Meilleures pratiques en matière de normes relatives aux noms d'utilisateur: éviter les problèmes

59

Je voudrais savoir quelles sont les expériences des utilisateurs avec les noms d'utilisateur standard. J'ai toujours été dans des endroits qui utilisaient {firstInitial} {lastname} (parfois avec une limite de longueur). Maintenant, j'ai des utilisateurs qui veulent {prénom}. {Nom} , et il est maintenant évident que la période peut poser problème.

Plus précisément:

  • Quelle est la meilleure longueur de nom d'utilisateur à utiliser pour maintenir la compatibilité entre toutes les utilisations?
  • Quels personnages devraient être évités?

MISE À JOUR: La raison pour laquelle je n'ai pas mentionné les détails est que je voulais être assez général pour gérer tout ce qui pourrait arriver à l'avenir. Cependant, cela peut être une exigence trop générale (tout peut arriver, n'est-ce pas?).

Voici notre environnement: Ubuntu Server Lucid Lynx 10.04 LTS, Red Hat Enterprise Linux 5.6 et versions ultérieures, Windows Server 2003 et Windows 2000 Server (avec Active Directory en mode natif Windows 2000), Zimbra 7.x pour la messagerie et OpenLDAP à proximité. futur.

UPDATE: Je devrais mentionner (pour être complet) que j'ai vu cette question (bien que cela ne réponde pas à ma question posée) et aussi ce post sur le Web , qui étaient tous deux très instructifs.

user-accounts best-practices Mei
la source
4
Vous n'avez pas mentionné le système d'exploitation / l'application. Voulez-vous le rendre trop général pour être appliqué à un système d'exploitation / application?
Khaled
13
Notre entreprise de 80 000 personnes utilisait la norme {firstInitial} {lastname} pour la connexion et l'adresse électronique. Nous avons changé les choses après un appel de colère de M. Thomas Watts dont le courrier électronique était bloqué par notre pare-feu. Avoir suffisamment de personnes et il y aura un problème.
MaskedPlant
13
@MaskedPlant: J'adore les noms d'utilisateurs amusants. Un client a déjà utilisé une norme IBM RACFID "quatre premiers caractères du nom de famille, première initiale, initiale du deuxième prénom". "Susan Penington" n'était pas contente de cela, comme vous pouvez l'imaginer. "Mary Utt" n'était pas non plus contente de l'initiale / du nom de famille sur un autre site ...> smile <
Evan Anderson
4
{initiale initiale} {nom de famille} semble être la plus courante et est relativement sûre pour les petites et moyennes entreprises. Il est beaucoup plus facile pour le service des ventes d’avoir une convention commune en place lorsque vous passez des appels téléphoniques et parlez entre professionnels.
Chad Harrison
2
Je pense à un strip de Dilbert: search.dilbert.com/comic/Utthead
KeithS

Réponses:

65

Il s’agit d’un problème chronique rencontré par les grands systèmes de gestion des identités qui tentent de coller des systèmes hétérogènes. Invariablement, vous serez limité au plus petit dénominateur commun, qui est trop souvent une limite alphanumérique ASCII à 8 caractères, grâce à un système (probablement hérité) de type Unix quelque part dans les entrailles du centre de données. Ces systèmes modernes sophistiqués peuvent prendre une longueur arbitraire. Les noms d’utilisateurs UTF8 ne seront probablement pas utilisés.

J'ai passé 7 ans dans un établissement d'enseignement supérieur où nous devions trouver des noms d'utilisateur à 8 caractères pour 5 000 nouveaux étudiants chaque année. Nous avions réussi à trouver des noms uniques pour 15 ans d’étudiants au moment de mon départ. Cela peut être fait, M. smitj510

Des choses qui vous rendront la vie infiniment plus facile:

  • Déterminez quel est votre plus petit dénominateur commun, ce qui nécessite d'analyser chaque partie de votre système de gestion des identités pour en déterminer les limites.
    • Cet ancien système Solaris 7 impose la limite de 8 caractères.
    • Les applications critiques qui utilisent des données d'identité ont leurs propres limites à prendre en compte.
      • Ils s'attendent peut-être à ce que les données utilisateur de LDAP se conforment à une "norme" unique.
      • Peut-être que la base de données d'authentification qu'ils utilisent ne peut gérer que certaines données formatées.
  • Ayez une table de base de données avec une liste du One True Identifier (ce nom de compte à 8 caractères), avec des liens / champs listant d'autres identifiants, comme firstname.lastnametout ce qui pourrait arriver.
    • Un logiciel standard peut faire des choses vraiment bizarres et peu favorables à l'IDM, comme utiliser un identifiant numérique pour le nom du compte ou générer automatiquement des identifiants de compte basés sur les données de profil. Tout cela va aussi dans la table de base de données.
    • Cela aide également les personnes dont les noms ne sont pas [az | 0-9] comme Harry O'Neil ou celles qui ne sont pas ASCII comme Alžbêta.
  • Lorsque vous créez vos processus de synchronisation de compte, utilisez cette table de base de données pour vous assurer que les bons comptes obtiennent les bonnes mises à jour. Lorsque les noms changent (mariage, divorce, autres), vous voulez que ces changements se propagent aux bons endroits.
    • Configurez les bases de données d’identité elles-mêmes afin d’empêcher autant que possible les modifications locales et les processus d’entreprise de décourager fortement cela lorsque cela n’est pas possible. Faites confiance au processus central de synchronisation des comptes pour tout ce que vous pouvez.
  • Tirez parti des systèmes de pseudonymes chaque fois que vous le pouvez, par exemple dans un courrier électronique.
  • Considérez l’identifiant 8 caractères immuable, car la modification de ce champ peut provoquer beaucoup de chagrin parmi le personnel informatique, car les comptes doivent être recréés.
    • Cela suggère un identifiant de compte non dérivé des données de nom, car un mariage / un divorce / une décision de justice peut modifier les données de nom au fil du temps.
  • Ayez un système en place pour les exceptions, car il y en aura toujours.
    • Un divorce horrible et cet identifiant UID à 8 caractères généré par les données de noms vous rappelle des souvenirs déchirants chaque fois que vous devez le saisir? Soyez gentil avec vos utilisateurs et permettez un mécanisme pour ces changements, mais restez silencieux.
  • Faites ce que vous pouvez pour autoriser plusieurs connexions par nom d'utilisateur dans les systèmes pour lesquels c'est une option.
    • Certaines personnes aiment leur uid à 8 caractères, d'autres le prénom pré[email protected]. Soyez flexible, faites-vous des amis.
    • Parfois, cela nécessite que vos systèmes Web soient confrontés à un cadre de connexion unique tel que CAS . Vous serez surpris du nombre de systèmes disponibles pouvant prendre en charge des frameworks SSO comme celui-ci, alors ne vous découragez pas.

C'est-à-dire, traitez-le comme un problème de base de données, car c'est ce qu'il est. Choisissez une clé primaire pour une compatibilité maximale avec vos systèmes (probablement 8 caractères), créez une table de correspondance pour permettre aux systèmes de convertir les ID locaux en clé primaire, et concevez vos systèmes de synchronisation de données pour gérer différents ID.

sysadmin1138
la source
4
Réponse fantastique et bien écrite (et éclairante)!
Mei
12
+1 Pour ne pas dériver des noms d'utilisateur à partir de données de nom. Devoir renommer les répertoires personnels à cause du mariage / divorce est irritant. Votre déclaration à propos de "personnages étranges" me fait penser à Little Bobby Tables et au concierge de mon ancien lycée, qui, je suis sûr, a des problèmes pour acheter des choses en ligne, M. Robert Null (je ne vous en prie pas).
Evan Anderson
J'aime bien la "avoir un système en place pour les exceptions, car il y en aura toujours." partie. C'est vraiment très vrai. Bien que je ne vois pas comment faire smithj510un bon nom d'utilisateur à huit caractères;)
scherand
2
+1 pour aborder le mariage et le divorce. Cela a causé tant de problèmes. De nombreuses entreprises agissent comme si les employés étaient les premiers à devoir changer de nom.
mhoran_psprep
5
@mhoran_psprep Et si vous êtes assez grand, vous allez obtenir quelqu'un qui fait un cadre juridique premier changement de nom. De nombreux systèmes configurés pour les modifications de nom de famille se cassent dans ce cas.
sysadmin1138
26

Vos questions en particulier:

  • Quelle est la meilleure longueur de nom d'utilisateur à utiliser pour maintenir la compatibilité entre toutes les utilisations?

Il n'y a rien comme ça. Il n'y a que "vos" utilisations, qui peuvent inclure vos utilisations futures. Nous n'avons aucune idée de ce que c'est.

  • Quels personnages devraient être évités?

Cela dépendra des systèmes informatiques avec lesquels vous traitez. Windows, par exemple, n'a aucun problème avec un point dans le nom d'utilisateur. En fait, l'UPN est formaté comme une adresse électronique, ce qui permet un point.

