当前位置：文档之家› IBM Tivoli Identity Manager

IBM Tivoli Identity Manager

善用聚合应用，提高业务效率

方案介绍书

IBM（中国）有限公司

2010年9月

1.前言 (1)

1.1.为什么选择IBM T IVOLI (1)

1.2.为什么选择IBM的集成式式身份管理策略 (1)

1.3.IBM的专业服务 (2)

2.IBM TIVOLI IDENTITY MANAGER (3)

2.1.IBM T IVOLI I DENTITY M ANAGER (3)

2.2.IBM T IVOLI I DENTITY M ANAGER 的主要特点 (3)

2.2.1.集中式的帐户管理 (3)

2.2.2.基于角色的访问控制 (3)

2.2.3.委托管理 (4)

2.2.4.自助式服务功能 (4)

2.2.5.用户数据和密码的同步 (4)

2.2.6.基于web的管理界面 (4)

2.2.7.业务流程的自动化 (5)

2.2.8.整合功能 (6)

2.2.9.智能补救功能 (6)

2.2.10.密码管理 (6)

2.2.11.规则模拟实施 (7)

2.2.12.审计和报表 (8)

2.2.13.外部应用集成 (8)

2.2.14.柔性连接结构 (9)

2.2.15.规则和配置的导入/导出 (9)

2.2.16.扩展性和高可用性架构 (9)

2.3.IBM T IVOLI I DENTITY M ANAGER产品的优势 (9)

2.4.IBM T IVOLI I DENTITY M ANAGER组件结构 (10)

2.4.1.Web用户界面层 (11)

2.4.2.应用层 (11)

2.4.3.服务层 (12)

2.5.IBM T IVOLI I DENTITY M ANAGER 支持平台 (12)

2.5.1.服务器组件 (12)

2.5.2.被管理的系统 (12)

2.6.IBM集成式身份管理策略的组成部分 (13)

2.6.1.IBM Tivoli Access Manager产品(e-Business、Operating System和Business Integration)

2.6.2.IBM Tivoli Federated Identity Manager (14)

3.IBM IT 服务管理 (15)

4.服务 (16)

4.1.1.IBM Tivoli Identity Manager 评估和架构服务 (16)

4.1.2.IBM Tivoli Identity Manager评估，架构和解决访问设计服务 (16)

第1页

1. 前言

通过IBM Tivoli Identity Manager ，客户将有能力创造一个安全的基础设施, 通过集中式的用户管理和自我服务的设施，从而帮助提高最终用户生产率和降低管理成本。此外，通过工作流，委托管理等功能实现自动化的用户生命周期管理，帮助客户提高投资回报率和业务生产力。通过实现对安全策略的审计和业务流程的自动化，帮助客户减少错误和误差。

1.1. 为什么选择IBM Tivoli

这些年来，IBM Tivoli 在安全产品族中做出了空前的投资。IBM Tivoli 不断的调整自己，研究市场的动态，吸收了大量的用户反馈。此外, IBM 已经参与并对许多行业标准做出了自己的贡献，包括已经使用的和即将推出的。以上所提及的努力取得了重大的成果－IBM 研发启动以及客户咨询委员会。这些成果以及投资使得IBM 能够面向市场，推出既紧密集成而且符合标准的技术。这些技术一开始就为您的业务带来弹性，端对端的业务整体结构和通向成功的基石。解决用户生命周期管理中的复杂性的方法已经成为安全的关键，帮助IBM Tivoli 用户减少开发和管理成本，集中安全管理策略，降低风险，当然，最重要的是增加收入。

此外, Tivoli 是IBM IT Service Management (ITSM) 策略的集成部件。这个新的方法为IT 事务的管理引入了更好的途径。它的目标是帮助您更有效并高效的管理您的IT 基础设施，同时减少在利用ITIL 最佳实践时带来的复杂性。IT Service Management 解决方案能够将IT 流程转化为可管理的任务同时自动将它们集成。由此带来的好处是，您从此就不再需要为每一个操作本身单独设计IT 流程。反之,只需将IT 流程设计一次，然后它将自动在跨平台的环境中集成，以此来节约时间和成本。IT Service Management 的优点包括： ● 更有效更高效的提供IT 服务－按照业务的优先程度。

