Hình 1: Mô hình triển khai hệ thống quản lý tài khoản người dùng tập trung, tích hợp với hệ thống quản lý định danh, xác thực của Bộ Tài nguyên và Môi trường
Hệ thống được triển khai gồm 2 thành phần
- Hệ thống chính được triển khai tại trung tâm dữ liệu của Bộ gồm 3 máy chủ chạy đồng bộ với nhau.
- Hệ thống dự phòng triển khai tại trung tâm dữ liệu Cục CĐS gồm 2 máy chủ chạy dự Phòng và đồng bộ cho nhau trong trường hợp hệ thống chính tại trụ sở Bộ dừng hoạt động.
✓ Hệ thống tại trung tâm dữ liệu trụ sở Bộ tài nguyên và Môi trường
✓ Hệ thống dự Phòng tại Cục CĐS
✓ Cơ chế đồng bộ giữa hệ thống chính và hệ thống dự phòng đồng bộ realtime, đồng bộ với hệ thống dự phòng 15 phút một lần.
- Các thành phần trong mô hình triển khai tại trung tâm dữ liệu trụ sở Bộ:
✓ Máy chủ Internal AD là máy chủ quản lý tài khoản người dùng của Bộ;
✓ Máy chủ USER IDENTITY là máy chủ quản lý định danh người dùng;
✓ Máy chủ USER AUTHENTICATION là máy chủ xác thực người dùng.
✓ Máy chủ CBCCVC là máy chủ quản lý cán bộ công chức viên chức.
- Các thành phần trong mô hình triển khai tại trung tâm dữ liệu Cục CĐS:
✓ Máy chủ Internal AD-BK là máy chủ quản lý tài khoản người dùng Bộ;
✓ Máy chủ USER IDENTITY-BK là máy chủ quản lý định danh người dùng;
✓ Máy chủ USER AUTHENTICATION-BK là máy chủ xác thực người dùng;
✓ Máy chủ CB CCVC-BK là máy chủ quản lý cán bộ công chức viên chức.
Các máy chủ này phục vụ dự phòng cho các máy chủ tại trung tâm dữ liệu Bộ.
Trong đó:
✓ CSDL tài khoản người dùng là dữ liệu tài khoản người dùng phục vụ đăng nhập các hệ thống thông tin thuộc Bộ. Thông tin tài khoản người dùng được quản lý và lưu trữ thông qua hệ thống AD quản lý tài khoản người dùng. Hệ thống này đã được triển khai tại trung tâm dữ liệu Bộ Tài nguyên và Môi trường và trung tâm dữ liệu Cục CĐS&TTDLTNMT.
✓ CSDL định danh người dùng là dữ liệu định danh được cấp phát cho từng cán bộ công chức, viên chức, người lao động thuộc Bộ Tài nguyên và Môi trường, định danh này sẽ phục vụ cho việc xác thực người dùng khi người dùng tác nghiệp với các hệ thống thông tin thuộc Bộ. CSDL định danh người dùng sẽ được xây dựng và triển khai tại trung tâm dữ liệu Bộ Tài nguyên và Môi trường và trung tâm dữ liệu Cục CĐS&TTDLTNMT.
✓ CSDL cán bộ CCVC là thông tin dữ liệu về cán bộ công chức, viên chức Bộ, kết hợp với thông tin định danh của người dùng làm cơ sở để xác thực người dùng của Bộ.
Thành phần dữ liệu người dùng Bộ được cấu thành từ 3 thành phần cơ sở dữ liệu chính gồm:
- Thành phần dữ liệu tài khoản người dùng, tài khoản người dùng được quản lý và lưu trữ trên hệ thống AD Bộ, các thông tin dữ liệu tài khoản người dùng được quản lý trên AD bao gồm
✓ Thông tin tài khoản là thông tin để xác định tài khoản người dùng trên hệ thống AD và phục vụ xác thực người dùng khi tác nghiệp với các hệ thống thông tin. Các thành phần cấu thành thông tin tài khoản gồm: username, password, firstname, lastname, midle name …
✓ Thông tin tổ chức là các nhóm tương ứng cho từng đơn vị được khai báo trên hệ thống AD nhằm phục vụ phân người dùng của từng đơn vị vào các nhóm để thuận tiện cho công tác quản lý tài khoản.
