1、精選優質文檔-傾情為你奉上銀行統一門戶解決方案2016年12月修訂歷史記錄日期版本說明作者/修改人審核批準2016-12-9<1.0>初始化創建張塵目錄一、 概述 目錄管理是為了方便用戶訪問組織機構內所有的授權資源和服務，簡化用戶管理，基于LDAP或基于數據庫，對組織機構內中所有應用實行統一的用戶信息的存儲、認證和管理。 統一用戶目錄管理要遵循以下兩個基本原則： 統一性原則：實現對目前已知用戶類型進行統一管理；對包括分支機構在內的整個組織機構內的所有用戶進行用戶目錄復制和統一管理；對門戶的用戶體系和各應用系統各自獨立的用戶體系進行統一管理；對新進員工/用戶到員工/用戶離開進行整個生

2、命周期的管理。 可擴充性原則：能夠適應對將來擴充子系統的用戶進行管理。二、 用戶分類模型2.1基于部門崗位樹的角色模型基于部門崗位樹的角色模型是組織機構內最常見的模型，提供了用戶目錄管理、目錄復制、權限控制的多種屬性。角色管理是用戶權限管理的重要基礎?；诓块T崗位樹的角色模型如下所示：在部門崗位角色樹狀模型中，用戶職位稱為崗位，或稱用戶角色，包含崗位角色的組織機構稱為部門，大部門可以包含小部門。其最重要的特點是： 用戶隸屬于崗位/角色(可以隸屬于多個崗位/角色)； 崗位/角色具有時間范圍； 部門包含下屬部門及崗位/角色中的所有用戶。用戶信息以組織/部門/ 崗位角色以樹狀的層次結構來組織和管理，

3、有以下好處： 同實際組織機構體系相一致； 同LDAP目錄對數據的組織方式保持一致，便于利用LDAP 目錄服務的強大進行用戶目錄的管理； 有利于將某個地域/分支機構或某個部門/下屬單位的用戶信息定制推送到單獨的用戶目錄服務器上，提高相關應用對用戶信息的訪問效率； 有利于根據目錄樹的結構給予不同的員工/用戶組不同的權限。2.2 級別分層樹模型級別分層樹模型如下圖所示，是對部門崗位角色樹狀層次模型的補充。在級別分層樹模型中，不同層次的節點具有上下級或涵蓋關系。相同層次的節點相互獨立，之間沒有上下級或涵蓋關系。其最重要的特點是： 用戶只能屬于一個級別； 在同一層次節點下可以有多個級別； 可用大于、小于

4、或等于，以上、以下等詞匯來指定多個或一個層次的級別。利用級別分層樹模型，可輔助實現更為靈活的用戶授權控制。三、用戶信息存儲管理 3.1 用戶信息存儲分類統一的用戶信息存儲可基于： 數據庫方式：支持將統一的用戶信息存儲于各大主流數據庫中，如Oracle、 DB2、SQL Server、Sybase、MySQL 等； LDAP目錄方式：支持將統一的用戶信息存儲于LDAP 目錄中，如Domino、 LDAP、Sun One Directory Server、OpenLDAP、MS Active Directory、Novell、 NDS、Netscape Directory Server 等。 此外

5、，可以基于LDAP 目錄或數據庫方式，新建一個用戶信息目錄庫，供門戶和應用系統使用； 也支持可以使用現存應用系統的已有用戶數據庫，作為門戶和其他應用統一的用戶信息存儲管理庫，如可以考慮基于現存的OA 辦公自動化系統、或者HR人事系統、或者一卡通系統等現有系統的 RDBMS 用戶數據庫或 LDAP 用戶目錄進行用戶信息管理和身份驗證。 鑒于基于LDAP目錄服務存儲和管理用戶的身份認證等信息，可更有效更靈活地管理用戶及資源，我們推薦采用LDAP目錄服務作為各組織機構信息化建設統一用戶管理的基礎平臺。下面主要闡述LDAP 目錄服務的相關內容。3.2 LDAP目錄服務定義LDAP協議： 輕量級目錄訪問

