统一身份管理系统单点登录和身份同步接入规范.doc

国网统一身份管理系统单点登录和身份同步接入规范项目名称 文档类别文档编号版 本密 级二九二九年七月八日目 录一、国网统一身份管理系统介绍31.1 系统概述31.2 单点登录流程41.3 单点登录接入方式5二、国网应用系统单点登录集成62.1国网应用系统集成分类62.2应用系统权限管理模式72.3单点登录集成要求92.4 单点登录集成流程12三、身份同步规范153.1用户身份数据流153.2帐号管理流程163.2.1帐号创建流程163.2.2帐号更新流程163.2.3帐号删除/禁用流程163.3帐号的身份同步173.4数据库改造17一、国网统一身份管理系统介绍1.1 系统概述由上图可见国家电网统一身份管理系统由单点登录和目录管理两部分构成。其中单点登录采用的是Novell的单点登录产品Access Manager，其单点登录通过Access Manager访问网关、单点登录认证管理模块、认证目录三部分协作实现。统一身份管理系统中的目录包含三类：认证目录、资源目录和身份目录。认证目录是专用于Novell Access Manager做用户认证使用的目录，目录中包含所有登录总部门户的用户。用户核心属性是用户名、密码以及单点登录到应用系统的帐号和密码。资源目录是国网总部部门数据以及应用权限数据的权威数据源。在该目录下管理用户所属的组织机构信息、各应用系统的信息、各应用系统的分组角色信息等。组织机构信息、应用系统信息、分组角色信息等可供各应用系统认证管理模块做权限管理。资源目录中的用户核心属性是用户名、OU。身份目录是国网用户的权威数据源。所有国网总部的用户都从身份目录中开始创建、修改、删除。该目录下的用户具有最全面的用户信息，它实时向认证目录和资源目录中同步用户信息。1.2 单点登录流程对于Novell Access Manager产品实现的应用系统单点登录，其流程如下：1、用户访问某个应用系统的单点登录url；2、Novell访问网关截获该访问请求，展示统一的单点登录页面；3、用户在统一的单点登录页面中输入统一的认证用户名和密码（即在认证目录中的用户名和密码）；4、单点登录认证管理模块获取用户的录入信息，并与认证目录中的用户名和密码进行匹配验证，如果验证失败则返回：用户登录失败；5、验证通过后，单点登录认证管理模块将用户请求的应用系统url与内部的访问控制管理策略匹配，如果发现用户排除在允许访问的策略之外则返回：用户对指定资源的访问遭到拒绝；6、用户验证通过后，同时也被内部策略允许访问指定的资源，则单点登录认证管理模块从该用户的映射信息中提取出当前用户在指定应用系统的认证信息，提交给应用系统的认证管理模块；7、应用系统的认证管理模块验证接收到的用户映射信息，不通过则返回给单点登录认证管理模块，然后由单点登录认证管理模块自动删除认证目录中记录的错误映射信息，并要求用户填写正确的映射信息；8、应用系统的认证管理模块验证用户映射信息通过，则向用户展示已登录信息，表示用户通过统一的认证入口单点登录到指定的应用系统中；9、如果用户在已登录的应用系统中链接访问其他应用系统，由于用户已经通过统一的认证入口，因此用户对其他应用系统的访问将依照第5步开始单点登录到任意授权访问的应用系统中。由以上过程可知，单点登录过程要跨越两个认证过程：统一的认证入口和应用系统的认证管理模块。在认证完成后，有两处可以控制用户的访问权限，分别是通过统一认证管理模块和应用系统认证管理模块来控制，其中应用系统认证管理模块可以进一步使用分组和角色的方式来管理用户的访问权限。统一认证管理模块只能在访问控制策略中根据认证目录中的用户属性来控制哪些用户被允许或者被拒绝访问哪些Web资源（即应用系统url集合）。1.3 单点登录接入方式根据Novell单点登录产品的特性，目前支持两种方式的单点登录接入方式：FormFill自动填表方式和身份注入。这两种方式都可以实现在统一认证完毕后，把特定信息（用户LDAP属性信息或者与应用系统用户的映射信息）传递给应用系统自身的认证模块来实现单点登录。