tivoli产品简介.doc

《tivoli产品简介.doc》由会员分享，可在线阅读，更多相关《tivoli产品简介.doc（13页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、1 Tivoli产品简介1.1 TIM简介全称IBM Tivoli Identity Manager，IBM Tivoli产品线的一个产品主要功能 实现用户账户的全面管理，包括创建、修改、检查、删除等 建立组织架构和用户的全局视图 支持业界广泛的账户资源，并且提供灵活的扩展 实现基于角色的用户账户管理策略 实现被管理系统的统一用户口令策略和用户口令的集中管理 建立用户帐号管理的审批流程，并和用户账户服务实现联动 提供全面的查询、日志和审计报告1.2 TAM简介全称IBM Tivoli Access Manager ，IBM Tivoli产品线的一个产品系列，我们主要涉及的是IBM Tivoli

2、 Access Manager for e-business 。p IBM Tivoli Access Manager for e-Business的功能p LDAP Server：业界流行的LDAP服务器作为用户的注册库。p Policy Server：Policy Server是IBM Tivoli Access Manager for e-Business的核心，它负责和其它IBM Tivoli Access Manager for e-Business功能模块的通讯工作。p Web Portal Manager：是一个基于Web的图形化管理工具。他主要用于IBM Tivoli Acce

3、ss Manager的安全策略的管理，其中包括对用户、用户组、角色、权限、策略和应用访问等的管理工作。 p pdadmin命令行：这是一个基于命令行方式的IBM Tivoli Access Manager for e-Business管理工具，这个工具会提供一个全面的管理功能。p WebSEAL：为HTTP/HTTPS请求提供了细化的访问控制；是一个高性能、多进程、可以截获HTTP/HTTPS访问请求的Web服务器；为URL、CGI程序、HTML文件、JAVA Servlets、JAVA class files等资源提供了访问控制的管理；还可以为后台基于Web的资源提供单一登陆的管理能力。p

4、Authorization Server：在和传统应用作集成的时候，应用程序使用由Authorization API提供的功能调用来和Authorization Server进行通讯。p Administration API：为应用开发人员提供了方便实用的管理用API Administration API。p Authorization API：提供了用于用户认证和授权判定的Authorization API。1.3 TDI简介全称IBM Tivoli Directory Integrator ，IBM Tivoli产品线的一个产品系列1) 一个轻量级的-但是特别强大的-集成工具包2) 可以单

5、独使用也可以集成使用3) 典型使用：迁移或者维护那些在多个数据源存在属性关系的数据􀀗 扁平文件到目录和数据库􀀗 目录/数据库之间􀀗 网络协议4) 传统的集成􀀗 迁移或者维护多对一的目录和数据库复制􀀗 数据库数据供应和同步􀀗 密码同步􀂃 AD, Sun, IBM TDS, RACF, Domino HTTP5) 实时􀀗 TIM call-out for customer specific data􀀗 实时变化的侦听􀂃

6、AD, Sun, IBM TDS, RACF, Domino HTTP2 统一用户管理通过安全平台做统一的用户管理，提供单一注册的安全解决方案可以使安全管理得到大大简化，并能够提升用户体验和提高工作效率。在我们设计的集成平台架构中，在用户交互服务层面部署了一套统一用户管理系统，其主要功能就是实现多个应用系统的用户管理统一，定义统一的用户管理逻辑，实现统一的用户访问授权模型的建立和维护。解决方案以LDAP来构建用户管理中心，往下通过元目录系统与原有应用系统中的用户进行整合，采用Portal技术实现统一的界面展示。通过IDI（IBM Directory Integrator）同步不同系统的用户目录

7、IDS（IBM Directory Server），提供业务系统一致的用户管理信息的基础上，IBM Tivoli Identity Manager基于角色和工作流进行用户的批量创建，删除和管理，实现系统统一，高效的用户管理。图 1统一用户管理系统架构利用IBM Tivoli Identity Manager，管理人员可以为用户ID、用户密码、ID部署等工作创建可以重用的策略。这些策略可以非常容易地和大量的用户、用户组以及服务建立起关系，从而简化用户属性和访问权限的管理和定义工作。图 2 IBM Tivoli Identity Manager用户管理界面根据用户信息（例如：用户部门的变更）和各种

8、策略的更改，IBM Tivoli Identity Manager可以根据需要，自动地重新评估企业中定义的策略以满足安全的需要。这种能力可以减少用于维护用户的工作量，同时也可以确保用户的访问权限总是可以反映当前的各种策略和用户信息。一旦一个用户的身份获得认证，用户的访问权限也就确定了。一个经过身份认证的用户在访问资源并不一定要获得任何许可。安全政策应明确地给予对Web资源的访问权。访问控制决策功能必须能够决定是否接受对特殊信息的访问请求。如果必须在每一个Web服务器上对访问控制进行配置，那么管理将变得相当复杂。此外，如果一个管理员必须咨询每一Web服务器的配置信息，那么将难以在Web空间中建立

