免费目录服务和身份管理系统在电力企业中的设计与应用(三)

现实需求的到来，一些大型机构，如：国家电网公司、星空联盟和香港政府等都相距进行了目录服务和身份管理系统的建设，相信在在这些大型机构的引导下，未来几年内此技术将在国内市场有一个飞跃式的发展。
 项目背景
 依据国家“十一五”信息发展规划，国家电网公司决定实施公司信息化建设工程（即“SG186”工程），即在国家电网公司（包括国家电网公司总部、国家电网公司下属所有网省公司和地市公司）系统内构筑由信息网络、数据交换、数据中心、应用集成、企业门户五个部分组成的一体化企业级信息集成平台；建设由财务（资金）管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理和综合管理八大业务应用；建立健全信息化安全防护、标准规范、管理调控、评价考核、技术研究、人才队伍六个保障体系。实施“SG186”工程，重点建设“一个系统、二级中心、三层应用”。一个系统就是构筑一体化企业级信息系统，实现信息纵向贯通、横向集成，支撑集团化运作，而国家电网公司全国范围内的目录服务（即统一目录、身份管理）是一体化企业级信息系统（简称“一体化平台”）的重要组成部分，建设实施目录服务是完成国网“SG186”工程一体化企业级信息集成平台的基本需求。
 通过国家电网公司前期的统一招标，最终决定采用 Novell 公司的 eDirectory 和 Identity Manager 作为该项目中统一建设的目录服务和身份管理系统。
 设计方法
 由于工作原因，本人加入了国家电网公司“SG186”一体化平台统一目录及身份管理项目，本文以下内容将根据项目前期对各网省电力公司调研的具体情况，遵循实用性、先进性、易扩展性、易集成性、高可用性和安全性原则提出一套能适应项目实际需求的设计方案。
 全文结构
 本设计文档共分为五个部分：
 第一部分是绪论，介绍了设计的目的和意义、技术背景、该项目的项目背景、设计方法、全文结构以及相关术语。
 第二部分是总体框架设计，从目录服务和身份管理系统两方面阐述所设计的目录与身份管理系统的总体结构及功能定义。
 第三部分是逻辑设计，从目录服务和身份管理两方面阐述所设计的目录和身份管理系统的逻辑架构。对于目录服务，介绍了目录的Schema设计、目录树结构设计、目录命名编码规范及各级目录间的数据同步；对于身份管理，介绍了身份管理的相关过程、实现机制及与应用系统实现账号同步的方式。
 第四部分是物理设计，从目录服务和身份管理系统两方面阐述所设计的目录和身份管理系统的物理部署架构，以及高可用性、备份恢复、监控审计、安全性、分级授权、操作系统调优等设计内容。
 第五部分是性能测试，针对目录系统和身份管理系统的不同用途，对其中的功能性要点进行了性能测试。
 术语定义
 身份目录
 身份目录是一个eDirectory实例，其功能是实现用户身份数据的集中存储，保存有来自所有其他应用系统账号的、最全面的数据，也称为“身份库”。
 认证目录
 认证目录是一个eDirectory实例，其功能是提供用户身份认证服务，保存有用户认证所需的数据，也称为“认证库”。
 企业资源目录
 企业资源目录是一个eDirectory实例，为层次化结构，其功能是实现组织、用户管理与分级授权，保存有全面的用户组织架构、授权、角色等数据。
 目录复制
 指eDirectory内部的一种数据复制机制，可保障目录分区内部数据的完整、一致；实现容错功能，并分散访问负载
 目录同步
 指通过Novell Identity Manager身份管理系统（以下简称为IDM）实现目录系统之间的数据交换，保证目录数据的一致性和实时性。
 目录Schema
 其定义目录中所存储的信息对象的类型，以及信息对象之间的关系，从而形成目录的完整的结构定义。
 LDIF
 指LDAP Data Interchange Format，一种普遍用于描述目录信息或可对目录执行的修改操作的文件格式。
总体框架设计
 目录服务
 目录服务组成
 对于国家电网公司总部和网省来说，目录服务从自身的组成部分来看，可分为“身份目录”、“认证目录”、“企业资源目录”。
 身份目录作为身份同步相关信息的中转站与统一的集中点，是身份同步引擎的基础所在。在其中保存着最为权威、全面的身份、管理与策略信息；
 认证目录，其功能是提供用户身份认证服务，保存有用户认证所需的数据，是身份目录的子集，主要从访问效率与性能等方面来考虑；
 企业资源目录则是用于层次化展现、分级管理与授权，同时便于实现今后的统一授权中心，并支持应用的进一步schema扩展。其保存有全面的用户组织架构、授权、角色等数据。此外，没有自行开发的用户管理系统，可利用企业资源目录，实现某些非HR系统内用户（如合作伙伴、VIP客户）的创建、管理与维护。
 从设计角度来考虑，这样可保证整体系统今后的易实施、可扩展性与总体访问效率。
 若目录服务建设初始阶段，不建设企业资源目录，则难以实现层次化展现、分级管理与今后的统一授权。同时，若没有企业资源目录，如果不通过定制的用户管理系统，将难以实现某些非HR系统内用户（如合作伙伴、VIP客户）的创建、管理与维护。
 总部目录
 国网公司总部目录系统由“全网身份目录”、“总部认证目录”、“总部企业资源目录”等多个目录系统组成，其中“全网身份目录”除了存储国网公司总部的用户身份数据，还将存储由各网省公司身份目录同步上来的用户身份数据，今后将作为全网范围内最完整、准确的中央身份库。
 总部认证目录负责存储总部用户的认证信息，如登录名、密码等，可对总部认证系统、企业门户及其它应用系统提供认证服务。全网身份目录通过身份管理服务将对国网总部用户进行认证所必需的数据同步到总部认证目录。
 全网企业资源目录负责存储全网的组织机构信息，以直观的树状层次结构提供对国网公司组织机构的展现。全网身份目录通过身份同步，将国网总部和各网省公司的用户信息同步到全网企业资源目录中对应的部门中。
 网省公司目录
 网省公司目录系统由“网省身份目录”、“网省认证目录”、“网省企业资源目录”等多个目录系统组成，其中“网省身份目录” 存储了该网省公司本部与各地市公司范围内最完整、准确的用户身份等信息。
 网省认证目录负责存储网省公司用户的认证信息，如登录名、密码等，可对网省认证系统、企业门户及其它应用系统提供认证服务。网省身份目录通过身份管理服务将对网省公司用户进行认证所必需的数据同步到网省认证目录。
 网省企业资源目录负责存储网省的组织机构信息，以直观的树状层次结构提供对网省公司组织机构的展现。网省身份目录通过身份同步将用户信息同步到该企业资源目录中对应的部门中。
&

首页 上一页 1 2 3 4 5 6 7 下一页 尾页 3/9/9

免费目录服务和身份管理系统在电力企业中的设计与应用(三)相关范文