|
Portal以用戶為中心���,提供統(tǒng)一的用戶登錄���,實現(xiàn)信息的集中訪問,集成了辦公商務一體的工作流環(huán)境�。利用Portal技術,可以方便地將員工所需要的��,來源于各種渠道的信息資料集成在一個統(tǒng)一的桌面視窗之內��。根據(jù)Portal提供的定制功能�,部門主管可以為本部門人員量身定制一套特有的信息門戶,將部門共同所需信息有效地組織在統(tǒng)一的Web瀏覽器之中��,并可根據(jù)人員級別和職能來設定相應的訪問操作權限。
一.Portal主要功能
1���、單點登錄(SSO—Single Sign-On):Portal提供對各種應用系統(tǒng)和數(shù)據(jù)的安全集成�,用戶只需從Portal服務器登錄一次就可以訪問其它應用系統(tǒng)和數(shù)據(jù)庫���。對于安全性要求較高的業(yè)務系統(tǒng)��,如電子銀行���、電子交易系統(tǒng)等,通過傳遞用戶身份信息��,如數(shù)字證書信息���、數(shù)字簽名信息等進行二次身份認證,保證單點登錄的安全性�。單點登錄既減少了用戶在多個應用系統(tǒng)反復登錄多次認證的麻煩,更是簡化了各種應用系統(tǒng)對用戶及其權限的一致性維護管理���。
2�、資源整合:能夠把各種不同應用的內容聚合到一個統(tǒng)一的頁面呈現(xiàn)給用戶�,實現(xiàn)同應用系統(tǒng)實時交換信息。能夠從各種數(shù)據(jù)源如數(shù)據(jù)庫、多種格式的文件檔案��、Web頁面��、電子郵件等集成用戶所需的動態(tài)內容��。
3��、定制與個性化:能夠為不同角色的用戶制定不同功能權限的Portal頁面��。同時���,用戶自己也能夠按照喜好在規(guī)定的權限下定制自己風格的頁面和內容��,如可以定制Portal頁面�,取舍不同功能和內容的Portlet窗口�,自行布置Portlet窗口的擺放位置,可以對Portlet窗口外觀��,如標題�,圖標,顏色等進行個性化設置���。
4��、協(xié)作功能:為用戶提供即時討論���,聊天��,論壇��,電子郵件以及語音或視頻會議等功能�。
5��、工作流:支持根據(jù)業(yè)務處理規(guī)則建立起來的工作流任務處理��,比如審批流程等待辦事宜�。
6、信息檢索:從多種數(shù)據(jù)源檢索動態(tài)信息資料�。
7、客戶端:除了Web瀏覽器外�,可以為PDA和手機提供接口,實現(xiàn)移動接入服務���。
二、Portal標準
建立一個以標準為依托的Portal才能很好地保護自己的投資���,既便于同現(xiàn)有應用系統(tǒng)連接�,也使得同第三方的相關產(chǎn)品更容易接口。在2003年先后發(fā)布的JSR-168和WSRP兩大標準為Portal的發(fā)展奠定了基礎���,結束了戰(zhàn)國紛爭的局面��,Portal的發(fā)展和應用將會更加廣闊長遠�。
下面介紹幾個與Portal緊密相關的技術標準:
1��、WSDL——Web Service Description Language
Web服務描述語言��。WSDL是用來描述Web服務和說明如何與Web服務通信的XML語言��。WSDL語言使用XML格式來描述信息的接口��、訪問格式和處理形式�。
WSDL描述信息內容。
2�、SOAP——Simple Object Access Protocol
簡單對象訪問協(xié)議。SOAP是一種在無中心的分布式環(huán)境下�,應用系統(tǒng)之間交換結構化信息和特定類型的信息所使用的基于XML的輕量級協(xié)議。SOAP允許任何信息對象在任何語言��、任何平臺上使用多種傳輸協(xié)議實現(xiàn)傳輸處理�。
SOAP定義信息的傳輸處理。
在Web應用環(huán)境中��,通常把SOAP同WSDL結合起來,利用HTTP協(xié)議實現(xiàn)應用系統(tǒng)之間交換各種類型的信息對象�。
3、JSR -168——Java Specification Request - Portlet Specification
