用户中台在智慧校园中的设计与实现

姜建峰

（江苏经贸职业技术学院 信息化建设与管理处，江苏 南京 211168）

在近几年的信息化建设中，各高校基本完成了智慧校园基础支撑平台建设，包括门户、认证、数据中心，还新建了一批常用的业务系统，包括学工、OA、人事、科研、教务、财务、办事大厅等。总体上提高了学校信息化水平，为师生提供了便利的在线服务。

2018年4月教育部印发《教育信息化2.0行动计划》，提出到2022年要基本实现“三全两高一大”的发展目标，即教学应用覆盖全体教师、学习应用覆盖全体适龄学生、数字校园建设覆盖全体学校，信息化应用水平和师生信息素养普遍提高，建成“互联网+教育”大平台[1]。教育信息化从1.0时代进入2.0时代。

统一身份认证系统CAS（Central Authentica⁃tion Service）作为智慧校园建设的三大基础平台之一，在建设智慧校园，落实教育信息化2.0，服务师生信息化教学方面有无可比拟的作用。

1 统一身份认证系统当前的困境

统一身份认证系统是单点登录SSO（Single Sign ON）的开源实现，具有较高的稳定性、安全性。目前国内智慧校园单点登录绝大部分都基于统一身份认证系统。目前主流的统一身份认证门户，在身份认证方面通常遵循标准的OAuth2.0与OIDC协议，该认证接入方式主要是针对B/S架构的业务系统，接入统一认证类库[2]。统一身份认证门户功能最完整、流程最严密的授权模式是授权码模式，它也是国际标准OAuth2.0和OIDC协议的推荐模式。

在经典的应用场景中，统一身份认证模式有效解决了“一账号通行”的问题，但在智慧校园建设场景，这一模式已远远不能满足需求。它存在以下几个亟待解决的问题：一是随着信息化的普及与人工智能的兴起，传统的认证方式逐渐被微信二维码、手机验证码、人脸识别等方式取代，需要对统一身份认证系统的鉴证方式进行扩充。二是随着信息化用户的沉淀，用户类型越来越丰富，传统智慧校园架构中的业务系统无法对用户进行统一的管理，无法兼容并包所有的用户类型，也无法给给类用户赋予完善的组织架构，出现了管理真空。三是伴随着微服务架构的普及，传统统一身份认证系统对人员和系统的授权授信方式无法满足高速迭代的发展需求。在以微服务形式重构的业务系统中，以需求为目标进行组合交付，消除了传统应用系统与微服务系统的界限。在这种思路下，传统业务系统的授权体系也被解构得分崩离析。

2 中台模式的基本内涵与特征

传统的应用系统分为前台和后台。在微服务架构下，前台是快速地响应用户的需求，迭代更新。后台是相对稳定的后端资源，追求系统的稳定和长期有效的数据沉淀。越成熟的应用系统就越需要一个平台来调和两者的这种差异。

中台是将共性的需求进行抽象，并打造成平台化、组件化的系统能力，以接口、组件等形式共享给各业务单元使用，使企业可以针对特定问题，快速灵活地调用资源构建解决方案，为业务的创新和迭代赋能。中台主要包含业务中台与数据中台。用户中台是业务中台与数据中台的混合产物，实现了子业务系统用户业务和用户数据的中台化。

3 用户中台的设计与实现

构建用户中台能解决用户账号统一管理的问题，将过去分散到各个业务系统中的用户进行集中管理，通过完善用户信息，建立权威人员数据中心实现中心化授权，并提供接口，使业务系统和用户中台的信息保持同步。

权威人员数据中心：提升统一认证技术和规范，实现统一的人员数据管理，增加人员信息分级管理机制，提升维护效率，满足人员异动、属性多元等实际需求。

中心化授权：实现多维度、精细粒度权限体系设计。搭建基于数据结构层面的授权库系统，支持将接入系统、接入微服务、应用权限信息存入授权库，在用户完成认证后，中心化的授权系统可将相应用户接入应用的授权信息返回给系统，实现统一管控。

3.1 构建多级管理体系，补全用户业务链

随着办事大厅与微服务业务的普及，学校内部用户授信越来越复杂。用户中台的首要任务就是构建多级管理体系，维护学校实体的和虚拟的两类组织架构，对角色进行管理，能够对编号、名称、角色类型进行查询，同时支持对角色信息新增、删除、修改、分配权限，并对权限分配用户提供更多操作功能，同时对用户分配权限范围内应用细粒度进行授权，平台能够精细到功能模块的权限分配，从而使得所有业务部门的所有业务系统乃至所有的业务模块都能够在用户中台上有独立的相互对应的用户管理功能。

