在集团信息化系统的建设中，由于应用系统数量日益增多，账号管理复杂度高、无统一认证及单点登录、无可统一调用身份数据、无统一授权审计、不便自助统一维护账号信息、IT维护成本加大等问题随之而来。集团缺少一个能有效将众多系统身份认证、账号管理，授权等功能集成的软件系统。

IDM+ESB预置样例主要处理IDM+ESB集成方案的数据同步过程 ，需要覆盖组织、岗位、人员的同步、分发，以及基于IDM的权限分发，同时需要基于ESB的服务模型、API管理、应用集成、预警报警等进行相关服务、接口的预置。使预置样例多样化，提高产品的可用度。本篇文档主要介绍IDM+ESB预置样例的相关架构和场景。

(资料图)

整体介绍

下面主要对IDM+ESB预置样例的整体需求进行说明，并对样例所使用到的组件场景进行整体规划，包括 组件的编排、结合以及常用的数据转换以及映射 等等，另外预置的服务在管理控制台进行注册和应用集成流程相结合，最后描述整体配置核心步骤。

1.需求说明

IDM+ESB预置样例主要 通过IDM的统一5A管控实现进行各系统的对接 ，并进行权限的统一，本次IDM+ESB预置样例创建的核心目的是通过样例工程使项目实施人员、新晋员工可以快速了解产品以及ESB组件的使用场景，IDM+ESB预置样例核心内容如下：

1.映射、转换组件的灵活应用，主要包括常见数据格式包括JavaBean、动态模型、XML、Json、DataRow、DataSet、DataBag、DataBox之间的数据格式处理及转换；

2.流程内循环、分支的处理；

3.基础组件预置样例在API服务进行注册并进行工程及流程的监控、统计、分析；

4.应用集成流程场景的配置及集成流程的调整；

5.IDM本身采用CAS认证，ESB采用CAS认证和Oauth认证；

6.根据实际业务对ESB、IDM进行角色分配和权限配置，并支持相关角色和权限的同步；

7.服务接口均 在ESB的API管理中进行注册和管理 ；

8.基于组织、岗位、人员数据实现IDM的统一用户。

2.集成架构

IDM+ESB统一身份5A管控方案主要以权威的业务系统为源头，将组织、角色、用户等信息同步到IDM平台，基于统一的用户信息完成统一认证；根据需求在IDM平台 进行业务角色、权限角色的统一管理与权限分配 ，再通过IDM分发到对应的业务系统中，实现权限的统一。

作为5A安全管控平台，IDM提供的 密码策略、认证策略、监控预警、统一分析、业务系统注册与管理 等功能能充分满足企业系统集成的需求。

3.数据架构

整体架构以IDM+ESB为主，通过ESB实现IDM相关数据的同步分发，整体架构图如下：

1.以HR为数据源头，提供组织、岗位、人员等基础数据，由ESB扩展组织、岗位、人员的数据提供服务，再通过ESB的应用集成同步至IDM平台；

2.模拟下游OA系统，由ESB扩展组织人员接收服务（参考SMC的组织人员接收服务）， IDM的组织、人员通过ESB应用集成自动下发OA系统 ；

3.IDM的组织、人员在分发时自动分发ESB的系统组织、人员（ESB提供组织人员的接收服务）；

4.在IDM平台配置角色以及对应资源菜单权限，通过手动生成任务、同步的方式同步至ESB系统/OA系统资源权限中（ESB系统/OA系统提供角色权限的接收服务）。

资源说明

IDM+ESB预置样例工程创建成功后，需要进行一些前置工作才可以进行使用，下面主要介绍在前置工作中需要配置的资源信息。

1.数据资源

数据资源主要是指在服务生成或者组件操作时读取的数据库表，数据库表清单如下：

2.应用配置

在演示样例之前需要在IDM系统应用配置中添加OA系统的配置用于流程的调用，具体配置如下所示：

3.属性资源

在设计器内通常调用数据Url等均通过全局变量的方式配置，包括 ESB和IDM的调用Url地址、Oauth认证信息 等，凡是涉及到经常变动的均设置成为全局变量的形式。本样例设计到的全局变量（OauthConfigs、GlobalConfigs、IPConfigs、TokenConfigs、ServiceFlowConfigs）需要在使用前进行编辑保存，使之加载到缓存当中。