● 可量化的流程处理－端对端的流程度量和量化。

● 从现有的投资中取得更大的收益－更加紧密的集成技术、信息和人。

● 增加IT 组织的生产力－通过数据和工作流集成 IT 本身。

1.2. 为什么选择IBM 的集成式式身份管理策略

IBM 的集成式身份管理策略市场竞争中有自己独特的优势，同时也被分析人员和第三方组织认可。第一个被开放系统委员会授予 Crossroads A-List 大奖就是一个很好的例子。“集成身份管理”类别和该项奖励都是业内的第一次。这是用于奖励Tivoli Identity Manager 与Tivoli Access Manager 协同工作的特性，来实现史无前例的基于角色的访问, 验证/授权服务和基于业务目的，控制细化到了数据元素级别的使用控制。每一个以上的特性对于身份管理的实现以及满足风险管理的需求都是非常关键的。

第2页

1.3. IBM 的专业服务

IBM Tivoli 软件服务为Tivoli 软件产品提供了全球化的技术支持服务，这使得设计，建立，测试和部署一个管理您电子商务基础设施的解决方案更为容易。

IBM 专注于您技术管理解决方案的成功实施。同时关注Tivoli 软件产品的技术咨询 IBM Tivoli 软件服务能提供您更深入的技术产品技能，解决方案架构，知识的传播以及质量保证。

第3页

2. IBM Tivoli Identity Manager

2.1. IBM Tivoli Identity Manager

IBM ? Tivoli ? Identity Manager 提供了一个安全、自动而且基于策略的用户管理解决方案，满足客户无论是在原有的IT 环境还是电子商务时代的IT 环境下将企业的核心业务展现给客户、供应商、合作伙伴甚至竞争对手的需求。在现有的业务流程中引入基于Web 的管理和自助式服务接口的动机，反应了客户对简化及基于安全策略的自动化用户管理的需求。Tivoli Identity Manager 包含一个工作流引擎，同时利用用户身份信息提供如审计、报告等功能。

IBM Tivoli Identity Manager 既可以直接与用户交互，也可以与两种类型的外部系统－身份数据源和访问控制机制直接交互。身份系统管理需要在各个系统中建立帐号的用户身份的权威数据。发布系统与访问控制系统直接交互，从而建立用户帐号，提供用户信息以及密码，定义用户的授权信息。与之相反的是，在访问控制系统中进行的改动能够被发布系统所捕获并报告，然后按照安全策略对这些改动进行评估。

2.2. IBM Tivoli Identity Manager 的主要特点

2.2.1. 集中式的帐户管理

IBM Tivoli Identity Manager 可以集中的为一个组织创建、管理、挂起和移除所有用户的帐户。从而降低各种用户帐号管理的成本。

2.2.2. 基于角色的访问控制

基于角色的访问这一概念是指，利用个人的某些已知信息来决定赋予其相应的权利。IBM Tivoli Identity Manager 将用户按照角色来管理。大多数情况下，一个角色代表着通用的职责。例如，可以在组织中创建一个会计的角色，使其能够访问所有的跟会计相关的应用和资源。同样职责的应用有银行机构中的信贷人员，或者保险公司中的理赔评估人等等。为用户分配角色可以是固定的，也可以是动态的。

固定：管理员必须手动的为每位用户添加相应的角色；

动态：按照一项或多项个人数据项（LDAP 属性），为每位用户自动的添加角色。例如，所有的信贷人员都会依照他们的职位、部门编号或管理者的名字统一添加到一个信贷人员角色。

一旦某位用户被IBM Tivoli Identity Manager 分配了一个特定的角色，也就会获得该角色相关的资源。在我们的解决方案中，角色或者是在我们产品中唯一的被创建，或者是从您公司的HR 系统依照现存角色提取出的模型。

第4页

2.2.

