《目录服务和身份管理系统在电力企业中的设计与应用毕业设计论文.doc》由会员分享,可在线阅读,更多相关《目录服务和身份管理系统在电力企业中的设计与应用毕业设计论文.doc(43页珍藏版)》请在三一办公上搜索。
1、毕业设计(论文)目录服务和身份管理系统在电力企业中的设计与应用论文作者姓名:申请学位专业:申请学位类别:指导教师姓名(职称):论文提交日期:目录服务和身份管理系统在电力企业中的设计与应用摘 要21世纪初,人类社会继工业文明之后进入新经济时代。在这个时代里,如何降低用户管理及其对应用系统访问的复杂性和成本,防止擅自使用企业信息,如何提高灵动性,以便系统能响应不断变化的业务需求已经成为限制企业发展的重要因素。国家电网公司在十一五期间启动了“SG186”工程。本文以此工程为背景,通过对现有电力企业内系统的调查,提出一套以身份目录、企业资源目录和认证目录为核心的目录服务来集中统一的存储、管理和展现用户
2、身份信息。并在此基础上使用身份管理产品对现有和即将投入运营的系统进行整合,以此实现整个电力企业系统中高效且无需手工维护的用户生命周期管理。同时为了保证系统稳定高效的运行,在本文中还对影响整个系统效率的关键要点进行了性能测试和分析并获得预期结果。关键词:目录服务;身份管理;用户生命周期The Design and Application of Directory Services and Identification Management System in Electric Power EnterpriseAbstractAt the beginning of the 21st century
3、, human society entered a new economic era following the industrial civilization. Nowadays, there are several problems we have to face, for instance, the way to reduce the cost and complexity of user management and the access to application system; the method to protect the information of the compan
4、y; how to improve the flexibility of the system in order to respond the business requirements.The SG186 project that State Grid Corp. started in the 11th Five-Year Plan period is the background of this thesis. With the research of the system in Electric Power Enterprise, a set of identity directory,
5、 enterprise resource directory and authentication directory has been proposed which provides a core directory services. And then it is used to store, manage and display user identity information. Base on that, in order to achieve efficient and automatic lifecycle management of the Electric Power Ent
