銀行統(tǒng)一門戶解決可操作性計(jì)劃

1、銀行統(tǒng)一門戶解決方案2016年12月修訂歷史記錄日期版本說明作者/修改人審核批準(zhǔn)2016-12-9<1.0>初始化創(chuàng)建X塵目錄一、概述5二、用戶分類模型5基于部門崗位樹的角色模型522級(jí)別分層樹模型7三、用戶信息存儲(chǔ)管理 73.1用戶信息存儲(chǔ)分類7LDAP目錄服務(wù)定義8、LDAP 目錄的結(jié)構(gòu) 9、LDAP目錄的存儲(chǔ)內(nèi)容13四、用戶身份認(rèn)證 15、認(rèn)證類型15 、用戶身份密碼驗(yàn)證 15、與CA認(rèn)證接口 17、用戶登錄控制18五、分布式用戶目錄管理19、分布式目錄服務(wù)體系19、目錄復(fù)制20六、 統(tǒng)一用戶信息的方式分類21七、用戶信息同步 21八、用戶生命周期管理 23、新建用戶23、密

2、碼修改25、刪除用戶25一、概述目錄管理是為了方便用戶訪問組織機(jī)構(gòu)內(nèi)所有的授權(quán)資源和服務(wù)，簡(jiǎn)化用戶管理，基于LDAP或基于數(shù)據(jù)庫(kù)，對(duì)組織機(jī)構(gòu)內(nèi)中所有應(yīng)用實(shí)行統(tǒng)一的用戶信息 的存儲(chǔ)、認(rèn)證和管理。統(tǒng)一用戶目錄管理要遵循以下兩個(gè)根本原如此：統(tǒng)一性原如此：實(shí)現(xiàn)對(duì)目前用戶類型進(jìn)展統(tǒng)一管理；對(duì)包括分支機(jī)構(gòu)在 內(nèi)的整個(gè)組織機(jī)構(gòu)內(nèi)的所有用戶進(jìn)展用戶目錄復(fù)制和統(tǒng)一管理；對(duì)門戶的用戶體系和各應(yīng)用系統(tǒng)各自獨(dú)立的用戶體系進(jìn)展統(tǒng)一管理；對(duì)新進(jìn)員工/用戶到員工/用戶離開進(jìn)展整個(gè)生命周期的管理。可擴(kuò)大性原如此：能夠適應(yīng)對(duì)將來擴(kuò)大子系統(tǒng)的用戶進(jìn)展管理。二、用戶分類模型基于部門崗位樹的角色模型基于部門崗位樹的角色模型是組織機(jī)構(gòu)

3、內(nèi)最常見的模型， 提供了用戶目錄管 理、目錄復(fù)制、權(quán)限控制的多種屬性。角色管理是用戶權(quán)限管理的重要根底?；?于部門崗位樹的角色模型如下所示：部門崗位C崗位Q組紉部門崗應(yīng)*3部門. > % Ll J J. rf岡位仝部門沖I一崗位=> &韶門崗位崗位在部門崗位角色樹狀模型中，用戶職位稱為崗位，或稱用戶角色，包含崗位 角色的組織機(jī)構(gòu)稱為部門，大部門可以包含小部門。其最重要的特點(diǎn)是：用戶隸屬于崗位/角色（可以隸屬于多個(gè)崗位/角色）；崗位/角色具有時(shí)間X圍；部門包含下屬部門與崗位/角色中的所有用戶。用戶信息以組織/部門/崗位角色以樹狀的層次結(jié)構(gòu)來組織和管理，有以下 好處：同實(shí)際組織

4、機(jī)構(gòu)體系相一致；同LDAP目錄對(duì)數(shù)據(jù)的組織方式保持一致，便于利用 LDAP目錄服務(wù)的 強(qiáng)大進(jìn)展用戶目錄的管理；有利于將某個(gè)地域/分支機(jī)構(gòu)或某個(gè)部門/下屬單位的用戶信息定制推送 至V單獨(dú)的用戶目錄服務(wù)器上，提高相關(guān)應(yīng)用對(duì)用戶信息的訪問效率；有利于根據(jù)目錄樹的結(jié)構(gòu)給予不同的員工/用戶組不同的權(quán)限。級(jí)別分層樹模型級(jí)別分層樹模型如如下圖所示，是對(duì)部門崗位角色樹狀層次模型的補(bǔ)充。在級(jí)別分層樹模型中，不同層次的節(jié)點(diǎn)具有上下級(jí)或涵蓋關(guān)系。一樣層次的 節(jié)點(diǎn)相互獨(dú)立，之間沒有上下級(jí)或涵蓋關(guān)系。其最重要的特點(diǎn)是：用戶只能屬于一個(gè)級(jí)別；在同一層次節(jié)點(diǎn)下可以有多個(gè)級(jí)別；可用大于、小于或等于，以上、以下等詞匯來指定多個(gè)

