芮浩 孙立国

（北京电视台）

摘 要 文章介绍了北京电视台全台网络系统中基于LDAP目录服务所实现的统一用户管理系统的规划与设计，分析了将分散于各应用系统的用户数据整合到一致的目录服务平台下的优势，详细说明了目录信息的数据结构、内容，在此基础上给出了实现各应用系统对于用户信息统一管理和维护的技术方案。 关键字 用户管理 目录服务 LDAP 统一认证

1.引言

随着北京电视台信息化建设发展，建设和使用到了许多不同的信息系统，这些系统逐步构建了北京电视台全台网。但由于各信息系统存在不同的用户管理策略和接口，同一个用户在不同的系统中也可能有不同的IT账户，碰到员工跨部门的调动、升迁、组织结构的重组等，以往各系统只能采用手工方式分别维护，不但工作繁琐，而且容易出错、难以保证数据的一致性。并且用户访问各系统时需要分别登录，随着次数的增多，受到非法截获和破坏的可能性也将增大，大大降低了安全性。 统一用户管理系统是北京电视台信息化建设中一个重要的环节，其通过构建一个统一的、标准的用户数据信息，将分散的信息系统中用户信息整合，实现网内用户信息、账户、角色、权限的统一管理，同时，通过与统一的用户认证平台集成，提供给用户一个单一的登陆入口从而安全地访问信息化体系内部全部信息与应用。北京电视台统一用户管理系统主要由目录服务器（集中存储用户信息）、身份策略管理（简单、灵活的Web管理工具）和用户数据同步机制（提供与不同应用系统的集成）组成的，其中，目录服务设计和用户数据同步机制是重点和难点，本文将在该部分重点阐述。

2.统一用户管理系统在全台网中的作用

统一用户管理系统在北京电视台全台网中属于应用平台中的一部分，应用平台是应用系统部署和运行的生产环境，包括各应用服务集群、个人门户集群、企业服务总线集群、统一认证系统、统一用户管理系统、中心数据库和存储设备等组件。应用平台中所有的组件都是双机或集群结构。其中，各应用服务集群用于部署如制作系统、行政办公系统、广告管理系统等各业务系统的应用和服务。个人门户集群实现用户在各业务系统中待办工作和个人事项的界面层集成。企业服务总线集群作为北京电视台SOA架构的基础设施，为各业务系统之间服务交互、消息路由和转换等提供中介和支撑服务。统一认证系统实现全台业务系统的单点入口登录。统一用户管理系统为统一认证系统提供用户账户数据的存储与查询等服务。中心数据库为全台网业务系统提供统一的数据管理服务，由两部分组成：主数据库和备数据库，两者通过数据同步机制保证数据一致性。存储中心挂接共享存储设备。其逻辑结构如图1所示。 由图1可知，统一用户管理系统和统一认证系统共同为前端的各门户和各应用系统提供用户的认证鉴权工作。北京电视台全台网内所有业务系统都需要与统一认证平台进行集成，用户在访问时只有经过统一认证平台验证后，才能登录各个业务系统。统一用户管理系统将用户账户数据作为基础数据提供给统一认证系统来实现业务系统对访问者的认证授权。

3.目录服务设计

在网络上，目录是一种专门被优化用于执行读取、浏览、搜索等操作的数据库，它倾向于包含具有描述性的、基于属性的信息。目录服务是提供对目录信息进行访问、引用、查询、更新等的操作。轻量级目录访问协议（LDAP，Lightweight Directory Access Protocol) 是一个用于访问存储在目录中信息的 Internet协议，是目录服务在网络上具体的实现。^[1] 鉴于基于LDAP目录服务可更有效更灵活地管理用户及资源，北京电视台采用了LDAP目录服务作为统一用户管理的基础，对作用于北京电视台全台网络系统的用户、组织的目录信息结构进行统一规划与设计。目录体系覆盖了北京电视台各应用系统对目录访问的要求，未来还可以根据应用需求继续在此基础上对目录体系进行扩展，但不会改变现有的基本结构。 由于LDAP 目录服务以树状的层次结构组织信息，目录树结构设计的合理性直接影响业务使用效率。考虑到管理的可行性和方便性，同时兼顾将来系统扩展的需求，在命名中层次结构主要采用组织单元的形式。这样今后部门的调整合并等操作时，用户的改动将不牵涉目录信息树的数据结构。 北京电视台统一用户管理LDAP目录树由以下结构组成，具体目录树和其定义如图2所示： l 全台组织结构、用户目录树 l 全台应用系统资源目录树 l 全台栏目目录树 l 待扩展信息目录树 其中，全台用户目录树内置于全台组织结构目录树里，所有用户账户按内部员工账户、外部用户账户和IT管理维护专用账户划分。根据业务发展需要，目录树种类的扩展可在其它目录信息对象节点下定义。 内部员工账户（ou=Employee）又按照内部机构展开为图3所示的节点。为保持目录树相对扁平化，用户直接挂在第一层组织节点下，二级部门和科室再按照组织结构进行树状排序。例如所有新闻中心人员在LDAP目录树中全部归属在台内用户树的一级节点新闻中心下，与二级部门编辑部、综合管理部等平级，同时，在编辑部下面还有导播科、北京新闻栏目等科室。 外部用户账户（ou=ForeignUser）和IT管理维护专用账户（ou=ITAccount）节点展开为图4所示的节点，其中，ForeignUser下分为Customer、Supplier、Partner3个节点，分别对应客户、供应商和合作伙伴，每一个节点下又可以分为多个公司或个人。ITAccount节点存储IT管理或维护的专用账户，分别对应网内各个应用系统的管理员账户，如邮件系统管理员、OA系统管理员等。