Java Portlet規(guī)范�。JSR-168為業(yè)界明確了Portal的定義,制定了Portlet規(guī)范標準�,從而解決了基于Java的Portal之間,以及同其他Web應用系統(tǒng)之間的互操作性�。遵循JSR-168的Portlet將具有適用于所有Portal服務器和Web應用系統(tǒng),支持多種類型的客戶端�,支持本地化和國際化,具備確定的安全性�,允許Portal應用程序熱部署和重新部署。
4��、WSRP——Web Services for Remote Portlets
遠程Portlet Web服務協(xié)議��。WSRP定義了Portal和Portlet容器服務之間標準化接口的一個Web服務標準���。WSRP允許在Portal之間或其他Web應用上即插即用�,具有互操作性�,提供可視化的、面向用戶的遠程Web服務���。
遠程Portlet在遠程服務器上作為Web服務運行��,其服務可以發(fā)布到公共的或單位自己的UDDI服務器上��。Portal或其他支持WSRP的應用系統(tǒng)通過UDDI服務來查找并使用遠程系統(tǒng)提供的WSRP服務內容�。
WSRP的典型應用是把天氣預報��、即時新聞�、股市行情等嵌入到自己的Portal中(在國外有專門的WSRP內容提供商提供這種服務)。
WSRP使用了WSDL定義應用程序的接口��,并以SOAP作為通訊標準��。
5�、其他規(guī)范標準
此外還有一些與Portal有一定關聯(lián)的技術標準,在開發(fā)建立Portal應用中將會使用到:
UDDI:Universal Description���,Discovery and Integration
JSR-170/283:Java Specification Request - Content Repository for Java Technology API
JAAS:Java Authentication and Authorization Service
LDAP:Lightweight Directory Access Protocol
SAML:Security Assertion Markup Language
BPEL:Business Process Execution Language for Web Services
三�、Portal應用實現(xiàn)
Portal可以從本地或遠端獲得數(shù)據(jù)資源:數(shù)據(jù)資源可以來自于本地或異地的數(shù)據(jù)庫��,應用系統(tǒng)��,公共信息內容供應商(RSS��,提供新聞��、財經(jīng)信息、天氣預報等)���,Web站點或其他Portal�。此外�,Portal還可以提供日歷、工作流��、電子郵件���、論壇���、博客、Wiki���、即時交談�、電子會議等等協(xié)同工作的應用功能�。可見��,Portal是一個有別于傳統(tǒng)桌面應用和Web網(wǎng)站的全新應用系統(tǒng)�,是各種信息處理的集中展現(xiàn)平臺,是用戶日常工作的綜合臺面。
顯然�,建立一個良好的Portal應用需要充分考慮各種應用系統(tǒng)和數(shù)據(jù)資源的整合問題:
1、現(xiàn)有應用系統(tǒng)和數(shù)據(jù)資源的利用
對能夠改造利用的��,要開發(fā)相應的Portlet組件來重新實現(xiàn)���;對不能改造的可以通過鏈接的方式跳轉到這些系統(tǒng),其中的數(shù)據(jù)庫資源可以采取單純讀取的方式獲得���;還有些封閉的專業(yè)應用系統(tǒng)可能完全無法接入Portal���,可以采取定期卸載的方式獲得它的數(shù)據(jù)庫資源。
2��、新建應用系統(tǒng)的考慮
需要以Portal理念進行設計���,按照相關標準來開發(fā)實現(xiàn)應用功能的Portlet組件�,然后集成到Portal系統(tǒng)使用���。
3��、單點登錄與權限管理 對于新建應用系統(tǒng)或能夠改造的現(xiàn)有應用系統(tǒng)���,通過Portlet組件比較容易實現(xiàn)單點登錄���,進行統(tǒng)一用戶認證和用戶權限的控制。當然���,對那些安全性要求較高的應用系統(tǒng)還可以在這些系統(tǒng)內部進行二次認證和授權處理�。對那些不能改造的應用系統(tǒng)顯然也無法實現(xiàn)單點登錄���,用戶需要重新登錄到這類系統(tǒng)��,用戶管理和權限控制還依賴于這些系統(tǒng)自己處理�。
