功能1：集中用户管理

　　建立集中用户管理的目标在于：

　　· 通过目录服务，整合现有信息系统中现存、主流应用的用户管理数据库，使大量存在于不同数据库中的用户数据信息，统一于以目录为核心的统一用户管理平台之中，为安全有效的实施统一认证、授权管理平台、安全审计、单点登录等功能奠定坚实的基础；

　　· 通过LDAP目录服务，建立统一用户管理平台，实现分级、委托模式的用户管理体系，强化对用户身份的管理；

　　· 通过目录服务，实现基于角色、粗粒度（基于URL）和细粒度（基于应用组件的方法调用）的访问策略管理，为企业建立规范的统一认证和授权管理支撑环境；

　　· 通过灵活、方便的委托管理机制，实现用户数据库的分级委托管理。为管理员提供统一的、基于Web的用户、角色和策略管理界面；

　　· 为用户提供自服务系统，用户通过自服务系统可以修改信息和口令。

图2  集中用户管理

　　IBM Tivoli Identity Manager（TIM） 可以集中的为一个组织创建、管理、挂起和移除所有用户的帐号。从而降低各种用户账号管理的成本。

　　基于角色的访问控制

　　通过角色的定义可以将企业用户根据不同职位和职责进行分组，从而大大简化用户管理的负责度和降低管理成本。

　　IBM Tivoli Identity Manager将用户按照角色来管理。大多数情况下，一个角色代表着通用的职责。例如，可以在组织中创建一个会计的角色，使其能够访问所有的跟会计相关的应用和资源。为用户分配角色可以是固定的，也可以是动态的。一旦某位用户被分配了一个特定的角色，也就会获得该角色相关的资源。

　　自助式服务功能

　　自助式服务的意义在于，自助服务功能使用户（和委托管理员）可以通过用户指派系统管理授权数据。利用角色和ACI规则，用户可以对其他用户和委托管理员指派特定的权限，对个人数据执行某特定操作，如添加或移除。通过自助式服务功能，授权用户可以自己重设密码，自助的注册以申请所要管理资源的访问权限。从而减少服务台的运营成本。Tivoli Identity Manager支持用户对个人信息的修改、个人账号密码的修改、密码提取等自助功能。

　　用户数据和密码的同步

　　在企业中存在众多系统，其中的用户帐号和密码的管理非常复杂，如果能够实现帐号和密码的同步，将能够大大减少帐号和密码的维护工作。IBM Tivoli Identity Manager与IBM Tivoli Directory Integrator结合在一起，提供对组织中所有被管理系统的用户账号双向密码同步的能力。经过密码同步之后，用户只需要记住一个密码就行了，从而提高了生产力，保证了对各个系统无缝的访问。

　　业务流程的自动化

　　工作流程的审批过程是通过对用户间关系（如管理员，责任人或系统拥有者等）的分解，关联到某特定个人；或者按规定路线发送到某特定角色相关的任何个人，自动的为业务管理的相应资源，使得业务更具弹性。

　　IBM Tivoli Identity Manager具有工作流的功能，结合客户自身的业务流程，工作流程的粒度，简单时只需获得一个批准，复杂时必须请求多重准许，如附加信息、通知、工作单、子流程、环路和客户通过Java Script定制的扩展步骤。

图3 生命周期管理和工作流程设计工具

　　密码管理

　　在统一身份管理平台上，密码的管理应该能够涵盖后台所有系统的密码要求。

　　IBM Tivoli Identity Manage的解决方案允许用户为每一种所管理的资源设定密码规则。除了像长度要求这种基本参数外，还包括通过Java Script来定制规则，以满足更为复杂的需求。如最小长度和最大长度、最大重复字符数、最小符号字符数和/或数字字符数、定义无效和/或必需的字符等。

图4  Tivoli Identity Manager的密码策略设置

　　审计和报表

　　由于集中用户管理平台是企业唯一的用户管理接口，因此必须能够跟踪终端用户和管理者在系统中进行的所有事务操作，包括用户授权的改动等，以用于对帐号信息的修改进行审计。

　　IBM Tivoli Identity Manager使用集中的轻量级目录访问协议（Lightweight Directory Access Protocol，LDAP）目录来保存用户身份信息，同时使用关系数据库作为集中的日志审计数据容器。两者都作为输入来生成预定义的报表，同时还能通过第三方应用程序来创建定制的报表。IBM Tivoli Identity Manager通过Web报表界面为访问控制策略，当前的授权情况，集中各个被管理系统的审计事件等提供报表。