身份目录与认证目录间的数据同步
认证目录中维护了与之在同一个层次的身份目录中的所有用户,但由于认证目录中的信息仅仅用于提供用户身份认证所使用,类似用户性别或者用户籍贯一类的信息就不必要被同步至认证目录,因此认证目录中所维护的用户信息只是身份目录中用户信息与认证相关的一个子集。仅当身份目录中添加用户、删除用户或对用户认证相关的信息进行修改的时候,身份目录中的数据才同步至认证目录。
另外也正是由于认证目录只提供用户身份认证所使用,认证目录中的信息不能被直接修改,因此,身份目录与认证目录间的同步是单向的,不存在由认证目录向身份目录进行的同步。
身份目录与认证目录的数据同步可以包括以下场景:
(1)添加用户
当有新员工报到时,将在身份目录中为其创建用户信息,IDM检测到此事件后便会将该用户同步至认证目录。
(2)修改用户信息
当被修改的用户信息与认证所需的信息相关时,IDM 将会把更新后的相关信息同步至认证目录。
当被修改的用户信息与认证所需的信息不相关时,IDM忽略这些改动。
(3)删除/禁用用户
当身份目录中对一个用户进行了删除或禁用操作的时候,IDM将会根据配置好的规则将认证目录中对应的用户删除或禁用。
身份目录与企业资源目录间的数据同步
企业资源目录中维护了对应的身份目录中所有用户的组织机构与用户信息。当添加、维护用户、变更用户所在的组织机构时,身份目录中的数据会同步至企业资源目录。
另外也正是由于企业资源目录提供层次化管理结构,企业资源目录中的信息可被直接修改。因此,身份目录与企业资源目录间的同步不是单向的,也存在由企业资源目录向身份目录进行的同步。
身份目录与企业资源目录的数据同步可以包括以下场景:
(1)添加用户
当有新员工报到时,将在身份目录中为其创建用户信息,IDM检测到此事件后便会根据该用户组织机构属性信息,同步至企业资源目录对应的组织机构下。
(2)修改用户的组织机构属性
当身份目录中的某用户的组织机构属性发生变化时,IDM将会把企业资源目录中对应的用户迁移至修改后的组织机构下。
(3)修改用户的其它属性
当身份目录中的某用户的其它属性发生变化时,IDM将会把企业资源目录中对应用户的其它属性进行同步更新。
身份管理
逻辑架构
图3-7:身份管理逻辑架构图
身份目录中存放有用户身份信息,部分信息应用系统中也存有和身份目录中对应的用户身份信息,如果身份目录中用户身份信息发生更改,相关应用系统中的用户信息也需修改。
具有权威属性的应用系统中用户信息发生修改后,根据修改策略,身份目录中的用户信息也应该修改。同时,非权威数据源中的相关属性将不由应用系统维护,因此不应对其进行修改,而由 IDM 进行维护。
身份目录中的部分用户信息需要根据需要同步到认证目录中。
用户的组织机构信息作为用户对象的属性,保存在身份目录中,IDM根据该属性将用户信息同步到企业资源目录中。
身份生命周期管理
图3-8:用户生命周期图
在许多公司中,当用户离开公司的时候,他还能继续访问以前的资源。考察用户访问的生命周期,我们清楚地发现了以下几个阶段:
(1) 在权威数据源中进行注册:确定人员要注册的部门,决定其用户类型(例如:客户或内部员工),并在权威数据系统(如人力资源系统)中建立用户账号。
(2) 利用身份管理工具将用户信息同步至中央身份库:身份管理工具首先获得用户账号信息,将其根据预先制定的规则同步至统一身份目录。
(3) 账号分发:将该账号下发到相关的应用系统中。
(4) 审批和授权:各应用系统的系统管理员在本系统中对新增的用户进行审批和授权,完成账户的新建工作。
(5) 变更:当用户的职位或其他个人信息发生变化后,系统管理员首先在权威数据源中对账号信息进行修改,然后采取和2、3相似的步骤将信息同步至中央身份库和各应用系统中。
(6) 密码管理:用户在各应用系统中的账号密码,将逐步由身份管理工具接管,简化系统管理员的工作。
(7) 销户:当用户离职以后,需要在各应用系统中统一注销用户账号。
新建用户账号
图3-9:账号创建流程图
(1) 一个新用户记录在人事系统中创建 (或者其他的权威数据源);
(2) IDM 获取新用户创建事件;
(3) IDM 在每个连接的系统中创建一个账号,并基于建立的业务规则同步适当的信息。
变更用户账号
(1) 权威数据源或具有权威属性的数据源对用户信息进行了修改;
(2) IDM获取修改事件信息;
(3) IDM在每个连接的系统中根据规则修改相应信息。
注销用户账号
图3-10:用户删除/注销流程图
(1) 用户账号在权威数据源中删除;
(2) IDM获取账号删除事件;
(3) IDM停用各个应用系统中的账户。
身份同步
目录服务与应用系统之间通过 IDM 进行身份信息同步,身份信息同步仅为被修改的部分,数据同步的传输可通过TLS/SSL进行加密提高安全性。当一方有身份信息被修改时,触发同步事件,根据预先设定的策略,将被修改的身份信息将通过自动同步过程同步到所需要的各个应用系统中,同时可确保整体过程的安全、性能和容错。
身份目录与数据库系统的同步
由于很多应用系统在生产环境当中并不允许IDM对其客户表直接进行操作,或者因为对某个用户信息的添加/修改/删除操作通常会关联到其他一些相关的表结构,为了屏蔽此操作中的复杂性,减少不必要的错误操作所带来的损失,采用中间表的形式进行身份目录与应用系统间的数据同步。
身份目录到数据库
图3-11:目录到数据库同步流程图
当身份目录中的数据有所改动的时候,将通过IDM把所改动的数据同步至数据库中间表。当中间表的信息被更新后,数据库中的触发器将更新后的信息更新至相应的客户表中。
数据库到身份目录
图3-12:数据库到目录同步流程图
当数据库中客户表的信息有所改动的时候,数据库中的同步触发器将更新后的信息写入数据库中间表。当数据库中间表中的信息有所改动的时候,数据库中的发布触发器将一个被更新信息的摘要内容写入事件日志。IDM监听事件日志,当数据库事件日志中的信息有所改动的时候,IDM根据事件日志中所记录的信息将