IBM+身份管理统一认证平台方案和产品介绍.doc

客户应用集中访问、用户集中管理IBM技术方案客户应用集中认证、用户集中管理IBM技术解决方案目 录1、介绍32、客户系统状况分析43、IBM解决方案的体系结构和产品技术特性53.1、IBM解决方案的设计思想53.2、TAM产品家族63.2.1、TAMeb产品物理部件83.2.1、TAMeb访问流程93.2.1、TAMeb的用户认证技术93.2.4、TAMeb的单一登录机制113.2.1、TAMeb的授权任务143.2.1、TAMeb的分层管理163.2.1、TAMeb的日志和审计173.2、Tivoli Identity Manager173.3.1、TIM的物理结构173.3.2、TIM的用户身份管理机制184、应用集成的实现214.1、应用集成的总体设计纲要214.1.1、TAMeb集成技术的选择214.1.1、TIM集成技术的考虑214.1.TAM应用集成实现224.2.1、WPS/Domino的集成实现224.2.2、SIEBEL的集成实现234.2.2、SAP EP的集成实现254.2.2、其它应用集成的考虑265、系统物理架构设计275.1、现有系统物理架构描述275.1、物理架构初步设计281、介绍客户正在建立新一代的业务系统，整个系统包括了对外的BSS系统，内部运作的OSS系统等几个部分，适应新业务需求的大量应用正在整个客户的系统中进行建设和部署。在整个应用系统的部署必然涉及到一个关键问题，即应用的访问。客户的组织结构较为复杂，有核心业务部门、外围业务部门、下属单位、合作单位等多种部门的组织形式，相应的应用权限设置和部署都具有较大的挑战性，即在提高用户访问便利性的同时又要满足应用对于安全性的要求。客户在新系统的建设中需要能够拥有更好的管理能力，即根据客户的实际业务环境建立一个应用访问的集中认证平台，在增加相应的安全手段，如数字证书，以及加强访问权限控制的同时，简化客户访问的流程，减少密码输入的次数，以获得更好的访问效果。同时，对于应用管理部门而言，则通过集中的认证平台来加强访问的管理和访问权限的控制，同时减少管理工作量。在建立集中应用认证服务的同时，用户集中的管理也是一个重要的问题，由于整个系统中的用户还是分散在几个不同的用户注册库中，所以需要有一种机制可以集中化地流程化地管理用户的变化，从而使认证服务得到基本的安全保障。本方案将提供整个集中认证和用户管理平台的体系结构和实现原理，以及每个组成部分的技术细节，重点在于描述如何在客户的环境中提供对现有应用的支持和集成的工作。内容还包括对用户注册系统建立的建议，系统物理架构的设计，以及实施完成后用户应用访问的流程的描述。第二章将主要描述对客户本项目管理需求的详细分析。第三章将主要描述IBM解决方案的体系结构和实现技术。第四章将主要描述整个应用的集成是如何实现的，以及IBM在本项目建议的集成方式。第五章将主要描述系统的物理架构的考虑2、客户系统状况分析客户希望建立的集中认证服务有如下的基本需求：(1)、能够提供B/S应用的集中认证系统和用户集中管理系统(2)、能够提供对大量第三方应用的集成支持，现阶段需要包括： Portal IBM Domino B/S SIEBEL SAP EP J2EE应用将来可能需要考虑的应用还可能包括 Microsoft .Net应用 其它B/S结构的应用软件(4)、支持统一的用户数据库，如Microsoft Active Directory、IBM Directory Server等。(5)、实现用户的单一登录，即登录一次就可以实现对后台集成应用的访问(6)、实现用户的集中管理，集中设置用户帐号、属性和口令，以及设置一定的访问权限3、IBM解决方案的体系结构和产品技术特性3.1、IBM解决方案的设计思想对任何企业来说，安全始终是非常重要的。企业需要保证只有通过正确认证的用户访问计算机资源，并通过设置适当的安全机制放置授权的访问。当系统规模较小，只有一两个应用时，安全管理一般都直接在应用中控制。但是当系统规模扩大，应用增多时，安全管理的工作会变得非常复杂。