统一用户管理解决方案.pdfVIP

统一用户管理解决方案 统一用户目录管理 统一用户目录管理是为了方便用户访问组织机构内所有的授权资源和服务， 简化用户管理，基于 LDAP 或基于数据库，对组织机构内中所有应用实行统一 的用户信息的存储、认证和管理。 统一用户目录管理要遵循以下两个基本原则： 统一性原则：实现对目前已知用户类型进行统一管理；对包括分支机构 在内的整个组织机构内的所有用户进行用户目录复制和统一管理；对门 户的用户体系和各应用系统各自独立的用户体系进行统一管理；对新进 员工/用户到员工/用户离开进行整个生命周期的管理。 可扩充性原则：能够适应对将来扩充子系统的用户进行管理。 1.1 用户分类模型 1.1.1 基于部门岗位树的角色模型 基于部门岗位树的角色模型是组织机构内最常见的模型，提供了用户目录管 理、目录复制、权限控制的多种属性。角色管理是用户权限管理的重要基础。 基于部门岗位树的角色模型如下所示： 1 统一用户管理解决方案 组织/部门 岗位 岗位 部门 岗位 部门 岗位 部门 岗位 岗位 部门 岗位 岗位 在部门岗位角色树状层次模型中，用户职位称为岗位，或称用户角色，包含 岗位角色的组织机构称为部门，大部门可以包含小部门。其最重要的特点是： 用户隶属于岗位/角色(可以隶属于多个岗位/角色) ； 岗位/角色具有时间范围； 部门包含下属部门及岗位/角色中的所有用户。 部门岗位角色树状层次模型，比如： 如集团、总部/华北/华东/华南等大区、分支机构、部门、科室等； 如国家部委、省级/地市等分支机构、司/局、处、科室等； 再如学校、分校、学院、研究室/班级、教师/职工/家属/学生等。 用户信息以组织/部门/ 岗位角色以树状的层次结构来组织和管理，有以下好 处： 2 统一用户管理解决方案 同实际组织机构体系相一致； 同 LDAP 目录对数据的组织方式保持一致，便于利用LDAP 目录服务的 强大进行用户目录的管理； 有利于将某个地域/分支机构或某个部门/下属单位的用户信息定制推送 到单独的用户目录服务器上，提高相关应用对用户信息的访问效率； 有利于根据目录树的结构给予不同的员工/用户组不同的权限。 1.1.2 级别分层树模型 级别分层树模型如下图所示，是对部门岗位角色树状层次模型的补充。 根 第一级 第二级 第三级 在级别分层树模型中，不同层次的节点具有上下级或涵盖关系。相同层次的 节点相互独立，之间没有上下级或涵盖关系。 其最重要的特点是： 用户只能属于一个级别； 在同一层次节点下可以有多个级别； 可用大于、小于或等于，以上、以下等词汇来指定多个或一个层次的级 别。 级别分层树模型，比如： 市长、副市长、委办局长、副局长、处长/副处长、科长等行政级别； 3 统一用户管理解决方案 部委部长/主任、司局长/厅长、处长/副处长、科长等行政级别； 公司总裁/ 总经理、副总裁/副总经理、部门总监/部门经理/部长、高级经 理、项目经理、