如果引用或轉貼,麻煩註明出處與本網誌連結,否則視為侵權。

2014年11月25日

企業真的需要帳號整合或單點登入(Single Sign On)嗎?

作者: Fred Wang (FW知識瑣記) 日期: 2014/11/25

        很多企業因為系統眾多,每個系統往往有各自的帳號系統,使用者須要記得許多的帳號與密碼;為了減少記憶密碼與降低帳號管理的成本,因此,推動帳號整合,例如導入Microsoft AD Server,進行帳號整合。

         帳號整合,簡言之就是每個資訊系統都用相同的鑰匙開啟;試想,您家中是否每個房門都用相同的門鎖鑰匙? 保險箱也用與大門相同的鑰匙嗎? 或許沒有較多安全性顧慮的門可以用一樣的鑰匙,但不是全部。

         單點登入,則是不但用同一把鑰匙,還是開了一扇門後,其他所有的門也一起打開,試想,這不是現實生活中會這樣做的,您會允許家中的門是這樣設定的嗎? 單點登入用意最主要是讓使用者方便,減少輸入帳號密碼的次數,但是,您要思考的是,它犧牲了資訊系統的安全性。

        也許資訊技術要做到帳號整合與單點登入都是沒有問題的,但是,有經驗的資訊人員應兼具資訊安全的意識與人性化的思考;讓決策者了解資訊技術執行時的益處與害處(Pros and Cons)。

- Fred F.M. Wang

2014年11月24日

中小企業架設兩岸VPN網路的問題與解決方案

作者: Fred Wang (FW知識瑣記) 日期: 2014/11/24

對於在對岸有辦公室的中小企業而言,許多IT人員會對兩岸網路的問題,大傷腦筋。下面是筆者整理中小企業架設兩岸VPN網路的問題,並提出個人的幾個可能的解決方案。

一 自行架設兩岸VPN網路的問題

     從iTHome中, 看到一些公司IT人員分享的經驗如下 :   
  
"通常 很大的原因是掉包或路由點太多回應太久,台灣這端還算穩定,過了海纜到大陸就無法控制了,以前公司也用VPN設備來做,後來改採用專線 VPN,付點錢給電信商維持穩定的線路成本, 比起一直維護斷線、等待的成本好多了" -  waztwyws 2014-10-28

"用 VPN設備問題確實滿多的,路由追踪(trace route)都會跑去北京,節點中間有些會斷,但還是會到達目的地" - anlier 2014-10-28

"台灣 到大陸目前所知還沒有對接海纜(台灣到大陸目前大多走香港、日本、南韓,再跳過去內陸),所以品質本來就不會很穩定了" - shadowpeople 2014-10-29

"中國 防火牆"這個東西會把這些資訊過濾,假設你用IPSEC(VPN)端口也會被監控導致線路斷斷續續,所以基本上使用Internet的方 式的VPN是無法避免, 不管你那間網絡供應商出海外的接口也一樣.要完全解決這方面問題就必須要考慮專線或MPLS!!  - monkeyboy 2014-10-30

"之前 公司沒預算但又要做到效果當時只能VPN IPSEC解決,後來每逢大陸敏感的日子就會不穩定,投訴N百次也無法解決
非電信 公司能解決,之後改用專線(點對點)就完全OK" - monkeyboy 2014-10-31

      問題發生的原因歸納兩點,
第一,中國防火牆進行資訊監控與過濾導致線路斷斷續續
第二,兩岸無對接的電纜,繞路太遠。


二 解決方案
以下是筆者提出的四種解決方案 :
1. 不透過VPN,在中國辦公室,透過Teamviewer等遠端桌面遙控軟體連(internet)到台灣辦公室的一台電腦來操作使用台灣本部的系統
說明: 僅傳送畫面,因此,降低解析度可以提高效能;如果這樣還是太慢,就要用其他方法。   

2. 開發Web應用系統與網站,提供中國辦公室的同仁透過internet使用
   說明: 不是所有的系統都是Web化或可Web化的系統,開發系統往往花的成本會更高。

