分布式认证及部署方案说明

　　IDM主要实现统一用户、统一认证、统一权限、统一审计、应用管控的5A管理，结合IDM平台管理提升信息化综合管理水平，通过用户规范化、信息标准化、经营一体化实现集团企业战略目标的落地。在大型集团性企业对全集团管理过程中均会建立全集团内部局域网，集团与子公司之间通过专线进行连通，为避免子公司与集团管理过程中因专线问题而造成子公司业务故障的情况，采取IDM分布式部署方式，子公司进行独立的认证节点部署，即便在专线网络故障的情况下依然可以通过分布式节点认证保证子公司业务流转。
　　IDM所采用的分部式部署方式，极大程度上解决了集团和子公司之间的认证问题，同时也为子公司提供了良好的网络环境，并且分部式的多场景认证使用，也极大地满足了客户业务使用的需求。背景说明
　　对于集团型公司来说，集团公司和子公司之间是相对独立的，呈现的状态是独立核算并且自给自足，特别是后成立集团公司的这种情况更加明显。集团公司的成立或者存在的目的是作为最高管理者，进行子公司相关的制约和管理，加强各子公司和集团的联系，便于集团整体调度和管控。因此，保证统一标准管理和推行，是集团管理的重要工作内容之一。
　　集团型公司对于信息安全尤为重视，所以基本采取的策略方式为通过内网进行办公访问，只有在极其特殊的情况下才会将系统放在公网上进行访问，并且子公司到集团的相关业务也是通过公网的方式进行访问，但是碍于网络的限制，很多由集团管控的系统，实际使用起来的效果并不理想，因此，采取分布式部署的方式来保证系统响应和稳定运行是必然的趋势。业务说明
　　IDM的部署方式分为集团部署和子公司部署两种方式。集团负责所有系统认证使用，同时管理系统数据的同步和分发，并且统一管理数据分发给子公司的IDM，子公司IDM作为子公司的认证使用的部署方式，并可作为集团的临时认证中心，保证整体认证的稳定，以及异地的认证使用。部署架构
　　分布式部署包括集团部署，以及子公司部署，集团采用集群部署模式，包含传统和云环境双热备模式，平时云环境运行，一旦出现问题，可快速切换传统环境，保证认证中心不停机。
　　而对于子公司部署，根据子公司的实际情况，可采用单机或者集群部署模式，根据战略要求，如果作为集团备用认证点，则需集群部署，保证系统具有较高性能，以此来保障临时认证的系统稳定性、可抗压性。
　　1.集团部署
　　集团保留现有的传统模式和云部署模式，云模式作为平时主要使用对象，所有访问多以云模式为主，传统模式作为备份模式，版本升级替换过程中，传统模式和云模式同步升级，同时数据进行主从热备，并保持一直运行，当出现重大事故的情况下，切换到传统模式，保证统一认证中心仍能正常工作运行，保证集团业务正常运转。
　　2.子公司部署
　　子公司根据自己的资源以及实际情况，选择相应的部署方式。其中较为稳妥的方式为集群部署模式，集群部署模式可以保证系统稳定运行，并且性能也相对较高，并且作为集团的临时认证中心，可以抵抗较大的压力。但是具体部署方式为传统方式还是云平台部署方式，则根据子公司的实际情况进行选择，数通畅联支持这两种部署方式。
　　●传统部署
　　●云平台部署
　　场景应用
　　分布式的好处在于可以缓解集团的认证压力，同时不受专线影响，可以满足使用者系统快速响应的需求，解决了之前认证时间长、响应时间慢的问题。同时分布式部署可以实现跨组织认证，满足了子公司和子公司之间、子公司和集团之间的多种认证场景，解决了用户跨网络无法认证访问的问题。
　　1.场景说明
　　> > > >集团员工在集团办公
　　集团员工访问集团IDM认证，生成集团的code，认证在集团，消费在集团，所有认证访问都在集团IDM上完成。
　　> > > >集团员工在子公司出差
　　集团员工在子公司访问集团的系统，第一次code生成在子公司，后面消费是集团系统与集团IDM交互，查找code配置的对应子公司映射IP，回到子公司IDM进行消费。
　　注意：集团配置的子公司IDM的IP为子公司对集团的映射IP（专线IP）。
