主要特性和优势
特性
ORACLE身份管理组件集成
以下是多个Oracle Identity Management组件如何协同工作以提供无缝安全解决方案的示例。
Oracle Identity Manager 和 Oracle Role Manager 集成
OIM和ORM互为补充以确保 供应事件基于角色。前者侧重于端到端的身份管理和供应,后者侧重于角色生命周期管理。
Oracle Access Manager 和 Oracle Identity Federation 集成
首先,OAM要求用户提供凭证。成功进行身份验证之后, OAM设置SSO cookie并向联合服务(OIF)断言已验证的身份。然后,OIF根据OAM提供的信息生成身份验证凭单(SAML 断言),并将SAML断言发送到服务提供方。
Oracle Access Manager 和 Oracle Web Services Manager 集成
受OAM保护的应用程序验证用户的身份并代表该用户进行服务调用。OWSM客户端代理截取调用,并根据OAM提供的已断言身份信息在SOAP消息标头中插入必需的安全信息(例如SAML断言)。
Oracle Access Manager 和 Oracle Entitlements Manager 集成
OAM断言已验证的用户的身份,并将授权请求传送到OES。 OES检索有关可信主题、资源请求以及安全上下文的信息,并执行动态角色评估。OES根据主题和角色检查应用程序授权策略,并实施细粒度资源访问。
Oracle Entitlements Manager 和 Oracle Web Services Manager 集成
OWSM可以通过在进行授权决 策时传递用户身份和上下文参数(告诉OES如何解压缩来自消息本身的数据),将服务访问决策委托给OES。然后,OES可以考虑消息信息及自己的策略,并向OWSM提供回授予或拒绝响应。OWSM然后可以实施此决策。
Oracle身份管理组件的集成可以涉及两种以上的产品。例如,为了支持完善的Web事务,OAM可以依赖OES实现细粒度授权,同时依赖OWSM保护向内部或外部Web服务或面向服务的体系结构(SOA)组合发出的请求。
作为 Oracle 融合中间件 11g 的一部分, Oracle 扩展 Oracle 身份管理以提供统一、集成的安全平台,旨在管理用户身份和授权,为用户供应资源,保护对公司资源的访问以及支持跨企业应用程序进行大范围审计。
引言
Oracle身份管理(IM)11gR1通过实现新的安全性和完整性级别来确保大型应用网格的完整性,以保护企业资源并管理针对这些资源执行的流程。Oracle IM 11gR1通过以下举措提高效率:提高集成、整合以及自动化的级别,并提升在以应用程序为中心的安全性、风险管理、治理以及数据库集成方面的效力。
Oracle IM 11gR1与上一版本(10g)的不同之处表现在以下方面:将Oracle IM产品套件作为安全开发平台来建立;增强Oracle IM组件与其他Oracle融合中间件组件、 Oracle应用产品、Oracle数据库以及第三方安全提供程序之间的集成;增强简化企业范 围部署的功能;在整个产品套件内针对关键操作和功能领域(包括安装、配置、用户界 面、工作流以及报告)采用通用技术基础架构。
Oracle 身份管理11gR1组件
Oracle身份管理1gR1包括以下产品套件。
Oracle Identity Manager
Oracle Identity Manager(OIM)通常回答“谁在何时、如何以及为什么访问了什么?” 的问题。 OIM设计为在整个身份管理生命周期内(从身份的初始入职到最后取消供应)管理对公司资源的内联网和外联网用户访问权限。在外联网环境中,OIM卓越的可伸缩性使企业能够支持数百万个客户使用传统客户端(例如浏览器)或智能电话访问公司的资源。
Oracle Role Manager
Oracle Role Manager(ORM)为企业角色生命周期管理以及业务和组织关系提供全面的特性集。ORM是Oracle IM产品套件中企业角色的权威来源。Oracle Identity Manager和ORM互为补充以确保供应事件基于角色。
Oracle Access Manager
Oracle Access Manager(OAM)为身份验证、一次性登录(SSO)以及身份断言提供集中的、策略驱动的服务OAM集成了各种身份验证机制、第三方Web服务器和应用服 务器以及基于标准的联合SSO解决方案,以确保最大灵活性以及高度集成的、全面的Web访问控制解决方案。OAM通过与Oracle Entitlements Server集成来完善自己的粗粒度授权和属性断言功能,从而可以为应用程序、门户、数据库以及Web服务提供细粒度授权。
Oracle Web Services Manager
