身份管理架构.pptVIP

身份管理的蓝图 身份管理的蓝图 端到端身份及访问管理 IBM Tivoli Directory Integrator：实时身份数据同步 TDI 实时地把关键身份数据属性的所有实例同步到认证源，无论位于企业中什么地方 TDI 不需要专用的中心“联合引擎” －－ 但可以集中到任何 IBM 或非 IBM 数据存储体 (store) 中，使得部署工作更开放、灵活、简便 IBM Directory Integrator  目录整合工具 TIM的组成部件 TIM的授权模式 TIM的主动服务模式 第一步：创建组织结构 第二步：定义用户角色和分层管理策略 关于用户管理中的用户职责定位和实际工作的关系 相对而言，企业中的每个自然人都有自己的工作定位，但很多情况下，很多员工的工作职责会受到所在区域、特定时间内的工作任务等因素的影响。从而导致一个用户的工作角色是一个三维，乃至多维的关系，从下图可以说明： 第二步：定义用户角色和分层管理策略 关于用户管理中的用户职责定位和实际工作的关系 在TIM产品中，通过组织结构、地域、静态和动态角色的定义来定位一个员工在企业中的实际工作角色和工作范围。 不是所有的管理关系都需要考虑到IM 的实现中 TIM中的组织结构定义和可以包含 资源、管理权限等对象 用户授权和权限的分层、分级、委派 都是IM用户组织结构定义的组成部分 第三步：定义角色和服务 定义服务就是定义被管理系统的帐户属性 第四步：定义审批流程 确定用户获得不同帐户所需要的审批过程 可以简单，也可以复杂，根据客户的实际情况 可以根据需要扩展 第五步：导入原有用户 通过ITIM本身功能、IDI或者LDAP自己操作等手段导入原有用户，作为管理基准，同时和HR系统实现同步。 TIM 和 TAM 提供了集成的管理服务 * 对应用、Web服务和中间件的访问控制 对用户隐私信息的访问控制 监视和审计用户的活动 单点登录和权利管理 基于身份的安全控制 报告 可扩展性 高可用性 帐户同步 目录服务 身份管理的基础设施 跨企业身份映射 跨企业身份供应 信任管理 信任中介 单点登出 身份联邦 用户注册和供应 用户隐私管理 用户帐户自我管理 用户特征信息管理 登录身份管理 政策管理 身份生命周期管理 管理工作流 对应用、Web服务和中间件的访问控制 对用户隐私信息的访问控制 监视和审计用户的活动 单点登录和权利管理 基于身份的安全控制 报告 可扩展性 高可用性 帐户同步 目录服务 身份管理的基础设施 跨企业身份映射 跨企业身份供应 信任管理 信任中介 单点登出 身份联邦 用户注册和供应 用户隐私管理 用户帐户自我管理 用户特征信息管理 登录身份管理 政策管理 身份生命周期管理 管理工作流 Tivoli Access Manager Tivoli Directory Integrator Tivoli Directory Server Tivoli Identity Manager Tivoli Federated Identity Manager 同步身份存储 HR NOS 白页 变更中心 电话 人力资源 合作伙伴目录 身份集成 eMail 目录 用户供应 身份驱动的用户帐户 身份驱动的访问控制 访问控制 用户 帐户 控制 实施：谁可以进来，他们能够做什么 管理 IT 环境中的用户帐户 自动对数据进行同步 TDI TIM TAM HR 活动目录 白页 eMail 目录 变更中心 电话 人力资源 LOB 合作伙伴目录 Tivoli Directory Integrator AD “栅栏” 14 企业 目录服务器 人事数据 Oracle Table EmailAddressBook Daily CSV JDBC DB MicrosoftActive Directory LDAP directory 基于策略的应用目录信息单向/双向同步 在不同的应用和目录树资源之间同步和交换信息 跨不同数据存储库的数据管理 建立一个坚固可靠的目录树结构，可以被众多的应用使用 提供多种数据整合的接口程序和服务驱动机制 高度可扩展的流程扩展(Hook) TIM Server DB LDAP User Agent(s) TIM服务器处理所有的用户服务、工作流、 主动服务引擎和管理任务 LDAP存储所有的用户信息 数据库主要存储审计信息 代理(Agents)在目标系统和应用上执行实际的操作 人 用户 员工角色 供应策略 配置参数 目标 审批流程 服务 代理 口令策略 鉴别策略 授 权 资 源 主动服务 策略 服务 (资源) 用户 角色 主动服务策略同样可以按照一个特定用户来进行属性的定义 用户被按照责任来赋予相