6、協議(LDAP) ，英文全稱是 Lightweight Directory Access Protocol，是一個用于訪問存儲在信息目錄中的信息的 Internet協議，是目錄服務在TCP/IP 上的實現（RFC 1777 V2 版和RFC 2251 V3 版）。它是對X500 的目錄協議的移植，但是簡化了實現方法，所以稱為輕量級的目錄服務。 LDAP 協議是跨平臺的和標準的協議；實際上，LDAP 作為一種 Internet 標準，得到了業界的廣泛認可。 LDAP 的核心規范在RFC 中進行了定義，LDAP 協議集規定了區別名(DN)的命名方法、存取控制方法、搜索格式、復制方法、URL 格式、

7、開發接口等，描述了客戶端應該如何訪問存儲在服務器上的數據，但沒有定義應該如何存儲數據。通過使用LDAP，可以在信息目錄的正確位置讀?。ɑ虼鎯Γ祿?。 目錄服務：所謂目錄服務是在分布式計算機環境中，定位和標識用戶以及可用的各網絡元素和網絡資源，并提供搜索功能和權限管理功能的服務機制。各組織機構為了實現各個分立的“信息孤島”走向連通和融合，一方面業務系統需要將自身的職能和業務協作要求公布出去；另一方面，也希望能夠檢索并獲取其他業務系統的信息和公共的信息資源。這些需求采用目錄服務都能夠得到滿足。 目錄服務是其對象具有屬性及名稱的命名服務，是命名服務的自然擴展。目錄服務與命名服務的關鍵區別在于，目錄服

8、務允許屬性（比如用戶的電子郵件地址）與對象相關聯。 目錄服務的核心是一個樹狀結構的信息目錄，由一系列具有屬性和名稱的目錄入口對象(Entry)組成，將網絡中的數據資源、數據處理資源和用戶信息按有次序的結構進行組織，并且專門針對海量查詢的使用情況進行了優化，極大地提高了數據讀取和查詢性能。 目錄服務不僅可以提供分布式計算網絡的視圖，以邏輯的觀念來管理網絡，而且它能實現以人為本的網絡管理方式。它可以記載網絡的所有文件以及所有在網絡上運行的資源，以及使用者帳號、身份口令、密碼、卷、文檔，應用程序以至于域名服務器 DHCP、IP 地址以及認證的公鑰等。此外，目錄軟件還保存和管理對包括人員、業務過程和供

9、內部使用的資源等有關組織機構詳細信息的訪問。 目錄服務樹中的一個目錄對象可以通過它的名字檢索，或者通過使用一組搜索標準（表示目錄對象的名字和屬性）檢索。 在分布式計算環境中，各單位對其他單位有用的信息可以在目錄服務注冊、解除注冊和查詢。在整個組織機構范圍內部署和實現LDAP，可以讓運行在幾乎所有計算機平臺上的所有的應用程序從LDAP 目錄中獲取信息。3.3、LDAP目錄的結構LDAP目錄以樹狀的層次結構來組織和存儲數據，目錄由目錄入口對象(Entry)組成，目錄入口對象(Entry)相當于關系數據庫中表的記錄，可直接成為LDAP目錄記錄，是具有區別名DN（Distinguished Name

10、）的屬性（Attribute ）集合，DN相當于關系數據庫表中的關鍵字（PrimaryKey ）；屬性由屬性類型（Type）和多個值（Values ）組成，相當于關系數據庫中的域（Field）由域名和數據類型組成，只是為了方便檢索和靈活性的需要，LDAP 中的Type 可以有多個 Value，而不是關系數據庫中為降低數據的冗余性要求實現的各個域必須是不相關的。 這樣，有以下好處： 一般按照地理位置和組織關系進行組織數據，同現實世界相一致，非常的直觀； 有利于根據目錄樹的結構給予不同的員工/用戶組不同的權限； 屬性類型可以多個屬性值，LDAP目錄就有很大的靈活性，不必為加入一些新的數據就重新創建