5、或一個(gè)層次的級(jí)別。利用級(jí)別分層樹模型，可輔助實(shí)現(xiàn)更為靈活的用戶授權(quán)控制。三、用戶信息存儲(chǔ)管理用戶信息存儲(chǔ)分類統(tǒng)一的用戶信息存儲(chǔ)可基于：Oracle數(shù)據(jù)庫(kù)方式：支持將統(tǒng)一的用戶信息存儲(chǔ)于各大主流數(shù)據(jù)庫(kù)中，如DB2、SQL Server Sybase MySQL 等； LDAP目錄方式：支持將統(tǒng)一的用戶信息存儲(chǔ)于 LDAP目錄中，如Domi no、 LDAP Sun One Directory Server、OpenLDAR MS Active Directory、Novell、 NDS Netscape Directory Server 等。此外，可以基于LDAP目錄或數(shù)據(jù)庫(kù)方式，新建一個(gè)用戶信

6、息目錄庫(kù)，供門 戶和應(yīng)用系統(tǒng)使用；也支持可以使用現(xiàn)存應(yīng)用系統(tǒng)的已有用戶數(shù)據(jù)庫(kù)，作為門戶和其他應(yīng)用統(tǒng)一 的用戶信息存儲(chǔ)管理庫(kù)，如可以考慮基于現(xiàn)存的OA辦公自動(dòng)化系統(tǒng)、或者 HR人事系統(tǒng)、或者一通系統(tǒng)等現(xiàn)有系統(tǒng)的RDBMS用戶數(shù)據(jù)庫(kù)或LDAP用戶目錄進(jìn)展用戶信息管理和身份驗(yàn)證。鑒于基于LDAP 目錄服務(wù)存儲(chǔ)和管理用戶的身份認(rèn)證等信息，可更有效更靈 活地管理用戶與資源，我們推薦采用 LDAP目錄服務(wù)作為各組織機(jī)構(gòu)信息化建設(shè) 統(tǒng)一用戶管理的根底平臺(tái)。下面主要闡述 LDAP目錄服務(wù)的相關(guān)內(nèi)容。3.2 LDAP目錄服務(wù)定義LDAP協(xié)議： 輕量級(jí)目錄訪問協(xié)議(LDAP)，英文全稱是 Lightweight

7、Directory Access Protocol，是一個(gè)用于訪問存儲(chǔ)在信息目錄中的信息的In ternet協(xié)議，是目錄服務(wù)在TCP/IP上的實(shí)現(xiàn)RFC 1777 V2版和RFC 2251 V3版。它是對(duì)X500 的目錄協(xié)議的移植，但是簡(jiǎn)化了實(shí)現(xiàn)方法，所以稱為輕量級(jí)的目錄服務(wù)。LDAP協(xié)議是跨平臺(tái)的和標(biāo)準(zhǔn)的協(xié)議；實(shí)際上，LDAP作為一種In ternet標(biāo)準(zhǔn)，得到了業(yè)界的廣泛認(rèn)可。LDAP的核心規(guī)X在RFC中進(jìn)展了定義，LDAP協(xié)議集規(guī)定了區(qū)別名(DN) 的命名方法、存取控制方法、搜索格式、復(fù)制方法、URL 格式、開發(fā)接口等，描述了客戶端應(yīng)該如何訪問存儲(chǔ)在服務(wù)器上的數(shù)據(jù)，但沒有定義應(yīng)該如何存儲(chǔ)

8、數(shù)據(jù)。通過使用LDAP可以在信息目錄的正確位置讀取或存儲(chǔ)數(shù)據(jù)。目錄服務(wù)：所謂目錄服務(wù)是在分布式計(jì)算機(jī)環(huán)境中， 定位和標(biāo)識(shí)用戶以與可 用的各網(wǎng)絡(luò)元素和網(wǎng)絡(luò)資源，并提供搜索功能和權(quán)限管理功能的服務(wù)機(jī)制。 各組 織機(jī)構(gòu)為了實(shí)現(xiàn)各個(gè)分立的“信息孤島走向連通和融合，一方面業(yè)務(wù)系統(tǒng)需要 將自身的職能和業(yè)務(wù)協(xié)作要求公布出去； 另一方面，也希望能夠檢索并獲取其他 業(yè)務(wù)系統(tǒng)的信息和公共的信息資源。這些需求采用目錄服務(wù)都能夠得到滿足。目錄服務(wù)是其對(duì)象具有屬性與名稱的命名服務(wù)，是命名服務(wù)的自然擴(kuò)展。目錄服務(wù)與命名服務(wù)的關(guān)鍵區(qū)別在于，目錄服務(wù)允許屬性比如用戶的電子地址 與對(duì)象相關(guān)聯(lián)。目錄服務(wù)的核心是一個(gè)樹狀結(jié)構(gòu)的信息