- Thành phần dữ liệu định danh người dùng để xác thực thông tin người dùng, thông tin dữ liệu định anh gồm mã định danh người dùng và các thông tin ánh xạ cho tài khoản và cán bộ công chức viên chức.
- Thành phần dữ liệu cán bộ công chức, viên chức tương tự như thông tin công dân. Thông tin cán bộ công chức viên chức được cấu thành từ các thành phần thông tin cá nhân của một cán bộ công chức viên chức bao gồm
✓ Thông tin cá nhân
✓ Thông tin tổ chức công tác
✓ Thông tin quá trình đào tạo
✓ Thông tin quá trình công tác
✓ Thông tin văn bằng, trình độ
✓ Các thông tin khác
Chức năng quản lý định danh người dùng Bộ được đề xuất nhằm đảm bảo đầy đủ các chức năng phục vụ cho công tác quản lý cấp phát định danh cho người dùng thuộc Bộ. Với các yêu cầu trên thì mô hình chức năng sẽ bao gồm như hình sau
Chức năng đăng ký cấp tài khoản định danh hay cấp phát định danh là nhóm chức năng thực hiện quy trình đăng ký, duyệt và cấp phát tài khoản định danh cho người dùng Bộ
Chức năng đăng ký cập nhật, thay đổi thông tin là nhóm chức năng thực hiện thủ tục thay đổi thông tin cho các định danh đã được cấp phát cho người dùng
Chức năng đăng ký hủy định là nhóm chức năng thực hiện thủ tục hủy thông tin định danh của người dùng Bộ.
Trong đó
- Chính sách quản lý định danh và xác thực người dùng là các văn bản, quy chế quy định về quản lý định danh và xác thực người dùng Bộ Tài nguyên và Môi trường
- Hệ thống quản lý định danh và xác thực người dùng là hệ thống tích hợp các hệ thống quản lý định danh và xác thực người dùng của Bộ Tài nguyên và Môi trường, các hệ thống tích hợp gồm:
✓ Hệ thống quản lý tài khoản người dùng
✓ Hệ thống quản lý định danh
✓ Hệ thống quản lý cán bộ công chức viên chức Bộ Tài nguyên và Môi trường
✓ Hệ thống xác thực người dùng tích hợp các giải pháp xác thực khác nhau nhằm đảm bảo đáp ứng các yêu cầu của các hệ thống trong Bộ
- Nền tảng công nghệ là các giải pháp công nghệ sử dụng để triển khai các hệ thống
- Các hệ thống bên trong Bộ là các hệ thống thông tin triển khai tại trung tâm dữ liệu Bộ và trung tâm dữ liệu Cục CĐS và Dữ liệu tài nguyên môi trường kết nối với hệ thống quản lý định danh và xác thực người dùng
- Các hệ thống bên ngoài Bộ là các hệ thống thông tin của tổ chức, cá nhân có kết nối đến dịch vụ thông tin được cung cấp bởi Bộ có yêu cầu xác thực
Trong đó:
Tác nhân là người dùng Bộ và các hệ thống khác kết nối xác thực người dùng thông qua LGSP và NGSP
Kênh giao tiếp là các phương thức giao tiếp của người dùng và các hệ thống như trình duyệt, email, thiết bị di động hoặc dịch vụ kết nối API
Tầng ứng dụng và dịch vụ bao gồm các ứng dụng hệ thống tích hợp các giải pháp cấu thành hệ thống quản lý định danh và xác thực (Hệ thống quản lý tài khoản người dùng AD, Hệ thống quản lý định danh, Hệ thống xác thực người dùng, Hệ thống quản lý cán bộ CCVC) và các cơ sở dữ liệu thành phần
Tầng dịch vụ và tích hợp cung cấp các dịch vụ hỗ trợ như SSO, ký số, kết nối trao đổi thông tin thông qua NGSP và LGSP
Hạ tầng kỹ thuật đảm bảo cho hệ thống vận hành
Cơ chế chính sách là các văn bản, quy chế quy định về chính sách quản lý
định danh của Bộ.
