统一用户管理解决方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

统一用户管理解决方案统一用户目录管理统一用户目录管理是为了方便用户访问组织机构内所有的授权资源和服务,简化用户管理,基于LDAP或基于数据库,对组织机构内中所有应用实行统一的用户信息的存储、认证和管理。统一用户目录管理要遵循以下两个基本原则:z统一性原则:实现对目前已知用户类型进行统一管理;对包括分支机构在内的整个组织机构内的所有用户进行用户目录复制和统一管理;对门户的用户体系和各应用系统各自独立的用户体系进行统一管理;对新进员工/用户到员工/用户离开进行整个生命周期的管理。z可扩充性原则:能够适应对将来扩充子系统的用户进行管理。1.1用户分类模型1.1.1基于部门岗位树的角色模型基于部门岗位树的角色模型是组织机构内最常见的模型,提供了用户目录管理、目录复制、权限控制的多种属性。角色管理是用户权限管理的重要基础。基于部门岗位树的角色模型如下所示:1统一用户管理解决方案组织/部门在部门岗位角色树状层次模型中,用户职位称为岗位,或称用户角色,包含岗位角色的组织机构称为部门,大部门可以包含小部门。其最重要的特点是:z用户隶属于岗位/角色(可以隶属于多个岗位/角色);z岗位/角色具有时间范围;z部门包含下属部门及岗位/角色中的所有用户。部门岗位角色树状层次模型,比如:z如集团、总部/华北/华东/华南等大区、分支机构、部门、科室等;z如国家部委、省级/地市等分支机构、司/局、处、科室等;z再如学校、分校、学院、研究室/班级、教师/职工/家属/学生等。用户信息以组织/部门/岗位角色以树状的层次结构来组织和管理,有以下好处:部门部门岗位岗位岗位岗位部门岗位岗位岗位部门岗位2统一用户管理解决方案z同实际组织机构体系相一致;z同LDAP目录对数据的组织方式保持一致,便于利用LDAP目录服务的强大进行用户目录的管理;z有利于将某个地域/分支机构或某个部门/下属单位的用户信息定制推送到单独的用户目录服务器上,提高相关应用对用户信息的访问效率;z有利于根据目录树的结构给予不同的员工/用户组不同的权限。1.1.2级别分层树模型级别分层树模型如下图所示,是对部门岗位角色树状层次模型的补充。根第一级第二级第三级在级别分层树模型中,不同层次的节点具有上下级或涵盖关系。相同层次的节点相互独立,之间没有上下级或涵盖关系。其最重要的特点是:z用户只能属于一个级别;z在同一层次节点下可以有多个级别;z可用大于、小于或等于,以上、以下等词汇来指定多个或一个层次的级别。级别分层树模型,比如:z市长、副市长、委办局长、副局长、处长/副处长、科长等行政级别;3统一用户管理解决方案z部委部长/主任、司局长/厅长、处长/副处长、科长等行政级别;z公司总裁/总经理、副总裁/副总经理、部门总监/部门经理/部长、高级经理、项目经理、普通员工等级别;z校长、副校长、院长、副院长、博导/教授、副教授、讲师;学生:博士研究生、硕士研究生、本科生等级别。。。利用级别分层树模型,可辅助实现更为灵活的用户授权控制。1.2用户信息存储管理1.2.1用户信息存储分类统一的用户信息存储可基于:z数据库方式:支持将统一的用户信息存储于各大主流数据库中,如Oracle、DB2、SQLServer、Sybase、MySQL等;zLDAP目录方式:支持将统一的用户信息存储于LDAP目录中,如DominoLDAP、SunOneDirectoryServer、OpenLDAP、MSActiveDirectory、NovellNDS、NetscapeDirectoryServer等。此外,可以基于LDAP目录或数据库方式,新建一个用户信息目录库,供门户和应用系统使用;也支持可以使用现存应用系统的已有用户数据库,作为门户和其他应用统一的用户信息存储管理库,如可以考虑基于现存的OA办公自动化系统、或者HR人事系统、或者一卡通系统等现有系统的RDBMS用户数据库或LDAP用户目录进行用户信息管理和身份验证。