企业身份管理产品解决方案

1、 Oracle 企业身份管理产品解决方案Oracles Identity Management Suite企业的IT现状2 企业账户存储在哪里 帐户生命周期如何管理 不同应用之间账户及角 色如何供应 门户如何与其他应用进行认证、授权和SSO的集成 账户行为如何审计问题#1：管理用户和职责3采用手工创建用户帐户和授权企业应用中的职责，高成本；内部调动难以处理，其相应权限的调整不能及时处理；申请一个新的职责，人工操作，费时耗力；需人工完成访问批准，用email驱动，每个职责的批准不唯一，而且不能审计为什么访问被授权；在终止时移除访问和职责要花费太长时间，且有很多细微问题难以全部解决12345问题#

2、2：访问和密码管理412345想用SSO或用户的AD密码来使访问企业应用变得更简单；企业应用用户忘记了密码，需要一种方式让他们重设密码；想要使用SSO，但必须确保能了解用户是谁并防止欺骗行为；想将企业应用对外显示给web和VPN上所有用户，但缺乏信任；需要对企业应用应用数据进行严密的访问控制 (在用户界面和数据库层)5Oracle 身份管理套件身份管理访问管理目录服务审计&合规套件管理Identity Management SuiteEnterprise Manager IDM Pack“身份管理2.0”核心平台 Identity Manager Internet DirectoryAuthe

3、ntication Servicefor OS Role Manager Adaptive Access Manager Entitlement ServerWeb Services Manager Virtual Directory Identity FederationEnterprise Single Sign-On Access Manager身份管理 本身是一个广泛的功能区，包括各种活动，如用户和组管理、自助服务、委托管理和审批工作流。这些功能通常由供应和企业角色管理技术实现。如果将目录服务看作存储身份数据的功能层，则可以将身份管理看作管理身份数据完整生命周期的区域。我们创建并管理规

4、则和工作流以自动化各种应用程序中用户身份及其相关权限的创建、删除或更改流程。此外，组织内个人不断变化的角色或其相关事物可动态触发这些规则和工作流。虽然自动化是使我们免去手动流程的主要优势，但是我们仍需为个人提供账户自助服务功能，并将他们的某些职责委托给组织内其他人。访问管理 是控制用户访问企业资源、管理企业应用程序权限和精细授权、预先防止欺诈活动并增强验证安全性，以及跨组织联合身份和用户会话的区域。身份管理是对身份数据的生命周期进行管理，而访问管理是门口的警卫，根据不断变化的政策组合确定哪些用户在何时可以访问哪些信息。目录服务 是多数身份管理平台的主要构成部分。此基础层由 LDAP 目录本身构

5、成，存储包括用户名和密码在内的用户身份数据。多数企业应用程序使用存储在 LDAP 目录中的数据。因为组织通常拥有多个企业应用程序，因此您通常会发现他们也拥有多个目录。随着时间的推移，身份数据会广泛分布于整个企业。此外，企业应用程序经常需要存储在多个目录中的数据。要消除这样的分布式数据，开发组织可采取的一种方法是使用元目录服务，这种服务允许在目录之间同步数据。另一种方法是使用虚拟目录，这种目录提供单一的目录视图供应用程序使用，同时从多个其他目录中引入数据，而无需进行同步。三大功能区67Oracle 身份管理套件身份管理访问管理目录服务审计&合规套件管理Identity Management Su

6、iteEnterprise Manager IDM Pack“身份管理2.0”核心平台 Identity Manager Internet DirectoryAuthentication Servicefor OS Role Manager Adaptive Access Manager Entitlement ServerWeb Services Manager Virtual Directory Identity FederationEnterprise Single Sign-On Access ManagerOracle Role Manager（Oracle 角色管理器）Oracle

7、 角色管理器是权威的角色管理解决方案，使用可扩展的 J2EE 体系结构构建。Oracle 角色管理器为企业角色生命周期管理、多维组织和关系管理提供全面的功能集。通过使用角色来抽取资源和权限，Oracle 角色管理器使业务用户可以根据业务策略定义用户访问权限，并可以在业务条款中审核用户的访问权限。通过将业务用户纳入身份管理流程，Oracle 角色管理器为身份相关的安全性和合规性流程提供了可扩展性。Oracle Identity Manager（Oracle 身份管理器）Oracle 身份管理器是高度灵活和可扩展的企业身份管理系统，可以集中控制用户账户的生命周期和企业内部资源的访问权限。Oracl

