功能2：集中用户访问和单点登录

　　对于一个企业来说，建立一个强健的、基于策略的安全身份认证和访问控制系统非常重要。一个完整的访问控制系统应该包括以下基本元素：身份验证，访问控制权限，审计，单点登陆，高可靠性，整体结构的弹性和日志。

图5  用户集中访问和单点登录

　　基于策略的访问控制

　　访问控制即根据不同的职责为企业员工、合作伙伴、供应商和客户授予不同的访问权限。如果能够提供基于角色或策略的访问控制，可以简化对多个系统和资源的访问管理。

　　IBM Tivoli Access Manager提供全面的安全和管理策略定义。支持用户分组，并给每组赋予不同的权限，同时支持动态规则的制定，如动态业务授权以及在需要的情况下使用外部数据为应用提供授权支持。

　　多种身份认证框架

　　最传统也是最简单的身份认证方式，即基于用户名和密码的方式。针对某些重要数据，系统应能够提供强的身份认证机制，为企业数据安全提供深度保护。

　　IBM Tivoli Access Manager提供了一套使用内建共享库形式实现的缺省身份认证机制，这其中包括基于LDAP的用户标识和密码，客户端证书，RSA SecurID令牌，SPNEGO协议（Kerberos验证），IP 地址以及移动和无线标识。同时支持身份验证定制模块，该模块允许用户扩展那些已经存在的身份认证机制。

　　IBM Tivoli Access Manager还提供二次认证和定义认证加强策略（也叫递升验证）。递升验证策略是在需要从安全级别低的应用访问安全级别高的应用时，强制要求按高级别的方式重新进行身份验证。

　　灵活的授权准则

　　授权准则的定义，只允许用户访问那些他们已被授权的信息。对于不同企业来说，授权准则的要求多种多样。如，要求某些数据只能从某些特定的机器上访问，或者必须是某组织或部门的人员才能访问等。这就要求用户授权模型能够提供多种灵活的授权准则以满足用户的不同需求。

　　IBM Tivoli Access Manager把授权策略保存在一个集中的存储库中，并且在本地的授权增强点处保存了它的副本。这种解决方案使用户能从三个独立的授权规范维度来定义访问控制策略。首先提到的是传统的静态访问控制列表，在列表中描述了主体（用户和用户组）所允许访问的资源以及这些主体所拥有的权限。第二个维度是在之前的基础上，扩展授权的能力，包括采用时间日期约束，请求者的IP 地址/子网掩码过滤器以及允许在访问特殊资源时强制要求SSL的保护级别。第二个维度同时会重载全局的审计设置，对企业资源实现基于策略的审计。访问控制授权的最后一个维度是一个动态规则引擎，在每次请求访问时，一个附属于特定资源的XML形式的断言将被计算，得到授权的结果。

　　IBM Tivoli Access Manager也允许通过向后台应用程序提供身份相关信息来实现更好的授权服务。它使得目标程序能够根据用户 在IBM Tivoli Access Manager中的身份证明来采取针对特定用户的动作。

　　单点登陆

　　随着 IT 系统所支撑的业务系统的增加，用户和系统管理者都面对同一个日益复杂的，进行功能操作的界面。典型情况下，用户不得不在多个系统上进行登录，这将迫使同一个登录对话框多次出现，每个系统都调用不同的用户名和验证信息，用户需要面对多个帐号和多种用户认证方式。而系统管理者则面对越来越复杂的用户资源的权限管理，必须为每个系统管理用户帐号。单点登录（Single Sign On，简称SSO）系统就是为了解决这样的问题，作为一个独立于平台的，支持代理功能的软件系统，提供易于使用的单点登录方案。

　　IBM Tivoli Access Manager的解决方案使用户能够方便的单点登录(SSO)到跨越多个站点或者域的基于Web的应用程序，从而帮助减少企业服务帮助台的电话量以及由许多个密码所带来的其他安全性问题。有了IBM Tivoli Access Manager的帮助，用户只需登录一次，他们的身份信息将会被创建，同时传递给后台应用程序，这个过程对用户来说是完全透明的。然后，用户就能访问所有已经被Tivoli Access Manager安全域认证过的基于Web的资源和Web应用程序。

　　IBM Tivoli Access Manager同时提供"Windows Desktop Single Sign-On"功能 ，使得用户登录到Windows网络以后便能无缝的访问任何 受IBM Tivoli Access Manager保护的应用程序而无需再次进行身份验证。IBM Tivoli Access Manager的Windows桌面单点登陆支持SPNEGO 协议和Kerberos 验证。

　　日志与审计

　　记录访问日志，审计所有的访问企图的能力对于一个安全的企业Web来说是非常重要的。监视所有用户的访问企图使管理员能检测安全风险。IBM Tivoli Access Manager用一种标准的格式以日志的形式记录了所有的访问请求。审计日志包括所有影响IBM Tivoli Access Manager的授权过程的系统事件的数据。这些数据由身份验证和授权的审计记录组成，包括成功和不成功地访问某项资源，更改密码，管理事件。IBM Tivoli Access Manager能根据任意已定义的策略（更改密码，冻结帐号，非法访问等的功能）来生成审计记录。只要某项策略被违反（例如：超过最大登陆失败次数阈值），审计记录就会被创建。

　　每一个过程都被严格设定来捕捉特定的审计事件。这些参数的设置包括对于验证事件，授权事件，管理命令，HTTP请求处理以及每个过程审计文件的名字和位置的定义。审计日志文件会被监控以应对诸如文件增长已超过设置的阈值，回滚以重新创建一个新文件等这样的情况。对于标准HTTP日志的支持使用户能了解哪些IP地址提供了哪些类型的请求。IBM Tivoli Access Manager还能够将审计记录写入一个类似XML格式的文件当中，这使得解析和获取信息更加的容易。