IBM身份管理统一认证平台方案和产品介绍.doc
- 文档编号:230770
- 上传时间:2022-10-07
- 格式:DOC
- 页数:40
- 大小:685.50KB
IBM身份管理统一认证平台方案和产品介绍.doc
《IBM身份管理统一认证平台方案和产品介绍.doc》由会员分享,可在线阅读,更多相关《IBM身份管理统一认证平台方案和产品介绍.doc(40页珍藏版)》请在冰豆网上搜索。
客户应用集中访问、用户集中管理IBM技术方案
客户
应用集中认证、用户集中管理
IBM技术解决方案
目录
1、介绍 3
2、客户系统状况分析 4
3、IBM解决方案的体系结构和产品技术特性 5
3.1、IBM解决方案的设计思想 5
3.2、 TAM产品家族 6
3.2.1、 TAMeb产品物理部件 8
3.2.1、 TAMeb访问流程 9
3.2.1、 TAMeb的用户认证技术 9
3.2.4、TAMeb的单一登录机制 11
3.2.1、 TAMeb的授权任务 14
3.2.1、 TAMeb的分层管理 16
3.2.1、 TAMeb的日志和审计 17
3.2、 TivoliIdentityManager 17
3.3.1、TIM的物理结构 17
3.3.2、TIM的用户身份管理机制 18
4、应用集成的实现 21
4.1、 应用集成的总体设计纲要 21
4.1.1、 TAMeb集成技术的选择 21
4.1.1、 TIM集成技术的考虑 21
4.1. TAM应用集成实现 22
4.2.1、WPS/Domino的集成实现 22
4.2.2、 SIEBEL的集成实现 23
4.2.2、 SAPEP的集成实现 25
4.2.2、 其它应用集成的考虑 26
5、系统物理架构设计 27
5.1、 现有系统物理架构描述 27
5.1、 物理架构初步设计 28
1、介绍
客户正在建立新一代的业务系统,整个系统包括了对外的BSS系统,内部运作的OSS系统等几个部分,适应新业务需求的大量应用正在整个客户的系统中进行建设和部署。
在整个应用系统的部署必然涉及到一个关键问题,即应用的访问。
客户的组织结构较为复杂,有核心业务部门、外围业务部门、下属单位、合作单位等多种部门的组织形式,相应的应用权限设置和部署都具有较大的挑战性,即在提高用户访问便利性的同时又要满足应用对于安全性的要求。
客户在新系统的建设中需要能够拥有更好的管理能力,即根据客户的实际业务环境建立一个应用访问的集中认证平台,在增加相应的安全手段,如数字证书,以及加强访问权限控制的同时,简化客户访问的流程,减少密码输入的次数,以获得更好的访问效果。
同时,对于应用管理部门而言,则通过集中的认证平台来加强访问的管理和访问权限的控制,同时减少管理工作量。
在建立集中应用认证服务的同时,用户集中的管理也是一个重要的问题,由于整个系统中的用户还是分散在几个不同的用户注册库中,所以需要有一种机制可以集中化地流程化地管理用户的变化,从而使认证服务得到基本的安全保障。
本方案将提供整个集中认证和用户管理平台的体系结构和实现原理,以及每个组成部分的技术细节,重点在于描述如何在客户的环境中提供对现有应用的支持和集成的工作。
内容还包括对用户注册系统建立的建议,系统物理架构的设计,以及实施完成后用户应用访问的流程的描述。
第二章将主要描述对客户本项目管理需求的详细分析。
第三章将主要描述IBM解决方案的体系结构和实现技术。
第四章将主要描述整个应用的集成是如何实现的,以及IBM在本项目建议的集成方式。
第五章将主要描述系统的物理架构的考虑
2、客户系统状况分析
客户希望建立的集中认证服务有如下的基本需求:
(1)、能够提供B/S应用的集中认证系统和用户集中管理系统
(2)、能够提供对大量第三方应用的集成支持,现阶段需要包括:
²Portal
²IBMDominoB/S
²SIEBEL
²SAPEP
²J2EE应用
将来可能需要考虑的应用还可能包括
²Microsoft.Net应用
²其它B/S结构的应用软件