8、e 身份管理器可与最常见部署的企业应用程序和基础架构技术进行随取随用集成。此外，身份管理器还随附一个图形工具，允许您与其他应用程序集成，在可能需要与自有技术集成的情况下，不能进行随取随用集成。身份管理89Oracle 身份管理套件身份管理访问管理目录服务审计&合规套件管理Identity Management SuiteEnterprise Manager IDM Pack“身份管理2.0”核心平台 Identity FederationEnterprise Single Sign-On Access Manager Identity Manager Internet DirectoryAut

9、hentication Servicefor OS Role Manager Adaptive Access Manager Entitlement ServerWeb Services Manager Virtual DirectoryOracle Adaptive Access Manager （Oracle 自适应访问管理器）Oracle 自适应访问管理器通过强大的多因素身份验证安全性（可根据用户操作环境以及前瞻、实时的欺诈防护进行动态调整）为业务及其客户提供强有力的保护。Oracle 自适应访问管理器为在线应用程序提供无需设备的强大的相互身份验证。Oracle 自适应访问管理器还在事务

10、处理的多个点上提供实时风险评级以识别潜在欺诈。Oracle Entitlement Server （Oracle 授权服务器）成功满足了控制访问管理的需求后，更多的企业开始寻求对应用程序本身内嵌的精细授权策略的集中化管理。新标准使其可以跨供应商环境而实现。Oracle 授权服务器通过提供跨企业应用程序的、集中的、基于标准的策略管理和分布式策略执行实现了更安全的企业环境、提高了管理的简便性、统一了策略执行并且改进了合规性。Oracle Web Services Manager （Oracle Web 服务管理器）全球公司正在内联网和外联网环境中积极实施面向服务的体系结构 (SOA)。虽然 SOA

11、 和当前的备选方案相比拥有诸多优势，但是部署 Web 服务网络仍然是关键的挑战，尤其是在安全性和管理方面。Oracle 通过称为 Oracle Web 服务管理器的基于标准的解决方案来应对 SOA 安全性和管理挑战。Oracle Web 服务管理器是 J2EE 应用程序，为在异构环境中定义和实施 Web 服务安全性而设计，它提供了在服务级别协议基础上管理 Web 服务的工具，并允许用户以图表形式监视运行时活动。Oracle Web 服务管理器可由开发人员在开发时用于测试各项 Web 服务的安全性，或由系统管理员在生产环境中利用身份管理基础架构来实施符合公司需求的安全性。访问管理110Oracl

12、e Access Manager（Oracle 访问管理器）Oracle 访问管理器通过集成了身份验证、Web 一次性登录以及访问策略创建和执行的基于标准的解决方案为异构环境提供可扩展的访问控制。Oracle 访问管理器支持所有主要的 Web 服务器、应用服务器和目录服务器。它有助于确保 Web、J2EE 和企业应用程序的安全性，同时降低成本、复杂性和管理负担。Oracle Identity Federation （Oracle 身份联合）构建跨公司边界的联合用户社区代表着企业实施客户产品交叉销售策略、简化供应商访问外联网应用程序操作，以及快速响应合并和并购等组织变化的时机。Oracle 身份

13、联合通过实施基于标准的 Web 技术的多协议联合服务器使这些类型的交互成为可能。Oracle 身份联合使企业能够跨安全边界安全地链接账户和身份，而无需使用中央用户信息库或同步数据存储。Oracle 身份联合为供应商、客户和业务合作伙伴提供了可互操作的方式来实施跨域一次性登录，而无需管理和维护其身份和证书的成本。Oracle Enterprise Single Sign-On （Oracle 企业一次性登录）Oracle 企业一次性登录为用户实现了跨所有企业资源（包括桌面、客户端服务器、定制和基于主机的大机应用程序）的统一登录和身份验证。用户可使用单个证书（如用户名/密码、智能卡或生物设备）验证

14、身份一次，然后即可安全地访问所有的企业应用程序，而无需再次登录。访问管理21112Oracle 身份管理套件身份管理访问管理目录服务审计&合规套件管理Identity Management SuiteEnterprise Manager IDM Pack“身份管理2.0”核心平台 Identity Manager Internet DirectoryAuthentication Servicefor OS Role Manager Adaptive Access Manager Entitlement ServerWeb Services Manager Virtual Directory I

15、dentity FederationEnterprise Single Sign-On Access ManagerOracle Authentication Service for OS（ Oracle 操作系统验证服务）大多数企业组织都广泛部署了 Unix 和 Linux 服务器，并且这些服务器通常存储公司的敏感数据。这些系统各自均可提供自有的本地账户管理功能，但是会因为应用不一致的安全策略而导致管理挑战，其中最严重的就是潜在安全漏洞。Oracle 操作系统验证服务可为这些 Linux 和 Unix 环境提供集中、安全且无缝的用户身份验证基础架构。现在，如果有真正的端到端安全性服务，则可集

