【IBM Tivoli Identity Manager 学习文档】4 TIM基本概念

简介: 作者:gnuhpc  出处:http://www.cnblogs.com/gnuhpc/   1.系统内逻辑实体 以上是一张在TIM中各个概念的关系图 Person:在一个系统中的个体,他可能存在于系统但没有账户。

 

作者:gnuhpc 
出处:http://www.cnblogs.com/gnuhpc/

 

1.系统内逻辑实体

clip_image002

以上是一张在TIM中各个概念的关系图

Person在一个系统中的个体,他可能存在于系统但没有账户。

Person profiles在系统中记录描述一个人的一组属性。

Identities指的是存储在一个或多个地方的唯一代表一个人的profile子集,它也包括了这个人的其他相关信息,例如电话号码,电子邮件地址等。比如我们可以用一个人的姓氏、名字和全名的特定组合组成一个identity。

USER使用TIM管理accounts的用户叫做TIM用户。一个TIM的user被划分到某一个组中,这个组有设定好的视图和权限,可以在TIM中完成特定的动作。

Accounts指的是一个被管理资源的一组参数,它定义了你的identity, user profile, 和credentials(证书)。具体的说,一个Accounts定义了登录信息(例如,你的ID和密码),以及相关的资源访问权限。在TIM中,Accounts是建立在service之上的。Accounts可以是有效的,也可以是停止的,被中止的Accounts是停止的,但是它还存在,系统管理员还可以对其进行重新激活。

Access control items:指的是设定用户对于某种类型的资源的的权限的一组数据。你可以建立一个ACI来批准对某种资源进行一定操作和拥有一些权限,然后设定哪些组可以使用这个ACI。

Policies指的是一组对被管理资源(在TIM中称为一个Service)或者用户的行为加以思量的策略。
Adapters这是一个软件组件,它提供了一个被管理资源和TIM Server之间的接口。
Services它指的是一个被管理的资源,比如一个操作系统,一个数据库应用程序,或者另外一些TIM管理的程序。再比如,一个被管理资源可能是Lotus Notes,用户使用在这个service上的account访问这些services。services是从services type创建的,这个类型代表了一组有着相似属性的被管理资源,例如,有一个代表Linux的service类型。在Service上的Accounts定义了这个Service的使用者。大多数Service都使用TIM进行Accounts provision,这常常需要一定工作流能够成功完成。一个Service Owner拥有在TIM中的某个特定服务,它可能是Person或者一个静止的Role,在后者的情况下,这个Role的所有成员都是这个服务的拥有者。

Resource USER:一个有TIM账户的人叫做资源用户。

Attributes 描述一个实体的特征,比如一个用户是一个实体,描述他的就是名字、电话、住址

Aliases :一个用户的实体名称,一个用户可以有多个Aliases去映射多个用户ID。


clip_image004

以上这个图是用户安全的访问系统资源所涉及的概念及其关系。
Groups是一组用户。用户可以属于一个或多个组。组被用来控制用户进入。组的成员都在TIM的Service中有Accounts,组内的某个成员可能会有特殊的权限。
在TIM中预先定义了五个组及其相关的视图和ACI。一个没有组的TIM User有着最基本的使用TIM的权限。
Access这指的是使用某种特定资源的权限。一个 Access和一个Account是不一样的,一个Account是某一种形式的权限。access entitlement则定义了在何种情况下将对被管理资源的权限赋予某一个User的account。在TIM中,access是定义在一个已经存在的 组内的被管理资源上的,在这种情况下,通过在一个Service上创建Accounts并且将相关user放置到某个组内的方式来赋予一个user的 access。Access entitlement也可以使用provisioning policy来设定。
clip_image006

Administrator:默认没有任何限制,系统的首个Administrator叫做itim manager
Auditor:该组内的成员有提出审查的权力。
Help Desk Assistant:这个组内的成员可以申请、修改、中止、存储、删除Accounts、passwords、profile,并且可以以某个user的身份进行操作。
Manager:这个组内的成员可以管理直属下属的accounts、profile和密码。
Service Owner:这个组内的成员可以管理一个Service。
Views:特定用户看得到的一组操作。

QQ%E6%88%AA%E5%9B%BE%E6%9C%AA%E5%91%BD%E5%90%8D
上图为在一个Business Unit中的User对某一个资源有权限的示意图。
Roles组织角色是一种为用户提供管理资源权利的方法,它决定了哪些资源给用户,或设置给有着相似职责的用户。对于一个Role的描述性属性,尤其是它的名字,是非常重要的,它往往暗示了这个Roles的目的。例如,一个Role可能是manager, designer, 或者auditor。TIM中支持两种Roles,一是静态的,二是动态的。前者的设定一定是手动的,后者则是根据一些属性,比如business title通过过滤器进行自动设定。
一个Business Unit中的User拥有一个Role,为了使User有权限访问一个或多个资源,我们要设置一个provisioning policy。

