1.7 Identity Manager 部署示例
Identity Manager 允许您控制用户身份以及他们对已连接系统上的应用程序和帐户的访问权限。请根据所需的功能,选择要安装的 Identity Manager 版本,而这又决定了要安装的组件。下表列出了 Identity Manager Advanced Edition 和 Identity Manager Standard Edition 提供的功能。
|
特性 |
高级版 |
标准版 |
要安装的组件 |
|---|---|---|---|
|
基于规则的自动化用户供应 |
|
|
Identity Manager 引擎和 Designer |
|
实时身份同步 |
|
|
Identity Manager 引擎和 Designer |
|
口令管理和口令自助服务 |
|
|
Identity Manager 引擎和 SSPR |
|
统一身份信息工具 (Analyzer) |
|
|
Analyzer |
|
REST API 和单点登录支持 |
|
(仅提供受限制的支持) |
Identity Manager 引擎、OSP 和 Identity Reporting |
|
当前状态报告 |
|
|
Identity Manager 引擎和 Identity Reporting |
|
基于角色的企业级供应 |
|
|
Identity Manager 引擎和 Identity Applications |
|
业务策略执行的自动化批准工作流程 |
|
|
Identity Manager 引擎、Designer 和 Identity Applications |
|
Identity Applications 中的高级自助服务 |
|
|
Identity Manager 引擎和 Identity Applications |
|
资源模型和编目方便资源供应 |
|
|
Identity Manager 引擎和 Identity Applications |
|
历史状态报告 |
|
|
Identity Manager 引擎和 Identity Reporting |
|
已连接系统报告 |
|
|
Identity Manager 引擎和 Identity Reporting |
|
角色和资源管理 |
|
|
Identity Manager 引擎和 Identity Applications |
注:在所有 Identity Manager 安装中,Identity Manager 服务器是一个中心组件。根据所选的 Identity Manager 版本,将会在 Tomcat 应用程序服务器上仅安装 Identity Reporting,或同时安装 Identity Reporting 和 Identity Applications。请根据需要使用 Identity Manager 组件的专用安装程序来安装其他组件。例如,安装 Designer、Analyzer 或 Sentinel Log Management for Identity Governance and Administration。
此外,在安装 Identity Manager 之前,请查看实施的目标,并注意物理拓扑选项,例如高可用性和可伸缩性。这有助于确定与贵组织要求相符的配置。
高可用性可确保关键网络资源(包括数据、应用程序和服务)的高效可管理性。您可以通过减少任何单一故障点及使用冗余组件来实现高可用性。同样,将 Identity Management 组件的多个实例连接到负载平衡器也可以提供高度可用的环境。
本节通过两个示例概要说明高级版和标准版的实施。您可以参考这些示例来设计实施的部署图。
1.7.1 高级版部署示例
图 1-4 显示了 Identity Manager Advanced Edition 安装的概要性部署拓扑。
图 1-4 高级版部署示例
-
Identity Manager 服务器组件及其底层储存库(身份库)和支持 Web 的组件(Identity Applications 和 Identity Reporting)安装在内部网区域中。负载平衡器将流量路由到 Identity Applications 组件。这种部署可提供增强的安全性,因为防火墙会将这些组件与因特网流量隔离。
-
Identity Manager 服务器组件配置为使用双服务器(主/次)配置。作为主节点(活动)的主服务器上有一个活动的虚拟逻辑 IP 地址,另一台服务器作为次节点。如果主服务器发生故障,该逻辑 IP 地址将转移到次服务器。然后,所有进程都将在次服务器上启动。转移逻辑 IP 地址后,访问次服务器的应用程序进程可能会遇到暂时性的服务中断,而所有其他进程都会启动。在任意时间点,所有组件都使用同一台身份库服务器。
-
防火墙的内部和外部都会提供 SSPR 服务,用于解决组织的本地用户和移动用户的口令管理需求。在防火墙内部安装的服务可解决本地口令管理需求。如果忘记了口令,移动工作人员将无法访问 VPN,这可以防止他们访问在内部部署的 SSPR 服务。他们可以直接访问防火墙外部部署的 SSPR 服务来管理自己的口令。
-
User Application 和鉴定服务 (OSP) 部署在群集中,用于处理负载和支持 Identity Applications 的故障转移过程。群集节点挂接到安装在单独计算机上的同一个 Identity Applications 数据库。这种部署允许您向群集添加更多节点,因而提供了更高的可伸缩性。群集配置会立即发送到新增的节点。负载平衡器通常是群集的一部分。它了解群集配置及故障转移策略。在此配置中,所有群集节点在任意时间点均处于活动状态。负载平衡器会将负载分散到各个节点,以确保每个节点的工作负载大致相同。如果某个节点发生故障,对该节点发出的请求将转移到群集中幸存的节点。由于此安装是一种站点内高可用性解决方案,因此可以在发生本地硬件和软件故障时提供保护,并使用基于双节点硬件的群集来实现 Identity Applications 组件的高可用性。
NetIQ 已对此配置进行测试,并建议使用此配置。
注:Identity Manager 不支持将 Identity Manager 组件群集化。
1.7.2 标准版部署示例
在生产部署中,安全性策略可能会规定不能向公用网络公开用于为您的环境提供高级鉴定和保护的鉴定服务。图 1-5 显示了 Identity Manager Standard Edition 安装的概要性部署拓扑。
图 1-5 标准版部署示例
-
Identity Manager 服务器组件及其底层储存库(身份库)和 Identity Reporting 组件安装在内部网区域中。因特网 Web 流量通过安装在防火墙后面的 Web 服务器路由到 Identity Reporting 组件,以增强保护。这种部署可提供增强的安全性,因为防火墙会将这些组件与因特网流量隔离。
-
Identity Manager 服务器组件配置为使用双服务器(主/次)配置。作为活动节点的主服务器上有一个活动的虚拟逻辑 IP 地址,另一台服务器作为次节点。如果主服务器发生故障,该逻辑 IP 地址将转移到次服务器。然后,所有进程都将在次服务器上启动。转移逻辑 IP 地址后,访问次服务器的应用程序进程可能会遇到暂时性的服务中断,而所有其他进程都会启动。在任意时间点,所有组件都使用同一台身份库服务器。
-
防火墙的内部和外部都会提供 SSPR 服务,用于解决组织的本地用户和移动用户的口令管理需求。在防火墙内部安装的服务可解决本地口令管理需求。如果忘记了口令,移动工作人员将无法访问 VPN,这可以防止他们访问在内部部署的 SSPR 服务。他们可以直接访问防火墙外部部署的 SSPR 服务来管理自己的口令。
NetIQ 已对此配置进行测试,并建议使用此配置。
注:Identity Manager 不支持将 Identity Manager 组件群集化。