1.3.1 FormFill自动填表通过表单进行登录的应用系统在登录时均有一个登录页面，可以对该登录页面上需要提交的表单项设置自动填表策略。例如，在某个登录页面中，用于实现登录的表单的名称为：login，需要提交的用于表示用户名的变量名为：username,用于表示用户密码的变量名为password,那么填表策略就可以设置如下：表单名称：login提交的内容：变量名称：username;类型：text变量名称：password;类型：password是否自动提交：是该策略工作的方式：当用户访问到该页面时，如果该用户有权限访问该页面（由AM的保护资源设置决定），该策略首先确定该页面是否存在login这个表单，如果存在，就将策略里面定义的username,password填写到login表单对应项中（由AM的FormFill策略决定），并模拟用户自动提交表单。应用系统接收到登录页面提交的用户信息后，应用系统认证模块验证用户名和密码，通过后返回登录成功的页面。也就是说，应用系统使用自身的认证模块来认证用户，AM实现单点登录的方式是模拟用户填写表单并提交。统一认证系统只负责判断用户是否允许访问资源以及传递后台应用系统所需要的信息。1.3.2 身份注入除了通过表单提交来登录，另外一种比较常见的登录认证方式就是基本认证，简称基本认证。该认证的自动登录可以使用身份注入策略实现。身份注入策略默认支持基本认证的方式。可以通过在认证目录中获取当前用户的属性信息，并自动将用户属性添加到基本认证头信息里面以实现与应用系统的交互。如果该用户合法，基本认证通过，用户就被允许登录应用系统。同时，身份注入策略也可以提交自定义的头信息。也就是说如果应用系统需要其它用户信息也包含在头信息里面，可以通过身份注入策略自定义头信息来匹配应用系统所需要的其它信息。进一步方便了应用系统同统一认证系统的集成。例如，一个应用，使用基本认证，同时它还需要在头信息里面传递用户的邮箱信息，身份注入策略可以如下定义：使用身份注入策略方式：基本认证用户自定义头信息基本认证：传递用户名和密码用户自定义头信息：传递用户邮箱信息通过该策略，当用户访问该登录页面时，身份注入策略将自动获取该用户的用户名和密码以及用户的邮箱传递给后台应用，通过基本协议实现自动登录应用系统。二、国网应用系统单点登录集成2.1国网应用系统集成分类目前在国网统一身份管理系统中参与单点登录集成的应用系统可以分为如下四类：1、应用系统认证模块（不包括CA认证）可直接指向LDAP目录系统。某些应用系统使用产品（例如Bea的门户产品）管理应用系统的认证和授权，而这些产品可能支持把用户认证直接指向LDAP目录。对于此种类型的应用系统，可以把用户认证直接指向总部的认证目录，用户的存储和管理由总部目录来统一实现。目前国网总部的门户即是采用该种方式完成门户系统的认证。2、应用系统认证模块（不包括CA认证）不可直接指向目录系统，但是应用系统的用户管理系统待建。应用系统的用户管理系统待建，即应用系统还没有建设好自身的用户管理系统。对于此类型的应用系统，强烈推荐用户命名遵循国网总部认证目录命名规范。按照此要求建设的应用系统，在实现单点登录集成时，可直接通过用户名与总部的用户建立关联。应用系统的用户与总部目录的用户采用一致的命名规范，将来做一体化建设时应用系统的改造工作量最小化，用户体验感最好。3、应用系统认证模块（不包括CA认证）已经建成，应用系统用户与国网总部目录中的用户不存在直接关联关系。对于绝大多数已建系统，都属于此类型的应用系统。单点登录时必须首次激活方式建立总部认证目录用户与应用系统中用户的映射关系，该映射存储在认证目录用户的特定属性中。4、应用系统采用或者拟采用CA认证。在国网统一身份管理系统中，用户单点登录时首先需要通过统一的认证入口。目前统一认证入口正在建设CA认证，使单点登录认证模块接受CA认证。因此，对于应用系统自身已有的CA认证，建议更改整个应用系统的架构。改建后的应用系统应不包含CA认证。如果要确保应用系统与单点登录认证模块之间的通信安全，可以采用SSL加密传输。单点登录认证模块已支持CA认证的情况下，如果应用系统保持自己的CA认证，则需要将应用系统中用户的私钥信息保存在总部认证目录中。