2019年度教育信息化優秀案例丨東北財經大學:從統一身份認證到用戶...

　　數位化校園建設發展到今天，統一身份認證平臺作為重要的基礎設施得到了普及與應用。

　　目前，高校信息化建設環境中，一般都有統一的身份認證系統（三大平臺之一統一身份認證平臺）供各應用系統使用，但授權控制多由各應用系統自己管理。

　　統一身份認證中心（Central Authentication Service 縮寫：CAS）的目的，就是使分布在一個學校內部各個不同異構系統的認證工作集中在一起，通過一個公用的認證系統統一管理和驗證用戶的身份，一般我們稱之為統一身份認證平臺。

　　在CAS上認證的用戶將獲得CAS頒發的一個證書，使用這個證書，用戶可以在承認CAS證書的各個系統上自由穿梭訪問，不需要再次登錄認證。統一身份認證中心一般包含兩部分功能：數字身份管理和應用系統認證管理。

高校統一身份認證現狀

　　高校信息化領域，解決統一身份認證問題，主要採用單點登錄（Single Sign On）方案，也是目前比較流行的高校業務整合解決方案之一。

　　SSO的定義是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。

　　目前，教育信息化廠商的統一身份認證類產品，很多都是基於耶魯大學開發的單點登錄（Single Sign On）系統，是對CAS系統進行二次研發推出的。

　　2012年前，相當多的統一身份認證產品定位於「一帳號通行」，即在校園範圍內對接入的系統只需登錄一次即可訪問，強大的CAS完全能滿足需要，因此廠商也很少對CAS做改動（可能只改了Logo，主題）。

　　2013～2017年，移動信息化的興起，用戶體驗要求的提高，逐漸在CAS基礎上衍生支持更多協議（如Oauth、SAML等），完善其管理功能（如用戶管理、接入管理、安全管理等）。

　　2017年至今，開始有廠商在鑑權方式、權限管理、安全審計等方面對產品加以升級，進一步提高用戶體驗，為構建智慧校園奠定基礎。

　　傳統的典型CAS認證過程如圖1所示：

圖1 傳統的典型CAS認證過程

　　對於受保護資源的每個訪問請求，CAS Client 會分析其 Http 請求中是否包含 Service Ticket，如果沒有，則說明當前用戶尚未登錄，於是將請求重定向到指定好的 CAS Server 登錄地址，並傳遞 Service （也就是要訪問的目的資源地址），以便登錄成功過後轉回該地址。

　　用戶在第 3 步中輸入認證信息，如果登錄成功，CAS Server 隨機產生一個相當長度、唯一、不可偽造的 Service Ticket，並緩存以待將來驗證，然後系統自動重定向到 Service 所在地址，並為客戶端瀏覽器設置一個 Ticket Granted Cookie（TGC），CAS Client 在拿到 Service 和新產生的 Ticket 後，在第 5和第6 步中與 CAS Server 進行身份核實，以確保 Service Ticket 的合法性。

　　所有與 CAS 的交互均採用 SSL 協議，以確保ST 和 TGC 的安全性。

　　協議工作過程中會有兩次重定向的過程，但是 CAS Client 與 CAS Server 之間進行 Ticket 驗證的過程對於用戶是透明的。

　　簡單而言，用戶訪問任何應用系統，都會被重定向到認證在中心，校驗其身份後，發給用戶一張訪問門票 （Service Ticket），用戶持此門票訪問應用系統時，驗證決定是否允許其通過。

　　在傳統的應用場景中，這種模式良好地解決了「一帳號通行」的問題，也符合產品的核心定位——統一身份認證。

　　目前，產品的改進也是增加鑑權方式、增加後臺管理功能，核心本質不變，產品定位不變，但以現有的智慧校園建設場景，遠遠不能滿足要求。

　　如何滿足智慧校園微服務架構下多維度、細粒度權限體系設計？如何滿足跨業務域、跨校認證服務的需要，如eduroam、eduGAIN、圖書館館際互認？如何滿足個人數據安全防護的需要，確保類似「徐玉玉案件」不再發生？如何充分發揮好學校高質量、多維度的用戶數據，為教學、管理、社會服務助力？這些都是新一代統一身份認證產品需要考慮的問題。

