基于IBM Tivoli實現(xiàn)4A級用戶管理平臺的技術方案

【摘 要】隨著信息技術的迅速發(fā)展，企業(yè)的IT環(huán)境中擁有各個時期建設的分散的應用系統(tǒng)，各個應用系統(tǒng)擁有不同的用戶賬號、認證、授權和審計方式。這些分散的用戶管理體制給IT管理帶來了諸多的管理復雜度和安全風險性。本文基于IBM Tivoli實現(xiàn)4A級用戶管理平臺的技術方案進行了探討。

【關鍵詞】IBM Tivoli 4A級用戶管理平臺 技術方案

【中圖分類號】TP31 【文獻標識碼】A 【文章編號】1674-4810（2013）27-0196-01

一 背景和現(xiàn)狀分析

隨著信息技術的迅速發(fā)展，企業(yè)的IT環(huán)境中擁有各個時期建設的分散的應用系統(tǒng)，各個應用系統(tǒng)擁有不同的用戶賬號、認證、授權和審計方式。這些分散的用戶管理體制給IT管理帶來了諸多的管理復雜度和安全風險性。（1）大量的系統(tǒng)，各自分散的用戶賬號管理。管理員無法建立真實人與各系統(tǒng)賬號的對應關系，發(fā)生的安全事件無法追溯到真實人；（2）應用系統(tǒng)增多，賬號登錄頻繁，口令多，使用戶經常需要在各個系統(tǒng)之間切換，給用戶的工作帶來不便，安全性差；（3）應用系統(tǒng)之間用戶信息無法互相同步，需要借助手工實現(xiàn)，工作量大，易出錯；（4）缺乏集中統(tǒng)一的資源授權管理平臺，無法嚴格按照用戶角色分配權限，系統(tǒng)的安全性無法得到充分保證（存在越權賬戶）。

二 4A級用戶管理平臺技術建設方案

統(tǒng)一賬號、認證、授權管理平臺的主要功能是集中管理企業(yè)內所有與人員相關的主賬號信息、資源信息、主賬號與資源之間的關系信息（從賬號及資源授權信息）、主賬號使用資源時的認證策略等內容。上述信息通過統(tǒng)一的管理界面進行管理配置，然后發(fā)布至各個資源點和訪問控制門戶（或網關），實現(xiàn)統(tǒng)一的賬號、認證、授權管理功能。

統(tǒng)一賬號、認證、授權管理主要通過業(yè)務支撐網的4A平臺實現(xiàn)，賬戶、認證、授權的操作通過業(yè)務支撐網的4A平臺操作完成，并將賬戶信息分發(fā)到業(yè)務支撐網和統(tǒng)一信息平臺的各個應用系統(tǒng)中去，統(tǒng)一賬號管理平臺中的用戶來源于兩個部分：第一個部分是從管理信息化網的MIS同步而來；第二個部分是不屬于內部員工的人員，這部分人員需要手工錄入4A賬戶管理平臺中。

業(yè)務支撐網和管理信息化網（統(tǒng)一信息平臺）的賬戶分發(fā)平臺通過TDI Dispatcher實現(xiàn)，主要完成將業(yè)務支撐網4A管理平臺對用戶的操作分發(fā)到各個應用系統(tǒng)中去。完成數(shù)據同步的工作。

統(tǒng)一審計平臺的主要功能是收集、匯總本地型審計日志（應用資源和系統(tǒng)資源的應用日志采集）和網絡型審計日志（旁聽偵測、4A門戶和堡壘接入網關日志采集），并將上述審計日志進行關聯(lián)、分析，建立綜合審計查詢、展示、報表等功能。

統(tǒng)一審計平臺的用戶賬號、權限管理功能納入公司統(tǒng)一的賬號、認證、授權管理平臺統(tǒng)一管理。審計平臺的入口是4A的管理平臺入口。

統(tǒng)一審計平臺的功能實現(xiàn)對某企業(yè)業(yè)務支撐網和管理信息化網的應用資源和系統(tǒng)資源的集中審計。統(tǒng)一4A管理平臺包括支撐網安全接入門戶，集中認證模塊（TAM），IAM/CS堡壘主機接入平臺，支撐網和管信網統(tǒng)一審計平臺，統(tǒng)一信息平臺。支撐網和管信網的用戶管理功能是由4A平臺管理員統(tǒng)一負責完成，用戶配置信息可以由4A管理員進行統(tǒng)一配置，經過配置的信息通過TDI數(shù)據同步平臺，將用戶管理平臺對用戶的操作下發(fā)到各個應用系統(tǒng)中去。

支撐網安全門戶需要整合包括IAM/BS接入平臺和IAM/CS接入平臺在內的兩個資源接入平臺。用戶需要訪問B/S或C/S資源必須統(tǒng)一從支撐網安全門戶進入。

IAM/BS的接入平臺主要采用TAM Access Manager實現(xiàn)，通過前段的負載均衡分擔網絡的壓力，由于支撐網門戶是登錄支撐網的唯一入口，用戶在登錄統(tǒng)一門戶時需要采用多種強認證方式，因此需要利用TAM的EAI接口實現(xiàn)可配置的強認證方式，認證方式包括動態(tài)口令，靜態(tài)口令，數(shù)字證書。

統(tǒng)一4A管理平臺將收集包括統(tǒng)一認證網關來的信息，同時他們將日志和審計信息送到統(tǒng)一審計平臺中作為企業(yè)級的審計數(shù)據。

三 4A級用戶管理平臺技術的建設收益

從全局角度看，建立企業(yè)全局的用戶身份管理中心，建立用戶到賬號的對應關系。通過認證技術，實現(xiàn)不同權限等級賬號的不同安全策略。實現(xiàn)用戶自助服務，單點登錄，大幅度降低系統(tǒng)的管理成本。

從管理員角度看，用戶生命周期的管理，均可在一個平臺上進行管理。及時發(fā)現(xiàn)未授權的信息資源訪問，權限濫用，入侵企圖等。減少由于用戶忘記密碼產生的維護成本。

從用戶角度看，保證用戶權限的分配符合安全策略要求，擁有完成任務所需要的最小權限。用戶一次登錄即可方便地訪問被授權的所有系統(tǒng)，提高了工作效率。

從系統(tǒng)安全角度看，避免出現(xiàn)遺忘賬戶和越權賬號及用戶對后臺資源訪問策略的強制執(zhí)行。通過審計手段，發(fā)現(xiàn)系統(tǒng)中存在的安全問題和各種入侵企圖。

〔責任編輯：李爽〕