- 论坛徽章:
- 0
|
EIM,我想LZ说的应该是Enterprise ID Mapping,
还有一种解释Enterprise Instant Messaging
企业身份映射(EIM)简介
Document #: 2611104C23000
Body:
[标题]
企业身份映射(EIM)简介
环境:
环境:
产品:p-series
内容提要:
今天的网络环境是由复杂的一组系统和应用程序构成的,这导致必须管理多个用户列表。迅速处理多个用户列表引出一个重大的管理问题,它影响到用户、管理员和应用程序开发人员。“企业身份映射”(EIM)允许管理员和应用程序开发者找到该问题的答案。
说明:
管理多个用户列表
许多管理员管理包含不同系统和服务器的网络,每一个都通过不同的用户列表采用唯一的管理用户方式。在这些复杂的网络中,管理员负责管理整个复杂系统中每个用户的ID和密码。此外,管理员必须经常同步这些ID和密码。用户要承担起记住多个ID和密码并保持它们同步的重任。因为用户和管理员在该环境中的开销是昂贵的,管理员经常花费宝贵的时间对失败的登录尝试进行故障诊断并重新设置遗忘的密码,而不是管理企业。
管理多个用户列表的问题也影响应用开发人员,他们想要提供多层或者不同种类的应用程序。客户有重要的业务数据分布在多个不同类型的系统中,每个系统处理它自己的用户列表。因此,开发者必须为其应用程序创建专有的用户列表及有关的安全性语义。尽管这解决了应用开发人员的问题,但它增加了用户和管理员的开销。
当前方案
解决管理多个用户列表问题,当前业界有几种方法是可用的,但它们都提供不完全的解决方案。例如,轻量级目录访问协议(LDAP)提供一种分布式用户列表解决方案。然而,要使用 LDAP 这样的解决方案,管理员必须还要管理另一个用户列表和安全性语义,或者替换为使用那些列表而构建的现有应用程序。
使用这类解决方案,管理员针对个别的资源必须管理多个安全机制,从而增加了管理开销,并潜在的增加了安全性泄漏的可能性。当多个机制支持单独的资源时,通过一种机制更改权限并忘记更改一个或更多的其它机制权限的机会就会更高。例如,当用户适当地拒绝通过一个接口的访问但允许通过一个或更多个其它接口的访问时,就会导致安全性泄漏。
另一个解决方案是使用单签名的方案。有几个产品是可用的,它们允许管理员管理包含用户的所有身份和密码的文件。然而,该方案有几个弱点:
它只解决用户面临的问题中的一个。尽管它允许用户通过提供一个身份和密码列到多个系统中,但用户仍然需要在其他的系统中有密码,或者需要管理这些密码。
它引入了一个产生安全性泄漏的新问题,因为明文或可以解密的密码保存在这些文件中。密码绝不可以保存在明文文件或容易受任何人(包括管理员)访问的文件中。
它没有解决第三方应用开发人员的问题,他们提供不同种类的、多层的应用程序。他们仍需为应用程序提供专有用户列表。
尽管有这些弱点,一些企业仍使用这些解决方案,因为它们为多个用户列表问题提供了一些缓解。
使用企业身份映射
EIM 体系结构描述企业中个人和实体之间的关系(例如文件服务器和打印服务器)以及企业内部很多代表他们的身份。此外,EIM 提供 API 集,允许应用程序查询关于这些关系的问题。
例如,在一个用户列表中给出一个人的用户身份,您可以确定在另一个用户列表中哪一个身份代表同一个用户。如果用户用一个身份认证,您可以把该身份映射到另一个用户列表中相应的身份,用户不需要再次提供认证凭证。您只需要知道在另一个用户列表中哪个身份代表该用户。因此,EIM 为企业提供概括的身份映射功能。
在不同列表的用户身份之间映射的能力提供了许多益处。首先,应用程序具有这样的灵活性,它可以使用一个列表来认证而使用一个完全不同的列表来授权。例如,管理员可以将 SAP 身份映射到访问 SAP 资源。
身份映射需要管理员请执行以下操作:
1. 创建 EIM 标识符来表示企业中的人或实体。
2. 创建描述企业中现有用户列表的 EIM 列表定义。
3. 把那些列表中用户身份之间的关系定义为他们创建的 EIM 标识符。
不需要更改现有列表的代码。针对用户列表中所有的用户不需要映射。EIM 允许一到多映射(换言之,一个单独的用户在一个单独的用户列表中具有一个以上的身份)。EIM 也允许多到一映射(换言之,在一个单独的用户列表中多个用户共享一个单独的身份,尽管支持该功能,但是为了安全性原因不建议使用)。在 EIM 中管理员可以提供任意类型的任意用户列表。
EIM 不需要把现有的数据复制到新建的资源库并尝试保持两个副本同步。EIM 引入的唯一的新数据是关系信息。管理员在 LDAP 目录中的这些数据提供了这样的灵活性,可以在一个地方管理数据并在任何使用该信息的地方有副本。
有关“企业身份映射”的更多信息,请访问以下 Web 站点:
http://publib.boulder.ibm.com/eserver/
http://www.ibm.com/servers/eserver/security/eim/
[ 本帖最后由 优拟克司 于 2005-12-16 23:17 编辑 ] |
|
免费注册
发表于 2005-12-16 09:10
