企業是如何使用Oracle技術來管理用戶身份的
如果企業內存在著多種身份的混亂狀態而令你苦惱的話那麼Tony Macedo有一個使你擺脫這種痛苦的良方他開發了一個基於Oracle的身份管理的服務器並希望把它提供給勞倫斯利弗莫爾國家實驗室(LLNL)的所有位董事這款服務器部署在Oracle應用服務器g上它利用Oracle單一登錄機制和Oracle互聯網目錄可以簡化那些安裝了它的董事以及與其相連的應用程序的身份管理
這個平台針對的是我們實驗室計算機安全性計劃部門為多名員工提供的非常分散的用戶賬戶數據身份標識和密碼Oracle應用服務器g基礎架構項目經理兼加州勞倫斯利弗莫爾國家實驗室的計算機科學家Macedo說道主要是想使各位董事擺脫管理用戶賬戶這樣一些瑣事並為那些與該平台集成的各應用程序提供單一登錄功能我們希望獲得一個通用的集中化的賬戶管理方案這樣我們就能夠輕松地說創建那個賬戶保留那個賬戶或撤銷那個賬戶因而實驗室的所有的業務或科學研究系統都會立即采用
身份管理的重要意義
Macedo的解決方案不愧是一場及時雨因為身份混亂 如今是企業的常見問題在很多機構中員工身份分散在幾十個應用程序中相互獨立彼此之間無法識別這種情況常常在雇傭的當天當人力資源部門將員工的資料輸入到HR系統中的時候就出現了此後當此位員工被允許訪問其他應用程序和服務的時候與此類似的過程將不斷重復由於針對每個賬戶所分配的角色和權限是形形色色的於是這種情況將變得越發復雜化這種角色劃分所造成的結果常常猶如一場惡夢不僅對於那些必須記住使用每個應用程序所需的ID號和密碼的員工來說是這樣的而且對於跟蹤和管理這些ID號和密碼的管理員來說也是如此
在企業和政府機構中這一問題處處皆是 Forrester研究公司負責安全問題的首席分析家Jonathan Penn說道身份管理的問題無所不在且形式多樣對於IT機構來說不僅存在著很多使其增加開支的大量冗余和效率低下的問題而且很難確保企業遵循安全性政策與要求此外更難開發和推廣能夠幫助企業更加敏捷更具快速響應能力的應用程序與服務
信息技術研究顧問服務與戰略咨詢的一流提供商Meta集團負責安全與風險戰略的副總裁Earl Perkins先生對此深表贊同同時他強調說企業和政府承擔著很大的壓力它們需要遵循州和聯邦政府關於管理身份信息的各種法令他所說的美國法令包括用於確保財務披露和會計的准確性的薩班斯奧克斯利法案醫療保險可移植性和責任法案(HIPAA)以及家庭教育權和隱私保護法案(FERPA)後兩個法案分別用於保護醫療保健和教育方面個人信息的私密性
這些法令的遵循取決於身份管理的定義身份管理通常是從旁觀者的角度來看待的 Oracle 公司首席安全官Mary Ann Davidson說道有些人會想到智能卡或生物測定學而另外一些人會想到單一登錄或目錄然而更廣義地說它是用於管理企業中針對人員和網絡實體的全面安全性與身份管理生命周期的所有處理方法和技術
身份管理生命周期中的管理步驟包括創建賬戶修改權限以及停止和取消無效的賬戶雖然應用程序用戶的身份管理是很多身份管理解決方案的重中之重但是身份管理還可能包括設備流程與應用程序以及在網絡環境中進行交互的一切事物
當談到身份管理技術的時候有兩個重要領域值得考慮Perkins補充說第一個就是身份管理基礎架構它提供基本認證授權目錄和集成服務第二個就是身份管理本身它提供用戶供給工作流(用於流程自動化)委托管理(包括自助式服務和密碼管理)以及審計日志和生成報告的功能等
目錄服務的部分功能通常是以層次結構的方式來創建和管理安全性及訪問政策該功能具有政策的繼承性Penn說道從創建全局性政策開始然後在此基礎上創建繼承全局屬性的地區或業務部門的政策這些政策比企業政策更加嚴格此外應用程序政策和用戶訪問規則還可能更加嚴格
通過Oracle軟件進行身份管理