Oracle Web Services Manager(OWSM)面向Web服务,而Oracle Access Manager面向Web应用程序。OWSM旨在保护对以下内容的访问:多种类型的资源,包括符合标准的Web服务(Java EE、Microsoft .NET、PL/SQL 等);面向服务的体系结构(SOA)组合,包括业务流程执行语言(BPEL)和企业服务总线(ESB)流程;以及Oracle WebCenter的远程portlet。
Oracle Identity Federation
Oracle Identity Federation(OIF)是独立的解决方案,使用行业标准(安全断言标记语言—SAML、Liberty ID-FF、WS-Federation)实现基于浏览器的跨域一次性登录。OIF11gR1引入了对Microsoft Windows CardSpace的支持(例如,OIF身份提供程序可以要求用户通过CardSpace协议登录,然后根据CardSpace身份验证和声明返回SAML断言)。
Oracle Enterprise Single Sign-On
Oracle Enterprise Single Sign-On(eSSO)是基于Microsoft Windows桌面的产品套件,可为胖客户端和瘦客户端应用程序提供统一的身份验证和一次性登录,而无需对现有应用程序进行修改。使用Oracle eSSO,企业用户得益于一次性登录到所有应用程 序,无论用户连接到公司网络、离开办公室、在计算机之间漫游还是在共享工作站上工 作。
Oracle Entitlements Server
Oracle Entitlements Server(OES)是细粒度授权引擎,可外部化、统一以及简化复杂授权策略的管理。OES保护对应用程序资源和软件组件(例如URL、Enterprise JavaBeans和Java Server Pages)以及任意业务对象(例如数据库中的客户帐户或患者记录)的访问。OES为跨各种业务和IT系统的复杂授权策略提供集中管理点。
Oracle Adaptive Access Manager
Oracle Adaptive Access Manager(OAAM)通过实时欺诈防范、基于软件的多因素身份验证以及特有的身份验证加强来提供资源保护。OAAM包括两个主要组件,它们在反欺诈战争中共同构筑了一个最强大、最灵活的武器。Adaptive Strong Authenticator为敏感信息(例如口令、令牌、帐号以及其他凭证)提供多因素身份验证和保护机制。Adaptive Risk Manager在关键登录和事务检查点提供实时的脱机风险分析和主动操作以防止欺诈。
Oracle目录服务
Oracle Internet Directory(OID)为Oracle融合中间件组件、Oracle融合应用产品以及内部企业应用程序提供基于标准轻型目录访问协议(LDAP)的机制,用于存储和访问身份数据,如用户凭证(用于身份验证)、访问权限(用于授权)以及配置文件信息。
Oracle Virtual Directory(OVD)旨在提供实时身份聚合和转换,而无需数据复制或数据同步。OVD无需移动数据即可提供现有企业身份信息的行业标准LDAP和XML视图, 从而隐藏了底层数据基础架构的复杂性。
Oracle Platform Security Services
Oracle Platform Security Services(OPSS)为企业产品开发团队、系统集成商以及独立软件供应商提供基于标准的、可移植的、集成的企业级安全框架,可用于Java Platform, Standard Edition(Java SE)和Java Platform,Enterprise Edition(Java EE)应用程序。OPSS通过以基于标准的应用程序编程接口的形式提供抽象层,使开发人员无需执行与应用程序开发无直接关系的复杂任务。OPSS是Oracle融合中间件的安全性基础:所有Oracle 融合中间件11g组件和Oracle融合应用产品都“使用”OPSS的服务。
Oracle Management Pack for Identity Management
Oracle Management Pack for Identity Management利用Oracle企业管理器的各种功能 控制端到端的Oracle Access Manager、Oracle Identity Manager以及Oracle Identity Federation环境。
Oracle身份管理及其他Oracle技术
Oracle身份管理同时采用了几种互补的Oracle技术。以下部分将介绍Oracle身份管理如何与Oracle信息权限管理、Oracle的治理、风险和合规性(GRC)平台以及Oracle数据库安全性集成。
Oracle身份管理和Oracle信息权限管理
