專利名稱:一種基于ldap用戶權(quán)限管理的裝置和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種基于LDAP用戶權(quán)限管理的裝置和方法�。
背景技術(shù):
LDAP (Lightweight Directory Access Protocol,輕量目錄訪問協(xié)議)是一個(gè)用來發(fā)布目錄信息到許多不同應(yīng)用資源的協(xié)議��。LDAP相當(dāng)于電話簿����,類似于我們所使用諸如NIS (Network Information Service,網(wǎng)絡(luò)信息服務(wù))��、DNS (Domain Name Service,域名服務(wù))等網(wǎng)絡(luò)目錄��。LDAP是一個(gè)比關(guān)系數(shù)據(jù)庫抽象層次更高的存貯概念�����,與一般的數(shù)據(jù)庫不同�,LDAP對(duì)查詢進(jìn)行了優(yōu)化��,與寫性能相比LDAP的讀性能要優(yōu)秀很多�。LDAP目錄中可以存儲(chǔ)各種類型的數(shù)據(jù),如�,電子郵件地址、郵件路由信息��、人力資源數(shù)據(jù)���、公用密匙��、聯(lián)系人列表等��。目前���,越來越多的企業(yè)應(yīng)用系統(tǒng)將LDAP作為用戶管理資源����,將其與自身應(yīng)用系統(tǒng)整合���,從而實(shí)現(xiàn)對(duì)LDAP用戶認(rèn)證統(tǒng)一管理�,并針對(duì)不同的用戶授予不同的功能權(quán)限�,即進(jìn)行權(quán)限管理。應(yīng)用系統(tǒng)根據(jù)配置策略將指定的LDAP用戶從LDAP服務(wù)器中同步到系統(tǒng)中���,從而實(shí)現(xiàn)對(duì)LDAP用戶的統(tǒng)一認(rèn)證管理����。所述配置策略包括范圍設(shè)置和過濾條件兩個(gè)部分組成���。范圍設(shè)置格式形如:ou=sales, dc=test, dc=com,其含義是限定組織單元為sales ;過濾條件格式形如:(&(objectclass=*) (cn=zhao*)),含義為僅同步趙姓用戶���。將符合上述條件的用戶從LDAP服務(wù)器中導(dǎo)入進(jìn)來���,然后為不同用戶設(shè)置不同的功能權(quán)限。但在實(shí)際應(yīng)用中����,需要同步的OU (Organization Unit,組織單元)級(jí)數(shù)會(huì)很多,涉及人員的數(shù)目也很龐大,可能會(huì)達(dá)到數(shù)十萬甚至上百萬,因此��,針對(duì)單個(gè)用戶逐個(gè)授予功能權(quán)限工作量巨大��,現(xiàn)有技術(shù)中一般的做法是先在應(yīng)用系統(tǒng)中創(chuàng)建分組���,然后指定用戶的分組���,將權(quán)限相同的用戶納入同一個(gè)分組中����,最后再針對(duì)不同分組進(jìn)行授權(quán)。不論是逐個(gè)用戶授權(quán)還是分組授權(quán)��,現(xiàn)有技術(shù)都存在系統(tǒng)維護(hù)工作量大的缺點(diǎn)�����,并且當(dāng)用戶權(quán)限變化的時(shí)候,需要在應(yīng)用系統(tǒng)中作對(duì)應(yīng)的權(quán)限調(diào)整��,使得系統(tǒng)的維護(hù)任務(wù)更加繁重�����。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明提供一種基于LDAP用戶權(quán)限管理的裝置和方法�,以解決現(xiàn)有技術(shù)存在的不足。具體地�����,所述裝置應(yīng)用在與LDAP服務(wù)器交互的應(yīng)用系統(tǒng)的服務(wù)器上�����,該裝置包括:配置模塊�,用于設(shè)置LDAP同步的目錄范圍;同步模塊�,用于將所述LDAP同步的目錄范圍下的組織單元同步到應(yīng)用系統(tǒng)中,并將所述組織單元下的用戶同步到應(yīng)用系統(tǒng)中與該組織單元對(duì)應(yīng)的分組下�;授權(quán)模塊,用于在同步后對(duì)應(yīng)用系統(tǒng)中的分組進(jìn)行功能授權(quán)�。所述方法包括以 下步驟:
