神马文学网SOA 案例研究:安全性和管理场景
来源:百度文库 编辑:神马文学网 时间:2024/04/29 07:21:59
developerWorks 中国, 编辑团队, IBM
2008 年 6 月 30 日
本红皮书是面向服务的体系结构 (SOA) 系列之一,主要通过名为 JKHL Enterprises (JKHLE) 的虚构公司阐述一个案例研究。本红皮书中的案例研究重点说明与 SOA 安全性和管理相关的挑战和解决方案。本红皮书描述如何使用“SOA 安全性和管理场景”的实现和解决方案模式来解决与该案例研究相关的业务和 IT 挑战。
我们在本文中介绍的案例研究包括以下人员和角色:
Sandy Osbourne-Archer,首席技术架构师
Edmund Smythe-Barrett,企业架构师
Steve Optman,IT 运营经理
Axel Setrust,安全架构师
Budi Manmon,管理架构师
JKHLE 已经部署了一个成熟的管理环境来管理现有的应用程序。帐户开立项目中新引入的共享服务、流程和组合应用程序带来了新的管理挑战。本文讨论与保护和管理应用程序服务以及与用于帐户开立项目案例研究的支持基础设施相关的挑战和解决方案。
IT 运营经理 Steve Optman 与首席技术架构师 Sandy Osbourne-Archer 进行会谈,讨论帐户开立项目的安全性和管理挑战及目标。Steve 提出了对运营团队当前无法及时了解帐户开立项目设计情况的担忧。Steve 重点强调了从一开始就参与到流程中的重要性,这样可以避免他的运营团队因延迟参与投入运行之前的一些部署而遇到的问题。Sandy 赞同并承诺在开发周期中尽早让运营团队参与进来。
Sandy 概述了运营团队在部署本项目时需要满足的三个关键安全性和管理目标:
发现资源和服务
需要提供一种自动化方法来发现服务注册中心中定义的应用程序组件、中间件和服务。需要将从发现过程中捕获的数据提供给现有的更改控制流程。
在通用管理控制台中监视服务
需要以一种与现有管理环境和通用管理控制台一致的方式监视帐户开立流程应用程序服务和支持基础设施。
安全性和遵从性审核功能
需要端到端的安全性以及能够提供审核记录,以确保满足遵从性要求。
Sandy 建议 Steve 及其运营团队直接与企业架构师 Edmund Smythe-Barrett 合作。
Edmund 负责帐户开立项目应用程序和支持基础设施的体系结构和设计。
回页首
Steve 安排与 Edmund、安全分析人员 Axel Setrust和管理架构师 Budi Manmon 会面,检查帐户开立项目体系结构并概述关键安全性和管理设计点(请参见图 1)。
简而言之,反向代理部署在隔离区 (DMZ) 中。
此处的门户用于提供表示层和使用 ESB 或直接与流程服务器及后端应用程序进行交互。客户端可以是企业内部和外部的用户或服务使用者。
类似地,应用程序和服务既可以属于企业内部也可以属于企业外部。
在部署体系结构中的各个点上强制执行安全性。
在从帐户开立流程门户中使用时,Edmund 引用了客户概要服务(请参见图 2)。Edmund 解释说,此事务在应用程序体系结构和支持基础设施中具有代表意义。简而言之,在客户从门户中输入概要信息之后,客户概要服务(中介)就会与由 CICS? 后端系统承载的帐户记录应用程序进行交互,用于存储客户概要信息供进一步处理。
Steve 介绍了帐户开立项目 SOA 的采用将如何创造竞争优势。Steve 强调说,为降低成本和确保遵从性,高效的安全性和管理解决方案非常重要。
他解释说,成本降低包括更高效地管理 JKHLE 环境的大量资源,从而使运营团队能够以同样的资源提供更多管理支持。
Steve 看到 JKHLE 面临着无法准确掌控业务和技术资产的挑战。需要实施足够的管理才能有效地管理所有资产。缺乏足够的管理会导致不必要的风险,以及无法有效地满足遵从性和审核要求。此外,往往还会出现重大操作中断。
Steve 解释说,IBM? Service Management 跨业务和技术资产提供了集成的可见性、控制和自动化,可帮助您克服业务和技术集成方面的障碍,以及妨碍创新的因素。IBM Service Management 产品组合包括与 ITIL? 保持一致的工作流、基于标准的配置管理数据库、与基础设施保持一致的自动化任务、最佳实践以及实现支持。
注意:您可以在以下位置找到有关 IBM Service Management 的更多信息:
http://www.ibm.com/itsm
运营团队计划利用 IBM Service Management 解决方案和产品来支持帐户开立项目和其他活动。帐户开立项目的安全性和管理解决方案将重点关注图 3 中所示的 IBM Service Management Operational Management 和 Service Management。
SOA Management 的要求
运营团队了解到 JKHLE 业务流程将越来越多地依赖于构成跨越多个体系结构层(包括服务使用者、业务流程、服务、服务组件和操作系统)的多层组合应用程序的共享服务。Steve 和 Budi 知道,此管理解决方案需要包括用于管理和监视 SOA 组合应用程序和用于支持跨多个体系结构层的基础设施的软件和解决方案。
Steve 概述了在整个管理生命周期中需要执行的关键任务。图 4 重点介绍了这些任务的关键输入、用户角色和这些任务的构件输出。虽然这些任务是采用自顶向下的方法显示的,但是这些任务中许多都具有迭代性。
Budi 重点介绍了部署体系结构的关键 SOA 管理要求(请参见图 1)。
REQ-01:标识要管理的服务和资源
标识需要通过帐户开立流程门户管理的服务和资源。JKHLE 已经部署了许多现有的系统和资源。一项关键管理要求是了解如何标识或发现应管理哪些服务和支持资源。
REQ-02:自动发现资源
提供了一种自动化方法可以发现服务注册中心中定义的应用程序组件、中间件和服务。从发现过程中捕获的数据将提供给现有的更改控制流程。
REQ-03:将服务作为资源对其进行管理和监视
为达到业务定义的服务质量,每个服务终端都需要作为一项资源来管理,包括调用服务(使用者)和将应用程序功能公开为服务(提供者)。解决方案必须能够提供实时可用性和性能指标,以及定义的服务水平协议。
管理基础设施需要提供一种监视和故障排除方法,若能在故障发生之前发出警报则更好。监视包括实际用户通信量,以确保 SLA 一致性和监视综合事务。综合事务用于确保环境以一致的方式处理一组受控交互,这一点作为根本原因分析的基准是非常有用的。
Budi 重点介绍了几个有代表性的监视示例:
监视客户概要服务事务以确保其响应时间不超过 5 秒。
监视客户概要服务(服务使用者和提供者,应用服务器和后端系统)所用的基础设施的可用性。
REQ-04:在集成控制台中监视端到端视图
在孤立的应用程序体系结构中,资源通常是由不同的操作人员或专家在多个不同的管理控制台中管理的。帐户开立流程门户代表了需要转变管理方法的 SOA 组合应用程序。需要通过以下方式监视和管理基础设施:既涵盖组合应用程序的端到端视图,又提供有关各资源的性能和可用性标准的详细信息。
SOA 安全性的要求
Axel 负责安全基础设施。Axel 得出了两项与安全性相关的观测结果:
因为部署体系结构中的每个组件都强制实施了安全性的某一方面,所以可能存在多种标识、身份验证、授权和审核机制。集成安全机制将成为一项挑战。
特定的产品有多个管理岛,这往往会导致错误、不一致和缺乏协作。管理可能会以资源为中心,策略管理可能会独立于业务单元、应用程序或产品。