Oracle信息权限管理(IRM)直接保护信息。它通过加密将访问控制范围缩小到实际数字信息单元,例如文档、电子邮件以及Web页面。Oracle将保护数字文档的过程称为 “密封”,它包括加密文档,对包含此文档的文件进行数字签名,以及在每个指回到客户操作的Oracle IRM Server的密封文件内包括永久性URL超链接。Oracle IRM利用以下Oracle IM组件:Oracle Identity Manager用于集中供应IRM用户和授权;Oracle Virtual Directory用于从现有企业LDAP和非LDAP目录同步IRM用户和组;以及Oracle Enterprise Single Sign-On用于实现桌面一次性登录和强身份验证的其他支持。
Oracle身份管理和企业治理
Oracle的治理、风险和合规性(GRC)平台集成了业务智能、流程管理以及自动控制实 施,以实现持续的风险和合规性管理。
通过Oracle身份管理11gR1,Oracle Identity Manager、Oracle Role Manager以及Oracle Access Manager成为组成Oracle GRC的基础架构控件的多种产品的一部分。 Oracle Application Access Controls Governor是Oracle GRC平台中的主要产品,允许客户管理、纠正以及实施企业资源规划职责分离(SoD)策略。通常,Oracle Identity Manager与Oracle Application Access Controls Governor集成,以便在为Oracle电子商务供应角色和职责之前执行实时SoD验证。
Oracle身份管理和Oracle数据库安全性
Oracle的身份管理产品的一个主要不同之处在于,它通过集成Oracle Virtual Directory(OVD)与Oracle数据库的企业用户安全性(EUS)特性,能够为客户提供更大灵活性和更多选择,从而使企业能够通过诸如Oracle Internet Directory(OID)、Microsoft Active Directory以及Sun Java System Directory Server之类的现有公司目录集中管理数据库 用户身份。由于OVD与EUS集成,因此企业可以利用身份虚拟化跨不同的身份存储来管理数据库用户身份及其特权角色,而不必迁移或同步数据。此外,OID还利用两个特有的数据库安全性特性:Oracle Database Vault(针对数据库管理员实施职责分离)和Oracle透明加密。Oracle Database Vault可防止在OID协议监听器之外访问或操作身份数据。透明数据加密在数据库内加密数据。即使用户获取对数据库的未授权访问权限, 他们也无法读取数据。通过Oracle Database Vault和Oracle透明数据加密这两个特 性,Oracle可供提供独有的从存储到客户端的目录服务,同时具有全面的安全性。
特性
- 身份管理:身份生命周期管理(供应和调节);工作流;自助帐户请求和口令管理;企业角色管理和角色挖掘。
- 身份验证和信任管理:多因素强身份验证;身份断言;一次性登录;联合;隐私。
- 访问控制:基于风险的授权;细粒度授权、Web 服务安全性
- 审计和合规性:审计和合规性报告;职责分离;冲突解决管理;证明;欺诈防范分析。
- 可管理性:服务级别配置;基 于信息板的用户交互和环境监视;性能自动化;补丁管理。
- 目录服务:持久存储、身份虚 拟化、同步;数据库用户安全性。
- 全面:全面的同类最佳身份管理和访问控制组件集。
- 集成:Oracle身份管理组件旨在紧密协作。此外,该产品套件的组件与Oracle应用产品(例如Oracle PeopleSoft、Oracle电子商务套件、Oracle Siebel)和其他Oracle融合中间件组件(例如Oracle WebCenter、Oracle SOA、Oracle业务智能)无缝集成。
- 可热插拔:Oracle身份管理的基于标准的产品旨在支持异构的多供应商开发和运行时环境,包括操作系统、Web服务器、应用服务器、目录服务器以及数据库管理系统。
- 同类最佳:除了Oracle IM的完备性、集成以及可热插 拔性的级别之外,该套件的组件还提供了功能深度和完善度,单这两方面而言,也可使该套件组件成为市场领先的同类最佳产品。客户(尤其是寻求高级功能以支持其应用网格的客户)可以选择同类最佳的Oracle IM组件来满足其特定需求,并将此组件与其现有的其余身份管理产品组合集成,他们也可以部署同类最佳的Oracle IM套件以利用其增 强的集成功能。
ORACLE身份管理组件集成
以下是多个Oracle Identity Management组件如何协同工作以提供无缝安全解决方案的示例。
Oracle Identity Manager 和 Oracle Role Manager 集成