3. 委托管理

IBM Tivoli Identity Manager 提供了委托管理功能。使用内置的访问控制项（Access Control Information ，ACI ）的策略，实现多方面的细粒度控制，如用户信息、报告和指派功能（策略、工作流、服务）、所有用户的身份属性和操作（移除、转移、搜索、恢复、挂起、添加和修改）的详细的GRANT 和DENY 选项。管理的范围是对系统中的所有用户，直至单个用户的级别。

例如，您可以创建一个服务台角色和一个安全管理员角色。服务台角色将被限制接入到机密或敏感信息，而安全管理员角色拥有全部权限。这些角色一旦被创建，您就可以管理相应的ACI 。安全管理员角色将“允许”访问所有安全级别的信息。服务台角色将会被限制查看个人机密信息，但可以修改某些属性，如“职位”。

2.2.4. 自助式服务功能

IBM Tivoli Identity Manager 的自助服务功能非常有用。自助式服务功能使用户（和委托管理员）可以通过用户指派系统管理授权数据。利用角色和ACI 规则，用户可以对其他用户和委托管理员指派特定的权限，对个人数据执行某特定操作，如添加或移除。通过自助式服务功能，授权用户可以自己重设密码，自助的注册以申请所要管理资源的访问权限。

2.2.5. 用户数据和密码的同步

IBM Tivoli Identity Manager 与IBM Tivoli Directory Integrator 结合在一起，提供对组织中所有被管理系统的用户帐号双向密码同步的能力。经过密码同步之后，用户只需要记住一个密码就行了，从而提高了生产力，保证了对各个系统无缝的访问。

2.2.6. 基于web 的管理界面

IBM Tivoli Identity Manager 提供了一个功能全面的基于Web 的管理员使用界面。所有的管理工作都可以通过这个Web 工具非常轻松地完成。这个Web 工具不仅可以为管理人员提供管理界面，而且可以同样为最终用户提供一个管理和使用界面。它的目的就是要为各种用户提供一个统一的、直观的、简单的、互动的、全面的管理工具。该界面的截图如下所示：

第5页

图3-1 基于Web 的管理界面

2.2.7. 业务流程的自动化

IBM Tivoli Identity Manager 具有工作流的功能，结合客户自身的业务流程，自动的为业务管理的相应资源，使得业务更具弹性。工作流程的粒度，简单时只需获得一个批准，复杂时必须请求多重准许，如附加信息、通知、工作单、子流程、环路和客户通过Java ? Script 定制的扩展步骤。

工作流程的审批过程是通过对用户间关系（如管理员，责任人或系统拥有者等）的分解，关联到某特定个人。或者按规定路线发送到某特定角色相关的任何个人。我们的解决方案能够基于实际行动来决定相关的审批者。例如，可以将“服务所有者”或“管理员”的关系设置成审批者。在这种方式下，工作流引擎能够按照服务和被指派的人来动态的决定服务所有者和/或管理者。

在我们解决方案的工作流程设计工具的帮助下，**客户**能够通过一个可拖拽的界面来定制自己的工作流程。

第6页

图3-2 生命周期管理和工作流程设计工具

如上例所示，当承包商进入到组织中时需要运行的一个客户证明流程，得到相应的许可，并发送一个“允许”或“拒绝”的通知到特定的电子邮箱。

2.2.8. 整合功能

IBM Tivoli Identity Management 解决方案具有基于策略的整合功能，旨在根据策略核对本地系统对用户环境、所管理资源的改动。通过定义策略来处理这些被检测的帐户，决定是否使这些包含改动信息的帐户暂停或打上标记以便于管理人员查阅，应用程序是否需要自动处理这些异常，要么将所管理系统的信息的改动撤销，与主数据库保持一致，要么考虑认可本地系统的改动，并更新对应的主数据库。

2.2.9. 智能补救功能

IBM Tivoli Identity Manager 对违反策略之处会记上标准按钮（标记、挂起、纠正），还会将不符合策略的部分送到权威处以待进一步的分析。IBM Tivoli Identity Manager 能够显示每个帐户违规的准确原因，不必手动查询该帐户是否合乎安全规则。另外，还会提供一组解决问题的建议供分析人员参考。

2.2.10. 密码管理

IBM Tivoli Identity Manage 的解决方案允许您为每一种所管理的资源设定密码规则。除了像长度要求这种基本参数外，还包括通过Java Script 来定制规则，以满足更为复杂的需求。

IBM Tivoli Identity Manager 的密码规则包含多个方面，包括：

● 最小长度和最大长度

● 最大重复字符数

第7页

● 最小符号字符数和/或数字字符数

● 定义无效和/或必需的字符

● 限定首字符和/或整个密码来自一个声明的字符集

● 不允许重复历史密码（前向和/或反向拼写）的次数

● 不允许将用户姓名和/或用户ID 设为密码

● 不允许出现包含在定制的字典中的密码

图3-3 Tivoli Identity Manager 的密码策略设置

IBM Tivoli Identity Manager 提供了服务器级别的密码策略，所以当用户试图通过GUI （或API 机制）来修改密码时，在相应的更新作用到实际的目标帐号之前，这些改动有效性将会得到核对。

