银行统一门户解决方案
2016年12月
修订历史记录
日期 | 版本 | 说明 | 作者/修改人 | 审核 | 批准 |
2016-12—9 | 〈1。0〉 | 初始化创建 | 张尘 | ||
一、概述
目录管理是为了方便用户访问组织机构内所有的授权资源和服务,简化用户管理,基于LDAP或基于数据库,对组织机构内中所有应用实行统一的用户信息的存储、认证和管理。
统一用户目录管理要遵循以下两个基本原则:
★统一性原则:实现对目前已知用户类型进行统一管理;对包括分支机构在内的整个组织机构内的所有用户进行用户目录复制和统一管理;对门户的用户体系和各应用系统各自独立的用户体系进行统一管理;对新进员工/用户到员工/用户离开进行整个生命周期的管理.
★可扩充性原则:能够适应对将来扩充子系统的用户进行管理。
银行为什么用db2数据库二、用户分类模型
2.1基于部门岗位树的角模型
基于部门岗位树的角模型是组织机构内最常见的模型,提供了用户目录管理、目录复制、权限控制的多种属性。角管理是用户权限管理的重要基础。基于部门岗位树的角模型如下所示:
在部门岗位角树状模型中,用户职位称为岗位,或称用户角,包含岗位角的组织机构称为部门,大部门可以包含小部门。其最重要的特点是:
★用户隶属于岗位/角(可以隶属于多个岗位/角);
★岗位/角具有时间范围;
★部门包含下属部门及岗位/角中的所有用户.
用户信息以组织/部门/ 岗位角以树状的层次结构来组织和管理,有以下好处:
★同实际组织机构体系相一致;
★同LDAP目录对数据的组织方式保持一致,便于利用LDAP 目录服务的强大进行用户目录的管理;
★有利于将某个地域/分支机构或某个部门/下属单位的用户信息定制推送到单独的用户目录服务器上,提高相关应用对用户信息的访问效率;
★有利于根据目录树的结构给予不同的员工/用户组不同的权限。
2.2级别分层树模型
级别分层树模型如下图所示,是对部门岗位角树状层次模型的补充。
在级别分层树模型中,不同层次的节点具有上下级或涵盖关系。相同层次的节点相互独立,之间没有上下级或涵盖关系。
其最重要的特点是:
★用户只能属于一个级别;
★在同一层次节点下可以有多个级别;
★可用大于、小于或等于,以上、以下等词汇来指定多个或一个层次的级别。
利用级别分层树模型,可辅助实现更为灵活的用户授权控制。
三、用户信息存储管理
3.1用户信息存储分类
统一的用户信息存储可基于:
◎数据库方式:支持将统一的用户信息存储于各大主流数据库中,如Oracle、 DB2、SQL S
erver、Sybase、MySQL 等;
◎ LDAP目录方式:支持将统一的用户信息存储于LDAP 目录中,如Domino、 LDAP、Sun One Directory Server、OpenLDAP、MS Active Directory、Novell、 NDS、Netscape Directory Server 等。
此外,可以基于LDAP 目录或数据库方式,新建一个用户信息目录库,供门户和应用系统使用;
也支持可以使用现存应用系统的已有用户数据库,作为门户和其他应用统一的用户信息存储管理库,如可以考虑基于现存的OA 办公自动化系统、或者HR人事系统、或者一卡通系统等现有系统的 RDBMS 用户数据库或 LDAP 用户目录进行用户信息管理和身份验证。
鉴于基于LDAP目录服务存储和管理用户的身份认证等信息,可更有效更灵活地管理用户及资源,我们推荐采用LDAP目录服务作为各组织机构信息化建设统一用户管理的基础平台.下面主要阐述LDAP 目录服务的相关内容.
3.2LDAP目录服务定义
LDAP协议:轻量级目录访问协议(LDAP) ,英文全称是 Lightweight Directory Access Protocol,是一个用于访问存储在信息目录中的信息的 Internet协议,是目录服务在TCP/IP 上的实现(RFC 1777 V2 版和RFC 2251 V3 版)。它是对X500 的目录协议的移植,但是简化了实现方法,所以称为轻量级的目录服务.
