一、项目背景
正大天晴HR系统(SAP系统)与AD系统的员工信息同步基本采用人工方式,会造成同步的信息滞后或流失,例如员工离职AD没及时删除该用户账户等,为AD管理带来一定难度。同时AD域与Exchange未能很好地协同使用,所以需要开发一套HR与AD的用户信息同步系统,提供可以外部操作(可以由HR系统触发)的接口。并且可以通过该系统同步添加、删除Exchange账户功能,减少IT部门工作压力。
由于正大天晴很多销售较长时间不在公司办公,根据公司AD域安全策略,每隔一定时间内要求重置密码,否则会出现账户锁定的情况,所以经常会出现销售需要IT部门协助解锁域登陆账号,因此需要提供一套可以由用户自助解锁或修改域账户密码系统。
二、需求与规划
HR与域同步系统:
1. HR创建新入员工信息,通过系统接口(SAP系统中触发)创建域用户,并根据所在部门指派到相应的AD的OU中,并且可选创建Exchange账户。
2. HR删除用户,通过系统接口(SAP系统中触发)禁用AD域账户,并指定多长时间后自动删除该AD账户以及Exchange账户
3. HR系统开放用于同步或对比AD域用户信息的数据表视图,HR可通过系统接口触发同步系统的同步或对比操作,并出具对比异常报告(以报表形式),显示出AD与HR中不一致的人员信息。
4. 对于不一致信息,可由IT部门设定自动同步或导出异常列表进行手工操作,例如覆盖重写用户AD域信息,或仅同步指定栏位信息,或指定用户信息等等方式。
5. 对于HR组织构架与AD域OU构架,由于考虑到用户多系统权限管理依托于AD域,和用户沟通下来暂时不做任何操作,但我们为客户保留HR组织构架与AD域OU构架同步功能的扩展接口,为将来可能的所需。
6. 本系统将基于SharePoint2013上部署,使用.Net+MS SQLServer进行开发。
用户自助密码修改及解锁系统:
提供一个外部页面,需要用户提供外部访问的映射,当用户出现需要密码修改或解锁需求时,登陆改页面进行操作,确认前将由系统结合客户短信平台发送手机验证码短信,客户以输入验证码后确认解锁及密码修改。该系统需要满足能自动获取AD密码策略要求:例如密码长度、密码的复杂度等等。