11、表和索引； LDAP把數據存放在文件中，可以使用基于索引的文件數據庫，大大方 便了檢索，提高了檢索效率； 有利于將某個地域/分支機構或某個部門/下屬單位的用戶信息定制推送 到單獨的用戶目錄服務器上，提高相關應用對用戶信息的訪問效率； 把 LDAP存儲和復制功能結合起來，可以定制目錄樹的結構以降低對WAN 帶寬的要求。 LDAP目錄記錄的標識名(Distinguished Name，簡稱DN)是用來讀取單個記錄，以及回溯到樹的頂部。 基準DN： LDAP目錄樹的最頂部就是根，也就是所謂的“基準DN”?；鶞蔇N 通常使用下面的格式，如：o= (用組織機構的域名/Internet 地址作為基準DN，

12、這種格式很直觀，這也是現在最常用的格式)。 在目錄樹中怎么組織數據： LDAP 目錄樹的最頂部就是根。在根目錄下，因為歷史上(X.500)的原因，大 多數LDAP 目錄用OU 從邏輯上把數據分開來。 OU 表示“Organization Unit”，在X.500 協議中是用來表示單位內部的機構部門?，F在LDAP 還保留ou=這樣的命名規則，但是擴展了分類的范圍，可以分類為：ou=people, ou=groups, ou=devices，等等。更低一級的OU 有時用來做更細的歸類。例如：LDAP 目錄樹(不包括單獨的記錄)可能會是這樣的： o= ou=employees ou=office o

13、u=hr ou=finance ou=sales ou=rd ou=groups ou=customers ou=china ou=asia ou=europe ou=rooms ou=assets-mgmt 單獨的LDAP 記錄： DN 是LDAP 記錄項的名字。在LDAP 目錄中的所有記錄項都有一個唯一的 “Distinguished Name”，也就是DN。每一個LDAP 記錄項的DN 是由兩個部分組成的：相對DN（RDN ）和記錄在LDAP目錄中的位置。RDN 是DN 中與目錄樹的結構無關的部分。在LDAP 目錄中存儲的記錄項都要有一個名字，這個名字通常存在cn （Common Nam

14、e）這個屬性里。在LDAP中存儲的對象都用它們的cn 值作為RDN 的基礎。 完整的DN，比如，為一個員工“張三”設置一個DN： cn=zhang san, ou=employees, o= （基于姓名） uid=szhang, ou=employees, o= （基于登錄名，推薦） 推薦采用基于登錄名的方式設置DN，因為基于姓名這種格式有一個很明顯的缺點-如果名字改變了，LDAP 的記錄就要從一個DN 轉移到另一個DN，但是，我們應該盡可能地避免改變一個記錄項的DN；而大多數單位都會給每一個員工唯一的登錄名，因此用這個辦法可以很好地保存員工的信息，而不用擔心以后還會有一個叫“張三”的加入，或

15、者“張三”改變了名字，也用不著改變LDAP記錄項的DN。 記錄項： LDAP 目錄以一系列“屬性對”的形式來存儲記錄項，每一個記錄項包括屬性類型和屬性值（這與關系型數據庫用行和列來存取數據有根本的不同）。 例如，機構單位 的員工“張三”的LDAP 記錄。這個記錄項的格式是LDIF，用來導入和導出LDAP 目錄的記錄項。 dn: uid=szhang, ou=employees, o= objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson objectclass: orgnamePerso

16、n uid: szhang givenname: zhang sn: san cn: Zhang San cn: Zhang Shan cn: 張三cn: 張總 telephonenumber: 8610- roomnumber: 122G o: orgname, Inc. dept: sales role: salesmanager mailRoutingAddress: szhang mailhost: userpassword: crypt3x1231v76T89N uidnumber: 1234 gidnumber: 1200 homedirectory: /home/szhang l

17、oginshell: /usr/local/bin/sh LDAP目錄可以定制成存儲任何文本或二進制數據，到底存什么要由你自己決定。LDAP 目錄用對象類型（object classes）的概念來定義運行哪一類的對象使用什么屬性。在幾乎所有的 LDAP服務器中，你都要根據自己的需要擴展基本的LDAP 目錄的功能，創建新的對象類型或者擴展現存的對象類型。 屬性的值在保存的時候是保留大小寫的，但是在默認情況下搜索的時候是不 區分大小寫的。某些特殊的屬性（例如，password ）在搜索的時候需要區分大小寫。 請注意 LDAP目錄被設計成允許某些屬性有多個值，如一個員工可能擁有 多個名字，可以用其任

