本公開屬于核電，具體涉及一種erp系統(tǒng)與iam系統(tǒng)的集成平臺(tái)、方法及裝置。

背景技術(shù)：

1、相關(guān)技術(shù)中，erp系統(tǒng)與iam系統(tǒng)分別作為獨(dú)立的信息系統(tǒng)，各自維護(hù)著獨(dú)立的賬號(hào)體系。這種架構(gòu)使得員工在進(jìn)行身份驗(yàn)證和權(quán)限申請(qǐng)時(shí)，必須在兩個(gè)系統(tǒng)之間進(jìn)行重復(fù)操作，極大地降低了用戶體驗(yàn)和操作效率，使得實(shí)現(xiàn)賬號(hào)數(shù)據(jù)的同步與系統(tǒng)集成后的自動(dòng)登錄功能變得異常困難，從而導(dǎo)致了企業(yè)在人員管理和資源訪問方面的復(fù)雜性與不便利性。

2、在現(xiàn)有的系統(tǒng)架構(gòu)中，若將erp系統(tǒng)與iam系統(tǒng)的集成適配層直接嵌入各自的系統(tǒng)內(nèi)部，將導(dǎo)致二者之間的耦合度顯著增強(qiáng)，從而降低系統(tǒng)的獨(dú)立性與可維護(hù)性。此種耦合性不僅使得后續(xù)對(duì)iam系統(tǒng)的更換或認(rèn)證接口更新時(shí)，erp系統(tǒng)必須進(jìn)行全面的版本升級(jí)，還將導(dǎo)致整體架構(gòu)的復(fù)雜性和耦合性顯著提升，進(jìn)而增加了系統(tǒng)維護(hù)的難度與成本。此類設(shè)計(jì)缺陷極大地制約了系統(tǒng)的靈活性與擴(kuò)展性，影響了企業(yè)系統(tǒng)集成的使用效率。

3、此外，由于erp系統(tǒng)與iam系統(tǒng)之間的用戶賬號(hào)字段定義不統(tǒng)一，導(dǎo)致用戶必須手動(dòng)維護(hù)賬號(hào)映射關(guān)系，從而顯著增加了系統(tǒng)的運(yùn)維成本。與此同時(shí)，由于這兩個(gè)系統(tǒng)的獨(dú)立性，用戶在完成認(rèn)證后，仍需單獨(dú)申請(qǐng)基礎(chǔ)權(quán)限以訪問erp系統(tǒng)。此權(quán)限申請(qǐng)的角色需要在erp系統(tǒng)內(nèi)進(jìn)行查看與管理，造成用戶在使用erp系統(tǒng)時(shí)面臨復(fù)雜且不直觀的操作流程。這種復(fù)雜性不僅降低了用戶體驗(yàn)，還增加了培訓(xùn)和理解成本，給企業(yè)的日常運(yùn)營(yíng)帶來了很大的挑戰(zhàn)。

技術(shù)實(shí)現(xiàn)思路

1、為克服相關(guān)技術(shù)中存在的問題，提供了一種erp系統(tǒng)與iam系統(tǒng)的集成平臺(tái)、方法及裝置。

2、根據(jù)本公開實(shí)施例的一方面，提供一種erp系統(tǒng)與iam系統(tǒng)的集成平臺(tái)，所述集成平臺(tái)包括：連接層和適配層；

3、erp系統(tǒng)中的人力資源模塊在檢測(cè)到新增員工的員工信息后，將所述員工信息同步至所述連接層，所述連接層從所述員工信息獲取所述員工的工號(hào)，將所述工號(hào)作為參數(shù)向iam系統(tǒng)請(qǐng)求生成所述員工的登錄賬號(hào)；所述iam系統(tǒng)響應(yīng)于所述請(qǐng)求，針對(duì)所述工號(hào)創(chuàng)建登錄賬號(hào)，在iam系統(tǒng)的用戶賬戶管理模塊建立所述工號(hào)與登錄賬號(hào)之間的第一對(duì)應(yīng)關(guān)系，并將所述第一對(duì)應(yīng)關(guān)系返回至所述連接層；