2.2.11. 规则模拟实施

IBM Tivoli Identity Manager 帮助您在授权规则作用于生产系统的目标用户帐号之前，全面的了解这些改动将会带来的影响。管理人员能够预览多少帐户被增加、移除、修改、挂起或者与规则冲突。这一强大功能可以消除由于错误的授权规则产生的系统宕机时间。规则的改变能以草案方式保存，以供将来实施。

第8页

2.2.12. 审计和报表

● IBM Tivoli Identity Manager 审计功能包括：跟踪终端用户和管理者在系统中进行的所有

事务操作，包括用户授权的改动等。IBM Tivoli Identity Manager 使用集中的轻量级目录访问协议（Lightweight Directory Access Protocol ，LDAP ）目录来保存用户身份信息，同时使用关系数据库作为集中的日志审计数据容器。两者都作为输入来生成预定义的报表，同时还能通过第三方应用程序来创建定制的报表。

● IBM Tivoli Identity Manager 通过Web 报表界面为访问控制策略，当前的授权情况，集

中各个被管理系统的审计事件等提供报表。下面列举其中的一些报表：

● 个人帐户：列举个人的帐户信息。

● 某角色的个人帐户：列出某特定角色的所有个人帐户。

● 管理某角色的规则：显示所有的与某特定角色相关的规则（和相关资源）。

● 授予个人的权利：列出已指派给个人的所有权利和支配个人的指派规则。

● 帐户操作：显示帐户的活动。

● 个人实施的帐户操作：显示某个人或多个人请求的帐户操作。

● 操作报告：报告分类的操作行为，如增加一个新用户。

● 服务报告：如果提交的操作影响到指派的所管理系统（如Solaris Server ），就发送该报

告。

● 用户报告：如果提交的操作影响到用户帐户，就发送该报告。

● 拒绝报告：若帐户在工作流程中被审批者拒绝时发送的报告。

● 整合操作报告：对所管理资源（如，Solaris Server ）的最近的整合操作的结果。 ● 休眠报告：列出与所管理资源（如，Solaris Server ）相关的休眠帐户。

● 帐户报告：列出人员和相关的帐户，以及该帐户是否遵从当前的规则。

● 审计事件：显示用户行为的审计记录。

● 违规帐户：显示违规帐户和相关的服务。

● 自定义报表：自定义报表模板由嵌入式的报表设计器生成，也可引进第三方的报表设计

工具（如水晶报表等）。当然，自定义报表可直接运行于IBM Tivoli Identity Manager 用户界面下。

2.2.1

3. 外部应用集成

IBM Tivoli Identity Manager （TIM ）开放式设计允许您的组织对解决方案进行轻松的扩展。它提供了一整套的Java 应用程序接口（API ）来创建定制的接口，通过编码来完成定制的任务。IBM Tivoli Identity Manager 的大多数自带功能都可以同外界系统进行整合，包括用户身份创建，属性管理，规则分析，Email 通知和嵌入式工作流操作等。此外，还可以在显示层对原有Web 用户界面进行改动，使得TIM 与您企业的标准应用的“观感”相一致。

第9页

2.2.14. 柔性连接结构

IBM Tivoli Identity Manager 对所管理目标系统提供柔性的连接选项。**客户**可以从下列结构中选择一种：

● 安装一个适配器程序（adapter ）到所管理的平台上，通过适配器实现平台与TIM 服务器

的交互，利用原有的管理程序或操作对象的API 调用，本地执行指派的命令。

● 安装一个适配器程序（adapter ）到一个拥有对所指派目标系统的管理能力的远程系统上

（代理系统）。这种方法通常用于数据库环境下，代理系统是个与数据库服务器独立的系统，这样的话就能满足客户的不希望把适配器直接安装到被管理对象的服务器上的需求，而管理功能同样能够实现。

2.2.15. 规则和配置的导入/导出

IBM Tivoli Identity Manager 使您能方便的将所有的规则和关键配置在开发、测试和产品环境下进行迁移。将当前环境的规则和配置导出为一个XML 文件当作脱机版本，还可以进行版本间的“回滚”操作。

