IBM身份管理统一认证平台方案和产品介绍.doc
《IBM身份管理统一认证平台方案和产品介绍.doc》由会员分享,可在线阅读,更多相关《IBM身份管理统一认证平台方案和产品介绍.doc(40页珍藏版)》请在冰点文库上搜索。
客户应用集中访问、用户集中管理IBM技术方案
客户
应用集中认证、用户集中管理
IBM技术解决方案
目录
1、介绍 3
2、客户系统状况分析 4
3、IBM解决方案的体系结构和产品技术特性 5
3.1、IBM解决方案的设计思想 5
3.2、 TAM产品家族 6
3.2.1、 TAMeb产品物理部件 8
3.2.1、 TAMeb访问流程 9
3.2.1、 TAMeb的用户认证技术 9
3.2.4、TAMeb的单一登录机制 11
3.2.1、 TAMeb的授权任务 14
3.2.1、 TAMeb的分层管理 16
3.2.1、 TAMeb的日志和审计 17
3.2、 TivoliIdentityManager 17
3.3.1、TIM的物理结构 17
3.3.2、TIM的用户身份管理机制 18
4、应用集成的实现 21
4.1、 应用集成的总体设计纲要 21
4.1.1、 TAMeb集成技术的选择 21
4.1.1、 TIM集成技术的考虑 21
4.1. TAM应用集成实现 22
4.2.1、WPS/Domino的集成实现 22
4.2.2、 SIEBEL的集成实现 23
4.2.2、 SAPEP的集成实现 25
4.2.2、 其它应用集成的考虑 26
5、系统物理架构设计 27
5.1、 现有系统物理架构描述 27
5.1、 物理架构初步设计 28
�1、介绍
客户正在建立新一代的业务系统,整个系统包括了对外的BSS系统,内部运作的OSS系统等几个部分,适应新业务需求的大量应用正在整个客户的系统中进行建设和部署。
在整个应用系统的部署必然涉及到一个关键问题,即应用的访问。
客户的组织结构较为复杂,有核心业务部门、外围业务部门、下属单位、合作单位等多种部门的组织形式,相应的应用权限设置和部署都具有较大的挑战性,即在提高用户访问便利性的同时又要满足应用对于安全性的要求。
客户在新系统的建设中需要能够拥有更好的管理能力,即根据客户的实际业务环境建立一个应用访问的集中认证平台,在增加相应的安全手段,如数字证书,以及加强访问权限控制的同时,简化客户访问的流程,减少密码输入的次数,以获得更好的访问效果。
同时,对于应用管理部门而言,则通过集中的认证平台来加强访问的管理和访问权限的控制,同时减少管理工作量。
在建立集中应用认证服务的同时,用户集中的管理也是一个重要的问题,由于整个系统中的用户还是分散在几个不同的用户注册库中,所以需要有一种机制可以集中化地流程化地管理用户的变化,从而使认证服务得到基本的安全保障。
本方案将提供整个集中认证和用户管理平台的体系结构和实现原理,以及每个组成部分的技术细节,重点在于描述如何在客户的环境中提供对现有应用的支持和集成的工作。
内容还包括对用户注册系统建立的建议,系统物理架构的设计,以及实施完成后用户应用访问的流程的描述。
第二章将主要描述对客户本项目管理需求的详细分析。
第三章将主要描述IBM解决方案的体系结构和实现技术。
第四章将主要描述整个应用的集成是如何实现的,以及IBM在本项目建议的集成方式。
第五章将主要描述系统的物理架构的考虑
2、客户系统状况分析
客户希望建立的集中认证服务有如下的基本需求:
(1)、能够提供B/S应用的集中认证系统和用户集中管理系统
(2)、能够提供对大量第三方应用的集成支持,现阶段需要包括:
²Portal
²IBMDominoB/S
²SIEBEL
²SAPEP
²J2EE应用
将来可能需要考虑的应用还可能包括
²Microsoft.Net应用
²其它B/S结构的应用软件
(4)、支持统一的用户数据库,如MicrosoftActiveDirectory、IBMDirectoryServer等。
(5)、实现用户的单一登录,即登录一次就可以实现对后台集成应用的访问
(6)、实现用户的集中管理,集中设置用户帐号、属性和口令,以及设置一定的访问权限
3、IBM解决方案的体系结构和产品技术特性
3.1、IBM解决方案的设计思想
对任何企业来说,安全始终是非常重要的。
企业需要保证只有通过正确认证的用户访问计算机资源,并通过设置适当的安全机制放置授权的访问。
当系统规模较小,只有一两个应用时,安全管理一般都直接在应用中控制。
但是当系统规模扩大,应用增多时,安全管理的工作会变得非常复杂。
往往一个用户的属性需要在所有的系统中分别定义,用户需要记住一大堆的口令。