2.策略和工作流

然后重点说说策略(policy)和工作流(workflow).
Policies:指的是一组对被管理资源(在TIM中称为一个Service)或者用户的行为加以思量的策略。一个policy代表着一组组织性规定和逻辑,TIM用其对其他实体,比如user ID等进行管理,并且作为一个针对某个Service的policy应用于某一个特定的被管理资源上。一个policy可以应用于一个或多个服务目标,它可以被用一个Service Type进行标识或被显式的列举出所针对的Service。
TIM支持以下种类的policy:
Adoption policies
Identity policies
Password policies
Provisioning policies
Recertification policies
Service selection policies
Account defaults
Adoption policies
解释如下:

Adoption policies:领养策略,在决定一个Account的所有者和没有所有者Account的孤儿Account(orphan accounts)时会用到这个策略。它可以应用于相同Service Type的多个服务。你可以使用JavaScript定义这个策略。
Identity policies:当申请一个新的Accounts时,使用这个策略产生一个默认的User ID。
Password policies:定义了有效的密码的强度规则。
Provisioning policies:提供了很多种被管理资源类型的权限。它利用User的role定义了被授权的User的Accounts以及其权限。
Recertification policies:提供了重新鉴权的规则。
Service selection policies:它在根据Person的属性进行account provisioning时支持了service选择而扩充了provisioning policies。
Workflow:一个工作流定义了一连串代表了一个Business Process的活动。


               作者:gnuhpc
               出处:http://www.cnblogs.com/gnuhpc/
               除非另有声明,本网站采用知识共享“署名 2.5 中国大陆”许可协议授权。


分享到:

目录
相关文章
|
Web App开发 Unix Linux
【IBM Tivoli Identity Manager 学习文档】2 部署准备知识
作者:gnuhpc  出处:http://www.cnblogs.com/gnuhpc/   首先明确TIM的架构如下: 1.数据库服务器 TIM将交易数据和历史数据放置在数据库服务器内,一个关系型数据库存放了当前和历史状态的相关数据。
1059 0
|
关系型数据库 中间件 Linux
【IBM Tivoli Identity Manager 学习文档】3 系统部署
作者:gnuhpc  出处:http://www.cnblogs.com/gnuhpc/   ITIM 5.0 单服务器配置和部署。 部署ITIM之前要对其组件进行部署: IBM DB2 Enterprise 9.1 with FP2 IBM WebSphere Application Server 6.1 with FP9 IBM Tivoli Directory Server 6.2 IBM Tivoli Directory Integrator 6.1 我们安装系统的软硬件环境是: 地点:某公司 G3/G4机房。
1153 0
|
Web App开发 XML 前端开发
SVG文档:使用SVG 编程(转自IBM文档库)
简介: 可缩放矢量图形(Scalable Vector Graphics,SVG)是一种用于描述与比例无关的图形的 XML 格式,可以很好地支持免费软件和商业工具。在本期文章中,David 将介绍使用 SVG 编写脚本和动画,还将涉及通过 DOM 处理 SVG 等内容。
1021 0
|
开发工具
IBM Watson提供的认知计算服务介绍
IBM Watson提供的认知计算服务介绍
|
传感器 人工智能 自然语言处理
IBM Watson 持续扩张,认知计算正悄然改变我们的生活
在去年 IBM 发布的一则很有创意的广告中,Watson 用 IBM 最新的认知计算机咨询单元与 Bob Dylan 聊了半分钟。Watson 说它每秒能读 8 亿页,并识别出 Dylan 作品中常用的主题,比如时间流逝和爱情消逝。
385 0
|
物联网 区块链 网络架构
带你读《基于区块链的物联网项目开发》之一:了解物联网并在IBM Watson物联网平台上开发
本书首先概述当前业务场景中的物联网概念,帮助读者在IBM Watson物联网平台上开发自己的设备,并使用Watson和Intel Edison创建物联网解决方案。之后介绍如何利用Hyperledger框架开发区块链网络,以及如何创建自己的集成区块链和物联网解决方案。接下来的章节讲述了如何在IBM Cloud平台利用物联网来实现端到端的区块链解决方案。最后,你将掌握如何将物联网和区块链技术融合,利用实践和驱动程序来开发实用集成解决方案。
|
人工智能
IBM Watson被曝给出错误癌症治疗建议,是悲剧还是误会?丨科技云·视角
曾经是公众心目中“人工智能”代名词的IBM Watson,在近4年砸下几百亿美元的研发投入后,前景反而愈发暗淡。医生抱怨Watson给出错误判断,多家医院终止了与Watson肿瘤相关项目,Watson真的能治病吗? 近日,外媒Stat News爆出了IBM的一份内部文件,其中提及Watson计算机经常给出错误的癌症治疗建议,比如给一个已经大出血的癌症病人开了有可能会导致出血的药。
9403 0
|
人工智能
IBM Watson健康部门裁员:花重金收购的医疗科技公司成重灾区
消息人士称,IBM Watson Health正在裁员50%至70%,之前收购的三家医疗科技公司的员工成为这次裁员的重灾区。同时,AI医疗行业数据不完整、隐私等问题,以及巨头之间的竞争,都给IBM Watson Health造成了压力。
1713 0