2.2.16. 扩展性和高可用性架构

IBM Tivoli Identity Manager 被设计成为一个企业级安全解决方案，它的扩展性和高可靠性同时依赖于应用程序服务器技术。TIM 可以部署在应用服务器集群中，在前端加上负载均衡，用以提高故障恢复和扩展能力。TIM 服务器的集群能力对于用户是透明的，集群中某一资源失效时对用户没有任何干扰。最终的结果增加了产品的可用性和可靠性。这种服务器架构是柔性的，按照需要可以水平或垂直的扩展。例如，采用单一的企业级服务器或服务器集群。

至于数据层，则要受到硬件及其供应商解决方案的约束。当您选用软件包中自带的IBM DB2? Universal Database TM 的话，它是完全支持集群的安装和数据库复制以提高系统的扩展性和可靠性。同样的，IBM Tivoli Directory Server 也支持大多数操作平台上的复制和集群。

2.3. IBM Tivoli Identity Manager 产品的优势

● 降低了服务台的负担，通过使用Web 自助式服务和密码重置/同步接口，帮助提高用户

的生产力；

● 通过集中控制和本地自治结合，确保敏感的系统的安全；

● 根据规则管理密码的功能，可以按照整体的或个体的；

● 降低过去的启动时间，自动化进行日常管理工作，帮助消除错误；

● 通过提供准确的报错和推荐的解决方法，协助解决所出现的违反规则的问题，从而让您

的组织对内部审计和监管做出快速的相应；

● 统一控制和本地自治，保证了安全性和您的大多数敏感系统规则的一致性；

第10页

● 组织管理能力，对您的组织结构进行建模，包括业务单元，位置，合作伙伴，甚至内部

的组织；

● 先进的工作流功能，使工作流过程与用户身份变动相关的复杂的业务流程的映射紧密的

结合；

● 先进的生命周期管理功能，提供了与个人相关的更为灵活的自定义操作，包括对实体的

全新操作的定义；

● 通过模拟规则变化的场景，准确评估规则改动的影响，而无需猜测规则的效果；

● 提供Java API ，使用户身份管理功能能够和客户的门户解决方案及其他的面向客户和员

工的应用轻松的整合；

● 开放式标准以适应**客户**的环境；

● 与**客户**环境更大范围的整合，支持与行业标准规范相关的多重数据存储，个性化的

适配器开发更加简单；

● 适配器的配置灵活，可以是本地方式或远程方式；

● 大量的预定义和特别的报表，使您可以用任何能想到的方法来“切割”信息，通过与外

在报表工具整合的提供更为强大的自定义报表功能。

2.4. IBM Tivoli Identity Manager 组件结构

IBM Tivoli Identity Manager 的逻辑结构根据功能的不同设计为三层，如下图所示，各个组件分别为：

● Web 用户界面层

● 应用层

● 服务层

● LDAP 目录

● 数据库

● 资源连结器

第11页

图3-4 逻辑组件结构

2.4.1. Web 用户界面层

Web 用户界面模块是一组结合在一起的子程序，包括提供用户浏览器的内容和启动applet （同时在客户端和服务器端运行），如工作流设计和表单创建。Web 用户界面是用户浏览器和身份管理应用层的连接层。

在上面的图中，用户交互点有三种类型：终端用户，监督员和管理员。这些类型仅仅是概念上的，因为IBM Tivoli Identity Manager 允许您随意的定义各种权限的不同用户类型。

在上面的图中，指出的重要一点是系统的基础为系统用户功能的一般性概念。例如，假定管理员需要更高的权力，要求更高级的用户界面；假定监督人员需要稍微低一些的权力，但仍需要如组织图表之类的概念；最后，终端用户没有任何假定，显示给终端用户的接口必定是仅具有基本的、直接的功能接口。

2.4.2. 应用层

IBM Tivoli Identity Manager 系统的核心正是应用层。应用层驻存于应用服务器中，提供了对其他所有进程对象的管理功能。

应用界面模块由所有的特定应用的用户界面组件构成。例如，该界面需要创建一个指派规则或者该模块中的一个帐户。这一模块可以使用Web 用户界面子系统中的其他模块，例如表单提交和搜索模块。

第12页

2.4.