3. 購買VPN服務,筆者目前找到最便宜的是"兩岸網際通"
    說明: 部分廠商特有的VPN連線服務,提高兩岸VPN連線品質 (或者有特殊的跨網方式)。
    (網址 : http://www.lovekimo.com/?page_id=53)
    a. 一年NTD 1200元
    b. 購買一個帳號可以同時使用兩個裝置連線 
    c. 註冊後也有三天的測試使用權限。
    d. 有網友由大陸連線測試 表示速度一級棒 http://www.ucptt.com/ck101/3369/2922484

4. 購買電信商的專線(MPLS) VPN服務
    說明: 每月數萬元,對一些中小企業而言,可能太貴,需要評估是否有足夠的需求與效益。

流程管理平台ProcessMaker基本開發程序 (ProcessMaker Development Procedure)

作者: Fred Wang (FW知識瑣記) 日期: 2014/11/23

一個好的流程管理平台,會有好整合開發環境(IDE),搭配圖形化的流程設計,與前後端可程式化的能力,讓此平台可以適用於任何企業流程(Workflow),ProcessMaker就是一個優秀的流程開發與管理平台。

此類平台並非像開發一個Web Application那樣只要專注於程式設計,需要對此平台提供的設計物件,操作環境,與標準功能函數有所了解,如果您初次接觸ProcessMaker, 可能因為它的複雜而心生退卻,筆者將持續提供一些個人在ProcessMaker開發上的經驗給有興趣的網友,讓大家多多了解ProcessMaker

下面是我整理出來ProcessMaker的基本開發程序
0.管理設定
0.1 使用者設定
     0.1.1 設定管理者帳號密碼
     0.1.2 設定認證來源,如果需要整合LDAP Server或AD Server
     0.1.3 建立使用者資訊
     0.1.4 建立部門/組織結構
     0.1.5 建立群組, 如員工, 主管, 處級主管(一級主管), 執行長

0.2 系統設定
     0.2.1 Logo製作與上傳
     0.2.2 SMTP系統郵件
     0.2.3 工作曆設定, 每年必須設定一次
     0.2.4 流程分類建立,區分流程種類,如: 業務, 行政, 人事, IT 等
     0.2.5 建立PM Table, 例如: 個案簽核記錄, 可用在簽核過程,追蹤與顯示簽核過程,讓簽核人了解各工作階段的簽核意見。

1.建立與設定流程
1.1 設定流程基本資訊
1.2 設定流程總管(superuser)
1.3 設定全域變數 : 定義整個流程會用到的變數
1.4 開發PHP程式(Trigger) : 設定流程預設值, 寫入全域變數
1.5 畫流程圖(Process Map)

2. 設定工作階段
2.1 設定工作階段基本資訊 : 包含定義, 個案標題, 工作階段期限, 工作階段形態, 工作階段指定規則
2.2 輸入表格(DynaForm)設計與建立 (可以是每個工作階段共用或本工作階段專用)
         2.2.1 顯示/輸入與隱藏欄位的建立
         2.2.2 頁面HTML設計
         2.2.3 Javascript設計,含頁面載入後的動作如欄位的隱藏或顯示,按下Submit時的欄位檢查
2.3 建立工作階段Triggers :
      2.3.1 開發PHP程式(Trigger), 設定工作階段與輸入表單預設值, 寫入工作階段變數與輸入表單(Dynaform)用變數值
       2.3.2 開發PHP程式(Trigger), 進行此工作階段表單Submit(送出)前,儲存個案簽核記錄
2.4 設定步驟(Steps) : 指定DynaForm, 與指定 Tiggers
2.5 設定工作階段負責(簽核)人的指定規則

2.6 設定通知
2.7 設定Routing Rule(路由規則) : 這一個工作階段到下一個工作階段的條件;不同條件可能導引到不同的工作階段

寫到這裡,發現上面的開發程序,稍微修改可能也適用在其他流程開發與管理平台,畢竟符合BPMN標準的平台,應該有許多相似之處。

筆者將持續提供更詳細的開發細節,敬請期待。