基于產品化的概念運維跨校認證服務

馮 騏

（華東師范大學信息化辦公室，上海 20062）

0 引 言

校際間的數字化資源共享已經成為必然趨勢，例如無線接入服務的跨域漫游認證，教學資源的跨校共享等，基于這些應用需求，形成了多個跨校認證聯盟，例如上海市教育系統跨校身份認證聯盟（31所高校和區縣），由華東師范大學、新疆師范大學、山西師范大學等組成的跨校聯盟試點等．隨著Shibboleth的版本不斷更新和跨校聯盟的進一步擴大，工作的重心主要集中在跨校認證體系架構的管理上，如何優化管理、提高效率，成為眼下工作的重點．

1 跨校認證技術組成

現有的這一套跨校認證系統基于開源的Shibboleth技術構建．

Shibboleth主要由三個部分組成：

（1）IDP（Identity Provider，身份提供者）

身份提供端：主要作用是向資源提供者提供用戶的屬性，以便使資源服務器根據其屬性對其訪問操作進行授權和響應．

（2）SP（Service Provider，資源提供者）

資源服務提供端，主要作用是響應用戶的資源請求，并向該用戶所在的IDP查詢用戶的屬性，然后根據屬性作出允許或拒絕訪問資源的決策．

（3）WAYF（Where Are You From，認證中心．Shibboleth 2．0之后更名為DS，即DiscoveryService，但是習慣上依然稱呼為WAYF）

圖1展示了目前跨校認證系統的邏輯架構．

圖1 跨校認證邏輯圖

2 服務產品化對跨校認證運維的借鑒

2006年，在IBM服務部門成立10周年的時候，IBM提出全面轉型“服務產品化”．經過IBM多年的實踐，服務產品化概念已經影響到服務行業的各個方面．服務產品化是通過改變服務的生產方式，把服務的生產過程變得像產品制造一樣，把服務的內容分解，實現標準化，然后按照傳統產品市場的原則，把服務產品交付給客戶．服務產品化讓服務有標準，能夠被評估，改變了目前服務行業里一些過去無法解決的效率、成本、標準、定價以及評估等難題．

2．1 跨校認證服務所面臨的困境

現有的上海市教育跨校認證系統，其實質上源于早年的一個科研項目．在不斷推廣并獲得用戶的好評后，如今的跨校認證已經成為覆蓋31所高校／區縣，提供10余種服務的跨校認證共享，日訪問量近萬的龐然大物．而對這個龐然大物的服務支持，卻沒有跟上它增長的步伐．如今面臨以下若干問題．

2．1．1 跨校認證系統部署不標準

跨校認證系統是基于開源組件Shibboleth進行構建．其關鍵的IDP組件需要部署每個加盟的高校節點中，用于和高校自身的統一認證系統對接．傳統的服務模式下，IDP組件的部署質量取決于的實際部署的技術人員自身．不同的技術人員所部署的組件，所使用的服務器、操作系統、java環境、IDP組件的版本等都可能不同．部分情況下還可能針對某些高校的特殊情況進行二次開發，而在技術人員發生流動后，這些二次開發的系統又缺乏針對性的維護．這些不標準的組件節點隨著整個跨校認證系統的擴大，極大的降低了運維的效率．

2．1．2 跨校認證運維工作效率低

跨校認證系統實質上是連接用戶所在高校和用戶所訪問的業務系統的一個中間件．因此當用戶發生登陸異常時，其面臨的一個困境即是：“我應該向哪里報修？”．其所在高校的信息辦無法直接處理，其所訪問的業務系統亦無法直接處理．而跨校認證系統本身并沒有直接面向用戶的服務窗口．因此一個用戶的故障通常需要層層轉交，最后到達技術支持者的手中，其服務效率顯然是很低的．