往往一个用户的属性需要在所有的系统中分别定义，用户需要记住一大堆的口令。每个系统单独的安全控制一般都具有较为全面的功能，但如果需要管理一个用户能够正确地访问不同的系统就会变得非常困难，而且访问的便利性也就无从谈起。另外一个问题是安全技术在不断更新，如果每个应用系统都独立考虑安全部件，则就意味着每个应用都需要和新的安全技术之间实现集成，这对于任何人而言都是困难的。而当客户自己开发应用程序，并且程序被愈来愈多人来访问，就需要更详细地控制用户能够检查哪些记录，即使他有权限访问此应用，我们称之为安全细粒度。安全细粒度越小，通过编程工作来实现就会变得越复杂。为实现这种目标需要建立一整套的安全访问机制，由于通过程序实现，往往要求编程人员通过编写复杂的代码进行实现，而且需要在每个应用系统中分别实施，这样会导致开发费用和时间的增加。而且需要对每个应用系统进行独立维护，从而造成管理与维护的复杂性。IBM考虑到现在网上应用需要更高的安全特性，应用开发的周期也越来越短。所以整个安全访问就需要通过一个产品化的、并且久经考验的技术来实现。IBM Tivoli Access Manager for e-Business(TAMeb)就是为满足这一需要而提供的安全访问平台产品。TAMeb为客户自己开发的网上应用提供了标准的访问安全接口，通过TAMeb集中管理用户和安全信息。TAMeb是一套完整的认证与授权安全和策略管理方案，提供对分布在不同地域的资源进行集中保护，为企业建立统一的应用安全平台。在建立集中认证的过程中，用户身份的集中是一个必须的工作，否则就无法了解在不同应用中用户的对应情况是否一致。用户身份集中可以有多种实现方式，包括用户同步、应用对应关系设置等多种方法，但对于客户这样规模的客户而言，用户身份集中也就意味着需要一个集中的用户身份管理系统，这个系统是所有应用、系统用户的管理点，由它来进行用户的同步，或者更新工作。同时，这个用户身份管理系统需要有一个用户管理的审批流程，这个流程和客户的管理规范相统一，从而保障整个用户管理的有序性，帮助管理层及时了解用户身份的变动情况。身份管理管理系统统一了用户信息的管理工作和用户与实际业务之间的关系。身份管理的主要目的就是让用户更方便和更高效地建立用户在企业IT环境中的身份，使得用户可以尽早地使用企业的IT资源，为企业创造价值。它包括了管理每个用户的整个生命周期以及围绕用户管理的各种自动化的业务流程。而对于最终用户而言，用户身份管理系统又提供了一个可以自我管理的机制，一些简单的用户属性修改、用户口令修改等工作就可以让用户自己来完成，从而减少用户管理所需要的技术支持工作量。IBM的Tivoli Identity Manager作为企业级的用户身份生命周期管理产品提供了自动化的用户身份管理能力。IBM Tivoli Identity Manager(TIM)是一个安全可靠、可扩展的、模块化的产品，它可以在一个很大的企业环境中实施。主要的功能包括强健并且灵活的工作流程管理、策略引擎、基于角色的访问控制以及安全的代理通讯机制等。3.2、 TAM产品家族TAMeb提供安全授权和访问认证平台，管理用户对资源的访问。TAMeb首先通过多种方式对用户进行认证，然后检查哪些资源该用户可以访问，并进行何种操作。TAMeb以用户认证的结果作为该用户的身份凭证，对其进行后续的权限检查。授权可以是一般性的，如该用户是否可以访问改服务器，也可以是有针对性的，如该用户是否可以访问改服务器的特定资源。这种针对性检查可以是如下的资源针对Web objects, J2EE objects或者MQSeries objects。(1). TAMeb Authorization Framework安全管理平台(2). WebSEAL：保护Web资源(3). TAME for Business Integration：MQSeries 资源安全管理(4). Privacy Manager用户隐私信息管理(5). TAME Authorization API：安全开发接口(6). Java2和JAAS Support：Java2和Java安全机制的支持根据通用安全判别模式，TAMeb承担用户认证服务，通过基于不同用户认证机制来获得用户的鉴别(user identification)，从而完成认证。