摘 要

21世紀初，人類社會繼工業文明之后進入新經濟時代。在這個時代里，如何降低用戶管理及其對應用系統訪問的復雜性和成本，防止擅自使用企業信息，如何提高靈動性，以便系統能響應不斷變化的業務需求已經成為限制企業發展的重要因素。

國家電網公司在十一五期間啟動了“SG186”工程。本文以此工程為背景，通過對現有電力企業內系統的調查，提出一套以身份目錄、企業資源目錄和認證目錄為核心的目錄服務來集中統一的存儲、管理和展現用戶身份信息。并在此基礎上使用身份管理產品對現有和即將投入運營的系統進行整合，以此實現整個電力企業系統中高效且無需手工維護的用戶生命周期管理。同時為了保證系統穩定高效的運行，在本文中還對影響整個系統效率的關鍵要點進行了性能測試和分析并獲得預期結果。

關鍵詞：目錄服務；身份管理；用戶生命周期

1 引言

1.1 設計的目的和意義

我們知道每一個公司都需要保護其IT基礎設施，從而防止信息失竊，遵守法規并確保客戶、合作伙伴和員工信息的秘密。這就需要以經濟的方法確保和保護公司資產的安全，同時還不能錯失新的業務機會或降低工作效率。但事實并不總如人意，讓我們考慮以下幾種情況。

情景一：在當今的大多數企業中，每個公司幾乎都在眾多的IT系統中擁有多個身份信息存儲庫，例如：人力資源系統、電子郵件系統和財務系統。如果需要更改系統中某個人員相關的信息，IT工作人員只能以人工的方式更新每個系統中的信息，這是一項既昂貴又耗時的工作，而且還容易出現錯誤，使系統容易遭受攻擊。例如：當一個員工到企業報道之后，卻因為需要手工更新應用系統賬號的原因而遲遲不能獲得與其工作相關的應用系統賬號，導致該員工無法進行正常的工作，這將會大大降低員工工作的積極性，同時對于企業來說這也是一種資源的浪費。因此，需要一種集中化的方式來管理用戶和訪問，以確保安全和實時性。

情景二：據美國聯邦密情局和計算機應急相應組（CERT）的聯合報告顯示，在所有針對公司網絡的非法訪問中，有一半以上都是帶有不滿情緒的離職員工所為。為用戶配置資源訪問權限這一過程非常乏味且耗時，對于大多數公司而言，該人工流程會顯著降低工作效率。此外，當員工離職后，取消他們的訪問權限的手工流程成為最大的安全隱患。因此，需要一種流程化的自動賬號配置，在企業中強制實施一致的安全策略。

情景三：如果一個企業中，員工必須記住大量的密碼才能訪問日常應用程序和服務，這種情況可能會危及數據安全并降低工作效率。同樣，如果依靠IT部門人工重置每個忘記的密碼，一個公司將無法高效運作。因此，需要讓員工負責管理自身的密碼并通過單點登陸取代多個密碼的使用。

針對以上情況，我們需要一套完整而合理的方案來解決企業信息化發展中所遇到的問題，而目錄服務和身份管理系統正是為了解決這些問題而誕生的。通過對目錄服務和身份管理系統的應用設計，我們將會得到一套完整的解決方案以降低企業中管理用戶及其對系統訪問的復雜性和成本、防止擅自使用企業信息和使系統適應不斷變化的業務需求。

1.2 技術背景

1.2.1 技術簡介

目錄服務是統一身份管理系統所依賴的主要支撐技術，提供跨平臺身份信息存儲管理和認證支持功能。具體的說，目錄服務是指以一定的格式記錄了大量企業資源信息，并將各種資源信息集中管理起來，以對象的方式予以記錄，明確設定每個對象的“身份”和“位置”。在某種程度上講它就是符合國際標準協議的一種基于對象的數據庫，支持的對象種類較多，在各種平臺都能夠比較好的結合，在大量數據情況下，讀取信息的速度快。對象在目錄的倒置樹型數據結構中分層存儲，便于建立一個與企業組織結構一致的結構和層次。目錄服務提供認證和授權機制，管理員只需設定管理策略和規則，使得特定用戶只能訪問特定的或者授權的應用系統。從功能上來說，目錄服務通過復制技術，保持數據信息的一致性。

身份管理利用集中式數據儲存在應用程序、數據庫和目錄之間同步、轉換和分發信息。當一個系統中的數據發生更改時，同步機制引擎將會根據定義的業務規則檢測這些更改，并將這些更改同步到其它已連接系統中，達到數據共享的目的。身份管理內容主要有用戶身份的生命周期的管理和實現跨地區的信息同步和用戶認證，定制不同安全級別的訪問控制和數據加密等。通過對用戶身份的生命周期的管理，實現了用戶賬號信息的創建、變更、注銷整個周期過程的控制。利用身份同步，可以實現連接系統的數據信息的自動同步，確保數據信息的安全、性能和容錯。根據應用系統的情況，指定權威數據源，通過身份同步機制，形成了全網范圍內最完整、準確的中央身份庫。

1.2.2 目錄服務與數據庫系統的差異

就像Sybase、Oracle、Informix或Microsoft的數據庫管理系統（DBMS）是用于處理查詢和更新關系型數據庫那樣，目錄服務也是用來處理查詢和更新目錄樹的。換句話來說目錄也是一種類型的數據庫，但是不是關系型數據庫。下面從幾個不同的方面來比較目錄服務與數據庫的差異性。