那如果用戶能夠直接面對技術人員呢？為了提高跨校認證的服務質量，在2014年新的跨校認證的DS界面上，增加了技術支持者的郵箱．以便用戶在發送跨校認證故障時能直接反饋到技術人員處．然后事實上技術人員收到的大量郵件均為與業務系統相關的咨詢，例如成績查詢、選課咨詢，等等，真正跨校認證故障產生的報修卻少之又少．因此增加了大量的工作量的同時，反而在這些問題上，降低處理的效率（因為同樣需要轉交咨詢到具體的業務系統負責任人）．

2．1．3 跨校認證運維人員負荷高

跨校認證近年了推廣的力度在不斷加大．2013年一年間，所覆蓋的院校從23所增加到31所，所支持的業務系統也從4～5個增加到現在的將近10個．業務量的大幅度增加帶來的了更多的維護負擔．由于跨校認證系統存在一定的技術門檻，因此這些負擔被集中到了少數幾個技術人員身上，有時甚至集中在1個人身上．事實上，負責維護的高校技術人員通常并非全職負責跨校認證的工作，往往還要負責學校內的其他工作，并且這些工作的優先級在有些時候，往往還會排在跨校認證之前．

跨校認證系統還將面臨不斷的擴容，面臨新的節點部署，新的業務系統對接支持．這些都會產生較高的工作量，與技術人員學校內其他的工作量疊加后，最終產生了很高的工作負荷．

2．1．4 跨校認證運維成效難評估

盡管跨校認證已經得到了極大的推廣，用戶體量已經非常龐大，并且在許多應用上已經廣泛在使用．例如上海市的教育無線通，每天通過跨校認證進行無線跨校認證的用戶數達三四千人．但這些統計數據都是孤立于每個業務系統自身，缺乏一個整體的針對跨校認證系統的使用情況數據．難以對整個跨校認證系統的使用現狀進行一個評估和分析．

跨校認證的運維中，每一次故障的保修，每一個新節點的申請和加入，每一個業務系統的跨校認證對接，均沒有形成相應的固定流程，亦沒有專門的記錄和文檔．因此雖然跨校認證的運維負擔很高，卻無法對運維人員的工作量進行量化的統計和評估，這無疑打擊了運維者的工作積極性．

2．2 跨校認證服務的產品化

上文已經描述，目前跨校認證服務的困擾最大來源即是缺乏標準和由于不標準帶來的額外成本，以及缺乏評估．而這些都是服務產品化所擅長解決的問題．

跨校認證服務的產品化，即是將目前的跨校認證服務進行規范和整合，打包為若干個標準化的產品，形成一套多個產品組合的跨校認證解決方案，從而大幅度地提高跨校認證的服務質量和運維效率．

從跨校認證的部署，運維和評估3個角度入手，我們組成以下3個跨校認證產品．

· 跨校認證接入組件（IDP）

· 跨校認證監控與分析平臺

下文將詳細描述這3個產品的具體組成和其中部分產品的應用現狀．

3 跨校認證產品

3．1 跨校認證接入組件（IDP）

傳統的部署過程中，需要服務方和用戶方共同配合了完成整個系統的構建．圖2展示了傳統部署模式下的工作流．

圖2 工作流圖

從圖2可見，大量的流程和時間，其實都消耗在了部署安裝前的協調準備上．而打包后的產品——跨校認證接入組件（IDP）則將解決這一問題．

基于標準產品的跨校認證接入組件部署的工作流圖3所示．

昨天，唐小果跟爸媽去“唐家大院”拍攝一期關于古代大門的視頻。當他們拍攝到一半的時候，遇到了一個賣糖人的老爺爺，他拿著一坨糖漿，一捏一揉，然后輕輕吹幾下，一拉一扯，一個惟妙惟肖的孫悟空糖人就做好了。

產品由表組成．

產品化的IDP組件帶來了以下3個優點：

（1）產品內容標準化

基于虛擬化的方式統一制作的模板，在正式打包進產品前都經過了嚴格的測試．因此無論在安全性、兼容性和穩定性上都得到了保障，從而為所有的接入用戶均提供統一的標準化產品．