演示方案

IDM+ESB预置样例需要多场景多机制下的集成流程进行演示，本样例模拟发送和接收接口进行场景配置，创建集成流程完成数据同步，调用查看运行监控和日志等，完成整个样例的演示。

1.角色规划

在IDM+ESB预置样例中，对于各个系统分配了不同的角色，IDM分为基础数据管理员和权限管理员， ESB集成场景模块分为基础数据管理员和权限管理员 。

具体在样例中则根据不同角色创建了两个不同的人员，都是由管理员进行权限设置。其中各个系统管理员需要在功能配置中的安全配置，配置各个角色的功能权限。

2.演示内容

1. 单点登录 ：登录ESB系统先被IDM拦截登录后进入到平台首页（CAS认证），在浏览器输入配置好的Oauth认证地址被IDM拦截登录后进入到平台首页（Oauth认证）。

2. 分角色操作 ：样例中不同系统创建了不同角色，IDM（基础数据管理员、权限管理员）、ESB（基础数据管理员、权限管理员）。介绍每个人的角色，查看不同人员对应可操作的功能菜单。

3. 基础数据同步 ：从源头HR系统将主数据（组织、人员、岗位）同步至IDM进行管理，同步之后在IDM平台查看数据是否同步成功，日志是否回写，对应服务监控、以及服务日志等,查看OA系统表中数据是否同步成功。

4. 账号分发 ：IDM账号数据分发至OA、ESB系统，查看数据是否同步成功，日志是否回写，对应服务监控、以及服务日志等。

5. 角色分发 ：IDM平台将标准角色、实际角色分发至OA、ESB系统，查看数据是否同步成功，日志是否回写，对应服务监控、以及服务日志等。

6. 权限下发 ：IDM平台给其他系统菜单授权下发至OA、ESB系统，查看是否授权成功，授权成功之后进行ESB登录验证,查看OA系统数据表。

3.演示流程

1. 单点登录 （ESB）使用管理员账号登录ESB平台演示CAS和Oatuh两种认证方式；

2. 角色权限查看 ：查看不同人员对应可操作的功能菜单，以及对应人员的作用；

3. 样例介绍（PPT） ：分角色对样例中的原生服务、配置服务、场景配置、集成流程进行介绍查看；

4. 集成流程调用 （配置、审计可调用，所有人员都可查看调用结果，主要在集成流程中进行调用操作）；

（1）调用“组织架构”中的集成流程（组织、人员、岗位）；

（2）每次调用后查看对应流程监控以及日志。

5. 账号分发 ：IDM账号数据分发至OA、ESB系统，查看数据是否同步成功，日志是否回写，对应服务监控、以及服务日志；

6. 权限分发 ：IDM平台给其他系统菜单授权下发至OA、ESB系统，查看是否授权成功，授权成功之后进行ESB登录验证,查看OA系统数据表。

场景说明

IDM+ESB主要是基于IDM的统一认证、统一用户、统一授权、统一审核和统一应用管控，并结合OA、ESB实现集成对接，在演示IDM+ESB预置样例时，先从5A管控出发能更直观体现集成的效果，也更容易进行各系统的对接切换。

1.统一认证

主要是 基于IDM的CAS认证和Oauth认证来实现ESB系统的统一认证 。CAS认证需要对ESB产品的web.xml文件进行调整；Oauth认证首先需要调整ESB属性配置中的参数信息，具体参数如下：

