• Звонок по России бесплатный 8 800 200-59-60
  • Москва +7 (495) 232-92-30
  • Санкт-Петербург +7 (812) 327-59-60
  • Екатеринбург +7 (343) 378-41-50

IBM Tivoli Federated Identity Manager

Решение IBM Tivoli Federated Identity Manager позволяет организациям взаимодействовать между собой в защищенном режиме

Решение Federated Identity Manager (FIM) реализует простую, слабосвязанную модель управления идентификацией пользователей и доступом к ресурсам, размещенным в нескольких компаниях или защищенных зонах. Например, вслучае двух взаимодействующих компаний решение IBM Tivoli Federated Identity Manager не реплицирует структуры управления идентификацией и администрирования безопасности обеих структур, а предоставляет простую модель для единого управления идентификацией и обеспечивает доступ к информации и сервисам на основе доверительных отношений между ними. Компаниям, применяющим сервис-ориентированные архитектуры (SOA) и Web-сервисы, решение FIM обеспечивает основанное на правилах единое управление безопасностью для т.н. федеративных Web-сервисов. Основа FIM - доверительные отношения, целостность и конфиденциальность данных.

Это позволяет организациям совместно использовать идентификационные данные и правила доступа пользователей к сервисам, не применяя дублирование локальных идентификационных данных и правил безопасности. Совместное использование идентификаторов и правил безопасности в рамках "федерации" (объединения партнеров на условиях взаимного доверия) - ключевое условие для предоставления сотрудникам расширенных возможностей по перемещению между несколькими объединенными Web-сайтами этой федерации. Доверительные отношения позволяют компаниям реализовать нежесткое объединение применяемых в каждой компании систем управления идентификацией пользователей.

Федеративная модель упрощает администрирование и позволяет компаниям распространить управление идентификацией и доступом на пользователей и сервисы других организаций. Компании, собирающиеся реализовать межкорпоративные бизнес-процессы с идентификацией доступа, могут воспользоваться следующими возможностями решения IBM Tivoli Federated Identity Manager:

  • Упрощение интеграции между Web-сайтами компании и ее партнеров, включая управление сессиями.
  • Улучшение соответствия бизнес-требованиям благодаря ослаблению угроз безопасности.
  • Расширение возможностей конечных пользователей благодаря технологии централизованного входа в систему (SSO).
  • Расширение масштабов бизнеса поставщиков услуг благодаря созданию новых возможностей для получения дохода.
  • Упрощение администрирования безопасности в межкорпоративных бизнес-процессах на основе "сервисов безопасности".
  • Обеспечение интегрированного управления безопасностью на основе правил для Web-сервисов в SOA-среде.
  • Поддержка открытых стандартов и спецификаций, включая LAP, SAML, WS-Federation, WS-Security и WS-Trust.

 

Роли IBM Tivoli Federated Identity Manager

  • В сценарии федеративного управления идентификацией организация-партнер берет на себя роль или провай дера идентификации, или сервис-провайдера. Эти роли не являются взаимоисключающими. Во многих случаях крупная организация может параллельно выполнять функции провайдера идентификации и сервис-провайдера, Провайдер идентификации - это организация, осуществляющая непосредственное управление регистрацией конечных пользователей. Провайдер идентификации для определенного количества пользователей; провайдер идентификации "владеет отношениями с пользователями". Например, многие компании действуют в качестве провайдеров идентификации по отношению к своим сотрудникам, клиентам и контрагентам. При федеративном взаимодействии с сервис-провайдером провайдер идентификации отвечает за идентичность пользователя и присвоенные ему права доступа (т.е. выступает в качестве полномочного источника аутентификации).
  • Сервис-провайдер - это организация, предоставляющая сервисы конечным пользователям. Как правило, сервис- провайдер не имеет официальных прав на управление конечным пользователем. При подтверждении полномочий пользователя, присвоенных доверительным партнером по идентификации, сервис-провайдер действует в качестве доверяющей стороны и на этой основе предоставляет сервис этому доверенному пользователю.
  • В сервис-ориентированной среде дополнительно применяются следующие роли:
    • Получатель Web-сервиса - клиент-сервис, нуждающийся в доступе к сервис-провайдеру. Получателем Web- сервиса может быть приложение MS.NET или приложение Java/WebSphere.
    • Провайдер Web-сервиса - это сервис-провайдер, предоставляющий сервис или компонент. Провайдером Web-сервиса может быть приложение MS.NET или приложение Java/WebSphere. Провайдер Web-сервиса предоставляет сервис идентифицированным и аутентифицированным клиентам сервиса.
    • В SOA-среде необходим специальный инфраструктурный сервис, упрощающий управление правилами безо пасности для описанных выше клиентов и провайдеров сервисов.

