供稿人:肖华飚
本文将简要介绍Tivoli Access Manager产品的功能和应用方向。
IBM Tivoli Access Manager(Tivoli Access Manager)是用于公司 Web、客户机/服务器和现有应用程序的认证和授权解决方案。Tivoli Access Manager 允许您控制用户访问受保护信息和资源。通过提供集中、灵活而可伸缩的访问控制解决方案,Tivoli Access Manager 使您能够建立安全且易于管理的、基于网络的应用程序和电子商务基础结构。
Tivoli Access Manager支持认证、授权、数据安全和资源管理功能。将 Tivoli Access Manager与基于因特网的标准应用程序结合使用,可构建高度安全、管理良好的内部网。
Tivoli Access Manager 提供如下功能:
- 认证框架:Tivoli Access Manager 提供范围很广的内置认证程序,并支持外部认证程序。
- 授权框架:通过标准授权应用程序编程接口(授权 API)可访问 Tivoli Access Manager 授权服务,该授权服务提供对本机 Tivoli Access Manager 服务器和其它应用程序的访问请求的许可和拒绝决策。授权服务与资源管理器一起对业务网络系统提供一种标准授权机制。
Tivoli Access Manager 可以集成到现有的旧基础结构和新出现的基础结构中,以提供安全而集中化的策略管理功能。某些现有的资源管理器包括:
- IBM Tivoli Access Manager WebSEAL:管理并保护基于 Web 的信息和资源。WebSEAL 包括在 Tivoli Access Manager for e-business中。
- IBM Tivoli Access Manager for Business Integration:为 IBM MQSeries 和 IBM WebSphere MQ 消息提供安全解决方案。
- IBM Tivoli Access Manager for Operating Systems:除本机操作系统所提供的授权策略实施层之外,还提供了 UNIX 系统上的授权策略实施层。
现有的应用程序可以利用 Tivoli Access Manager授权服务,并为整个企业提供公共的安全策略。
Tivoli Access Manager网络安全管理解决方案提供和支持下列核心技术:
- 认证:
认证是用户在请求受 Tivoli Access Manager 保护的资源时必须执行的第一步。在认证期间,用户标识是经过验证的。认证过程通常取决于提供服务的应用程序的特殊要求。通过使用授权API,Tivoli Access Manager允许一种高度灵活的认证方法。Tivoli Access Manager通过授权 API 提供内置的用户名和密码认证支持。应用程序可以建立使用授权 API 的任何定制认证机制。
- 授权
授权实施安全策略的方法是,确定用户可以访问的对象以及用户对这些对象可以采取的操作,然后向用户授予适当的访问权限。Tivoli Access Manager 通过使用以下几项来控制授权:
- Tivoli Access Manager 授权服务;
- 针对细粒度访问控制的访问控制表 (ACL)、受保护对象策略(POP)和授 权规则;
- 基于标准的授权API,它对 C 语言 应用程序使用 aznAPI,而对 Java 语言应用程序使用 Java 认证和授权 服务(JAAS) ;
- 外部授权服务功能;
- 保护级别(QoP)
保护级别是 Tivoli Access Manager 对在客户机和服务器间传输的任何信息进行保护的程度。数据保护级别取决于加密标准和修改检测算法的组合效果。资源管理器负责确保实施数据保护级别。
保护级别包括:
- 标准传输控制协议(TCP)通信(无保护) ;
- 数据完整性 - 保护消息(数据流)在 网络通信期间不被修改;
- 数据保密性 - 保护消息在网络通信期间不被修改或检查;
Tivoli Access Manager 支持由安全套接字层(SSL)通信协议和传输层安全(TLS)通讯协议提供的数据完整性和数据保密性。
- 可伸缩性
可伸缩性是指对访问域中资源的用户数目不断增加作出响应的能力。Tivoli Access Manager使用下列技术提供可伸缩性:
- 复制服务
认证服务
授权服务
安全策略
数据加密服务
审计服务
- 前端复制的服务器
用于高可用性的镜像资源
负载平衡客户机请求
- 后端复制的服务器
后端服务器可以是 Tivoli Access Manager WebSEAL、Tivoli Access Manager for Operating Systems、Tivoli Access Manager for Business Integration 或其它应用程序服务器
用于高可用性的镜像资源(统一的对象空间)
附加内容和资源
传入请求的负载平衡
- 已优化的性能,通过允许将认证和授权服 务卸载到独立的服务器而实现
- 缩放服务的部署,无需增加管理开销
- 可记帐性
Tivoli Access Manager 提供了许多记录和审计功能。日志文件捕获由 Tivoli Access Manager 服务器生成的任何错误和警告消息。审计跟踪文件监视 Tivoli Access Manager 服务器活动。
- 集中化管理
提供了三种方法用于管理安全策略和 Tivoli Access Manager 服务器:
- pdadmin 命令行实用程序
pdadmin 命令行实用程序用于 Tivoli Access Manager 管理。此实用程序提供命令行接口,既用于管理用户、组、角色、许可权、策略、域和服务器,又用于执行其它任务。该命令可在脚本或批处理文件中用于自动处理。
- Web Portal Manager 图形用户界面(GUI)
Web Portal Manager 是基于 Web 的可选图形用户界面(GUI),用于 Tivoli Access Manager 管理。Web Portal Manager 提供 GUI 界面,既允许您管理用户、组、角色、许可权、策略、域和服务器,又允许执行其它任务。
Web Portal Manager 仅在 AIX、Solaris 和 Microsoft Windows 操作系统上可用。对您的平台而言,这个可选的 GUI 必须使用 Tivoli Access Manager Web Portal Manager CD 来独立安装。使用 Web Portal Manager 的主要优点在于,您可以通过使用任何受支持的 Web 浏览器远程执行这些任务,无需任何特殊网络配置。
- 管理 API
Tivoli Access Manager 的管理 API 组件提供一组编程接口,允许您编写应用程序以管理用户、组、规则、许可权、策略、域和服务器。这些功能的 C 语言版本和 Java 语言版本都是可用的。