Yêu cầu kỹ thuật cho pháp tính toán và lưu trữ.
- Ổn định, an toàn cao.
- Dễ dàng nâng cấp, mở rộng năng lực tính toán và lưu trữ tùy theo nhu cầu từng thời điểm.
- Sử dụng hiệu quả năng lực các thiết bị phần cứng.
- Sẵn có nguồn nhân lực quản trị vận hành.
- Công nghệ ảo hóa với ưu điểm là khả năng sử dụng hiệu quả tài nguyên phần cứng, dễ dàng nâng cấp mở rộng là công nghệ tính toán đáp ứng được những yêu cầu nêu trên. Áp dụng công nghệ ảo hóa cho phép sử dụng tối đa tài nguyên tính toán được đầu tư, tiết giảm chi phí vận hành và quản trị, đồng thời dễ dàng mở rộng tài nguyên tính toán theo nhu cầu. Giải pháp ảo hóa của Vmware được đánh giá dẫn đầu về độ ổn định, hiệu năng, khả năng hỗ trợ đa dạng các nền tảng máy ảo; được phần lớn các doanh nghiệp lớn lựa chọn. Giải pháp ảo hóa Vmware đang được sử dụng rộng rãi để cung cấp hạ tầng tính toán cho Bộ TNMT và các lĩnh vực thuộc Bộ và đã chứng minh được tính hiệu quả.
- Máy chủ phiến với khả năng tích hợp đa thiết bị trong một (máy chủ, thiết bị mạng, thiết bị lưu trữ v.v..), khả năng quản trị tập trung, dễ dàng mở rộng năng lực tính toán trong tương lai là một sự lựa chọn phù hợp cho việc ứng dụng công nghệ ảo hóa.
- Để ứng dụng được công nghệ ảo hóa, giải pháp lưu trữ cần phải tập trung, có khả năng chia sẻ và sử dụng chung cho nhiều máy chủ vật lý cũng như máy chủ ảo. Do vậy, giải pháp lưu trữ tập trung sử dụng thiết bị SAN (Storage Area Network) là một sự lựa chọn hợp lý do: độ ổn định và hiệu năng cao, khả năng chia sẻ tích hợp với máy chủ phiến, dễ dàng nâng cấp mở rộng năng lực lưu trữ.
Với các yêu cầu đảm bảo vận hành hệ thống đảm bảo 24/7 và các yêu cầu về an ninh bảo mật, backup sao lưu phục hồi dữ liệu như đã nêu ở trên thì giải pháp về hạ tầng máy chủ triển khai dự án phù hợp là giải pháp “máy chủ Clustering”.
Phần mềm quản trị điều hành hệ Cluster: phần mềm này đảm bảo việc duy trì hoạt động của toàn hệ thống, thực hiện việc chuyển các tài nguyên giữa các máy node. Ngoài ra nó còn đảm bảo một số các tính năng khác đảm bảo sự hoạt động ổn định của hệ thống.
Với yêu cầu quản lý định danh và xác thực tại Bộ, để đảm bảo đầy đủ các yếu tố an toàn, an ninh, bảo mật cho người dùng và các hệ thống thì giải pháp là kết hợp thành một giải pháp tổng thể đảm bảo các tiêu chí của mô hình quản lý định danh và xác thực cho các hệ thống Bộ.
Sự kết hợp giữa các nền tảng công nghệ để đưa ra một giải pháp hoàn thiện tối ưu để giải quyết bài toán về quản lý định danh và xác thực người dùng cho các hệ thống thông tin Bộ là một phương án khả thi, đáp ứng được đầy đủ các yêu cầu trong công tác quản lý định danh và xác thực người dùng của Bộ.