　　> > > >子公司员工在集团出差
　　子公司员工在集团访问子公司的业务系统，生成code为集团IDM，后两次交互为子公司系统访问子公司IDM，IDM发现后缀是集团则访问集团地址进行消费。
　　注意：子公司配置IDM的code映射IP为本地IP；集团配置IDM的code映射为子公司映射为集团的IP配置。
　　> > > >子公司员工在子公司办公
　　子公司员工在办公环境访问子公司系统，实现三次交互均与子公司IDM，实现认证，所有认证的提供和消费都由子公司IDM进行处理。
　　> > > >子公司员工在子公司出差
　　A子公司也是分布式部署公司，A员工在B子公司网络下访问A的业务系统，第一次生成的code为B分布式code，第二次及第三次为A的业务系统与A的IDM交互，发现后缀不是本机则访问集团IDM代理，集团IDM发现后续为B子公司，则调用B的IDM进行消费。
　　注意：A子公司与B子公司的网络环境是互通的，否则需要A子公司通过外网来进行访问。
　　2.原理说明
　　针对上述场景内容，进行进一步的场景剖析，通过对原理的理解，以此来加深对业务使用的还原，当出现场景不符合时，也可以通过剖析原理，快速地定位问题，包括配置问题、网络问题。
　　> > > >集团员工在集团办公
　　1.用户访问业务系统，业务系统被IDMOauth认证拦截至登录页面，用户输入账户名、密码后业务系统获取IDM返回Code信息；
　　2.业务系统以Code为参数调用IDM获取Access_Tocken服务地址，IDM平台根据传入Code的后缀判断是在集团服务器产生，调用对应服务器的服务进消费Code信息返回Access_Token信息；
　　3.业务系统以Access_Token及Code为入参信息，IDM依据Code绑定的服务器地址调用对应服务返回用户profile信息，完成认证过程。
　　> > > >集团员工在子公司出差
　　1.用户在子公司访问集团业务系统，首先业务系统被子公司IDM拦截至登录页面，用户输入用户名、密码，业务系统获取子公司IDM返回Code信息；
　　2.集团业务系统服务器以Code为入参调用集团IDM分布式认证服务信息，集团IDM依据Code映射配置发现Code产生处为子公司，调用子公司获取access_Token服务地址，返回access_Token及Code信息；
　　3.集团业务系统服务器以access_Token及Code为入参，调用集团IDM服务器获取用户信息接口，IDM依据Code映射信息，调用子公司IDM获取用户信息服务，返回用户信息。
　　> > > >子公司员工在集团出差
　　1.子公司用户在集团访问子公司业务系统，首先业务系统被集团IDM拦截至登录页面，用户输入用户名、密码，业务系统获取集团IDM返回Code信息；
　　2.子公司业务系统服务器以Code为入参调用子公司IDM分布式认证服务信息，子公司IDM依据Code映射配置发现Code产生处为集团，子公司IDM调用集团获取access_Token服务地址，返回access_Token及Code信息；
　　3.子公司业务系统服务器以access_Token及Code为入参，调用子公司IDM服务器获取用户信息接口，IDM依据Code映射信息，调用集团IDM获取用户信息服务，返回用户信息；
　　> > > >子公司员工在子公司办公
　　1.用户访问业务系统，业务系统被IDMOauth认证拦截至登录页面，用户输入账户名、密码后业务系统获取IDM返回Code信息；
　　2.业务系统以Code为参数调用IDM获取Access_Tocken服务地址，IDM平台根据传入Code的后缀判断是在子公司服务器产生，调用对应服务器的服务进消费Code信息返回Access_Token信息；
　　3.业务系统以Access_Token及Code为入参信息，IDM依据Code绑定的服务器地址调用对应服务返回用户profile信息，完成认证过程。