这样做将存在严重的安全隐患：（1）只要是有权查看这些私钥的用户（比如管理员）均可以将这些私钥挪做它用，比如重新签发证书，伪造档案等等，这对用户来说是非常不安全的做法。（2）如果都将用户的私钥存储在统一认证系统中，将会导致统一认证系统中的证书十分难以管理，特别是对于一个用户比较多的系统来说，将会严重影响整个系统的执行效率。2.2应用系统权限管理模式以上是根据单点登录方式的应用系统分类。应用系统单点登录成功后，还要进一步确认已登录用户的访问控制信息（即用户授权）。以下是分别对应以上四类应用系统可采用的授权方式：1、应用系统认证模块（不包括CA认证）可直接指向LDAP目录系统这类应用系统的访问控制，直接由总部资源目录来控制。在总部资源目录相应的分支下存储应用系统的相关信息以及应用系统的角色分组信息。角色分组依照用户的属性和用户的组织机构信息设定。当用户通过认证后，应用系统按照如下步骤实施访问控制：（1）应用系统认证管理模块访问总部资源目录，根据已认证的用户ID获取其角色和分组信息；（2）应用系统根据角色和分组信息实施应用系统资源的访问控制。2、应用系统认证模块（不包括CA认证）不可直接指向目录系统，但是应用系统的用户管理系统待建。这类应用系统的访问控制，完全由应用系统自身来控制。实现过程如下：（1）应用系统的用户管理模块从总部身份目录同步用户信息到本地，保证用户的一致性；（2）应用系统为本地用户设定组和角色信息来控制用户的访问；（3）当通过统一认证的用户访问应用系统时，应用系统根据认证用户ID到本地用户中查找相同ID用户的组和角色信息，实施本地资源的访问控制。3、应用系统认证模块（不包括CA认证）已经建成，应用系统用户与国网总部目录中的用户不存在直接关联关系。这类应用系统的访问控制，同样完全由应用系统自身来控制，但是步骤更为复杂，实现过程如下：（1）应用系统的用户管理模块从总部身份目录同步用户到本地，由应用系统管理员建立总部用户与应用系统用户之间的关联关系；（2）应用系统为应用系统用户设定组和角色信息来控制用户的访问；（3）当通过统一认证的用户访问应用系统时，应用系统根据认证用户ID到关联表中查找在应用系统中的对应用户；（4）应用系统根据找到的对应用户来确认当前认证用户的组和角色信息，实施本地资源的访问控制。4、应用系统采用或者拟采用CA认证。如前所述，采用CA认证的应用系统需要经过系统框架改造才能接入统一身份管理系统。在改造完毕后，应用系统的框架将是以上三类中的一种，因此访问控制也将遵循相应的规则，因此不再重复介绍。2.3单点登录集成要求通过Novell单点登录产品可以对应用系统提供统一认证接口，也可以方便地与应用系统进行集成。同时，为了支持在多种情况下对应用系统进行集成，Novell单点登录产品还提供了多种方式对应用系统的登录环境进行支持，以提供对有特殊需求的应用系统的支持。在应用系统中部署Novell单点登录产品后，部分应用系统现有的认证方式以及部分安全措施有可能导致和它集成比较困难。为了提供对应用系统比较通用的支持，同时，为了简化访问控制，以及便于监控和跟踪统一认证系统的事件，应用系统需要满足以下条件。对于新建应用系统，必须严格遵循本接口规范的要求，以便规范和统一管理。2.3.1 新建应用系统的集成要求新建应用系统必须满足如下集成要求：（1）新建应用系统不须自行认证新建应用系统必须接收从认证系统传递的用户名及其它必要的认证信息，传递方式可通过HTTP Header或Form Fill（2）新建应用系统进行自身内部功能模块的用户权限分配根据不同的业务需要，各应用系统内部的角色与权限分配会有相当大的差异，现阶段还不便于统一、集中管理。由各应用系统自身的授权模块，来进行内部的用户权限分配。（3）新建应用系统应保留退出功能（用于终止应用系统用户会话）用户退出应用系统时，需要终止应用系统的用户会话，以节约与回收资源。这就需要新建应用系统仍保留用户退出功能。以上新建系统的三点集成要求，目的是为了使新建的应用系统成为第一类应用系统，即直接使用国网认证目录作为认证来源的应用系统。