4、所述連接層將所述第一對(duì)應(yīng)關(guān)系同步至erp系統(tǒng)的人力資源模塊和權(quán)限管理模塊，所述權(quán)限管理模塊基于所述第一對(duì)應(yīng)關(guān)系和權(quán)限設(shè)立規(guī)則，為所述員工賦予權(quán)限，建立所述工號(hào)、權(quán)限與登錄賬號(hào)的第二對(duì)應(yīng)關(guān)系，并將所述第二對(duì)應(yīng)關(guān)系同步至所述適配層；

5、所述適配層根據(jù)所述第二對(duì)應(yīng)關(guān)系，為所述工號(hào)對(duì)應(yīng)的員工建立全局用戶賬號(hào)，并建立所述全局用戶賬號(hào)、工號(hào)、權(quán)限與登錄賬號(hào)的第三對(duì)應(yīng)關(guān)系，權(quán)限和對(duì)應(yīng)的登錄賬號(hào)用于員工在iam系統(tǒng)進(jìn)行身份認(rèn)證。

6、在一種可能的實(shí)現(xiàn)方式中，在erp系統(tǒng)對(duì)接任意第三方系統(tǒng)時(shí)，所述連接層針對(duì)erp系統(tǒng)中每個(gè)員工，將該員工的唯一標(biāo)識(shí)在第三方系統(tǒng)中對(duì)應(yīng)的第三方賬號(hào)與該員工的全局用戶賬號(hào)相綁定，建立全局用戶賬號(hào)、工號(hào)、權(quán)限、登錄賬號(hào)與第三方賬號(hào)的第四對(duì)應(yīng)關(guān)系，并將該第四對(duì)應(yīng)關(guān)系同步至該第三方系統(tǒng)。

7、在一種可能的實(shí)現(xiàn)方式中，erp系統(tǒng)與iam系統(tǒng)在集成數(shù)據(jù)傳輸?shù)娜^程采用https協(xié)議。

8、在一種可能的實(shí)現(xiàn)方式中，erp系統(tǒng)生成第一公鑰和第一私鑰通過加密信道發(fā)送至iam系統(tǒng)，iam系統(tǒng)生成第二公鑰和第二私鑰通過加密信道發(fā)送至erp系統(tǒng)；

9、erp系統(tǒng)將待發(fā)送至iam系統(tǒng)的數(shù)據(jù)使用第二公鑰進(jìn)行加密，并使用第一私鑰對(duì)加密后的數(shù)據(jù)進(jìn)行簽名；

10、iam系統(tǒng)接收erp系統(tǒng)的接口數(shù)據(jù)，使用第一公鑰進(jìn)行簽名驗(yàn)證，驗(yàn)證通過后使用第二私鑰對(duì)消息進(jìn)行解密；

11、iam系統(tǒng)將待發(fā)送至erp系統(tǒng)的數(shù)據(jù)使用第一公鑰進(jìn)行加密，并使用第二私鑰對(duì)加密后的數(shù)據(jù)進(jìn)行簽名；

12、erp系統(tǒng)接收iam系統(tǒng)的接口數(shù)據(jù)，使用第二公鑰進(jìn)行簽名驗(yàn)證，驗(yàn)證通過后使用第一私鑰對(duì)消息進(jìn)行解密。

13、根據(jù)本公開實(shí)施例的另一方面，提供一種erp系統(tǒng)與iam系統(tǒng)的集成方法，所述方法包括：

14、步驟11，連接層通過mq機(jī)制接收到來自erp系統(tǒng)的新增員工的員工信息后，從所述員工信息獲取所述員工的工號(hào)，將所述工號(hào)作為參數(shù)向iam系統(tǒng)請(qǐng)求生成所述員工的登錄賬號(hào)；

15、步驟12，所述iam系統(tǒng)響應(yīng)于所述請(qǐng)求，針對(duì)所述工號(hào)創(chuàng)建登錄賬號(hào)，在iam系統(tǒng)的用戶賬戶管理模塊建立所述工號(hào)與登錄賬號(hào)之間的第一對(duì)應(yīng)關(guān)系，并將所述第一對(duì)應(yīng)關(guān)系返回至所述連接層；

16、步驟13，連接層將所述第一對(duì)應(yīng)關(guān)系同步至erp系統(tǒng)的人力資源模塊和權(quán)限管理模塊，所述權(quán)限管理模塊基于所述第一對(duì)應(yīng)關(guān)系和權(quán)限設(shè)立規(guī)則，為所述員工賦予權(quán)限，建立所述工號(hào)、權(quán)限與登錄賬號(hào)的第二對(duì)應(yīng)關(guān)系，并將所述第二對(duì)應(yīng)關(guān)系同步至所述適配層；