(一)單點登錄和權限控制
單點登錄是為了方便用戶進入多個應用系統(tǒng)���,減少用戶多次登錄���,免除用戶記憶多套用戶名和密碼的麻煩。
單點登錄涉及到兩個問題���,一是身份認證��,二是權限控制�。
身份認證是Portal系統(tǒng)提供訪問控制的第一步,即確認用戶是誰��,能否進入系統(tǒng)���。通常要求用戶提供用戶名和口令��,必要時要求提供用戶的數(shù)字證書��,也可以配合使用IC卡、指紋等驗證手段��。
權限控制或授權確定一個用戶的角色和級別�,從而控制用戶的訪問許可,即決定用戶能查閱哪些資料��,能進行哪些操作等等�。Java EE架構采用了基于角色的訪問控制策略(RBAC)。RBAC的基本思想是把對用戶的授權劃分成兩個分配關系�,即“用戶—角色”和“角色—權限”。RBAC的好處是便于應用系統(tǒng)的開發(fā)�,使得程序設計相對獨立和透明化,只是在應用系統(tǒng)部署使用時才通過“角色”把“用戶”和“權限”關聯(lián)起來��,而且對用戶和權限的調整配置容易實施���。
用戶與角色之間是多對多的關系���,即一個用戶可以被分配給多個角色��,多個用戶也可以分配給同一個角色���。
角色與權限之間也是多對多的關系,即一個權限可以與多個角色相關�,一個角色也可以包含多重權限。
Sun公司建立了具有可堆疊和可插接功能的JAAS框架���,為Java應用系統(tǒng)提供安全而靈活的身份認證和授權機制���。如在JBossAS應用服務器環(huán)境下,利用JAAS技術��,JBossAS提供了幾種身份認證模塊(使用者也可以自己編寫新的身份認證模塊)�,并且可以實現(xiàn)多級認證(堆疊)。對Web應用和EJB等則通過配置文件定義訪問角色和訪問方式以實現(xiàn)安全控制��。對沒有提供JAAS支持或支持不足的Web服務器或Java應用服務器�,使用者需要在自己的應用程序中編寫相關代碼或模塊來支持JAAS實現(xiàn)身份認證和權限管理。
此外還需要考慮不同領域內不同應用之間的信任關系���,解決跨越應用系統(tǒng)的身份認證和訪問控制問題��。這一點需要用到SAML�,Federation或Liberty等技術規(guī)范,通過傳遞用戶認證資料取得應用系統(tǒng)之間的認證互信�。
專業(yè)的Web服務軟件公司能夠提供比較全面的解決方案,其產(chǎn)品為Web環(huán)境下的各種應用提供可靠的身份認證和訪問權限管理�。比如Sun公司的Access
Manager 7.1,Oracle公司的Oracle Access Manager 10g��,IBM公司有Tivoli
Access Manager(提供用戶單點登錄)和Tivoli Identity Manager(解決訪問控制問題)�,還有BEA公司的BEA AquaLogic Enterprise Security等。
相比之下��,開源軟件在這方面比較瘦弱��,基本上沒有專門的軟件產(chǎn)品��,只能提供一定的支持方案��。例如通過對JBossAS和Tomcat做一些配置�,可以支持使用耶魯大學的CAS實現(xiàn)單點登錄功能�,也能夠實現(xiàn)JAAS來獲得用戶身份認證和對應用資源的訪問控制。這樣���,建立在JBossAS和Tomcat之上的應用如JBoss
Portal�,Liferay Portal和Apache JetSpeed當然也就具備了這些功能了。
在用戶管理��、身份認證和權限控制方面���,無論是商業(yè)的或開源的Portal產(chǎn)品多數(shù)喜歡采用LDAP��,當然也有的支持使用數(shù)據(jù)庫�。LDAP的好處一是它可以方便的按類別存儲任何類型的數(shù)據(jù)信息���;其二�,它的樹形存儲結構類似于一個企事業(yè)單位的組織架構�,容易對應;三是它同應用系統(tǒng)接口容易��,各個LDAP產(chǎn)品的接口都一致無需特別配置���;四是它對數(shù)據(jù)信息的訪問安全控制方便��;五是它偏向于相對固定數(shù)據(jù)信息的查詢使用���,效率較高�,維護也方便�。
