多源组织导入和同步
企业作为一个商业组织,为了高效管理自身业务,通常会配合使用多种不同的信息管理系统,如OA(办公自动化系统)、ERP(企业资源计划系统)、CRM(企业关系管理系统)等,每个信息系统都需要录入企业的树形组织架构,便于对每个人员进行访问授权和数据处理,这对信息系统的管理员带来一些工作量。增加一名新员工,则需要在每个系统中增加对应的账号信息,在人员流动性比较大的企业,将是一种工作负担。
在早期,多数企业使用LDAP方案建立树形组织架构,其他信息系统从LDAP服务器上同步组织结构,这样当前中心组织架构修改,以及增加或删除人员时,其他信息系统可以同步处理,大幅度提高了系统管理员的工作效率。近年,随着云计算平台基础设施的完善,现代云服务商更倾向于使用SCIM(System for Cross-domain Identity Management,跨域身份管理系统)来满足跨域身份管理的需求,因为SCIM相比LDAP功能更丰富,除了支持基本的组织结构的管理以外,还能支持用户、组、角色等身份信息的管理,扩展性也更强,目前主流云服务商(AWS、Azure、Google Cloud、阿里云)都支持SCIM协议。
在国内,随着钉钉、企业微信、飞书等企业信息管理SaaS(软件即服务)平台的普及,很多中小型企业选择以企业微信和钉钉的通讯录为树形组织架构中心,相比LDAP和SCIM这些国际通用标准,其使用方便,不需要自行部署,成本也更低。
另外,OpenID Connect、OAuth 2.0主要用于实现人员的单点登录(SSO)、身份验证和授权,没有树形组织架构管理功能。
悦库企业网盘作为一种文件管理系统,也拥有自己的组织管理模块用于为企业人员管理文件和分配文件授权等,为了更好的适应企业中心化组织管理的发展趋势,我们需要支持同步多种第三方组织源服务器(如LDAP/钉钉/企业微信等,简称为第三方源),可以避免企业单独维护悦库的树形组织架构,使用更便捷。
多源组织导入
在初次使用悦库企业网盘时,可以从第三方源中导入组织,例如 LDAP、钉钉、企业微信等,这样可避免在重复创建组织时面临令人沮丧的工作量,尤其是大型组织尤为明显。悦库通过实现一个外部组织对接中间件,实现从第三方源导入组织的统一支持,如下图:
在导入源组织时,悦库网盘本地可能已经有一些组织和人员,因此导入需要指定一个位置,也就是目的组织(单位),这样避免导入的组织与现有组织冲突,并且管理员依然可以在别的组织位置中创建新人员,因此允许出现导入组织和本地组织共存的情况。
从第三方源中导入组织后,新组织中的人员就可以立即登录使用悦库企业网盘了,如果这时不开启同步源组织,则可以修改现有组织。如果开启同步源组织功能,悦库中的组织管理功能会被锁定为只读并强制关闭注册新用户�功能。
同步源组织
同步原理
从第三方源中导入组织到悦库企业网盘后,可以开启同步功能,这时对应的本地组织被只读锁定,以避免同步执行冲突。每个同步完成的组织或人员都有一个"同步"属性,以区别于本地组织/人员,管理员可以在同步组织上添加和移除本地人员,但任何时候不能修改"同步"属性的组织和人员。在首次同步完成后,如果后续修改第三方源中的组织(如添加/移除人员、修改部门等),应该能够自动将修改同步到悦库企业网盘中,不需要人工干预。当第三方源中删除人员并同步后,悦库不能立即删除人员,因为人员的账号中通常存在有用的文件数据,只能将其暂时移除到"人员回收站"中,后续由系统管理员统一处理。
如果同步源组织中的人员在本地已经存在相同账号,则会出现冲突,这时通常需要将两个冲突人员合并,方式是删除其中一个账号,然后将数据合并到另外一个账号中。在下图中,小明是一个本地账号,如果源组织同步时存在相同名称的账号,则会出现冲突,这时需要将本地账号合并到同步账号中,或将本地账号移除。
另外, 例如LDAP、企业微信、钉钉等都支持用户组,悦库也支持用户组的同步,这样方便管理员事先基于用户组在悦库端配置资源的访问权限,后续仅需要在LDAP服务器端对用户组内的人员进行调整即可方便的管理人员权限。
当组织�同步完成后,且一个人员被授权可以进行第三方登录,悦库企业网盘会向它发送邀请加入通知,这样便于该人员方便的加入。
第三方登录
当一个人员进行第三方登录时,服务器可能有这个人员已经同步完成的对应的第三方账号,但也会存在没有开启同步的情况,仅仅是单点登录。在有对应同步账号的情况下,可以直接启用新账号,但也可能之前有一个已存在的本地账号(针对先建立组织后使用第三方导入的情况),这时需要进行同步账号和已存在本地账号的合并操作。如果只是单点登录,则需要绑定一个已存在账号,或者新注册一个,然后才能完成登录操作。
一些大型企业组织结构复杂,人员也比较多,新增的人员(例如试用期员工)可能不允许立即授权访问文件管理系统,需要添加"第三方登录"的职能行为,系统默认允许新增人员进行第三方登录,但管理员可以手动拒绝某人员或组织进行第三方登录。
最后
通过实现多源组织的导入和同步功能,可以让企业用户在初次使用悦库网盘时,快速完成组织建设,尽快投入产品使用,并且可以使用组织同步功能进一步降低后续组织的维护成本,提高工作效率。