9、目錄， 由一系列具有屬性和名稱的目 錄入口對(duì)象（Entry）組成，將網(wǎng)絡(luò)中的數(shù)據(jù)資源、數(shù)據(jù)處理資源和用戶信息按有次 序的結(jié)構(gòu)進(jìn)展組織，并且專門針對(duì)海量查詢的使用情況進(jìn)展了優(yōu)化，極大地提高了數(shù)據(jù)讀取和查詢性能。目錄服務(wù)不僅可以提供分布式計(jì)算網(wǎng)絡(luò)的視圖，以邏輯的觀念來管理網(wǎng)絡(luò)， 而且它能實(shí)現(xiàn)以人為本的網(wǎng)絡(luò)管理方式。它可以記載網(wǎng)絡(luò)的所有文件以與所有在 網(wǎng)絡(luò)上運(yùn)行的資源，以與使用者某某、身份口令、密碼、卷、文檔，應(yīng)用程序以 至于域名服務(wù)器 DHCP IP地址以與認(rèn)證的公鑰等。此外，目錄軟件還保存和管 理對(duì)包括人員、業(yè)務(wù)過程和供內(nèi)部使用的資源等有關(guān)組織機(jī)構(gòu)詳細(xì)信息的訪問。 目錄服務(wù)樹中的一個(gè)目錄對(duì)象可以

10、通過它的名字檢索，或者通過使用一組搜索標(biāo)準(zhǔn)表示目錄對(duì)象的名字和屬性檢索。在分布式計(jì)算環(huán)境中，各單位對(duì)其他單位有用的信息可以在目錄服務(wù)注冊(cè)、 解除注冊(cè)和查詢。在整個(gè)組織機(jī)構(gòu)X圍內(nèi)部署和實(shí)現(xiàn)LDAP,可以讓運(yùn)行在幾乎所有計(jì)算機(jī)平 臺(tái)上的所有的應(yīng)用程序從LDAP目錄中獲取信息。3.3、LDAP目錄的結(jié)構(gòu)LDAP目錄以樹狀的層次結(jié)構(gòu)來組織和存儲(chǔ)數(shù)據(jù)，目錄由目錄入口對(duì)象（Entry） 組成，目錄入口對(duì)象（Entry）相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)中表的記錄，可直接成為L(zhǎng)DAP目 錄記錄，是具有區(qū)別名 DN Distinguished Name丨的屬性Attribute集合,DN相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)表中的關(guān)鍵字Primar

11、yKey；屬性由屬性類型Type和 多個(gè)值Values丨組成，相當(dāng)于關(guān)系數(shù)據(jù)庫(kù)中的域Field由域名和數(shù)據(jù)類型組 成，只是為了方便檢索和靈活性的需要，LDAP中的Type可以有多個(gè)Value,而不是關(guān)系數(shù)據(jù)庫(kù)中為降低數(shù)據(jù)的冗余性要某某現(xiàn)的各個(gè)域必須是不相關(guān)的。這樣，有以下好處：一般按照地理位置和組織關(guān)系進(jìn)展組織數(shù)據(jù)，同現(xiàn)實(shí)世界相一致，非常的直觀；有利于根據(jù)目錄樹的結(jié)構(gòu)給予不同的員工/用戶組不同的權(quán)限；屬性類型可以多個(gè)屬性值，LDAP目錄就有很大的靈活性，不必為參加一些 新的數(shù)據(jù)就重新創(chuàng)建表和索引；LDAP把數(shù)據(jù)存放在文件中，可以使用基于索引的文件數(shù)據(jù)庫(kù)，大大方 便了檢索，提高了檢索效率；有利于

12、將某個(gè)地域/分支機(jī)構(gòu)或某個(gè)部門/下屬單位的用戶信息定制推送 到單獨(dú)的用戶目錄服務(wù)器上，提高相關(guān)應(yīng)用對(duì)用戶信息的訪問效率；把LDAP存儲(chǔ)和復(fù)制功能結(jié)合起來，可以定制目錄樹的結(jié)構(gòu)以降低對(duì)WAN帶寬的要求。LDAP目錄記錄的標(biāo)識(shí)名（Distinguished Name，簡(jiǎn)稱DN）是用來讀取單個(gè)記 錄，以與回溯到樹的頂部?；鶞?zhǔn)DN：LDAP目錄樹的最頂部就是根，也就是所謂的“基準(zhǔn) DN?；鶞?zhǔn)DN通常使 用下面的格式，如：o=orgname（用組織機(jī)構(gòu)的域名/Internet地址作為基準(zhǔn)DN,這種格式很直觀，這也是現(xiàn)在最常用的格式 ）。在目錄樹中怎么組織數(shù)據(jù)：LDAP目錄樹的最頂部就是根。在根目錄下，因

