支持 Multi-tenancy 的 IBM DB2 Content Manager 解决方案的数据隔离

　　IBM DB2 Content Manager 凭借其极好的内容管理和流程管理的特性，被广泛的采用于企业解决方案中。Multi-tenancy 由于可以为企业节省资源，越来越受到企业解决方案的使用者和提供者的青睐。Multi-tenancy 环境中，客户组织（tenant）的数据不允许被共享，所以如何保护支持 Multi-tenancy 的 IBM DB2 Content Manager 解决方案中每个 tenant 的数据使其不能被其他 tenant 所访问，是至关重要的。

　　简介

　　IBM DB2 Content Manager

　　IBM DB2 Content Manager 提供了一个完整的解决方案来存储和检索任何格式的文档，用户可以根据自身的商业需要使用它来管理非结构化的文档，Content Manager 还提供了强大的数据管理能力和灵活的文档路由功能。除此之外，Content Manager 具有完善的数据保护能力，Content Manager 通过访问控制列表可以对资源进行访问控制以保证只有具有访问权限的用户可以对资源进行访问。这种数据保护能力极大的提高了 Content Manager 解决方案的数据安全性。

　　Multi-tenancy

　　Multi-tenancy 是一种软件体系结构，在这种体系结构中软件运行在 software as a service 服务商的服务器上，服务于多个客户组织即 tenant。Multi-tenancy 使每个客户组织都工作在一个为其定制好的虚拟软件或者解决方案实例中，并认为自己在独享环境。Multi-tenancy 与多软件实例体系结构不同，多软件实例结构拥有多个软件实例并且每个实例服务于一个客户组织，而 Multi-tenancy 结构是由一个软件实例为所有的客户组织提供服务。多软件实例结构物理上隔离客户组织的数据，而 Multi-tenancy 环境中的软件或者解决方案逻辑上隔离客户组织的数据和配置。

　　数据隔离

　　对于支持 Multi-tenancy 的企业解决方案，每个 tenant 并不会意识到其他 tenant 的存在，也就是说每个 tenant 都认为自己在独享系统中所有的资源，系统中的所有数据都属于自己。然而 Multi-tenancy 解决方案的各个 tenant 的数据是被存储在一起的，所以在 tenant 之间进行严谨的数据隔离，使各个 tenant 的数据不能相互访问是非常关键的。数据隔离失败或者不完全，解决方案中所有 tenant 的数据的安全性都可能受到影响，甚至会出现整个 Multi-tenancy 解决方案瘫痪的情况。

　　在采用 IBM DB2 Content Manager 的 Multi-tenancy 解决方案中，数据隔离主要分为两个层面，Content Manager 数据模型的隔离和 Content Manager 文档的隔离。只有分别完成这两个层面的隔离才能保证每个 tenant 的数据都被成功的隔离，任何一个层面的数据隔离的失败都会导致整个解决方案的数据隔离失败。

　　Content Manager 的数据隔离

　　IBM DB2 Content Manager 提供了大量的模型来帮助解决方案建立复杂和严谨的商业模型，同时也提供了大量的特性来对抽象模型和具体文档进行安全性的控制，Content Manager 的数据隔离就建立在对数据模型和文档的访问控制的基础上。凭借 Content Manager 提供的一些对模型和文档进行访问控制的特性，解决方案可以控制每个 tenant 只能访问属于自己的数据，从而成功的隔离 Multi-tenancy 环境中每个 tenant 的数据。

　　用于隔离数据的 Content Manager 特性

　　对模型进行访问控制，一些 Content Manager 特性是必不可少的，这些特性主要包括用户和用户组（user group），权限（privilege）和权限集（privilege set），访问控制列表（Access Control List，ACL）。凭借这些特性，Content Manager 可以严格的控制哪些资源可以被哪些用户访问，这保护了资源可以不被没有访问权限的用户访问，进而完成了数据隔离。

　　权限集

　　权限（privilege）是指某个特定的用户对特定的资源的访问权力，它决定着哪些用户可以访问系统中哪些资源，但是这些用户和资源分别是什么并不是由权限决定的。也就是说，权限是抽象的规则集合，只有为它指定了用户和资源的时候它才会变得具体起来，才能发挥作用。Content Manager 定义了许多权限来供用户选择和使用，例如添加和删除文档的权限，访问工作列表的权限等等。

　　权限集（privilege set），顾名思义是权限的集合，可以包含多个 Content Manager 权限。在商业解决方案中，用户很少只使用到一个权限或者很少只被一个权限所约束，绝大多数的用户都需要多个权限联合发挥作用来达到解决方案的要求。将用户所需要的权限放在一个权限集中，然后统一的赋予用户会提高权限赋予的效率并简化用户权限管理的复杂性。Content Manager 管理客户端提供了良好的操作界面来帮助用户将权限添加到权限集中，如图 1 所示。