9、一个用户权限的完整图画。一个中央授权框架将能够使管理得到大大简化。3 用户信息的同步用户信息的整合将是实现统一用户管理和单点登录首要考虑的问题之一。由于企业运行的各应用系统中存在公司购并、不同部门开发的项目、遗留的应用程序或产品与公司标准不兼容等情况，使得各应用都有自己的用户数据库，有的在数据库表中，有的在文件，当然新的一些应用采用了LDAP作为用户信息存储的标准，要构建真正的 SSO（单点登录）解决方案，保持目录间的数据同步非常重要，但是要手工将不同的目录同步会非常麻烦。IBM Tivoli Directory Integrator（TDI，以前称为 IDI）能够简化这项工作。IDI的一个重

10、要能力就是和各种数据源的连接能力，IDI最新的V6版本提供了多达几十种的连接器，国内客户常用的包括和数据库、Lotus Domino、MS Exchange、LDAP、File等的连接器，除此之外，IDI来提供了Web Service、JMS、HTTP、JNDI、TCP、URL等的连接器。用户信息处理的逻辑关系则是在装配线(AssemblyLine)中完成，除了简单的用户属性匹配之外，客户可以通过简单的Java Script进行逻辑部分的定制，从而满足其需求。而整个装配线的驱动则是可以根据业务需要来定义，可以根据时间、事件或者自定义的条件从外部程序来触发用户信息的同步和更新。结合业界流行的LD

11、AP目录服务器，IBM Directory Integrator(IDI)就是一个基于100% Java技术的元目录系统，可以帮助企业建立目录服务系统，从而为企业的各种应用服务，以实现用户目录的联邦。不但可以跨平台运行，而且其运输装配线(Assembly Line)工作模式可以在不引入一个集中用户存储的数据库的情况下就实现分布式的用户信息同步和复杂操作。“元目录”（Meta-Directory）可以连接企业中不同目录来源中的用户信息，并且可以为这些目录中的用户数据提供一个企业级的视图，从而可以把原先不同目录树中的用户信息紧密联系在一起，方便各个应用更为方便、有效地实现用户身份的确认和用户帐户信

12、息的部署。IBM Directory Integrator(IDI)是一个跨平台运行的系统，而且其运输装配线(Assembly Line)工作模式可以在不引入一个集中用户存储的数据库的情况下就实现分布式的用户信息同步和复杂操作。图 3 IDI 的连接功能示意图企业通过IBM Directory Integrator将其存放在数据库表中、文件中、LDAP中的用户信息进行了基于一个基准用户信息库的同步和更新。同时，利用IBM Directory Server构建了其企业级的用户注册库，为用户的主动管理和规范管理奠定了基础。 4 用户认证认证是验证用户身份的过程。授权是验证是否允许用户做他或她所请求

13、的那些事情的过程。n 业界标准的授权模型IBM Tivoli Access Manager for e-Business的结构来自于业界标准的授权模型，如下图所示。图 4业界标准的授权模型可以看到在这个标准的授权模型中，在访问者和目标之间有一个策略执行者，这是区别于传统模型的不同之处，在传统的模型中，访问者的请求直接到目标，所有的授权管理都在目标处完成。所有访问者访问目标的请求（例如：HTTP的请求等）会被策略执行者所截获，策略执行者截获到访问者的请求后，会根据策略管理器中定义的规则来判断访问者的请求是否符合规则。如果符合安全规则的话，策略执行者会把访问者提出的请求转发给目标，并且把目标处理完

14、后的结果转发给访问者，这时它相当于一个代理服务器。经过判断，如果访问者访问目标的请求不符合安全规则的话，策略执行者会直接拒绝访问者的这个请求，也不会把访问者的请求转发给目标。在这个模型中，可以看到有几个特点： 所有访问者到目标的请求都会被策略执行者所截获，这些请求不会直接到达目标，而是会通过策略执行者进行转发。 在这个模型中，目标不再做URL级别的用户授权判定，所有URL级别的授权判定都由策略执行者和策略管理器来完成。 所有安全策略的定义都是通过策略管理器来完成的，它和目标是分开的，或者说它和应用程序的开发是相对独立的、相对分开的。n TAM的整体结构IBM TAM的整体结构100%符合业界标

15、准的授权模型，如下图所示，图 5 TAM的整体结构上图是一个标准的企业提供的Web环境，它由两个防火墙隔成了以下三个部分： Internet部分：在这部分可以是各种Web浏览器，也可以是手机等客户端 DMZ部分：它处于两个防火墙之间，主要是用于有效地、安全地隔离Internet和Private Network并且保护处于Private Network中的各种资源 Private Network（私有网络）：在这部分主要用于放置企业对外的各种Web服务器或者Web应用服务器等在TAM结构中，所有的客户端（例如：Web浏览器等）是授权模型中的访问者，后端的各种Web服务器，例如：WebSphere

16、、Domino等是授权模型中的目标，而处在DMZ区的WebSEAL是授权模型中的策略执行者。在IBM Tivoli Access Manager for e-Business的整体结构中，作为策略执行者的WebSEAL相当于一个反向代理服务器，对于客户端来说，它相当于一个Web服务器，对于后端的Web服务器来说，它相当于一个客户端。它会对来自客户端的HTTP/HTTPS请求做访问权限的判定，并且对符合安全策略的请求做转发。通过WebSEAL可以保护后端的所有Web资源（Web服务器上的静态页面、动态页面、EJB中的资源、门户服务器上的各种资源等）。这种基于反向代理的架构是最为安全的架构，他会给

