大公司如何进行身份管理？迅雷公司如何进行企业管理.docVIP

大公司如何进行身份管理？迅雷公司如何进行企业管理.doc 大公司如何进行身份管理？迅雷公司如何进行 企业管理 企业该如何为成千上万的职员、客户以及合作伙伴提供合理、有效的身份管理呢？设想一下：要为公司下设的大约1000个部门提供验证和授权效劳，还要为大约36万名管理员授予权限，以控制哪些人可以访问哪些资源，这有多复杂？这实际上是Sabre控股公司面对的情况，其目的是为了让其客户可以访问Sabre提供的一系列旅行效劳和数据。Sabre控股公司是从美国航空公司别离出来的，主要业务是为消费者提供机票预订等旅行效劳。Sabre控股公司的IT平安负责人Kurtis Holland解释，Sabre 在过去几年里采取了很多手段在开放系统上实现全面的身份管理。“我们企业在顶峰时期每分钟要处理150万条事务――大约每秒25900条，其中许多基于身份管理，这是一大挑战。〞开始阶段1998年，Sabre开始将 IT系统迁移到开放系统中，并着手启动一项方案，实施基于Unix和Linux 系统的面向效劳的架构〔SOA〕，并且使用包括TCP/IP、IBM WebSphere MQ 和CORBA在内的多项标准。SOA方案背后的业务目标是，根据用户组和角色来实行授权管理，同时推出使用通用应用编程接口〔API〕的身份管理效劳。这项效劳要支持10万多个域、20万个用户组和数百万个用户名，并且这个数据以后有增无减。身份管理解决方案还必须利用中央数据库和目录效劳。Holland认为，至少有三种产品对满足上述身份管理需求而言不可或缺：Web单次登录〔SSO〕解决方案、目录存储区〔directory store〕和应用提供工具〔provisioning tool〕。1999年，Sabre在Windows NT 第1 页/ 总页数3 页 系统上部署了Netegrity SiteMinder解决方案，提供SSO功能〔Netegrity 后来被冠群收购〕。至于目录方面，该公司部署了Sun iPlanet目录效劳器〔现名为Sun Java系统目录效劳器〕。随着Sabre所要支持的应用数量不断增多，其中更多的应用基于开源平台，因此，公司需要一款工具帮助自己为用户自动提供这些应用。2005年初，该公司在Linux平台上部署了SiteMinder，并向Sun购置了另一套工具，其中包括Sun身份和访问管理器。这套Sun工具实际上为开放系统环境模拟大型机的应用提供了条件，同时提供增强的审计追踪报告以及进行二级授权。但也许最重要的是，Sun 工具支持用Java编写的应用。这让Sabre能够为开放系统环境开发出越来越多的新应用。工作方式如今，Sabre公司在大型机、Linux和Unix等系统上运行了各种应用。航班、汽车和酒店预订效劳〔如Travelocity提供的效劳〕方面的繁重任务根本上从大型机上卸了下来。与乘客姓名记录资料有关的功能〔如预订和票务〕仍与航班运营数据一同留在大型机上。大约70000家公司或者效劳商使用这些应用，这意味着要对这些人员实行授权和验证。有些员工可能只可以使用应用，而另一些员工那么可以更新航班时刻表、票价和空余座位等内容。为了处理混合应用，Sabre维护两套不同的目录，提供了粗粒度和细粒度相结合的方案。“粗粒度〞的姓名记录资料数据主要保存在Sun Java目录效劳器中，该目录效劳器用来提供最初的验证和授权bd336x280(); ――实际上就是允许用户进入正门。保存在Oracle数据库中的数据用来作出粒度更细的决策，这些决策针对用户能不能访问某几行或某几列数据，或者能不能更新应用里面的某些数据。Oracle数据库被认为是主记录数据库。它含有大约1000个域、20万个“分部〞即用户 第2 页/ 总页数3 页 组方面的数据，并且详细描述了每个用户可以进行的操作。把这些数据保存在数据库中而不是保存在目录中，这简化了数据模型和复制，从灾难恢复和身份联合的角度来看很重要。未来在于联合实际上，身份联合是Sabre 面临的下一大挑战。一段时间以来，它一直与许多客户一起在使用联合的Web SSO，但通常是针对每个客户采取针对性的措施。有些使用SiteMinder 自己实施的Web SSO；有些使用包括平安标记声明语言〔SAML〕在内的标准，SAML这项基于XML的标准用于交换身份数据；还有些使用微软的Web 效劳增强〔WSE〕。Sabre现正在努力把实施的各种一次性SSO迁移到真正基于SAML的架构上；客户有需要，就尽量弃用一次性SSO。他认为这需要时间，“我们的经营范围太大了，有各种不同的身份提供商和访问管理系统。〞但技术问题只是个开始，难点主要表现为合同和业务语言方面，涉及谁拥有身份？你是否信任他们？万一你需要解决或者审查业务交易事务，有哪种审计追踪可供使用？总之，缺少建