摘 要
21世纪初,人类社会继工业文明之后进入新经济时代。在这个时代里,如何降低用户管理及其对应用系统访问的复杂性和成本,防止擅自使用企业信息,如何提高灵动性,以便系统能响应不断变化的业务需求已经成为限制企业发展的重要因素。
国家电网公司在十一五期间启动了“SG186”工程。本文以此工程为背景,通过对现有电力企业内系统的调查,提出一套以身份目录、企业资源目录和认证目录为核心的目录服务来集中统一的存储、管理和展现用户身份信息。并在此基础上使用身份管理产品对现有和即将投入运营的系统进行整合,以此实现整个电力企业系统中高效且无需手工维护的用户生命周期管理。同时为了保证系统稳定高效的运行,在本文中还对影响整个系统效率的关键要点进行了性能测试和分析并获得预期结果。
关键词:目录服务;身份管理;用户生命周期
目 录
范文总页数:33页
1 引言 1
1.1 设计的目的和意义 1
1.2 技术背景 1
1.2.1 技术简介 1
1.2.2 目录服务与数据库系统的差异 2
1.2.3 应用历史及现状 3
1.3 项目背景 4
1.4 设计方法 5
1.5 全文结构 5
1.6 术语定义 5
2 总体框架设计 6
2.1 目录服务 6
2.1.1 目录服务组成 6
2.1.2 总部目录 6
2.1.3 网省公司目录 7
2.2 身份管理 7
2.2.1 身份信息的集中管理 7
2.2.2 身份同步 8
3 逻辑设计 8
3.1 目录服务 8
3.1.1 逻辑架构 8
3.1.2 目录树结构设计 9
3.1.3 目录 Schema 设计 11
3.1.4 目录命名编码设计 13
3.1.5 目录同步设计 14
3.2 身份管理 16
3.2.1 逻辑架构 16
3.2.2 身份生命周期管理 16
3.2.3 身份同步 19
4 物理设计 21
4.1 物理架构 21
4.2 高可用性设计 22
4.2.1 目录服务 22
4.2.2 身份管理 22
4.3 系统监控设计 23
4.3.1 目录服务 24
4.3.2 身份管理 24
4.4 备份和恢复设计 23
4.4.1 目录服务 24
4.4.2 身份管理 24
4.5 安全性设计 24
4.5.1 目录服务 25
4.5.2 身份管理 25
4.6 目录的分级授权 25
4.6.1 目录的分级授权机制 26
4.6.2 目录的授权要素 26
4.6.3 目录的授权方式 26
4.7 操作系统调优 27
4.7.1 关闭后台进程 27
4.7.2 关闭GUI 27
4.7.3 处理器子系统调优 27
4.7.4 内存子系统调优 27
4.7.5 文件系统调优 28
4.7.6 网络子系统调优 28
5 性能测试 28
5.1 目录系统测试 28
5.1.1 数据初始化 28
5.1.2 查询效率 28
5.1.3 负载均衡 28
5.2 身份管理系统测试 29
5.2.1 用户身份同步 29
5.2.2 高可用性 29
结 论 29
参考文献 29
致 谢 31
声 明 32
引言
设计的目的和意义
我们知道每一个公司都需要保护其IT基础设施,从而防止信息失窃,遵守法规并确保客户、合作伙伴和员工信息的秘密。这就需要以经济的方法确保和保护公司资产的安全,同时还不能错失新的业务机会或降低工作效率。但事实并不总如人意,让我们考虑以下几种情况。
情景一:在当今的大多数企业中,每个公司几乎都在众多的IT系统中拥有多个身份信息存储库,例如:人力资源系统、电子邮件系统和财务系统。如果需要更改系统中某个人员相关的信息,IT工作人员只能以人工的方式更新每个系统中的信息,这是一项既昂贵又耗时的工作,而且还容易出现错误,使系统容易遭受攻击。例如:当一个员工到企业报道之后,却因为需要手工更新应用系统账号的原因而迟迟不能获得与其工作相关的应用系统账号,导致该员工无法进行正常的工作,这将会大大降低员工工作的积极性,同时对于企业来说这也是一种资源的浪费。因此,需要一种集中化的方式来管理用户和访问,以确保安全和实时性。
情景二:据美国联邦密情局和计算机应急相应组(CERT)的联合报告显示,在所有针对公司网络的非法访问中,有一半以上都是带有不满情绪的离职员工所为。为用户配置资源访问权限这一过程非常乏味且耗时,对于大多数公司而言,该人工流程会显著降低工作效率。此外,当员工离职后,取消他们的访问权限的手工流程成为最大的安全隐患。因此,需要一种流程化的自动账号配置,在企业中强制实施一致的安全策略。
情景三:如果一个企业中,员工必须记住大量的密码才能访问日常应用程序和服务,这种情况可能会危及数据安全并降低工作效率。同样,如果依靠IT部门人工重置每个忘记的密码,一个公司将无法高效运作。因此,需要让员工负责管理自身的密码并通过单点登陆取代多个密码的使用。
针对以上情况,我们需要一套完整而合理的方案来解决企业信息化发展中所遇到的问题,而目录服务和身份管理系统正是为了解决这些问题而诞生的。通过对目录服务和身份管理系统的应用设计,我们将会得到一套完整的解决方案以降低企业中管