Mes autres pensées:

  • Ne laissez pas vos utilisateurs demander: expliquez-leur quelle est la norme et restez ouvert aux entreprises (et non à des utilisateurs individuels) pour demander des modifications à la norme à mesure que les exigences changent.
  • Établissez une "politique d'exception" dans la norme afin de pouvoir aider les pauvres Susan Penington et Mary Utt (d'après les commentaires ci-dessus) sans avoir à faire appel à un vice-président. Faire en sorte que ça soit bien, non?
Mfinni
la source
15
Ce dernier commentaire vaut un +50 :)
Mei
2
Venir avec des exceptions raisonnables est critique. Nous avons eu de nombreuses exceptions au fil des ans: plusieurs utilisateurs avec le même prénom et le même nom de famille, des utilisateurs avec un nom de famille très long, des utilisateurs dont le nom et le prénom étaient identiques, des utilisateurs venus de Chine et des RH ont obtenu leur nom totalement brouillé, quelqu'un dont le nom était orthographié 'Raymond Luxury-Yacht', mais prononcé 'Throatwobbler Mangrove' ...
Ward
BobHope, BobHope01, BobHope3, BobHopeComptabilité, BobHopeHartford
mfinni
2
Oui pour l'exception! Certains pays d'Afrique ne connaissent même pas les concepts de "prénom" et de "nom de famille": le prénom du père devient le nom de famille du fils, et le fils prend un nouveau prénom ...
Konerak
2
Je recommanderais d'aller au-delà d'une stratégie d'exception et d'identifier les utilisateurs qui en bénéficieraient probablement au moment de la création du compte initial. "Mon nom d'utilisateur est horrible" ne devrait pas être quelque chose qu'un nouvel employé devrait avoir à s'inquiéter le premier jour. Une explication de la politique standard combinée à la reconnaissance du fait qu’elle pourrait ne pas convenir à un individu et à une alternative suggérée est beaucoup moins stressante. Peut-être même obtenir les informations de contact des ressources humaines afin que vous puissiez résoudre le problème avant leur premier jour.
Dan Neely
20

Mon expérience a été que, pour une entreprise suffisamment grande, toute décision que vous prenez aura toujours des problèmes. Même si cela fonctionne aujourd'hui, il y a toujours le système que vous implémenterez demain qui a des problèmes avec la norme précédente (problèmes de longueur, problèmes de caractère, etc.).

Assurez-vous de savoir si le push pour Firstname.Lastname se rapporte à un courrier électronique et pas nécessairement à des noms de connexion. J'aurais du mal à croire que l'utilisateur veuille taper "John.Smith" au lieu de "jsmith" lors de la connexion, mais je suis beaucoup plus vendu sur l'idée qu'il veut "[email protected] "comme son adresse email. Comme @Mfinni le fait remarquer, les utilisateurs ont toujours la possibilité de posséder plusieurs alias de messagerie, des transferts, etc. Le simple fait de savoir aux utilisateurs que la possibilité existe de découpler leur nom d'utilisateur de leur adresse électronique peut modifier la dynamique de la demande.

Evan Anderson
la source
1
Et ce n’est pas comme si les utilisateurs ne pouvaient avoir qu’une seule adresse électronique. Il y a toujours des alias et des transferts.
Mfinni
3
Nos utilisateurs et nos adresses électroniques principales sont toujours identiques. Nous demandons donc simplement à nos utilisateurs de se connecter avec leur adresse électronique où qu'ils tentent de se connecter. Fonctionne très bien, car nous ne possédons aucun ancien logiciel sur lequel nous comptons. netbios.
Pauska
Mon expérience a été que, pour une entreprise suffisamment grande, toute décision que vous prenez aura toujours des problèmes. Même si cela fonctionne aujourd'hui, il y a toujours des problèmes dans le système que vous implémenterez demain. "- Pouvons-nous appeler cela la loi des Andersons?
Freiheit
@Freiheit: Ma déclaration ne mérite pas son propre nom ...> smile <C'est en réalité juste dû à l'application générale de la loi de Murphy à l'informatique. Murphy vit dans l'informatique ...
Evan Anderson
1
Je voudrais si je n'avais pas ce wiki de communauté maintenant ...> smile <
Evan Anderson
13

Pour les systèmes Unix et Linux, {firstInitial} {lastname} est clairement l' idéal.

...

pour des raisons qui devraient être évidentes du nom associé à ce compte.

