随着企业数字化转型的推进,如何有效地统一多款产品的身份认证体系成为众多企业面临的重要挑战。2023年,车队管理软件巨头Vimcar与Avrios合并,组建了全新的Shiftmove品牌。两家企业在产品功能和用户群体上具有高度互补性,因此,将两者的用户身份系统整合为单一认证平台,不仅对提升用户体验具有深远影响,更是保障安全与便捷的关键所在。本文围绕Shiftmove采用第三方身份提供商FusionAuth统一认证层的实践经验,深入剖析其技术选型、架构设计、迁移挑战及安全优化,为类似企业提供可借鉴的解决方案。 Shiftmove成立之初,Vimcar与Avrios分别采用不同的身份认证策略。Vimcar拥有自主研发的身份服务,提供基于OpenID Connect的单点登录,颁发署名令牌同时维护细粒度权限。
而Avrios则利用AWS Cognito作为身份提供商,直接发放JWT令牌,支持外部SAML身份提供商集成且区分驾驶员与系统用户。两套体系既有差异也蕴藏了整合的潜力。 面对多样的身份管理需求和未来产品扩展的可能,Shiftmove开展了严谨的身份提供商评估。选择FusionAuth不仅是基于其功能完备性、成本效益和实施便利性,更因为FusionAuth支持高度定制、自托管或托管服务以及丰富的多租户机制,符合Shiftmove构建统一身份平台的长远规划。最终,Shiftmove决定采用FusionAuth的托管方案,将其作为统一身份服务的核心。 设计统一身份认证平台时,Shiftmove明确了数据模型原则。
将FusionAuth设定为全局用户基本信息的权威来源,管理用户名、密码及基础用户注册状态。产品特定的权限和用户偏好则存留在各自系统中,通过高层级的FusionAuth注册实现用户身份的关联。这种设计兼顾了灵活性及可扩展性,有利于未来新增产品的接入和权限自定义。 技术实施层面,Shiftmove在生产、测试及预发布环境均部署独立的FusionAuth实例,保障环境隔离与稳定性。通过Terraform与AWS CI/CD流水线结合,自动化配置及持续交付得以高效执行。此外,开发阶段使用Docker Compose搭建本地FusionAuth及相关服务环境,确保一致的开发测试体验。
在融合Avrios旧有系统方面,Shiftmove经历了两代解决方案。初期方案以Cognito为核心,融合FusionAuth生成的身份验证信息,虽然加快上线速度,但存在开发体验不佳及成本利用率低的弊端。迭代中剔除了Cognito依赖,采用FusionAuth定制Lambda函数动态向JWT添加权限声明,使客户端获得带详细权限的令牌,极大提升系统简洁度和安全性。 Vimcar体系仍保留自己的身份服务,负责权限管理及颁发不透明Bearer令牌,身份认证步骤则委托FusionAuth完成。前端及后端调用流程基本不变,保障了平滑过渡与业务连续性。 用户迁移是整个统一进程中至关重要的一环。
针对两套系统不同特点,Shiftmove实施分阶段迁移策略。Vimcar用户经过批量导出导入FusionAuth后启用慢迁移模式,确保迁移期间新增用户信息无缝同步。Avrios用户迁移时,系统需暂停服务,执行用户导出及导入,同时解决重复用户冲突,关联多产品应用注册信息。所有关键改动均置于特性开关控制下,实现故障回滚能力。 安全性是推动采用FusionAuth的核心动因之一。初期方案虽无大幅提升,但为后续多因素认证(MFA)、社交登录(含Google、Apple)、企业身份提供商整合(如Okta)、密码泄露检测及密码免密登录等功能埋下伏笔,全面强化内部及客户账户安全。
MFA策略针对高风险用户主动强制实施,防范账号被盗风险。 整个迁移及整合过程中,Shiftmove也遇到了一些挑战。开发者体验方面,FusionAuth使用FreeMarker模板引擎,缺乏现代化前端开发支持,调试周期较长,团队投入了额外资源优化本地部署和流程效率。基础设施配置方面,Terraform状态管理与FusionAuth远程服务器解耦带来了状态不一致的风险,促使团队加强CI/CD流水线的完善和监管。自定义域名支持最初不足,影响测试环境一致性,后续通过协商获得更多支持域名,改善了环境一致性。 文档资料及社区资源相对有限,实际定制经验匮乏,成为初期实施的困扰之一。
为此,Shiftmove工程师通过结合自身实践撰写分享文章,帮助社区补充宝贵的实战案例与思考。 总体来看,采用FusionAuth作为统一认证平台,不仅实现了多个产品用户身份的集中管理,还通过架构灵活性支持未来产品接入和业务扩展。安全能力显著提升,多因素认证和密码安全策略增强了用户账号防护。自动化运维、分环境部署和统一配置保障了系统的稳定高可用。 企业在考虑构建或者迁移统一身份认证层时,可以从Shiftmove的经验得到启示:合理评估产品需求及扩展性,选择支持开放标准和高度定制化的平台,注重自动化及环境隔离,重视用户迁移的平滑过渡与安全策略完善。与此同时,开发者的使用体验和团队的技术积累也应纳入整体规划,以降低后期维护成本和技术负担。
未来,随着Shiftmove品牌的持续壮大和新成员产品的加入,FusionAuth统一身份平台将持续发挥关键作用。通过不断优化身份认证流程、增强安全性与用户体验,Shiftmove正稳步迈向构建行业领先的车队管理数字生态体系。 总结而言,Shiftmove通过融合FusionAuth打造多产品统一认证层的成功实践,为企业级身份管理提供了宝贵的案例。它展示了如何在保留现有业务连续性的基础上,实现身份体系的现代化升级和安全防护的全面提升,是企业数字化身份管理转型的重要参考。
