企业是如何使用Oracle技术来管理用户身份的如果企业内存在着多种身份的混乱状态而令你苦恼的话那么Tony Macedo有一个使你摆脱这种痛苦的良方他开发了一个基于Oracle的身份管理的服务器并希望把它提供给劳伦斯利弗莫尔国家实验室(LLNL)的所有位董事这款服务器部署在Oracle应用服务器g上它利用Oracle单一登录机制和Oracle互联网目录可以简化那些安装了它的董事以及与其相连的应用程序的身份管理
这个平台针对的是我们实验室计算机安全性计划部门为多名员工提供的非常分散的用户账户数据身份标识和密码Oracle应用服务器g基础架构项目经理兼加州劳伦斯利弗莫尔国家实验室的计算机科学家Macedo说道主要是想使各位董事摆脱管理用户账户这样一些琐事并为那些与该平台集成的各应用程序提供单一登录功能我们希望获得一个通用的集中化的账户管理方案这样我们就能够轻松地说创建那个账户保留那个账户或撤销那个账户因而实验室的所有的业务或科学研究系统都会立即采用
身份管理的重要意义
Macedo的解决方案不愧是一场及时雨因为身份混乱 如今是企业的常见问题在很多机构中员工身份分散在几十个应用程序中相互独立彼此之间无法识别这种情况常常在雇佣的当天当人力资源部门将员工的资料输入到HR系统中的时候就出现了此后当此位员工被允许访问其他应用程序和服务的时候与此类似的过程将不断重复由于针对每个账户所分配的角色和权限是形形色色的于是这种情况将变得越发复杂化这种角色划分所造成的结果常常犹如一场恶梦不仅对于那些必须记住使用每个应用程序所需的ID号和密码的员工来说是这样的而且对于跟蹤和管理这些ID号和密码的管理员来说也是如此
在企业和政府机构中这一问题处处皆是 Forrester研究公司负责安全问题的首席分析家Jonathan Penn说道身份管理的问题无所不在且形式多样对于IT机构来说不仅存在着很多使其增加开支的大量冗余和效率低下的问题而且很难确保企业遵循安全性政策与要求此外更难开发和推广能够帮助企业更加敏捷更具快速响应能力的应用程序与服务
信息技术研究顾问服务与战略咨询的一流提供商Meta集团负责安全与风险战略的副总裁Earl Perkins先生对此深表赞同同时他强调说企业和政府承担着很大的压力它们需要遵循州和联邦政府关于管理身份信息的各种法令他所说的美国法令包括用于确保财务披露和会计的准确性的萨班斯奥克斯利法案医疗保险可移植性和责任法案(HIPAA)以及家庭教育权和隐私保护法案(FERPA)后两个法案分别用于保护医疗保健和教育方面个人信息的私密性
这些法令的遵循取决于身份管理的定义身份管理通常是从旁观者的角度来看待的 Oracle 公司首席安全官Mary Ann Davidson说道有些人会想到智能卡或生物测定学而另外一些人会想到单一登录或目录然而更广义地说它是用于管理企业中针对人员和网络实体的全面安全性与身份管理生命周期的所有处理方法和技术
身份管理生命周期中的管理步骤包括创建账户修改权限以及停止和取消无效的账户虽然应用程序用户的身份管理是很多身份管理解决方案的重中之重但是身份管理还可能包括设备流程与应用程序以及在网络环境中进行交互的一切事物
当谈到身份管理技术的时候有两个重要领域值得考虑Perkins补充说第一个就是身份管理基础架构它提供基本认证授权目录和集成服务第二个就是身份管理本身它提供用户供给工作流(用于流程自动化)委托管理(包括自助式服务和密码管理)以及审计日志和生成报告的功能等
目录服务的部分功能通常是以层次结构的方式来创建和管理安全性及访问政策该功能具有政策的继承性Penn说道从创建全局性政策开始然后在此基础上创建继承全局属性的地区或业务部门的政策这些政策比企业政策更加严格此外应用程序政策和用户访问规则还可能更加严格
通过Oracle软件进行身份管理