A�、設(shè)置LDAP同步的目錄范圍���;B���、將所述LDAP同步的目錄范圍下的組織單元同步到應(yīng)用系統(tǒng)中,并將所述組織單元下的用戶同步到應(yīng)用系統(tǒng)中與該組織單元對(duì)應(yīng)的分組下�����;C�、對(duì)應(yīng)用系統(tǒng)中的分組進(jìn)行功能授權(quán)。由以上技術(shù)方案可見�����,本發(fā)明通過設(shè)置同步策略�,將LDAP服務(wù)器上的用戶同步到應(yīng)用系統(tǒng)中,實(shí)現(xiàn)智能分組�,大大降低了管理員的維護(hù)負(fù)擔(dān)����。
圖1是本發(fā)明一種實(shí)施方式的裝置邏輯圖;圖2是本發(fā)明一種實(shí)施方式的方法流程圖���;圖3是本發(fā)明一種實(shí)施方式中某公司的LDAP組織結(jié)構(gòu)示意圖���;圖4是圖3所示的本發(fā)明在某應(yīng)用場(chǎng)景下應(yīng)用系統(tǒng)分組級(jí)數(shù)為2的LDAP人員分組示意圖�;圖5是圖3所示的本發(fā)明在某應(yīng)用場(chǎng)景下應(yīng)用系統(tǒng)分組級(jí)數(shù)為I的LDAP人員分組示意圖�。
具體實(shí)施例方式針對(duì)現(xiàn)有技術(shù)中存在的問題,本發(fā)明提供了一種基于LDAP用戶權(quán)限管理的裝置和方法���,應(yīng)用在與LDAP服務(wù)器交互的應(yīng)用系統(tǒng)的服務(wù)器上�����。請(qǐng)參考圖1和圖2��,該裝置包括�,配置模塊����、同步模塊 以及授權(quán)模塊。該裝置在實(shí)現(xiàn)本發(fā)明時(shí)�,執(zhí)行如下處理流程:步驟101,配置模塊設(shè)置LDAP同步的目錄范圍����。在LDAP服務(wù)器中�����,LDAP目錄以樹狀的層次結(jié)構(gòu)來存儲(chǔ)數(shù)據(jù)�。類似DNS的主機(jī)名那樣��,LDAP目錄標(biāo)識(shí)名(Distinguished Name,簡(jiǎn)稱DN)是用來讀取單個(gè)記錄�����,即可以理解DN為樹狀結(jié)構(gòu)的節(jié)點(diǎn)���,LDAP目錄樹的最頂部就是根��,也就是基準(zhǔn)DN����,基準(zhǔn)DN通常使用公司的域名表示�,在根目錄下,用OU把數(shù)據(jù)從邏輯上區(qū)分開����。在設(shè)置應(yīng)用系統(tǒng)權(quán)限的時(shí)候�,首先要確定使用該系統(tǒng)的用戶范圍�。本步驟中����,設(shè)置需要同步的DN,就是指定LDAP服務(wù)器上樹狀結(jié)構(gòu)的節(jié)點(diǎn)�����,該節(jié)點(diǎn)以下的用戶都會(huì)在后續(xù)步驟中同步到應(yīng)用系統(tǒng)中���,也就是說該節(jié)點(diǎn)以下的所有用戶都將有權(quán)訪問該應(yīng)用系統(tǒng)��。步驟102���,配置模塊設(shè)置應(yīng)用系統(tǒng)進(jìn)行權(quán)限管理的分組級(jí)數(shù)。本步驟中����,所述分組級(jí)數(shù)是由管理員根據(jù)實(shí)際需要設(shè)置的一個(gè)運(yùn)行參數(shù),在實(shí)際應(yīng)用中��,管理員可以針對(duì)某個(gè)LDAP服務(wù)單獨(dú)設(shè)置���,也可以針對(duì)全局的LDAP服務(wù)進(jìn)行統(tǒng)一設(shè)置���。步驟103��,同步模塊用于將LDAP服務(wù)器上指定DN下面的OU同步到應(yīng)用系統(tǒng)中�����,具體地����,是將所述OU下的用戶同步到應(yīng)用系統(tǒng)中與該OU對(duì)應(yīng)的分組下����。