IBM Security Access Manager for Enterprise Single Sign-On V8.2.2

部署注意事项

有多个因素会影响能否成功部署 IBM® Security Access Manager for Enterprise Single Sign-On。 本主题提供了在部署 IBM Security Access Manager for Enterprise Single Sign-On 时需要注意的一系列事项。

安装包

标准和套件软件包中提供了 IBM Security Access Manager for Enterprise Single Sign-On。 因要部署的软件包不同,组织可以使用的 IBM Security Access Manager for Enterprise Single Sign-On 功能部件可能也会发生变化。

注意事项:
  • 在继续安装前,请确定是否要部署标准或套件软件包。

请参阅分发和包装以获取有关标准和套件软件包的信息。

安装方法

组件对 IBM Security Access Manager for Enterprise Single Sign-On 进行部署。 如何部署每个组件有以下选项可供选择。 可使用交互式图形方式安装 IMS Server。 可使用交互式图形方式或静默方式安装 AccessAgentAccessStudio

注意事项:
  • 确定哪种安装方式适合该组织。

请参阅安装选项以比较不同产品组件的不同安装选项:

高可用性和灾难恢复

从高速缓存电子钱包到使用负载均衡器和集群,有许多不同方法可确保 IBM Security Access Manager for Enterprise Single Sign-On 高可用性和灾难恢复。

注意事项:
  • 确定高可用性需求。
  • 为高可用性收集估算硬盘大小调整所需的信息:
    • 高峰时间流量估算值
    • 高峰时间安装和用户注册率
    • 数据库使用率
    • 集群需求
    • 负载均衡体系结构需求
  • 确定实现高可用性的首选方法。 选项包括:
    • 使用负载均衡器和集群
    • 分发 IMS Server
  • 确定故障转移和恢复条件。
  • 确定备份和复原策略。
  • 在单独的站点或位置设置 DR 环境。

请参阅高可用性和灾难恢复规划以获取实现高可用性的选项。

性能调整

您可以配置 IMS ServerAccessAgent 以实现更高性能。

注意事项:

  • 确定潜在的性能问题并建立对可接受行为进行分类的数字值。
  • 当用户倾向于登录 AccessAgent 时,确定最活跃的时间。
  • 估算所涉及用户的数量。
  • 确定同步时间间隔。

应用程序服务器层

IMS Server 在 WebSphere® Application Server 上运行。

注意事项:
  • 确定执行独立部署还是网络部署。
  • 对于网络部署,确定节点和集群的数量。

    您需要至少两个 WebSphere Application Server 节点才能实现高可用性。 向集群添加更多节点以实现可伸缩性。

Web 服务器层

Web 层通常用作部署的前端。 Web 服务器管理来自客户端计算机或来自负载均衡器的传入请求并将请求分发到应用程序服务器。

注意事项:
  • 确定要部署的 Web 服务器的数量。

    您需要至少两个 Web 服务器才能实现高可用性。 如果有多个 Web 服务器,您必须使用负载均衡器。

  • 确定是否要在安装该应用程序服务器的计算机上安装 Web 服务器。

目录服务器

可将 IMS Server 配置为在注册时使用现有目录服务器或新目录服务器来识别和验证用户。

注意事项:
  • 确定使用 Active Directory 还是通用 LDAP。 不支持同时使用 Active Directory 和 LDAP 作为目录服务器。
  • 如果使用 Active Directory,请确定:
    • 启用还是禁用 Active Directory 密码同步。 使用通用 LDAP 时,此功能部件不可用。
    • 是否使用多个 Active Directory 域。 如果使用通用 LDAP,那么您无法配置多个 LDAP 域。

    如果使用 LDAP 或者禁用 Active Directory 密码同步,那么不需要 Tivoli® Security Identity Manager Active Directory 适配器。

  • 确定是否通过 AccessAssistant 提供自助服务密码重置。
  • 如果允许通过 AccessAssistant 同步 Active Directory 密码和重置密码,请确定是否使用 SSL 连接。 如果没有 SSL 连接,那么就需要 IBM Security Identity Manager Active Directory 适配器。
  • 对于所有目录服务器上的一组用户或组,专有名称必须唯一。 例如,如果 uid=imsadmin,o=ibm 存在于 LDAP1 中,那么不得存在于 LDAP2LDAP3 中。
  • 确保 LDAP 短名称对于注册表中的域是唯一的。 例如:imsadmin
  • 确保在域中使用的所有注册表的基本专有名称不能重叠。 例如:如果 LDAP1 值为 c=us,o=ibm,那么 LDAP2 值不能为 o=ibm

请参阅配置 IMS Server 使用目录服务器以获取有关目录服务器的更多信息。

请参阅 IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide 以配置目录服务器。

数据库服务器

存储 AccessProfile、用户凭证、策略和审计日志需要数据库服务器。

注意事项:
  • 验证是否支持数据库服务器及其版本。 请参阅硬件与软件需求。 根据选择的数据库不同,数据库配置设置也会有所不同。
  • 确定是否要在安装 IMS Server 的计算机上安装数据库服务器。
  • 确定是否执行数据库聚集和复制。
  • 如果 IMS Server 和数据库服务器位于不同工作站或服务器中,请验证它们之间的网络连接。
  • 确定数据库路径。
  • 如果 IMS Server 数据库和 IMS Server 在不同计算机上运行,请使系统时钟同步。