Oracle在Oracle g身份管理基础架构中提供了多种身份管理功能从而体现出现有版本较以往一些版本有了显着改进Oracle g的发布使Oracle在身份管理的关键领域中迈出了重要的一步Oracle公司负责身份管理与安全产品的资深总监 Uppili Srinivasan说道作为知名的安全性产品的一流厂商我们充分利用自己年来积累的经验和优势力量致力将自己发展成为一家以安全解决方案而闻名于世的一流厂商而Oracle身份管理是这种努力成果的核心
Oracle身份管理作为Oracle应用服务器g和Oracle平台安全性体系结构的一部分来提供它为构建身份管理解决方案提供了一个坚实的基础(请参阅《Oracle应用服务器g身份管理基础架构》一文)其组件包括
Oracle互联网目录(OID)一种可伸缩的安全的目录服务符合轻量级目录访问协议(LDAP)标准可用于存储和管理用户信息
Oracle目录同步服务一个目录集成平台使企业能够将身份管理目录与原有的或者特定的应用程序目录连接起来
Oracle供给集成服务一个可以与企业供给系统(如人力资源应用程序)连接在一起或者以单独的模式进行操作的供给框架
Oracle委托管理服务一个委托管理模型和应用程序使身份管理器的管理员能够有选择地代理某个应用程序管理员的管理访问权限或者直接代理某个用户管理访问权限
Oracle应用服务器单一登录(SSO)用户认证的运行时模型
Oracle应用服务器证书授权用于创建和管理公共密钥基础架构(PKI)证书的系统
虽然Oracle应用服务器g是发布这套功能的主要承载工具但是Oracle身份管理也是所有Oracle产品和技术(包括Oracle数据库Oracle协作套件和Oracle电子商务套件)的共享安全性基础架构Oracle身份管理产品的管理总监Michael Mesaros说道它还可以作为一种通用的身份管理解决方案来支持那些集成在全企业身份管理部署过程中用户编写的和第三方企业的应用程序
Oracle合作伙伴也提供了一些具有多种功能的身份管理应用程序用于身份认证访问控制和用户管理等Oracle公司安全性与身份管理业务开发总监Milan Thanawala解释道合作伙伴通过Oracle身份管理基础架构进行确认以保证其产品与该基础架构能很好地协同工作
安全的身份管理与可用性
Oracle身份管理基础架构吸引了很多公司的注意因为它能满足他们的实际需要例如总部在芝加哥的Archipelago Holdings LLC公司是群岛交易所(ArcaEx)美国首个开放式的全电子化股票交易所的创建者在这个交易所里客户可以公开买卖所有在纳斯达克美国证券交易所太平洋股票交易所及中央交易所上市的股票为客户提供最佳信息是Archipelago 努力的目标之一为此它开发了一个称作ArcaVision 的Web应用系统用来为参加交易的客户提供及时的市场信息证券发行商和交易商的市场交易行情在该应用程序的开发过程中Archipelago Holdings公司的IT小组确定公司需要为这些用户提供一个单一登录的解决方案以及一种能够集中管理针对其用户的所有认证和访问控制功能的方式
由于重点考虑的是投放市场的时间问题该公司决定购买一套完全由Oracle软件构成的解决方案通过使用Oraclei数据库Oraclei应用服务器Oracle单一登录和Oracle互联网目录及Oracle 应用服务器中的JEE软件Archipelago Holdings公司的IT小组能够为该公司内部和外部ArcaVision用户提供一种基于由Archipelago客户账户小组授权的角色和访问权限的Web单一登录访问方式
我们之所以决定部署一个完全由Oracle软件构成的系统是因为我们希望让一个厂家对所有组件负责这种方式提供了一个紧密集成的解决方案有助于缩短开发周期避免了厂商之间互相推委的现象Archipelago公司数据库操作执行董事Steve Hirsch说由于我们知道Oracle数据库Oracle应用服务器Oracle互联网目录及Oracle单一登录能够轻松地协同工作与其他方案相比采用这种方案使我们缩短了产品投放市场的时间实施起来更轻松