然后调整IDM产品的应用配置模块中的信息，就可以实现Oauth认证。

2.组织架构

组织架构主要是对组织、人员和岗位等基础数据进行同步，下面由组织同步、岗位同步和人员同步等三方面进行介绍：

>>>>组织同步

以HR系统为源头提供组织数据，通过ESB流程同步数据至IDM自动分发到OA系统当中：

1.手动录入HR系统组织数据；

2.在OA和IDM系统查看同步当前组织数据是否存在（基础数据管理员）；

3.调用组织同步集成流程 传入HR组织编码 （基础数据管理员）；

4.查看ESB流程同步日志信息是否同步成功（基础数据管理员）；

5.在监控统计中查看流程统计次数（基础数据管理员）；

6.查看OA和IDM系统组织数据是否同步成功（基础数据管理员）。

>>>>岗位同步

以HR系统为源头提供岗位数据，同步数据至IDM：

1. 手动录入 HR系统岗位相关数据；

2.在IDM系统查看同步当前岗位数据是否存在（基础数据管理员）；

3.调用岗位同步集成流程传入HR岗位编码（基础数据管理员）；

4.查看ESB流程同步日志信息是否同步成功（基础数据管理员）；

5.在监控统计中查看流程统计次数（基础数据管理员）；

6.查看IDM系统岗位数据是否同步成功（基础数据管理员）。

>>>>人员同步

以HR系统为源头提供人员数据，同步数据至IDM自动分发到OA系统当中：

1.手动录入HR系统人员相关数据；

2.在OA和IDM系统查看同步当前人员数据是否存在（基础数据管理员）；

3.调用人员同步集成流程传入HR人员编码（基础数据管理员）；

4.查看ESB流程同步日志信息是否同步成功（基础数据管理员）；

5.在监控统计中查看流程统计次数（基础数据管理员）；

6.查看 MDM、ERP、IDM、FIS系统 组织数据是否同步成功（基础数据管理员）。

3.统一权限

统一权限分为角色下发和权限下发两部分，其中角色的下发分为标准角色和实际角色，权限下发分为标准角色权限、实际角色权限、用户权限和组织权限，下面由角色下发和权限下发两方面来进行介绍：

>>>>角色下发

IDM（标准角色、实际角色）数据分发至OA、ESB系统（标准角色与实际角色同理）。

1.在ESB、OA系统查看要分发的标准角色、实际角色数据是否存在（权限管理员）；

2.在IDM平台统一权限模块中的 标准角色或实际角色 （权限管理员）；

3.新增角色生成任务进行提交至其他业务系统（权限管理员）；

4.查看ESB、OA系统角色数据是否下发成功（管理员）。

>>>>权限下发

IDM权限数据分发至OA、ESB系统进行授权登录。

1.在ESB、OA系统查看要分发的权限数据是否存在（权限管理员）；

2.在IDM平台统一权限模块中的授权管理 选择对应业务系统给菜单进行授权 （权限管理员）；

3.在IDM平台操作管理模块的工作任务找到刚刚生成的任务进行提交（权限管理员）；

4.查看ESB、OA系统权限数据是否下发成功（管理员）,OA系统查看对应的数据表。

心得总结

IDM+ESB样例直接预置到ESB产品中，在使用ESB产品时可以直接快速生成样例进行学习和了解，加强对ESB功能掌握，同时也能更全面了解IDM在应用管控、统一账户、统一权限、统一审计和统一认证的应用。

1.方案价值

IDM+ESB统一身份5A管控方案构建的目的就是为了实现进行各系统的对接，并进行权限的统一，所以在方案演示要更强调如何通过IDM实现基于同一的用户信息完成统一认证；根据需求在IDM平台进行业务角色、权限角色的统一管理与权限分配，再通过IDM分发到对应的业务系统中，实现权限的统一。演示时要注意从业务出发， 模拟实际业务操作流程来演示 ，体现产品和演示的专业性、准确性、灵活性、便捷性。

2.业务价值

IDM+ESB统一身份5A管控方案主要是针对企业各个系统账户权限集成的需求。在账户权限集成的过程中，通过IDM产品进行统一5A的管控，IDM提供的密码策略、认证策略、监控预警、统一分析、业务系统注册与管理等功能能充分满足企业系统集成的需求。

3.集成方案

IDM+ESB统一身份5A管控方案只是ESB典型应用场景之一，在ESB产品中除了IDM+ESB之外还预置了ESB、API、ESB+MDM、MDM+ESB、DAP+ESB等一系列样例，通过ESB与不同产品组合成基础方案，满足 企业IT治理、数据治理、服务治理、统一认证、数据分析 等不同的业务场景和需求。

通过ESB中预置的一系列基础组合方案，再通过产品之间的相互组合完整的解决方案，如 企业集成中台（IDM+ESB+MDM）方案、企业数据中台（DAP+MDM+ESB）方案 等。通过这些集成方案，可以满足不同企业、不同阶段的信息化建设需要，从集成、治理、分析等方面为企业构建一体化、可复用、灵活稳定的IT架构，从而实现通过IT建设支持业务发展，根据业务变化推动IT升级的良性循环，为企业的发展提供强有力的支撑。

本文由 原创，欢迎转发，仅供学习交流使用，引用请注明出处！谢谢~