13、為歷史上（X.500）的原因，大多數(shù)LDAP目錄用0U從邏輯上把數(shù)據(jù)分開來。OU表示“ Organization Unit"，在 X.500協(xié)議中是用來表示單位內(nèi)部的 機(jī)構(gòu)部門。現(xiàn)在LDAP還保存ou=這樣的命名規(guī)如此，但是擴(kuò)展了分類的 X圍， 可以分類為：ou=people, ou=groups, ou=devices,等等。更低一級(jí)的 OU有時(shí)用 來做更細(xì)的歸類。例如：LDAP目錄樹（不包括單獨(dú)的記錄）可能會(huì)是這樣的： o=org name ou=employees ou=office ou=hr ou=fi nance ou=sales ou=rd ou=groups ou=c

14、ustomers ou=chi na ou=asiaou=europeou=rooms ou=assets-mgmt單獨(dú)的LDAP記錄：DN是LDAP記錄項(xiàng)的名字。在LDAP目錄中的所有記錄項(xiàng)都有一個(gè)唯一的“Distinguished Name"，也就是DN。每一個(gè)LDAP記錄項(xiàng)的DN是由兩個(gè)局 部組成的：相對(duì)DN RDN丨和記錄在LDAP目錄中的位置。RDN是 DN 中與目錄樹的結(jié)構(gòu)無關(guān)的局部。在 LDAP 目錄中存儲(chǔ)的記錄項(xiàng)都要有一個(gè)名字， 這個(gè)名字通常存在 mon Name這個(gè)屬 性里。在LDAP中存儲(chǔ)的對(duì)象都用它們的 值作為RDN的根底。完整的DN，比如，為一個(gè)員工“ X三&

15、#39;設(shè)置一個(gè)DN：=zha ng san, ou=employees, o=org name基于某某uid=szha ng, ou=employees, o=orgn ame基于登錄名，推薦推薦采用基于登錄名的方式設(shè)置 DN,因?yàn)榛谀衬尺@種格式有一個(gè)很明顯 的缺點(diǎn)如果名字改變了， LDAP的記錄就要從一個(gè)DN轉(zhuǎn)移到另一個(gè)DN，但 是，我們應(yīng)該盡可能地防止改變一個(gè)記錄項(xiàng)的DN；而大多數(shù)單位都會(huì)給每一個(gè)員工唯一的登錄名，因此用這個(gè)方法可以很好地保存員工的信息，而不用擔(dān)心以后還會(huì)有一個(gè)叫“ X三的參加，或者“ X三改變了名字，也用不著改變 LDAP 記錄項(xiàng)的DN。記錄項(xiàng)：LDAP目錄以一系列“

16、屬性對(duì)的形式來存儲(chǔ)記錄項(xiàng)，每一個(gè)記錄項(xiàng)包括屬性類型和屬性值這與關(guān)系型數(shù)據(jù)庫(kù)用行和列來存取數(shù)據(jù)有根本的不同。例如，機(jī)構(gòu)單位 orgname 的員工“ X三"的LDAP記錄。這個(gè)記錄項(xiàng) 的格式是LDIF,用來導(dǎo)入和導(dǎo)出LDAP目錄的記錄項(xiàng)。dn: uid=szha ng, ou=employees, o=org nameobjectclass: pers onobjectclass: orga ni zati on alPers onobjectclass: in etOrgPers onobjectclass: orgn amePers onuid: szha nggive nn am

17、e: zha ngsn: san:Zhang San:Zhang Sha n:X三:X總teleph onenu mber: 8610-82825858roomn umber: 122Go: orgn ame, Inc.dept: salesrole: salesma nagermailRout in gAddress: szha ngorg namemailhost: nameuserpassword: crypt3x1231v76T89Nuid nu mber: 1234gid nu mber: 1200homedirectory: /home/szha nglog in

18、 shell: /usr/local/b in/shLDAP目錄可以定制成存儲(chǔ)任何文本或二進(jìn)制數(shù)據(jù)，到底存什么要由你自己 決定。LDAP目錄用對(duì)象類型object classes的概念來定義運(yùn)行哪一類的對(duì) 象使用什么屬性。在幾乎所有的LDAP服務(wù)器中，你都要根據(jù)自己的需要擴(kuò)展根 本的LDAP目錄的功能，創(chuàng)建新的對(duì)象類型或者擴(kuò)展現(xiàn)存的對(duì)象類型。屬性的值在保存的時(shí)候是保存大小寫的，但是在默認(rèn)情況下搜索的時(shí)候是不區(qū)分大小寫的。某些特殊的屬性例如，password丨在搜索的時(shí)候需要區(qū)分大小寫。請(qǐng)注意LDAP目錄被設(shè)計(jì)成允許某些屬性有多個(gè)值，如一個(gè)員工可能擁有多個(gè)名字，可以用其任何一個(gè)名字檢索都可以找到