3. 服务层

如果说IBM Tivoli Identity Manager 服务器是一个为复杂规则所开发的应用，那么应用服务器就是运行这些规则或对象的引擎。它不仅与运行用户界面的Web 服务器交互，还与从属于所管理服务的适配器、存储信息的目录服务器进行交互。

核心服务子系统包含了所有的模块，提供了可用于进行用户身份管理一般性服务，如认证、授权、工作流和规则执行。这些服务经常利用其他服务来达到目的。

2.5. IBM Tivoli Identity Manager 支持平台

2.5.1. 服务器组件

操作系统：

●

IBM AIX ? ●

Sun Solaris ●

Microsoft ? Windows ? 2003 ●

Red Hat Enterprise Linux ? (Intel ? )

IBM Tivoli Identity Manager 包含的附加IBM 软件： ●

IBM WebSphere ? Application Server ●

IBM DB2 Universal Database ●

IBM Tivoli Directory Server ●

IBM Tivoli Directory Integrator

支持的附加中间件（不含）：

● Sun ONE Directory Server

● Oracle

● Microsoft SQL Server

关于所需平台更详细信息请查阅IBM Tivoli Identity Manager 产品文档（可在线使用）。

2.5.2. 被管理的系统

如IBM Tivoli Identity Manager 所管理的系统如说支持的平台一样，范围非常广泛。下图表中列出了大多数平台，包括操作系统、数据库、目录服务器和企业应用。（您可以右键单击下图，然后选择“幻灯片对象->打开”来显示更大的视图）

第13页

Tivoli Integrated Identity Management Software

?2005 IBM Corporation Integrated Identity Management ITIM Adapter Support

RDBMS-based Applications

图3-5 被管理的系统 / 支持的适配器

另外，IBM Tivoli Identity Manager 与IBM Tivoli Directory Integrator 绑定，更加扩展了与其他系统兼容的能力。IBM Tivoli Directory Integrator 拥有各种数据源的数据存储连接器，并且采用标准协议来实现，如JNDO ，JDBC ，LDAP ，HTTP ，HTTPS ，NT ，AD ，XML ，Web Services 等等。

2.6. IBM 集成式身份管理策略的组成部分

IBM Tivoli Identity Manager 是IBM 集成式身份管理解决方案的一个有机组成部分，它能帮助您使用户，系统和应用迅速上线投入生产，降低成本和提高投资回报率。IBM 身份管理提供了身份的生命周期管理（用户自己管理，注册和发布），身份认证控制（访问和隐私管理，单点登陆和审计），身份认证联盟（在可信的Web-service 应用系统之间共享用户身份认证和属性信息）以及身份认证的基础（目录和工作流），以而有效的管理内部用户，以及Internet 上日益增加的客户与合作伙伴。

IBM Tivoli Identity Manager 提供了与其他IBM Tivoli 企业解决方案的集成点，例如Tivoli Access Manager for e-Business ，Tivoli Access Manager for Operating Systems ，Tivoli Access Manager for Business Integration 和Tivoli Federated Identity Manager 。

2.6.1. IBM Tivoli Access Manager 产品(e-Business 、Operating System 和Business Integration)

IBM Tivoli Identity Manager 补充了Tivoli 的访问控制管理解决方案包括：IBM Tivoli Access Manager for e-Business （提供单点登陆和对Web 资源的访问控制），IBM Tivoli Access

第14页

Manager for Operating Systems （提供UNIX ? 和Linux 操作系统的安全），IBM Tivoli Access Manager for Business Integration （提供IBM WebSphere MQ 应用的安全）。IBM Tivoli Access Manager 的终端用户的注册和帐户管理可由IBM Tivoli Identity Manager 解决方案根据企业的安全策略来定义规则提供。

2.6.2. IBM Tivoli Federated Identity Manager

IBM Tivoli Federated Identity Manager 这一解决方案，旨在管理不属于同一公司安全域的身份和资源访问。IBM Tivoli Federated Identity Manager 并不在两家公司中复制身份和安全管理，而是提供一个简单的模型来管理身份并以一种可靠的方式允许他们访问信息。它基于当今的行业标准，包括Web-Services ，SAML 和Liberty Alliance 。

