在我们的应用程序中,我们正在评估存储所有人员信息的位置(姓名,电子邮件,电话,部门,出生日期,雇用日期,许可证/证书,角色等)。我们将使用LDAP / Active Directory进行用户身份验证/授权,因此至少其中一些数据将进入LDAP服务器。我们的人力资源模块和其他应用程序也需要其中一些信息,它们之间存在重叠。我们正在考虑将所有信息存储在LDAP中,并在我们的RDMS到LDAP用户中使用用户ID作为参考,并在登录过程中填充用户的其他详细信息。除了我们的应用程序,还有其他应用程序也将使用相同的用户信息。如果我们不在ldap中存储人员详细信息,我们将需要复制并同步每个系统中的用户信息。无论如何,登录信息都需要LDAP。您对在LDAP或数据库表中存储人员详细信息的建议是什么?
答案 0 :(得分:5)
一般来说,Active Directory不是像你列出的那样放置敏感PII的好地方。绝对没有技术上的原因,它无法存储这些数据,但是,确保它更加困难。这肯定不是不可克服的,但是,我会明确建议将人力资源数据与人力资源保持一致,并同步AD所需的任何人口统计信息。
使用人力资源系统中的员工ID值将关系维持在AD。
答案 1 :(得分:1)
在我们公司,我们建立了一个中间件和一个中间数据库,每天更新3次。中间件是一个ABAP远程函数,它从SAP生成数据,这是一个C#程序,它使用SAP .NET连接器调用远程函数并检索该数据并将其保存在Oracle数据库中。
此数据库用于与Active Directory交换信息。然后系统作为Exchange,Messenger,SharePoint获取此Active Directory的信息。其他内部系统也可以访问Oracle数据库。我们遇到的优势是我们避免了每次访问SAP和Active Directory所代表的开销。我们每天只访问它们3次,但用户每秒都访问Oracle数据库。
希望它有所帮助。