根据需要，TAMeb还可以完成授权设置和检查，通过一个Access Enforcement部件到Authorization中心请求授权检查，Permission数据库(即ACL表)存在于Authorization中心中。让访问通过后，该用户才可以访问后面的资源。3.2.1、 TAMeb产品物理部件不管针对何种需要被保护/访问的资源，TAM提供的就是一个统一的平台，统一的用户注册库和统一的策略管理服务器，下图是TAM的物理组成部件：(1). Policy Enforcer，也称之为请求截获者，它的功能就是截获用户往后台应用的访问请求，从而强制进行访问的认证。Policy Enforcer作为一个部件而言有多种的存在和实现方式，IBM针对不同的受保护对象提供不同的组件。针对B/S应用则主要有具有反向代理功能的WebSEAL，嵌在IBM Edge Server中的代理程序，以及运行在HTTP Server、Web Application Server上的代理程序。(2). Authorization Server，也称之为Policy Server，主要完成认证和授权检查的实际工作，也是整个系统的核心。Authorization Server和两个数据系统连接，一个是用户注册库，即LDAP服务器，另外一个就是Authorization Server本身的对象数据库，这个对象数据库中存储的是被访问对象的描述以及访问的控制列表(ACL)，也称之为Authorization Policy。(3). LDAP服务器，存储了所有的用户信息，组的信息。对于TANMeb而言，用户注册数据库可以是任何一个外部的LDAP服务。(4). Web Portal Manager，即TAMeb管理界面，这是一个基于WebSphere的B/S结构的管理应用界面。以上四个部分是TAMeb的重要逻辑部件，一般而言，除了WebSEAL(Policy Enforcer部件)部署在DMZ中，其它都应该部署在安全区域中。3.2.2、 TAMeb访问流程TAMeb作为整个B/S结构应用的访问认证平台，其整个工作流程如下：(1). 客户通过计算机，移动设备访问客户的B/S结构应用。(2). 访问可以基于HTTP/HTTPS协议。(3). TAMeb的部件WebSEAL接受、解析访问请求，获得访问的用户信息，将其送到策略服务器上进行用户验证。(4). TAMeb中设置所需访问的对象的列表，创建对象虚拟命名空间。(5). TAMeb将会根据访问的用户信息、需要访问的对象、访问的执行动作进行授权检查，根据返回结果决定对访问请求是放行还是拒绝。(6). 在策略服务器上对访问ACL进行设置，同时根据业务需要设置日志记录方式。3.2.3、 TAMeb的用户认证技术所有的用户信息都必须存放在TAM所连的LDAP服务器中，如： IBM Directory Server Microsoft Active Directory Server Lotus Domino LDAP Service在本项目中，客户将通过IBM Directory Server来建立自己的企业LDAP服务器。客户可以对企业内的用户按照部门，职能进行分组，将其映射为用户组，人员可以按照其所在的部门和职能分属到不同的用户组中，如果需要用户可以属于多个用户组。商人员岗位发生变化时，管理员可以在控制台上将其更改到新的代表其岗位的用户组中，该用户会自动继承此用户组所具有的安全权限，而不需要进行任何特别设置。如果需要对其特定的权限进行修改时，也可以在控制台上进行定义。