专利名称:一种基于ldap用户权限管理的装置和方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种基于LDAP用户权限管理的装置和方法。
背景技术:
LDAP (Lightweight Directory Access Protocol,轻量目录访问协议)是一个用来发布目录信息到许多不同应用资源的协议。LDAP相当于电话簿,类似于我们所使用诸如NIS (Network Information Service,网络信息服务)、DNS (Domain Name Service,域名服务)等网络目录。LDAP是一个比关系数据库抽象层次更高的存贮概念,与一般的数据库不同,LDAP对查询进行了优化,与写性能相比LDAP的读性能要优秀很多。LDAP目录中可以存储各种类型的数据,如,电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表等。目前,越来越多的企业应用系统将LDAP作为用户管理资源,将其与自身应用系统整合,从而实现对LDAP用户认证统一管理,并针对不同的用户授予不同的功能权限,即进行权限管理。应用系统根据配置策略将指定的LDAP用户从LDAP服务器中同步到系统中,从而实现对LDAP用户的统一认证管理。所述配置策略包括范围设置和过滤条件两个部分组成。范围设置格式形如:ou=sales, dc=test, dc=com,其含义是限定组织单元为sales ;过滤条件格式形如:(&(objectclass=*) (cn=zhao*)),含义为仅同步赵姓用户。将符合上述条件的用户从LDAP服务器中导入进来,然后为不同用户设置不同的功能权限。但在实际应用中,需要同步的OU (Organization Unit,组织单元)级数会很多,涉及人员的数目也很庞大,可能会达到数十万甚至上百万,因此,针对单个用户逐个授予功能权限工作量巨大,现有技术中一般的做法是先在应用系统中创建分组,然后指定用户的分组,将权限相同的用户纳入同一个分组中,最后再针对不同分组进行授权。不论是逐个用户授权还是分组授权,现有技术都存在系统维护工作量大的缺点,并且当用户权限变化的时候,需要在应用系统中作对应的权限调整,使得系统的维护任务更加繁重。
发明内容
有鉴于此,本发明提供一种基于LDAP用户权限管理的装置和方法,以解决现有技术存在的不足。具体地,所述装置应用在与LDAP服务器交互的应用系统的服务器上,该装置包括:配置模块,用于设置LDAP同步的目录范围;同步模块,用于将所述LDAP同步的目录范围下的组织单元同步到应用系统中,并将所述组织单元下的用户同步到应用系统中与该组织单元对应的分组下;授权模块,用于在同步后对应用系统中的分组进行功能授权。所述方法包括以 下步骤:
A、设置LDAP同步的目录范围;B、将所述LDAP同步的目录范围下的组织单元同步到应用系统中,并将所述组织单元下的用户同步到应用系统中与该组织单元对应的分组下;C、对应用系统中的分组进行功能授权。由以上技术方案可见,本发明通过设置同步策略,将LDAP服务器上的用户同步到应用系统中,实现智能分组,大大降低了管理员的维护负担。
图1是本发明一种实施方式的装置逻辑图;图2是本发明一种实施方式的方法流程图;图3是本发明一种实施方式中某公司的LDAP组织结构示意图;图4是图3所示的本发明在某应用场景下应用系统分组级数为2的LDAP人员分组示意图;图5是图3所示的本发明在某应用场景下应用系统分组级数为I的LDAP人员分组示意图。
具体实施例方式针对现有技术中存在的问题,本发明提供了一种基于LDAP用户权限管理的装置和方法,应用在与LDAP服务器交互的应用系统的服务器上。请参考图1和图2,该装置包括,配置模块、同步模块 以及授权模块。该装置在实现本发明时,执行如下处理流程:步骤101,配置模块设置LDAP同步的目录范围。在LDAP服务器中,LDAP目录以树状的层次结构来存储数据。类似DNS的主机名那样,LDAP目录标识名(Distinguished Name,简称DN)是用来读取单个记录,即可以理解DN为树状结构的节点,LDAP目录树的最顶部就是根,也就是基准DN,基准DN通常使用公司的域名表示,在根目录下,用OU把数据从逻辑上区分开。