6、erprise system, the existing and upcoming operational systems with identity management products has been commix. Meanwhile, in order to ensure that the system is stable and efficient, the key features which affect the efficiency of the system were tested and analyzed and the expected results were ob
7、tained in this thesis.Key words:Directory Service; Identity Management; User Lifecycle目 录论文总页数:33页1引言11.1设计的目的和意义11.2技术背景11.2.1技术简介11.2.2目录服务与数据库系统的差异21.2.3应用历史及现状31.3项目背景41.4设计方法51.5全文结构51.6术语定义52总体框架设计62.1目录服务62.1.1目录服务组成62.1.2总部目录62.1.3网省公司目录72.2身份管理72.2.1身份信息的集中管理72.2.2身份同步83逻辑设计83.1目录服务83.1.1逻辑
8、架构83.1.2目录树结构设计93.1.3目录 Schema 设计113.1.4目录命名编码设计133.1.5目录同步设计143.2身份管理163.2.1逻辑架构163.2.2身份生命周期管理163.2.3身份同步194物理设计214.1物理架构214.2高可用性设计224.2.1目录服务224.2.2身份管理224.3系统监控设计234.3.1目录服务244.3.2身份管理244.4备份和恢复设计234.4.1目录服务244.4.2身份管理244.5安全性设计244.5.1目录服务254.5.2身份管理254.6目录的分级授权254.6.1目录的分级授权机制264.6.2目录的授权要素264
9、.6.3目录的授权方式264.7操作系统调优274.7.1关闭后台进程274.7.2关闭GUI274.7.3处理器子系统调优274.7.4内存子系统调优274.7.5文件系统调优284.7.6网络子系统调优285性能测试285.1目录系统测试285.1.1数据初始化285.1.2查询效率285.1.3负载均衡285.2身份管理系统测试295.2.1用户身份同步295.2.2高可用性29结 论29参考文献29致 谢31声 明321 引言1.1 设计的目的和意义我们知道每一个公司都需要保护其IT基础设施,从而防止信息失窃,遵守法规并确保客户、合作伙伴和员工信息的秘密。这就需要以经济的方法确保和保护
10、公司资产的安全,同时还不能错失新的业务机会或降低工作效率。但事实并不总如人意,让我们考虑以下几种情况。情景一:在当今的大多数企业中,每个公司几乎都在众多的IT系统中拥有多个身份信息存储库,例如:人力资源系统、电子邮件系统和财务系统。如果需要更改系统中某个人员相关的信息,IT工作人员只能以人工的方式更新每个系统中的信息,这是一项既昂贵又耗时的工作,而且还容易出现错误,使系统容易遭受攻击。例如:当一个员工到企业报道之后,却因为需要手工更新应用系统账号的原因而迟迟不能获得与其工作相关的应用系统账号,导致该员工无法进行正常的工作,这将会大大降低员工工作的积极性,同时对于企业来说这也是一种资源的浪费。因
11、此,需要一种集中化的方式来管理用户和访问,以确保安全和实时性。情景二:据美国联邦密情局和计算机应急相应组(CERT)的联合报告显示,在所有针对公司网络的非法访问中,有一半以上都是带有不满情绪的离职员工所为。为用户配置资源访问权限这一过程非常乏味且耗时,对于大多数公司而言,该人工流程会显著降低工作效率。此外,当员工离职后,取消他们的访问权限的手工流程成为最大的安全隐患。因此,需要一种流程化的自动账号配置,在企业中强制实施一致的安全策略。情景三:如果一个企业中,员工必须记住大量的密码才能访问日常应用程序和服务,这种情况可能会危及数据安全并降低工作效率。同样,如果依靠IT部门人工重置每个忘记的密码,