（2）產品響應快速化

打包整合后的產品，使得服務方在接受到請求之后，即可直接向用戶提供產品，而無需協調用戶準備一些底層環境．同時打包整合后的產品，使得技術人員只需要做極小的改動，即可完成部署．從而極大的提高了服務的相應速度．

表1 跨校認證接入組件組成

圖3 產品化后的工作流

（3）產品部署簡單化

由于打包的產品已經完成基本的安裝和調試，最終的服務人員只需要針對具體不同的學校做少量的修改（例如修改域名、修改logo之類）．因此所需的技術門檻也大大地降低．較為繁瑣和重復的部署服務，可以有一般的技術人員完成，甚至可以外包．而核心技術人員只需要對產品進行升級調優，并發布新的版本即可．從而降低了IDP的部署難度和門檻，提高了工作效率．

在上海市跨校認證最近新增的一些節點中，已經使用了標準化IDP組件的部署方式，使得IDP組件的部署時間從過去的1周左右，下降至半天，效率提高了14倍．

3．2 跨校認證運維服務

跨校認證的運維，實質上也是一種IT服務運維．因此很自然想到，要將其產品化和標準化，必須要應用ITIL流程化的運維體系．

跨校認證系統涉及幾十所高校和多個業務系統．在這樣松散的結構里實現嚴格的ITIL流程顯然不現實．但是一些基本的流程和結構需要確立，一些基本的角色層級需要形成．

服務層：面向用戶的服務窗口，接受所有請求（加盟申請，故障報修等），提供一線的支持；生成對應的工單，協調二線的技術人員；跟蹤工單以了解事件的處理進程；回訪用戶獲取確認并終止事件；生成事件的報告．

技術層：根據一線提交的工單，提供二線的技術服務支持；

決策層：根據運維的運行狀況進行作為決策依據和參考．對一些重大事件（節點加盟申請，重大故障事故等）進行處理和協調工作．

圖4展示了基于ITIL流程下的跨校認證事件處理流程圖．

在基于ITIL流程化的服務產品中，很容易就跨校認證的運維工作量和工作效率進行精確到人的評估和分析，形成對應的獎懲機制，從而調動服務人員的積極性．通過對工單的追蹤和分析，能夠精確的了解跨校認證目前的用戶體驗，從而為決策提供依據．

3．3 跨校認證監控與分析平臺

跨校認證系統是一個分布式的松散結構，因此在日志處理和系統監控上先天存在不足．一方面，每個IDP服務器的日志都只保存在服務器本地，既有本地服務器空間存滿的風險，也有日志存儲分散、日志僅能以文本方式展示、不易查詢分析等缺點．另一方面，傳統的系統監控僅能監控服務器的運作正常與否，無法檢測系統內的IDP服務是否正常工作，無法第一時間感知到跨校認證故障的發生．因此需要一個產品來對整個跨校聯盟內的IDP服務進行日志收集分析，實時監控和告警，即“跨校認證監控和分析平臺”．