19、該員工的、電子和辦公房間號(hào)，等等；而不是在每一個(gè)屬性的后面用逗號(hào)把一系列值分開。因?yàn)橛眠@樣的方式存儲(chǔ)數(shù)據(jù)，所以 LDAP目錄就有很大的靈活性，不必為 參加一些新的數(shù)據(jù)就重新創(chuàng)建表和索引。更重要的是，LDAP目錄不必花費(fèi)內(nèi)存或硬盤空間處理“空域，也就是說，實(shí)際上不使用可選擇的域也不會(huì)花費(fèi)你 任何資源。3.4、LDAP目錄的存儲(chǔ)內(nèi)容LDAP目錄是有關(guān)用戶、系統(tǒng)、分組、網(wǎng)絡(luò)、服務(wù)和標(biāo)識(shí)的集合；LDAP目錄中可以存儲(chǔ)各種類型的數(shù)據(jù)，LDAP對(duì)于這樣存儲(chǔ)這樣的信息最為有用，也就是 數(shù)據(jù)需要從不同的地點(diǎn)讀取，但是不需要經(jīng)常更新。例如，這些信息存儲(chǔ)在LDAP 目錄中是十分有效的：?jiǎn)挝粏T工的人力資源數(shù)據(jù)：?jiǎn)T工

20、的某某、登錄名、口令、員工號(hào)、主管經(jīng)理 的登錄名、地址、等等；簿和組織結(jié)構(gòu)圖;用戶、系統(tǒng)、分組；電子地址、路由信息；公用證書和安全密匙；客戶聯(lián)系列表：客戶的單位名稱、主要聯(lián)系人、 和電子等；資產(chǎn)管理信息：計(jì)算機(jī)名、IP地址、標(biāo)簽、型號(hào)、所在位置，等等。會(huì)議室信息：會(huì)議室的名字、位置、可以坐多少人、是否有投影機(jī),計(jì)算機(jī)管理需要的信息，包括網(wǎng)絡(luò)資源、 DNS域名系統(tǒng)、NIS映射等等；軟件包的配置信息；以與其他，如食譜信息：菜的名字、配料、烹調(diào)方法以與準(zhǔn)備方法；等等對(duì)于用戶管理而言，LDAP目錄中存儲(chǔ)的信息可包括：用戶UserID或LoginID 使用者某某）；用戶身份：用戶角色（可以多個(gè)角色）、用

21、戶組；用戶名稱Name :正式名稱、常用名、別名、中英文名等；用戶口令/密鑰Pswd加密存儲(chǔ)，區(qū)分大小寫，禁止任何人查詢，但是可以允 許用戶改變他或她自己的口令）；認(rèn)證公鑰；員工號(hào)、部門名稱、部門號(hào)、房間號(hào)、工位號(hào)、工作崗位、職務(wù)名稱、上級(jí) 主管經(jīng)理；聯(lián)系、手機(jī)、分機(jī)；家庭聯(lián)系信息：家庭住址、家庭 、其他聯(lián)系人信息;電子地址、服務(wù)器、路由地址;員工計(jì)算機(jī)信息：計(jì)算機(jī)名、IP地址、標(biāo)簽、型號(hào)、所在位置，等等;驗(yàn)證用戶的LDAP地址用戶在LDAP中的標(biāo)識(shí)碼-路徑用戶其他信息等。四、用戶身份認(rèn)證4.1、認(rèn)證類型統(tǒng)一用戶目錄管理系統(tǒng)支持多個(gè)安全級(jí)別的身份認(rèn)證方式， 參與SSO的各 個(gè)應(yīng)用系統(tǒng)和受保護(hù)資

22、源可以根據(jù)自身的安全需要設(shè)置安全等級(jí)，通過低級(jí)別登錄的用戶在訪問高級(jí)別的應(yīng)用時(shí)需要進(jìn)展高級(jí)別的登錄。身份認(rèn)證方式的安全級(jí)別由低到高分別為：普通口令級(jí)：用戶輸入用戶名和口令進(jìn)展身份認(rèn)證；動(dòng)態(tài)密碼級(jí)：用戶使用動(dòng)態(tài)密碼卡來輸入動(dòng)態(tài)密碼；數(shù)字證書級(jí)：用戶使用智能卡等設(shè)備通過數(shù)字證書和數(shù)字簽名進(jìn)展身份認(rèn)證；生物測(cè)量級(jí)：用戶使用指紋儀、虹膜儀等生物物理測(cè)量設(shè)備進(jìn)展身份認(rèn)證; 生物測(cè)量+數(shù)字證書級(jí)：數(shù)字證書和生物測(cè)量的結(jié)合使用。支持多種身份驗(yàn)證方式：支持多個(gè)生產(chǎn)商的動(dòng)態(tài)密碼卡、數(shù)字證書卡、DSAKey和指紋儀等設(shè)備。身份認(rèn)證模塊是以插件方式配置的，確?？焖俚膶?shí)施和靈活的調(diào)整。系統(tǒng)可以使用客戶現(xiàn)存應(yīng)用系統(tǒng)的已