本步驟中,當(dāng)應(yīng)用系統(tǒng)中沒有與需要同步的LDAP組織單元對(duì)應(yīng)的分組時(shí)�,同步模塊進(jìn)一步地在該應(yīng)用系統(tǒng)中創(chuàng)建與該LDAP組織單元對(duì)應(yīng)的新分組。所述對(duì)應(yīng)的分組可以和OU同名��,也可以是預(yù)設(shè)好的分組名�,比方說依據(jù)情況可以在OU名前加入公司名。以下以分組名和OU同名為例講解���。本步驟在執(zhí)行的時(shí)候具體分為兩種情況����。請(qǐng)參考圖3所示的某IT公司的LDAP組織圖,假定步驟101中指定LDAP根作為同步的DNjP么在服務(wù)器上market和software的OU的層次是I, sales�、sells�����、test以及research的OU的層次是2�。一、如果配置模塊設(shè)置所述分組級(jí)數(shù)大于等于2��,那么服務(wù)器上OU所在的層次就沒有超出所述分組級(jí)數(shù)��。本步驟中�,同步模塊將market、software�����、sales等OU同步到應(yīng)用系統(tǒng)中同名的分組中���,具體地��,是將所述OU同步到應(yīng)用系統(tǒng)中對(duì)應(yīng)的分組中�,并將該OU下面的用戶同步到應(yīng)用系統(tǒng)同名的分組下。同步完成后可在應(yīng)用系統(tǒng)中形成如圖4所示的LDAP人員分組示意圖��,其中實(shí)線表示分組之間的連接�,虛線表示分組與其用戶之間的連接。二��、如果配置模塊設(shè)置所述分組級(jí)數(shù)是1��,那么服務(wù)器上market和software的OU層次沒有超出所述分組級(jí)數(shù)�,同步模塊會(huì)將其同步到應(yīng)用系統(tǒng)中同名的分組中,而sales��、sells����、test以及research的OU層次為2,超出了所述分組級(jí)數(shù),此時(shí),在本發(fā)明實(shí)施例中�,會(huì)將這些組織單元的用戶同步到應(yīng)用系統(tǒng)中與該組織單元的上級(jí)組織單元同名的分組中,具體地�����,將sales和sells下的用戶Jack和Peter同步到market分組下�,將test和research下的用戶John和Tom同步到software分組下。同步完成后形成可在應(yīng)用系統(tǒng)中形成如圖5所示的LDAP人員分組示意圖����,其中實(shí)線表示分組之間的連接���,虛線表示分組與其用戶之間的連接。步驟104�,授權(quán)模塊在同步完成后對(duì)應(yīng)用系統(tǒng)中的分組進(jìn)行功能授權(quán)。本步驟中���,授權(quán)模塊依據(jù)管理員的指示進(jìn)行授權(quán)。參考步驟103中的兩種情況�。一、以圖4所示的LDAP人員分組示意圖為例���,可以根據(jù)需要為用戶設(shè)置不同權(quán)限��,比方說�,Hellen作為市場(chǎng)部(market)的領(lǐng)導(dǎo)��,在應(yīng)用系統(tǒng)中授權(quán)其可以查閱�、處理銷售和售后相關(guān)的業(yè)務(wù)Jack作為銷售部門(sales)的員工,只能查閱�、處理銷售相關(guān)的業(yè)務(wù);Peter作為售后部門(sells)的員工�,只能查閱�、處理售后相關(guān)的業(yè)務(wù)���;Bill作為軟件部門(software)的領(lǐng)導(dǎo),在應(yīng)用系統(tǒng)中授權(quán)其可以查閱�、處理所有研發(fā)相關(guān)的業(yè)務(wù)�����;而John作為測(cè)試部門(test)的員工, 只能查閱�����、處理測(cè)試相關(guān)的業(yè)務(wù)�;Tom作為研發(fā)部門(research)的員工,只能查閱�、處理開發(fā)相關(guān)的業(yè)務(wù)。二��、以圖5所示的LDAP人員分組示意圖為例����,市場(chǎng)部的領(lǐng)導(dǎo)和員工在一個(gè)分組內(nèi),他們權(quán)限相同�,同樣,軟件部門的領(lǐng)導(dǎo)和員工也在一個(gè)分組內(nèi)�����,他們的權(quán)限也相同。