4.用户数据同步机制

在基于以上应用平台构架和目录服务体系之后，北京电视台统一了全台网络应用系统的用户信息管理和维护，实现的功能主要包括：用户增加激活、设置初始密码、用户数据同步、用户信息查询、用户信息修改、用户注销等。在此基础上各应用系统屏蔽了原有的独立用户管理功能，即不允许各应用系统自行对本系统内用户进行增、删、改操作，但保留各系统对用户在该系统内部权限配置功能。 从来源上看，全台网的用户账户被分为两部分，一部分是来自于LDAP中ou=ForeignUser和ITAccount的外部用户账户及IT管理或维护专用账户，这部分账户信息直接创建存储在LDAP目录服务器上；另一部分是LDAP中ou=Employee的内部员工用户账户，这部分账户信息创建存储于人力资源管理系统中并同步到LDAP目录服务器上，同步的信息如表1所示。凡是在人力资源管理系统中加入了一条新的人员记录后，就会通过企业信息服务总线将数据的变化同步到LDAP目录服务器上，也就是说当一位新来的员工在人事部门完成了报到登记以后，就会给他在人力资源管理系统中建立一个登录该系统的账号，同时同步到全台网LDAP目录服务器上建立一个登录北京电视台各业务系统的帐号（如图5中左侧人力资源管理系统同步用户信息至统一用户管理LDAP库）。从安全性考虑，对这种通过人力资源管理系统在目录服务器上添加的帐号并不立即生效，而是由统一认证管理中心的管理员进行控制，提供帐号开通的服务；同样当一个员工离职时，只要人力资源管理系统删除或注销了该用户，数据交换服务会同步注销LDAP目录服务器上有关该用户的IT信息；另外，当需要暂时对某个员工的IT帐号进行限制使用时，可以由管理员对帐号进行暂停使用操作。

表1 同步用户信息字段

统一用户管理LDAP库与其他各应用系统对于用户信息的日常同步也是通过企业信息服务总线的Web服务接口实现的。当用户首次被授予某个应用系统的访问权限时，统一目录服务会将该用户的信息主动推送给该应用系统，当用户信息有变化时，统一目录服务通过调用用户信息同步Web服务接口同步用户信息（如图5中右侧统一用户管理LDAP库同步用户信息至广告管理系统、制作系统、邮件系统等各个应用系统）。需要特别注意之处包括：1、各应用系统可以只同步需要使用本系统的用户，而不必同步所有的用户。2、统一用户管理不会从物理上删除用户，因此也不会通过用户信息同步接口通知各业务系统删除某个用户。统一用户管理通过将用户状态信息改为无效来实现用户的逻辑删除。3、如果程序自动同步出错，则统一认证平台要做记录（包括错误信息和需要同步的数据），并允许管理员手动同步。

5.结语

在北京电视台推进和发展信息化的过程中，统一用户管理系统将分散的用户数据整合到一致的目录服务平台下，它可以确保整个全台网络系统用户信息的准确性和一致性，使账户管理更便捷、减少了维护的工作量，并规范了今后的应用系统的建设。在此基础上，用户可以在统一认证平台中完成单点登录，之后即可对所有被授权的应用系统进行访问，提高了工作效率，同时也提高了信息的安全性。 北京电视台统一用户管理系统于2012年2月正式上线运行，供整合了全台生产网络和办公网络中包括高标清制作系统、媒资系统、行政办公系统、人事系统等20多个核心业务系统组织结构和用户基础数据工作，涉及内部和外部人员账户信息近万条。并通过和统一认证系统集成，初步将应用系统整合贯通，为建立“统一认证、分级授权”的业务运作、全面提高北京电视台业务管理水平打下了坚实的基础。 参考文献

[1] 吕宁.王晓艳.李会娟.基于LDAP统一用户管理平台中集成新系统的设计与实现；2009国际信息技术与应用论坛论文集(上)；2009