在我们的应用程序中,我们正在评估存储所有人员信息的位置(姓名,电子邮件,电话,部门,出生日期,雇用日期,执照/证书,角色等)。
我们将使用LDAP/Active Directory进行用户身份验证/授权,因此至少其中一些数据将进入LDAP服务器。
我们的人力资源模块和其他应用程序也需要其中一些信息,并且它们之间存在重叠。我们正在考虑将所有信息存储在LDAP中,并在RDMS中仅使用用户ID作为LDAP用户的参考,并在登录过程中填充用户的其他详细信息。
除了我们的应用程序之外,还会有其他应用程序也使用相同的用户信息。如果我们不在LDAP中存储人员详细信息,我们将需要在每个系统中复制和同步用户信息。无论如何,登录信息都需要 LDAP。
您对在 LDAP 或数据库表中存储人员详细信息有何建议?
一般来说,Active Directory 不是放置敏感 PII 的好地方,就像您列出的那样。绝对没有技术原因说它不能存储这些数据,但是,保护它更加困难。这当然不是不可逾越的,但是,我绝对建议将人力资源数据与人力资源保持同步,并同步AD所需的任何人口统计信息。
在 HR 系统中使用 员工 ID 值来维护与 AD 的关系。
在我们公司,我们建立了一个中间件和一个中间数据库,每天更新3次。中间件是一个ABAP远程函数,它从SAP生成数据,SAP是一个C#程序,它使用SAP .NET连接器调用远程函数并检索该数据并将其保存在Oracle数据库中。
此数据库用于与活动目录交换信息。然后系统如Exchange,Messenger,SharePoint获取此Active Directory的信息。其他内部系统也可以访问 Oracle 数据库。我们体验到的优势是,我们避免了每次访问SAP和Active Directory的开销。我们每天只访问它们 3 次,但用户每秒访问一次 Oracle 数据库。
希望对您有所帮助。