治理。

参考文献：

[1] 李建国，姚军光.基于企业微信的移动校园建设研究 [J].青岛远洋船员职业学院学报，2021，42（3）：7-10.

[2] 张刚刚.智慧校园下“企业微信+CAS”的统一身份认证方案设计 [J].软件导刊，2022，21（1）：34-39.

[3] 陈胤梁，江峰，王莉.浅谈基于用户体验的校园统一身份认证系统优化 [J].电脑知识与技术，2021，17（9）：68-70.

[4] 乐海平.基于微信企业号的高校移动服务平台建设 [J].教育教学论坛，2020（47）：15-16.

[5] 许彩龙.基于微信企业号的高校移动门户建设与应用 [J].数字技术与应用，2022，40（5）：208-210.

[6] 徐建，宗锐，寇贇，等.基于统一身份认证的微应用开发应用探索 [J].电子世界，2021（12）：57-58.

作者简介：胡淼（1981—），女，汉族，江苏无锡人，实验师，硕士，研究方向：智慧校园建设与服务。

收稿日期：2022-08-29