ArcaVision的用户群中包括那些能够通过互联网访问该计划所有特性的人们员工和交易商系统中构建的访问控制功能不仅能够控制用户的权限而且能够改进最终数据的质量因此用户可以根据业务关系和用户简档获得定制的报告这些报告为他们提供所需要的准确信息借助OID中的认证信息我们能够知道谁登录到该网站这确实让我们收益良多Hirsch解释说
ArcaVision已正常运行一年多了Archipelago IT小组还在不断增添新的功能这个应用程序最初是部署给内部用户使用的但是目前已经扩展到其外部用户使用Hirsch说道 一旦账户管理器提供给了用户这些用户就可以只登录一次即可访问网站上所有允许访问的内容而无需再次登录
Oracle身份管理基础架构
分布式身份管理
Oracle身份管理解决的另一个实际问题涉及机构的发展与演变的方式一般来说随着机构的发展和合并或者购并新的公司其系统和应用程序会变得更加分散和多样劳伦斯利弗莫尔国家实验室便是如此LLNL与其他大型机构很相似用户的身份遍布多个应用程序和部门需要用户多次登录并保持多种用户姓名和密码来进行日常业务工作为了解决这一问题LLNL的管理信息服务部门(AIS)部署了一个集中化的 Oracle g 身份管理实例为那些与连接到该系统的所有应用程序及整个个董事会成员使用的分布式身份管理体系结构提供单一登录功能
LLNL的Macedo解释说开始实施这个项目的时候我们询问了一些重要问题在你的IT机构高度分散的情况下如何实施集中式的单一登录方案?如何在支持集中化的SSO方案的同时提供基础架构的自治功能?我们的答案是以Oracle单一登录Oracle应用服务器g及Oracle互联网目录为中心来构建自己的系统并将系统设计成一个高度可用的平台提供给各个董事会该系统从中央计算机安全计划(CSP)机构获得用户账户和密码信息然后通过身份管理平台将这些信息分发到所有参与该系统的应用程序这就意味着将我们的董事会纳入到一个全企业范围的身份管理基础架构中这是我们向终极目标迈进的第一步我们的最终目标是为LLNL的所有机构和员工提供一个统一的身份管理解决方案
公司简介 Archipelago Holdings LLC
Archipelago Holdings LLC的总部位于芝加哥它是群岛交易所美国首家开放式全电子化股票交易所的大本营群岛交易所创立于 年客户可以在此公开买卖所有在纳斯达克美国证券交易所太平洋股票交易所及中央交易所上市的股票ArcaVision交易与市场信息应用系统利用 Oracle身份管理基础架构提供单一登录机制和用户账户管理
所使用的Oracle产品Oraclei数据库Oraclei应用服务器Oracle单一登录Oracle 互联网目录Oracle应用服务器中的JEE软件以及 Oracle真正应用集群
劳伦斯利弗莫尔国家实验室
劳伦斯利弗莫尔国家实验室(LLNL)位于加州利弗莫尔市它是美国能源部的一个重点实验室由加利福尼亚大学进行管理 该实验室的使命就是利用科学与技术为国家造福其重点领域是全球安全性全球生态系统及生物科学为了解决身份分散问题LLNL设计了一个Oracle g身份管理服务器来为连接到该系统以及部署给个董事会成员的分布式身份管理体系结构的所有应用程序提供单一登录功能
所使用的Oracle产品Oracle应用服务器g Oracle单一登录Oracle应用服务器门户和Oracle互联网目录
金门大学
金门大学(GGU)成立于年位于旧金山它是加州第五大私立大学设有本科及研究生课程专业涉及商务和管理信息技术税务及法律GGU正在开发全校范围内的身份管理基础架构将包括支持托管的Oracle电子商务套件应用系统和本校开发的应用系统的Oracle身份管理基础架构
所使用的Oracle产品Oracle应用服务器g Oracle单一登录 Oracle互联网目录Microsoft活动目录代理Oracle电子商务套件和Oracle在线系统