12、一个公司将无法高效运作。因此,需要让员工负责管理自身的密码并通过单点登陆取代多个密码的使用。针对以上情况,我们需要一套完整而合理的方案来解决企业信息化发展中所遇到的问题,而目录服务和身份管理系统正是为了解决这些问题而诞生的。通过对目录服务和身份管理系统的应用设计,我们将会得到一套完整的解决方案以降低企业中管理用户及其对系统访问的复杂性和成本、防止擅自使用企业信息和使系统适应不断变化的业务需求。1.2 技术背景1.2.1 技术简介目录服务是统一身份管理系统所依赖的主要支撑技术,提供跨平台身份信息存储管理和认证支持功能。具体的说,目录服务是指以一定的格式记录了大量企业资源信息,并将各种资源信息集中
13、管理起来,以对象的方式予以记录,明确设定每个对象的“身份”和“位置”。在某种程度上讲它就是符合国际标准协议的一种基于对象的数据库,支持的对象种类较多,在各种平台都能够比较好的结合,在大量数据情况下,读取信息的速度快。对象在目录的倒置树型数据结构中分层存储,便于建立一个与企业组织结构一致的结构和层次。目录服务提供认证和授权机制,管理员只需设定管理策略和规则,使得特定用户只能访问特定的或者授权的应用系统。从功能上来说,目录服务通过复制技术,保持数据信息的一致性。身份管理利用集中式数据储存在应用程序、数据库和目录之间同步、转换和分发信息。当一个系统中的数据发生更改时,同步机制引擎将会根据定义的业务规
14、则检测这些更改,并将这些更改同步到其它已连接系统中,达到数据共享的目的。身份管理内容主要有用户身份的生命周期的管理和实现跨地区的信息同步和用户认证,定制不同安全级别的访问控制和数据加密等。通过对用户身份的生命周期的管理,实现了用户账号信息的创建、变更、注销整个周期过程的控制。利用身份同步,可以实现连接系统的数据信息的自动同步,确保数据信息的安全、性能和容错。根据应用系统的情况,指定权威数据源,通过身份同步机制,形成了全网范围内最完整、准确的中央身份库。1.2.2 目录服务与数据库系统的差异就像Sybase、Oracle、Informix或Microsoft的数据库管理系统(DBMS)是用于处理
15、查询和更新关系型数据库那样,目录服务也是用来处理查询和更新目录树的。换句话来说目录也是一种类型的数据库,但是不是关系型数据库。下面从几个不同的方面来比较目录服务与数据库的差异性。(1)协议的标准性目录服务所基于的LDAP 协议是跨平台的和标准的协议,因此应用程序就不用为目录服务放在什么样的服务器上操心了。实际上,目录服务得到了业界的广泛认可,因为它是 Internet的标准。产商都很愿意在产品中加入对LDAP的支持,因为他们根本不用考虑另一端(客户端或服务端)是怎么样的。目录服务可以是任何一个开发源代码或商用的目录服务,可以用同样的协议、客户端连接软件包或查询命令与目录服务进行交互。与目录服务
16、不同的是,如果软件产商想在软件产品中集成对DBMS的支持,那么通常都要对每一个数据库服务器单独定制。不像很多商用的关系型数据库,你不必为目录服务的每一个客户端连接或许可协议付费。(2)分布性目录服务可以用推或拉的方法复制部分或全部数据,例如:可以把数据推到远程的办公室,以增加数据的安全性。复制技术是内置在目录服务中的而且很容易配置。如果要在DBMS中使用相同的复制功能,数据库产商就会要你支付额外的费用,而且也很难管理。(3)高读写比大多数的目录服务都为读密集型的操作进行专门的优化。因此,当从目录服务中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。也是因为专门为读的
17、性能进行优化,大多数的目录服务并不适合存储需要经常改变的数据。(4)层次化的数据目录以树状的层次结构来存储数据。如果对自顶向下的DNS树或UNIX文件的目录树比较熟悉,也就很容易掌握目录树这个概念了。就像 DNS的主机名那样,目录记录的标识名(Distinguished Name,简称DN)是用来读取单个记录,以及回溯到树的顶部。(5)静态数据目录中所存放的数据为半规则数据,即元数据,允许有不规则的层次化的数据存在。而数据库中存放的数据为规则数据,即交易数据。(6)固定的可扩展的Schema在目录中,不仅通过Schema定义目录中所存储的信息对象的类型,而且通过Schema定义信息对象之间的关