17、所有的后台应用系统建立起一个安全层，用户的所有访问请求不再直接到后台的应用系统，而是通过TAM经过认证、授权和审计的工作之后再转发到后台的应用系统上，从而确保了后台系统的安全性。n 用户认证、授权过程举例图 6用户认证、授权过程图中的数字涉及到下面这些流步骤：1. 用户请求受 WebSEAL 保护的资源，这个资源充当代理并拦截所有的请求。为了获得证书，WebSEAL 对用户进行提问，用户回答这些问题。 2. WebSEAL 通过与它的 LDAP 用户注册中心进行协商来对用户进行认证。它还决定用户能否访问（也就是说，授权是否开放）请求的 URL。 3. 如果认证成功，WebSEAL 利用已经为它

18、配置好的连接将请求传送给 IBM HTTP Server。将从 WebSEAL 到 IBM HTTP Server 的连接配置为传递 HTTP 消息头中的 iv-user, iv-groups 信息。终端用户的身份必须传递给一个名为 iv-user 的消息头中的 TAI，该消息头是 WebSEAL 插到 HTTP 请求消息头中的，HTTP 请求消息头是 WebSEAL 发送给 Application Server 的。虽然可以将 WebSEAL 配置为用其它的方法传递终端用户身份，但 iv-user 消息头是 TAI 支持的唯一消息头。终端用户的密码不在 HTTP 消息头中传送。 4. App

19、lication Server 插件文件检查请求的 URL 的上下文根，确定目标 Application Server 或者进行复制，为完成任务继续执行请求。 5. Application Server 中的 TAI（该 Application Server 必须启用 TAI）处理请求。TAI 处理成功后，Application Server 创建了一个名为 LTPA 令牌的加密用户认证 cookie。这个 cookie 存活的时间比较长（通常是两个小时），一直持续到用户会话结束，而且对每个用户的每次会话都是唯一的（也就是说，如果同一用户多次登录，每次他都能看见创建了不同的 cookie）。因

20、此，TAI 不需要对每个用户请求进行处理。 6. TAI 接受了终端用户身份，并创建了 LTPA 令牌之后，WebSphere Portal 依靠 LDAP 执行额外的查询，例如查询组信息。它从数据库中查询资源映射，然后显示门户页面。 5 单点登录（SSO）用户访问门户系统、OA系统等各个业务系统的认证授权工作由IBM Tivoli Access Manager for e-business完成。通过根据各业务系统的技术平台特点，可以采用LTPA Token、Http Header、GSO等方式对业务系统进行单点登录的集成。业务系统单点登录集成后，用户通过一次认证便可以无障碍地访问各个业务系统

21、。业务系统采用哪种方式实现单点登录，在下表中有详细描述。以下为三种单点登录实现方式的说明和对比：LTPAGSOHttp Header支持的应用系统支持IBM系列产品，例如：Websphere Portal ServerWebsphere Application Server（只限于使用Websphere本身的认证机制）和Domino等。可以支持各种使用标准表单登录的Web应用系统。对于无法通过Http Header获取用户认证信息的系统可以使用此方式进行单点登录功能的实现（如php）。可以支持各种Web应用的应用系统。优点集成度极高，不需要额外修改。不需要对后台的应用系统进行修改。集成度比较好

22、，通用性强。缺点只能适用于IBM自己的产品，要求使用统一的LDAP。需要建立一个用户关系对应表；它维护了登录到TAMeb的账户与其他后台应用系统中账户的对应关系，包括登录后台应用系统的用户名和密码。必须要有独立的登录url和登录页1、需要对后台应用系统的认证模块进行修改。2、用户在TAMeb中的用户名最好和后台应用系统中的用户名相同。建议对Websphere Portal Server和Domino使用此方式进行单点登陆对无法修改登陆页面，或者用户命名规范和我们这次完全不同的应用系统可以使用这种方式对于以后新建的应用系统，以及可以修改登陆页面，并且用户命名规范符合我们要求的应用系统可以使用这种

23、方式6 统一用户管理产品对比序号比较点统一用户管理系统TIM1使用情况案例：广东电信门户系统等案例：中国人寿集团门户系统、深航IOA系统等2厂家技术支持中数通公司IBM客服3产品前景前景明朗目前业界领先的管理技术软件4实施风险中数通公司技术支持，有相关技术文档IBM公司技术支持，有相关技术文档5价格方面收费软件收费软件7 统一认证产品对比序号比较点统一认证系统TAM1使用情况案例：广东电信门户系统等案例：中国人寿集团门户系统、深航IOA系统等2厂家技术支持中数通公司IBM客服3产品前景前景明朗目前业界领先4实施风险中数通公司技术支持，有相关技术文档IBM公司技术支持，有相关技术文档5价格方面收费软件收费软件第 13 页