每个系统单独的安全控制一般都具有较为全面的功能,但如果需要管理一个用户能够正确地访问不同的系统就会变得非常困难,而且访问的便利性也就无从谈起。
另外一个问题是安全技术在不断更新,如果每个应用系统都独立考虑安全部件,则就意味着每个应用都需要和新的安全技术之间实现集成,这对于任何人而言都是困难的。
而当客户自己开发应用程序,并且程序被愈来愈多人来访问,就需要更详细地控制用户能够检查哪些记录,即使他有权限访问此应用,我们称之为安全细粒度。
安全细粒度越小,通过编程工作来实现就会变得越复杂。
为实现这种目标需要建立一整套的安全访问机制,由于通过程序实现,往往要求编程人员通过编写复杂的代码进行实现,而且需要在每个应用系统中分别实施,这样会导致开发费用和时间的增加。
而且需要对每个应用系统进行独立维护,从而造成管理与维护的复杂性。
IBM考虑到现在网上应用需要更高的安全特性,应用开发的周期也越来越短。
所以整个安全访问就需要通过一个产品化的、并且久经考验的技术来实现。
IBMTivoliAccessManagerfore-Business(TAMeb)就是为满足这一需要而提供的安全访问平台产品。
TAMeb为客户自己开发的网上应用提供了标准的访问安全接口,通过TAMeb集中管理用户和安全信息。
TAMeb是一套完整的认证与授权安全和策略管理方案,提供对分布在不同地域的资源进行集中保护,为企业建立统一的应用安全平台。
在建立集中认证的过程中,用户身份的集中是一个必须的工作,否则就无法了解在不同应用中用户的对应情况是否一致。
用户身份集中可以有多种实现方式,包括用户同步、应用对应关系设置等多种方法,但对于客户这样规模的客户而言,用户身份集中也就意味着需要一个集中的用户身份管理系统,这个系统是所有应用、系统用户的管理点,由它来进行用户的同步,或者更新工作。
同时,这个用户身份管理系统需要有一个用户管理的审批流程,这个流程和客户的管理规范相统一,从而保障整个用户管理的有序性,帮助管理层及时了解用户身份的变动情况。
身份管理管理系统统一了用户信息的管理工作和用户与实际业务之间的关系。
身份管理的主要目的就是让用户更方便和更高效地建立用户在企业IT环境中的身份,使得用户可以尽早地使用企业的IT资源,为企业创造价值。
它包括了管理每个用户的整个生命周期以及围绕用户管理的各种自动化的业务流程。
而对于最终用户而言,用户身份管理系统又提供了一个可以自我管理的机制,一些简单的用户属性修改、用户口令修改等工作就可以让用户自己来完成,从而减少用户管理所需要的技术支持工作量。
IBM的TivoliIdentityManager作为企业级的用户身份生命周期管理产品提供了自动化的用户身份管理能力。
IBMTivoliIdentityManager(TIM)是一个安全可靠、可扩展的、模块化的产品,它可以在一个很大的企业环境中实施。
主要的功能包括强健并且灵活的工作流程管理、策略引擎、基于角色的访问控制以及安全的代理通讯机制等。
3.2、TAM产品家族
TAMeb提供安全授权和访问认证平台,管理用户对资源的访问。
TAMeb首先通过多种方式对用户进行认证,然后检查哪些资源该用户可以访问,并进行何种操作。
TAMeb以用户认证的结果作为该用户的身份凭证,对其进行后续的权限检查。
授权可以是一般性的,如该用户是否可以访问改服务器,也可以是有针对性的,如该用户是否可以访问改服务器的特定资源。
这种针对性检查可以是如下的资源针对Webobjects,J2EEobjects或者MQSeriesobjects。
(1).TAMebAuthorizationFramework安全管理平台
(2).WebSEAL:
保护Web资源
(3).TAMEforBusinessIntegration:
MQSeries资源安全管理
(4).PrivacyManager用户隐私信息管理
(5).TAMEAuthorizationAPI:
安全开发接口
(6).Java2和JAASSupport:
Java2和Java安全机制的支持
根据通用安全判别模式,TAMeb承担用户认证服务,通过基于不同用户认证
机制来获得用户的鉴别(useridentification),从而完成认证。
根据需要,TAMeb还可以完成授权设置和检查,通过一个AccessEnforcement部件到Authorization中心请求授权检查,Permission数据库(即ACL表)存在于Authorization中心中。
让访问通过后,该用户才可以访问后面的资源。
