本章描述 SunTM Identity Manager 的用途并重点介绍该应用程序的主要功能。本章还简要介绍了 Sun 提供的其他身份管理产品。
本章包含以下主题:
Sun Identity Manager 能够自动执行跨多个 IT 系统创建、更新和删除用户帐户的过程。此过程统称为置备(即创建和更新帐户)和解除置备(即删除用户帐户)。
例如,当员工加入公司时,Identity Manager 会运行一个工作流来检索必需的批准以授予其访问权限。当 Identity Manager 获取这些批准后,会在公司的人力资源系统 (PeopleSoft)、电子邮件系统 (Microsoft Exchange) 和企业应用程序 (SAP) 中为员工创建帐户。如果员工在公司中的角色发生变化,Identity Manager 会更新其用户帐户,并扩展他/她对于新角色所需的必要资源的访问权限。而且,当员工离开公司时,Identity Manager 会自动删除其用户帐户以防其继续访问相关资源。
Identity Manager 还可以实时强制实施审计策略。审计策略指定用户可以或不可以拥有的访问权限类型。例如,在美国,如果同一个用户既能够访问应付帐款系统又能够访问应收帐款系统,则会违反 Sarbanes-Oxley (SOX) 法案。这就是所谓的违反职责分离规则。Identity Manager 可以执行审计扫描以检查是否存在各种类型的违反情况,并根据所使用的配置,在检测到违反情况时,自动删除相关访问权限或者向管理员发送通知。此过程称为纠正。
在 Identity Manager 中,受管应用程序和其他 IT 系统称为资源。Identity Manager 使用适配器或连接器与资源进行交互。
适配器和连接器安装在 Identity Manager 服务器上。(Identity Manager 不需要在目标资源上安装称为代理的特殊软件。)Sun 提供了许多 Identity Manager 适配器和连接器,可以创建新的适配器和连接器,以便通过标准协议或已知的应用程序编程接口 (application programming interface, API) 来与几乎所有的资源进行通信。Identity Manager 附带了各种能够与许多最常见的资源进行通信的适配器和连接器。另外,模板和框架代码可用于帮助程序员创建其他适配器和连接器。
对于某些资源,不能直接与之通信,需要使用 Sun Identity Manager Gateway 才能与之通信。需要 Gateway 的资源示例包括 Microsoft 产品(如 Exchange 和 Windows Active Directory)、Novell 产品(如 eDirectory,以前称为 Netware Directory Services)等。在这种情况下,Identity Manager 直接与 Gateway 通信,Gateway 再与这些资源进行交互。
有关 Identity Manager 所支持的资源的列表,请参见《Sun Identity Manager 8.1 发行说明》中的“支持的资源”。
Identity Manager 有一个面向管理员的用户界面 (user interface, UI),还有一个面向最终用户的独立界面。要使用 Identity Manager,管理员和最终用户需要使用 Web 浏览器登录到 Identity Manager。
管理员使用管理员界面来管理用户、设置和分配资源、定义权限和访问级别、制定审计策略、管理遵循性,以及执行其他业务管理员和系统管理员功能。
最终用户使用最终用户界面执行大量自服务任务,如更改密码、设置对身份验证问题的答案、请求对 IT 系统的访问权限以及管理委托的分配。
公司还可以使用 SPML(Service Provisioning Markup Language,服务置备标记语言)创建其自己的用户界面,或者将现有的前端系统与 Identity Manager 集成。
其他 Identity Manager 界面包括:
IVR(Interactive Voice Response,互动式语音应答)电话界面 - 允许最终用户使用电话执行 Identity Manager 功能
Identity Manager IDE(Integrated Development Environment,集成开发环境)- 由软件开发者用来自定义 Identity Manager
Identity Manager 控制台 - 可供管理员使用的命令行界面
Identity Manager Service Provider 是可高度伸缩的、专注于外联网的身份管理功能,通过它可以置备和维护数百万个存储在 LDAP 目录服务器上的最终用户帐户。通过 Service Provider 功能还可以管理数千个管理员帐户并将 LDAP 帐户数据与其他资源同步。
Service Provider 功能使用 Identity Manager 中提供的部分特性和功能。例如,没有提供审计功能,因为它在外联网环境中用处不太大。
有关标准 Identity Manager 和 Service Provider 功能之间区别的详细说明,请参见《Sun Identity Manager Service Provider 8.1 Deployment》中的“Service Provider Features”。
Service Provider 以前作为一个单独的附加产品提供,现在是 Identity Manager 的一部分。但是,利用 Service Provider 功能需要进行特殊的规划。
有关 Identity Manager Service Provider 系统体系结构的信息,请参见了解 Identity Manager Service Provider 系统体系结构。
有关规划高可用性 Identity Manager Service Provider 体系结构的信息,请参见了解所建议的 Service Provider HA 体系结构。
有关部署 Identity Manager 以利用 Service Provider 功能的信息,请参见《Sun Identity Manager Service Provider 8.1 Deployment》。
除了 Identity Manager,Sun 的其他身份管理解决方案包括 Sun JavaTM System Directory Server Enterprise Edition、Sun OpenSSO Enterprise 和 Sun Role Manager。这些产品对 Identity Manager 进行了补充,Role Manager 可以对 Identity Manager 的功能进行扩展。
Sun Java System Directory Server Enterprise Edition 是可伸缩的高性能 LDAP 数据存储,用来存储身份信息。Directory Server Enterprise Edition 提供核心目录服务以及其他补充数据服务。竞争的目录服务产品包括 Microsoft 的 Active Directory 和 Novell 的 eDirectory。
Sun OpenSSO Enterprise(以前称为 Sun Java System Access Manager 和 Sun Java System Federation Manager)为内部与外部应用程序和 Web 服务集中实施了一个全面的安全策略。它提供安全和集中的访问控制和单点登录 (single sign-on, SSO) 功能。使用它可以进行联合身份管理,从而可以与拥有不同目录服务、安全和身份验证技术的公司共享应用程序。联合合作伙伴相互信任,能够验证其各自的用户,并保证用户对于访问服务的权限。
Sun Role Manager(以前称为 Vaau RBACx)通过基于用户在公司中的角色(而不是基于每个用户)来管理访问权限。公司基于使用情况和企业策略创建角色,从而获取对其访问权限更大的可见性,并以更高效、更安全和更符合要求的方式来管理访问权限。