18、系,从而形成目录的完整的结构定义。换句话说,目录中一个对象的结构是从它的上级中继承下来的。不像数据库,一旦表结构定义后想要对其中的Schema进行扩展是件很麻烦得事情,而且数据库中的Schema扩展只能针对表来进行。然而在目录服务中,可以很容易的根据需要对单独的对象的属性进行扩展。(7)安全和访问控制目录服务根据需要提供复杂的不同层次的访问控制或ACL(访问控制列表)来控制对数据读和写的权限。例如,设备管理员可以有权改变员工的工作地点和办公室号码,但是不允许改变记录中其它的域。ACL可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由目录服务器完成的,所
19、以不用担心在客户端的应用程序上是否要进行安全检查。1.2.3 应用历史及现状随着信息化产业的发展和实际应用的需求,一个名为X.500的目录访问协议诞生了,该协议由ISO组织(International Standards Organization)定义,它提供了一种方法,开发一个组织中的成员电子目录,使得世界各地具有因特网访问权限的任何人都可以访问作为全球目录一部分的该目录。但不幸的是,X.500协议相当复杂,这使得要遵循它来开发服务程序和客户端具有了很大的难度。随后,为了弥补X.500协议的不足,美国密歇根州立大学开发了一个名为LDAP(Lightweight Directory Acces
20、s Protocol,轻量级目录访问协议)的协议,它基于X.500标准,但去除了其中一些难以实现且实用意义不大的部分。LDAP协议的最新版本为v3,如今,LDAP协议已经成为目录访问的标准,其核心规范在RFC中都有定义。目录服务与身份管理应用在国外的应用已有近20年的历史,其中有很多著名的产品,包括:Netscape Directory Service(后被Redhat收购,现名为Redhat Directory Service)、SunOne(Sun Java System Directory Server)、Novell eDirectory & Identity Manager、IBM
21、Tivoli、OID(Oracle Internet Directory)、AD(Microsoft Active Directory)和著名的开源实现OpenLDAP。在这些应用中,以Novell公司的目录及身份管理系统性能最为突出,在Gartner公司(全球最具权威的IT研究与顾问咨询公司)2006年度的报告中显示,Novell eDirectory & Identity Manager产品在各个方面都占据了这一行业的领导地位。目录服务及身份管理系统近两年才刚刚进入国内市场,以前都没有其应用的实例,但随着国内信息化的高速发展、现实需求的到来,一些大型机构,如:国家电网公司、星空联盟和香港政
22、府等都相距进行了目录服务和身份管理系统的建设,相信在在这些大型机构的引导下,未来几年内此技术将在国内市场有一个飞跃式的发展。1.3 项目背景依据国家“十一五”信息发展规划,国家电网公司决定实施公司信息化建设工程(即“SG186”工程),即在国家电网公司(包括国家电网公司总部、国家电网公司下属所有网省公司和地市公司)系统内构筑由信息网络、数据交换、数据中心、应用集成、企业门户五个部分组成的一体化企业级信息集成平台;建设由财务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理和综合管理八大业务应用;建立健全信息化安全防护、标准规范、管理调控、评价考核、技术研究、人才队
23、伍六个保障体系。实施“SG186”工程,重点建设“一个系统、二级中心、三层应用”。一个系统就是构筑一体化企业级信息系统,实现信息纵向贯通、横向集成,支撑集团化运作,而国家电网公司全国范围内的目录服务(即统一目录、身份管理)是一体化企业级信息系统(简称“一体化平台”)的重要组成部分,建设实施目录服务是完成国网“SG186”工程一体化企业级信息集成平台的基本需求。通过国家电网公司前期的统一招标,最终决定采用 Novell 公司的 eDirectory 和 Identity Manager 作为该项目中统一建设的目录服务和身份管理系统。1.4 设计方法由于工作原因,本人加入了国家电网公司“SG186