Robert Oot
la source
3
Je ne suis pas en désaccord, mais pouvez-vous expliquer pourquoi vous dites cela?
Mfinni
En fait, je ne suis pas d'accord. Lors de mon dernier travail sur les systèmes AIX, nous étions limités à 8 caractères. Ainsi, mfinnigan aurait été impossible; Je devais être mfinniga. Alors s'il vous plaît, développez votre réponse un peu.
Mfinni
2
C'est une réponse subjective sans explication. On pourrait tout aussi facilement dire que, pour UNIX, {firstInitial} {middleInitial} {lastInitial} est "idéal", car c'est ce qui a commencé avec UNIX et c'est resté ainsi pendant des années (jusqu'à ce que des entreprises de milliers d'employés avec des noms d'utilisateur l'utilisent ...)
Mei
10
Euh, je pense que ce pourrait être une blague. Son nom serait "root", un utilisateur important sur les systèmes Unix.
Jeffrey
4
... R obert Oot ... Aïe ! MARRANT! Je ne sais pas comment ça m'a manqué.
Mei
7

Une chose à prendre en compte lors de la définition des normes de nommage sur les plates-formes est un problème esthétique particulier dans ps sous Linux (et éventuellement sous d'autres systèmes d'exploitation Unix). Vous pouvez vous en soucier ou non (mais cela peut être alarmant pour quelqu'un qui ne s'y attend pas ... J'ai eu des problèmes de sécurité chez celui-ci).

La colonne UID n'affichera que 8 caractères maximum d'un nom d'utilisateur. Si le nom d'utilisateur est supérieur à 8 caractères, il passera à l'impression de l'UID numérique actuel. Vous POUVEZ contourner cela en ayant un format de colonne ps personnalisé contenant le champ USER, mais UNIQUEMENT si USER est la dernière colonne (d'après mes tests empiriques).

La plupart des gens ne s'en soucient probablement pas, mais si vous effectuez une sorte de traitement de la sortie ps et attendez que les noms d'utilisateur réels apparaissent, vous devez faire attention à la longueur de votre nom (sinon, vous allez mettre des hacks dans votre code faire ps faire la bonne chose).

Par exemple:

Voici le format de colonne par défaut pour la liste complète des formats. Notez que mon uid est au format numérique car mon nom d'utilisateur est> 8 caractères.

[tcampbell@tst-agg1 ~]$ ps -f
  UID        PID  PPID  C STIME TTY          TIME CMD
 2108      1368  1367  0 Jan10 pts/3    00:00:00 -bash
 2108     22303  1368  0 12:07 pts/3    00:00:00 ps -f

Recréons-le en utilisant un format de colonne personnalisé. Notez que j'ai ajouté la colonne USER. Notez que c'est aussi au format numérique.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd    
  UID USER      C STIME TT           TIME CMD
 2108 2108      0 Jan10 pts/3    00:00:00 -bash
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty,time,cmd

Déplaçons USER en fin de ligne. Il est étendu à la "droite" sortie.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd,user
  UID USER      C STIME TT           TIME CMD                         USER
 2108 2108      0 Jan10 pts/3    00:00:00 -bash                       tcampbell
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty, tcampbell

Mais dès que nous ajoutons quelque chose de nouveau à la fin de la liste des colonnes, cela revient à la forme numérique.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd,user,pid
  UID USER      C STIME TT           TIME CMD                         USER       PID
 2108 2108      0 Jan10 pts/3    00:00:00 -bash                       2108      1368
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty, 2108     21756
Travis Campbell
la source
À quel OS avez-vous trouvé que cela s'applique?
Mfinni
Intéressant! Je me suis toujours demandé pourquoi: les chiffres étaient utilisés. La lastcommande a un problème connexe: elle tronque ses enregistrements à 8 caractères.
Mei
Édité pour refléter le fait que je parlais de Linux. Je ne sais pas comment cela s'est glissé dans mes modifications originales.
Travis Campbell
-1

[quelques lettres de prénom] [quelques lettres de nom de famille] [nnn]

foreg: Si le nom est Bill Gates, vous pouvez utiliser ' biga00 ' ou bilgat000

si le prochain billet arrive, ce sera "biga01" ou bilgat001 "pour lui

SKumar
la source
-1

Du point de vue des opérations, de l'administration et de la maintenance, le nom d'utilisateur doit être facilement distingué. Toutefois, d’un point de vue commercial, le nom d’utilisateur (alias de messagerie a / k / a) doit être facilement mémorisé ou rappelé par d’autres.

Cela peut être comme:

  • first.last.index@domain
  • premier (initial) .last.index @ domain
Eddie
la source