3.2.1、TAMeb产品物理部件
不管针对何种需要被保护/访问的资源,TAM提供的就是一个统一的平台,统一的用户注册库和统一的策略管理服务器,下图是TAM的物理组成部件:
(1).PolicyEnforcer,也称之为请求截获者,它的功能就是截获用户往后台应用的访问请求,从而强制进行访问的认证。
PolicyEnforcer作为一个部件而言有多种的存在和实现方式,IBM针对不同的受保护对象提供不同的组件。
针对B/S应用则主要有具有反向代理功能的WebSEAL,嵌在IBMEdgeServer中的代理程序,以及运行在HTTPServer、WebApplicationServer上的代理程序。
(2).AuthorizationServer,也称之为PolicyServer,主要完成认证和授权检查的实际工作,也是整个系统的核心。
AuthorizationServer和两个数据系统连接,一个是用户注册库,即LDAP服务器,另外一个就是AuthorizationServer本身的对象数据库,这个对象数据库中存储的是被访问对象的描述以及访问的控制列表(ACL),也称之为AuthorizationPolicy。
(3).LDAP服务器,存储了所有的用户信息,组的信息。
对于TANMeb而言,用户注册数据库可以是任何一个外部的LDAP服务。
(4).WebPortalManager,即TAMeb管理界面,这是一个基于WebSphere的B/S结构的管理应用界面。
以上四个部分是TAMeb的重要逻辑部件,一般而言,除了WebSEAL(PolicyEnforcer部件)部署在DMZ中,其它都应该部署在安全区域中。
3.2.2、TAMeb访问流程
TAMeb作为整个B/S结构应用的访问认证平台,其整个工作流程如下:
(1).客户通过计算机,移动设备访问客户的B/S结构应用。
(2).访问可以基于HTTP/HTTPS协议。
(3).TAMeb的部件WebSEAL接受、解析访问请求,获得访问的用户信息,将其送到策略服务器上进行用户验证。
(4).TAMeb中设置所需访问的对象的列表,创建对象虚拟命名空间。
(5).TAMeb将会根据访问的用户信息、需要访问的对象、访问的执行动作进行授权检查,根据返回结果决定对访问请求是放行还是拒绝。
(6).在策略服务器上对访问ACL进行设置,同时根据业务需要设置日志记录方式。
3.2.3、TAMeb的用户认证技术
所有的用户信息都必须存放在TAM所连的LDAP服务器中,如:
IBMDirectoryServer
MicrosoftActiveDirectoryServer
LotusDominoLDAPService
在本项目中,客户将通过IBMDirectoryServer来建立自己的企业LDAP服务器。
客户可以对企业内的用户按照部门,职能进行分组,将其映射为用户组,人员可以按照其所在的部门和职能分属到不同的用户组中,如果需要用户可以属于多个用户组。
商人员岗位发生变化时,管理员可以在控制台上将其更改到新的代表其岗位的用户组中,该用户会自动继承此用户组所具有的安全权限,而不需要进行任何特别设置。
如果需要对其特定的权限进行修改时,也可以在控制台上进行定义。
用户在进行访问时,TAMeb会首先对其用户信息进行验证,支持如下用户认证方式:
Forms-basedlogin
HTTPbasicauthentication
DigitalCertificate(X.509v3)
RSASecurIDToken
WAPidentitymechanism
Resource-sensitiveauthentication
Kerborse
TAMeb支持CredentialsAcquisitionService(CAS),从而实现外挂的用户认证方式,如:
·数据库的认证方式,如Oracle,DB/2
·其它securitytokens(VascoDigiPass)
·用户定义的认证方式,如使用用户访问代码PIN和Code
·RADIUS
·Biometrics
多种认证方式的支持使TAMeb能够利用现有的认证方法,支持传统和新的应用。
TAMeb能够透明的将用户的凭证信息和指定的用户参数传递给后台的应用,因此用户不需要在访问各个应用时重新登录。
CASAPI同时提供与密码管理服务器的连接,可以强制进行密码检查,以保证用户遵循统一的密码管理规则。
通过设置口令修改的网页,TAMeb支持用户在登录后修改自己的口令。
3.2.4、TAMeb的单一登录机制