 

Преимущества
Управление идентификацией сторонних пользователей может оказаться трудоемким, обременительным и дорогостоящим мероприятием, нерационально расходующим важнейшие ИТ-ресурсы. Вместо того, чтобы регистрировать сторонних пользователей в своих внутренних системах идентификации, сервис-провайдер с помощью решения IBM Tivoli Federated Identity Manager может переложить накладные расходы на администрирование этих пользователей на своих бизнес-партнеров. Поскольку в данном случае бизнес-партнер играет роль провайдера идентификации, сервис-провайдер не обязан брать на себя расходы по администрированию "чужих" В2В пользователей, включая первичную регистрацию, ведение учетных записей, управление паролями, возобновление паролей, поддержание справочной службы, поддержку клиентов и т.д.

 

Упрощение интеграции: упрощение интеграции достигается за счет единого способа совместного использования идентификационной информации несколькими компаниями и управления сессиями пользователей. Решение IBM Tivoli Federated Identity Manager позволяет реализовать механизм "сквозной обработки" (straight through processing), поскольку провайдер идентификации не обязан реплицировать или предоставлять бизнес-процессы от имени сервис-провайдера. В том случае, когда провайдер идентификации собирает и обрабатывает данные от "своих" сотрудников только для того, чтобы переслать эту информацию сервис-провайдеру в рамках федерации, сотрудник провайдера идентификации получает непосредственный пользовательский доступ к сервис-провайдеру (straight through processing) и возможность для взаимодействия с бизнес-процессами этого сервис-провайдера.

 

Кроме того, с помощью модуля IBM Tivoli Access Manager for e-business (входит в комплект поставки), решение IBM Tivoli Federated Identity Manager обеспечивает интегрированное управление сессиями, что существенно облегчает проведение транзакций между компаниями. Федеративная модель позволяет провайдеру идентификации оптимизировать транзакции между компаниями, что сокращает расходы и упрощает интеграцию.

 

Улучшение бизнес-совместимости. Принятие на себя ответственности за управление учетом пользователей автоматически влечет за собой новые задачи по защите целостности, конфиденциальности и безопасности данных клиента или пользователя а также по обеспечению гарантий использования этих данных только в разрешенных целях. Поскольку ПО IBM Tivoli Federated Identity Manager не реплицирует учетные данные пользователей, сервис-провайдер полагается на доверительные идентификационные данные от бизнес-партнера, на основании которых предоставляет доступ к своим ИТ-сервисам.

Расширение возможностей пользователей. Технология централизованного входа Single Sign On (SSO) упрощает организацию входа в систему сторонним пользователям из других организаций. Федеративная бизнес-модель позволяет компании получить заслуживающую доверия идентификационную информацию о третьей стороне (заказчик, поставщик, сотрудник клиента) от "домашней" организации соответствующего пользователя без необходимости создания, регистрации и поддержания новой учетной записи.

При таком федеративном подходе пользователи избавляются от необходимости регистрироваться на сайте партнера и запоминать дополнительные идентификаторы/пароли для входа в систему. Вместо этого пользователь может войти на Web-сайт бизнес-партнера с помощью идентификационных данных, полученных в своей "домашней" организации. Таким образом, возможности этого пользователя существенно расширяются, поскольку теперь он может с помощью одной учетной записи беспрепятственно перемещаться между различными Web- сайтами. ПО IBM Tivoli Federated Identity Manager вводит новую концепцию "account linking", позволяющую конечному пользователю связать свои независимые учетные записи, полученные у нескольких провайдеров, в одну учетную запись, обеспечивающую единый вход во все системы, объединенные в "федерацию". Этот подход упрощает доступ пользователя к нескольким Web-сайтам, избавляя от необходимости запоминания или записывания соответствующего числа паролей.

Данный продукт поддерживает несколько стандартов единого доступа (SSO) и защиты Web-сервисов, включая спецификации Liberty Alliance, SAML, WS-Federation, WS-Security и WS-Trust. Это позволяет компании или провайдеру успешно взаимодействовать с партнерами, используя механизм SSO при доступе к тем организациям, которые внедрили у себя любую из перечисленных выше спецификаций. Кроме того, поддержка в одном пакете спецификаций WS-Security и WS-Security позволяет заказчику интегрировать стандарты федеративной идентификации (например, LAP) со стандартами безопасности Web-сервисов, что обеспечивает собственным и федеративным пользователям безопасный доступ к дистанционным Web-сервисам.