2.3.2 FormFill方式接入集成要求当应用系统采用FormFill自动填表来实现单点登录时，必须满足如下集成要求：（1）登录表单页面尽量少用Javascript在对登录页面采用Form Fill方式传递用户名和密码时，登录页面中尽可能少用Javascript。AM提供了对页面中的Javascript动态执行的能力，即它可以动态的执行登录页面中的Javascript，并将执行的结果返回到需要提交的页面中，在登录的时候进行提交。如果一个页面中在提交的时候需要执行大量的Javascript，或者Javascript比较复杂的时候，AM需要耗费一定的系统事件以及系统资源来动态执行页面中的JavaScript，将在一定程度上加重AM的负载。AM本身就既要管理用户访问，同时还要进行页面缓存以及反向代理功能，负载已经较大，在能够减少其负载的情况下应该尽量减少其负载，以使得整个统一认证系统的执行效率保持在一个比较良好的状态。（2）登录表单域的变量名必须是静态值登录表单域（无论是显式定义的，还是隐藏变量）的变量名必须是静态的，也就是不能通过后台生成。AM中，在对需要提交的表单中有一个对表单进行自动提交的策略，策略里面预先定义了需要提交的变量以及提交的方式。通过该策略，可以很方便的将当前页面上的内容进行自动提交。由于策略里面需要预先定义提交的变量，也就说明，这些变量的名称应该是不变的，这样才能保证策略里面定义的变量能够唯一并且正确的对应到提交页面上的某个变量。如果提交的变量的名称是自动变更的，或者是由后台动态生成的，在使用策略进行提交的时候，很有可能导致提交的变量不完整，或者提交的变量与系统所需的变量内容不对应。这种情况下，将严重影响AM和应用系统的集成。（3）登录表单域的值不能动态创建登录页面中，不使用由后台页面动态生成的参数，例如随机数，验证码，用于简化访问控制。和上面一点一样，AM中最好不要涉及由后台动态生成的随机的，或者其它无法确定其内容的变量。其中，随机数和验证码只是为了保证应用系统的基本安全，和用户本身无关，这种情况下，AM的策略里面是无法找到与其相对应的属性进行提交。举例来说，验证码主要是为了防止恶意提交或者恶意刷新。但是其动态生成的内容是通过图片显示出来，并不能直接通过读取页面的编码内容来获得其具体的值，这种情况下，AM是无法获取到这个验证码的内容，当然也就无法提交该内容。也就是说，AM中提交的信息只需要能够直接从页面代码中直接获取并且有固定的值，其它随机生成的内容需要舍弃。同时，验证码之类随机产生的信息主要是为了保证应用系统的安全，但是在目前的系统环境中，应用系统都是位于AM以及硬件防火墙之后，安全保证已经比较完善。这种防止恶意提交以及刷新在AM端已经可以阻断，后台应用系统没有必要再对这一部分做更多的操作。（4）应用系统应提供登录表单的资源绝对URL对于需要执行登录策略的资源，应当能够定位到具体的页面或者资源。登录策略需要绑定到某个具体的页面或者资源上才能执行，如果资源不确定，或者是通过动态生成，并且名称会变动，将导致登录策略无法执行。（5）应用系统登录/登录出错/退出功能应使用不同的URL在AM中，可设置对哪些具体的资源使用填表或者身份注入策略。这些策略可以在当用户访问到这些页面的时候自动执行以实现自动登录。由于需要对登录页面设置自动登录的策略，也就是当用户访问到登录页面的时候，AM通过事先对该页面设置的策略，自动将该页面所需要的内容进行提交，用户就不用手工输入这些信息并进行登录。但是，如果将登出的页面和登录的页面设置为同一页面，当用户在登出系统后，页面又转回登录页面，当转回登录页面时，由于在AM中有对该页面的自动登录策略，该用户又会被该策略自动的登录进应用系统。这种情况下用户将不能登出系统。同样，如果将登录出错页面和登录的页面设置为同一页面，当用户在登录系统失败后，页面又转回登录页面，当转回登录页面时，由于在AM中有对该页面的自动登录策略，该用户又会被该策略自动填表登录应用系统，造成死循环。在AM中，可以通过判断一个具体的页面中某个表单的名字来区别不同的表单以实现在同一页面区别不同的操作。也可以识别某个表单里面是否含有一个固定的字符串来确定唯一的符合条件的表单。通过这两种方式，也可以解决上述问题。