当存在于多种被保护的资源时,客户端在访问这些资源是需要进行多次登录,每次登录认证可能由不同的系统执行。
TAMeb使得用户能够单一登录到客户的Web空间。
TAMeb能利用基本的认证与Web应用软件相集成,对用户而言,它可以透明地把用户的登录信息传递到应用软件。
使用TAMeb,用户需且只需登录一次,然后他们就能够访问被授权的所有基于Web资源的应用软件。
单一登录实现用户只需要登录一次即可访问其被授权的资源。
由于TAMeb面向大型企业用户,管理异构分布式环境下的多种系统和应用,单一登录大大简化了对客户用户和口令的管理。
TAMeb提供与后台应用服务器的多种连接
(1)在BasicAuthentication(BA)headers中提供客户身份,但使用通用的口令。
管理员可以定义在TAMeb和后台服务器中采用什么通用口令字。
这种方式在下列环境下可以使用:
nTAMeb配置为为后台服务器提供原始的用户名,外加一个通用的口令
n后台服务器的登记必须能够认识HTTPBAheader中包含的TAMeb的用户身份信息
n由于会有敏感的用户认证信息在网络上传输,我们建议采用SSL连接
(2).将原始客户端的用户信息发送给后台服务器
这种方式TAMeb直接将客户端请求中的用户信息,不进行任何修改,发送给后台服务器。
这种方式在下列环境下可以使用:
n客户端通过TCP向TAMeb进行认证
n后台服务器发送BasicAuthenticationchallenge给客户端,客户端恢复用户名和口令由TAMeb直接传递给后台服务器
n后台服务器维护自己的客户端口令
n后台服务器需要能够认识TAMeb在BAheader中提供的用户信息
n由于会有敏感的用户认证信息在网络上传输,我们建议采用SSL连接
(3).删除客户端BAHeader信息
这种方式,TAMeb删除客户端请求中的用户基本认证信息,TAMeb成为唯一的安全管理者。
这种方式在下列情况下可以使用:
n在客户集合TAMeb中间建立了基础认证
n后台服务器不要求基础认证
n后台服务器只能够从TAMeb访问
nTAMeb可以代表后台服务器进行认证工作
(4).通过用户的GSO(GlobalSingn-On)定义提供用户名和口令
这种方式下,TAMeb从负责GSO的服务中获取用户认证信息,并将其提供给后台的服务器。
这种方式在下列情况下可以使用:
²后台服务器应用与在TAMeb中登记了不同的用户名和口令
²安全对TAMeb和后台服务器来说都很重要
²由于敏感的用户认证信息在网络上传输,我们建立采用SSL连接
TAMeb在控制台上定义GSO资源和资源组,通过与后台服务器建立GSO连接,实现单一登录。
当WebSEAL接收到对后台服务器的资源请求,会检查GSO服务中定义的相关的认证信息。
GSO服务中包含用户的对应数据,能够为后台应用台够该用户需要的用户身份信息。
下图显示了GSO如何实现将用户和口令信息传递给后台应用
Ø客户端发出对资源的访问请求,有TAMeb获取。
ØTAMeb将信息发送给GSO或者LDAP服务
Ø获取该用户访问改资源所需要的用户名和口令
ØTAMeb将用户名和口令信息加入到HTTPBasicAuthenticationheader中,将请求转发给后台连接的服务器
3.2.4、TAMeb的授权任务
除了认证服务之外,TAMeb的授权以及权限检查是非常重要的一个功能,客户可以根据自身管理流程和应用状况适度选择对这个功能的部署。
在用户身份被确认之后,就需要对该用户所具有的角色和访问资源的权限进行检查。
TAMeb支持对主流的应用结构及其资源进行管理,如Web服务器(Domino,MicrosoftIIS,Netscape,etc),应用服务器(NetscapeApplicationServer,WebSphere,Oracle),J2EE应用服务器,第三方的基于B/S架构的系统。
授权可以根据用户、组的定义来对资源的访问进行授权。
TAM的授权是面向资源对象具有继承的关系。
即继承结构如下:
所以,管理员在TAM就可以直接控制某个用户是否对特定的资源有访问能力。
而对于客户自己开发应用系统,TAMeb则提供了安全管理平台,可以通过aznAPI对应用对象的访问制定安全策略,而不需要每个应用系统自己开发并管理安全信息。
3.2.4.1、管理对象
权限管理中首先需要确定被保护的资源,及管理对象。
TAMeb可以管理包括Web、JSP、EJB、动态URL等应用资源。