Oracle在Oracle g身份管理基礎架構中提供了多種身份管理功能從而體現出現有版本較以往一些版本有了顯著改進Oracle g的發布使Oracle在身份管理的關鍵領域中邁出了重要的一步Oracle公司負責身份管理與安全產品的資深總監 Uppili Srinivasan說道作為知名的安全性產品的一流廠商我們充分利用自己年來積累的經驗和優勢力量致力將自己發展成為一家以安全解決方案而聞名於世的一流廠商而Oracle身份管理是這種努力成果的核心
Oracle身份管理作為Oracle應用服務器g和Oracle平台安全性體系結構的一部分來提供它為構建身份管理解決方案提供了一個堅實的基礎(請參閱《Oracle應用服務器g身份管理基礎架構》一文)其組件包括
Oracle互聯網目錄(OID)一種可伸縮的安全的目錄服務符合輕量級目錄訪問協議(LDAP)標准可用於存儲和管理用戶信息
Oracle目錄同步服務一個目錄集成平台使企業能夠將身份管理目錄與原有的或者特定的應用程序目錄連接起來
Oracle供給集成服務一個可以與企業供給系統(如人力資源應用程序)連接在一起或者以單獨的模式進行操作的供給框架
Oracle委托管理服務一個委托管理模型和應用程序使身份管理器的管理員能夠有選擇地代理某個應用程序管理員的管理訪問權限或者直接代理某個用戶管理訪問權限
Oracle應用服務器單一登錄(SSO)用戶認證的運行時模型
Oracle應用服務器證書授權用於創建和管理公共密鑰基礎架構(PKI)證書的系統
雖然Oracle應用服務器g是發布這套功能的主要承載工具但是Oracle身份管理也是所有Oracle產品和技術(包括Oracle數據庫Oracle協作套件和Oracle電子商務套件)的共享安全性基礎架構Oracle身份管理產品的管理總監Michael Mesaros說道它還可以作為一種通用的身份管理解決方案來支持那些集成在全企業身份管理部署過程中用戶編寫的和第三方企業的應用程序
Oracle合作伙伴也提供了一些具有多種功能的身份管理應用程序用於身份認證訪問控制和用戶管理等Oracle公司安全性與身份管理業務開發總監Milan Thanawala解釋道合作伙伴通過Oracle身份管理基礎架構進行確認以保證其產品與該基礎架構能很好地協同工作
安全的身份管理與可用性
Oracle身份管理基礎架構吸引了很多公司的注意因為它能滿足他們的實際需要例如總部在芝加哥的Archipelago Holdings LLC公司是群島交易所(ArcaEx)美國首個開放式的全電子化股票交易所的創建者在這個交易所裡客戶可以公開買賣所有在納斯達克美國證券交易所太平洋股票交易所及中央交易所上市的股票為客戶提供最佳信息是Archipelago 努力的目標之一為此它開發了一個稱作ArcaVision 的Web應用系統用來為參加交易的客戶提供及時的市場信息證券發行商和交易商的市場交易行情在該應用程序的開發過程中Archipelago Holdings公司的IT小組確定公司需要為這些用戶提供一個單一登錄的解決方案以及一種能夠集中管理針對其用戶的所有認證和訪問控制功能的方式
由於重點考慮的是投放市場的時間問題該公司決定購買一套完全由Oracle軟件構成的解決方案通過使用Oraclei數據庫Oraclei應用服務器Oracle單一登錄和Oracle互聯網目錄及Oracle 應用服務器中的JEE軟件Archipelago Holdings公司的IT小組能夠為該公司內部和外部ArcaVision用戶提供一種基於由Archipelago客戶賬戶小組授權的角色和訪問權限的Web單一登錄訪問方式
我們之所以決定部署一個完全由Oracle軟件構成的系統是因為我們希望讓一個廠家對所有組件負責這種方式提供了一個緊密集成的解決方案有助於縮短開發周期避免了廠商之間互相推委的現象Archipelago公司數據庫操作執行董事Steve Hirsch說由於我們知道Oracle數據庫Oracle應用服務器Oracle互聯網目錄及Oracle單一登錄能夠輕松地協同工作與其他方案相比采用這種方案使我們縮短了產品投放市場的時間實施起來更輕松
