水利水电建设集团股份有限公司用户组织管理设计实施说明.doc

统一用户管理方案

PAGE

PAGE10/NUMPAGES10

作者：

日期：

审批：

日期：

主要变更记录

文档首次形成日期

撰写人

变更日期

版本说明

主要变更内容

变更负责单位

变更人

审批人

目录

TOC\o1-3\h\z\u水利水电建设集团统一用户管理设计方案 1

1. 统一用户管理前提 3

2. 统一用户管理整体架构 4

2.1 组织、用户信息同步 6

2.1.1 组织、用户信息更新 6

2.1.2 TDI同步用户信息 6

2.1.3 LDAP同步信息 7

2.1.4 TIM同步用户信息 7

2.1.5 业务系统获取异动组织、用户信息 8

2.2 应用系统获取用户和组织同步信息 8

统一用户管理前提

统一用户管理有以下两个前提：

各个系统需要统一用户唯一标识。

建立全公司统一的用户命名规范，即员工的唯一标识，此标识与各应用系统内相应用户的唯一标识需要一致。

各个系统需要统一组织的唯一标识。

建立全公司统一的组织编码规范，即部门编码，此标识与各应用系统内相应的组织标识一致。

统一用户管理整体架构

股份公司的人员和组织信息的管理都统一在人力资源系统（已建设系统）上进行管理，所以把人力资源系统(HR)作为统一用户管理的入口。

各个系统都有自己的组织用户数据库，存储过于分散，不便于统一进行维护，所以建立LDAP,作为统一的用户管理的存储库，存储用户和组织机构信息。这样也符合股份公司的长远规划。

已建设的系统中存在一个用户在一个业务系统中有多个账号、组织机构信息在系统中存储多份等情况（用户控制权限等），所以各个应用系统只能采用定时读取组织机构和人员变化数据的方式，将用户和组织机构信息同步至各个应用系统。

针对采用标准存储方式的产品，采用主动推送的方式，将用户信息同步到相应的产品中。

综上所述，统一用户管理采用如下架构进行实现：

整体架构的描述：

股份公司的HR作为统一用户管理的入口，HR管理员操作HR数据的变更；

相应的人员及组织变化数据同步至门户目录库LDAP中；

TDI监控到LDAP中数据改变，把人员信息变化同步到TIM中。

TIM通过建立的适配器及服务，实现对各个系统人员信息的同步，如：AD目录服务器，TAM服务器等；

通过用户所属系统分配的应用，对用户所属的应用系统进行分配，并将信息存储到LDPA中。

TDI监控LDAP数据变化，将变化的组织和人员数据同步到数据库中。

各个应用系统定时通过读取数据库开放视图获取人员和组织机构变化数据，并同步到应用系统中；各应用系统通过读取统一用户存储库LDAP获取人员和组织机构必威体育精装版数据；

组织、用户信息同步

当管理员通过应用对人员信息进行处理后，TDI监控到数据变化，开始执行对人员数据的同步及供给操作，主要包括以下几个过程；

组织、用户信息更新

首先，HR系统管理员处理用户、组织变动，将组织、人员数据信息写入HR数据库变化表中；

TDI同步用户信息

TDI通过JDBC连接器与数据库进行通信，在TDI建立与数据库连接后，对数据库表中的组织和人员数据的变化进行实时监控，并通过制定相应策略把数据变化同步到LDAP中；LDAP同时在日志中写入此变化记录；

LDAP同步信息

TDI通过读取LDAP数据变化记录并向TIM中进行用户数据的同步；同时将用户及组织数据变化信息写入组织人员变化数据库中；

账号管理员授权操作

账号管理员通过应用中账号管理对员进行账号的开通与禁止,如图：

系统授权账号开通后，用户可访问相应系统。

TIM同步用户信息

同步到TAM

同步到AD

同步到Domino服务器

TIM通过创建各个service，实现对各个目标系统进行同步的功能；

业务系统获取异动组织、用户信息

通过开发TDI脚本，数据库触发器监控到统一用户数据库数据变化后把信息同步至中间数据库，供其他应用系统读取;

应用系统获取用户和组织同步信息

各个需要做统一用户管理的应用系统每天定时读取存储变化数据库中的数据表信息，完成对应用系统中的用户和组织的维护。

业务系统获取用户组织视图信息

jdbcurl jdbc:db2://hostname:50000/webappdb:returnAlias=0;

jddc驱动方式 com.ibm.db2.jcc.DB2Driver

用户名 viewuser

密码 viewuser

数据库：webappdb

表名：

portal_user

portal_org

portal_user_sys

portal_sys_id

视图：

db2inst1.SinoOrgA