但是如果使用这两种方式，AM会在每次访问该页面时对整个页面进行处理，这样会严重降低AM的处理能力以及速度。所以，不推荐使用这两种方法来解决以上问题。最好是将登录、登录出错以及登出的页面区别开来。（6）登录应用系统用户名为空时，不要弹出“用户名为空”对话框有些应用系统在用户名或密码输错时会转入登录失败界面，但用户名为空则会弹出“用户名为空”对话框，这会使在单点登录时无法继续下去，应用系统应做相应改造，使用户名为空时也转入登录失败页面。2.3.3 身份注入方式集成要求当应用系统采用身份注入方式来实现单点登录时需满足一下要求：（1）应用系统应尽量避免在Header中需要密码因为在Header中传递密码是非常危险的操作。如果应用系统要求必须要有密码信息，则必须建立应用系统与AM网关之间的SSL加密通道。（2）应用系统使用Header中的信息来认证时需要的Header信息必须是国网总部认证目录中用户已有的属性或者由这些属性衍生的角色信息或者常量信息目前国网认证目录中包含的用户属性有：用户在LDAP目录中的基本属性和密码、用户的部门信息、用户与各个应用系统用户的映射信息（映射的用户名和密码）。如果应用系统需要根据用户的以上信息确定角色并在Header头部中获取相应的角色信息，则需要由应用系统详细罗列这方面需求。如果应用系统的Header认证还包含传递某些常量信息，同样需要在做单点登录前列出需求。如果应用系统采用Header认证时，需要的信息包含在以上三类信息之外，则必须改造Header认证方式，使认证需求控制在以上三种范围内。2.4 单点登录集成流程1、应用系统单点登录改造。改造的工作量决定于应用系统采用的单点登录接入方式以及应用系统采用的认证管理模式。（1）如果应用系统是B/S结构，并且采用FormFill表单进行认证，则需要改造登录页面使之满足2.3.2节中的页面需求。如果是建设的新系统，还需要满足2.3.1中的建设需求。（2）如果应用系统是B/S结构，并且采用身份注入方式进行认证，则需要确保Header认证信息的需求在2.3.3指明的范围内，并做相应的材料提供。（3）如果应用系统按照2.3.1或者2.3.2改造困难，可以考虑在集成时采用2.3.2节中最后部分介绍的方式，改造登录、登出和登错页面，使页面包含有固定特殊字符，然后由AM产品遍历查找方式来匹配页面。这是非常影响单点登录效率的一种改造方案，需谨慎使用。应用系统改造完毕后，需与单点登录集成方确认改造后的系统是可被集成的。2、认证需求确认在应用系统改造完毕后，应用系统根据自身认证方式提供应用系统认证说明文档。该文档指明应用系统独立运行时的访问控制流程、用户管理方式、权限管理方式，并指明应用系统拟采用的单点登录接入方式。如果是采用FormFill方式接入，则提供登录、登出、登错页面的静态url地址以及登录页面中需提交的Form表单名称、表单项名称列表、表单项取值范围。如果是采用Header方式接入，则提供在Header中应包含的项的名称以及取值特点，如果Header中需要传递用户的角色信息还需要提供角色名称列表以及角色定义规范。3、设计应用系统单点登录集成后的权限管理方式，交由应用系统确认并做相应改造（1）如果应用系统的认证信息直接指向总部认证目录并且拟采用FormFill方式接入，则需要在总部资源目录中建立该应用系统的相关组、角色信息管理机制。同时，应用系统需按照以下方式改造访问控制流程：应用系统单点登录时，到总部认证目录中匹配用户名和密码；应用系统权限管理时，到总部资源目录中获取用户的角色和分组信息，然后根据角色分组信息实施访问控制。如果应用系统要改变分组或者角色，需同步修改总部资源目录中的应用系统信息。（2）如果应用系统的认证信息信息直接指向总部认证目录并且拟采用Header注入方式接入，则需要在AM中预配置应用系统的角色机制。同时，应用系统需按照以下方式改造访问控制流程：应用系统单点登录时，接受总部认证目录中用户的属性信息注入；应用系统权限管理时，接受Header中传递的用户角色，然后根据角色分组信息实施访问控制。如果应用系统修改角色，需同步修改AM中的角色配置策略。