16、中管理、执行和审计对操作系统的访问。Oracle Virtual Directory （ Oracle 虚拟目录）Oracle 虚拟目录是灵活和安全的服务，用于将应用程序连接至现有用户身份（如目录和数据库），而无需更改基础架构或应用程序。客户可选择Oracle 虚拟目录加速对支持目录应用程序（如门户和一次性登录系统SSO）的部署。更具体的说，Oracle 虚拟目录允许客户围绕统一多个目录的需求解决特定问题、允许 LDAP 访问数据库或其他专用身份数据存储、改进目录服务器可扩展性，并提供增强的安全性。最后，Oracle 虚拟目录提高了身份数据（不管存储在何处）的可重用性，从而减少管理和集成成本。

17、Oracle Internet Directory （ Oracle 互联网目录）Oracle 互联网目录是 LDAP 目录，它利用了 Oracle 数据库的可扩展性、高可用性和安全性功能。Oracle 互联网目录可用作 Oracle 身份管理部署的中央用户信息库，还可用作异构企业的高度可扩展的基于标准的目录。元目录功能是通过目录集成平台提供的，因此允许用户在 Oracle 互联网目录和其他第三方目录之间同步数据。目录服务1314Oracle 身份管理套件身份管理访问管理目录服务审计&合规套件管理Identity Management SuiteEnterprise Manager IDM P

18、ack“身份管理2.0”核心平台 Identity Manager Internet DirectoryAuthentication Servicefor OS Role Manager Adaptive Access Manager Entitlement ServerWeb Services Manager Virtual Directory Identity FederationEnterprise Single Sign-On Access ManagerOracle Internet Directory15Oracle Internet Directory16LDAP客户端LDAP

19、overSSLLDAP管理平台Oracle数据库OracleLDAP服务器Oracle网络连接基于标准LDAP v3与Oracle系统管理环境紧密集成伸缩性单个服务器上亿条用户条目成千并发client高可用性Multi master复制Oracle 热备份/恢复安全性基于访问控制列表(access control lists)的精密安全模型扩展性(Plug-in 框架)外部认证OID提供一个自助控制台Oracle Directory Services Manager (ODSM) ，它是一个基于 Oracle 的应用开发框架（ ADF ）为 OID（和 OVD）管理员提供了一个易于使用的管理工

20、具，包括用于搜索和管理目录中的用户数据，调优 OID，以及建立和配置 LDAP 复制的部署加速器。OID提供复杂的密码策略管理功能（例如，控制密码到期时间和密码长度）OID利用服务器端的高级缓存功能，为用户提供快速的目录搜索功能。OID基于Oracle数据库的数据存储，可以提供所有数据库的高级安全和可靠性支持目录集成可以实现集团统一身份存储和区域中心身份存储的两级目录集成。OID 包括一个目录集成平台 (DIP) 一组支持客户进行各种第三方数据源和 OID 目标之间数据同步的服务。此外，DIP 还使 OID 能够与第三方元目录解决方案进行互操作。DIP 包括可与 Oracle E-Busine

21、ss Human Resources、Oracle 数据库随时同步的连接器，以及用来与第三方 LDAP 服务器（如 Sun Java System Directory Server、Microsoft Active Directory 和 Active Directory Lightweight Directory Services(LDS)、Novell eDirectory、OpenLDAP 以及 11gR1 新支持的 IBM Tivoli）同步信息的连接器。Oracle Internet Directory1718Understanding OID in OFMODSM，部署在WebLo

22、gic Server上的Java组件，是OID和OVD的管理工具。Oracle WebLogic Server 管理控制台，能对ODSM、DIP的运行情况进行监控。19Oracle 身份管理套件身份管理访问管理目录服务审计&合规套件管理Identity Management SuiteEnterprise Manager IDM Pack“身份管理2.0”核心平台 Identity Manager Internet DirectoryAuthentication Servicefor OS Role Manager Adaptive Access Manager Entitlement Ser

23、verWeb Services Manager Virtual Directory Identity FederationEnterprise Single Sign-On Access Manager 统一认证OAM具有访问控制、单点登录和用户配置文件管理等重要功能，同时还具有这些功能间的相关审计报告访问管理和SSO 方面，OAM 提供了创建、管理和实施访问策略的主要功能 主要特点及功能1. OAM 是一个图形化工具，用于创建和管理访问策略、设置要保护的资源以及模拟用户访问以确保正确的策略功能性2. OAM 提供了一个插件API，用于集成各种身份验证方法和设备。它可以灵活支持智能卡或CA证书