24、”一体化平台统一目录及身份管理项目,本文以下内容将根据项目前期对各网省电力公司调研的具体情况,遵循实用性、先进性、易扩展性、易集成性、高可用性和安全性原则提出一套能适应项目实际需求的设计方案。1.5 全文结构本设计文档共分为五个部分:第一部分是绪论,介绍了设计的目的和意义、技术背景、该项目的项目背景、设计方法、全文结构以及相关术语。第二部分是总体框架设计,从目录服务和身份管理系统两方面阐述所设计的目录与身份管理系统的总体结构及功能定义。第三部分是逻辑设计,从目录服务和身份管理两方面阐述所设计的目录和身份管理系统的逻辑架构。对于目录服务,介绍了目录的Schema设计、目录树结构设计、目录命名编码
25、规范及各级目录间的数据同步;对于身份管理,介绍了身份管理的相关过程、实现机制及与应用系统实现账号同步的方式。第四部分是物理设计,从目录服务和身份管理系统两方面阐述所设计的目录和身份管理系统的物理部署架构,以及高可用性、备份恢复、监控审计、安全性、分级授权、操作系统调优等设计内容。第五部分是性能测试,针对目录系统和身份管理系统的不同用途,对其中的功能性要点进行了性能测试。1.6 术语定义身份目录身份目录是一个eDirectory实例,其功能是实现用户身份数据的集中存储,保存有来自所有其他应用系统账号的、最全面的数据,也称为“身份库”。认证目录 认证目录是一个eDirectory实例,其功能是提供
26、用户身份认证服务,保存有用户认证所需的数据,也称为“认证库”。企业资源目录企业资源目录是一个eDirectory实例,为层次化结构,其功能是实现组织、用户管理与分级授权,保存有全面的用户组织架构、授权、角色等数据。目录复制指eDirectory内部的一种数据复制机制,可保障目录分区内部数据的完整、一致;实现容错功能,并分散访问负载目录同步指通过Novell Identity Manager身份管理系统(以下简称为IDM)实现目录系统之间的数据交换,保证目录数据的一致性和实时性。目录Schema其定义目录中所存储的信息对象的类型,以及信息对象之间的关系,从而形成目录的完整的结构定义。LDIF指L
27、DAP Data Interchange Format,一种普遍用于描述目录信息或可对目录执行的修改操作的文件格式。2 总体框架设计2.1 目录服务2.1.1 目录服务组成对于国家电网公司总部和网省来说,目录服务从自身的组成部分来看,可分为“身份目录”、“认证目录”、“企业资源目录”。身份目录作为身份同步相关信息的中转站与统一的集中点,是身份同步引擎的基础所在。在其中保存着最为权威、全面的身份、管理与策略信息;认证目录,其功能是提供用户身份认证服务,保存有用户认证所需的数据,是身份目录的子集,主要从访问效率与性能等方面来考虑;企业资源目录则是用于层次化展现、分级管理与授权,同时便于实现今后的统
28、一授权中心,并支持应用的进一步schema扩展。其保存有全面的用户组织架构、授权、角色等数据。此外,没有自行开发的用户管理系统,可利用企业资源目录,实现某些非HR系统内用户(如合作伙伴、VIP客户)的创建、管理与维护。从设计角度来考虑,这样可保证整体系统今后的易实施、可扩展性与总体访问效率。若目录服务建设初始阶段,不建设企业资源目录,则难以实现层次化展现、分级管理与今后的统一授权。同时,若没有企业资源目录,如果不通过定制的用户管理系统,将难以实现某些非HR系统内用户(如合作伙伴、VIP客户)的创建、管理与维护。2.1.2 总部目录国网公司总部目录系统由“全网身份目录”、“总部认证目录”、“总部
29、企业资源目录”等多个目录系统组成,其中“全网身份目录”除了存储国网公司总部的用户身份数据,还将存储由各网省公司身份目录同步上来的用户身份数据,今后将作为全网范围内最完整、准确的中央身份库。总部认证目录负责存储总部用户的认证信息,如登录名、密码等,可对总部认证系统、企业门户及其它应用系统提供认证服务。全网身份目录通过身份管理服务将对国网总部用户进行认证所必需的数据同步到总部认证目录。全网企业资源目录负责存储全网的组织机构信息,以直观的树状层次结构提供对国网公司组织机构的展现。全网身份目录通过身份同步,将国网总部和各网省公司的用户信息同步到全网企业资源目录中对应的部门中。2.1.3 网省公司目录网