23、有用戶數(shù)據(jù)庫(kù)或 LDAP 用戶目錄進(jìn)展身份驗(yàn)證；通過配置即可實(shí)現(xiàn)通過 LDAP或JDBC進(jìn)展用戶身份驗(yàn) 證。4.2、用戶身份密碼驗(yàn)證LDAP作為存儲(chǔ)用戶信息的目錄服務(wù)，可提供根本的用戶身份密碼驗(yàn)證。為了加強(qiáng)用戶口令信息的安全，將口令信息采用國(guó)際標(biāo)準(zhǔn)的MD5摘要加密算法進(jìn)展摘要加密，使摘要信息可明文存儲(chǔ)且不可逆。門戶或使用該用戶目錄的應(yīng)用系統(tǒng)在驗(yàn)證口令時(shí)，首先將用戶輸入的口令進(jìn)展 MD5 處理，再與存儲(chǔ)的MD5加密摘要信息進(jìn)展匹配比擬，如如下圖所示。應(yīng)用系統(tǒng)目錄服務(wù)用戶身份密碼驗(yàn)證的流程如下：1用戶在門戶首頁(yè)中輸入用戶名/ 口令，進(jìn)展登錄。2門戶調(diào)用用戶身份驗(yàn)證Web Service通過對(duì)加密后

24、的密碼摘要匹配, 進(jìn)展用戶身份驗(yàn)證。3如果驗(yàn)證用戶非法，提示錯(cuò)誤信息并返回14用戶身份驗(yàn)證 Web Service返回該用戶的ID,該ID將作為通過門戶 訪問應(yīng)用系統(tǒng)的會(huì)話標(biāo)識(shí)。'匚利I廠、開恰 丿用戶夷肩輅謨信息門戶UW eb Service莪兄fl/*謎耳滾 eh Service， LDAP 11戶冇最申 驗(yàn)證甲F汁法社M過令牌訪問tLPK巻理系境4.3、與CA認(rèn)證接口門戶通過CA認(rèn)證網(wǎng)關(guān)支持用戶數(shù)字證書的驗(yàn)證，如如下圖所示;目錄服務(wù)系統(tǒng)提供BJCA協(xié)卡SheCA中國(guó)金融認(rèn)證中心 CFCA吉大正元CA等主 流CA系統(tǒng)接口的支持。4.4、用戶登錄控制用戶登錄控制包括：系統(tǒng)無操作時(shí)間限

25、制：超過10分鐘，系統(tǒng)將自動(dòng)退出，所有進(jìn)一步操作必須重新登錄。 IP限制：登錄IP限制特別是管理員用戶；一樣用戶同時(shí)登錄IP數(shù)限 制；密碼錯(cuò)誤次數(shù)限制：密碼連續(xù)輸入錯(cuò)誤次數(shù)超過比如3次或累計(jì)次數(shù)超過比如6次，強(qiáng)制退出，不允許登錄，直至系統(tǒng)管理員為直重置密碼；強(qiáng)制口令修改：第一次登錄時(shí)強(qiáng)制口令修改；用戶口令被重置后登錄時(shí)強(qiáng)制口令修改； 口令期限：超期口令強(qiáng)制口令修改。五、分布式用戶目錄管理5.1、分布式目錄服務(wù)體系分布式目錄服務(wù)體系如如下圖所示"Ifl ill y TyMttVtJ R中央LI>AP口錄Si務(wù)； 企業(yè)和Portal樓較用戶仃?yáng)X服務(wù)器禰用系統(tǒng)槍瞬用尸里婁用可配置集中

26、目錄，將所有員工信息保存到一臺(tái)中央目錄服務(wù)器上。 中央目錄 信息可以向所有用戶和所有應(yīng)用提供，為所有用戶和組信息提供單個(gè)身份認(rèn)證中 心。集中目錄服務(wù)可提供更多的控制，可以降低開銷，并可以易于管理，具有較 大的優(yōu)勢(shì)。可創(chuàng)建多機(jī)構(gòu)目錄，確保用戶只能訪問到其所屬機(jī)構(gòu)的信息， 如針對(duì)某個(gè)下屬單位，可創(chuàng)建該下屬單位的目錄服務(wù)；再如，針對(duì)大學(xué)，可專門創(chuàng)建可允許學(xué) 生訪問的目錄服務(wù)。中央目錄服務(wù)器與某類用戶 /下屬單位/部門/分支機(jī)構(gòu)/遠(yuǎn)程 辦公室子目錄服務(wù)器之間可進(jìn)展選擇性復(fù)制，可節(jié)約磁盤空間和復(fù)制周期。5.2、目錄復(fù)制復(fù)制技術(shù)是內(nèi)置在LDAP目錄服務(wù)器中的而且很容易配置。LDAP服務(wù)器可以使用基于“推或

