如何利用TAM的API进行应用的开发.docVIP

1 TAM的结构简介 2 1.1 TAM的授权模型 2 1.1.1 用户注册库 3 1.1.2 策略管理器 3 1.1.3 对象库和规则 4 1.1.4 策略执行者 4 2 TAM和应用的集成 4 2.1 TAM和应用集成的优势 4 2.2 TAM和应用集成的结构 5 2.3 建立自己应用的Action 6 2.4 建立自己应用的Protected Object Space 6 2.5 在应用中使用TAM提供的认证和授权API 7 2.6 在应用中使用TAM提供的管理API 8 2.7 一个和应用集成的配置实例 8 2.8 一个利用TAM提供的API进行开发的程序实例 9 在下面的文章中，我们会介绍应用如何利用IBM Tivoli Access Manager（以下简称TAM）作为用户认证和授权控制的平台，最为高效地把TAM和应用开发集成起来，从而为应用的开发、部署和运行提供一个高效可靠的安全平台。 随着电子商务时代的到来，各种各样的业务已经从传统的面对面的运营方式变成了通过互联网，直接通过网络进行交易的运营方式。因此，如何更好地控制用户对后台关键应用的访问就显得尤为重要。 TAM的结构简介 在这部分的章节中，我们会主要对TAM做一个简介，包括有：TAM的授权模型和TAM的主要概念介绍。 TAM的授权模型 如上图所示，TAM的授权模型来自于业界标准的ISO10181的授权模型，在TAM的授权模型中，包括有几个重要的功能模块，他们分别是用户注册库、策略管理器、对象库和规则、策略执行者。下面我们分别对这几个主要的功能模块进行详细的介绍。 用户注册库 TAM中的用户注册库需要建立在一个标准的LDAP服务器上，他现在支持业界中几乎所有的LDAP服务器，例如：IBM Directory Server、Lotus Domino Directory、MS Active Directory、SUN iPlanet Directory Server、Novell eDirectory；或者任何支持标准LDAP协议的LDAP服务器。 TAM中的用户注册库主要用于存储用户的相关信息，例如：用户名、用户密码、邮件地址、电话、通信地址等和用户相关的信息。 策略管理器 TAM中的策略管理器是TAM的核心部分。它负责和其它TAM功能模块的通讯工作，其中主要包括以下几个功能： 维护TAM中的主要信息（例如：用户信息、对象库（Protected Object Space）、访问控制列表（ACL）等） 保存着其它TAM功能模块的位置信息 对象库和规则 策略执行者 TAM中的策略执行者是用户访问TAM后台资源的唯一渠道，所有用户访问后台资源的请求都必须通过策略执行者，策略执行者会对用户的身份进行确认，同时还会对用户的访问请求作授权的判断。如果访问请求得到批准的话，策略执行者会把用户的请求转发给后台的应用，并且把后台应用答复给用户的信息转发给用户。如果访问请求没有被批准的话，他会直接拒绝用户的访问请求，并且不做任何访问请求的转发。 TAM和应用的集成 TAM和应用集成的优势 应用和TAM的集成，或者说在应用开发时利用TAM的安全平台来做应用安全部分的开发，有以下几点优势： 首先，TAM是一套非常成熟和完整的3A系统（认证、授权和审计），它可以和几乎所有的Web服务器和Web应用服务器进行无缝的集成。 其次，TAM提供了一套完整的、应用开发时需要的用户认证、授权和管理API，（包括有C/C++和JAVA语言），因此在应用开发时可以直接使用这些API进行用户认证和操作授权的操作，或者TAM系统的管理工作。 第三，TAM有一套完整的用户管理、资源管理的体系架构。应用开发时，可以直接使用TAM提供的这套管理体系作为应用的用户管理和资源管理架构，而不需要自己另外建立一套这样的架构。 第四，TAM有一套完整的用户授权判定机制，他所提供的功能非常完备。包括了授权控制中的每一个细节，应用开发时，可以通过API直接使用TAM提供的这套授权判定机制作为自己应用的授权判定模块。 第五，和TAM的其他模块（例如：WebSEAL、AMOS、AMBI等）的共同使用可以为企业建立一套最为完整的安全框架结构，从操作系统的每个文件、每个TCP连接到Web服务器上的一个静态或者动态页面，到Web应用服务器上的每个Servlet，甚至于Servlet中提供的某个方法，或者更为细化的授权判定，都可以通过TAM提供的安全平台来实现。 总而言之，通过和TAM的集成，应用开发的步骤可以大大地加快，应用的安全结构会变得更为安全和可靠。应用开发时只要关注和业务相关的部分就可以了，安全部分的内容可以全部交给TAM的平台进行管理和控制。 TAM和应用集成的结构 当应用使用C或者JAVA语言作为应用的开发语言时，TA