在何处存储人员信息LDAP或数据库

Question

在我们的应用程序中，我们正在评估存储所有人员信息(姓名、电子邮件、电话、部门、出生日期、聘用日期、执照/证书、角色等)的位置。我们将使用LDAP/Active Directory进行用户身份验证/授权，因此这些数据中至少有一部分将进入LDAP服务器。我们的HR模块和其他应用程序也需要其中的一些信息，并且它们之间存在重叠。我们正在考虑将所有信息存储在LDAP中，并在登录过程中使用用户ID作为对LDAP用户的引用，并填充用户的其他详细信息。除了我们的应用程序之外，还会有其他应用程序使用相同的用户信息。如果我们不在ldap中存储人员详细信息，我们将需要在每个系统中复制和同步用户信息。无论如何，登录信息都需要LDAP。关于在LDAP或DB表中存储人员详细信息，您有什么建议？

Answer 1

一般来说，Active Directory不是放置像你列出的那样敏感的PII的好地方。它绝对没有技术原因不能存储这些数据，但是，保护这些数据更加困难。这当然不是不可克服的，但我绝对建议将人力资源数据与人力资源保持同步，并同步AD所需的任何人口统计信息。

使用HR系统中的员工ID值将关系维护回AD。

Answer 2

在我们公司，我们建立了一个中间件和一个中间数据库，每天更新3次。中间件是一个从SAP生成数据的ABAP远程函数，SAP是一个C#程序，它使用SAP .NET连接器调用远程函数，检索数据并将其保存在Oracle数据库中。

此数据库用于与Active Directory交换信息。然后，Exchange、messenger、SharePoint等系统获取该活动目录的信息。其他内部系统也可以访问Oracle数据库。我们体验到的优势是，我们避免了每次访问SAP和Active Directory所带来的开销。我们一天只访问它们3次，但用户每秒都要访问Oracle数据库。

希望能有所帮助。