從統一身份認證到統一用戶中心

　　從圖1可以看出，傳統產品只聚焦於解決「認證」的問題，或者說只考慮校內系統統一認證的問題，完全不能滿足網際網路環境下智慧校園建設的需要。

　　面向未來，下一代高校智慧校園場景中，用戶信息應該集中起來進行管理，按需（系統的需要、用戶的同意）提供給其他第三方系統使用。

　　完整的統一用戶中心應該包含籤證、賦信、授權、安全等功能。

　　1.鑑證

　　繼承傳統的統一身份認證，這是核心功能之一。只是原來的認證中心鑑權方式較為單一，僅有帳號密碼一種。

　　新的統一用戶中心，作為核心籤證庫，應該是包含多種用戶鑑權方式信息，包括帳號密碼、生物識別方式（人臉、FaceID、TouchID）、一卡通、NFC設備、微信（OpenID）、簡訊驗證碼方式等，以上多種驗證方式統一於一個用戶ID。

　　接管了業務系統、微服務系統的認證部分後，以統一的方式提供統一的、多樣的認證服務形式，有效提升用戶體驗。

　　2.賦信

　　這是統一用戶中心相對於統一身份認證最大的改變之一。

　　在傳統數位化校園場景中，用戶信息、組織信息在各業務系統中廣泛存在。

　　一方面，造成系統的極大冗餘。這些信息是高度標準化、一致化的，信息同步不及時，數據集成層面解決不善，將會造成很多業務的問題；

　　另一方面，個人信息廣泛存在於各業務系統，管理水平不一，風險點增加，極大造成個人信息安全隱患。如果個人信息集中保存在統一用戶中心，按需（系統需要、個人需要）提供給各業務系統使用，能極大提高數據安全管控水平，降低風險。

　　統一用戶中心在完成用戶鑑權認證後，按照需要對系統賦於相關信息，一般系統在此只返回userID信息（如圖1第6步），如下代碼：

　　Session.getAttribute（CASFilter.CAS_FILTER_USER）；

　　Session.getAttribute（「edu.yale.its.tp.cas.client.filter.user」）；

　　CAS v2 開始使用 XML 規範，大大增強了可擴展性， CAS v3.1配置樹形屬性倉庫attributeRepository之後，可方便獲得更多用戶信息，如下代碼：

　　//獲取遠程用戶

　　request.getRemoteUser（）

　　//獲取其他信息

　　AttributePrincipal principal = （AttributePrincipal）

　　request.getUserPrincipal（）； Map attributes = principal.getAttributes（）；

　　基於用戶中臺以API形式開放相關接口後，此過程亦可由用戶進行幹預，完全自主管控信息，如圖2所示。

圖2 用戶遠程幹預

　　3.授權

　　很多廠商目前正在以微服務的形式重構所有業務系統，以客戶需求為目標進行組合交付，消除傳統應用系統與微服務系統的界限。在這種思路下，傳統業務系統的授權體系也被解構的分崩離析。

　　如何實現微服務架構下的多維度、細粒度權限體系設計？「授權」作為統一用戶中心的重要功能，能夠完整實現以上要求。

　　從數據結構上來看，統一用戶中心最重要的除鑑證庫外，就是授權庫，其中存放接入系統、微服務的接入、應用權限信息。在用戶完成認證後，中心化的授權系統可將相應用戶接入應用的授權信息返回給系統，實現統一管控。

　　4.互聯

　　網際網路化的今天，高校校園環境中的智慧校園建設，應該在聚焦學校核心業務的基礎上，廣泛利用優秀網際網路廠商開放出來的能力、資源，為學校各業務場景進一步賦能。

　　同時，統一用戶中心以用戶中臺的形式把學校各種用戶信息能力開放出去，解決很多傳統領域難以解決的問題，再造許多新的業務場景，前景無限廣大。

　　統一用戶中心作為學校權威的用戶信息認證提供者，一方面做好與微信、微博等大用戶平臺的互聯互通工作，進一步提升用戶體驗，另外也可關注與高校各業務領域場景的用戶認證需求，如全球無線漫遊eduroam服務，解決高校師生無線漫遊問題，連結跨國身份聯盟組織eduGAIN，解決其他國家教育科研網共享應用資源問題，各種地域聯盟圖書館館際互通問題等。

