目录服务和身份管理系统在电力企业中的设计与应用

时间：2015-12-21 02:04:44 所属分类：计算机技术 浏览量:

摘要 21世纪初，人类社会继工业文明之后进入新经济时代。在这个时代里，如何降低用户管理及其对应用系统访问的复杂性和成本，防止擅自使用企业信息，如何提高灵动性，以便系统能响应不断变化的业务需求已经成为限制企业发展的重要因素。 国家电网公司在十一

摘要
21世纪初，人类社会继工业文明之后进入新经济时代。在这个时代里，如何降低用户管理及其对应用系统访问的复杂性和成本，防止擅自使用企业信息，如何提高灵动性，以便系统能响应不断变化的业务需求已经成为限制企业发展的重要因素。
国家电网公司在十一五期间启动了“SG186”工程。本文以此工程为背景，通过对现有电力企业内系统的调查，提出一套以身份目录、企业资源目录和认证目录为核心的目录服务来集中统一的存储、管理和展现用户身份信息。并在此基础上使用身份管理产品对现有和即将投入运营的系统进行整合，以此实现整个电力企业系统中高效且无需手工维护的用户生命周期管理。同时为了保证系统稳定高效的运行，在本文中还对影响整个系统效率的关键要点进行了性能测试和分析并获得预期结果。
关键词：目录服务；身份管理；用户生命周期

1引言
1.1设计的目的和意义
我们知道每一个公司都需要保护其IT基础设施，从而防止信息失窃，遵守法规并确保客户、合作伙伴和员工信息的秘密。这就需要以经济的方法确保和保护公司资产的安全，同时还不能错失新的业务机会或降低工作效率。但事实并不总如人意，让我们考虑以下几种情况。
情景一：在当今的大多数企业中，每个公司几乎都在众多的IT系统中拥有多个身份信息存储库，例如：人力资源系统、电子邮件系统和财务系统。如果需要更改系统中某个人员相关的信息，IT工作人员只能以人工的方式更新每个系统中的信息，这是一项既昂贵又耗时的工作，而且还容易出现错误，使系统容易遭受攻击。例如：当一个员工到企业报道之后，却因为需要手工更新应用系统账号的原因而迟迟不能获得与其工作相关的应用系统账号，导致该员工无法进行正常的工作，这将会大大降低员工工作的积极性，同时对于企业来说这也是一种资源的浪费。因此，需要一种集中化的方式来管理用户和访问，以确保安全和实时性。
情景二：据美国联邦密情局和计算机应急相应组（CERT）的联合报告显示，在所有针对公司网络的非法访问中，有一半以上都是带有不满情绪的离职员工所为。为用户配置资源访问权限这一过程非常乏味且耗时，对于大多数公司而言，该人工流程会显著降低工作效率。此外，当员工离职后，取消他们的访问权限的手工流程成为最大的安全隐患。因此，需要一种流程化的自动账号配置，在企业中强制实施一致的安全策略。
情景三：如果一个企业中，员工必须记住大量的密码才能访问日常应用程序和服务，这种情况可能会危及数据安全并降低工作效率。同样，如果依靠IT部门人工重置每个忘记的密码，一个公司将无法高效运作。因此，需要让员工负责管理自身的密码并通过单点登陆取代多个密码的使用。
针对以上情况，我们需要一套完整而合理的方案来解决企业信息化发展中所遇到的问题，而目录服务和身份管理系统正是为了解决这些问题而诞生的。通过对目录服务和身份管理系统的应用设计，我们将会得到一套完整的解决方案以降低企业中管理用户及其对系统访问的复杂性和成本、防止擅自使用企业信息和使系统适应不断变化的业务需求。
1.2技术背景
1.2.1技术简介
目录服务是统一身份管理系统所依赖的主要支撑技术，提供跨平台身份信息存储管理和认证支持功能。具体的说，目录服务是指以一定的格式记录了大量企业资源信息，并将各种资源信息集中管理起来，以对象的方式予以记录，明确设定每个对象的“身份”和“位置”。在某种程度上讲它就是符合国际标准协议的一种基于对象的数据库，支持的对象种类较多，在各种平台都能够比较好的结合，在大量数据情况下，读取信息的速度快。对象在目录的倒置树型数据结构中分层存储，便于建立一个与企业组织结构一致的结构和层次。目录服务提供认证和授权机制，管理员只需设定管理策略和规则，使得特定用户只能访问特定的或者授权的应用系统。从功能上来说，目录服务通过复制技术，保持数据信息的一致性。
身份管理利用集中式数据储存在应用程序、数据库和目录之间同步、转换和分发信息。当一个系统中的数据发生更改时，同步机制引擎将会根据定义的业务规则检测这些更改，并将这些更改同步到其它已连接系统中，达到数据共享的目的。身份管理内容主要有用户身份的生命周期的管理和实现跨地区的信息同步和用户认证，定制不同安全级别的访问控制和数据加密等。通过对用户身份的生命周期的管理，实现了用户账号信息的创建、变更、注销整个周期过程的控制。利用身份同步，可以实现连接系统的数据信息的自动同步，确保数据信息的安全、性能和容错。根据应用系统的情况，指定权威数据源，通过身份同步机制，形成了全网范围内最完整、准确的中央身份库。
1.2.2目录服务与数据库系统的差异
就像Sybase、Oracle、Informix或Microsoft的数据库管理系统（DBMS）是用于处理查询和更新关系型数据库那样，目录服务也是用来处理查询和更新目录树的。换句话来说目录也是一种类型的数据库，但是不是关系型数据库。下面从几个不同的方面来比较目录服务与数据库的差异性。

