《时代亿信统一用户管理平台在某集团公司的应用》由会员分享,可在线阅读,更多相关《时代亿信统一用户管理平台在某集团公司的应用(11页珍藏版)》请在金锄头文库上搜索。
1、时代亿信统一用户管理平台在某集团公司的应用 (统一管理,身份认证,单点登录,用户管理,企业整合) 1 概述 系统现状 某集团公司拥有多个下属公司,均进行了卓有成效的信息化建设,但由于开展时间较早, 也没有统一规划,目前处于应用各自独立建设、独立维护的状态。 需求分析 为了发挥信息应用系统在服务决策、促进沟通、交流经验、推动工作等方面的作用,加强 高效工作的信息化支撑力度,提高总部、下属单位的工作效率,需要改变现有各应用系统 用户管理分散、认证分散的现状,构建企业用户的统一管理,打造企业综合信息平台。 建设目标 “某集团公司”统一用户管理平台由统一用户管理服务、统一认证服务、单点登录服务组 成,
2、形成对总部和集团公司应用系统的安全支撑,促进信息系统的应用和发展。 “某集团公司”统一用户管理平台具体建设目标如下: (1)建设企业统一目录 编制企业目录规范,并按照规范建立统一目录系统,按照规范要求存储用户信息各项属性 和组织机构信息各项属性,并提供数据同步接口。 (2)建设统一用户管理平台 建立统一用户管理系统,统一管理全公司用户信息和组织机构信息,并负责向各应用系统 提供标准可用的数据,同时完成各应用的用户帐号统一管理、用户授权集中管理与安全策 略集中设置。 (3)建设统一认证平台 建立统一认证平台,实现对应用系统的集中认证和单点登录。 统一认证平台根据统一用户管理系统提供的授权信息进行
3、用户应用系统访问控制。 2 解决方案总体设计 部署方式设计图 1 部署方式设计图“某集团公司”统一用户管理平台依据“分级部署、分级管理”的原则,采用分布式部署, 中心节点建设在总部,分中心建设在各集团公司。 部署方式示意图如下:中心节点承担总部统一用户管理平台数据负载,负责对总部应用系统及全国应用系统进行 用户管理、认证和单点登录。 分中心承担集团公司统一用户管理平台数据负载,各分中心独立运行互不干扰,负责对集 团公司应用系统进行用户管理、认证和单点登录。 中心节点和分中心分别从同级的 HR 系统同步用户信息,由 HR 系统负责发起用户管理操 作,由统一用户管理平台进行用户信息分发。同时,两级
4、统一用户管理平台也实现了用户 同步,可在总部形成全集团用户信息视图。 中心节点和分中心分别建立企业目录,负责存储本公司的用户信息、组织机构信息、角色 信息等数据。 统一用户管理平台采用分级部署方式,为应用系统提供本地化的用户管理、认证和单点登 录服务,确保了内部网络畅通,实现办公现代化、信息电子化、传输网络化和管理科学化 提供高保障、高质量的安全基础平台。 部署内容设计 总部部署:总部部署两台统一用户管理平台服务器,构成总部的统一用户管理平台,负责 对总部或全集团应用系统提供用户管理、认证和单点登录服务。 集团公司部署:集团部署两台统一用户管理平台服务器,构成集团的统一用户管理平台, 负责对集
5、团应用系统提供用户管理、认证和单点登录服务。 系统接口设计 统一用户管理平台作为用户信息的集中管理与整合的信息设施,涉及与各个业务系统的交 互,系统必须具有良好、完善的接口,以满足应用系统在多种应用场景下的使用需求。 认证与单点登录接口规范 统一用户管理平台产品提供应用系统认证与单点登录接口规范,方便应用系统进行认证和 单点登录接入。根据应用系统的实际情况,可选择 HTTP 协议或 TCP 协议。 HTTP 协议接口规范:提供 HTTP 协议接口包及开发规范,进行应用系统的单点登录接入。TCP 协议接口规范:提供 TCP 协议接口包及开发规范,进行应用系统的单点登录接入。 组织机构用户数据同步