这种模式具有一系列优点所有Oracle应用服务器服务的自主管理自动同步OID和用来解决与区域分散相关的问题的完善SSO性能然而其缺点是LLNL没有获得真正的全球化SSO而SSO能够使一个用户在跨越访问不同的SSO 领域时不必多次登录虽然如此与目前现有的情况相比也有很大的进步现在面对的是用户登录多种应用系统的混乱状态 Macedo说我们的目标是拥有一套用于基础架构服务的高度可用的解决方案我们打算不仅将其用作CSP来推动ID而且将其作为所有生产用的应用程序服务器实例的元数据存储库来使用
本年度后期当全面部署这个平台的时候AIS将把Oracle的 SSO作为其 Live Link 文档管理系统的前端它还将把Oracle应用服务器门户连接到实验室的中央Web内容管理方案中在此用户可以访问标准的Web内容文档PDF文件图表等等
其他用于快速迁移的可供选择的应用系统还包括我们使用得最频繁的考勤卡输入系统以及一个集成的工作表系统该系统纳入了实验室高度机密性工作的所有流程和过程Macedo说 我们对这套解决方案很满意但是我们仍然在努力实现一种神圣的统一的单一登录模式我们知道Oracle正在研发这种模式它会使我们的各董事会成员们运行自己的身份管理基础架构但是他们将利用我们的CSP的SSO而且不需要增加现有成本
一个ID环境
有些企业不仅需要应付各种异构型系统集和应用程序的问题而且很多诸如加州第五大私立大学金门大学(GGU)这样的机构还要应付不同的和不断变化的用户群的问题GGU的用户群涵盖了将近多个不同的用户群体作为简化大学身份管理同时也为学生教职员工和其他用户提供更好的用户体验的一部分该大学的中央IT部门正在提供一种全院范围内的身份管理战略其中包括实施Oracle身份管理基础架构在与种Oracle托管的Oracle电子商务套件应用程序相连的条件下该套解决方案将提供一个目录集成和单一登录层作为中介器来处理全部学术和商务应用程序及连接美国西部三个数据中心的各种基础架构组件所需的身份信息
我们的身份管理目标之一就是通过一个网站门户为我们的企业应用程序和数据创建一个集成式输入点所以单一登录对我们很重要除了我们的员工以外我们还需要将其推广到其他用户GGU 首席技术官Anthony Hill说我们还将基于角色的个性化特性构建到网站中这样便能够基于员工的角色为他们创建个性化的工作区身份信息源仍然是该应用系统但是身份数据将需要整合并将整合后的数据提供Oracle互联网Novell公司的eDirectory及微软的活动目录使用从而创建一个中心辐射型模式来简化整个GGU的身份管理我们希望减少为了重新设置密码而打入服务中心的电话数量这种电话会消耗服务中心%的时间我们也希望重新安排这些资源去支持新的技术并提供更加有效的技术支持
Hill强调了全企业进行自动资源供给的需要不仅针对核心应用系统而且针对网站和很多基础架构应用系统包括网络访问消息传递学术系统和学生项目环境等尽管多数系统和应用程序将被设置成自动供给但是有些账户还将使用自助与人工供给相结合的方式
GGU所面临的一大挑战将是内部与外部环境相结合的问题利用奥斯汀和得克萨斯数据中心(ERP基础架构就设置在那里)的各种Oracle技术以及GGU大学自己开发的应用程序同时利用该身份管理基础架构
在GGU我们的身份管理系统面临着一些独特的挑战这是你在美国其他企业中很少会遇到的因为我们需要维护的系统较多且学生用户群的变动性很大此外随着时间的推移每个身份所担当的各个角色不断变化Hill说一个个体可以是一名学生员工教员并且还可能是一名毕业生因此为了满足这种复杂情况的需要我们的解决方案最终将把最佳品牌的身份管理工具集与Oracle身份管理平台结合起来
下一步 阅读更多有关Oracle身份管理的资料
通过范例来了解Oracle身份管理
下载Oracle应用服务器g
即将到来的改进和功能增强
Oracle身份管理是一种不断发展的基础架构它的每个组件都是为了不久以后的发展而按计划进行了改进和提高本年度后期将对三个领域进行改进并增添一些新的功能该平台将提供