27、者“拉的技術(shù)，用簡(jiǎn)單或基于安全證 書的安全驗(yàn)證，復(fù)制一局部或者所有的數(shù)據(jù)。例如：可以把數(shù)據(jù)“推至V遠(yuǎn)程的某某的辦公室，可以建立從中央LDAP服務(wù)器 name:1389 至U name :389 的有選擇的數(shù)據(jù)復(fù)制，不復(fù)制需要隱藏的信息，像下面這樣：periodic pull: ou=n orthchi na,ou=customers,o=se ndmailperiodic pull: ou=hk,ou=customers,o=se ndmailimmediate push: ou=eastchi na,ou=customers,o=se ndmail“拉連

28、接每15分鐘同步一次，在上面假定的情況下足夠了。為了保持?jǐn)?shù)據(jù)始 終是最新的，主目錄服務(wù)器被設(shè)置成即時(shí)“推同步?！巴七B接保證任何華東的聯(lián)系信息發(fā)生了變化就立即被“推至以某。用上面的復(fù)制模式，用戶為了訪問數(shù)據(jù)只需簡(jiǎn)單地連接到本地服務(wù)器。如果改變了數(shù)據(jù)，本地的 LDAP服務(wù)器就會(huì)把這些變化傳到主LDAP服務(wù)器，以保持?jǐn)?shù)據(jù)的同步。這對(duì)本地的用戶有很大的好處，因?yàn)樗械牟樵兇蠖鄶?shù)是讀 都在本地的服務(wù)器上進(jìn)展，速度非?？臁．?dāng)需要改變信息的時(shí)候，最終用戶不需要重新配置客戶端的軟件，因?yàn)?LDAP目錄服務(wù)器為他們完成了所有的數(shù)據(jù)交換工作。我們推薦中央主LDAP目錄服務(wù)器與子LDAP目錄服務(wù)器選用同一目錄服 務(wù)

29、產(chǎn)品。不同目錄服務(wù)器之間的數(shù)據(jù)移植和同步：對(duì)于中央主LDAP目錄服務(wù)器與子LDAP目錄服務(wù)器選用不同廠商的產(chǎn)品時(shí)， 首先可考慮將原有的LDAP目錄服務(wù)器的數(shù)據(jù)移植到新的LDAP 目錄服務(wù)器中；此外，目前，有些不同廠商的 LDAP 目錄服務(wù)器之間也可以實(shí)現(xiàn)目錄同步和20 / 26復(fù)制。比如，假如您正在使用 Win dows 2000,可在Domi no LDAP目錄與 MS 活動(dòng)目錄AD之間同步管理用戶和分組；如在活動(dòng)目錄中執(zhí)行此操作，ADSync允 許您注冊(cè)、同步屬性和口令、重命名和刪除Domi no LDAP目錄中的用戶和分組。六、統(tǒng)一用戶信息的方式分類門戶根底平臺(tái)建立一個(gè)中央統(tǒng)一用戶目錄管

30、理系統(tǒng)， 并支持所有應(yīng)用的合法性訪問。有兩種方法可以完成所有應(yīng)用的統(tǒng)一用戶目錄管理。第一種：完全重新定制應(yīng)用，改變應(yīng)用自身的用戶體系為中央統(tǒng)一用戶管理系統(tǒng)。第二種：用戶信息同步：在應(yīng)用的用戶管理系統(tǒng)與中央統(tǒng)一用戶管理系統(tǒng)之間，建立用戶/用戶組同步復(fù)制關(guān)系。即在統(tǒng)一用戶管理系統(tǒng)中發(fā)生任何變更，如此與時(shí)反映到應(yīng)用用戶管理系統(tǒng)。同步更新用戶數(shù)據(jù)第一種方法可以獲得最大的靈活性，但是由于要對(duì)應(yīng)用系統(tǒng)的用戶認(rèn)證進(jìn)展 變更，工作量較大。并且僅適用于應(yīng)用系統(tǒng)提供用戶管理系統(tǒng)接口的前提下。第二種方法優(yōu)點(diǎn)在于開發(fā)較為便捷， 但在后期的實(shí)際運(yùn)行過程中，由于用戶 信息的頻繁更新，有可能造成系統(tǒng)實(shí)際運(yùn)行過程中的效率低下