安全性管理在需要跨多个组件实施一致策略的 SOA 环境中会是一项挑战。
Axel 重点介绍了 SOA 部署体系结构的关键安全性要求(请参见图 1)。
REQ-05:标识提供
在 JKHLE 环境中,开立了一个新帐户之后,标识将提供给多个中间件和后端系统。解决方案需要提供和管理标识,从中央系统到外部系统。
REQ-06:标识传播
当用户与门户进行交互时,用户标识需要在整个事务中进行传播,无需多次登录即可传播到后端系统。在某些情况下,现有的系统将拥有并不完全相同的用户 ID,或者外部用户将使用不同的协议绑定与门户进行交互。在这些情况下,保护业务数据和为标识、数据等建立业务信任关系是非常重要的。请求可能来自外部实体,因此安全域可能是交叉的。
需要在整个事务中传播标识,无论体系结构中有多少个跃点。
REQ-07:身份验证
当用户或系统与门户进行交互时,需要对标识进行身份验证。在对用户进行身份验证之前,需要设置一个代理来首先对用户标识进行质询。在代理上派生的标识需要到处传播,以便可以强制执行更多安全检查(如授权和审核)。此解决方案需要提供身份验证服务,能够通过单点登录功能从门户登录到多个后端系统。
REQ-08:授权
安全解决方案需要确保用户能够访问基于用户或系统标识确定的许可信息。许多组件可能都需要授权,其中包括粗粒度的基于服务的授权到细粒度的数据级访问控制。
REQ-09:审核
JKHLE 必须确保采用了适当的控制来满足法规遵从性要求。需要沿着事务路径将审核信息从每个组件中收集起来。审核信息将被记录,并可用于实时、法律审查和报告,从而能够满足法规遵从性要求。
REQ-10:传输和消息级安全性
需要保证信息和业务数据在传输以及存储过程中的安全。需要提供机密性保护来确保消息数据不可访问且无法被其他人修改,从而确保消息的完整性。数据保护策略往往会指明需要在传输和消息级别采用哪种类型的保护。
注意:有关解决方案的详细信息,请参阅“传输和消息级别安全性”。
回页首
本部分描述了如何使用“SOA 安全性和管理场景”实现模式来解决与帐户开立项目案例研究的安全性和管理相关的业务和 IT 挑战。
Steve 安排与 Sandy 和运营团队的主要成员会面,介绍用于支持帐户开立流程门户应用程序部署的安全性和管理解决方案。
Steve 有一个目标,希望通过此次与 Sandy 的会面实现以下两个目的:
确保 Sandy 对支持定义的目标和要求的高级别管理解决方案有个大体了解。
深入了解有关帐户开立流程应用程序服务和支持基础设施的发现和监视的更多详细信息。
为深入分析目的,Steve 建议使用客户概要服务(请参见图 2),因为该服务是部署体系结构和管理解决方案的代表。
建议的解决方案
Steve 让 Budi 向 Sandy 详细介绍管理解决方案,并从说明如何标识要管理的资源开始。Budi 解释说,可以采用两种基础方法来确定要管理的资源,即在分析和设计过程中确定资源和在运行时通过发现确定资源。这两种方法常常一起使用,但是也可以独立使用。
在分析和设计过程中确定资源
在分析和设计时基于非功能性需求和 SLA 确定要管理的资源。此方法需要了解应用程序体系结构和支持基础设施。
此方法包括以下几项高级任务:
标识服务和端到端事务
包括标识关键服务、事务和流程。分析非功能性需求和 SLA 在确定应管理哪些服务过程中起到关键作用。在帐户开立流程门户中,客户概要服务与 CICS 后端系统进行交互。IBM Tivoli? Service Level Advisor 将记录并报告服务水平协议。例如,SLA 规定事务的响应时间不应超过 5 秒,IBM Tivoli Composite Application Manager for SOA 将对服务的响应时间进行监视,以确保达到 SLA 要求。
确定 SOA 基础参考体系结构中的资源
在多个体系结构层中,帐户开立应用程序的服务、流程和支持基础设施将作为资源被管理。
Budi 解释了如何分解多个体系结构层中的客户概要事务(请参见图 5)。这些信息用于对适当的管理软件建立映射以管理资源。
确定监视确定的资源所需的标准
在确定了服务事务和管理产品的资源类型之后,企业架构师和管理架构师能够与 IT 管理人员和 SME 一起根据已定义的特定标准来监视资源。SLA 通常包括监视资源所需的关键标准。
发现资源
在定义了标准之后,运营团队计划执行资源的自动发现来获取管理资源所需的附加信息。资源的发现包括应用程序组件和服务、基础设施资源,以及在服务注册中心中定义的服务。
现有的 IBM Tivoli Monitoring Server 提供了一个用于与其他监视产品集成的基本管理框架,以及一个被称为 Tivoli Enterprise Portal 的通用监视接口。Tivoli Composite Application Manager 系列产品用于发现和监视特定类型的应用程序组件、服务和支持基础设施的资源。Tivoli Composite Application Manager 产品配置了 Tivoli Monitoring Server,可以在通用 Tivoli Enterprise Portal (TEP) 控制台中发现此类资源并在其中对这些资源进行管理。
Tivoli Composite Application Manager for SOA 将用于发现和监视 Web 服务和 ESB。Tivoli Composite Application Manager for SOA 会安装到 Tivoli Monitoring Server 环境中。当 Tivoli Composite Application Manager for SOA Agent 在目标应用服务器上运行后,可以运行此应用程序。在使用 Web 服务或 ESB 中介的情况下,Tivoli Composite Application Manager for SOA 的发现组件将检测服务的名称和操作,并在 Tivoli Enterprise Portal 中显示这些信息。在配置用于监视响应时间和使用率这样的度量服务的 Tivoli Enterprise Portal 境况时需要这些信息。还可以通过与 IBM WebSphere? Service Registry and Repository 集成发现服务。
监视
图 6 描述了将用于监视运行时环境的管理逻辑体系结构。环境中有许多其他后端系统;但是,应用程序体系结构代表了部署环境。
现有的环境包括图 6 中显示的许多管理组件。主要添加了以下组件:
添加了 Tivoli Composite Application Manager for SOA,用于管理和监视服务使用者和提供者,包括监视 ESB 中介和 Web 服务。
需要添加 Tivoli Composite Application Manager for Response Time Tracking 来管理端到端的事务性能,从客户端一直到后端 CICS。
Tivoli Composite Application Manager for Response Time 用于进行用户监视(用户响应时间、记录和回放综合事务)。
表 1 列出了将用于监视帐户开立部署环境的资源的自定义 Tivoli Enterprise Portal 工作区。
表 1 Tivoli Enterprise Portal 工作区摘要
TEP 工作区 工作区描述
Main 用于监视跨 SOA 体系结构层的资源的视图。
Services 用于管理服务的视图。