在實(shí)際應(yīng)用中�,某些人力資源或者財(cái)務(wù)軟件對(duì)于領(lǐng)導(dǎo)和員工來講,權(quán)限是一樣的���,此時(shí)����,就可以通過步驟102中設(shè)置應(yīng)用系統(tǒng)進(jìn)行權(quán)限管理的分組級(jí)數(shù)來簡(jiǎn)化管理員的工作�。需要注意的是�,步驟102并不是必需的步驟,在實(shí)際應(yīng)用中�����,也可以不設(shè)置所述級(jí)數(shù)��,直接將服務(wù)器上指定節(jié)點(diǎn)下的所有OU同步過來���,如果某些軟件不區(qū)分某些分組的權(quán)限��,那就由管理員對(duì)該些分組設(shè)置同樣的權(quán)限�。本發(fā)明中通過設(shè)置步驟102實(shí)現(xiàn)管理員對(duì)管理權(quán)限的靈活控制,對(duì)于銀行等大型企業(yè)�,人員分級(jí)很多,而對(duì)于系統(tǒng)管理員來說�,或者從功能權(quán)限角度考慮,可能并不需要這么多分級(jí)���,因此�����,就可以考慮設(shè)置分組級(jí)數(shù)��,從而縮小同步時(shí)的級(jí)數(shù)�,以減小系統(tǒng)維護(hù)負(fù)擔(dān)���。上述設(shè)置完成后�����,每個(gè)用戶就以自己的賬號(hào)登錄應(yīng)用系統(tǒng)后�,就只能訪問各自被授權(quán)訪問的業(yè)務(wù)���,從而實(shí)現(xiàn)權(quán)限控制的目的�。步驟105,當(dāng)LDAP服務(wù)器上所述組織單元下的用戶有變化的時(shí)候��,重新執(zhí)行步驟103��。當(dāng)公司員工入職�����、離職���、升遷的時(shí)候���,該員工的權(quán)限就有可能會(huì)發(fā)生變化,比方說Jack晉升為市場(chǎng)部的領(lǐng)導(dǎo)�,即��,在LDAP服務(wù)器上Jack轉(zhuǎn)移到ou=market下,此時(shí)并不需要管理員在應(yīng)用系統(tǒng)中調(diào)整Jack對(duì)應(yīng)的權(quán)限����,只需要重新同步,Jack會(huì)自動(dòng)歸到應(yīng)用系統(tǒng)中market分組����。本步驟中���,所述重新同步根據(jù)需要而設(shè)定,可以是周期同步�,也可以是手工執(zhí)行同步,具體地��,可以依據(jù)預(yù)定的周期定期同步����,也可以是管理員在接到人員變更的通知后再執(zhí)行同步。通過以上描述可以看出�����,本發(fā)明提供的技術(shù)方案可以實(shí)現(xiàn)自動(dòng)分組管理����,方便管理員進(jìn)行功能授權(quán),大大減少了用戶權(quán)限管理的工作量�����,同時(shí)管理員可以根據(jù)自身應(yīng)用系統(tǒng)的需要����,靈活控制權(quán)限管理層次�。當(dāng)用戶變化的時(shí)候��,也不需要重新設(shè)置權(quán)限��,減輕了管理員的維護(hù)負(fù)擔(dān)���。由于LDAP已經(jīng)廣泛應(yīng)用到各大中小企業(yè)中���,所以本發(fā)明適用范圍廣,可以更好的提高用戶體驗(yàn)�。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修 改����、等同替換、改進(jìn)等���,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。
權(quán)利要求
1.一種基于LDAP用戶權(quán)限管理的裝置����,應(yīng)用在與LDAP服務(wù)器交互的應(yīng)用系統(tǒng)的服務(wù)器上����,其特征在于����,該裝置包括: 配置模塊,用于設(shè)置LDAP同步的目錄范圍����; 同步模塊,用于將所述LDAP同步的目錄范圍下的組織單元同步到應(yīng)用系統(tǒng)中����,并將所述組織單元下的用戶同步到應(yīng)用系統(tǒng)中與該組織單元對(duì)應(yīng)的分組下; 授權(quán)模塊�����,用于在同步后對(duì)應(yīng)用系統(tǒng)中的分組進(jìn)行功能授權(quán)����。
