IAM之Tivoli Identity Manager（一）

 

由于工作原因，暂时不会接触了TIM，现在感觉写的晚了，记忆都有些模糊了，现将一些记忆中的信息写下来。

众所周知，随着企业的不断发展，企业身份管理不当导致导致企业出现安全隐患，增加企业成本等，基于此类问题出现了IAM(Identity and Access Management)解决方案来帮助企业度过难关，降低成本和安全引患，提高效率。TIM是IBM为了实现IAM而开发的一套解决套件之一，截目前较新版本是5.1，其它的还有Tivoli Access Manager(TAM), TAMESSO，Tivoli Directory Integrator(TDI)。

      今天首先来谈一下TIM这个产品，它如何来完成身份数据的自动同步和集中管理的。

TIM这个产品由多部分支撑，包括DB2, TDS, UserApplication, 一般可以部署于WebSphere中，当然了安装过程中会涉及很多其它的组件，当全部安装完成后，当我们第一次看到他的界面时，我们应该先明白将来我们要如何在它上面工作。

      TIM分为两个Web界面，一个是管理界面，一个是用户自助界面。管理界面可以完成大多数身份数据从源到目的地的自动同步任务与身份的各种集中管理等；用户自助界面用于用户自己修改个人相关信息，申请账户等。

      下面以一个实际案例来说一下TIM在整个身份自动同步中都充当什么样的角色以及使用了哪些组件。

      背景介绍：某公司现有很多人事信息系统，甚至包括基于文件的身份信息，这些信息非常庞大，需要多处管理。另外有很多的业务系统，如ERP等等在使用这些身份信息，这些系统读取的信息存放于不同的目录服务中(LDAP)，不同的目录服务中使用的身份信息有很多重复性，随着企业不断壮大，身份信息出现很多问题，不一致性、完整性等。比如：如果一名员工离职，因为这个信息存在于很多数据源中，这些系统又是由不同的管理员进行管理，所以如果身份信息不能及时清除，可能会导致严重安全隐患。

      基于上面的状况，利用IAM可以很好的解决这些问题。比如，解决方案一如下：

1、 将HR等信息源作为权威身份源，包括一些身份文件，通过EAI将各种不同的数据源提交到数据库等统一标准数据交换格式,如：Oracle和csv文件中。

2、 利用TDI动态检测这些数据源的变化将身份数据同步到TIM中。

3、 在TIM中创建对应的人员实体同时触发自动供应策略在企业LDAP中创建账户结点。

4、 利用TDI将企业LDAP中的身份信息自动同步到其它各目录服务中。

5、 将IAM同步过去的身份信息与原遗留目录服务中的数据进行比对，检测。

6、 当经过一段时间的运行，数据稳定后，直接将各应用系统接入到企业中央目录LDAP中，去掉遗留LDAP。

 

 

这个案例大概介绍到此。后面我会继续将这个里面的一些涉及到TIM的组件再详细介绍一下。