用户在进行访问时，TAMeb会首先对其用户信息进行验证，支持如下用户认证方式： Forms-based login HTTP basic authentication Digital Certificate (X.509v3) RSA SecurID Token WAP identity mechanism Resource-sensitive authentication Kerborse TAMeb支持Credentials Acquisition Service (CAS)，从而实现外挂的用户认证方式，如： 数据库的认证方式，如Oracle，DB/2 其它security tokens (Vasco DigiPass) 用户定义的认证方式，如使用用户访问代码PIN和Code RADIUS Biometrics 多种认证方式的支持使TAMeb能够利用现有的认证方法，支持传统和新的应用。TAMeb 能够透明的将用户的凭证信息和指定的用户参数传递给后台的应用，因此用户不需要在访问各个应用时重新登录。CAS API 同时提供与密码管理服务器的连接，可以强制进行密码检查，以保证用户遵循统一的密码管理规则。 通过设置口令修改的网页，TAMeb支持用户在登录后修改自己的口令。3.2.4、TAMeb的单一登录机制当存在于多种被保护的资源时，客户端在访问这些资源是需要进行多次登录，每次登录认证可能由不同的系统执行。TAMeb使得用户能够单一登录到客户的Web空间。TAMeb能利用基本的认证与Web应用软件相集成，对用户而言，它可以透明地把用户的登录信息传递到应用软件。使用TAMeb，用户需且只需登录一次，然后他们就能够访问被授权的所有基于Web资源的应用软件。 单一登录实现用户只需要登录一次即可访问其被授权的资源。由于TAMeb面向大型企业用户，管理异构分布式环境下的多种系统和应用，单一登录大大简化了对客户用户和口令的管理。TAMeb提供与后台应用服务器的多种连接(1) 在Basic Authentication (BA) headers中提供客户身份，但使用通用的口令。管理员可以定义在TAMeb和后台服务器中采用什么通用口令字。这种方式在下列环境下可以使用：n TAMeb配置为为后台服务器提供原始的用户名，外加一个通用的口令n 后台服务器的登记必须能够认识HTTP BA header中包含的TAMeb的用户身份信息 n 由于会有敏感的用户认证信息在网络上传输，我们建议采用SSL连接(2). 将原始客户端的用户信息发送给后台服务器这种方式TAMeb直接将客户端请求中的用户信息，不进行任何修改，发送给后台服务器。这种方式在下列环境下可以使用：n 客户端通过TCP向TAMeb进行认证n 后台服务器发送Basic Authentication challenge给客户端，客户端恢复用户名和口令由TAMeb直接传递给后台服务器n 后台服务器维护自己的客户端口令n 后台服务器需要能够认识TAMeb在BA header中提供的用户信息n 由于会有敏感的用户认证信息在网络上传输，我们建议采用SSL连接(3). 删除客户端BA Header信息这种方式，TAMeb删除客户端请求中的用户基本认证信息，TAMeb成为唯一的安全管理者。这种方式在下列情况下可以使用：n 在客户集合TAMeb中间建立了基础认证n 后台服务器不要求基础认证n 后台服务器只能够从TAMeb访问n TAMeb可以代表后台服务器进行认证工作(4). 通过用户的GSO（Global Singn-On）定义提供用户名和口令这种方式下，TAMeb从负责GSO的服务中获取用户认证信息，并将其提供给后台的服务器。这种方式在下列情况下可以使用： 后台服务器应用与在TAMeb中登记了不同的用户名和口令 安全对TAMeb和后台服务器来说都很重要 由于敏感的用户认证信息在网络上传输，我们建立采用SSL连接TAMeb在控制台上定义GSO资源和资源组，通过与后台服务器建立GSO连接，实现单一登录。当WebSEAL接收到对后台服务器的资源请求，会检查GSO服务中定义的相关的认证信息。GSO服务中包含用户的对应数据，能够为后台应用台够该用户需要的用户身份信息。下图显示了GSO如何实现将用户和口令信息传递给后台应用 客户端发出对资源的访问请求,有TAMeb获取。 