30、省公司目录系统由“网省身份目录”、“网省认证目录”、“网省企业资源目录”等多个目录系统组成,其中“网省身份目录” 存储了该网省公司本部与各地市公司范围内最完整、准确的用户身份等信息。网省认证目录负责存储网省公司用户的认证信息,如登录名、密码等,可对网省认证系统、企业门户及其它应用系统提供认证服务。网省身份目录通过身份管理服务将对网省公司用户进行认证所必需的数据同步到网省认证目录。网省企业资源目录负责存储网省的组织机构信息,以直观的树状层次结构提供对网省公司组织机构的展现。网省身份目录通过身份同步将用户信息同步到该企业资源目录中对应的部门中。2.2 身份管理身份管理通过身份同步工具,将权威数据源
31、(如人力资源系统)中的用户信息同步至身份目录,并根据预先指定的策略,将用户信息下发至各应用系统。从而实现账号的自动创建、变更、销户,取代现有的人工方式的账号管理模式。IDM可以实现身份目录与数据库、目录以及标准应用的身份信息同步,并将关键事件等日志信息存储在数据库中,供日后审计。2.2.1 身份信息的集中管理对各个系统中账号进行单独、分散的管理是一个费时、繁琐、不安全的管理方式。随着国家电网公司应用系统的不断增加,以及系统管理人员的分工日益复杂,需要一个集中统一的身份目录。根据应用系统的情况,可以指定权威数据源,身份目录的初始信息可以从指定的权威数据源中获得。通过身份管理系统把各个应用系统和统
32、一身份目录进行连接。在账号信息同步通道中设立账号管理策略,规定用户在身份目录和各应用系统之间的同步策略。利用身份管理系统的身份同步引擎在应用系统和统一身份目录之间建立同步通道。应用系统从同步通道中获得其所需要的用户身份信息,建立对应的用户账号。所有用户应用账号的创建、信息变更、销户事件都由身份管理系统进行统一维护。当需要在一个系统中创建/变更/删除账号时,根据既定的策略在相应的应用系统中创建、变更、销户。2.2.2 身份同步身份同步,泛指通过 IDM 实现目录与目录之间、目录与应用系统之间进行的用户身份信息交互,确保用户身份信息在各应用系统间的一致性。国网总部的 IDM 将用户身份权威源系统(
33、如人力资源管理系统)中的用户身份信息同步至总部身份目录,并根据需要将总部身份目录中的相关用户信息同步到总部认证目录、总部企业资源目录以及网省身份目录。网省公司的IDM将网省的用户身份信息同步至网省身份目录、国网身份目录,并将网省身份目录的部分用户信息根据需要同步到网省认证目录和网省企业资源目录。3 逻辑设计3.1 目录服务3.1.1 逻辑架构国家电网公司全网范围的目录系统,从总体上可分为国家电网公司总部目录和各网/省公司目录两级架构图3-1:目录服务及身份管理逻辑架构图国网公司总部目录包括“全网身份目录”、“总部企业资源目录”、“总部认证目录”等目录系统,其中“全网身份目录”保存有国家电网公司
34、总部与各网省公司范围内最为完整、准确、及时的用户身份等信息。全网身份目录通过 IDM 将用户身份及必要的属性信息复制到总部企业资源目录与总部认证目录。网省公司目录包括“网省身份目录”、“网省企业资源目录”、“网省认证目录”等目录系统,其中“网省身份目录”保存了该网省公司本部与各地市公司范围内最为完整、准确、及时的用户身份等信息。网省身份目录通过 IDM 将用户身份及必要的属性信息复制到网省企业资源目录与网省认证目录。3.1.2 目录树结构设计身份目录树设计身份目录树中存放了用户最完整的身份信息,提供所管辖范围内的用户身份认证与存储。从目录查询和同步的性能角度来考虑,身份目录树的设计采用扁平结构
