基于IBM Tivoli实现4A级用户管理平台的技术方案
时间:2022-07-16 10:59:06
【前言】基于IBM Tivoli实现4A级用户管理平台的技术方案由文秘帮小编整理而成,但愿对你的学习工作带来帮助。二 4A级用户管理平台技术建设方案 统一账号、认证、授权管理平台的主要功能是集中管理企业内所有与人员相关的主账号信息、资源信息、主账号与资源之间的关系信息(从账号及资源授权信息)、主账号使用资源时的认证策略等内容。上述信息通过统一的管理界面进行管理配置...
【摘 要】随着信息技术的迅速发展,企业的IT环境中拥有各个时期建设的分散的应用系统,各个应用系统拥有不同的用户账号、认证、授权和审计方式。这些分散的用户管理体制给IT管理带来了诸多的管理复杂度和安全风险性。本文基于ibm tivoli实现4a级用户管理平台的技术方案进行了探讨。
【关键词】IBM Tivoli 4A级用户管理平台 技术方案
【中图分类号】TP31 【文献标识码】A 【文章编号】1674-4810(2013)27-0196-01
一 背景和现状分析
随着信息技术的迅速发展,企业的IT环境中拥有各个时期建设的分散的应用系统,各个应用系统拥有不同的用户账号、认证、授权和审计方式。这些分散的用户管理体制给IT管理带来了诸多的管理复杂度和安全风险性。(1)大量的系统,各自分散的用户账号管理。管理员无法建立真实人与各系统账号的对应关系,发生的安全事件无法追溯到真实人;(2)应用系统增多,账号登录频繁,口令多,使用户经常需要在各个系统之间切换,给用户的工作带来不便,安全性差;(3)应用系统之间用户信息无法互相同步,需要借助手工实现,工作量大,易出错;(4)缺乏集中统一的资源授权管理平台,无法严格按照用户角色分配权限,系统的安全性无法得到充分保证(存在越权账户)。
二 4A级用户管理平台技术建设方案
统一账号、认证、授权管理平台的主要功能是集中管理企业内所有与人员相关的主账号信息、资源信息、主账号与资源之间的关系信息(从账号及资源授权信息)、主账号使用资源时的认证策略等内容。上述信息通过统一的管理界面进行管理配置,然后至各个资源点和访问控制门户(或网关),实现统一的账号、认证、授权管理功能。
统一账号、认证、授权管理主要通过业务支撑网的4A平台实现,账户、认证、授权的操作通过业务支撑网的4A平台操作完成,并将账户信息分发到业务支撑网和统一信息平台的各个应用系统中去,统一账号管理平台中的用户来源于两个部分:第一个部分是从管理信息化网的MIS同步而来;第二个部分是不属于内部员工的人员,这部分人员需要手工录入4A账户管理平台中。
业务支撑网和管理信息化网(统一信息平台)的账户分发平台通过TDI Dispatcher实现,主要完成将业务支撑网4A管理平台对用户的操作分发到各个应用系统中去。完成数据同步的工作。
统一审计平台的主要功能是收集、汇总本地型审计日志(应用资源和系统资源的应用日志采集)和网络型审计日志(旁听侦测、4A门户和堡垒接入网关日志采集),并将上述审计日志进行关联、分析,建立综合审计查询、展示、报表等功能。
统一审计平台的用户账号、权限管理功能纳入公司统一的账号、认证、授权管理平台统一管理。审计平台的入口是4A的管理平台入口。
统一审计平台的功能实现对某企业业务支撑网和管理信息化网的应用资源和系统资源的集中审计。统一4A管理平台包括支撑网安全接入门户,集中认证模块(TAM),IAM/CS堡垒主机接入平台,支撑网和管信网统一审计平台,统一信息平台。支撑网和管信网的用户管理功能是由4A平台管理员统一负责完成,用户配置信息可以由4A管理员进行统一配置,经过配置的信息通过TDI数据同步平台,将用户管理平台对用户的操作下发到各个应用系统中去。
支撑网安全门户需要整合包括IAM/BS接入平台和IAM/CS接入平台在内的两个资源接入平台。用户需要访问B/S或C/S资源必须统一从支撑网安全门户进入。
IAM/BS的接入平台主要采用TAM Access Manager实现,通过前段的负载均衡分担网络的压力,由于支撑网门户是登录支撑网的唯一入口,用户在登录统一门户时需要采用多种强认证方式,因此需要利用TAM的EAI接口实现可配置的强认证方式,认证方式包括动态口令,静态口令,数字证书。
统一4A管理平台将收集包括统一认证网关来的信息,同时他们将日志和审计信息送到统一审计平台中作为企业级的审计数据。
三 4A级用户管理平台技术的建设收益
从全局角度看,建立企业全局的用户身份管理中心,建立用户到账号的对应关系。通过认证技术,实现不同权限等级账号的不同安全策略。实现用户自助服务,单点登录,大幅度降低系统的管理成本。
从管理员角度看,用户生命周期的管理,均可在一个平台上进行管理。及时发现未授权的信息资源访问,权限滥用,入侵企图等。减少由于用户忘记密码产生的维护成本。
从用户角度看,保证用户权限的分配符合安全策略要求,拥有完成任务所需要的最小权限。用户一次登录即可方便地访问被授权的所有系统,提高了工作效率。
从系统安全角度看,避免出现遗忘账户和越权账号及用户对后台资源访问策略的强制执行。通过审计手段,发现系统中存在的安全问题和各种入侵企图。