TAMeb将信息发送给GSO或者LDAP服务 获取该用户访问改资源所需要的用户名和口令 TAMeb将用户名和口令信息加入到HTTP Basic Authentication header中，将请求转发给后台连接的服务器3.2.4、 TAMeb的授权任务除了认证服务之外，TAMeb的授权以及权限检查是非常重要的一个功能，客户可以根据自身管理流程和应用状况适度选择对这个功能的部署。在用户身份被确认之后，就需要对该用户所具有的角色和访问资源的权限进行检查。TAMeb支持对主流的应用结构及其资源进行管理，如Web 服务器(Domino, Microsoft IIS, Netscape, etc), 应用服务器(Netscape Application Server, WebSphere, Oracle), J2EE应用服务器, 第三方的基于B/S架构的系统。授权可以根据用户、组的定义来对资源的访问进行授权。TAM的授权是面向资源对象具有继承的关系。即继承结构如下：所以，管理员在TAM就可以直接控制某个用户是否对特定的资源有访问能力。而对于客户自己开发应用系统，TAMeb则提供了安全管理平台，可以通过aznAPI对应用对象的访问制定安全策略，而不需要每个应用系统自己开发并管理安全信息。、管理对象权限管理中首先需要确定被保护的资源，及管理对象。TAMeb可以管理包括Web、JSP、EJB、动态URL等应用资源。对于Web应用，TAMeb通过建立与后台Web服务器建立连接Smart Junction，能够自动获取Web服务器上的资源，如HTML、CGI-BIN、Sevelet、JSP、EJB等资源，并在TAMeb的控制台上显示出相关的服务器及其包含的资源。从而管理员可以针对这些资源定义允许的权限策略。为方便用户的访问，客户应统一定义逻辑Web命名空间，其逻辑结构可以根据应用逻辑结构而不一定是物理位置进行规划。这样既可以使用户的访问更加清晰，又可以使信息的管理得到简化。在这一Web命名空间中，内容通过一个URL (通用资源定位符)地址来访问，这一地址反映了应用系统的逻辑结构。 当用户对某一资源发出请求(使用URL)时，服务器截获请求并使用TAMeb 与后台Web服务器的连接(Smart Junctions)使逻辑地址与其物理地址相匹配。给最终用户的印象是，TAMeb对逻辑地址进行了翻译，找到用户请求的信息并将其返回给用户用户并不需要知道信息所在的物理位置。除此之外，TAMeb的逻辑Web空间还可以包含可被Web应用程序访问的信息。TAMeb支持这些应用程序使用的动态URL，允许它们象静态URL一样被管理。这意味着从传统数据库和其它后端应用程序访问到的信息能够得到TAMeb的安全保护，其保护方式与静态Web资源相同。下图说明了如何使用TAMeb Smart Junctions来促进一种逻辑编址模式的建立。TAMeb Smart Junctions允许创建对其最有用的任何类型的地址结构。例如，可以根据应用类型或任务而不是部门组织信息。此外，当应用的需求改变时，可以很容易地对信息的组织进行调整。使用TAMeb，可以重组其Web命名空间而不必在服务器间移动基于Web的信息。逻辑编址机制还使得网络的改造更加容易。如果信息必须在服务器间移动，或者添加一个新的服务器，Web管理员可以完成这一工作，不过在他调整Smart Junctions时，用户永远也不会知道已经发生了变化除非他们意识到速度变快了，效率提高了。如果客户在开发中需要定义自己的特殊的动态权限检查模式，可以通过调用TAMeb提供的aznAPI，访问TAMeb中定义的安全权限信息。当应用需要的安全策略发生变化时，可以直接通过TAMeb的控制台对安全策略进行调整，而不需要重新编写程序。、权限定义TAMeb授权服务只允许用户访问其被授权的信息。TAMeb授权服务使用了一个中央数据库，该数据库列出了安全Intranet中的所有资源和与每个资源相关的访问控制列表（ACL）。ACL中规定了用户访问、操纵资源所必须满足的条件。一个ACL项目包含两个或三个参数Type、Id和Permissions。