35、。图3-2:全国身份目录结构图图3-3:网省身份目录结构图企业资源目录树设计企业资源目录树主要用来展现组织机构层次信息以及存储与应用系统相关的信息。目录树设计采用树状层次结构。此外,企业资源树会依据同步策略,从身份目录中获取用户更新信息。为了便于组织结构维护,增强目录树结构的可控性,组织结构的创建与变更需要管理员手工完成。图3-4:总部企业资源目录结构图图3-5:网省企业资源目录结构图认证目录树设计认证目录树主要用来提供统一身份用户的认证和查找功能。为了提高用户的访问与认证效率,目录树设计采用扁平结构。此外,国家认证目录会依据同步策略,从身份目录中获取用户身份的更新信息。图3-6:认证目录结构
36、图3.1.3 目录 Schema 设计在目录中,不仅通过Schema定义目录中所存储的信息对象的类型,而且通过Schema定义信息对象之间的关系,从而形成目录的完整的结构定义。目录对数据的存储是通过创建信息对象(Object或Entry),再将数据存储在信息对象的各个属性域中。每个信息对象都属于特定的对象类,对象类指定了对象的属性集合。所有的属性都基于一组标准的属性类型,而属性类型又通过一组标准的属性语法定义。简单说,Schema是对定义目录结构的对象类、属性类型、属性语法等统称,Schema可以简单理解为目录数据的元数据,可保存为LDIF文件中,数据按照Schema的定义赋值。在下面的Sch
37、ema设计中,扩展属性名统一以“sgcc”作为前缀,使用“驼峰”变量命名方式,如sgccCode、sgccName。用户身份信息的 Schema在目录中,用户身份信息实体基于扩展对象类InetOrgPerson创建,并扩展了相关属性。表3-1:用户身份信息Schema属性名(英文)中文名是否必填是否扩展备注cn用户名称是否在当前容器中唯一,根据用户命名编码规则指定sn用户中文姓是否givenName用户中文名否否fullName用户中文全名否否sgccIDCardNumber用户身份证号码是是sgccCode用户编码是是唯一作为员工号或其它唯一标识userPassword用户密码是否login
38、Disabled登录名停用是否Boolean值employeeType员工类型否是1 正式编制内2 正式编制外3 实习4 借调5 临时6 其它Title职务名称否否employeeStatus在职情况否否1 在职2 退休telephoneNumber电话否否mobile移动电话否否mail邮件否否userCertificate证书内容否否description用户描述说明否ou所属部门是是homePhone家庭电话否否homePostalAddress家庭住址否sgccPostalAddress通信地址否是postalCode邮政编码否telexNumber传真号码否jobChange工作变更
39、(借调、变更)否changeMark变更标志否记录历史账号groupMembership用户组信息否否部门信息的 Schema在目录中,部门信息实体基于基础对象类OrganizationUnit创建,并扩展了相关属性。表3-2:部门信息Schema属性名(英文)中文名是否必填是否扩展备注ou部门名称中文全名拼音的第一字符缩写sgccDeptCode部门代码是唯一sgccDeptName部门中文全名是postalAddress地址否否telephoneNumber电话否否telexNumber传真否否postalCode邮编否否mail部门邮箱否否sgccSortOrder部门排序是是descr
40、iption部门描述否否应用信息的 Schema在目录中,应用信息实体基于基础对象类OrganizationUnit创建,并扩展了相关属性。表3-3:应用信息Schema属性名(英文)中文名是否必填长度限制备注sn应用编码是cn应用名称是SSOProxyLoginURL登入路径是SSOPRoxyLogoutURL登出路径否description应用的描述是3.1.4 目录命名编码设计目录命名编码的作用是将目录中的相关资源标识为唯一性,合理的编码可以提高应用查询效率,具体到用户标识除便于记忆,还可以起到提高工作效率的辅助作用。总部/网省公司命名编码设计在目录中,国家电网公司总部和网省公司信息实体