IBM Lotus
Oracle
消除信息孤島,提高工作效率和企業(yè)宏觀決策的準確性和及時性
Portal提供了為企業(yè)員工提供了各應用系統(tǒng)的統(tǒng)一內容聚集和展現(xiàn)���,員工不必再到分散的應用系統(tǒng)中瀏覽�、查找�、分析相關的信息,而是能通過統(tǒng)一的Portal入口���,迅速地找到自己關心的信息和情報��。對于企業(yè)普通員工而言��,這樣將提高了工作效率�,減少了反復查找信息而進行的重復勞動和由此引起的信息失真和缺漏; 對于企業(yè)的管理者和決策者而言��,統(tǒng)一的應用系統(tǒng)內容聚集和展現(xiàn)���,將企業(yè)各個環(huán)節(jié)和不同維度的信息切片綜合地、有機地�、即時地展現(xiàn)在使用者面前,方便進行日常管理和宏觀決策�。
簡化工作環(huán)節(jié)���,快速適應新業(yè)務和新戰(zhàn)略的需求
Portal框架下通過提供統(tǒng)一認證和單次登錄的功能,改變了用戶必需使用不同的登錄方法�,不同的用戶和密碼反復登入不同的系統(tǒng)而帶來的操作復雜性和安全隱患,通過提供單次登錄的功能��,簡化了用戶訪問各種應用系統(tǒng)的環(huán)節(jié)�,提高了效率。
Portal還提供了可高度定制的個性化內容展示框架�,以一種統(tǒng)一的架構和模式,適應企業(yè)內部不同組織層次�,不同業(yè)務部門對各自工作界面的特殊要求。在這個具備高度擴展性和靈活性的展示聚集框架的支撐下���,企業(yè)才有可能隨時根據(jù)業(yè)務發(fā)展的變化�,即時調整相關部門和人員關注的焦點和內容�,使底層的IT支撐能夠趕上業(yè)務的變化和員工的要求。
減輕企業(yè)管理負擔���,適應未來IT基礎支撐體系的發(fā)展
Portal采用基于瀏覽器方式的�、統(tǒng)一的訪問和展示界面��,提供單次登錄功能���,并配合遠程桌面管理系統(tǒng)�,對于普通用戶而言,無需安裝另外的客戶端即可訪問眾多的后臺應用系統(tǒng)和企業(yè)的內部信息共享平臺���,基本無需額外的培訓�,即可適應新的系統(tǒng)的基本操作�,個人用戶可以將精力集中在業(yè)務和工作本身上,而不是反復適應系統(tǒng)上; 對于系統(tǒng)管理人員而言�,集中授權式的企業(yè)安全管控模式、瘦客戶端的發(fā)布方式��,基于桌面管理系統(tǒng)的遠程部署���、診斷模式��,都大大減輕了管理人員的工作負擔和復雜度; 對于企業(yè)而言��,Portal是基于開放的J2EE架構的���,高度靈活��、可定制的展示框架系統(tǒng)��,其采用的企業(yè)集中LDAP目錄服務和統(tǒng)一管理、統(tǒng)一認證機制���,為企業(yè)的后續(xù)IT建設和應用集成���,奠定良好的構架和基礎。
Portal采用三到N層次的應用架構��,邏輯三層次架構具有展現(xiàn)層 (Presentation Tier-View), 應用邏輯層 (Application Tier- Control)�, 及數(shù)據(jù)層 (Enterprise Tier-Data Model)。展現(xiàn)層負責輸入及輸出和展現(xiàn)客戶所要看的數(shù)據(jù)信息��,應用邏輯層 (Application Tier- Control) 是專門用來處理應用邏輯及訪問和查詢后臺的企業(yè)業(yè)務應用與數(shù)據(jù)���。
系統(tǒng)接入層
客戶端是最終用戶���,他們處于非安全區(qū)域,可以采用多種接入方式��,一般以瀏覽器為主���,可是也可以通過常用的移動終端設備如PDA���,WAP手機等接入���。
業(yè)務展示層
Portal主要處理用戶訪問統(tǒng)一信息平臺的訪問安全控制管理(后臺認證功能由認證子系統(tǒng)和目錄服務數(shù)據(jù)庫共同完成)、策略管理及內容��、應用聚集的功能�。另外,Portal將支撐用戶使用不同訪問設備的內容格式提交�,通過門戶的渠道功能將企業(yè)內部的信息資源呈現(xiàn)給用戶。
