苍穹角色对接流程开发

Posted 2021-08-12 数通畅联

权限对接的主要一部分工作就是角色的对接，角色是统一权限管控的核心，对于角色权限的管控也是重中之重，因此针对角色流程的开发以及业务的顺利走通、规范的梳理，是必备的工作内容。

角色是权限的核心功能，围绕角色进行展开和标准的对接则是上选，然后针对业务系统的特性，支持相应的人员授权、组织授权，实现权限的适配性，以此满足在系统集成的过程中针对不同系统权限的兼容，提高系统自身更强的应用场景，保证各系统间顺利集成。

1业务背景

IDM统一身份认证平台在设计之初就有统一权限管控，但是经历了很多项目，实际进行权限强管控的项目几乎没有，主要原因就是在很多企业中，由于信息化职能部门并不是企业的核心部门和机构，因此相应的话语权较弱，大部分时候充当的是协调配合的角色，因此，能真正意义上的推动这样大规模改造核心业务部门系统的任务是很艰难的，某种意义上很难得到配合，导致IDM统一权限功能一直都被埋没着。

本次项目从战略角度对集团整体信息化进行了规划，并获得了上层领导的大力支持，让IDM统一权限功能逐渐得到重视，也正是因为这样的重视，让统一权限功能得以更好的完善，也让IDM的5A管控更加名副其实。

2场景适配

角色管理包含标准角色和实际角色，标准角色即独立存在，与组织没有关系，独立维护、独立使用，实际角色则是标准角色与组织关联后产生的业务角色，用来区分不同组织下的业务使用场景。

针对系统实际调研过程和内容，角色管理要满足以下需求内容：

1.支持不同组织树的引用（包含业务组织、行政组织、财务组织等）；

2.支持独立角色的单独维护，可以自行进行标准角色的增删改查；

3.实际角色支持本组织下关联，同时支持跨组织关联；

4.人员既可以关联标准角色，同时也可以关联实际角色；

3实现思路

针对上述内容，可针对现有苍穹角色授权对接全场景覆盖，苍穹系统的角色授权模式可以在IDM授权实现，通过引入苍穹的业务单元作为IDM的权限组织树，然后独立维护标准角色和实际角色进行角色权限的推送，实现苍穹系统功能权限的配置和管控。

3.1实现逻辑

1.首先进行角色、业务单元数据初始化，拉取现有苍穹数据，通过ESB进行数据转化，将业务单元写入缓存，角色信息写入IDM平台苍穹系统分组下；

2.进行角色梳理，将现有角色内容进行删减，规范标准角色和实际角色内容；

3.根据实际情况，进行人员和实际角色以及标准角色关联配置；

4.权限功能进行功能角色授权配置，生成角色推送任务；

5.ESB获取任务信息，进行角色权限推送，进行苍穹、角色、人员、组织信息接口写入，实现角色授权。

3.2要点说明

1.苍穹使用的是业务单元，因此在进行苍穹权限对接时，需要在应用配置进行相应策略的开启；

2.业务单元数据拉取，需要调用苍穹的接口，并通过ESB进行数据转换，然后写入IDM缓存中；

3.角色数据同步IDM后，需要进行初始化角色处理，IDM角色即为标准，保证数据的完整和准确；

4.针对苍穹权限场景，将角色开启为可进行跨组织关联；

5.角色推送过程中，调用苍穹角色和人员写入接口，同时调用角色和组织写入接口，需要同时处理。

3.3测试思路

测试过程中要进行全场景覆盖，包括权限的新增、删除，人员角色关联授权、组织角色关联授权等，具体测试场景内容如下：

1.业务单元数据导入；

2.历史角色数据导入；

3.标准角色添加、删除；

4.实际角色添加、删除；

5.角色和人员关联添加、删除；

6.角色跨组织关联组织，人员跨组织关联角色；

7.实际角色功能授权新增、删除、清空，批量新增。

4对接思路

苍穹权限对接主要内容在于任务数据的处理、对接苍穹接口的情况，针对不同数据情况，对苍穹组织、角色、人员和业务功能关联的写入，通过对数据的处理和转换保证权限推送成功。