　　> > > >子公司员工在子公司出差
　　1.子公司A用户在子公司B访问子公司A业务系统，首先业务系统被子公司B的IDM拦截至登录页面，用户输入用户名、密码，业务系统获取子公司B的IDM返回Code信息；
　　2.子公司A业务系统服务器以Code为入参调用子公司A的IDM分布式认证服务信息，子公司A的IDM依据Code映射配置发现Code产生处不存在则调用集团IDM，集团IDM发现Code为子公司B，集团的IDM调用子公司B获取access_Token服务地址，返回access_Token及Code信息；
　　3.子公司A业务系统服务器以access_Token及Code为入参，调用子公司A的IDM服务器获取用户信息接口，IDM依据Code映射信息，调用集团IDM，集团IDM根据映射调用子公司B的IDM获取用户信息服务，返回用户信息。
　　注意：该模式下子公司均为分布式部署，同时子公司和子公司之间网络是互通的。异地保障
　　分布式部署除了可缓解集团认证压力，为子公司提供便利的认证方式，同时可根据战略需求进行分布式改造，构建多地认证、多地保障的模式，保证无论在何种情况下，通过域名迁移都可实现认证中心的迁移。
　　1.认证保障
　　复制集团的部署模式和资源，以及所有的工作内容，打造一个新的中心（多个中心），作为集团的异地灾备（数据库平时实时同步），平时作为子公司认证使用平台，一旦集团出现问题，直接进行网络切换，实现认证中心异迁移，保证认证系统异地继续使用。
　　如果单纯作为子公司认证使用平台，则平时子公司完成自己内部认证。子公司一旦出现问题，切换到集团，保证认证中心正常运转，业务的正常使用。
　　2.效率保障
　　分布式部署，由于独立的部署环境和网络环境，每个环境可进行自我闭环认证，互相之间不受影响，并且极大地减轻了专线压力，特别是专线宽带的带宽较小的公司，分布式认证极大地提高了认证效率，保证了系统的快速响应，满足了业务处理时的使用需求。
　　子公司大多采用分布式部署之后，专线的压力逐渐缓解，对于不能部署分布式的子公司来说，也会提高访问集团的速度和效率，可以极大满足用户的日常使用需求。心得体会
　　分布式部署虽然是本次项目的第一次应用，但是通过技术人员的不懈努力，攻克了一个又一个难关，随着分布式部署在项目上不断推广，效果明显，虽然偶尔会出现一些小问题，但是都是在日常运维允许范围内，可以说分布式的效果显著，此次尝试非常成功。
　　1.深入思考
　　自己对于分布式的理解一直都不是很清晰，每次出现问题都需要和研发人员不断确认，每次自己认为是对的，但是换了一种场景下，就会再次陷入混乱。这是因为自己对于场景应用还是不够了解，同时对于认证的原理和机制还存在盲区，这就导致出现状况之后，没有办法进行问题定位，对与错模棱两可。因此，对于不懂的问题一定要深入思考，不断探究根源，做到真正深入理解。
　　2.理清头绪
　　遇到事情不能慌张、武断，特别是对自己不太理解的问题，更要仔细思考、理清头绪，不同的问题要尽快确认，并且吃透原理，不能为了解决问题而解决问题，理解为什么这样解决，解决的目的和效果是什么，要真正地变成自己的认知，只有这样遇到同样的问题时才能处理起来游刃有余。
　　3.提高认识
　　学习的方式有很多种，要从观念上改变，不应该因为做了项目就停止学习新的知识，像这样复杂的网络情况和使用场景，是在公司做产品完全无法想象的。因此对于这种难以再重现的业务场景要及时吸收，对于网络的了解和学习也要在这种有机会不断试错的情况下进行学习和理解。一个人的价值体现，不是别人会的你会了就行了，而是别人会的你会了，别人不会的你也会了，只有这样才能有用武之地。
　　学习本无止境，特别是我们所处的软件行业，不懂的东西还有很多，要善于发现、学习。工作的本身也是学习的过程，工作的同时可以扫除盲点，不断地学习能够攻克困难、积累经验。只有这样，工作才不能成为累赘，而变成自己稳步前行的基石。
　　本文由@数通畅联原创，欢迎转发，仅供学习交流使用，引用请注明出处！谢谢~