IAM之Tivoli Identity Manager（二）

今天继续接着上次的内容，前一次大概说了整个解决方案。现在说在该方案中涉及到TIM的一些概念，如：Entity, Operation, Provisioning Policy, Service等，下面来介绍一下这几下概念。

Entity

Entity在TIM说通俗就是存储身份实体的总称，包括Person, Account。当我们自定义好LDAP的Schema后，导入到TDS中，就可以新建Entity了，然后与Schema对应，将来就可以存储身份信息在TIM中了，TIM特别擅长处理人与账户的关系，这是特色之一哦。

Operation

Operation是一类的操作，如：Add, Modify, Delete, Suspend, Restore, ChangePasswod,这些操作都是对身份信息经典操作，TIM中的Operation功能很强大，可以图形化定义Workflow,用JavaScript方式写入复杂的处理逻辑，比如：我们可以在添加新人员到TIM前将一些属性做一些计算来符合要求等等。另外，这个地方扩展性也很好的，我们可以自己定义Java类，然后用TIM的JavaScript API封装自定义JS函数。

Service

Service在TIM可以理解成与外部数据源进行沟通的桥梁，如：我们想将来用TIM在某LDAP服务器上创建账户，就需要用到Service.在这个解决方案中除了LDAP Service外，还用到了IDI Feed Service, 这个就是可以用IDI将身份信息直接推送到TIM中。

Provisioning Policy

供应策略是TIM中非常核心的组件了，TIM只所以能够自动的在各种目标源中创建账户都离不开这个东东。供应策略中我们要与特定的Service关联，定义人员与账户的属性对应关系，并可以写一些处理逻辑。设置自动同步就是在这里的哦。

 

处理顺序如下：

1.      创建一个IDI Feed Service,设置好相关信息（外部TDI的AL会用到这些信息的）

2.      导入我们息定义的Schema进入TDS,创建Entity，我们在这里创建Person

3.      可以在Person的Operation中写一些简单的属性处理逻辑

4.      导入LDAP Adapter进入TIM,这样就可以创建我们的LDAP Service了

5.      创建一个自动类型的供应策略，设置好人员与账户的属性对应关系

6.      Account的Operation我们就使用默认的，不加任何处理逻辑了

 

这里把Adapter顺便提一下，这个东东是一些独立的组件，它可以让TIM连接各种不同的数据源，工作方式是使用RMI。在官方网站会有很多的Adapter下载，像连接LDAP的Adapter是用Assemble Line实现的，目标源的账户就是靠AL来完成的，当然了，像这种Adapter我们要在指定TDI服务器上安装对应的Dispatcher才行。在实际的项目中，我们在这里的AL都可能要加一些处理逻辑来满足客户的特殊需求，所以把TDI用熟悉也是非常关键的哦。