对于Web应用,TAMeb通过建立与后台Web服务器建立连接SmartJunction,能够自动获取Web服务器上的资源,如HTML、CGI-BIN、Sevelet、JSP、EJB等资源,并在TAMeb的控制台上显示出相关的服务器及其包含的资源。
从而管理员可以针对这些资源定义允许的权限策略。
为方便用户的访问,客户应统一定义逻辑Web命名空间,其逻辑结构可以根据应用逻辑结构而不一定是物理位置进行规划。
这样既可以使用户的访问更加清晰,又可以使信息的管理得到简化。
在这一Web命名空间中,内容通过一个URL(通用资源定位符)地址来访问,这一地址反映了应用系统的逻辑结构。
当用户对某一资源发出请求(使用URL)时,服务器截获请求并使用TAMeb与后台Web服务器的连接(SmartJunctions)使逻辑地址与其物理地址相匹配。
给最终用户的印象是,TAMeb对逻辑地址进行了翻译,找到用户请求的信息并将其返回给用户——用户并不需要知道信息所在的物理位置。
除此之外,TAMeb的逻辑Web空间还可以包含可被Web应用程序访问的信息。
TAMeb支持这些应用程序使用的动态URL,允许它们象静态URL一样被管理。
这意味着从传统数据库和其它后端应用程序访问到的信息能够得到TAMeb的安全保护,其保护方式与静态Web资源相同。
下图说明了如何使用TAMebSmartJunctions来促进一种逻辑编址模式的建立。
TAMebSmartJunctions允许创建对其最有用的任何类型的地址结构。
例如,可以根据应用类型或任务而不是部门组织信息。
此外,当应用的需求改变时,可以很容易地对信息的组织进行调整。
使用TAMeb,可以重组其Web命名空间而不必在服务器间移动基于Web的信息。
逻辑编址机制还使得网络的改造更加容易。
如果信息必须在服务器间移动,或者添加一个新的服务器,Web管理员可以完成这一工作,不过在他调整SmartJunctions时,用户永远也不会知道已经发生了变化——除非他们意识到速度变快了,效率提高了。
如果客户在开发中需要定义自己的特殊的动态权限检查模式,可以通过调用TAMeb提供的aznAPI,访问TAMeb中定义的安全权限信息。
当应用需要的安全策略发生变化时,可以直接通过TAMeb的控制台对安全策略进行调整,而不需要重新编写程序。
3.2.4.2、权限定义
TAMeb授权服务只允许用户访问其被授权的信息。
TAMeb授权服务使用了一个中央数据库,该数据库列出了安全Intranet中的所有资源和与每个资源相关的访问控制列表(ACL)。
ACL中规定了用户访问、操纵资源所必须满足的条件。
一个ACL项目包含两个或三个参数Type、Id和Permissions。
Type表明许可信息赋予的实体(用户或组),不同的类型有:
用户、组、any-authenticated(任何被验证的)和unauthenticated(未被验证的)。
ID(Identity)是实体的唯一标识。
Permissions为一组该用户或组允许的操作组成。
在ACL中并不定义访问控制将实施给那一个对象。
3.2.4.3、用户权限检查
在访问控制定义之后,可以将ACL信息授予需要进行控制的资源,从而实现用户、资源与权限的匹配,完成安全定义。
客户端发出访问请求时,TAMeb根据获得的用户信息,判断该用户是否有权访问其请求的资源,并检查是否对资源有其要求进行的操作权限,如果检查通过,则将访问转发给后台的服务器,否则将拒绝其访问。
TAMeb能够实时地创建、废除和修改任意用户的访问权限。
一旦管理员键入更改信息,访问权限的改变立即生效,不需要重新启动服务器。
3.2.5、TAMeb的分层管理
TAMeb支持基于角色的管理员职能分配和管理权限的下放。
这种功能在客户这种大型企业环境时非常重要的。
一般可能会根据资源或者地区进行分组,并下放管理功能。
TAMeb可以将管理员的责任分类,如对某个应用的管理员可能只具有对该应用进行管理的功能。
TAMeb的超级管理员可以对整个网络内的安全服务器进行统一管理,制定统一的策略,定义统一的用户组,以保证客户应用访问时的策略统一。
同时超级用户可以定义其它管理员,授权其进行对指定资源的制定操作,以实现分层管理。
一般管理职能的下放主要根据两种方式:
一种为针对管理对象的分权管理,如企业ObjectSpace中会包含多种Object,可能根据其代表的不同的应用或资源类型授权给不同的管理员进行管理。
另外一种为针对用户组的分权管理,如对企业内不同的用户组,可能由不同的部门维护,因此授权给不同的管理员对此用户组进行管理。
3.2.6、TAMeb的日志和审计
TAMeb的WebSEAL部件可以记录客户端访
升级会员 