(4)、支持统一的用户数据库,如MicrosoftActiveDirectory、IBMDirectoryServer等。
(5)、实现用户的单一登录,即登录一次就可以实现对后台集成应用的访问
(6)、实现用户的集中管理,集中设置用户帐号、属性和口令,以及设置一定的访问权限
3、IBM解决方案的体系结构和产品技术特性
3.1、IBM解决方案的设计思想
对任何企业来说,安全始终是非常重要的。
企业需要保证只有通过正确认证的用户访问计算机资源,并通过设置适当的安全机制放置授权的访问。
当系统规模较小,只有一两个应用时,安全管理一般都直接在应用中控制。
但是当系统规模扩大,应用增多时,安全管理的工作会变得非常复杂。
往往一个用户的属性需要在所有的系统中分别定义,用户需要记住一大堆的口令。
每个系统单独的安全控制一般都具有较为全面的功能,但如果需要管理一个用户能够正确地访问不同的系统就会变得非常困难,而且访问的便利性也就无从谈起。
另外一个问题是安全技术在不断更新,如果每个应用系统都独立考虑安全部件,则就意味着每个应用都需要和新的安全技术之间实现集成,这对于任何人而言都是困难的。
而当客户自己开发应用程序,并且程序被愈来愈多人来访问,就需要更详细地控制用户能够检查哪些记录,即使他有权限访问此应用,我们称之为安全细粒度。
安全细粒度越小,通过编程工作来实现就会变得越复杂。
为实现这种目标需要建立一整套的安全访问机制,由于通过程序实现,往往要求编程人员通过编写复杂的代码进行实现,而且需要在每个应用系统中分别实施,这样会导致开发费用和时间的增加。
而且需要对每个应用系统进行独立维护,从而造成管理与维护的复杂性。
IBM考虑到现在网上应用需要更高的安全特性,应用开发的周期也越来越短。
所以整个安全访问就需要通过一个产品化的、并且久经考验的技术来实现。
IBMTivoliAccessManagerfore-Business(TAMeb)就是为满足这一需要而提供的安全访问平台产品。
TAMeb为客户自己开发的网上应用提供了标准的访问安全接口,通过TAMeb集中管理用户和安全信息。
TAMeb是一套完整的认证与授权安全和策略管理方案,提供对分布在不同地域的资源进行集中保护,为企业建立统一的应用安全平台。
在建立集中认证的过程中,用户身份的集中是一个必须的工作,否则就无法了解在不同应用中用户的对应情况是否一致。
用户身份集中可以有多种实现方式,包括用户同步、应用对应关系设置等多种方法,但对于客户这样规模的客户而言,用户身份集中也就意味着需要一个集中的用户身份管理系统,这个系统是所有应用、系统用户的管理点,由它来进行用户的同步,或者更新工作。
同时,这个用户身份管理系统需要有一个用户管理的审批流程,这个流程和客户的管理规范相统一,从而保障整个用户管理的有序性,帮助管理层及时了解用户身份的变动情况。
身份管理管理系统统一了用户信息的管理工作和用户与实际业务之间的关系。
身份管理的主要目的就是让用户更方便和更高效地建立用户在企业IT环境中的身份,使得用户可以尽早地使用企业的IT资源,为企业创造价值。
它包括了管理每个用户的整个生命周期以及围绕用户管理的各种自动化的业务流程。
而对于最终用户而言,用户身份管理系统又提供了一个可以自我管理的机制,一些简单的用户属性修改、用户口令修改等工作就可以让用户自己来完成,从而减少用户管理所需要的技术支持工作量。
IBM的TivoliIdentityManager作为企业级的用户身份生命周期管理产品提供了自动化的用户身份管理能力。
IBMTivoliIdentityManager(TIM)是一个安全可靠、可扩展的、模块化的产品,它可以在一个很大的企业环境中实施。
主要的功能包括强健并且灵活的工作流程管理、策略引擎、基于角色的访问控制以及安全的代理通讯机制等。
3.2、TAM产品家族
TAMeb提供安全授权和访问认证平台,管理用户对资源的访问。
TAMeb首先通过多种方式对用户进行认证,然后检查哪些资源该用户可以访问,并进行何种操作。
