由於工作原因,暫時不會接觸了TIM,現在感覺寫的晚了,記憶都有些模糊了,現將一些記憶中的信息寫下來。
衆所周知,隨着企業的不斷髮展,企業身份管理不當導致導致企業出現安全隱患,增加企業成本等,基於此類問題出現了IAM(Identity and Access Management)解決方案來幫助企業度過難關,降低成本和安全引患,提高效率。TIM是IBM爲了實現IAM而開發的一套解決套件之一,截目前較新版本是5.1,其它的還有Tivoli Access Manager(TAM), TAMESSO,Tivoli Directory Integrator(TDI)。
今天首先來談一下TIM這個產品,它如何來完成身份數據的自動同步和集中管理的。
TIM這個產品由多部分支撐,包括DB2, TDS, UserApplication, 一般可以部署於WebSphere中,當然了安裝過程中會涉及很多其它的組件,當全部安裝完成後,當我們第一次看到他的界面時,我們應該先明白將來我們要如何在它上面工作。
TIM分爲兩個Web界面,一個是管理界面,一個是用戶自助界面。管理界面可以完成大多數身份數據從源到目的地的自動同步任務與身份的各種集中管理等;用戶自助界面用於用戶自己修改個人相關信息,申請賬戶等。
下面以一個實際案例來說一下TIM在整個身份自動同步中都充當什麼樣的角色以及使用了哪些組件。
背景介紹:某公司現有很多人事信息系統,甚至包括基於文件的身份信息,這些信息非常龐大,需要多處管理。另外有很多的業務系統,如ERP等等在使用這些身份信息,這些系統讀取的信息存放於不同的目錄服務中(LDAP),不同的目錄服務中使用的身份信息有很多重複性,隨着企業不斷壯大,身份信息出現很多問題,不一致性、完整性等。比如:如果一名員工離職,因爲這個信息存在於很多數據源中,這些系統又是由不同的管理員進行管理,所以如果身份信息不能及時清除,可能會導致嚴重安全隱患。
基於上面的狀況,利用IAM可以很好的解決這些問題。比如,解決方案一如下:
1、 將HR等信息源作爲權威身份源,包括一些身份文件,通過EAI將各種不同的數據源提交到數據庫等統一標準數據交換格式,如:Oracle和csv文件中。
2、 利用TDI動態檢測這些數據源的變化將身份數據同步到TIM中。
3、 在TIM中創建對應的人員實體同時觸發自動供應策略在企業LDAP中創建賬戶結點。
4、 利用TDI將企業LDAP中的身份信息自動同步到其它各目錄服務中。
5、 將IAM同步過去的身份信息與原遺留目錄服務中的數據進行比對,檢測。
6、 當經過一段時間的運行,數據穩定後,直接將各應用系統接入到企業中央目錄LDAP中,去掉遺留LDAP。
這個案例大概介紹到此。後面我會繼續將這個裏面的一些涉及到TIM的組件再詳細介紹一下。