6、接口 统一用户管理平台组织机构、用户数据同步接口分为两类:从数据源接收数据同步和向应 用系统同步数据。 从数据源接收数据同步接口 在企业内部已拥有组织机构、用户数据权威数据源的情况下,统一用户管理平台提供数据 接收同步服务。在权威数据源的组织机构、用户数据发生变更时,可自动同步到统一用户 管理平台。 1)组织机构操作接口:可接收组织机构信息的增加、删除、修改、启用、停用、重命名、 修改父级等变更信息; 2)用户操作接口:可接收用户信息的增加、删除、修改、启用、停用、重命名、修改父级、 变更用户组、变更角色等变更信息;3)用户组操作接口:可接收用户组信息的增加、删除、修改等变更信息; 4)角色操
7、作接口:可接收角色信息的增加、删除、修改等变更信息; 5)密码操作接口:可接收管理员重置密码、用户自助修改密码、用户自助重置密码的变更 信息。 向应用系统同步数据接口 在统一用户管理平台内进行企业内部组织机构、用户数据的统一管理,或者接收到权威数 据源的同步数据,产生增量变化数据后,统一用户管理平台提供数据同步分发服务,根据 应用系统的数据需求,进行相应数据的分发与同步。 1)同步接口:可同步组织机构、用户、用户组、角色、密码等信息的增加、删除、修改、 启用、停用、重命名、修改父级等变更信息。 公共服务接口 统一用户管理平台作为企业内部的 IT 基础设施,集中存储企业的组织机构和用户数据。统
8、一用户管理平台提供公共服务,方便有需要的应用系统进行组织机构和用户数据的查询。 组织机构查询接口 为应用系统提供组织机构查询条件,可根据任意属性、父级属性查询,查询组织机构的详 细信息,查询结果支持分页显示。 用户查询接口 为应用系统提供用户信息查询条件,可根据任意属性、父级属性查询,查询用户的详细信 息,查询结果支持分页显示。 用户组查询接口 为应用系统提供用户组信息查询条件,可根据用户组名称、编码查询,查询用户组的详细 信息,查询结果支持分页显示。 角色查询接口 为应用系统提供角色信息查询条件,可根据角色名称、编码查询,查询角色的详细信息, 查询结果支持分页显示。 3 统一用户管理平台设计
9、 根据部署方式设计图所示,统一用户管理平台分级部署在总部和集团公司,分别为总部应 用系统和集团公司应用系统提供身份认证、单点登录、用户管理服务。 总部统一用户管理平台除了承担本公司应用的用户认证功能外,还为集中部署的应用系统 提供下属集团公司用户认证功能,即支持总部集中部署,总部、集团公司分级使用的全国 应用系统用户认证。总部统一用户管理平台所制定的安全策略针对全部应用系统生效。 集团公司统一用户管理平台承担本公司应用的用户认证功能,应用可以是统一建设部署的, 也可以是本集团自行建设的应用系统。集团公司统一用户管理平台继承总部统一用户管理 平台安全策略,并可针对本集团特定应用或本地应用制定单独
10、的安全策略。 设计依据 统一用户管理平台采用分级部署、分级管理的设计方式,其主要优点有: (1)适应不同部署形式的应用系统,更好地贴近应用系统实际安全需要; (2)集团公司有自建应用系统,也需要统一用户管理,本地的统一用户管理平台提供了实 现手段; (3)分级部署提供了本地认证能力,减少了对网络的依赖,提高了系统可靠性; (4)分级部署为本地提供了应用管理能力,可为本地建设的单独应用系统提供单点登录; (5)总部统一用户管理平台可灵活使用,既为总部服务又可为全国应用服务,还具有认证 托管能力,可为人数较少的集团公司直接提供认证服务。 统一用户管理功能用户管理 用户管理是指各级用户管理员通过统一
11、用户管理平台提供的页面,在其管理范围内完成对 用户的新增、查询、修改、删除和应用分配等操作。 用户类别可分为:内部用户、外部用户、临时用户等多种类型。 临时用户在申请统一用户管理平台帐号需要进行层级审批。 用户主帐号管理:新增一个用户,主要填写包括用户姓名、身份证号、选择所在公司和部 门等信息,创建用户信息的同时为用户分配员工编码,才能生效。 员工编号必须在全公司范围内唯一。 用户主帐号修改功能中的口令修改能够自动同步到各子帐号中,使用户口令保持一致。 用户主帐号中的信息修改,如果信息在子帐号中也存在,需要自动的更新到子帐号中,使 得用户信息保持一致。 用户删除时,用户的权限等信息也将随之删除