Type表明许可信息赋予的实体（用户或组），不同的类型有：用户、组、any-authenticated（任何被验证的）和unauthenticated（未被验证的）。ID (Identity)是实体的唯一标识。Permissions为一组该用户或组允许的操作组成。在ACL中并不定义访问控制将实施给那一个对象。、用户权限检查在访问控制定义之后，可以将ACL信息授予需要进行控制的资源，从而实现用户、资源与权限的匹配，完成安全定义。客户端发出访问请求时，TAMeb根据获得的用户信息，判断该用户是否有权访问其请求的资源，并检查是否对资源有其要求进行的操作权限，如果检查通过，则将访问转发给后台的服务器，否则将拒绝其访问。TAMeb能够实时地创建、废除和修改任意用户的访问权限。一旦管理员键入更改信息，访问权限的改变立即生效，不需要重新启动服务器。3.2.5、 TAMeb的分层管理TAMeb支持基于角色的管理员职能分配和管理权限的下放。这种功能在客户这种大型企业环境时非常重要的。一般可能会根据资源或者地区进行分组，并下放管理功能。TAMeb可以将管理员的责任分类，如对某个应用的管理员可能只具有对该应用进行管理的功能。TAMeb的超级管理员可以对整个网络内的安全服务器进行统一管理，制定统一的策略，定义统一的用户组，以保证客户应用访问时的策略统一。同时超级用户可以定义其它管理员，授权其进行对指定资源的制定操作，以实现分层管理。一般管理职能的下放主要根据两种方式：一种为针对管理对象的分权管理，如企业Object Space中会包含多种Object，可能根据其代表的不同的应用或资源类型授权给不同的管理员进行管理。另外一种为针对用户组的分权管理，如对企业内不同的用户组，可能由不同的部门维护，因此授权给不同的管理员对此用户组进行管理。3.2.6、 TAMeb的日志和审计TAMeb的WebSEAL部件可以记录客户端访问请求的认证信息，Authorization Server可以记录授权检查的信息。WebSEAL的使用日志包含了三种事件类型，分别为： 授权 凭证获取认证 HTTP请求所有的TAMeb的日志格式都是XML，客户可以指定日志文件的位置、大小和刷新时间。3.3、 Tivoli Identity Manager3.3.1、TIM的物理结构TIM服务器是一个基于Java应用服务器的J2EE应用，它也包括一个Web服务器。IBM Tivoli Identity Manager所有对象的定义存储在目录树中，而关系性数据库中存储的主要是交易记录等无法存在目录树的其他数据。TIM服务器将会把ID的部署请求提交给IBM Tivoli Identity Manager的代理程序。它将会在被管理的资源上（例如：操作系统、数据库、应用等）作相应的用户ID的修改。他们同时也可以以IBM Tivoli Identity Manager为核心做用户的整合。3.3.2、TIM的用户身份管理机制3.32.1、定义组织结构TIM中可以定义企业的组织结构，结构单元包括客户的现有对内、对外部门，可以按照地域、组织结构或者业务类型进行分类。、基于角色的访问TIM提供真正的基于角色的访问控制能力。用户和角色之间的关系是不断维护的，每种角色都有各自的权限定义，如果一个用户被赋予一个角色之后，那么这个用户就拥有了那个角色所定义的权限；当这个角色的权限定义更改之后，所有被赋予这个角色的用户也会自动拥有这个角色更改之后的权限。这种功能可以大大地简化系统管理员对用户权限的管理工作。所有的权限定义都只需要针对数量非常有限的角色，而不必针对数目巨大的一般用户，从而显著地减少了系统管理人员对用户访问权限维护的工作量。TIM允许管理人员为被管资源的每个属性定义角色的访问权限。例如：我们可以定义一个角色，它对NT用户的几个属性（例如：用户密码、最大存储空间等）有读/写的权限，而另外定义一个角色，对这些属性没有读/写的权限。 TIM中用户和资源的关系可以以下图表示：所以，一个用户需要获得某种资源的用户身份设置权限时，需要考虑组、Role、和审批流程等多个环节。、审批流程TIM提供了一个功能全面的、图形化的、工作流程的管理环境。