在IBM Tivoli Identity Manager 和Tivoli Federated Identity Manager 的共同帮助下，贵公司能够：

● 生成一个自定义的注册程序，自动的登记第三方用户（例如：某一合作伙伴组织管辖的

员工，并授予他们访问的权限）；

● 自动的为第三方用户分配本地身份/登录帐户信息，包括属性，以避免必须对该用户的帐

户的信息进行复制；

● 按照合作伙伴的身份管理系统中定义的角色，在本地对第三方用户的权限进行添加、修

改或删除操作。

进一步来说，Tivoli Federated Identity Manager 是用来为Web Services 和Service Oriented Architecture （SOA ）环境提供安全和身份相关的服务。Tivoli Federated Identity Manager 旨在帮助SOA 和Web Services 技术提供交易安全性，提供附加的安全保护，身份管理能力和内建的检测工具。该软件扩充了IBM 的IT 服务管理产品家族，帮助您通过自动化和流程整合来降低技术的复杂度。

第15页

3. IBM IT 服务管理

IT 应用程序和基础设施的开发，部署以及后续操作根据特定的工具、流程和人员一向都被分离成一系列的活动－优化具体技术本身以及独特的功能需求。但这种分割越来越明显的造成了低效率，低灵活性，高成本的IT 环境的现象。在许多情况下，IT 预算主要是花费在技术支持，维护和管理现有的资源上的，而很少的时间和金钱的投资是花在有利于企业的创新和发展上面的。

IBM IT Service Management (ITSM) 解决方案以一种新的方式联合了IBM 的软件和服务－用以达到减少IT 成本和改善端对端业务性能的目的，而这些又是通过比之前任意时刻都更加紧密集成的管理工具，人员以及流程。IBM IT Service Management 解决方案是围绕ITIL 的流程自动化模块来组织的，采用一个集成的服务管理工作流引擎和一个开源联合变更和配置管理数据库(CCMDB)的策略。同时这也是IBM 第一次联合各种技术以及多个产品家族的最佳实践，这其中包括有WebSphere? 工作流引擎，Rational? 版本管理性能以及Tivoli 基于策略的发布，IT 安全和管理自动控制工具等。IBM IT Service Management 产品族，进一步扩大与深入，已具有底层网络管理的功能，端对端的性能管理以及跨越从主机到分布式资源的各种基础设施的管理功能。IBM 的产品提供了一个紧密集成的解决方案，确保了跨平台流程整合的可扩展性，并保持其足够开放性，使得在需要的时候第三方工具和系统能够被方便的引入。

IBM 实现IT Service Management 解决方案的办法是高度模块化，允许您根据组织和业务的需求作出变化。基于Web 的管理工具，例如Tivoli 统一过程工具，使您能看到基于ITIL 和IBM 最佳实践的过程模型，同时还将把这些过程映射到您已经运用的有效的管理技术。您可以利用现有的管理软件资源和操作人员的技巧每次简化操作环境的一个过程。这种模块的方法对您的成功至关重要，就像众多该方案早期的采用者所描述的那样，IT Service

Management 存在相关的各种文化和组织的质疑，需要通过强有力的领导力一步一步的落实实现计划。

安全管理是IT Service Management 需求一个的特别重要的领域，这是因为对于任何基础设施的一个最基本要求就是必须以一个可审计的方式来控制谁可以访问和利用相应的IT 资源。Tivoli 唯一能够实现按照ITIL 和 COBiT 所定义的安全管理的解决方案－其职责涵盖保密性，集成性和可靠性－通过它行业领先的身份以及访问管理的解决方案。

第16页

4. 服务

4.1.1. IBM Tivoli Identity Manager 评估和架构服务

从一开始时就应该正确启动您的IBM Tivoli Identity Manager 方案的部署。利用IBM 丰富的经验使您的项目步入正轨，助您成功实施，帮助您尽快实现价值赢得竞争优势。该项服务提供了全面的评估和架构文档，包括如下内容：

● 业务用例，

● 网络拓扑和建议架构，

● 兼容性矩阵和硬件评估，

● 逻辑组件视图，

● 客户开发需求摘要，

● 详细方案设计和实施阶段的任务列表，

● 风险和风险回避，

● 技术差距分析

4.1.2. IBM Tivoli Identity Manager 评估，架构和解决访问设计服务

该项服务同样能提供一个全面的评估和架构文档，包括如下内容：