18、何一個名字檢索都可以找到該員工的電話號碼、電子郵件 和辦公房間號，等等；而不是在每一個屬性的后面用逗號把一系列值分開。 因為用這樣的方式存儲數據，所以 LDAP目錄就有很大的靈活性，不必為 加入一些新的數據就重新創建表和索引。更重要的是，LDAP 目錄不必花費內存或硬盤空間處理“空”域，也就是說，實際上不使用可選擇的域也不會花費你任何資源。3.4、LDAP目錄的存儲內容LDAP目錄是有關用戶、系統、分組、網絡、服務和標識的集合；LDAP目錄中可以存儲各種類型的數據，LDAP 對于這樣存儲這樣的信息最為有用，也就是數據需要從不同的地點讀取，但是不需要經常更新。例如，這些信息存儲在LDAP 目錄中

19、是十分有效的： 單位員工的人力資源數據：員工的姓名、登錄名、口令、員工號、主管經理的登錄名、郵件地址、等等； 電話號碼簿和組織結構圖； 用戶、系統、分組； 電子郵件地址、郵件路由信息； 公用證書和安全密匙； 客戶聯系列表：客戶的單位名稱、主要聯系人電話、傳真和電子郵件等； 資產管理信息：計算機名、IP 地址、標簽、型號、所在位置，等等。 會議室信息：會議室的名字、位置、可以坐多少人、電話號碼、是否有投影機，等等； 計算機管理需要的信息，包括網絡資源、DNS 域名系統、NIS 映射等等； 軟件包的配置信息； 以及其他，如食譜信息：菜的名字、配料、烹調方法以及準備方法； 等等。 對于用戶管理而言，

20、LDAP 目錄中存儲的信息可包括： 用戶UserID(或LoginID、使用者帳號)； 用戶身份：用戶角色(可以多個角色)、用戶組； 用戶名稱Name ：正式名稱、常用名、別名、中英文名等； 用戶口令/密鑰Pswd(加密存儲，區分大小寫，禁止任何人查詢，但是可以允許用戶改變他或她自己的口令)； 認證公鑰； 員工號、部門名稱、部門號、房間號、工位號、工作崗位、職務名稱、上級主管經理；聯系電話、手機、分機； 家庭聯系信息：家庭住址、郵編、家庭電話、其他聯系人信息； 電子郵件地址、郵件服務器、郵件路由地址； 員工計算機信息：計算機名、IP 地址、標簽、型號、所在位置，等等； 驗證用戶的LDAP 地址

21、 用戶在LDAP 中的標識碼-路徑 用戶其他信息等。四、用戶身份認證4.1、認證類型統一用戶目錄管理系統支持多個安全級別的身份認證方式，參與 SSO 的各個應用系統和受保護資源可以根據自身的安全需要設置安全等級，通過低級別登錄的用戶在訪問高級別的應用時需要進行高級別的登錄。身份認證方式的安全級別由低到高分別為： 普通口令級：用戶輸入用戶名和口令進行身份認證； 動態密碼級：用戶使用動態密碼卡來輸入動態密碼； 數字證書級：用戶使用智能卡等設備通過數字證書和數字簽名進行身份認證；生物測量級：用戶使用指紋儀、虹膜儀等生物物理測量設備進行身份認證； 生物測量+數字證書級：數字證書和生物測量的結合使用。

22、支持多種身份驗證方式：支持多個生產商的動態密碼卡、數字證書卡、DSA Key 和指紋儀等設備。 身份認證模塊是以插件方式配置的，確保快速的實施和靈活的調整。 系統可以使用客戶現存應用系統的已有用戶數據庫或 LDAP 用戶目錄進行身份驗證；通過配置即可實現通過LDAP 或JDBC 進行用戶身份驗證。4.2、用戶身份密碼驗證LDAP 作為存儲用戶信息的目錄服務，可提供基本的用戶身份密碼驗證。 為了加強用戶口令信息的安全，將口令信息采用國際標準的MD5 摘要加密 算法進行摘要加密，使摘要信息可明文存儲且不可逆。門戶或使用該用戶目錄的應用系統在驗證口令時，首先將用戶輸入的口令進行 MD5 處理，再與存