24、认证。通过该插件API，客户可以扩展OAM 以支持几乎任何可能的身份验证形式，其中包括生物特征识别和双因素身份验证3. 最具灵活性和可伸缩性的委托管理功能4. 动态组管理、用户自助服务/自注册、审计报告5. 开箱即用的集成代理Web GateOracle Access Manager2021Oracle Access Manager-什么是单点登录 单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统，他是伴随着企业应用集成（EAI, Enterprise App

25、lication Integration）的发展而出现的技术。 单点登录的技术实现机制： 当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份效验，如果通过效验，应该返回给用户一个认证的凭据ticket；用户再访问别的应用的时候，就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行效验，检查ticket的合法性。如果通过效验，用户就可以在不用再次登录的情况下访问应用系统2及其他的系统。 要实现SSO需要以下几个功能： 所有应用系统共享一个身份认证系统； 所有应用系统能够识别和提

26、取ticket信息； 应用系统能够识别已经登录过的用户，能自动判断当前用户是否登录过，从而完成单点登录的功能 其中，统一的身份认证系统最重要，认证系统的主要功能是将用户的登录信息和用户信息库相比较，对用户进行登录认证；认证成功后，认证系统应该生成统一的认证标志（ticket），返还给用户。另外，认证系统还应该对ticket进行效验，判断其有效性。整个系统可以存在两个以上的认证服务器，这些服务器甚至可以是不同的产品。认证服务器之间要通过标准的通讯协议，互相交换认证信息，就能完成更高级别的单点登录。22Oracle Access Manager-Oracle的单点登录解决方案 Oracle单点登录

27、的解决方案主要通过身份管理套件IDM（Identity Management）来实现，其中的组件包括OAM，OID，OVD，ORM，OIM，OIF等，这些组件可根据项目需求进行合理的组合运用，以提供完善的身份管理解决方案，而单点登录主要运用其中的OAM组件（必需），可能会用到OID（推荐）或其他的组件。 下图即为Oracle的单点登录解决方案： 1）用户请求一个受WebGate保护的Web应用系统资源（WebGate作为一个组件，安装在应用系统的WEB服务器上，用于拦截用户的请求，WebGate目前主要有For Apache和For IIS等，所以对于某些系统来说可能没有对应的webgate，

28、这种情况我们往往采用Apache代理转发的方式来处理，即WebGate安装在Apache上，认证成功再转发到实际的应用系统）23Oracle Access Manager-Oracle的单点登录解决方案 2）WebGate拦截了用户的请求后，将请求转向Access Server，由Access Server来判断所访问的资源是否受保护，如果不受保护则可以直接浏览资源；如果资源受保护，则Access Server会检查用户是否已认证（通过检查ObSSOCookie来判断是否已认证），如果未认证，则转向认证中心进行认证（这里即OID）3）Access Server连接IDM对用户名/密码进行校验，

29、若校验成功则返回信息到WebGate，并生成一个加密的Cookie（ObSSOCookie）返回给认证成功的用户。4）如果认证成功，Access Server查找资源的访问策略，比较授权等级，来决定能否访问该资源。（目前所做的实施并没有在OAM进行授权配置，而是只配置认证，即OAM只做认证，不做授权）24Oracle Access Manager-Oracle的单点登录解决方案 OAM（Oracle Access Manager）IDM套件中负责访问管理的组件，是实现单点登录的核心组件，可以把理解为一个企业整个应用系统的“门”，所有受其“管控”的系统均要OAM中定义配置，以达到单点登录的效果。

30、 注：单点登录的实质思想是给所有要实现单点登录的系统提供一个统一且唯一的入口，这个入口常常只完成认证，即验证用户名/密码是否正确，而至于是否有权限访问某个系统是由其系统本身决定的，然后有的客户常常要求某某系统既可以单点登录，也可以使用此系统原有登录模式进行登录，从而使得单点登录提供的是一个统一的入口，但常常并非是唯一入口，而这个统一的入口往往是以门户的形式展现的，下图为金风科技门户的截图： 25Oracle Access Manager-单点登录实例 从目前实施的单点登录来看，我们接触的系统共分为如下三类： A、Oracle的 应用系统，如OAM（Identity Domain/Policy Manage），WebLogic（Console/EM），EBS，SES，BIEE等，这些系统均有单点登录的认证模块，都有较成熟的单点登录实现方案，配置即可。 B、外部系统，如金蝶K3 HR，E-learning，汉邦极通，UCenter，eDoc等，这些系统均会提供单点登录的API或接口，或结合OAM进行些客户化开发。 C、基于WebLogic Security的ADF应用，如WebCenter门户，此类应用可作为单点登录主入口（但要进行一定的客户化开发），但不能做为单点登录的一个应用。 26Oracle 身份管理套件