17、步驟14，所述適配層根據(jù)所述第二對(duì)應(yīng)關(guān)系，為所述工號(hào)對(duì)應(yīng)的員工建立全局用戶賬號(hào)，并建立所述全局用戶賬號(hào)、工號(hào)、權(quán)限與登錄賬號(hào)的第三對(duì)應(yīng)關(guān)系，權(quán)限和對(duì)應(yīng)的登錄賬號(hào)用于員工在iam系統(tǒng)進(jìn)行身份認(rèn)證。

18、在一種可能的實(shí)現(xiàn)方式中，所述方法還包括：

19、步驟15，在erp系統(tǒng)對(duì)接任意第三方系統(tǒng)時(shí)，所述連接層針對(duì)erp系統(tǒng)中每個(gè)員工，將該員工的唯一標(biāo)識(shí)在第三方系統(tǒng)中對(duì)應(yīng)的第三方賬號(hào)與該員工的全局用戶賬號(hào)相綁定，建立全局用戶賬號(hào)、工號(hào)、權(quán)限、登錄賬號(hào)與第三方賬號(hào)的第四對(duì)應(yīng)關(guān)系，并將該第四對(duì)應(yīng)關(guān)系同步至該第三方系統(tǒng)。

20、在一種可能的實(shí)現(xiàn)方式中，erp系統(tǒng)與iam系統(tǒng)在集成數(shù)據(jù)傳輸?shù)娜^程采用https協(xié)議。

21、在一種可能的實(shí)現(xiàn)方式中，erp系統(tǒng)生成第一公鑰和第一私鑰通過加密信道發(fā)送至iam系統(tǒng)，iam系統(tǒng)生成第二公鑰和第二私鑰通過加密信道發(fā)送至erp系統(tǒng)，所述方法還包括：

22、步驟16，erp系統(tǒng)將待發(fā)送至iam系統(tǒng)的數(shù)據(jù)使用第二公鑰進(jìn)行加密，并使用第一私鑰對(duì)加密后的數(shù)據(jù)進(jìn)行簽名；

23、步驟17，iam系統(tǒng)接收erp系統(tǒng)的接口數(shù)據(jù)，使用第一公鑰進(jìn)行簽名驗(yàn)證，驗(yàn)證通過后使用第二私鑰對(duì)消息進(jìn)行解密；

24、步驟18，iam系統(tǒng)將待發(fā)送至erp系統(tǒng)的數(shù)據(jù)使用第一公鑰進(jìn)行加密，并使用第二私鑰對(duì)加密后的數(shù)據(jù)進(jìn)行簽名；

25、步驟19，erp系統(tǒng)接收iam系統(tǒng)的接口數(shù)據(jù)，使用第二公鑰進(jìn)行簽名驗(yàn)證，驗(yàn)證通過后使用第一私鑰對(duì)消息進(jìn)行解密。

26、根據(jù)本公開實(shí)施例的另一方面，提供一種erp系統(tǒng)與iam系統(tǒng)的集成裝置，所述裝置包括：

27、處理器；

28、用于存儲(chǔ)處理器可執(zhí)行指令的存儲(chǔ)器；

29、其中，所述處理器被配置為執(zhí)行上述的方法。

30、根據(jù)本公開實(shí)施例的另一方面，提供一種非易失性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序指令，所述計(jì)算機(jī)程序指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述方法。

31、本公開的有益效果在于：本公開的集成平臺(tái)通過連接層和適配層將erp系統(tǒng)與iam系統(tǒng)及其他外部系統(tǒng)進(jìn)行解耦，避免系統(tǒng)之間的直接耦合。通過一系列映射關(guān)系的建立，系統(tǒng)自動(dòng)觸發(fā)權(quán)限管理模塊與適配層的對(duì)接，自動(dòng)化完成了對(duì)新員工基礎(chǔ)權(quán)限的分配，無需人工干預(yù)。該設(shè)計(jì)不僅使權(quán)限授權(quán)過程更加高效、自動(dòng)化，還確保了權(quán)限管理與各系統(tǒng)之間的統(tǒng)一性和靈活性，提升了整體集成的可維護(hù)性與可擴(kuò)展性。