鉴于基于LDAP目录服务存储和管理用户的身份认证等信息,可更有效更灵活地管理用户及资源,我们推荐采用LDAP目录服务作为各组织机构信息化建设统一用户管理的基础平台。下面主要阐述LDAP目录服务的相关内容。4统一用户管理解决方案1.2.2LDAP目录服务定义LDAP协议:轻量级目录访问协议(LDAP),英文全称是LightweightDirectoryAccessProtocol,是一个用于访问存储在信息目录中的信息的Internet协议,是目录服务在TCP/IP上的实现(RFC1777V2版和RFC2251V3版)。它是对X500的目录协议的移植,但是简化了实现方法,所以称为轻量级的目录服务。LDAP协议是跨平台的和标准的协议;实际上,LDAP作为一种Internet标准,得到了业界的广泛认可。LDAP的核心规范在RFC中进行了定义,LDAP协议集规定了区别名(DN)的命名方法、存取控制方法、搜索格式、复制方法、URL格式、开发接口等,描述了客户端应该如何访问存储在服务器上的数据,但没有定义应该如何存储数据。通过使用LDAP,可以在信息目录的正确位置读取(或存储)数据。目录服务:所谓目录服务是在分布式计算机环境中,定位和标识用户以及可用的各网络元素和网络资源,并提供搜索功能和权限管理功能的服务机制。各组织机构为了实现各个分立的“信息孤岛”走向连通和融合,一方面业务系统需要将自身的职能和业务协作要求公布出去;另一方面,也希望能够检索并获取其他业务系统的信息和公共的信息资源。这些需求采用目录服务都能够得到满足。目录服务是其对象具有属性及名称的命名服务,是命名服务的自然扩展。目录服务与命名服务的关键区别在于,目录服务允许属性(比如用户的电子邮件地址)与对象相关联。目录服务的核心是一个树状结构的信息目录,由一系列具有属性和名称的目录入口对象(Entry)组成,将网络中的数据资源、数据处理资源和用户信息按有次序的结构进行组织,并且专门针对海量查询的使用情况进行了优化,极大地提高了数据读取和查询性能。目录服务不仅可以提供分布式计算网络的视图,以逻辑的观念来管理网络,而且它能实现以人为本的网络管理方式。它可以记载网络的所有文件以及所有在网络上运行的资源,以及使用者帐号、身份口令、密码、卷、文档,应用程序以5统一用户管理解决方案至于域名服务器DHCP、IP地址以及认证的公钥等。此外,目录软件还保存和管理对包括人员、业务过程和供内部使用的资源等有关组织机构详细信息的访问。目录服务树中的一个目录对象可以通过它的名字检索,或者通过使用一组搜索标准(表示目录对象的名字和属性)检索。在分布式计算环境中,各单位对其他单位有用的信息可以在目录服务注册、解除注册和查询。在整个组织机构范围内部署和实现LDAP,可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息。目录服务与数据库服务的异同:正如Oracle、DB2、SQLServer、Sybase等数据库管理系统是用于处理查询和更新关系型数据库那样,LDAP服务器也是用来处理查询和更新LDAP目录的。换句话来说LDAP目录也是一种类型的数据库,但是不是关系型数据库。目录服务与数据库服务的不同之处在于,LDAP目录服务一般缺少数据库提供的事务功能和大规模数据的数据库支持;但专门针对读密集型的操作进行了专门的优化,因此,可极大地提高数据读取和查询性能;LDAP把数据存放在文件中,为提高效率可以使用基于索引的文件数据库,而不是关系数据库;LDAP的数据类型主要是字符型,为了检索的需要添加了BIN(二进制数据)、CIS(忽略大小写)、CES(大小写敏感)、TEL(电话型)等语法(Syntax),而不是关系数据库提供的整数、浮点数、日期、货币等类型,同样也不提供象关系数据库中普遍包含的大量的函数,它主要面向数据的查询服务(查询和修改操作比一般是大于10:1),不提供事务的回滚(rollback)机制,它的数据修改使用简单的锁定机制实现All-or-Nothing,它的目标是快速响应和大容量查询并且提供多目录服务器的信息复制功能;一般而言,当从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。