41、(OU实体)的命名编码规则,采用目前国家电网公司系统各单位DNS域名的主体部分,例如,国家电网公司总部为“SGCC”。部门机构命名编码设计部门机构命名编码采用部门中文全称的拼音首字母缩写。一旦组织结构发生变化,采用这种编码规范的目录树改动量最小。例如,人力资源部为“RLZYB”。用户命名编码设计对于出现的第一个用户名采用“用户姓的拼音全称”“名的拼音首字母”。对于已重复的用户名采用“用户姓的拼音全称”“名的拼音首字母”“序号”(根据自然数顺序编号,如1,2,3,4 )。例如,第一个用户名“张三”的命名编码为“zhangs”,对用户“张四”进行编码时,发现已经存在zhangs,则张四的用户名应为
42、zhangs1,以后再有重名时以此类推。应用命名编码设计在目录中,应用信息实体的命名编码采用应用的中/英文名称缩写,遇到重名时在缩写后添加序数加以区别。例如,办公自动化系统的命名编码为“OA”,第一个邮件系统的命名编码为“Mail”,第二邮件系统的命名编码为“Mail1”。角色命名编码设计在目录中,角色可分为针对目录自身管理维护的角色和针对应用系统的角色。针对目录自身管理维护的角色分为管理员(Admin)、超级用户(Superuser)、用户(User)、访问者(Visitor)四种类型,角色的命名编码采用“role”+“角色所属位置描述”+“角色类型名”。例如,总部管理员角色 roleHQA
43、dmin山东省公司管理员角色 roleSDAdmin四川省公司生计部超级用户 roleSCSJBSuperuser针对应用系统的角色分为应用系统访问角色和与应用系统内部角色映射的角色。应用系统访问角色的命名编码采用“appRole”+“应用名编码”。例如,OA系统访问角色 appRoleOA HR系统访问角色 appRoleHR与应用系统内部角色映射的角色的命名编码采用“appRole”+“应用名编码”+“应用系统内部角色名”。例如,OA系统用户角色 appRoleOAUserHR系统管理员角色 appRoleHRAdministrators3.1.5 目录同步设计身份目录间的数据同步国家电网
44、公司总部身份目录中维护了全网完整的用户身份信息,而网省公司身份目录中维护了网省完整的用户身份信息,当网省身份目录中的用户信息有添加、删除或修改的时候,IDM 将会把有所改动的信息同步至总部身份目录。由于网省身份目录不需要维护来自总部的用户信息,所以网省和总部间身份目录的同步时单向的,不存在总部到网省的身份同步。身份目录与认证目录间的数据同步认证目录中维护了与之在同一个层次的身份目录中的所有用户,但由于认证目录中的信息仅仅用于提供用户身份认证所使用,类似用户性别或者用户籍贯一类的信息就不必要被同步至认证目录,因此认证目录中所维护的用户信息只是身份目录中用户信息与认证相关的一个子集。仅当身份目录中
45、添加用户、删除用户或对用户认证相关的信息进行修改的时候,身份目录中的数据才同步至认证目录。另外也正是由于认证目录只提供用户身份认证所使用,认证目录中的信息不能被直接修改,因此,身份目录与认证目录间的同步是单向的,不存在由认证目录向身份目录进行的同步。身份目录与认证目录的数据同步可以包括以下场景:(1)添加用户当有新员工报到时,将在身份目录中为其创建用户信息,IDM检测到此事件后便会将该用户同步至认证目录。(2)修改用户信息当被修改的用户信息与认证所需的信息相关时,IDM 将会把更新后的相关信息同步至认证目录。当被修改的用户信息与认证所需的信息不相关时,IDM忽略这些改动。(3)删除/禁用用户当
46、身份目录中对一个用户进行了删除或禁用操作的时候,IDM将会根据配置好的规则将认证目录中对应的用户删除或禁用。身份目录与企业资源目录间的数据同步企业资源目录中维护了对应的身份目录中所有用户的组织机构与用户信息。当添加、维护用户、变更用户所在的组织机构时,身份目录中的数据会同步至企业资源目录。另外也正是由于企业资源目录提供层次化管理结构,企业资源目录中的信息可被直接修改。因此,身份目录与企业资源目录间的同步不是单向的,也存在由企业资源目录向身份目录进行的同步。身份目录与企业资源目录的数据同步可以包括以下场景:(1)添加用户当有新员工报到时,将在身份目录中为其创建用户信息,IDM检测到此事件后便会根据该用户组织机构属性信息,同步至企业资源目录对应的组织机构下。(2)修改用户
