IBM Maximo 应用程序套件是一个强大的资产管理平台，在组织中部署 Maximo 时，安全应始终是重中之重。安全的一个关键要素是为您的 Maximo 实例选择正确的身份验证机制。Maximo 支持多种类型的身份验证，最佳选择取决于您组织的需求、基础设施和安全策略。在本博客中，我们将探讨 Maximo 中可用的身份验证类型、它们的优缺点以及对管理员的有用提示。

Maximo 中的身份验证类型

Maximo 提供多种身份验证方法，可以根据企业的安全模型进行配置。Maximo 支持的三种身份验证类型是：

1. Maximo 本机或本地身份验证
2. LDAP（轻量级目录访问协议）身份验证
3. SAML（安全断言标记语言）身份验证

让我们深入了解一下每一个。

Maximo 本机或本地身份验证

Maximo 本机身份验证是默认的身份验证方法，用户凭据直接存储在 Maximo 的数据库中。登录时，用户直接向 Maximo 提供用户名和密码，系统会根据 Maximo 数据库中的加密值对其进行验证。

优点：

• 简单：它易于配置，不需要与外部系统集成。
• 控制：管理员可以在逐个系统层面完全控制用户凭据和密码策略。
• 最低限度设置：非常适合用户群有限的小型环境。

缺点：

• 可扩展性有限：随着用户数量的增长，在每个 Maximo 中管理证书变得很麻烦。
• 冗余：如果组织中的其他系统使用 LDAP 或其他身份验证服务，则会引入冗余。
• 安全：在 Maximo 中存储凭据可能会带来安全风险，尤其是对于首选单点登录 (SSO) 和多因素身份验证支持的大规模部署而言。

管理员提示：

• 在 Maximo 中配置强密码策略以降低安全风险。
• 定期审核用户，确保访问权限仅限于有需要的人。
• 可以轻松地为一次性用例设置演示、测试和 QA 用户。

LDAP 身份验证

LDAP（轻型目录访问协议）是一种广泛使用的身份验证方法，它将 Maximo 与微软 Active Directory 或 Open LDAP 等外部目录服务集成在一起。使用 LDAP，Maximo 将用户身份验证委托给外部服务，而不是在本地管理用户。登录时，用户直接向 Maximo 提供用户名和密码，系统会根据外部目录服务进行验证。

优点：

• 集中式用户管理：用户存储和管理在中央目录服务（如 Active Directory）中，这使其更易于维护和扩展。
• 单点登录 (SSO)：支持 SSO，减少了用户需要记住的凭证数量。
• 提高了安全性：降低了在 Maximo 中存储凭据的风险，因为身份验证是在应用程序外部进行的。

缺点：

• 复杂性：配置 LDAP 与 Maximo 的集成可能更加复杂，可能需要目录服务方面的专业知识。
• 可靠性：如果 LDAP 服务器出现故障，用户可能无法进行身份验证，因此 LDAP 设置中的冗余至关重要。
• 网络接入: Maximo 必须有权访问 LDAP 服务器。如果 Maximo 在云中，则必须将 LDAP 服务器暴露给互联网或通过 VPN 启用连接。
• 控制：Maximo 管理员通常无权在外部目录中创建新用户，从而对另一个团队产生依赖关系。
• 多因素： LDAP 不支持多因素身份验证。

管理员提示：

• 确保您的 LDAP 目录高度可用，以避免身份验证问题。
• 使用 LDAP 过滤器根据群组或角色限制访问权限，以提高安全性。
• LDAP 连接允许使用开箱即用的 LDAP 同步进程。
• 链接到 IBM 配置指南： https://www.ibm.com/docs/en/masv-and-l/continuous-delivery?topic=methods-configuring-ldap-authentication

SAML 身份验证

SAML（安全断言标记语言）是一种基于 XML 的开放标准，用于传输身份数据。SAML 允许联合身份验证，这意味着 Maximo 可以将身份验证委托给第三方身份提供商 (IdP)，例如 Okta 或 Azure Active Directory。身份验证后，IdP 会向 Maximo 发送签名的 SAML 断言，后者授予用户访问权限。登录时，用户被重定向到 IdP 进行身份验证，经过身份验证后，他们将作为经过身份验证的用户重定向回 Maximo。