Transactional 用于管理端到端事务性能的视图。
Middleware 用于管理中间件资源的视图。
Operational 用于管理操作资源的视图。
工作区可以链接在一起,这对于进行根源分析来说可能非常有用。
考虑服务响应时间超过监视的境况的事件。根源是承载服务的应用服务器停止。可以将工作区链接在一起以深入研究从 Situations Event Console 中的服务响应时间事件到 WebSphere Application Server—Log Analysis 视图 Middleware 工作区。
在分析、设计和发现过程中从资源的标识中收集到的信息和标准用于创建 Tivoli Enterprise Portal 境况。Tivoli Enterprise Portal 境况是根据阈值对一组属性进行测试的条件。该境况按照预先定义的间隔对条件进行评估,并调用 Tivoli Enterprise Portal 中相应的自动响应和通知方法,如事件消息或采取措施。随多种 IBM 监视产品提供了许多预先定义的境况,可以按“原样”使用这些境况也可以对其进行自定义。
Budi 列出了将用作触发事件的一些主要境况(请参见表 2)。
表 2 用于触发事件的主要境况
监视层/产品 用于监视事件的境况
使用 ITCAM for SOA 监视服务
服务(中介)平均响应时间超过 5 秒
消息大小超出范围
中介不能连接到 CICS Gateway (CTG)
监视事务性能 ITCAM RTT
通过将事务的每个段与 CICS 后端关联起来监视端到端事务性能。
图 7 显示了 Main Tivoli Enterprise Portal 工作区,该工作区提供了管理的资源的集成视图。当触发了一种境况后,Situation Event Console 视图中将显示事件。
Sandy 已请求与 Steve 和 Axel 会面来检查支持定义的要求的安全性解决方案设计。
建议的解决方案
Axel 说明了团队如何应用 IBM SOA 安全参考模型(请参见图 8)来满足帐户开立应用程序和支持基础设施的安全要求。IBM SOA 安全参考模型更广泛的上下文是用于保证服务、应用程序和资源安全的 IBM Service Management 的子组件。
高度概括地讲,此模型定义如下:
业务安全服务(Business Security Services)包括管理业务的需求,如信任、标识和访问管理,数据保护,遵从性和报告,不可否认性,安全系统以及网络。
IT 安全服务(IT Security Services)描述用于保证服务安全的 SOA 基础结构的基础构造块。安全服务包括标识、身份验证和授权、机密性、完整性,以及审核服务。
安全支持(Security Enablers)包括 IT 安全服务使用的加密、目录和密钥存储库等技术。安全策略管理包括管理、强制执行和监视安全策略。
治理和风险管理(Governance and Risk Management)提供实现和强制执行安全策略的机制。治理可帮助客户在整个组织中管理 SOA。风险管理用于处理评估风险并制定管理这些风险的策略的流程。
安全策略管理(Security Policy Management)是总体策略管理的一部分,用于清楚表述、管理、强制执行和监视安全策略。
标识提供
帐户开立流程门户包括许多后端系统。出于参考目的,可以考虑调用客户概要服务与 CICS 后端系统进行交互的帐户开立流程门户应用程序。
简而言之,由帐户开立流程门户使用的 WebSphere Portal、WebSphere Application Server 和 WebSphere Process Server 共享一个由 IBM Tivoli Directory Server 实现的通用 LDAP 用户存储库。CICS 将 RACF? 用于安全服务。在帐户开立流程门户中创建了一个新帐户之后,LDAP 用户存储库中会创建一个新标识,并且会在 RACF 中通过 IBM Tivoli Identity Manager 创建一个新标识。在有些情况下,IBM Tivoli Directory Integrator 用于创建标识。在企业环境中,不同的系统强制执行不同的标识命名约定和策略是很普遍的。例如,用户标识 jsmith 是在 LDAP 目录中创建的,而 joesmith 是在 RACF 中创建的。
标识传播
作为从门户到后端系统的请求流的一部分,服务使用者可以通过 ESB 与提供者进行交互。用户的可信标识需要在整个应用程序中流动。应考虑标识的格式可能需要进行转换。此外,表示用户的标识在多个系统中可能不同,可能需要在多个系统间进行映射。
能够使用几种解决方案模式来传播标识。该团队决定使用通过 IBM Tivoli Federated Identity Manager 实现的安全令牌服务来执行格式转换和标识映射。需要 WebSphere(Application Server、Portal Server 和 Process Server)来携带 RACF 用户 ID 和传递票证。在将请求发送到 CICS(或其他后端系统)之前,需要使用安全令牌服务对 WebSphere 中的身份验证标识进行映射和转换,安全令牌服务可以将传入用户名 jsmith (WebSphere/LDAP) 映射为 CICS 所用的 RACF 用户 ID joesmith。安全令牌服务还会为该用户生成 RACF 传递凭证。
根据 WS-Trust 规范,到安全令牌服务的接口也是一项服务。从 LDAP ID 到 RACF ID 的标识映射是通过在 LDAP 中查找此 ID 完成的。
身份验证服务
需要使用身份验证服务来与不同的域、不同的平台和不同的服务进行集成。运营团队确定用户标识符和密码身份验证。参照由 IBM Tivoli Directory Server 和 IBM Tivoli Access Manager 实现的基于 LDAP 的用户存储库对用户标识进行检查。
在 JKHLE 环境中,第一个身份验证质询在用户访问门户时发生。IBM Tivoli Access Manager—WebSEAL 组件用于实现反向代理,反向代理充当门户和其他 Web 应用程序的联系人的联合单一登录点。使用上述反向代理,由于身份验证逻辑存在于 Tivoli Access Manager WebSEAL 层中,因此可以在将来支持更复杂的身份验证机制,而无需修改 Web 应用程序。
注意:运营团队正在评估使用 IBM WebSphere DataPower? 来实现增强的处理能力。WebSphere DataPower 可用作处理 XML 通信、提供消息保护和中介标识的安全代理。
ESB 在将服务请求传递给服务提供者之前,使用身份验证服务对服务使用者提供的凭据进行身份验证。服务提供者包括中间件应用程序、后端系统和数据服务。
授权服务
在对用户的标识进行了身份验证之后,可以使用授权服务来确定对资源的适当访问权。
授权决策取决于授权策略和身份验证标识。在 JKHLE 环境中,在针对服务使用者和提供者、应用程序和数据的整个解决方案中使用了多种授权服务。
帐户开立流程门户是服务使用者。IBM WebSphere Portal 为门户页面和 Portlet 提供了其自己的授权模式。对于门户和 J2EE. 应用程序,授权可以是基于角色的。此外,WebSphere Portal 能够使门户的授权服务外部化以供 IBM Tivoli Access Manager 管理。