在设置应用系统权限的时候,首先要确定使用该系统的用户范围。本步骤中,设置需要同步的DN,就是指定LDAP服务器上树状结构的节点,该节点以下的用户都会在后续步骤中同步到应用系统中,也就是说该节点以下的所有用户都将有权访问该应用系统。步骤102,配置模块设置应用系统进行权限管理的分组级数。本步骤中,所述分组级数是由管理员根据实际需要设置的一个运行参数,在实际应用中,管理员可以针对某个LDAP服务单独设置,也可以针对全局的LDAP服务进行统一设置。步骤103,同步模块用于将LDAP服务器上指定DN下面的OU同步到应用系统中,具体地,是将所述OU下的用户同步到应用系统中与该OU对应的分组下。本步骤中,当应用系统中没有与需要同步的LDAP组织单元对应的分组时,同步模块进一步地在该应用系统中创建与该LDAP组织单元对应的新分组。所述对应的分组可以和OU同名,也可以是预设好的分组名,比方说依据情况可以在OU名前加入公司名。以下以分组名和OU同名为例讲解。本步骤在执行的时候具体分为两种情况。请参考图3所示的某IT公司的LDAP组织图,假定步骤101中指定LDAP根作为同步的DNjP么在服务器上market和software的OU的层次是I, sales、sells、test以及research的OU的层次是2。一、如果配置模块设置所述分组级数大于等于2,那么服务器上OU所在的层次就没有超出所述分组级数。本步骤中,同步模块将market、software、sales等OU同步到应用系统中同名的分组中,具体地,是将所述OU同步到应用系统中对应的分组中,并将该OU下面的用户同步到应用系统同名的分组下。同步完成后可在应用系统中形成如图4所示的LDAP人员分组示意图,其中实线表示分组之间的连接,虚线表示分组与其用户之间的连接。二、如果配置模块设置所述分组级数是1,那么服务器上market和software的OU层次没有超出所述分组级数,同步模块会将其同步到应用系统中同名的分组中,而sales、sells、test以及research的OU层次为2,超出了所述分组级数,此时,在本发明实施例中,会将这些组织单元的用户同步到应用系统中与该组织单元的上级组织单元同名的分组中,具体地,将sales和sells下的用户Jack和Peter同步到market分组下,将test和research下的用户John和Tom同步到software分组下。同步完成后形成可在应用系统中形成如图5所示的LDAP人员分组示意图,其中实线表示分组之间的连接,虚线表示分组与其用户之间的连接。步骤104,授权模块在同步完成后对应用系统中的分组进行功能授权。本步骤中,授权模块依据管理员的指示进行授权。参考步骤103中的两种情况。一、以图4所示的LDAP人员分组示意图为例,可以根据需要为用户设置不同权限,比方说,Hellen作为市场部(market)的领导,在应用系统中授权其可以查阅、处理销售和售后相关的业务Jack作为销售部门(sales)的员工,只能查阅、处理销售相关的业务;Peter作为售后部门(sells)的员工,只能查阅、处理售后相关的业务;Bill作为软件部门(software)的领导,在应用系统中授权其可以查阅、处理所有研发相关的业务;而John作为测试部门(test)的员工, 只能查阅、处理测试相关的业务;Tom作为研发部门(research)的员工,只能查阅、处理开发相关的业务。二、以图5所示的LDAP人员分组示意图为例,市场部的领导和员工在一个分组内,他们权限相同,同样,软件部门的领导和员工也在一个分组内,他们的权限也相同。在实际应用中,某些人力资源或者财务软件对于领导和员工来讲,权限是一样的,此时,就可以通过步骤102中设置应用系统进行权限管理的分组级数来简化管理员的工作。需要注意的是,步骤102并不是必需的步骤,在实际应用中,也可以不设置所述级数,直接将服务器上指定节点下的所有OU同步过来,如果某些软件不区分某些分组的权限,那就由管理员对该些分组设置同样的权限。本发明中通过设置步骤102实现管理员对管理权限的灵活控制,对于银行等大型企业,人员分级很多,而对于系统管理员来说,或者从功能权限角度考虑,可能并不需要这么多分级,因此,就可以考虑设置分组级数,从而缩小同步时的级数,以减小系统维护负担。