（3）如果应用系统的认证信息存储在本地且用户命名遵循国网总部目录用户命名规范，则应用系统的权限由应用系统自身来管理和控制，流程遵照2.2节中第二类应用系统权限管理模式。（4）如果应用系统的认证信息存储在本地且用户命名不遵照国网总部目录用户命名规范，应用系统的权限同样由应用系统自身来管理和控制，流程遵照2.3节中第三类应用系统权限管理模式。4、确认与总部门户集成时的单点登录访问控制模式由于某些应用系统只允许国网总部认证目录中的部分用户（某些部门分支下或者属性具有特定值的用户）访问，因此在单点登录集成后必须在总部门户上为应用系统的这种需求设置单点登录访问控制管理。国网总部与应用系统共同确立总部认证目录中被允许从总部门户单点登录到应用系统的用户列表以及允许规则（即被允许的用户具有的特性），生成从门户单点登录到应用系统访问控制说明文档。单点登录集成方根据该文档协调总部门户选择以下两种方式中的一种实现从门户单点登录应用系统时的访问控制管理：（1）总部资源目录管理建立门户应用分支，并在门户下按照单点登录的应用系统建立分组。各个应用系统允许访问的用户对应添加到分组中。当用户通过统一认证后进入门户时，门户系统访问总部资源目录中门户应用分支下的分组信息，确认当前用户具有的应用系统访问url列表，并在门户界面上显示。该方式的特点是用户的单点登录权限在总部资源目录中统一设定，符合一体化平台建设方针。同时，分组也可以改成按照角色来分配，可批量设置用户的权限。（2）门户的授权系统同步认证目录中的所有用户到本地，为每个用户单独设置在门户中可见的功能模块，这些功能模块中就包含被允许访问的单点登录应用系统。该方式的特点是用户的单点登录权限由门户管理员来分配。用户必须从身份目录同步到门户系统，然后由门户的管理员为用户设定可访问的单点登录应用系统列表。5、单点登录配置单点登录集成方根据应用系统认证说明文档设计在AM上配置单点登录的策略，并向国网总部以及应用系统方提供应用系统单点登录集成实施方案。各方确认后按照最终实施方案实施单点登录配置，使应用系统的资源成为AM的保护资源。6、应用系统单点登录后期改造在AM中为应用系统配置了单点登录后，需要应用系统根据配置的保护资源参数改造应用系统的登出逻辑。目前登录有两种需求：（1）总部门户系统登出。该种情况下，当用户点击登出时，需要关闭统一认证代理上的会话。使用户退出单点登录系统，即到其他应用系统的会话也同时断开。采用关闭代理会话方式登出时，需要在登出时调用AM的登出命令完成。（2）其他应用系统的登出。该种情况下，当用户点击登出时，需要关闭当前打开的应用系统窗口。而位于统一认证代理上的会话将继续保持，直到用户通过总部门户登出。在总部门户未登出的情况下，用户可随时重新登录到应用系统中而无需再次认证。采用关闭窗口方式登出时，需要使应用系统登出时仅关闭当前窗口（不允许回到应用系统的登录页面，否则会重新单点登录导致一直保持进入系统的状态）。三、身份同步规范身份同步指通过目录系统，将应用系统与企业门户的用户信息进行同步，使用户在登录企业门户系统后，修改用户信息（如密码等）后，目录系统将用户修改信息同步到应用系统应中，用户不需要在应用系统中再次修改密码，就可以通过身份认证，实现单点登录。3.1用户身份数据流如图3-1所示，身份目录与应用系统数据库是单向同步关系，身份管理系统通过同步通道（目录至数据库）将身份目录中的用户帐号、中文全名、状态、密码、禁用标志等属性同步到应用系统。 图3-1 身份目录与应用系统用户身份同步数据流需要应用系统方提供如下形式的数据库信息，说明具体需要同步的属性对照值目录属性中间表字段应用系统（用户表）字段类型及大小描述sgccAppAccountACCOUNTUSER_IDVARCHAR2(30)用户登录名nspmDistributionPasswordPASSWORDPASSWORDVARCHAR2(128)用户密码sgccAppLoginEnableAPPCLOGINENABLEACCOUNT_STATUSNUMBER(1)针对应用系统登录权限Login DisabledLOGINDISABLEDACCOUNT_STATUSNUMBER(1)针对整个目录系统登录权限Full NameUSERNAMEU