JKHLE 环境中有大量需要授权服务的服务提供者类型。J2EE 应用程序利用 Tivoli Access Manager 的授权服务。许多后端系统和应用程序都有其自己的授权服务或使用 RACF,如基于 CICS 的应用程序。数据和数据库也需要授权服务。对于 z/OS? 中的数据服务,使用 RACF 进行授权。
部署审核服务是为了通过收集审核信息并报告这些信息来理解安全环境运行情况的。大多数 IBM 安全性和基础设施产品都包括可处理用于报告用途的审核日志功能。运营团队使用 IBM Tivoli Compliance Insight Manager 来整理、处理和报告审核数据。
传输和消息级安全性
运营团队使用行业标准的传输和消息级安全性。为保证 HTTP 的安全,可以应用传输级安全性。传输级安全性基于在 HTTP 下运行的安全套接字层 (SSL) 或传输层安全性 (TLS)。与消息级安全性不同,HTTPS 将对整个 HTTP 数据包进行加密。不存在选择性地对消息的特定部分应用安全性的选项。SSL 和 TLS 提供身份验证安全性、数据保护和对安全 HTTP 连接的加密令牌支持。
WS-Security 提供了消息级安全性,可在构建安全 Web 服务以实现消息内容完整性、机密性和身份验证时使用。来自服务使用者和提供者的数据都通过需要保护的 ESB 来中转。此操作可通过将 WS-Security 和传输级安全性与 SSL/TLS 结合使用,利用机密性服务并选择消息级安全性来实现。
回页首
建议的安全性和管理解决方案体系结构可满足所确定的需求,同时能够重用现有基础设施中的许多组件。此方法提供了一个满足连续遵从性和审核要求的环境,同时促进了采用 SOA 为帐户开立应用程序带来的业务灵活性。安全性和管理解决方案体系结构为 JKHLE 继续采用其他 SOA 项目奠定了坚实的基础,而无需额外的管理开销。
总的来说,以下 IBM 产品将用于保护和管理部署环境:
管理: IBM Tivoli Monitoring Server
IBM Tivoli Composite Application Manager for: SOA
WebSphere
Response Time
Response Time Tracking
CICS Transactions
IBM Tivoli OMEGAMON? XE
IBM Tivoli Service Level Advisor
IBM Tivoli Provisioning Manager
安全性: IBM Tivoli Access Manager
IBM Tivoli Identity Manager
IBM Tivoli Federated Identity Manager
IBM Tivoli Directory Server
IBM Tivoli Directory Integrator
IBM WebSphere DataPower
IBM Tivoli Compliance Insight Manager
回页首
本信息是为在美国提供的产品和服务而编写的。
IBM 可能在其他国家/地区不提供本文档中讨论的产品、服务或功能。有关您所在区域当前提供的产品和服务的信息,请向您当地的 IBM 代表咨询。
任何对 IBM 产品、程序或服务的引用都并非旨在明示或暗示只能使用 IBM 产品、程序或服务。只要不侵犯 IBM 的知识产权,可以用任何具有同等功能的产品、程序或服务代替 IBM 产品、程序或服务。但是,对任何非 IBM 产品、程序或服务的评估和验证应由用户自行负责。
IBM 公司可能已拥有或正在申请与本文档描述的内容有关的各项专利。
提供本文档并没有授予您对这些专利的任何许可。您可以通过书面方式将许可查询寄至:
IBM Director of Licensing, IBM Corporation, North Castle Drive Armonk, NY 10504-1785 U.S.A.
要了解 IBM 的完整声明,请参阅IBM 声明的细节。
学习
您可以参阅本文在 IBM 红皮书网站上的英文原文 。
本系列文章的第 1 部分:本文概括介绍了虚构的 JKHL Enterprises (JKHLE) 公司的情况,这个虚构的公司已在一系列面向服务的体系结构 (SOA) 场景文章及相关的工作产品中被引用,作案例研究之用。本案例研究介绍了如何借助 SOA 原则通过应用 SOA 场景实现模式来应对常见的业务和 IT 挑战。
本系列文章的第 2 部分:本文中的案例研究重点是与 SOA 服务创建和重用相关的挑战和解决方案。在本文中,我们将介绍如何使用关键方法和选项来利用现有的 IT 资产并通过 SOA 接口加以重用,还将介绍如何为新的和现有的资产构建服务,以确保它们可以用于未来的 SOA 工作。本文描述了如何使用“面向服务的体系结构中的服务创建场景”的实现模式来解决与该案例研究相关的业务和 IT 挑战。
本系列文章的第 3 部分:本文中的案例研究重点说明与开立新帐户服务的连接性相关的挑战和解决方案。其中描述如何使用“SOA 中的服务连接性场景”的实现模式来解决与该案例研究相关的业务和 IT 挑战。
本系列文章的第 4 部分:本文中的案例研究重点说明与开立新帐户的业务流程相关的挑战和解决方案,主要向您讲解了如何通过各种 IBM 工具来解决相关的业务流程问题。
本系列文章的第 5 部分:本文描述了如何使用交互与协作服务 SOA 场景的实现和解决方案模式来解决与该案例研究相关的业务和 IT 挑战。
本系列文章的第 6 部分:本文中的案例研究重点说明在具有 SOA 服务接口的 JKHLE 中与公开信息相关的挑战和解决方案。通过本文的学习您将了解到可以通过许多不同的模式实现企业中数据信息的统一访问、验证和清理等功能。
本系列文章的第 7 部分:本文描述了如何使用 IBM 的相关业务流程管理软件和方法,来解决与该案例研究相关的业务和 IT 挑战。
本系列文章的第 8 部分:本文通过使用RUP,SOMA 等技术以及Rational Software Architect 之类的工具来实现 SOA 的设计,其中会涉及如服务的实现、业务的转换等方面的内容。
IBM developerWorksSOA and Web services 专区 提供了大量的文章,以及关于如何开发 Web 服务应用程序的初级、中级和高级教程。
使用IBM SOA Sandbox 进行试验!通过 IBM SOA 进行实际的亲手实践来提高您的 SOA 技能。
IBM SOA 网站 提供 SOA 的概述,并介绍 IBM 是如何帮助您实现 SOA 的。
了解关于developerWorks 技术事件和网络广播 的最新消息。请特别关注以下 SOA 和 Web 服务技术讲座:Building SOA solutions and managing the service lifecycle
SCA/SDO: To drive the next generation of SOA
访问Safari 书店 ,浏览有关这些技术主题以及其他方面的书籍。
2008 年 6 月 30 日
本红皮书是面向服务的体系结构 (SOA) 系列之一,主要通过名为 JKHL Enterprises (JKHLE) 的虚构公司阐述一个案例研究。本红皮书中的案例研究重点说明与 SOA 安全性和管理相关的挑战和解决方案。本红皮书描述如何使用“SOA 安全性和管理场景”的实现和解决方案模式来解决与该案例研究相关的业务和 IT 挑战。
我们在本文中介绍的案例研究包括以下人员和角色:
Sandy Osbourne-Archer,首席技术架构师
Edmund Smythe-Barrett,企业架构师
Steve Optman,IT 运营经理
Axel Setrust,安全架构师
Budi Manmon,管理架构师
JKHLE 已经部署了一个成熟的管理环境来管理现有的应用程序。帐户开立项目中新引入的共享服务、流程和组合应用程序带来了新的管理挑战。本文讨论与保护和管理应用程序服务以及与用于帐户开立项目案例研究的支持基础设施相关的挑战和解决方案。
IT 运营经理 Steve Optman 与首席技术架构师 Sandy Osbourne-Archer 进行会谈,讨论帐户开立项目的安全性和管理挑战及目标。Steve 提出了对运营团队当前无法及时了解帐户开立项目设计情况的担忧。Steve 重点强调了从一开始就参与到流程中的重要性,这样可以避免他的运营团队因延迟参与投入运行之前的一些部署而遇到的问题。Sandy 赞同并承诺在开发周期中尽早让运营团队参与进来。
Sandy 概述了运营团队在部署本项目时需要满足的三个关键安全性和管理目标:
发现资源和服务
需要提供一种自动化方法来发现服务注册中心中定义的应用程序组件、中间件和服务。需要将从发现过程中捕获的数据提供给现有的更改控制流程。
在通用管理控制台中监视服务
需要以一种与现有管理环境和通用管理控制台一致的方式监视帐户开立流程应用程序服务和支持基础设施。
安全性和遵从性审核功能
需要端到端的安全性以及能够提供审核记录,以确保满足遵从性要求。
Sandy 建议 Steve 及其运营团队直接与企业架构师 Edmund Smythe-Barrett 合作。
Edmund 负责帐户开立项目应用程序和支持基础设施的体系结构和设计。
回页首
Steve 安排与 Edmund、安全分析人员 Axel Setrust和管理架构师 Budi Manmon 会面,检查帐户开立项目体系结构并概述关键安全性和管理设计点(请参见图 1)。
简而言之,反向代理部署在隔离区 (DMZ) 中。
此处的门户用于提供表示层和使用 ESB 或直接与流程服务器及后端应用程序进行交互。客户端可以是企业内部和外部的用户或服务使用者。
类似地,应用程序和服务既可以属于企业内部也可以属于企业外部。
在部署体系结构中的各个点上强制执行安全性。
在从帐户开立流程门户中使用时,Edmund 引用了客户概要服务(请参见图 2)。Edmund 解释说,此事务在应用程序体系结构和支持基础设施中具有代表意义。简而言之,在客户从门户中输入概要信息之后,客户概要服务(中介)就会与由 CICS? 后端系统承载的帐户记录应用程序进行交互,用于存储客户概要信息供进一步处理。
Steve 介绍了帐户开立项目 SOA 的采用将如何创造竞争优势。Steve 强调说,为降低成本和确保遵从性,高效的安全性和管理解决方案非常重要。
他解释说,成本降低包括更高效地管理 JKHLE 环境的大量资源,从而使运营团队能够以同样的资源提供更多管理支持。
Steve 看到 JKHLE 面临着无法准确掌控业务和技术资产的挑战。需要实施足够的管理才能有效地管理所有资产。缺乏足够的管理会导致不必要的风险,以及无法有效地满足遵从性和审核要求。此外,往往还会出现重大操作中断。
Steve 解释说,IBM? Service Management 跨业务和技术资产提供了集成的可见性、控制和自动化,可帮助您克服业务和技术集成方面的障碍,以及妨碍创新的因素。IBM Service Management 产品组合包括与 ITIL? 保持一致的工作流、基于标准的配置管理数据库、与基础设施保持一致的自动化任务、最佳实践以及实现支持。
注意:您可以在以下位置找到有关 IBM Service Management 的更多信息:
http://www.ibm.com/itsm
运营团队计划利用 IBM Service Management 解决方案和产品来支持帐户开立项目和其他活动。帐户开立项目的安全性和管理解决方案将重点关注图 3 中所示的 IBM Service Management Operational Management 和 Service Management。
SOA Management 的要求
运营团队了解到 JKHLE 业务流程将越来越多地依赖于构成跨越多个体系结构层(包括服务使用者、业务流程、服务、服务组件和操作系统)的多层组合应用程序的共享服务。Steve 和 Budi 知道,此管理解决方案需要包括用于管理和监视 SOA 组合应用程序和用于支持跨多个体系结构层的基础设施的软件和解决方案。
Steve 概述了在整个管理生命周期中需要执行的关键任务。图 4 重点介绍了这些任务的关键输入、用户角色和这些任务的构件输出。虽然这些任务是采用自顶向下的方法显示的,但是这些任务中许多都具有迭代性。
Budi 重点介绍了部署体系结构的关键 SOA 管理要求(请参见图 1)。
REQ-01:标识要管理的服务和资源
标识需要通过帐户开立流程门户管理的服务和资源。JKHLE 已经部署了许多现有的系统和资源。一项关键管理要求是了解如何标识或发现应管理哪些服务和支持资源。
REQ-02:自动发现资源
提供了一种自动化方法可以发现服务注册中心中定义的应用程序组件、中间件和服务。从发现过程中捕获的数据将提供给现有的更改控制流程。
REQ-03:将服务作为资源对其进行管理和监视
为达到业务定义的服务质量,每个服务终端都需要作为一项资源来管理,包括调用服务(使用者)和将应用程序功能公开为服务(提供者)。解决方案必须能够提供实时可用性和性能指标,以及定义的服务水平协议。
管理基础设施需要提供一种监视和故障排除方法,若能在故障发生之前发出警报则更好。监视包括实际用户通信量,以确保 SLA 一致性和监视综合事务。综合事务用于确保环境以一致的方式处理一组受控交互,这一点作为根本原因分析的基准是非常有用的。
Budi 重点介绍了几个有代表性的监视示例:
监视客户概要服务事务以确保其响应时间不超过 5 秒。
监视客户概要服务(服务使用者和提供者,应用服务器和后端系统)所用的基础设施的可用性。
REQ-04:在集成控制台中监视端到端视图
在孤立的应用程序体系结构中,资源通常是由不同的操作人员或专家在多个不同的管理控制台中管理的。帐户开立流程门户代表了需要转变管理方法的 SOA 组合应用程序。需要通过以下方式监视和管理基础设施:既涵盖组合应用程序的端到端视图,又提供有关各资源的性能和可用性标准的详细信息。
SOA 安全性的要求
Axel 负责安全基础设施。Axel 得出了两项与安全性相关的观测结果:
因为部署体系结构中的每个组件都强制实施了安全性的某一方面,所以可能存在多种标识、身份验证、授权和审核机制。集成安全机制将成为一项挑战。
特定的产品有多个管理岛,这往往会导致错误、不一致和缺乏协作。管理可能会以资源为中心,策略管理可能会独立于业务单元、应用程序或产品。
安全性管理在需要跨多个组件实施一致策略的 SOA 环境中会是一项挑战。
Axel 重点介绍了 SOA 部署体系结构的关键安全性要求(请参见图 1)。
REQ-05:标识提供
在 JKHLE 环境中,开立了一个新帐户之后,标识将提供给多个中间件和后端系统。解决方案需要提供和管理标识,从中央系统到外部系统。
REQ-06:标识传播
当用户与门户进行交互时,用户标识需要在整个事务中进行传播,无需多次登录即可传播到后端系统。在某些情况下,现有的系统将拥有并不完全相同的用户 ID,或者外部用户将使用不同的协议绑定与门户进行交互。在这些情况下,保护业务数据和为标识、数据等建立业务信任关系是非常重要的。请求可能来自外部实体,因此安全域可能是交叉的。