（1）协议的标准性
目录服务所基于的LDAP协议是跨平台的和标准的协议，因此应用程序就不用为目录服务放在什么样的服务器上操心了。实际上，目录服务得到了业界的广泛认可，因为它是Internet的标准。产商都很愿意在产品中加入对LDAP的支持，因为他们根本不用考虑另一端（客户端或服务端）是怎么样的。目录服务可以是任何一个开发源代码或商用的目录服务，可以用同样的协议、客户端连接软件包或查询命令与目录服务进行交互。
与目录服务不同的是，如果软件产商想在软件产品中集成对DBMS的支持，那么通常都要对每一个数据库服务器单独定制。
不像很多商用的关系型数据库，你不必为目录服务的每一个客户端连接或许可协议付费。
（2）分布性
目录服务可以用"推"或"拉"的方法复制部分或全部数据，例如：可以把数据"推"到远程的办公室，以增加数据的安全性。复制技术是内置在目录服务中的而且很容易配置。如果要在DBMS中使用相同的复制功能，数据库产商就会要你支付额外的费用，而且也很难管理。
（3）高读写比
大多数的目录服务都为读密集型的操作进行专门的优化。因此，当从目录服务中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。也是因为专门为读的性能进行优化，大多数的目录服务并不适合存储需要经常改变的数据。
（4）层次化的数据
目录以树状的层次结构来存储数据。如果对自顶向下的DNS树或UNIX文件的目录树比较熟悉，也就很容易掌握目录树这个概念了。就像DNS的主机名那样，目录记录的标识名（DistinguishedName，简称DN）是用来读取单个记录，以及回溯到树的顶部。
（5）静态数据
目录中所存放的数据为半规则数据，即元数据，允许有不规则的层次化的数据存在。而数据库中存放的数据为规则数据，即交易数据。
（6）固定的可扩展的Schema
在目录中，不仅通过Schema定义目录中所存储的信息对象的类型，而且通过Schema定义信息对象之间的关系，从而形成目录的完整的结构定义。换句话说，目录中一个对象的结构是从它的上级中继承下来的。
不像数据库，一旦表结构定义后想要对其中的Schema进行扩展是件很麻烦得事情，而且数据库中的Schema扩展只能针对表来进行。然而在目录服务中，可以很容易的根据需要对单独的对象的属性进行扩展。
（7）安全和访问控制
目录服务根据需要提供复杂的不同层次的访问控制或ACL（访问控制列表）来控制对数据读和写的权限。例如，设备管理员可以有权改变员工的工作地点和办公室号码，但是不允许改变记录中其它的域。ACL可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由目录服务器完成的，所以不用担心在客户端的应用程序上是否要进行安全检查。
1.2.3应用历史及现状
随着信息化产业的发展和实际应用的需求，一个名为X.500的目录访问协议诞生了，该协议由ISO组织(InternationalStandardsOrganization)定义，它提供了一种方法，开发一个组织中的成员电子目录，使得世界各地具有因特网访问权限的任何人都可以访问作为全球目录一部分的该目录。但不幸的是，X.500协议相当复杂，这使得要遵循它来开发服务程序和客户端具有了很大的难度。
随后，为了弥补X.500协议的不足，美国密歇根州立大学开发了一个名为LDAP(LightweightDirectoryAccessProtocol，轻量级目录访问协议)的协议，它基于X.500标准，但去除了其中一些难以实现且实用意义不大的部分。LDAP协议的最新版本为v3，如今，LDAP协议已经成为目录访问的标准，其核心规范在RFC中都有定义。
目录服务与身份管理应用在国外的应用已有近20年的历史，其中有很多著名的产品，包括：NetscapeDirectoryService(后被Redhat收购，现名为RedhatDirectoryService)、SunOne(SunJavaSystemDirectoryServer)、NovelleDirectory&IdentityManager、IBMTivoli、OID(OracleInternetDirectory)、AD(MicrosoftActiveDirectory)和著名的开源实现OpenLDAP。在这些应用中，以Novell公司的目录及身份管理系统性能最为突出，在Gartner公司(全球最具权威的IT研究与顾问咨询公司)2006年度的报告中显示，NovelleDirectory&IdentityManager产品在各个方面都占据了这一行业的领导地位。
目录服务及身份管理系统近两年才刚刚进入国内市场，以前都没有其应用的实例，但随着国内信息化的高速发展、现实需求的到来，一些大型机构，如：国家电网公司、星空联盟和香港政府等都相距进行了目录服务和身份管理系统的建设，相信在在这些大型机构的引导下，未来几年内此技术将在国内市场有一个飞跃式的发展。

转载请注明来自：http://www.zazhifabiao.com/lunwen/gcjs/jsjjs/37168.html