業(yè)務匯聚層
業(yè)務邏輯層匯集了Portal的具體業(yè)務應用邏輯��,主要包括: 協(xié)同工作(工作流)���、搜索引擎��、文檔管理�、網(wǎng)上教育��、統(tǒng)計查詢���、身份認證���、個性化服務等���。對系統(tǒng)數(shù)據(jù)層的數(shù)據(jù)進行操作訪問��,實現(xiàn)各種系統(tǒng)服務功能���,是Portal框架下應用資源的有機載體��。
核心數(shù)據(jù)層
核心數(shù)據(jù)層就是Portal的數(shù)據(jù)采集與交互平臺���,包括: 目錄服務數(shù)據(jù)庫、群件數(shù)據(jù)庫��、多媒體課件服務器�、訪問控制數(shù)據(jù)庫、包括BOSS��、網(wǎng)管等核心業(yè)務系統(tǒng)在內的核心數(shù)據(jù)源等��。
門戶構建
我們采選用IBM Portal Server作為門戶的統(tǒng)一訪問入口��,并基于IBM Portal Server實現(xiàn)門戶的多態(tài)化及多級化構建��。
門戶的多級化
基于Portal Server的門戶構建目的是將企業(yè)內部的各類信息進行立體的展現(xiàn)���。我們通過虛擬門戶的方法實現(xiàn)多級門戶的概念���,實現(xiàn)方式是通過對位置���、頁面、用戶及用戶組的授權��,并且通過不同的主題和外觀來實現(xiàn)形式上的門戶分離�。
根據(jù)各單位的不同的工作性質和業(yè)務范圍可將門戶規(guī)劃成多級化門戶: 主門戶、分公司門戶�、部門門戶、主題門戶等�。
內容展示
Portal的展示功能將提供給企業(yè)用戶一個統(tǒng)一入口的展示界面,并通過內容聚集將企業(yè)內部的應用資源聚集顯示在這個展示界面上���,企業(yè)用戶只需要知道這個統(tǒng)一入口的地址�,憑借自己用戶身份�,即可實現(xiàn)對己所可控的應用資源的統(tǒng)一組織,也就是說���,用戶即可在這樣一個統(tǒng)一化的展示界面上�,可以對自己所有可以使用的企業(yè)資源進行集中訪問��。
個性化服務
1、根據(jù)用戶的角色��、部門等信息���,根據(jù)權限設置得到該用戶能夠看到的頁面、標簽���、Portlet�、信息等�,且用戶可以根據(jù)自己的喜好對設置門戶內各頁面、Portlet的顯示���、布局等�。
2��、根據(jù)IBM Portal Server提供的個性化引擎實現(xiàn)對各用戶�、組、部門�、角色的個性化功能。個性化引擎包括兩種���,一種是規(guī)則引擎��,也就是我們通過設定的規(guī)則來計算符合條件的用戶能夠看到和如何看到他需要的信息��。另一種是推薦引擎���,根據(jù)WPS內嵌的智能引擎���,并根據(jù)用戶的相關屬性,例如角色���、個性�、愛好���、工作性質等�,推送該用戶可能感興趣的信息到該用戶的終端�。
內容管理
Portal Server 提供門戶網(wǎng)站內容組織器,內置內容管理應用程序���,門戶網(wǎng)站內容組織器是封裝為 Portal Server 內的門戶網(wǎng)站應用程序的輕量級內容管理應用程序���。它添加內容抽象層到門戶網(wǎng)站,現(xiàn)有內容管理系統(tǒng)(如��,WebSphere Portal content publishing(WPCP)),可以將內容發(fā)布到門戶網(wǎng)站�。
協(xié)作交流
IBM Porta Server提供了專為提高生產(chǎn)力而構建的協(xié)作工作空間,可根據(jù)地區(qū)���、部門���、項目等建立協(xié)作交流空間,實現(xiàn)安全的Web協(xié)作��。
無線拓展
在無線擴展方面�,由于系統(tǒng)采用軟件VPN的方式集成��,因此理論上支持任何協(xié)議�,同時在客戶端我們支持下列操作系統(tǒng):
Microsoft Windows XP/Windows 2000/PocketPC 2002/Windows ME/Windows 95(8)/Windows NT 4.0*/WinCE 2.1* or higher/Palm OS*.
