灵活、安全的统一企业应用系统的用户身份信息和策略,保护企业资源免受侵犯
1方案概述
随着企业信息化建设的发展,需要使用许多不同的信息系统。各种应用系统存在不同的用户管理策略和接口,随着用户登录系统的增多,出错机率必然增加,受到非法截获和破坏的可能性增大,大大降低了安全性。如果碰到员工跨部门的调动、升迁、组织结构的重组等,以往只能采用手工方式维护,不但工作繁琐,而且容易出错、难以保证数据的一致性。
目录服务统一用户管理解决方案将分散的用户数据整合到一致的目录服务平台下,并提供统一的操作管理界面,方便用户进行统一的管理与维护。企业用户可以基于最初访问网络时的一次身份验证(Single Sign On),对所有被授权的不同网络资源进行不障碍的访问,提高了网络用户的工作效率,降低网络操作的费用,同时也提高了网络的安全性。
2设计思想
⏹建立统一的人员信息平台,规划了人员信息使用方案,使得人员信息能够在不同系统之间得到有效统一应用。
⏹实现人员信息集成,为完成人与人之间的信息系统间功能交互打下良好基础。
⏹统一的用户信息验证能方便用户使用和管理员统一管理,为未来的单点登录系统创造条件。
⏹目录服务系统提供应用的用户信息验证能够有效的同PKI等个人身份验证有机统一起来,形成在不同层次的应用安全体系。
3方案特点
✓集中管理用户信息,权限更改变得容易;
✓提供授权的管理模式,简化管理过程;
✓同步用户数据,实时反映到各系统;
✓提供自助服务,更改信息及时,减轻管理员工作量;
✓基于J2EE标准技术构架和标准协议,可以无缝的集成不同应用系统;
✓可以跨平台运行,支持:Windows、Redhat Linux、SUN Solaris、HP Unix系统。
✓采用即插即用的代理方式集中管理各种LDAP服务,容易扩充新的目录服务器种类支持。
4提供主要功能
4.1统一整体规划
✓数据设计:通过专门的数据分析方,使目录树结构更便于扩展,提高系统的可靠性和伸缩性;
✓目录树设计:考虑到管理的可行性和方便性,同时兼顾将来系统扩展的需求,在命名中层次结构主要采用组织单元的形式。这样今后部门的调整合并等操作时,用户的改动将不牵涉DIT(目录信息树)数据结构。
✓目录Schema设计:有效扩充标准Schema未能满足的数据属性。
✓安全策略设计:针对企业管理行为横向、纵向的组织模式,在权限设计中引入RBAC(以角色基础的访问控制)和ACI(访问控制指令)。使权限控制更灵活,提高系统的可靠性、扩展性和伸缩性。
5方案架构下载本文
