目录服务和身份管理系统在电力企业中的设计与应用的论文.docVIP

　　目录服务和身份管理系统在电力企业中的设计与应用的论文 摘要 21世纪初，人类社会继工业文明之后进入新经济时代。在这个时代里，如何降低用户管理及其对应用系统访问的复杂性和成本，防止擅自使用企业信息，如何提高灵动性，以便系统能响应不断变化的业务需求已经成为限制企业发展的重要因素。 国家电网公司在十一五期间启动了“sg186”工程。本文以此工程为背景，通过对现有电力企业内系统的调查，提出一套以身份目录、企业资源目录和认证目录为核心的目录服务来集中统一的存储、管理和展现用户身份信息。并在此基础上使用身份管理产品对现有和即将投入运营的系统进行整合，以此实现整个电力企业系统中高效且无需手工维护的用户生命周期管理。同时为了保证系统稳定高效的运行，在本文中还对影响整个系统效率的关键要点进行了性能测试和分析并获得预期结果。 关键词：目录服务；身份管理；用户生命周期 1引言 1.1设计的目的和意义 我们知道每一个公司都需要保护其it基础设施，从而防止信息失窃，遵守法规并确保客户、合作伙伴和员工信息的秘密。这就需要以经济的方法确保和保护公司资产的安全，同时还不能错失新的业务机会或降低工作效率。但事实并不总如人意，让我们考虑以下几种情况。 情景一：在当今的大多数企业中，每个公司几乎都在众多的it系统中拥有多个身份信息存储库，例如：人力资源系统、电子邮件系统和财务系统。如果需要更改系统中某个人员相关的信息，it工作人员只能以人工的方式更新每个系统中的信息，这是一项既昂贵又耗时的工作，而且还容易出现错误，使系统容易遭受攻击。.例如：当一个员工到企业报道之后，却因为需要手工更新应用系统账号的原因而迟迟不能获得与其工作相关的应用系统账号，导致该员工无法进行正常的工作，这将会大大降低员工工作的积极性，同时对于企业来说这也是一种资源的浪费。因此，需要一种集中化的方式来管理用户和访问，以确保安全和实时性。 情景二：据美国联邦密情局和计算机应急相应组（cert）的联合报告显示，在所有针对公司网络的非法访问中，有一半以上都是带有不满情绪的离职员工所为。为用户配置资源访问权限这一过程非常乏味且耗时，对于大多数公司而言，该人工流程会显著降低工作效率。此外，当员工离职后，取消他们的访问权限的手工流程成为最大的安全隐患。因此，需要一种流程化的自动账号配置，在企业中强制实施一致的安全策略。 情景三：如果一个企业中，员工必须记住大量的密码才能访问日常应用程序和服务，这种情况可能会危及数据安全并降低工作效率。同样，如果依靠it部门人工重置每个忘记的密码，一个公司将无法高效运作。因此，需要让员工负责管理自身的密码并通过单点登陆取代多个密码的使用。 针对以上情况，我们需要一套完整而合理的方案来解决企业信息化发展中所遇到的问题，而目录服务和身份管理系统正是为了解决这些问题而诞生的。通过对目录服务和身份管理系统的应用设计，我们将会得到一套完整的解决方案以降低企业中管理用户及其对系统访问的复杂性和成本、防止擅自使用企业信息和使系统适应不断变化的业务需求。 1.2技术背景 1.2.1技术简介 目录服务是统一身份管理系统所依赖的主要支撑技术，提供跨平台身份信息存储管理和认证支持功能。具体的说，目录服务是指以一定的格式记录了大量企业资源信息，并将各种资源信息集中管理起来，以对象的方式予以记录，明确设定每个对象的“身份”和“位置”。在某种程度上讲它就是符合国际标准协议的一种基于对象的数据库，支持的对象种类较多，在各种平台都能够比较好的结合，在大量数据情况下，读取信息的速度快。对象在目录的倒置树型数据结构中分层存储，便于建立一个与企业组织结构一致的结构和层次。目录服务提供认证和授权机制，管理员只需设定管理策略和规则，使得特定用户只能访问特定的或者授权的应用系统。从功能上来说，目录服务通过复制技术，保持数据信息的一致性。 身份管理利用集中式数据储存在应用程序、数据库和目录之间同步、转换和分发信息。当一个系统中的数据发生更改时，同步机制引擎将会根据定义的业务规则检测这些更改，并将这些更改同步到其它已连接系统中，达到数据共享的目的。身份管理内容主要有用户身份的生命周期的管理和实现跨地区的信息同步和用户认证，定制不同安全级别的访问控制和数据加密等。通过对用户身份的生命周期的管理，实现了用户账号信息的创建、变更、注销整个周期过程的控制。利用身份同步，可以实现连接系统的数据信息的自动同步，确保数据信息的安全、性能和容错。根据应用系统的情况，指定权威数据源，通过身份同步机制，形成了全网范围内最完整、准确的中央身份库。 1.2.2目录服务与数据库系统的差异 就像sybase、oracle、informix或microsoft的数据库管理系统（dbms）是用于处理查询和更新关系型数