ArcaVision的用戶群中包括那些能夠通過互聯網訪問該計劃所有特性的人們員工和交易商系統中構建的訪問控制功能不僅能夠控制用戶的權限而且能夠改進最終數據的質量因此用戶可以根據業務關系和用戶簡檔獲得定制的報告這些報告為他們提供所需要的准確信息借助OID中的認證信息我們能夠知道誰登錄到該網站這確實讓我們收益良多Hirsch解釋說
ArcaVision已正常運行一年多了Archipelago IT小組還在不斷增添新的功能這個應用程序最初是部署給內部用戶使用的但是目前已經擴展到其外部用戶使用Hirsch說道 一旦賬戶管理器提供給了用戶這些用戶就可以只登錄一次即可訪問網站上所有允許訪問的內容而無需再次登錄
Oracle身份管理基礎架構
分布式身份管理
Oracle身份管理解決的另一個實際問題涉及機構的發展與演變的方式一般來說隨著機構的發展和合並或者購並新的公司其系統和應用程序會變得更加分散和多樣勞倫斯利弗莫爾國家實驗室便是如此LLNL與其他大型機構很相似用戶的身份遍布多個應用程序和部門需要用戶多次登錄並保持多種用戶姓名和密碼來進行日常業務工作為了解決這一問題LLNL的管理信息服務部門(AIS)部署了一個集中化的 Oracle g 身份管理實例為那些與連接到該系統的所有應用程序及整個個董事會成員使用的分布式身份管理體系結構提供單一登錄功能
LLNL的Macedo解釋說開始實施這個項目的時候我們詢問了一些重要問題在你的IT機構高度分散的情況下如何實施集中式的單一登錄方案?如何在支持集中化的SSO方案的同時提供基礎架構的自治功能?我們的答案是以Oracle單一登錄Oracle應用服務器g及Oracle互聯網目錄為中心來構建自己的系統並將系統設計成一個高度可用的平台提供給各個董事會該系統從中央計算機安全計劃(CSP)機構獲得用戶賬戶和密碼信息然後通過身份管理平台將這些信息分發到所有參與該系統的應用程序這就意味著將我們的董事會納入到一個全企業范圍的身份管理基礎架構中這是我們向終極目標邁進的第一步我們的最終目標是為LLNL的所有機構和員工提供一個統一的身份管理解決方案
公司簡介
Archipelago Holdings LLC
Archipelago Holdings LLC的總部位於芝加哥它是群島交易所美國首家開放式全電子化股票交易所的大本營群島交易所創立於 年客戶可以在此公開買賣所有在納斯達克美國證券交易所太平洋股票交易所及中央交易所上市的股票ArcaVision交易與市場信息應用系統利用 Oracle身份管理基礎架構提供單一登錄機制和用戶賬戶管理
所使用的Oracle產品Oraclei數據庫Oraclei應用服務器Oracle單一登錄Oracle 互聯網目錄Oracle應用服務器中的JEE軟件以及 Oracle真正應用集群
勞倫斯利弗莫爾國家實驗室
勞倫斯利弗莫爾國家實驗室(LLNL)位於加州利弗莫爾市它是美國能源部的一個重點實驗室由加利福尼亞大學進行管理 該實驗室的使命就是利用科學與技術為國家造福其重點領域是全球安全性全球生態系統及生物科學為了解決身份分散問題LLNL設計了一個Oracle g身份管理服務器來為連接到該系統以及部署給個董事會成員的分布式身份管理體系結構的所有應用程序提供單一登錄功能
所使用的Oracle產品Oracle應用服務器g Oracle單一登錄Oracle應用服務器門戶和Oracle互聯網目錄
金門大學
金門大學(GGU)成立於年位於舊金山它是加州第五大私立大學設有本科及研究生課程專業涉及商務和管理信息技術稅務及法律GGU正在開發全校范圍內的身份管理基礎架構將包括支持托管的Oracle電子商務套件應用系統和本校開發的應用系統的Oracle身份管理基礎架構
所使用的Oracle產品Oracle應用服務器g Oracle單一登錄 Oracle互聯網目錄Microsoft活動目錄代理Oracle電子商務套件和Oracle在線系統