圖4 事務處理流程

該產品應該能實現以下功能：

統一日志收集：系統要求能夠將分布在各地的idp服務器的log，進行實時的收集儲存．

實時監控和告警：系統要求能夠實時監控idp服務的運行狀態，并對影響跨校認證的異常錯誤給出及時的告警（通過系統web提示和告警郵件的兩種方式）．

數據分析和挖掘：對跨校認證采集的日志數據進行提取分析處理，將其錄入數據庫．同時可對數據庫進行分析和挖掘，提供跨校認證系統使用情況的趨勢分析報告．

圖5為系統的結構邏輯圖．

該產品的開發已經完成demo版本．目前已經在試運行中，并已經得到了一些相當有趣的數據．圖6展示了目前跨校認證系統中不同業務系統的流量占比．

可以看到shec－wc－test2這個SP，即上海市教育無線通的流量占了絕大多數的比率．．

針對無線通的使用情況做進一步的分析，能夠得到一些更有趣的信息

圖7從左至右分別展示華東師范大學、上海對外經貿大學、上海交通大學醫學院、復旦大學的無線通流量．

圖8從左至右分別展示上海師范大學、上海大學、上海外國語大學的無線通流量．

可以看到，上海師范大學、上海大學和上海外國語大學的流量周期性非常明顯，而華東師范大學、上海對外貿易大學、上海交通大學醫學院和復旦大學的流量周期性則不太顯著．

圖5 系統邏輯圖

圖6 流量拼圖

為何用戶的跨校無線通的流量會在周末出現高峰，這是一個很值得研究的話題．一個可能的解釋是學生們在周末參加其他學?？缧］o修上課，但這又不足以解釋為何復旦的流量周期性不那么顯著．

總之，整合了日志數據后的跨校認證監控與分析平臺，能夠給與越來越多的數據供挖掘分析，從而不僅僅對跨校認證的決策產生影響，甚至能夠對高校的教學合作等方面的決策提供幫助．

4 總結與展望

基于Shibboleth的跨校認證技術為數字化資源的共享提供了技術平臺，形成了由多所高校所共同組成的跨校聯盟．隨著跨校聯盟規模和范圍的擴大，認證系統的維護負擔也隨之增大．為了從根本上提高跨校認證服務的運維質量，本文提出了以產品化的概念來運維跨校認證服務，并提出了3個跨校認證產品，從產品的理念，技術組成和部分的應用的情況都給予了介紹．在運維的標準和評估上，提供了充分的支持．

然而產品化的3大特點標準，定價，評估中，定價亦是其至關重要的一環．在商業的服務產品化中，甚至能夠產生準確合理的定價才是其將服務產品化的最主要原因．產品本身就指的是能夠提供給市場，被人們使用和消費，并能夠滿足人們某種需求的東西．但是在現有的體制框架下，卻很難以市場化的方式對產品進行定價，更難以將產品的價值轉換成合理的報酬，直接回饋給這些產品的生產團隊．

本文所提供的3個跨校認證產品中，跨校認證接入組件（IDP）已經正式運行，并取得了極好的效果．跨校認證監控和分析平臺正在試運行demo，也收到了一定的成效．跨校認證運維服務，其基于ITIL的運維理念，已經在筆者所在學校的信息化部門運行了2年，收效斐然．但是基于整個跨校認證聯盟來組建基于ITIL的服務流程，還需要更多的協調和溝通．

圖7 流量圖1

圖8 流量圖2

總之，通過產品化的概念來運維跨校認證服務能夠顯著的提高運維效率和質量，并降低運維成本．本文提供的跨校認證產品和理念，均經過實際應用的檢驗，適用于進一步推廣．

［1］ 馮騏，張赫，劉莉，張增修．虛擬化跨校認證IDP的部署［J］．中國教育網絡，2013，7：74－77．

［2］ IBM踐行“服務產品化”戰略：“企業IT安全”服務產品線全線出爐［J］．通信世界．2006，47：B19．

［3］ 方延峰．基于ITIL的高校IT服務管理系統的設計與實現［D］．長沙國防科技大學，2009．

［4］ 王朗．服務產品化對高校圖書館的借鑒價值［J］．圖書館論壇，2012，32（2）：29－32．

［5］ Shibboleth home page［EB－OL］．［2014－09－05］．http：／／shibboleth．net．

［6］ Shibboleth 2 home page［EB－OL］．［2014－09－05］．https：／／wiki．shibboleth．net／confluence／display／SHIB2／Home．

［7］ 百度百科．服務產品化［EB－OL］．［2014－09－05］．http：／／baike．baidu．com／view／10328882．htm．