需要在整个事务中传播标识,无论体系结构中有多少个跃点。
REQ-07:身份验证
当用户或系统与门户进行交互时,需要对标识进行身份验证。在对用户进行身份验证之前,需要设置一个代理来首先对用户标识进行质询。在代理上派生的标识需要到处传播,以便可以强制执行更多安全检查(如授权和审核)。此解决方案需要提供身份验证服务,能够通过单点登录功能从门户登录到多个后端系统。
REQ-08:授权
安全解决方案需要确保用户能够访问基于用户或系统标识确定的许可信息。许多组件可能都需要授权,其中包括粗粒度的基于服务的授权到细粒度的数据级访问控制。
REQ-09:审核
JKHLE 必须确保采用了适当的控制来满足法规遵从性要求。需要沿着事务路径将审核信息从每个组件中收集起来。审核信息将被记录,并可用于实时、法律审查和报告,从而能够满足法规遵从性要求。
REQ-10:传输和消息级安全性
需要保证信息和业务数据在传输以及存储过程中的安全。需要提供机密性保护来确保消息数据不可访问且无法被其他人修改,从而确保消息的完整性。数据保护策略往往会指明需要在传输和消息级别采用哪种类型的保护。
注意:有关解决方案的详细信息,请参阅“传输和消息级别安全性”。
回页首
本部分描述了如何使用“SOA 安全性和管理场景”实现模式来解决与帐户开立项目案例研究的安全性和管理相关的业务和 IT 挑战。
Steve 安排与 Sandy 和运营团队的主要成员会面,介绍用于支持帐户开立流程门户应用程序部署的安全性和管理解决方案。
Steve 有一个目标,希望通过此次与 Sandy 的会面实现以下两个目的:
确保 Sandy 对支持定义的目标和要求的高级别管理解决方案有个大体了解。
深入了解有关帐户开立流程应用程序服务和支持基础设施的发现和监视的更多详细信息。
为深入分析目的,Steve 建议使用客户概要服务(请参见图 2),因为该服务是部署体系结构和管理解决方案的代表。
建议的解决方案
Steve 让 Budi 向 Sandy 详细介绍管理解决方案,并从说明如何标识要管理的资源开始。Budi 解释说,可以采用两种基础方法来确定要管理的资源,即在分析和设计过程中确定资源和在运行时通过发现确定资源。这两种方法常常一起使用,但是也可以独立使用。
在分析和设计过程中确定资源
在分析和设计时基于非功能性需求和 SLA 确定要管理的资源。此方法需要了解应用程序体系结构和支持基础设施。
此方法包括以下几项高级任务:
标识服务和端到端事务
包括标识关键服务、事务和流程。分析非功能性需求和 SLA 在确定应管理哪些服务过程中起到关键作用。在帐户开立流程门户中,客户概要服务与 CICS 后端系统进行交互。IBM Tivoli? Service Level Advisor 将记录并报告服务水平协议。例如,SLA 规定事务的响应时间不应超过 5 秒,IBM Tivoli Composite Application Manager for SOA 将对服务的响应时间进行监视,以确保达到 SLA 要求。
确定 SOA 基础参考体系结构中的资源
在多个体系结构层中,帐户开立应用程序的服务、流程和支持基础设施将作为资源被管理。
Budi 解释了如何分解多个体系结构层中的客户概要事务(请参见图 5)。这些信息用于对适当的管理软件建立映射以管理资源。
确定监视确定的资源所需的标准
在确定了服务事务和管理产品的资源类型之后,企业架构师和管理架构师能够与 IT 管理人员和 SME 一起根据已定义的特定标准来监视资源。SLA 通常包括监视资源所需的关键标准。
发现资源
在定义了标准之后,运营团队计划执行资源的自动发现来获取管理资源所需的附加信息。资源的发现包括应用程序组件和服务、基础设施资源,以及在服务注册中心中定义的服务。
现有的 IBM Tivoli Monitoring Server 提供了一个用于与其他监视产品集成的基本管理框架,以及一个被称为 Tivoli Enterprise Portal 的通用监视接口。Tivoli Composite Application Manager 系列产品用于发现和监视特定类型的应用程序组件、服务和支持基础设施的资源。Tivoli Composite Application Manager 产品配置了 Tivoli Monitoring Server,可以在通用 Tivoli Enterprise Portal (TEP) 控制台中发现此类资源并在其中对这些资源进行管理。
Tivoli Composite Application Manager for SOA 将用于发现和监视 Web 服务和 ESB。Tivoli Composite Application Manager for SOA 会安装到 Tivoli Monitoring Server 环境中。当 Tivoli Composite Application Manager for SOA Agent 在目标应用服务器上运行后,可以运行此应用程序。在使用 Web 服务或 ESB 中介的情况下,Tivoli Composite Application Manager for SOA 的发现组件将检测服务的名称和操作,并在 Tivoli Enterprise Portal 中显示这些信息。在配置用于监视响应时间和使用率这样的度量服务的 Tivoli Enterprise Portal 境况时需要这些信息。还可以通过与 IBM WebSphere? Service Registry and Repository 集成发现服务。
监视
图 6 描述了将用于监视运行时环境的管理逻辑体系结构。环境中有许多其他后端系统;但是,应用程序体系结构代表了部署环境。
现有的环境包括图 6 中显示的许多管理组件。主要添加了以下组件:
添加了 Tivoli Composite Application Manager for SOA,用于管理和监视服务使用者和提供者,包括监视 ESB 中介和 Web 服务。
需要添加 Tivoli Composite Application Manager for Response Time Tracking 来管理端到端的事务性能,从客户端一直到后端 CICS。
Tivoli Composite Application Manager for Response Time 用于进行用户监视(用户响应时间、记录和回放综合事务)。
表 1 列出了将用于监视帐户开立部署环境的资源的自定义 Tivoli Enterprise Portal 工作区。
表 1 Tivoli Enterprise Portal 工作区摘要
TEP 工作区 工作区描述
Main 用于监视跨 SOA 体系结构层的资源的视图。
Services 用于管理服务的视图。
Transactional 用于管理端到端事务性能的视图。
Middleware 用于管理中间件资源的视图。
Operational 用于管理操作资源的视图。
工作区可以链接在一起,这对于进行根源分析来说可能非常有用。
考虑服务响应时间超过监视的境况的事件。根源是承载服务的应用服务器停止。可以将工作区链接在一起以深入研究从 Situations Event Console 中的服务响应时间事件到 WebSphere Application Server—Log Analysis 视图 Middleware 工作区。