23、儲的MD5 加密摘要信息進行匹配比較，如下圖所示。 用戶身份密碼驗證的流程如下： （1）用戶在門戶首頁中輸入用戶名/ 口令，進行登錄。 （2） 門戶調用用戶身份驗證Web Service，通過對加密后的密碼摘要匹配，進行用戶身份驗證。 （3） 如果驗證用戶非法，提示錯誤信息并返回（1）。（4） 用戶身份驗證Web Service 返回該用戶的ID，該ID 將作為通過門戶訪問應用系統的會話標識。4.3、與CA認證接口 門戶通過CA 認證網關支持用戶數字證書的驗證，如下圖所示； 系統提供BJCA、協卡SheCA、中國金融認證中心CFCA、吉大正元CA 等主流CA 系統接口的支持。4.4、用戶登錄控

24、制 用戶登錄控制包括： 系統無操作時間限制：超過 10 分鐘，系統將自動退出，所有進一步操 作必須重新登錄。 IP限制：登錄IP 限制（特別是管理員用戶）；相同用戶同時登錄IP 數限制； 密碼錯誤次數限制：密碼連續輸入錯誤次數超過比如3 次或累計次數超過比如6 次，強制退出，不允許登錄，直至系統管理員為直重置密碼； 強制口令修改： 第一次登錄時強制口令修改； 用戶口令被重置后登錄時強制口令修改； 口令期限：超期口令強制口令修改。五、分布式用戶目錄管理5.1、分布式目錄服務體系分布式目錄服務體系如下圖所示?？膳渲眉心夸洠瑢⑺袉T工信息保存到一臺中央目錄服務器上。中央目錄信息可以向所有用戶和所有

25、應用提供，為所有用戶和組信息提供單個身份認證中心。集中目錄服務可提供更多的控制，可以降低開銷，并可以易于管理，具有較大的優勢。 可創建多機構目錄，確保用戶只能訪問到其所屬機構的信息，如針對某個下屬單位，可創建該下屬單位的目錄服務；再如，針對大學，可專門創建可允許學生訪問的目錄服務。中央目錄服務器與某類用戶/下屬單位/部門/分支機構/遠程辦公室子目錄服務器之間可進行選擇性復制，可節約磁盤空間和復制周期。5.2、目錄復制復制技術是內置在LDAP 目錄服務器中的而且很容易配置。 LDAP 服務器可以使用基于“推”或者“拉”的技術，用簡單或基于安全證書的安全驗證，復制一部分或者所有的數據。 例如：可以

26、把數據“推”到遠程的上海的辦公室，可以建立從中央LDAP 服務器:1389 到sh-:389 的有選擇的數據復制，不復制需要隱藏的信息，像下面這樣： periodic pull: ou=northchina,ou=customers,o= periodic pull: ou=hk,ou=customers,o= immediate push: ou=eastchina,ou=customers,o= “拉”連接每15 分鐘同步一次，在上面假定的情況下足夠了。為了保持數據始終是最新的，主目錄服務器被設置成即時“推”同步?！巴啤边B接保證任何華東的聯系信息發生了變化就立即被“推”到上海。 用上面的復

27、制模式，用戶為了訪問數據只需簡單地連接到本地服務器。如果改變了數據，本地的 LDAP 服務器就會把這些變化傳到主 LDAP 服務器，以保持數據的同步。這對本地的用戶有很大的好處，因為所有的查詢（大多數是讀）都在本地的服務器上進行，速度非?？臁?當需要改變信息的時候，最終用戶不需要重新配置客戶端的軟件，因為LDAP目錄服務器為他們完成了所有的數據交換工作。我們推薦中央主 LDAP目錄服務器與子LDAP 目錄服務器選用同一目錄服務產品。不同目錄服務器之間的數據移植和同步：對于中央主 LDAP目錄服務器與子LDAP目錄服務器選用不同廠商的產品時，首先可考慮將原有的 LDAP目錄服務器的數據移植到新的