4.1苍穹接口

对于数据的推送，首选就是了解业务系统的情况，然后根据业务系统的接口入参和出参进行数据的处理，苍穹在角色对接过程中使用的接口内容以及出参、入参情况进行说明。

• 查询业务单元

调用地址：

调用方式：post

出参效果：

• 角色权限查询

调用地址：

调用方式：post

入参样例：

出参效果：

• 角色分配用户接口

逻辑说明：要先有组织、组织下有角色，然后才可以关联人员。

调用地址：

调用方式：post。

入参参数：(删除角色，数据部分处理”role”:[])。

 

出参效果：

• 角色授权接口

调用地址：

调用方式：post

入参参数：（如果删除则传递为空即可）

出参效果：

4.2权限注册

权限注册包含角色数据注册（历史数据）、业务单元数据注册、功能和角色授权功能注册，操作思路具体如下。

• 角色数据注册

通过调用苍穹的角色权限查询接口，将角色相关数据进行处理，分成三部分，角色和人员关联，角色和组织关联，角色和功能关联，并导出两个EXCEL，一个写入数据库，保证数据可通过IDM平台进行导入，流程如下：

• 业务单元数据注册

苍穹使用的组织时业务单元组织，并不是行政组织，因此需要引用业务单元数据，保证和苍穹一致，便于后续授权需求,数据初始化操作如下：

选择调用地址之后，进行相应的业务单元数据的拉取，如下：

4.3权限分发

权限分发主要时针对角色再功能权限授权的处理，包含的场景有角色新增、删除、清空，流程处理过程中，除了要保证可实现单条处理，同时要支持多条处理逻辑。

首先开发一个服务，将数据先进行处理，无论是单条还是多条，并通过任务状态，进行新增和删除流程调用，服务如下：

调用新增流程直接进行数据写入，不同考虑权限删减问题，如下：

调用删除流程，需要进行现有权限查询，然后进行数据处理，然后进行数据写入，如下：

5心得体会

通过本次对IDM统一权限角色的梳理，对统一权限有了更深刻的认识，之前对统一权限的认知和了解处在理论实现阶段，并且对于IDM开发后的实际功能在和业务结合的过程也比较笨拙，通过本次功能的推演和思考，对于功能的对接、业务的实现有了一定信心。 

5.1自我总结

本次角色对接流程开发梳理对于思想的转换是我的一大收获，以前我总是引导客户功能上的使用，从没考虑过客户在使用过程中真正的烦恼，真正的产品是要迎合广大用户使用的，只有得到客户认证的产品才是成功的，因此，不要忽视客户的建议，而是要认真思考、剥茧抽丝，把精华留下，融入到产品中去，最大程度的展现出能力和实力。

5.2意义思考

统一权限的对接是我接触项目以来第一个真正意义要做全、推广的项目，对于我来说很难得，通过本次权限的对接，要梳理相应的对接流程和标准，以及相应的标准对接方式，为后续其他项目的推进提供参考和借鉴。

5.3高度提升

产品来源于项目，用于项目，在项目中打磨和完善，没有一个功能是闭门造车就可以用的，都是通过不断使用、不断完善，一点一点变得强大，因此，除了自己要不断的模拟使用，还要交付给客户不断使用，在使用过程中不断完善、不断修改，直至让客户认可，只有这样经过洗礼的产品，才能变得越来越强大。

项目的实施，产品才是根本，一直以来公司对于产品的打磨从未停歇，业务场景的不断完善、业务功能的不断引入，让IDM不仅仅承载的是一个行业，而是多个行业标准的适配，正因为这样，才让我们的项目不限于产业和行业，都能进行兼容和深化，随着后续IDM门户的加入，也让IDM产品更加多元化和专业化，变得更加成熟、稳定。