以目录服务基础的统一资源管理.doc

统一资源管理 中国移动统一资源管理负责保存、管理集团公司及各省公司所有的人员、组织、工作组、角色、应用系统和域名规则等信息资源，为企业门户系统及各应用系统提供给资源管理、身份认证、资源互联互访、访问鉴权、域名管理和数据整合等服务。在下面的章节中我们会进行详细的阐述。 统一资源管理的必要性 中国移动是目前世界第一大，也是中国第一大电信公司。中国移动正在从提供话音和基本数据业务的单一业务运营者逐步转变为提供话音、数据、Internet及未来多媒体业务的综合业务运营商。中国移动在企业信息化的实践过程中逐渐确立以BOSS、NMS、MIS为核心的IT架构，在企业的运营中起到十分重要的作用。但是各信息系统面向企业的不同管理方向，各有其对应的用户群体、技术架构、权限体系，限制了系统之间的信息共享和信息交换，形成企业的信息孤岛。同时，每一个员工（信息系统的用户）在企业中拥有不同的角色（职能），需要操作不同的系统，难以对其需要和拥有的信息和操作进行综合处理，限制企业信息系统效率的发挥。在这种背景下中国移动准备实施企业门户系统。其中统一资源管理系统是中国移动企业门户系统的一个重要组成部分。 统一资源管理将分散的资源进行统一、集中的管理，应用统一身份管理实现中国移动企业门户用户身份的统一认证，改变原有各业务系统中的分散式身份认证及鉴权管理，实现对用户的集中认证和鉴权管理，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。但关键业务系统需要进行多次认证。为了保证本期工程的实施效果，本期工程中的统一资源管理只对本期工程中的新系统进行集中的资源管理。 中国移动企业门户初期的建设目标是专为内部员工提供服务的企业员工门户。但在一期建设中，应该考虑将此企业员工门户在未来扩展为面向合作伙伴的商务门户和面向中国移动最终用户的用户门户；一期建设中应考虑系统的服务范围扩展，如合作伙伴、最终用户的统一资源管理的扩展等。 统一资源管理体系结构 目录服务技术背景 LDAP（Lightweight Directory Access Protocol）轻量目录存取协议是一个快速增长的对通用目录信息进行存取访问的技术。LDAP已经被大多数面向网络的中间层所应用和实现。作为一个开放，独立于任何厂商的标准，LDAP为目前分布式系统和服务中所要求的中央化信息存贮和管理提供了一个可扩展的结构。LDAP已经成为目录信息的标准方式，这非常象DNS一样用于在大多数Internet/Intranet系统中对IP地址的查询，LDAP现在为大多数的网络操作系统，组件系统和应用所支持。 LDAP是以树状的层次结构来存储数据。LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据，允许根据需要使用AC控制对数据读和写的权限LDAP是在TCP/IP之上运行的轻型目录访问协议，它定义以下内容： (1)目录信息基于条目。条目是一个属性集合，每个属性具有唯一的辨识名(DN)。DN用来无二义性的引用条目。每个条目的属性都有类型和值。类型常为助记字符串，值的语法依赖于属性类型。 (2)目录条目按层次树型结构排列，这种结构正好反应了现实中事物的组织结构。按域名来构造目录树的方法越来越流行，因为它允许使用域名系统来定位目录服务。 (3)对目录中的条目可以进行添加、删除、修改等操作，甚至可以对条目名进行修改，但用得最多的是搜索操作。通过在搜索过滤器中指定相应的条件，可以只对某个子树中的条目进行搜索，从而大大缩小了搜索范围。 (4)一些条目加以保护，允许有授权的人访问。一些条目可以使用用户验证机制或访问控制机制来保证目录中信息的安全性。 统一资源管理网络结构 将中国移动集团（包括各省公司和集团公司总部）的人员、组织、工作组、角色、应用系统等信息统一存放在集团公司总部的目录服务器中。而各省的人员、组织、工作组、角色、应用系统等信息统一存放在本省的目录服务器中。省公司员工的资料维护，如开户、销户、基本维护等工作由各省完成，省公司目录服务器的维护由各省完成，集团公司员工的资料维护工作由集团公司进行，集团公司目录服务器的维护工作由集团公司完成，省公司目录服务器的信息资料需与集团公司目录服务器中该省的信息资料进行数据复制并同步。全国统一资源管理目录服务结构如下图所示。 中国移动集团公司的统一资源管理分为两级，一级是集团公司总部资源管理，一级是各省公司资源管理，它们通过集团的Intranet进行物理连接，由上图可以看出其结构，对于集团公司总部和各省公司的资源管理分别采用主从结构，集团公司总部资源管理采用主目录服务＋从目录服务地结构，各省公司资源管理同样采用主目录服务＋从目录服务的结构，主目录服务将资源信息复制到从目录服务中. 统一资源管理体系结构 中国移动集团公司总部资源