31、。在應(yīng)用系統(tǒng)提供用戶管理接口的前提下，建議采用第一種方法：基于LDAP目錄實(shí)現(xiàn)統(tǒng)一用戶目錄管理。七、用戶信息同步隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)在組織機(jī)構(gòu)中的廣泛應(yīng)用， 很多機(jī)構(gòu)單位已經(jīng)擁有了各種各樣的應(yīng)用系統(tǒng)，如 0A辦公自動(dòng)化系統(tǒng)、HR人力資源管理系統(tǒng)、財(cái)務(wù)系統(tǒng)、CRM客戶關(guān)系管理系統(tǒng)、企業(yè) ERP系統(tǒng)、政府網(wǎng)上審批系統(tǒng)、學(xué)校一卡 通系統(tǒng)、以與各種業(yè)務(wù)應(yīng)用系統(tǒng)。而通常情況下，各個(gè)應(yīng)用系統(tǒng)都存在自己獨(dú)立的用戶信息數(shù)據(jù)庫(kù)和授權(quán)管21 / 26中央£適配器迅配器g辦公白功化來統(tǒng)HK人那系統(tǒng)財(cái)務(wù)敘克曲戶繪/箱級(jí)別 背碼轉(zhuǎn)揍理機(jī)制，故而如何實(shí)現(xiàn)中央用戶目錄數(shù)據(jù)、門戶用戶數(shù)據(jù)與各應(yīng)用系統(tǒng)用戶數(shù)據(jù) 之間

32、的同步是信息化建設(shè)面臨的重要挑戰(zhàn)之一。基于用戶信息同步技術(shù)，只需在單點(diǎn)進(jìn)展增加新用戶、修改用戶信息、或者 刪除老用戶，其他相關(guān)應(yīng)用系統(tǒng)的用戶信息和基于用戶角色等的用戶授權(quán)信息都 能同步發(fā)生變化，并且能夠立即生效，從而簡(jiǎn)化了用戶管理工作，防止了安全隱 患的發(fā)生。中央用戶目錄、門戶與各應(yīng)用系統(tǒng)之間的用戶信息交換體系架構(gòu)如如下圖 所示。flllP,用戶信息總線是基于EAI技術(shù)的數(shù)據(jù)總線技術(shù)，支持用戶信息數(shù)據(jù)的發(fā)布/ 訂閱、請(qǐng)求/應(yīng)答模式；發(fā)布/訂閱通信模式完全是一種“推Push丨的技術(shù)；而請(qǐng)求/應(yīng)答通信模式是對(duì)傳統(tǒng)Clie nt/Server通信模式的支持，即支持“拉"Pull技術(shù)；可以根

33、據(jù)具體應(yīng)用的信息處理流程來選擇適宜的通信模式。用戶信息總線提供靈活可擴(kuò)展的適配器框架結(jié)構(gòu)，支持應(yīng)用系統(tǒng)的動(dòng)態(tài)參加 或卸載，只需編寫或定制該應(yīng)用系統(tǒng)相應(yīng)的適配器即可，即插即用。應(yīng)用系統(tǒng)適配器用來完成用戶信息的基于 XML標(biāo)準(zhǔn)的封裝和解析、發(fā)送和 接收；同時(shí)，實(shí)現(xiàn)中央 LDAP用戶目錄與應(yīng)用系統(tǒng)之間用戶組、角色、級(jí)別等 同一語(yǔ)義不同數(shù)據(jù)格式的轉(zhuǎn)換。這樣，對(duì)于基于用戶角色、用戶組、級(jí)別等對(duì)用 戶進(jìn)展授權(quán)控制的應(yīng)用系統(tǒng)而言，在實(shí)現(xiàn)用戶信息同步的同時(shí)，實(shí)現(xiàn)了授權(quán)信息 的傳遞。此外，對(duì)于門戶和平臺(tái)的應(yīng)用功能如 CMS內(nèi)容管理等，無單獨(dú)的用戶信息 存儲(chǔ)，而直接使用LDAP用戶目錄數(shù)據(jù)，無需參與用戶信息交換。八、用戶生命周期管理8.1、新建用戶如果有新員工參加，系統(tǒng)提供通過LDAP目錄管理工具登記注冊(cè)新用戶；同 時(shí)，通過用戶信息同步和授權(quán)信息傳遞，系統(tǒng)自動(dòng)在與其相關(guān)的每個(gè)應(yīng)用系統(tǒng)中 增加一套用戶賬號(hào)，并且能夠立即生效，從而簡(jiǎn)化了用戶管理工作，防止了安全 隱患的發(fā)生。通過LDAP目錄管理工具登記用戶根本信息，設(shè)置用戶口令，并為該用戶分 配一個(gè)注冊(cè)名。該注冊(cè)名是訪問應(yīng)用系統(tǒng)的用戶名，只能包含大小寫英文字母和 數(shù)字，并且是唯一的。建議采用用戶中文名的漢語(yǔ)拼音作為用戶的注冊(cè)名。在LDAP目錄中新建完該用戶后，該用戶同時(shí)也是門戶系