（1）協議的標準性

目錄服務所基于的LDAP 協議是跨平臺的和標準的協議，因此應用程序就不用為目錄服務放在什么樣的服務器上操心了。實際上，目錄服務得到了業界的廣泛認可，因為它是 Internet的標準。產商都很愿意在產品中加入對LDAP的支持，因為他們根本不用考慮另一端（客戶端或服務端）是怎么樣的。目錄服務可以是任何一個開發源代碼或商用的目錄服務，可以用同樣的協議、客戶端連接軟件包或查詢命令與目錄服務進行交互。

與目錄服務不同的是，如果軟件產商想在軟件產品中集成對DBMS的支持，那么通常都要對每一個數據庫服務器單獨定制。

不像很多商用的關系型數據庫，你不必為目錄服務的每一個客戶端連接或許可協議付費。

（2）分布性

目錄服務可以用"推"或"拉"的方法復制部分或全部數據，例如：可以把數據"推"到遠程的辦公室，以增加數據的安全性。復制技術是內置在目錄服務中的而且很容易配置。如果要在DBMS中使用相同的復制功能，數據庫產商就會要你支付額外的費用，而且也很難管理。

（3）高讀寫比

大多數的目錄服務都為讀密集型的操作進行專門的優化。因此，當從目錄服務中讀取數據的時候會比從專門為OLTP優化的關系型數據庫中讀取數據快一個數量級。也是因為專門為讀的性能進行優化，大多數的目錄服務并不適合存儲需要經常改變的數據。

（4）層次化的數據

目錄以樹狀的層次結構來存儲數據。如果對自頂向下的DNS樹或UNIX文件的目錄樹比較熟悉，也就很容易掌握目錄樹這個概念了。就像 DNS的主機名那樣，目錄記錄的標識名（Distinguished Name，簡稱DN）是用來讀取單個記錄，以及回溯到樹的頂部。

（5）靜態數據

目錄中所存放的數據為半規則數據，即元數據，允許有不規則的層次化的數據存在。而數據庫中存放的數據為規則數據，即交易數據。

（6）固定的可擴展的Schema

在目錄中，不僅通過Schema定義目錄中所存儲的信息對象的類型，而且通過Schema定義信息對象之間的關系，從而形成目錄的完整的結構定義。換句話說，目錄中一個對象的結構是從它的上級中繼承下來的。

不像數據庫，一旦表結構定義后想要對其中的Schema進行擴展是件很麻煩得事情，而且數據庫中的Schema擴展只能針對表來進行。然而在目錄服務中，可以很容易的根據需要對單獨的對象的屬性進行擴展。

（7）安全和訪問控制

目錄服務根據需要提供復雜的不同層次的訪問控制或ACL（訪問控制列表）來控制對數據讀和寫的權限。例如，設備管理員可以有權改變員工的工作地點和辦公室號碼，但是不允許改變記錄中其它的域。ACL可以根據誰訪問數據、訪問什么數據、數據存在什么地方以及其它對數據進行訪問控制。因為這些都是由目錄服務器完成的，所以不用擔心在客戶端的應用程序上是否要進行安全檢查。

1.2.3 應用歷史及現狀

隨著信息化產業的發展和實際應用的需求，一個名為X.500的目錄訪問協議誕生了，該協議由ISO組織(International Standards Organization)定義，它提供了一種方法，開發一個組織中的成員電子目錄，使得世界各地具有因特網訪問權限的任何人都可以訪問作為全球目錄一部分的該目錄。但不幸的是，X.500協議相當復雜，這使得要遵循它來開發服務程序和客戶端具有了很大的難度。

隨后，為了彌補X.500協議的不足，美國密歇根州立大學開發了一個名為LDAP(Lightweight Directory Access Protocol，輕量級目錄訪問協議)的協議，它基于X.500標準，但去除了其中一些難以實現且實用意義不大的部分。LDAP協議的最新版本為v3，如今，LDAP協議已經成為目錄訪問的標準，其核心規范在RFC中都有定義。

目錄服務與身份管理應用在國外的應用已有近20年的歷史，其中有很多著名的產品，包括：Netscape Directory Service(后被Redhat收購，現名為Redhat Directory Service)、SunOne(Sun Java System Directory Server)、Novell eDirectory & Identity Manager、IBM Tivoli、OID(Oracle Internet Directory)、AD(Microsoft Active Directory)和著名的開源實現OpenLDAP。在這些應用中，以Novell公司的目錄及身份管理系統性能最為突出，在Gartner公司(全球最具權威的IT研究與顧問咨詢公司)2006年度的報告中顯示，Novell eDirectory & Identity Manager產品在各個方面都占據了這一行業的領導地位。

目錄服務及身份管理系統近兩年才剛剛進入國內市場，以前都沒有其應用的實例，但隨著國內信息化的高速發展、現實需求的到來，一些大型機構，如：國家電網公司、星空聯盟和香港政府等都相距進行了目錄服務和身份管理系統的建設，相信在在這些大型機構的引導下，未來幾年內此技術將在國內市場有一個飛躍式的發展。