這種模式具有一系列優點所有Oracle應用服務器服務的自主管理自動同步OID和用來解決與區域分散相關的問題的完善SSO性能然而其缺點是LLNL沒有獲得真正的全球化SSO而SSO能夠使一個用戶在跨越訪問不同的SSO 領域時不必多次登錄雖然如此與目前現有的情況相比也有很大的進步現在面對的是用戶登錄多種應用系統的混亂狀態 Macedo說我們的目標是擁有一套用於基礎架構服務的高度可用的解決方案我們打算不僅將其用作CSP來推動ID而且將其作為所有生產用的應用程序服務器實例的元數據存儲庫來使用
本年度後期當全面部署這個平台的時候AIS將把Oracle的 SSO作為其 Live Link 文檔管理系統的前端它還將把Oracle應用服務器門戶連接到實驗室的中央Web內容管理方案中在此用戶可以訪問標准的Web內容文檔PDF文件圖表等等
其他用於快速遷移的可供選擇的應用系統還包括我們使用得最頻繁的考勤卡輸入系統以及一個集成的工作表系統該系統納入了實驗室高度機密性工作的所有流程和過程Macedo說 我們對這套解決方案很滿意但是我們仍然在努力實現一種神聖的統一的單一登錄模式我們知道Oracle正在研發這種模式它會使我們的各董事會成員們運行自己的身份管理基礎架構但是他們將利用我們的CSP的SSO而且不需要增加現有成本
一個ID環境
有些企業不僅需要應付各種異構型系統集和應用程序的問題而且很多諸如加州第五大私立大學金門大學(GGU)這樣的機構還要應付不同的和不斷變化的用戶群的問題GGU的用戶群涵蓋了將近多個不同的用戶群體作為簡化大學身份管理同時也為學生教職員工和其他用戶提供更好的用戶體驗的一部分該大學的中央IT部門正在提供一種全院范圍內的身份管理戰略其中包括實施Oracle身份管理基礎架構在與種Oracle托管的Oracle電子商務套件應用程序相連的條件下該套解決方案將提供一個目錄集成和單一登錄層作為中介器來處理全部學術和商務應用程序及連接美國西部三個數據中心的各種基礎架構組件所需的身份信息
我們的身份管理目標之一就是通過一個網站門戶為我們的企業應用程序和數據創建一個集成式輸入點所以單一登錄對我們很重要除了我們的員工以外我們還需要將其推廣到其他用戶GGU 首席技術官Anthony Hill說我們還將基於角色的個性化特性構建到網站中這樣便能夠基於員工的角色為他們創建個性化的工作區身份信息源仍然是該應用系統但是身份數據將需要整合並將整合後的數據提供Oracle互聯網Novell公司的eDirectory及微軟的活動目錄使用從而創建一個中心輻射型模式來簡化整個GGU的身份管理我們希望減少為了重新設置密碼而打入服務中心的電話數量這種電話會消耗服務中心%的時間我們也希望重新安排這些資源去支持新的技術並提供更加有效的技術支持
Hill強調了全企業進行自動資源供給的需要不僅針對核心應用系統而且針對網站和很多基礎架構應用系統包括網絡訪問消息傳遞學術系統和學生項目環境等盡管多數系統和應用程序將被設置成自動供給但是有些賬戶還將使用自助與人工供給相結合的方式
GGU所面臨的一大挑戰將是內部與外部環境相結合的問題利用奧斯汀和得克薩斯數據中心(ERP基礎架構就設置在那裡)的各種Oracle技術以及GGU大學自己開發的應用程序同時利用該身份管理基礎架構
在GGU我們的身份管理系統面臨著一些獨特的挑戰這是你在美國其他企業中很少會遇到的因為我們需要維護的系統較多且學生用戶群的變動性很大此外隨著時間的推移每個身份所擔當的各個角色不斷變化Hill說一個個體可以是一名學生員工教員並且還可能是一名畢業生因此為了滿足這種復雜情況的需要我們的解決方案最終將把最佳品牌的身份管理工具集與Oracle身份管理平台結合起來
下一步
閱讀更多有關Oracle身份管理的資料
通過范例來了解Oracle身份管理
下載Oracle應用服務器g
即將到來的改進和功能增強
Oracle身份管理是一種不斷發展的基礎架構它的每個組件都是為了不久以後的發展而按計劃進行了改進和提高本年度後期將對三個領域進行改進並增添一些新的功能該平台將提供
應用服務器座席使Oracle單一登錄機制更加適合於不同企業應用程序的環境