优点：

• 单点登录 (SSO)：SAML 启用 SSO，允许用户使用一组凭据访问 Maximo 以及其他企业应用程序。
• 联合身份验证：允许 Maximo 与企业级身份提供商集成，在多个系统上提供无缝的身份验证体验。
• 增强的安全性：身份验证委托给 IdP，它可以实施更强大的集中式安全措施，例如多因素身份验证 (MFA)。
• 网络接入: Maximo 不需要像 LDAP 那样直接访问 IdP。

缺点：

• 复杂配置：SAML 设置需要同时配置 Maximo 和 IdP，这对于不熟悉 SSO 协议的管理员来说可能是一项挑战。
• 对 IdP 的依赖：如果 IdP 不可用，用户可能无法登录 Maximo。
• 第三方支持： 对 SAML 的支持越来越多，但并非所有方应用程序都支持 SAML。
• 控制：Maximo 管理员通常无权在 IdP 中创建新用户，从而对另一个团队产生依赖关系。

管理员提示：

• 自动重定向可以带来无缝的用户体验，但也可能难以进行故障排除。像 SAML-Tracer 这样的浏览器扩展程序可以帮助提供清晰度。
• 设置备用身份验证方法，以防万一 IdP 关闭。这可能意味着向少数几个管理员授予在 MAS 中使用 Local 和 SAML 进行身份验证的权限。
• 链接到 IBM 配置指南： https://www.ibm.com/docs/en/masv-and-l/continuous-delivery?topic=methods-configuring-saml-authentication

选择哪种身份验证？

选择正确的身份验证方法取决于贵组织的需求和基础架构。以下是一些指导方针可以帮助您选择：

• 本机/本地身份验证是默认身份验证，它将使您获得最快的价值实现时间。这特别适用于小型团队和演示环境。
• LDAP 是一种被广泛接受的标准，得到大多数 IT 团队和派对产品的支持。本地环境可能需要网络接入，但云实施通常需要 VPN，这会带来风险、额外的依赖关系和潜在成本。
• SAML 是唯一支持多因素身份验证的身份验证。它也是一种广泛使用的标准，被大多数IT团队公认为最安全的身份验证方法。

Maximo 管理员应始终优先考虑安全和高效的用户管理实践。选择身份验证方法时，请务必规划可扩展性、安全性和易维护性。通过仔细选择适当的身份验证方法并对其进行正确配置，您可以确保所有 Maximo 用户获得安全和无缝的用户体验。

Maximo 应用程序套件的技术提示

多个身份验证源

MAS 允许管理员在逐个用户级别混合和匹配身份验证源。首先，必须配置身份验证源，然后可以启用或禁用每个用户在创建或编辑用户记录时可以使用的身份验证方法。

‍

默认登录行为

MAS 允许选择默认登录行为。可在 MAS 的用户应用程序的 “身份验证” 选项卡上访问此配置。在这里，您可以控制登录屏幕顶部可用的身份验证方法。如果您使用的是 SAML，也可以将用户路由到默认身份提供商进行身份验证，而不是套件登录页面。如果您确实配置了无缝登录，请务必记下您可能想要使用的任何其他身份验证方法的专用路由。如果您需要使用非 SAML 身份验证方法，这将是关键。

本地专用路线示例： https://auth.demo.maximo.app/idplogin/loginpage?idp=local
链接到 IBM 文档： https://www.ibm.com/docs/en/masv-and-l/continuous-delivery?topic=authentication-streamlined-login

‍

延长 SAML SUPERTIMETIME

在 MAS 中使用 SAML 时，你可能需要延长 http 会话超时和 ltpa 到期限时间。事实证明，整理出两篇 IBM 文章是成功的秘诀。

将以下其他属性添加到您的用户界面服务器包中：
‍<HttpSession CookieName= “jSessionIDUI” cookieSecure= “True”
InvalidateOnUthorized SessionRequestException= “true” InvalidationTimeout = “12H”
CookieSameSite= “LAX” />
<ltpa expiration="480" />

链接接入 IBM 文档：

https://www.ibm.com/support/pages/node/7116228
https://www.ibm.com/support/pages/updating-ltpa-timeout-manage‍