正是因为专门为读的性能进行优化,大多数的LDAP目录服务器并不适合存储需要经常改变的数据;而是若符合以下条件的数据,则比较适合在LDAP6统一用户管理解决方案目录中进行存储。z数据需要从不同的地点读取,但是不需要经常更新。z需要在任何平台上都能读取数据;z数据为平面数据(FlatData),数据记录对象的组织只是为了方便检索和灵活性的需要,LDAP中属性类型Type可以有多个属性值Value,如员工/用户信息记录可以包含主管领导的登录名;而不是象关系数据库那样,为降低数据的冗余性要求实现各个域必须是不相关的。LDAP目录的优势:现在LDAP的流行是很多因素共同作用的结果。LDAP的优势主要体现在:z跨平台:可以在任何计算机平台上,用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录;而且也很容易定制应用程序为它加上LDAP的支持。在组织机构范围内实现和部署LDAP,可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息;而数据源可以放在任何地方,可以方便用户信息系统的集成,简化员工在机构单位内部查询信息的步骤。LDAP协议是跨平台的和标准的协议,得到了业界的广泛认可,因此应用程序就不需关心LDAP目录放在什么样的服务器上。软件厂商在产品中加入对LDAP的支持,根本不用考虑另一端(客户端或服务端)是怎么样的。LDAP服务器可以是任何一个开发源代码或商用的LDAP目录服务器(或者还可能是具有LDAP界面的关系型数据库),因为可以用同样的协议、客户端连接软件包和查询命令与LDAP服务器进行交互。与LDAP不同的是,如果软件厂商想在软件产品中集成对DBMS的支持,那么通常都要对每一个数据库服务器单独定制。z效率高:LDAP目录服务专门针对快速响应和大容量查询等读密集型的操作进行了专门的优化,因此,可极大地提高数据读取和查询性能。z安全性好:LDAP提供很复杂的不同层次的访问控制或者ACL,以控制对数据读和写的权限,可以根据谁访问数据、访问什么数据、数据存在7统一用户管理解决方案什么地方以及其它对数据进行访问控制,因这些访问可以在服务器端控制,这比用客户端的软件保证数据的安全可安全多了;此外,LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据,例如:可以把数据“推”到远程的分支机构/办公室,以增加数据的安全性。目录服务是提高网络安全、降低网管费用、减轻工作强度的有效工具。z成本低:不像很多商用的关系型数据库,不必为LDAP的每一个客户端连接或许可协议付费,大多数的LDAP服务器安装起来很简单,也容易维护和优化。复制技术是内置在LDAP服务器中的而且很容易配置;而如果要在DBMS中使用相同的复制功能,则需要支付额外的费用,而且也很难管理。利用目录服务可以实现以下功能:z组织机构内部拥有内部信息资源的管理,以分布方式存储有关系统构成的信息,在多个服务器中复制目录,通过查询目录服务器来获得所需要的信息;z提供白页和黄页查询服务,如单位的服务电话、通信地址等;z实现单一用户登录,统一管理服务、资源和应用程序的使用;z对组织机构所提供的服务功能提供统一目录管理,便于注册、查找和修改;z信息资源的即时更新,使得目录访问者可以随时获得最新的信息;z广义的意义讲,安全证书管理、DNS、NIS、UDDI等都可以纳入到目录服务的范畴。目前CA中心的安全证书管理和UDDI注册库的管理都使用了LDAP目录服务。LDAP目录服务提供的是一种统一的目录访问的服务,其与对外所提供的服务功能是没有直接关系的,其所提供的是一种目录服务的统一机制。所以这里说的目录服务是X.500目录服务以及其简化版本LDAP。8统一用户管理解决方案1.2.3LDAP目录的结构LDAP目录以树状的层次结构来组织和存储数据,目录由目录入口对象(Entry)组成,目录入口

1 / 29
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功