28、LDAP 目錄服務器中；此外，目前，有些不同廠商的 LDAP目錄服務器之間也可以實現目錄同步和復制。比如，若您正在使用Windows 2000，可在Domino LDAP 目錄與MS 活動目錄AD 之間同步管理用戶和分組；如在活動目錄中執行此操作，ADSync 允 許您注冊、同步屬性和口令、重命名和刪除Domino LDAP 目錄中的用戶和分組。六、統一用戶信息的方式分類門戶基礎平臺建立一個中央統一用戶目錄管理系統，并支持所有應用的合法性訪問。 有兩種方法可以完成所有應用的統一用戶目錄管理。 第一種：完全重新定制應用，改變應用自身的用戶體系為中央統一用戶 管理系統。 第二種：用戶信息同步：在應

29、用的用戶管理系統與中央統一用戶管理系 統之間，建立用戶用戶組同步復制關系。即在統一用戶管理系統中發生任何變更，則及時反映到應用用戶管理系統。（同步更新用戶數據） 第一種方法可以獲得最大的靈活性，但是由于要對應用系統的用戶認證進行變更，工作量較大。并且僅適用于應用系統提供用戶管理系統接口的前提下。 第二種方法優點在于開發較為便捷，但在后期的實際運行過程中，由于用戶信息的頻繁更新，有可能造成系統實際運行過程中的效率低下。 在應用系統提供用戶管理接口的前提下，建議采用第一種方法：基于LDAP目錄實現統一用戶目錄管理。七、用戶信息同步隨著信息技術和網絡技術在組織機構中的廣泛應用，很多機構單位已經擁有了

30、各種各樣的應用系統，如OA 辦公自動化系統、HR 人力資源管理系統、財務系統、CRM 客戶關系管理系統、企業ERP 系統、政府網上審批系統、學校一卡通系統、以及各種業務應用系統。 而通常情況下，各個應用系統都存在自己獨立的用戶信息數據庫和授權管理機制，故而如何實現中央用戶目錄數據、門戶用戶數據與各應用系統用戶數據之間的同步是信息化建設面臨的重要挑戰之一。 基于用戶信息同步技術，只需在單點進行增加新用戶、修改用戶信息、或者刪除老用戶，其他相關應用系統的用戶信息和基于用戶角色等的用戶授權信息都能同步發生變化，并且能夠立即生效，從而簡化了用戶管理工作，避免了安全隱患的發生。 中央用戶目錄、門戶與各應

31、用系統之間的用戶信息交換體系架構如下圖所 示。用戶信息總線是基于 EAI 技術的數據總線技術，支持用戶信息數據的發布/訂閱、請求/應答模式；發布/訂閱通信模式完全是一種“推”（Push ）的技術；而請求/應答通信模式是對傳統Client/Server 通信模式的支持，即支持“拉”（Pull ） 技術；可以根據具體應用的信息處理流程來選擇合適的通信模式。 用戶信息總線提供靈活可擴展的適配器框架結構，支持應用系統的動態加入或卸載，只需編寫或定制該應用系統相應的適配器即可，即插即用。 應用系統適配器用來完成用戶信息的基于XML 標準的封裝和解析、發送和接收；同時，實現中央 LDAP 用戶目錄與應用系

32、統之間用戶組、角色、級別等同一語義不同數據格式的轉換。這樣，對于基于用戶角色、用戶組、級別等對用戶進行授權控制的應用系統而言，在實現用戶信息同步的同時，實現了授權信息 的傳遞。 此外，對于門戶和平臺的應用功能如CMS 內容管理等，無單獨的用戶信息存儲，而直接使用LDAP 用戶目錄數據，無需參與用戶信息交換。八、用戶生命周期管理8.1、新建用戶如果有新員工加入，系統提供通過 LDAP目錄管理工具登記注冊新用戶；同時，通過用戶信息同步和授權信息傳遞，系統自動在與其相關的每個應用系統中增加一套用戶賬號，并且能夠立即生效，從而簡化了用戶管理工作，避免了安全隱患的發生。 通過 LDAP目錄管理工具登記用戶基本信息，設置用戶口令，并為該用戶分配一個注冊名。該注冊名是訪問應用系統的用戶名，只能包含大小寫英文字母和數字，并且是唯一的。建議采用用戶中文名的漢語拼音作為用戶的注冊名。 在 LDAP目錄中新建完該用戶后，該用戶同時也是門戶系統用戶，門戶用戶的用戶名應該與LDAP 目錄中該用戶的注冊名保持