在分析、设计和发现过程中从资源的标识中收集到的信息和标准用于创建 Tivoli Enterprise Portal 境况。Tivoli Enterprise Portal 境况是根据阈值对一组属性进行测试的条件。该境况按照预先定义的间隔对条件进行评估,并调用 Tivoli Enterprise Portal 中相应的自动响应和通知方法,如事件消息或采取措施。随多种 IBM 监视产品提供了许多预先定义的境况,可以按“原样”使用这些境况也可以对其进行自定义。
Budi 列出了将用作触发事件的一些主要境况(请参见表 2)。
表 2 用于触发事件的主要境况
监视层/产品 用于监视事件的境况
使用 ITCAM for SOA 监视服务
服务(中介)平均响应时间超过 5 秒
消息大小超出范围
中介不能连接到 CICS Gateway (CTG)
监视事务性能 ITCAM RTT
通过将事务的每个段与 CICS 后端关联起来监视端到端事务性能。
图 7 显示了 Main Tivoli Enterprise Portal 工作区,该工作区提供了管理的资源的集成视图。当触发了一种境况后,Situation Event Console 视图中将显示事件。
Sandy 已请求与 Steve 和 Axel 会面来检查支持定义的要求的安全性解决方案设计。
建议的解决方案
Axel 说明了团队如何应用 IBM SOA 安全参考模型(请参见图 8)来满足帐户开立应用程序和支持基础设施的安全要求。IBM SOA 安全参考模型更广泛的上下文是用于保证服务、应用程序和资源安全的 IBM Service Management 的子组件。
高度概括地讲,此模型定义如下:
业务安全服务(Business Security Services)包括管理业务的需求,如信任、标识和访问管理,数据保护,遵从性和报告,不可否认性,安全系统以及网络。
IT 安全服务(IT Security Services)描述用于保证服务安全的 SOA 基础结构的基础构造块。安全服务包括标识、身份验证和授权、机密性、完整性,以及审核服务。
安全支持(Security Enablers)包括 IT 安全服务使用的加密、目录和密钥存储库等技术。安全策略管理包括管理、强制执行和监视安全策略。
治理和风险管理(Governance and Risk Management)提供实现和强制执行安全策略的机制。治理可帮助客户在整个组织中管理 SOA。风险管理用于处理评估风险并制定管理这些风险的策略的流程。
安全策略管理(Security Policy Management)是总体策略管理的一部分,用于清楚表述、管理、强制执行和监视安全策略。
标识提供
帐户开立流程门户包括许多后端系统。出于参考目的,可以考虑调用客户概要服务与 CICS 后端系统进行交互的帐户开立流程门户应用程序。
简而言之,由帐户开立流程门户使用的 WebSphere Portal、WebSphere Application Server 和 WebSphere Process Server 共享一个由 IBM Tivoli Directory Server 实现的通用 LDAP 用户存储库。CICS 将 RACF? 用于安全服务。在帐户开立流程门户中创建了一个新帐户之后,LDAP 用户存储库中会创建一个新标识,并且会在 RACF 中通过 IBM Tivoli Identity Manager 创建一个新标识。在有些情况下,IBM Tivoli Directory Integrator 用于创建标识。在企业环境中,不同的系统强制执行不同的标识命名约定和策略是很普遍的。例如,用户标识 jsmith 是在 LDAP 目录中创建的,而 joesmith 是在 RACF 中创建的。
标识传播
作为从门户到后端系统的请求流的一部分,服务使用者可以通过 ESB 与提供者进行交互。用户的可信标识需要在整个应用程序中流动。应考虑标识的格式可能需要进行转换。此外,表示用户的标识在多个系统中可能不同,可能需要在多个系统间进行映射。
能够使用几种解决方案模式来传播标识。该团队决定使用通过 IBM Tivoli Federated Identity Manager 实现的安全令牌服务来执行格式转换和标识映射。需要 WebSphere(Application Server、Portal Server 和 Process Server)来携带 RACF 用户 ID 和传递票证。在将请求发送到 CICS(或其他后端系统)之前,需要使用安全令牌服务对 WebSphere 中的身份验证标识进行映射和转换,安全令牌服务可以将传入用户名 jsmith (WebSphere/LDAP) 映射为 CICS 所用的 RACF 用户 ID joesmith。安全令牌服务还会为该用户生成 RACF 传递凭证。
根据 WS-Trust 规范,到安全令牌服务的接口也是一项服务。从 LDAP ID 到 RACF ID 的标识映射是通过在 LDAP 中查找此 ID 完成的。
身份验证服务
需要使用身份验证服务来与不同的域、不同的平台和不同的服务进行集成。运营团队确定用户标识符和密码身份验证。参照由 IBM Tivoli Directory Server 和 IBM Tivoli Access Manager 实现的基于 LDAP 的用户存储库对用户标识进行检查。
在 JKHLE 环境中,第一个身份验证质询在用户访问门户时发生。IBM Tivoli Access Manager—WebSEAL 组件用于实现反向代理,反向代理充当门户和其他 Web 应用程序的联系人的联合单一登录点。使用上述反向代理,由于身份验证逻辑存在于 Tivoli Access Manager WebSEAL 层中,因此可以在将来支持更复杂的身份验证机制,而无需修改 Web 应用程序。
注意:运营团队正在评估使用 IBM WebSphere DataPower? 来实现增强的处理能力。WebSphere DataPower 可用作处理 XML 通信、提供消息保护和中介标识的安全代理。
ESB 在将服务请求传递给服务提供者之前,使用身份验证服务对服务使用者提供的凭据进行身份验证。服务提供者包括中间件应用程序、后端系统和数据服务。
授权服务
在对用户的标识进行了身份验证之后,可以使用授权服务来确定对资源的适当访问权。
授权决策取决于授权策略和身份验证标识。在 JKHLE 环境中,在针对服务使用者和提供者、应用程序和数据的整个解决方案中使用了多种授权服务。
帐户开立流程门户是服务使用者。IBM WebSphere Portal 为门户页面和 Portlet 提供了其自己的授权模式。对于门户和 J2EE. 应用程序,授权可以是基于角色的。此外,WebSphere Portal 能够使门户的授权服务外部化以供 IBM Tivoli Access Manager 管理。
JKHLE 环境中有大量需要授权服务的服务提供者类型。J2EE 应用程序利用 Tivoli Access Manager 的授权服务。许多后端系统和应用程序都有其自己的授权服务或使用 RACF,如基于 CICS 的应用程序。数据和数据库也需要授权服务。对于 z/OS? 中的数据服务,使用 RACF 进行授权。
部署审核服务是为了通过收集审核信息并报告这些信息来理解安全环境运行情况的。大多数 IBM 安全性和基础设施产品都包括可处理用于报告用途的审核日志功能。运营团队使用 IBM Tivoli Compliance Insight Manager 来整理、处理和报告审核数据。
传输和消息级安全性