LDAP 协议是跨平台的和标准的协议;实际上,LDAP 作为一种 Internet 标准,得到了业界的广泛认可.
LDAP 的核心规范在RFC 中进行了定义,LDAP 协议集规定了区别名(DN)的命名方法、存取控制方法、搜索格式、复制方法、URL 格式、开发接口等,描述了客户端应该如何访问存储在服务器上的数据,但没有定义应该如何存储数据.通过使用LDAP,可以在信息目录的正确位置读取(或存储)数据。
目录服务:所谓目录服务是在分布式计算机环境中,定位和标识用户以及可用的各网络元素和网络资源,并提供搜索功能和权限管理功能的服务机制。各组织机构为了实现各个分立的“信息孤岛”走向连通和融合,一方面业务系统需要将自身的职能和业务协作要求公布出去;另一方面,也希望能够检索并获取其他业务系统的信息和公共的信息资源。这些需求采用目
录服务都能够得到满足。
目录服务是其对象具有属性及名称的命名服务,是命名服务的自然扩展。目录服务与命名服务的关键区别在于,目录服务允许属性(比如用户的地址)与对象相关联。
目录服务的核心是一个树状结构的信息目录,由一系列具有属性和名称的目录入口对象(Entry)组成,将网络中的数据资源、数据处理资源和用户信息按有次序的结构进行组织,并且专门针对海量查询的使用情况进行了优化,极大地提高了数据读取和查询性能。
目录服务不仅可以提供分布式计算网络的视图,以逻辑的观念来管理网络,而且它能实现以人为本的网络管理方式。它可以记载网络的所有文件以及所有在网络上运行的资源,以及使用者帐号、身份口令、密码、卷、文档,应用程序以至于域名服务器 DHCP、IP 地址以及认证的公钥等.此外,目录软件还保存和管理对包括人员、业务过程和供内部使用的资源等有关组织机构详细信息的访问.目录服务树中的一个目录对象可以通过它的名字检索,或者通过使用一组搜索标准(表示目录对象的名字和属性)检索。
在分布式计算环境中,各单位对其他单位有用的信息可以在目录服务注册、解除注册和查询。
在整个组织机构范围内部署和实现LDAP,可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP 目录中获取信息。
3.3、LDAP目录的结构
LDAP目录以树状的层次结构来组织和存储数据,目录由目录入口对象(Entry)组成,目录入口对象(Entry)相当于关系数据库中表的记录,可直接成为LDAP目录记录,是具有区别名DN(Distinguished Name )的属性(Attribute )集合,DN相当于关系数据库表中的关键字(PrimaryKey );属性由属性类型(Type)和多个值(Values )组成,相当于关系数据库中的域(Field)由域名和数据类型组成,只是为了方便检索和灵活性的需要,LDAP 中的Type 可以有多个 Value,而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。
这样,有以下好处:
一般按照地理位置和组织关系进行组织数据,同现实世界相一致,非常的直观;
有利于根据目录树的结构给予不同的员工/用户组不同的权限;
属性类型可以多个属性值,LDAP目录就有很大的灵活性,不必为加入一些新的数据就重新创建表和索引;
LDAP把数据存放在文件中,可以使用基于索引的文件数据库,大大方便了检索,提高了检索效率;
有利于将某个地域/分支机构或某个部门/下属单位的用户信息定制推送到单独的用户目录服务器上,提高相关应用对用户信息的访问效率;
把 LDAP存储和复制功能结合起来,可以定制目录树的结构以降低对WAN 带宽的要求.
LDAP目录记录的标识名(Distinguished Name,简称DN)是用来读取单个记录,以及回溯到树的顶部。
基准DN:
LDAP目录树的最顶部就是根,也就是所谓的“基准DN”。基准DN 通常使用下面的格式,如:o=orgname。cn (用组织机构的域名/Internet 地址作为基准DN,这种格式很直观,这也是现在最常用的格式).
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论