用戶供給工具集包括一個Web用戶供給控制台一個工作流組件一套服務供給標志語言與供給連接器以及一套目錄連接器該連接器將把OID連接擴展到 Novell Nsure(電子目錄)和OpenLDAP目錄
一套基於標准的用於統一的SSO供給和分散及單一注銷的技術集
隨著我們不斷提供這些增強的功能我們的總體目標更加清晰了Oracle公司的Mesaros總結道我們正在逐步擴展我們的基礎架構以便更有效地處理分布式企業和企業間的身份管理設施同時Oracle g身份管理提供了一種更加強勁的基礎來滿足當今復雜的身份管理需要
身份管理方面的Oracle合作伙伴
雖然Oracle身份管理作為一種綜合性的身份管理基礎架構而設計的但是Oracle認為第三方應用程序和工具集也是需要的為此Oracle鼓勵身份管理領域的獨立軟件廠商開發兼容的產品
我們與合作伙伴們合作利用Oracle產品幫助他們驗證自己的產品並提供技術支持和資源從而幫助他們以最有效的方式將其產品與Oracle產品集成Oracle公司安全與身份管理業務發展總監Milan Thanawala說道一般的安全性與特殊的身份管理是我們關注的重要領域
以下是一些Oracle身份管理合作伙伴的例子
虛擬專用網絡/負載平衡器/防火牆認證
F Networks公司
BIGIP FireGuard 提供了防火牆負載平衡功能高可用性和最高的安全性
NetScaler公司
NetScaler Series保護並優化基於Web的或客戶機/服務器應用系統傳輸的數據
Radware公司
提供多層企業安全解決方案
生物測定
Biokey國際公司
通過指紋識別來提供用於Oracle應用系統的安全單一登錄功能
AVision公司
利用對象識別與驗證技術來對進入一些公共場所的人們進行控制
Iridian Technologies公司
生產虹膜識別軟件
標記/智能卡
ActivCard公司
提供了一個處理卡和證書的智能卡以及卡管理系統
RSA安全公司
生產處理發布前和發布後的小應用程序的基於Java的智能芯片和數字化證書
Secure Computing公司
生產功能強大的認證系統用於定制網絡認證
具有高保障的CA服務
RSA安全公司
開發用於管理數字證書和提供一種經過認證的私有的符合法律規定的電子通信與交易環境的軟件
Entrust公司
開發能夠幫助你集中管理用於多種Web服務器的SSL認證部署的軟件
訪問控制
Web授權
RSA安全公司
RSA的產品使企業能夠集中管理用戶身份認證政策和用戶權限
Netegrity公司
提供與 Oracle單一登錄協同工作的軟件使客戶能夠提供企業范圍內的單一登錄環境
Oblix公司
Oblix CoreID 與Oracle單一登錄一起擴展了所有基於Web的應用程序的身份管理功能
企業應用系統單一登錄
Evidian公司
Evidian SSO Xpress將單一登錄擴展到了Windows環境中的所有應用系統
Passlogix公司
vGO SSO為WindowsWebJavaUnix和專有應用程序提供了通用的單一登錄功能
用戶管理
用戶供給
Thor Technologies公司
提供了一個用於管理訪問企業應用程序和受控制的系統的供給系統
Courion公司
提供了一個自動化的賬戶供給和用戶IS管理解決方案
Waveset公司 (Sun)
提供了自動安全地訪問Oracle資源的軟件
Computer Associates公司
提供了與Oracle g協同工作的管理安全性與實施的解決方案
密碼的同步
Courion公司
提供了自助式的密碼重設與同步解決方案
Blockade系統公司
提供了為網絡用戶實時傳送密碼和身份管理屬性的軟件
MTec公司
提供了具有透明的同步功能並可在一些精選類型的系統上擴展本地密碼管理的軟件
From:http://tw.wingwit.com/Article/program/Oracle/201311/18977.html
