【IBM Tivoli Identity Manager 学习文档】11 TIM设计思路介绍

作者:gnuhpc
出处:http://www.cnblogs.com/gnuhpc/

1.基于角色的权限控制:role-based access control(RBAC)

2.两大组织构件:People 和 Resources

而后者包含Application 和 OS

3.基本系统逻辑架构

Person <-> Authorization <-> Resources

4.系统基本架构

•ITIM Server  存储安全管理业务和中央集权的用户和资源管理
– Directory server 存储用户信息和组织架构信息
– Database server 存储运行时临时数据和历史数据
• Web Server(可以与ITIM是一个服务器,提供J2EE平台和Web服务)
• Tivoli Identity Manager adapters(用于与ITIM中心服务器通信,分为agent-based 和agentless两种,前者安装运行在被管理机器上,后者则在IBM Tivoli Directory Integrator (TDI) 服务器上使用(必须使用ssl安全连接))

5.Agent通过DARPA Agent Markup Language (DAML)进行通信,这是一种基于SSL至上的XML通信格式。

6.分布部署图:

24

7.部署的几个思路

设定service的优先级,将那些大量用户使用的,经常有账户变更操作的Service视为高优先级。

设定Provisioning的类型,分为自动和手动,前者效率高,但是可能产生不必要的账户,而后者时效性不强。

考虑容量:用户数,同时在线数,系统存储容量,多长时间完成一个Action

考虑上线时间:企业中的需求对下线时间的要求。

简单性和花费:尽量简化部署。

考虑拓扑结构:将核心服务器部署在安全基础设置之后,保证安全。

25

考虑安全流程:根据公司的安全规程进行设计。

考虑特性:根据公司要求进行定制化服务。

考虑用户身份导入:Identity Feeds

考虑中心用户集成:Centralized User Repository 这个中心用户集成要求读多写少,但是TDS在TIM中的读写基本是差不多的频率,因此TDS不是实现这个功能的组件。

考虑Service和Adapter:哪些需要agent,怎么部署,部署哪些特性,使用什么连接

考虑账户:是不是在ITIM中建立一个用户登录账户管理其要管理的账户。账户名是不是要有一个命名标准。

考虑密码:密码是不是要进行同步,密码强度策略如何,密码的修改方式是什么。

考虑审计需要:多久要在线保存审计信息,离线呢,怎样的审计是符合公司流程的。

考虑审批流程:审批流程的实现,是不是要根据用户类型进行审批流程定制等。

考虑组织结构:用户角色等等。

考虑界面定制化:根据公司要求进行界面的个性化定制。

作者:gnuhpc
出处:http://www.cnblogs.com/gnuhpc/

posted @ 2012-12-10 21:40  gnuhpc  阅读(750)  评论(0编辑  收藏  举报