运营团队使用行业标准的传输和消息级安全性。为保证 HTTP 的安全,可以应用传输级安全性。传输级安全性基于在 HTTP 下运行的安全套接字层 (SSL) 或传输层安全性 (TLS)。与消息级安全性不同,HTTPS 将对整个 HTTP 数据包进行加密。不存在选择性地对消息的特定部分应用安全性的选项。SSL 和 TLS 提供身份验证安全性、数据保护和对安全 HTTP 连接的加密令牌支持。
WS-Security 提供了消息级安全性,可在构建安全 Web 服务以实现消息内容完整性、机密性和身份验证时使用。来自服务使用者和提供者的数据都通过需要保护的 ESB 来中转。此操作可通过将 WS-Security 和传输级安全性与 SSL/TLS 结合使用,利用机密性服务并选择消息级安全性来实现。
回页首
建议的安全性和管理解决方案体系结构可满足所确定的需求,同时能够重用现有基础设施中的许多组件。此方法提供了一个满足连续遵从性和审核要求的环境,同时促进了采用 SOA 为帐户开立应用程序带来的业务灵活性。安全性和管理解决方案体系结构为 JKHLE 继续采用其他 SOA 项目奠定了坚实的基础,而无需额外的管理开销。
总的来说,以下 IBM 产品将用于保护和管理部署环境:
管理: IBM Tivoli Monitoring Server
IBM Tivoli Composite Application Manager for: SOA
WebSphere
Response Time
Response Time Tracking
CICS Transactions
IBM Tivoli OMEGAMON? XE
IBM Tivoli Service Level Advisor
IBM Tivoli Provisioning Manager
安全性: IBM Tivoli Access Manager
IBM Tivoli Identity Manager
IBM Tivoli Federated Identity Manager
IBM Tivoli Directory Server
IBM Tivoli Directory Integrator
IBM WebSphere DataPower
IBM Tivoli Compliance Insight Manager
回页首
本信息是为在美国提供的产品和服务而编写的。
IBM 可能在其他国家/地区不提供本文档中讨论的产品、服务或功能。有关您所在区域当前提供的产品和服务的信息,请向您当地的 IBM 代表咨询。
任何对 IBM 产品、程序或服务的引用都并非旨在明示或暗示只能使用 IBM 产品、程序或服务。只要不侵犯 IBM 的知识产权,可以用任何具有同等功能的产品、程序或服务代替 IBM 产品、程序或服务。但是,对任何非 IBM 产品、程序或服务的评估和验证应由用户自行负责。
IBM 公司可能已拥有或正在申请与本文档描述的内容有关的各项专利。
提供本文档并没有授予您对这些专利的任何许可。您可以通过书面方式将许可查询寄至:
IBM Director of Licensing, IBM Corporation, North Castle Drive Armonk, NY 10504-1785 U.S.A.
要了解 IBM 的完整声明,请参阅IBM 声明的细节。
学习
您可以参阅本文在 IBM 红皮书网站上的英文原文 。
本系列文章的第 1 部分:本文概括介绍了虚构的 JKHL Enterprises (JKHLE) 公司的情况,这个虚构的公司已在一系列面向服务的体系结构 (SOA) 场景文章及相关的工作产品中被引用,作案例研究之用。本案例研究介绍了如何借助 SOA 原则通过应用 SOA 场景实现模式来应对常见的业务和 IT 挑战。
本系列文章的第 2 部分:本文中的案例研究重点是与 SOA 服务创建和重用相关的挑战和解决方案。在本文中,我们将介绍如何使用关键方法和选项来利用现有的 IT 资产并通过 SOA 接口加以重用,还将介绍如何为新的和现有的资产构建服务,以确保它们可以用于未来的 SOA 工作。本文描述了如何使用“面向服务的体系结构中的服务创建场景”的实现模式来解决与该案例研究相关的业务和 IT 挑战。
本系列文章的第 3 部分:本文中的案例研究重点说明与开立新帐户服务的连接性相关的挑战和解决方案。其中描述如何使用“SOA 中的服务连接性场景”的实现模式来解决与该案例研究相关的业务和 IT 挑战。
本系列文章的第 4 部分:本文中的案例研究重点说明与开立新帐户的业务流程相关的挑战和解决方案,主要向您讲解了如何通过各种 IBM 工具来解决相关的业务流程问题。
本系列文章的第 5 部分:本文描述了如何使用交互与协作服务 SOA 场景的实现和解决方案模式来解决与该案例研究相关的业务和 IT 挑战。
本系列文章的第 6 部分:本文中的案例研究重点说明在具有 SOA 服务接口的 JKHLE 中与公开信息相关的挑战和解决方案。通过本文的学习您将了解到可以通过许多不同的模式实现企业中数据信息的统一访问、验证和清理等功能。
本系列文章的第 7 部分:本文描述了如何使用 IBM 的相关业务流程管理软件和方法,来解决与该案例研究相关的业务和 IT 挑战。
本系列文章的第 8 部分:本文通过使用RUP,SOMA 等技术以及Rational Software Architect 之类的工具来实现 SOA 的设计,其中会涉及如服务的实现、业务的转换等方面的内容。
IBM developerWorksSOA and Web services 专区 提供了大量的文章,以及关于如何开发 Web 服务应用程序的初级、中级和高级教程。
使用IBM SOA Sandbox 进行试验!通过 IBM SOA 进行实际的亲手实践来提高您的 SOA 技能。
IBM SOA 网站 提供 SOA 的概述,并介绍 IBM 是如何帮助您实现 SOA 的。
了解关于developerWorks 技术事件和网络广播 的最新消息。请特别关注以下 SOA 和 Web 服务技术讲座:Building SOA solutions and managing the service lifecycle
SCA/SDO: To drive the next generation of SOA
访问Safari 书店 ,浏览有关这些技术主题以及其他方面的书籍。
SOA 案例研究:安全性和管理场景
SOA 案例研究,第 3 部分:服务连接场景
SOA 案例研究,第 4 部分:业务流程场景
SOA 案例研究,第 4 部分:业务流程场景
SOA 案例研究,第 3 部分:服务连接场景
SOA 案例研究:SOA 设计
SOA安全性:牢记认证和访问控制管理_SOA安全性:牢记认证和访问控制管理_Web服务评论...
案例:SOA成就最佳项目管理平台
SOA 案例研究,第 6 部分:将信息作为服务
SOA 案例研究,第 2 部分: 服务创建
SOA 案例研究,第 1 部分:项目启动
SOA 案例研究,第 1 部分:项目启动
IBM 内的 SOA 应用,第 1 部分: SOA 案例研究
IBM 内的 SOA 应用,第 1 部分: SOA 案例研究
场景管理
IBM内部的SOA案例研究(一) | ERPWorld.net-信息推动产业
MyBlogLog案例研究:产品递进和widget
MyBlogLog案例研究:产品递进和widget
MyBlogLog案例研究:产品递进和widget
认真研究导学案场景。
SOA和性能、安全
SOA背后的管理哲学
SOA背后的管理哲学
SOA背后的管理哲学