上述设置完成后,每个用户就以自己的账号登录应用系统后,就只能访问各自被授权访问的业务,从而实现权限控制的目的。步骤105,当LDAP服务器上所述组织单元下的用户有变化的时候,重新执行步骤103。当公司员工入职、离职、升迁的时候,该员工的权限就有可能会发生变化,比方说Jack晋升为市场部的领导,即,在LDAP服务器上Jack转移到ou=market下,此时并不需要管理员在应用系统中调整Jack对应的权限,只需要重新同步,Jack会自动归到应用系统中market分组。本步骤中,所述重新同步根据需要而设定,可以是周期同步,也可以是手工执行同步,具体地,可以依据预定的周期定期同步,也可以是管理员在接到人员变更的通知后再执行同步。通过以上描述可以看出,本发明提供的技术方案可以实现自动分组管理,方便管理员进行功能授权,大大减少了用户权限管理的工作量,同时管理员可以根据自身应用系统的需要,灵活控制权限管理层次。当用户变化的时候,也不需要重新设置权限,减轻了管理员的维护负担。由于LDAP已经广泛应用到各大中小企业中,所以本发明适用范围广,可以更好的提高用户体验。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修 改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种基于LDAP用户权限管理的装置,应用在与LDAP服务器交互的应用系统的服务器上,其特征在于,该装置包括: 配置模块,用于设置LDAP同步的目录范围; 同步模块,用于将所述LDAP同步的目录范围下的组织单元同步到应用系统中,并将所述组织单元下的用户同步到应用系统中与该组织单元对应的分组下; 授权模块,用于在同步后对应用系统中的分组进行功能授权。
2.根据权利要求1所述的装置,其特征 在于, 配置模块进一步用于设置对应用系统进行权限管理的分组级数; 同步模块进一步用于当所述组织单元所在的层次超出所述分组级数的时候,将该组织单元的用户同步到应用系统中该组织单元的上级组织单元所对应的分组中。
3.根据权利要求1所述的装置,其特征在于,当应用系统中没有与需要同步的LDAP组织单元对应的分组时,所述同步模块进一步用于创建与该组织单元对应的新分组。
4.根据权利要求1所述的装置,其特征在于,当LDAP服务器上所述组织单元下的用户有变化的时候,同步模块重新执行同步。
5.一种基于LDAP用户权限管理的方法,应用在与LDAP服务器交互的应用系统的服务器上,其特征在于,该方法包括以下步骤: A、设置LDAP同步的目录范围; B、将所述LDAP同步的目录范围下的组织单元同步到应用系统中,并将所述组织单元下的用户同步到应用系统中与该组织单元对应的分组下; C、对应用系统中的分组进行功能授权。
6.根据权利要求5所述的方法,其特征在于,在步骤B之前还包括步骤BI, B1、设置对应用系统进行权限管理的分组级数; 步骤B进一步包括,当所述组织单元所在的层次超出所述分组级数的时候,将该组织单元的用户同步到应用系统中该组织单元的上级组织单元所对应的分组中。
7.根据权利要求5所述的方法,其特征在于,当应用系统中没有与需要同步的LDAP组织单元对应的分组时,所述步骤B进一步包括创建与该组织单元对应的新分组。
8.根据权利要求5所述的方法,其特征在于,该方法还包括步骤D, D、当LDAP服务器上所述组织单元下的用户有变化的时候,重新执行步骤B。
全文摘要
本发明提供一种基于LDAP用户权限管理的装置和方法,应用在与LDAP服务器交互的应用系统的服务器上,该装置执行以下处理流程A,设置LDAP同步的目录范围;B,将所述LDAP同步的目录范围下的组织单元同步到应用系统中,并将所述组织单元下的用户同步到应用系统中与该组织单元对应的分组下;C,对应用系统中的分组进行功能授权。通过本发明的技术方案,有效解决了现有技术中应用系统的管理员工作量大的问题,提高了用户体验。
文档编号H04L29/06GK103220172SQ20131012023
公开日2013年7月24日 申请日期2013年4月8日 优先权日2013年4月8日
发明者许文雨 申请人:杭州华三通信技术有限公司