3.2 建设用户中心，发挥用户数据价值

教育信息化2.0要求构建一体化的“互联网+教育”大平台，引入“平台+教育”服务模式，整合各级各类教育资源公共服务平台和支持系统，逐步实现资源平台、管理平台的互通、衔接与开放，实现数字资源、优秀师资、教育数据、信息红利的有效共享，助力教育服务供给模式升级和教育治理水平提升。大平台的前提就是用户的统一，用户信息应该集中起来进行管理，按需（系统的需要、用户的同意）提供给其他第三方系统使用。

建设用户中心除了可以对在校师生进行管理外，还可以管理临时人员、校友、访客等。用户中心具有将用户的基础信息（工号、姓名、性别、证件类型、证件号码）、单位、职务等同步、导入、上传与修改的功能。其中帐号信息包含鉴权方式信息，如帐号、证件、别名、密码、邮箱、生物识别方式、一卡通、微信、QQ、支付宝、短信验证码方式等，用户中心将以上多种验证方式统一于一个用户ID，平台上能够显示这些信息的来源，用户中心支持将脱敏的用户信息根据不同的业务场景需求生成不同的二维码推送给用户。

3.3 提升鉴权能力，提高用户使用度

统一用户中心，作为核心签证库，应该是包含多种用户鉴权方式信息，在完成业务系统、微服务系统的认证部分后，以统一的方式提供统一的、多样的认证服务形式，以有效提升用户体验。

建设授权库，存放接入系统和微服务的权限信息。在用户完成认证后，中心化的授权系统可将相应用户接入应用的授权信息返回给系统，实现统一管控。

提供管理所有集成用户中台的应用系统的功能。所有需要集成统一认证平台的应用系统，都必须在此注册授权。授予机构、人员、组访问权限、登录方式的维护、提供搜索、添加启用和禁用等功能。

提供管理所有对接OAuth的应用系统。所有需要对接OAuth的应用系统，都必须在此注册授权，否则不允许对接。

提供OAuth资源管理，在OAuth授权过程中，需要展示给用户相关的授权选项（资源），即OAuth应用注册过程中选择的授权范围，同时默认提供获取用户信息的基本权限接口。

基于用户中台以API形式开放相关接口后，此过程也可由用户进行干预，完全自主管控信息。

3.4 沉淀用户数据，提升决策能力

在企业中，中台是为了更好地整合后端的计算、业务、数据资源，从而更敏捷、高效地为前台服务，在高校中同样如此。不同的是，高校中最有价值的是海量高维度、准确的数据资源，而在互联网公司则是强大的技术、业务资源[3]。

用户中台支持对应用进行统计，使用折线图和柱行图的方式统计各个应用当天、年的访问数和访问用户，访问统计图支持多种形式。支持全方位的访问记录统计，如账号总数、教师账号数、学生账号数，部门访问统计、应用访问统计等，能够展示部门、用户、角色、岗位、用户组总数等情况。

4 结语

用户中台是新技术发展的产物，它是高校在新时期根据自身业务需求结合《教育信息化2.0行动计划》要求进行的信息化建设，相似的项目还有统一登录平台、融合门户、微服务平台、业务中台、数据中台、大数据中心等。各项目分工合作，基于“集约、融合、创新、服务”的理念，引入微服务、容器云等前沿信息技术手段，打造以“场景”为核心、“智慧服务”为目标的硬核体验，实现“创新”与“融合”双轮驱动，探索更科学、更有效的信息化应用服务新模式，为全体师生员工提供良好的计算机网络和信息应用服务环境，将信息化技术融入学校日常教学、科研、管理、服务和校园生活的各个领域。在智慧环境中，基于开放性平台，融合业务数据、应用、服务，而最终打造面向全用户，全终端覆盖，全场景的支持的微服务智慧校园生态。我们要从全局进行服务规划与服务渠道建设，统筹学校各部门服务资源向用户提供统一服务，依据“以人为本、融合服务”的原则，建设以“多渠道通办”为核心的融合服务体系，促进信息化服务模式创新，实现服务模式多元、服务渠道畅通，为建设“服务型”高校打下坚实的信息化基础。