管理人员可以在这个环境中非常容易地创建和维护复杂的工作流程。通过这个管理环境，管理人员可以配置工作流程中每个步骤的审批条件和审批人员、升级条件及人员以及额外信息的输入条件和输入人员。 拖放式的工作流程设计器TIM提供了非常直观的拖放式的工作流程设计器。工作流程的设计人员可以通过简单的拖放，很容易地把整个工作流程制作出来。工作流程中的每一个环节都可以通过这个图形化的工作流程设计器来完成，例如：请求的审批、用户额外信息的输入、升级以及子工作流程等。 支持数据收集进程TIM为管理人员提供了在整个工作流程中可以输入用户额外信息的能力，例如：需要人事部输入用户的员工号和部门信息；需要财务部输入用户的账号信息等。 工作流程的重用在TIM中定义的工作流程可以用于一个或者多个ID部署策略，因此每个工作流程都可以重用在多个不同的被管理资源上（例如：操作系统、数据库和邮件系统）。 动态地决定审批人员TIM提供了增强的授权管理能力，工作流程的审批者可以赋予某个角色，而不是某个固定的用户。因此当有新的用户添加到审批角色之后，这个用户就会自动地拥有这个特定工作流程的审批权限。、定期部署新到的员工或者合同工从他们的合同生效日起就应该拥有赋予他们的权限，直到他们合同的最后一天。当然，许多工作需要事先几天或者几周就开始准备。通过TIM提供的定期部署功能，可以让部署的用户ID在指定的时间段内（例如：合同有效期）能够访问相应的系统，超过这个时间段的话，用户ID访问相应系统的权限便会被取消。定期的部署请求可以确保新的员工或者合作伙伴尽快地进入到工作状态，开始为公司创造价值，同时也可以及时有效地保护企业的各种资源。4、应用集成的实现4.1、 应用集成的总体设计纲要作为一个安全访问和用户管理平台，TAMeb需要和客户现有的应用进行集成，从而实现应用访问的集中认证和授权鉴别。下面是客户常用的应用列表：应用用户注册库Domino Domino本身NABSAP EPMicrosoft ADPortalDomino LDAP Service或者第三方的LDAP服务器SIEBELMicrosoft ADJ2EE 所以在IBM方案中，整个TAM负责应用的认证服务，所有应用的访问都将在TAMeb的安全域中，用户在得到鉴别后才可以访问后台的应用。TIM负责应用的用户的集中管理。TIM通过Agent进行用户的管理工作，包括Domino NAB和AD和数据库中用户表中的用户。4.1.1、 TAMeb集成技术的选择TAMeb将主要提供两种集成技术，分别为：(1). 通过WebSEAL和Smart Junction来实现(2). 通过Plug-in模块来实现。TAMeb提供了针对不同应用进行集成的Plug-in模块，从HTTP Server，到各种应用软件，如SAP EP、SIEBEL等。其中，WebSEAL方式实现简单，而plug-in方式对于应用对象的授权可以提供更小的细粒度。根据客户本次项目的实际情况，IBM建议采用采用基于WebSEAL的集成模式。4.1.2、 TIM集成技术的考虑TIM对于被管理资源的支持主要通过两种方式来实现： (1). 通过TIM自己提供的代理来实现，如TIM Agent for Domino等(2). 通过TIM和IDI的集成来实现，对于标准的LDAP服务，既可以通过TIM的LDAP Agent来实现，也可以通过TIM和IDI的集成工作来实现，具体的实现方式的选择可以根据配置时的要求来决定。4.2. TAM应用集成实现4.2.1、WPS/Domino的集成实现WPS和Domino系统都将使用Domino NAB的用户库(或其LDAP Service)，对于TAMeb而言，和这两个产品集成最为简单的方式就是基于LTPA，其实现步骤为：(1). WPS生成LTPA cookie。(2). TAMeb创建到WPS的Smart Junction，认证方式选择LTPA cookie，引入之前生成的LTPA cookie。(3). 编辑Domino的SSO属性，加载之前生成的LTPA Cookie。