目錄服務
我們在門戶框架下采用IBM Directory Server作為Portal的目錄系統(tǒng),存儲門戶系統(tǒng)框架下的所有用戶�,同時采用BM Tivoli Access Manager for e-Business用于實現(xiàn)訪問安全控制和單點登錄,共享IBM Directory Server中的目錄信息���。
在此基礎上���,我們使用IBM Directory Integrator同步Portal和其他應用系統(tǒng)之間的用戶。IDI提供了一個能使數(shù)據(jù)在企業(yè)級實現(xiàn)同步并允許各個部門使用現(xiàn)有工具管理其特定數(shù)據(jù)的自動化解決方案��,使工作效率最大限度地得到提高。
統(tǒng)一用戶管理
統(tǒng)一用戶身份管理的主要目的就是讓用戶更方便和更高效地建立用戶在企業(yè)IT環(huán)境中的身份�,使得用戶可以盡早地使用企業(yè)的IT資源,為企業(yè)創(chuàng)造價值��。身份管理包括了管理每個用戶的整個生命周期以及圍繞用戶管理的各種自動化的業(yè)務流程��。我們使用 Tivoli Identity Manager(簡稱: TIM)來進行統(tǒng)一的用戶管理���,可以幫助系統(tǒng)和應用快速上線并發(fā)揮作用�、降低運行成本��、最大限度地實現(xiàn)投資回報�。
用戶賬號的集中控制
通過集中化的用戶定義、企業(yè)級用戶服務的主動化�、指導這些管理流程的公司策略來滿足這個挑戰(zhàn),同時減少通過多個管理窗口和界面來進行管理而造成的不一致性和人為錯誤�。基于任務的管理界面可以從一個控制點來設置用戶訪問權限���。這些身份管理服務可以幫助在整個環(huán)境中獲得控制能力�,而不需要將關鍵的應用���、系統(tǒng)和流程延伸到外部網(wǎng)上���。
用戶自助服務
用戶自助服務功能允許用戶查看或者編輯直接應用到他們的信息���,任何有權查看自己的信息的用戶都可以使用自助服務功能來管理自己的個人信息和操作項目。
策略應用
策略可以用來實現(xiàn)賬號分配和廢除�、賬號創(chuàng)建和口令長度檢查等操作的自動化,可提供的策略包括:
·分配策略 - 表明分配給用戶的賬號�。
·身份策略 -對賬號名稱/用戶ID生成進行定義。
·口令策略 -對口令長度檢查進行定義�。
·服務選擇策略 - 解決分配政策中出現(xiàn)的沖突。
同步后臺賬號
同步功能會對存儲在被管理系統(tǒng)上的用戶信息和存儲在TIM數(shù)據(jù)庫上的對等數(shù)據(jù)進行比較���。同步功能將從被管理系統(tǒng)處收集所有的賬號信息并將其同存儲在TIM服務器上的現(xiàn)有數(shù)據(jù)進行比較,具體方法是先在TIM系統(tǒng)內查找賬號歸誰所有���,接下來查找所有賬號的現(xiàn)用別名�,如果用戶登錄ID同某個別名相匹配�,則來自服務的數(shù)據(jù)就會對TIM服務器進行更新。TIM服務器將根據(jù)預定的條件驗證該賬號是否滿足預定策略的要求���。
集中認證
目錄服務(LDAP)的建設�,使企業(yè)內部用戶對企業(yè)應用資源訪問實現(xiàn)統(tǒng)一認證成為了可能��。在目錄服務中集中存儲著全體企業(yè)用戶的身份資料、應用資源的登記資料��、以及用戶對各類應用資源的訪問許可(及安全策略)��。在這種情況下��,用戶應只需通過一次性身份認證即可實現(xiàn)對其權限許可下的所有應用資源進行訪問和使用��,用戶若成功通過認證�,則由依照用戶個人所定義的個性化服務規(guī)則,通過Portal向用戶推送符合用戶個性化需要的應用頻道��、布局�、主題、式樣等信息��,并用戶的桌面上構建出符合用戶所需的個性化工作氛圍�。我們基于IBM Tivoli Access
Manager for e-Business (TAM) 提供門戶框架中對單次登錄和訪問安全控制的建設實現(xiàn)。
建立集中的安全策略管理
建立整體的安全管理策略���,使得所有安全策略的定制��、修改和刪除等操作都通過一個統(tǒng)一的平臺來完成���,從而達到統(tǒng)一管理企業(yè)內部安全策略的目標��。
靈活多樣的用戶身份認證方式
1��、基于表格的登錄
2���、HTTP 基本認證
3、數(shù)字證書 (X.509v3) - IBM Tivoli Access Manager可與大量流行的公鑰基礎架構(PKI)解決方案集成��,其中包括Tivoli SecureWay Public Key Infrastructure和Entrust PKI�,支持證書簽名和撤銷檢查,能夠支持將公鑰證書映射為訪問許可���。
4�、RSA SecurID Token
5��、WAP身份認證機置
6���、資源敏感的認證 -- 對于特殊的資源需要額外的用戶認證機制
7�、其它客戶化的方法
集中授權管理
授權服務維護中央資料庫中的授權政策��,該資料庫中列出了受到保護的內部網(wǎng)中所有的資源以及與每一資源相關的策略模板(訪問控制列表)�。政策模板規(guī)定用戶訪問和操縱資源時必須滿足的條件。每次當用戶試圖訪問一個資源時,將根據(jù)該資源的授權政策對用戶的證書進行檢查��。
|