请参阅 《IBM Security Access Manager for Enterprise Single Sign-On 安装指南》 中的“准备数据库服务器”以获取每个受支持数据库的特定需求。

会话管理

可以在个人工作站或共享工作站、专用桌面或用户桌面,或 Microsoft Remote 桌面或 Citrix XenApp Server 中部署 IBM Security Access Manager for Enterprise Single Sign-On。 此外,AccessAgent 可以在 Microsoft Remote 桌面或 Citrix XenApp Server 上以轻量方式运行。

注意事项:
  • 确定和了解会话管理需求
  • 确定在个人工作站还是共享工作站上部署 AccessAgent
  • 确定对用户实施共享桌面还是专用桌面。
  • 确定是否执行强认证 (strong authentication)并标识认证因子。
  • 确定公司安全策略
  • 确定组织想在 Microsoft Remote 桌面还是 Citrix XenApp Server 上部署 IBM Security Access Manager for Enterprise Single Sign-On
  • 确定在标准方式还是轻量方式下设置 服务器 AccessAgent
  • 确定组织是否使用瘦客户机。
  • 确定必需配置,例如启用还是禁用 Active Directory 密码同步、网络提供商等。

请参阅会话管理以了解不同桌面方式以及实施概述。

请参阅 IBM Security Access Manager for Enterprise Single Sign-On AccessAgent on Terminal Server and Citrix Server Guide 以在 Microsoft Remote 桌面或 Citrix XenApp Server 上部署 IBM Security Access Manager for Enterprise Single Sign-On

请参阅 IBM Security Access Manager for Enterprise Single Sign-On Configuration Guide 以配置 Citrix Server 或 Terminal Server 和轻量方式。

请参阅 IBM Security Access Manager for Enterprise Single Sign-On Policies Definition Guide 以获取相关策略。

审计日志和报告

IBM Security Access Manager for Enterprise Single Sign-On 提供审计日志、报告模型和静态报告。 您可以使用 IBM Cognos® 报告框架来生成已打包的报告。

注意事项:
  • 确定审计需求。
  • 定义要生成的定制审计日志。
  • 配置审计日志事件。
  • 定义需要审计日志的特定时段。

请参阅 《IBM Security Access Manager for Enterprise Single Sign-On 管理员指南》 以获取可查询或生成的不同日志和报告。

应用程序概要文件

单点登录组织中的应用程序是 IBM Security Access Manager for Enterprise Single Sign-On 的核心功能。 此核心功能取决于使用 AccessStudio 是否成功概要分析了这些应用程序。

注意事项:
  • 确定要概要分析的应用程序包含准确的零件号、版本号和补丁级别。
  • 确定捆绑的概要文件是否满足应用程序需求。
  • 确定应用程序的优先级。 了解每个应用程序的用户数以及业务影响。
  • 了解应用程序的行为。 了解应用程序登录和注销过程。
  • 识别应用程序的错误场景。
  • 确定并将不同类型的应用程序分类为 Web、Windows、大型机、Java™ 等。
  • 为每个应用程序确定密码策略。
  • 确定需要哪个应用程序密码更改工作流程。
  • 确定应用程序是否共享凭证。
  • 确定应用程序凭证字段。 应用程序通常具有用户名和密码字段,但是有些应用程序在凭证中可能会具有其他字段。
  • 识别具有挑战性的应用程序。
  • 识别具有复杂工作流程的应用程序或使用非标准用户接口库。
  • 确定应用程序是否支持不同语言环境。 识别用户使用哪些语言环境。
  • 确定创建标准 AccessProfile,还是高级 AccessProfile

认证

您可以通过强认证 (strong authentication)以及自助服务密码重置来部署 IBM Security Access Manager for Enterprise Single Sign-On。 您还可以启用 Active Directory 密码同步和 ESSO 凭证提供程序

注意事项:

  • 确定认证需求。
  • 确定新建、更改和重置密码的策略。
  • 确定是否执行强认证 (strong authentication)并标识认证因子。
  • 确定是否启用 ESSO 凭证提供程序
  • 标识现有认证因子。
  • 确定 IBM Security Access Manager for Enterprise Single Sign-On 是否支持现有认证因子及其各自的中间件。
  • 确保认证设备和中间件已安装、测试并且正在运行,然后再部署该产品。
  • 确定密码需求。
  • 确定是否启用自助服务。
  • 在制定用户重置密码前必须回答的一系列问题时,必须十分小心。 必须注意隐私和文化敏感性问题。
  • 与法律部门一起复审安全问题以确保这些问题符合本地隐私法。

请参阅认证因素规划以获取有关主因子和强认证 (strong authentication)因子的信息。

供应

您可以通过供应系统来供应用户。

注意事项:
  • 确定是否使用诸如 IBM Security Identity Manager 之类的配置系统。
  • 确定用户是否能够通过 AccessAgentAccessAssistant 为认证和登录服务进行注册。
  • 确定在 AccessAgent 推出安装前是否供应用户。

请参阅供应用户

安全性

保护 IBM Security Access Manager for Enterprise Single Sign-On 部署和相关组件以缓解潜在安全风险。

注意事项:
  • 确定组织的安全策略。
  • 确定安全加固需求。
  • 确定用于保护应用程序层的选项。
  • 确定用于保护 Web 层的选项。
  • 确定硬件或系统运行软件的安全位置。

请参阅安全规划

父主题: 规划部署

反馈