　　通過中臺化開放的用戶能力，以先進的技術、產品加以引領，在公司、組織級別的層面拿出解決方案，促進此類服務廣泛、全面提升。

　　另外，高校作為學生最主要的活動場所，擁有完整且多方面的學生信息，例如學生基本信息，成績記錄，校園卡消費記錄，圖書借閱記錄，上網記錄等，涉及維度廣泛且健全。

　　高校比任何組織、任何網際網路公司、任何個人都更了解學生，建立相關主題數據模型後，如果將此數據能力以用戶中臺的形式開放出去，前景不可限量。

　　目前，校園貸問題十分突出，關鍵在於無法正確評估學生信用，持牌金融機構無法獲利，導致非法網貸機構趁虛而入，對學生權益造成很大損害。如果學校建立相關信用評估模型，並將其以用戶中臺的形式開放出去，整個業務領域將被重構與改寫。

以用戶中臺形式呈現的統一用戶中心

　　中臺產生於網際網路公司，目前這個話題非常火熱，也深深影響到了教育信息化領域。中臺的作用如圖3所示。

圖3 中臺的作用

　　1.中臺化讓用戶數據發揮價值

　　在企業中，中臺是為了更好地整合後端的計算、業務、數據資源，更敏捷、高效地為前臺服務而生，在高校中同樣如此。

　　但有所區別的是，高校中最有價值的是海量高維度、準確的數據資源，而網際網路公司則是強大的技術、業務資源。

　　開放高校海量的數據資源，尤其是用戶信息的需求場景在社會中廣泛存在。

　　如在校學生驗證，不論是校招、社招，或者兼職，「在讀學生證明」廣泛存在，為何不能以技術手段解決？統一用戶中心可以以API形式提供服務，獲得更廣泛的業務場景。

　　學生成績等級服務，以績點形式提供服務，優良中差判定，既保護學生隱私，又滿足社會需要；學生畫像服務，可經過學生同意授權後使用。

　　以上服務可以讓第三方多元化、全景化了解學生，消除信息不對稱造成的巨大鴻溝，用平臺化形式，真正把學生多維度數據資源釋放出來。

　　首先應該在平臺層面，在技術上加以解決，從而為產業環境醞釀生長奠定基礎。

　　什麼樣的平臺能夠把高校優秀的數據資源開放出來為廣大用戶所用，真正發揮其價值？這是廣大高校教育信息化廠商值得思考的問題。

　　2.統一化滿足個人數據保護的要求

　　傳統的數位化校園，每個業務系統都存有一套用戶信息，包括自然信息、組織信息等，造成個人信息防護最大的不確定性，存在的風險點極多，信息洩露事件時有發生。

　　每個業務系統的開發水平、管理水平不一，「木桶原理」決定，現實情況中，最短的那塊木板往往超乎想像的「短」，個人數據洩露是大概率事件，區別只是是否造成了相應損害而已。

　　在傳統的系統架構，用戶數據分散管理模式已經無法滿足目前用戶個人數據保護的需要。集中統一管理用戶數據，應該是解決此類問題比較好的方案。

　　用戶信息、組織信息統一存放在統一用戶中心，按照個人需要、系統需要差異化提供數據服務。

　　業務系統不得留存相關用戶信息，如同帳號、密碼不在系統留存，有效解決了用戶帳號的安全性，用戶信息的集中管理，很大程度滿足了個人數據安全性的要求。

　　2018年5月25日，歐洲聯盟出臺《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR），規定個人數據是屬於個人的資產，敏感個人數據的使用，必須經過個人的同意。

　　2019年7月30日，中央網信辦提出「要加快出臺數據安全法、數據安全管理辦法等一系列法規，規範數據採集、存儲、使用、共享相關的活動」。政策環境的不斷收緊也在要求產品、服務做出相應改變。

　　信息技術在教育教學、教育管理中發揮著支撐與引領的作用，但一直是支撐多、引領少，賦能多、再造少，迫切需要在模式上、場景上以「深度融合」為目標加以突破。

　　把視野提高，不要局限在一個系統、一個平臺、一個校園，而是從高校職能、改革發展的角度以點帶面加以突破，切實提高我國教育信息化應用與服務水平。

　　（作者：東北財經大學網絡信息管理中心 陳偉 劉丹）

　　進入專題>>2019高校信息化創新實踐方案展示