随着互联网的发展,不少传统企业也纷纷建设起了面向互联网用户的平台或者应用,在这一过程中,不少企业面临互联网用户数据和企业传统内部员工、渠道、门店等用户数据融合的问题。
早在企业级系统或平台的建设时期,企业内部系统和平台的建设是相对封闭的内网环境,安全性要求较高,一般都采用了LDAP存储内部用户的建设方案。到了互联网时代,建设面向互联网应用或平台,需要考虑大海量用户数据以及高并发的问题,一般都会采用MYSQL存储互联网用户数据,那么,这两份用户数据的融合势在必行。
用户数据的融合一般考虑两种方案,1、后端数据完全融合;2、内部用户数据作为联邦认证方式登录;
后端数据完全融合
通过消息队列,将LDAP用户数据,以及其他应用产生的用户分库等均通过异步的方式同步至互联网应用的MYSQL集群。
优点:
用户数据视图完整且统一;
LDAP账号即为互联网应用账号;
数据源单一,用户管理系统业务逻辑简单;
缺点:
LDAP无法直接获取密码原文,存量数据密码获取十分困难;
存量的互联网用户和LDAP的用户需要融合,工作量大,且分险巨大;
内部用户数据作为联邦认证方式登录
后端不同步用户数据,通过提供企业认证通道进行企业内部用户的认证登录,用户首次登录需要通过手机号码等方式绑定互联网账号,后续直接使用互联网账号进行管理。
优点:
无需同步数据,规避风险;
弱化LDAP账号(LDAP账号一般都是用户名+密码),促使用户使用手机号码+密码的方式;
用户管理系统全面回归至管理互联网账号,LDAP账号还是由原有企业内部系统管理;
缺点:
强制用户绑定手机号码,是否影响用户体验?
用户离职或账号被禁用后,手机号码可以登录使用,但原有的LDAP账号将不能使用;
以上两种方案均有优缺点,请根据实际的业务场景进行选用。