2.根據(jù)權(quán)利要求1所述的裝置,其特征 在于�����, 配置模塊進(jìn)一步用于設(shè)置對(duì)應(yīng)用系統(tǒng)進(jìn)行權(quán)限管理的分組級(jí)數(shù); 同步模塊進(jìn)一步用于當(dāng)所述組織單元所在的層次超出所述分組級(jí)數(shù)的時(shí)候���,將該組織單元的用戶同步到應(yīng)用系統(tǒng)中該組織單元的上級(jí)組織單元所對(duì)應(yīng)的分組中����。
3.根據(jù)權(quán)利要求1所述的裝置�����,其特征在于����,當(dāng)應(yīng)用系統(tǒng)中沒有與需要同步的LDAP組織單元對(duì)應(yīng)的分組時(shí),所述同步模塊進(jìn)一步用于創(chuàng)建與該組織單元對(duì)應(yīng)的新分組����。
4.根據(jù)權(quán)利要求1所述的裝置,其特征在于���,當(dāng)LDAP服務(wù)器上所述組織單元下的用戶有變化的時(shí)候��,同步模塊重新執(zhí)行同步�。
5.一種基于LDAP用戶權(quán)限管理的方法��,應(yīng)用在與LDAP服務(wù)器交互的應(yīng)用系統(tǒng)的服務(wù)器上���,其特征在于�,該方法包括以下步驟: A��、設(shè)置LDAP同步的目錄范圍��; B����、將所述LDAP同步的目錄范圍下的組織單元同步到應(yīng)用系統(tǒng)中,并將所述組織單元下的用戶同步到應(yīng)用系統(tǒng)中與該組織單元對(duì)應(yīng)的分組下�; C、對(duì)應(yīng)用系統(tǒng)中的分組進(jìn)行功能授權(quán)��。
6.根據(jù)權(quán)利要求5所述的方法���,其特征在于��,在步驟B之前還包括步驟BI�����, B1��、設(shè)置對(duì)應(yīng)用系統(tǒng)進(jìn)行權(quán)限管理的分組級(jí)數(shù)�����; 步驟B進(jìn)一步包括�,當(dāng)所述組織單元所在的層次超出所述分組級(jí)數(shù)的時(shí)候,將該組織單元的用戶同步到應(yīng)用系統(tǒng)中該組織單元的上級(jí)組織單元所對(duì)應(yīng)的分組中��。
7.根據(jù)權(quán)利要求5所述的方法���,其特征在于�����,當(dāng)應(yīng)用系統(tǒng)中沒有與需要同步的LDAP組織單元對(duì)應(yīng)的分組時(shí)�����,所述步驟B進(jìn)一步包括創(chuàng)建與該組織單元對(duì)應(yīng)的新分組�。
8.根據(jù)權(quán)利要求5所述的方法�����,其特征在于,該方法還包括步驟D���, D、當(dāng)LDAP服務(wù)器上所述組織單元下的用戶有變化的時(shí)候��,重新執(zhí)行步驟B�����。
全文摘要
本發(fā)明提供一種基于LDAP用戶權(quán)限管理的裝置和方法�����,應(yīng)用在與LDAP服務(wù)器交互的應(yīng)用系統(tǒng)的服務(wù)器上�����,該裝置執(zhí)行以下處理流程A����,設(shè)置LDAP同步的目錄范圍;B���,將所述LDAP同步的目錄范圍下的組織單元同步到應(yīng)用系統(tǒng)中���,并將所述組織單元下的用戶同步到應(yīng)用系統(tǒng)中與該組織單元對(duì)應(yīng)的分組下�;C����,對(duì)應(yīng)用系統(tǒng)中的分組進(jìn)行功能授權(quán)。通過本發(fā)明的技術(shù)方案�,有效解決了現(xiàn)有技術(shù)中應(yīng)用系統(tǒng)的管理員工作量大的問題,提高了用戶體驗(yàn)�����。
文檔編號(hào)H04L29/06GK103220172SQ20131012023
公開日2013年7月24日 申請(qǐng)日期2013年4月8日 優(yōu)先權(quán)日2013年4月8日
發(fā)明者許文雨 申請(qǐng)人:杭州華三通信技術(shù)有限公司