Возможности для расширения масштабов бизнеса. Возможно, наибольший потенциальный эффект технологии федеративного управления идентификацией заключается в том, что она позволяет сервис-провайдеру расширить свое присутствие на рынке благодаря доступу к большим массивам существующих идентификационных данных. Решение FIM упрощает переадресацию клиента от бизнес-партнера к сервис-провайдеру и ослабляет преграды для входа нового пользователя, что позволяет провайдеру ускорить расширение клиентской базы и в перспективе обуславливает повышение его доходов. Например, объединившись в одну федерацию с крупным провайдером идентификации, провайдер финансовых сервисов сможет обеспечить развитие своего бизнеса, как по линии естественного роста, так и по линии слияний/приобретений.

Средства управления отношениями с партнером на протяжении жизненного цикла позволяют федеративному администратору объединить бизнес-партнеров в единую федерацию. Мастер консоли IBM Tivoli Federated Identity Manager помогает осуществить регистрацию бизнес-партнера и определить его роли в данной федерации. Бизнес-партнер может получить роль или провайдера идентификации, или сервис-провайдера, с присвоением соответствующих прав безопасности и федеративных профилей на основе поддерживаемых спецификации Liberty Alliance, WS-Federation или SAML. Успешная регистрация бизнес-партнера в качестве члена федерации позволяет конечным точкам федерации принимать и обслуживать запросы из домена этого бизнес-партнера. Управление жизненным циклом пользователя - это набор возможностей, позволяющих бизнес-партнерам в рамках федерации упростить администрирование контроля доступа пользователей, зарегистрированных в соответствующих автономных решениях управления идентификацией.

Эти возможности позволяют:

  • использовать доверительные отношения между бизнес-партнерами в рамках федерации для предоставления доступа к дистанционным ресурсам без необходимости сопровождения локальных учетных записей пользова телей;
  • создать специализированный процесс регистрации, автоматизирующий прием пользователей сторонних органи заций (например, пользователей партнерской организации, которым она предоставила права доступа);
  • автоматизировать предоставление локальных идентификационных/учетных записей пользователям сторонних организации в том случае, когда эти пользователи имеют учетные записи, подлежащие репликации;
  • связать или объединить в федерацию учетные записи пользователя, предоставленные провайдером идентифи кации и сервис-провайдером;
  • осуществить удаление из федерации или прекращение доступа в случае, когда федеративные отношения рас торгнуты;
  • деинициализировать учетную запись или права пользователя сторонней организации в случае, когда федера тивная учетная запись деактивирована.

 

Решение IBM Tivoli Federated Identity Manager использует модуль IBM Integrated Solutions Console (ISC) (входит в комплект поставки) - интуитивно понятную Web-консоль администратора, обеспечивающую единый доступ ко всем сервисам FIM.

Сервисы FIM:

  • Инфраструктурные сервисы
  • Доверительные сервисы
  • Сервисы преобразования идентификационной информации
  • Сервисы централизованного входа в систему (на базе протокола Single Sign-on Protocol)
  • Сервисы инициализации
  • Сервисы аппаратной идентификации
  • Сервисы федеративной идентификации

 

Вместе с решением IBM Tivoli Federated Identity Manager поставляются модули IBM Tivoli Access Manager for e-business V5.1, IBM Tivoli Direcory Integrator V6.0 и IBM WebSphere Application Server Network Deployment V6.0.

Функциональные особенности, преимущества и результаты:

 

Функциональные особенности Преимущества Результаты
Вместо того чтобы регистрировать сторонних пользователей в своих внутренних системах идентификации, сервис-провайдер с помощью решения IBM Tivoli Federated Identity Manager может переложить накладные расходы на администрирование этих пользователей на своих бизнес-партнеров. Поскольку бизнес-партнер играет роль провайдера идентификации, сервис-провайдер не обязан брать на себя расходы по администрированию пользователей, включая первичную регистрацию, ведение учетных записей, управление паролями, возобновление паролей, сопровождение справочной службы, поддержку клиентов и т.д. Сокращение расходов на администрирование и инициализацию пользователей:управление идентификацией сторонних пользователей может оказаться трудоемким, обременительным и дорогостоящим мероприятием, нерационально использующим важнейшие ИТ-ресурсы.
Решение IBM Tivoli Federated Identity Manager реализует механизм "сквозной обработки", поскольку провайдер идентификации не обязан реплицировать или предоставлять бизнес-процессы от имени сервис-провайдера. С помощью модуля IBM Tivoli Access Manager for e-business (входит в комплект | поставки), решение IBM Tivoli Federated Identity Manager обеспечивает интегрированное управление сессиями, что существенно облегчает проведение транзакций между компаниями. Федеративная модель позволяет провайдеру идентификации оптимизировать транзакции между компаниями, что сокращает расходы и упрощает интеграцию. Упрощение интеграции: упрощение интеграции достигается благодаря единому способу совместного использования идентификационной информации несколькими компаниями и управления сессиями пользователей.

 

Система Orphus