(4). TAMeb 创建到Domino的Smart Junction，认证方式选择LTPA cookie，引入之前生成的LTPA cookie。在使用TAMeb后，访问的URL变化情况：Smart Junction原先URL现在URLWPS/wpshttp:/server/myportalhttp:/server/wps/myportalDomino/domhttp:/server/names.nsfhttp:/server/dom/names.nsf4.2.2、 SIEBEL的集成实现SIEBEL集成实现时项目的非常重要的一个环节，作为业界流行的CRM系统，TAMeb提供了对SIEBEL集成的支持，具体的集成实现有以下方式：(1). 采用SIEBEL LDAP安全适配器(2). 采用TAMeb for SIEBEL的安全适配器、采用SIEBEL LDAP安全适配器SIEBEL通过LDAP适配器来访问TAM连接的LDAP服务器，TAMeb通过HTTP header将用户信息传递给SIEBEL Web Extension，SIEBEL服务器被配置成从LDAP注册库中获得用户的信任状(Credentials)，从而使用户可以登录SIEBEL系统。整个系统的体系结构如下图：实现步骤如下：(1). 客户通过WebSEAL Junction来访问一个SIEBEL资源(2). WebSEAL解释请求，认证和授权检查，然后通过HTTP header(iv-user)将用户名传递给SIEBEL Web Extension(3). 用户名和预定义共享安全属性随后被传递给SIEBEL应用服务器(4). SIEBEL应用服务器将用户名通过SIEBEL LDAP安全适配器传递给LDAP服务器。基于接收到的用户名，SIEBEL应用服务器从LDAP注册库中抽取出相应的信任状(Credentials)(5). 抽取出的信任状(Credentials)将被SIEBEL应用服务器用于登录该用户到SIEBEL数据库。、 采用TAMeb for SIEBEL的安全适配器SIEBEL产品提供了一个安全适配器接口，从而允许SIEBEL通过第三方安全适配器来集成外部的用户注册库。这个安全适配器允许将SIEBEL的用户和角色进行外部扩展，以便于企业级的管理。通过使用TAMeb for SIEBEL的安全适配器，SIEBEL可以将用户和角色的管理外包给TAM。这种集成方式使得管理用户角色变得更为方便，使之在TAM用户组的设置中完成相应的管理工作，两者之间的映像如下：SIEBEL实体TAM中的实现TAM中默认前缀RoleGroupSiebelRole-CredentialGSO Resource CredentialSiebelCred-UserUser所以，在TAMeb中需要配置GSO属性来解决TAMeb for SIEBEL安全适配器不校验密码而导致的用户验证问题。整个系统的体系结构如下：实现步骤如下：(1). 客户访问一个SIEBEL资源(2). WebSEAL认证客户，然后通过HTTP header(iv-user)将用户名传递给SIEBEL Web Extension(3). 用户名和预定义共享安全属性随后被传递给SIEBEL应用服务器(4). SIEBEL应用服务器调用安全适配器来获取用户访问所需的信任状(Credentials)(5). 安全适配器联系TAMeb Policy Server，通过使用TAM GSO资源的Credential属性来获取该用户的SIEBEL信任状(Credentials)。(6). SIEBEL信任状(Credentials)被回送到SIEBEL应用服务器(7). 抽取出的信任状(Credentials)将被SIEBEL应用服务器用于登录该用户到SIEBEL数据库。以上两种集成方式都可以被选择采用，前面一种要求客户在TAMeb和SIEBEL中的用户名一致，而第二种则需要额外配置TAMeb的GSO属性，如果有Tivoli Identity Manager产品共存的情况下，IBM建议采用方法二，原因在于TAMeb针对SIEBEL的GSO属性可以在TIM中进行统一配置。4.2.