应用服务器座席使Oracle单一登录机制更加适合于不同企业应用程序的环境
用户供给工具集包括一个Web用户供给控制台一个工作流组件一套服务供给标志语言与供给连接器以及一套目录连接器该连接器将把OID连接扩展到 Novell Nsure(电子目录)和OpenLDAP目录
一套基于标准的用于统一的SSO供给和分散及单一注销的技术集
随着我们不断提供这些增强的功能我们的总体目标更加清晰了Oracle公司的Mesaros总结道我们正在逐步扩展我们的基础架构以便更有效地处理分布式企业和企业间的身份管理设施同时Oracle g身份管理提供了一种更加强劲的基础来满足当今复杂的身份管理需要
身份管理方面的Oracle合作伙伴 虽然Oracle身份管理作为一种综合性的身份管理基础架构而设计的但是Oracle认为第三方应用程序和工具集也是需要的为此Oracle鼓励身份管理领域的独立软件厂商开发兼容的产品
我们与合作伙伴们合作利用Oracle产品帮助他们验证自己的产品并提供技术支持和资源从而帮助他们以最有效的方式将其产品与Oracle产品集成Oracle公司安全与身份管理业务发展总监Milan Thanawala说道一般的安全性与特殊的身份管理是我们关注的重要领域
以下是一些Oracle身份管理合作伙伴的例子
虚拟专用网络/负载平衡器/防火墙认证
F Networks公司
BIGIP FireGuard 提供了防火墙负载平衡功能高可用性和最高的安全性
NetScaler公司
NetScaler Series保护并优化基于Web的或客户机/服务器应用系统传输的数据
Radware公司
提供多层企业安全解决方案
生物测定
Biokey国际公司
通过指纹识别来提供用于Oracle应用系统的安全单一登录功能
AVision公司
利用对象识别与验证技术来对进入一些公共场所的人们进行控制
Iridian Technologies公司
生产虹膜识别软件
标记/智能卡
ActivCard公司
提供了一个处理卡和证书的智能卡以及卡管理系统
RSA安全公司
生产处理发布前和发布后的小应用程序的基于Java的智能芯片和数字化证书
Secure Computing公司
生产功能强大的认证系统用于定制网络认证
具有高保障的CA服务
RSA安全公司
开发用于管理数字证书和提供一种经过认证的私有的符合法律规定的电子通信与交易环境的软件
Entrust公司
开发能够帮助你集中管理用于多种Web服务器的SSL认证部署的软件
访问控制
Web授权
RSA安全公司
RSA的产品使企业能够集中管理用户身份认证政策和用户权限
Netegrity公司
提供与 Oracle单一登录协同工作的软件使客户能够提供企业范围内的单一登录环境
Oblix公司
Oblix CoreID 与Oracle单一登录一起扩展了所有基于Web的应用程序的身份管理功能
企业应用系统单一登录
Evidian公司
Evidian SSO Xpress将单一登录扩展到了Windows环境中的所有应用系统
Passlogix公司
vGO SSO为WindowsWebJavaUnix和专有应用程序提供了通用的单一登录功能
用户管理
用户供给
Thor Technologies公司
提供了一个用于管理访问企业应用程序和受控制的系统的供给系统
Courion公司
提供了一个自动化的账户供给和用户IS管理解决方案
Waveset公司 (Sun)
提供了自动安全地访问Oracle资源的软件
Computer Associates公司
提供了与Oracle g协同工作的管理安全性与实施的解决方案
密码的同步
Courion公司
提供了自助式的密码重设与同步解决方案
Blockade系统公司
提供了为网络用户实时传送密码和身份管理属性的软件
MTec公司
提供了具有透明的同步功能并可在一些精选类型的系统上扩展本地密码管理的软件