TAMeb以用户认证的结果作为该用户的身份凭证,对其进行后续的权限检查。
授权可以是一般性的,如该用户是否可以访问改服务器,也可以是有针对性的,如该用户是否可以访问改服务器的特定资源。
这种针对性检查可以是如下的资源针对Webobjects,J2EEobjects或者MQSeriesobjects。
(1).TAMebAuthorizationFramework安全管理平台
(2).WebSEAL:
保护Web资源
(3).TAMEforBusinessIntegration:
MQSeries资源安全管理
(4).PrivacyManager用户隐私信息管理
(5).TAMEAuthorizationAPI:
安全开发接口
(6).Java2和JAASSupport:
Java2和Java安全机制的支持
根据通用安全判别模式,TAMeb承担用户认证服务,通过基于不同用户认证
机制来获得用户的鉴别(useridentification),从而完成认证。
根据需要,TAMeb还可以完成授权设置和检查,通过一个AccessEnforcement部件到Authorization中心请求授权检查,Permission数据库(即ACL表)存在于Authorization中心中。
让访问通过后,该用户才可以访问后面的资源。
3.2.1、TAMeb产品物理部件
不管针对何种需要被保护/访问的资源,TAM提供的就是一个统一的平台,统一的用户注册库和统一的策略管理服务器,下图是TAM的物理组成部件:
(1).PolicyEnforcer,也称之为请求截获者,它的功能就是截获用户往后台应用的访问请求,从而强制进行访问的认证。
PolicyEnforcer作为一个部件而言有多种的存在和实现方式,IBM针对不同的受保护对象提供不同的组件。
针对B/S应用则主要有具有反向代理功能的WebSEAL,嵌在IBMEdgeServer中的代理程序,以及运行在HTTPServer、WebApplicationServer上的代理程序。
(2).AuthorizationServer,也称之为PolicyServer,主要完成认证和授权检查的实际工作,也是整个系统的核心。
AuthorizationServer和两个数据系统连接,一个是用户注册库,即LDAP服务器,另外一个就是AuthorizationServer本身的对象数据库,这个对象数据库中存储的是被访问对象的描述以及访问的控制列表(ACL),也称之为AuthorizationPolicy。
(3).LDAP服务器,存储了所有的用户信息,组的信息。
对于TANMeb而言,用户注册数据库可以是任何一个外部的LDAP服务。
(4).WebPortalManager,即TAMeb管理界面,这是一个基于WebSphere的B/S结构的管理应用界面。
以上四个部分是TAMeb的重要逻辑部件,一般而言,除了WebSEAL(PolicyEnforcer部件)部署在DMZ中,其它都应该部署在安全区域中。
3.2.2、TAMeb访问流程
TAMeb作为整个B/S结构应用的访问认证平台,其整个工作流程如下:
(1).客户通过计算机,移动设备访问客户的B/S结构应用。
(2).访问可以基于HTTP/HTTPS协议。
(3).TAMeb的部件WebSEAL接受、解析访问请求,获得访问的用户信息,将其送到策略服务器上进行用户验证。
(4).TAMeb中设置所需访问的对象的列表,创建对象虚拟命名空间。
(5).TAMeb将会根据访问的用户信息、需要访问的对象、访问的执行动作进行授权检查,根据返回结果决定对访问请求是放行还是拒绝。
(6).在策略服务器上对访问ACL进行设置,同时根据业务需要设置日志记录方式。
3.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IBM 身份 管理 统一 认证 平台 方案 产品 介绍
![提示](https://static.bdocx.com/images/bang_tan.gif)