12、。 用户从帐号管理:用户管理员通过统一用户管理平台页面可以对用户从帐号进行创建、修 改、删除等操作,创建的从帐号通过管理接口同步到各个应用系统中。 从帐号与主帐号自动进行关联,通过主帐号视图可以看到和子帐号的关联关系。 如果修改的信息是用户主帐号包括的基本信息,应当修改主帐号信息,由主帐号自动同步 到从帐号,是信息保持一致。 用户管理员通过统一用户管理平台页面可以对用户从帐号进行删除,删除操作通过接口同 步到各个应用系统。 用户帐号的修改:用户管理员通过统一用户管理平台 WEB UI 界面可以对用户信息进行修 改,用户帐号修改功能中的口令修改应当能够自动同步到各子帐号中,使其用户口令保持 一致
13、。 用户帐号中的信息修改,如果信息在子帐号中也存在,需要自动的更新到子帐号中,使得 用户信息保持一致。 用户帐号的删除:用户管理员通过统一用户管理平台 WEB UI 界面可以删除用户。 用户帐号的删除应当在生命周期管理中通过离职等流程完成,尽量避免直接删除用户。 用户删除时,此时用户的权限等信息也将随之删除。 用户帐号的启用:用户管理员通过统一用户管理平台 WEB UI 界面可以对用户进行启用, 启用后用户的主帐号状态变成“正常” ,但用户所关联的子帐号,需要管理员手工的进行启 用管理。 用户帐号的禁用:用户管理员通过统一用户管理平台 WEB UI 界面可以禁用用户帐号,禁 用后,用户帐号所关
14、联的子帐号应自动禁用。 用户帐号的转移:用户管理员通过统一用户管理平台 WEB UI 界面可以对用户帐号进行转 移,该转移是转移用户所在组织节点,转移后用户属性中组织信息需要自动的进行变更, 与转移后的组织信息保持一致。 组织机构管理 统一用户管理平台提供组织机构管理页面,在页面中提供添加,查询,注销,删除等功能。组织机构管理图形化,已经添加在统一用户管理平台中的组织机构,系统将现有的组织机 构已树状形式显示。此管理页面能够被维护并实时更新。 组织结构信息能够导出成图片、Excel 数据,能够形成 XML 格式数据提供接口被其他系统 实时引用。 组织机构的创建:新增一个组组机构,主要填写包括组
15、织机构的名称、编码、类型(部门 或公司)等信息,并指定其上级组织机构。组织机构的编码必须在全局范围内唯一,其编码规则在企业目录规范中统一规定。 组织机构的查询:统一用户管理平台既提供查询组织机构的 WEB UI 界面,也提供基于 Web Service 规范的组织机构查询接口。后者主要便于应用系统在其应用中嵌入企业组织目 录树。 支持通过组织机构名称、编码、类型等属性进行组织机构的精确查询、模糊查询、组合查 询。 组织机构的修改:用户管理员通过统一用户管理平台 WEB UI 界面可以对组织机构的名称、 编码、类型进行修改。 支持对组织机构的合并和转移。 在修改组织机构后,用户信息中组织的信息将
16、自动变更。 组织机构的删除:用户管理员通过统一用户管理平台 WEB UI 界面可以删除组织机构。 在删除组织机构时,必须先对该组织机构下的所有用户进行调离或删除处理,否则不能删 除组织机构。 在删除组织机构时,必须先对该组织机构的下级组织机构进行转移或删除处理,否则不能 删除组织机构。 从数据安全性考虑,严禁通过递归方式直接删除组织机构。组织机构的合并:用户管理员通过统一用户管理平台 WEB UI 界面可以对组织机构进行合 并,合并支持两种方式: 1) A,B 合并到 A 或 B; 2) A,B 合并到 C; 合并时,系统需要提示组织下的组织和人员将会合并到新的组织下。 组织机构的删除:用户管理员通过统一用户管理平台 WEB UI 界面可以对组织机构进行删 除,系统需要检查当前组织下是否还包含子组织和人员,如果存在,提示管理员不能删除 该组织,需要先转移该组织下的子组织和人员。 群组管理 群组管理是指各级用户管理员通过统一用户管理平台提供的页面,在其管理范围内完成对 群组的新增、修改、删除、群组人员分配和群组人员转移等操作。 群组的编码在全公司范围内唯一。群组用于将拥有同类权限的用户进