OIM和ORM互为补充以确保 供应事件基于角色。前者侧重于端到端的身份管理和供应,后者侧重于角色生命周期管理。
Oracle Access Manager 和 Oracle Identity Federation 集成
首先,OAM要求用户提供凭证。成功进行身份验证之后, OAM设置SSO cookie并向联合服务(OIF)断言已验证的身份。然后,OIF根据OAM提供的信息生成身份验证凭单(SAML 断言),并将SAML断言发送到服务提供方。
Oracle Access Manager 和 Oracle Web Services Manager 集成
受OAM保护的应用程序验证用户的身份并代表该用户进行服务调用。OWSM客户端代理截取调用,并根据OAM提供的已断言身份信息在SOAP消息标头中插入必需的安全信息(例如SAML断言)。
Oracle Access Manager 和 Oracle Entitlements Manager 集成
OAM断言已验证的用户的身份,并将授权请求传送到OES。 OES检索有关可信主题、资源请求以及安全上下文的信息,并执行动态角色评估。OES根据主题和角色检查应用程序授权策略,并实施细粒度资源访问。
Oracle Entitlements Manager 和 Oracle Web Services Manager 集成
OWSM可以通过在进行授权决 策时传递用户身份和上下文参数(告诉OES如何解压缩来自消息本身的数据),将服务访问决策委托给OES。然后,OES可以考虑消息信息及自己的策略,并向OWSM提供回授予或拒绝响应。OWSM然后可以实施此决策。
Oracle身份管理组件的集成可以涉及两种以上的产品。例如,为了支持完善的Web事务,OAM可以依赖OES实现细粒度授权,同时依赖OWSM保护向内部或外部Web服务或面向服务的体系结构(SOA)组合发出的请求。
作为 Oracle 融合中间件 11g 的一部分, Oracle 扩展 Oracle 身份管理以提供统一、集成的安全平台,旨在管理用户身份和授权,为用户供应资源,保护对公司资源的访问以及支持跨企业应用程序进行大范围审计。
引言
Oracle身份管理(IM)11gR1通过实现新的安全性和完整性级别来确保大型应用网格的完整性,以保护企业资源并管理针对这些资源执行的流程。Oracle IM 11gR1通过以下举措提高效率:提高集成、整合以及自动化的级别,并提升在以应用程序为中心的安全性、风险管理、治理以及数据库集成方面的效力。
Oracle IM 11gR1与上一版本(10g)的不同之处表现在以下方面:将Oracle IM产品套件作为安全开发平台来建立;增强Oracle IM组件与其他Oracle融合中间件组件、 Oracle应用产品、Oracle数据库以及第三方安全提供程序之间的集成;增强简化企业范 围部署的功能;在整个产品套件内针对关键操作和功能领域(包括安装、配置、用户界 面、工作流以及报告)采用通用技术基础架构。
Oracle 身份管理11gR1组件
Oracle身份管理1gR1包括以下产品套件。
Oracle Identity Manager
Oracle Identity Manager(OIM)通常回答“谁在何时、如何以及为什么访问了什么?” 的问题。 OIM设计为在整个身份管理生命周期内(从身份的初始入职到最后取消供应)管理对公司资源的内联网和外联网用户访问权限。在外联网环境中,OIM卓越的可伸缩性使企业能够支持数百万个客户使用传统客户端(例如浏览器)或智能电话访问公司的资源。
Oracle Role Manager
Oracle Role Manager(ORM)为企业角色生命周期管理以及业务和组织关系提供全面的特性集。ORM是Oracle IM产品套件中企业角色的权威来源。Oracle Identity Manager和ORM互为补充以确保供应事件基于角色。
Oracle Access Manager
Oracle Access Manager(OAM)为身份验证、一次性登录(SSO)以及身份断言提供集中的、策略驱动的服务OAM集成了各种身份验证机制、第三方Web服务器和应用服 务器以及基于标准的联合SSO解决方案,以确保最大灵活性以及高度集成的、全面的Web访问控制解决方案。OAM通过与Oracle Entitlements Server集成来完善自己的粗粒度授权和属性断言功能,从而可以为应用程序、门户、数据库以及Web服务提供细粒度授权。
Oracle Web Services Manager
Oracle Web Services Manager(OWSM)面向Web服务,而Oracle Access Manager面向Web应用程序。OWSM旨在保护对以下内容的访问:多种类型的资源,包括符合标准的Web服务(Java EE、Microsoft .NET、PL/SQL 等);面向服务的体系结构(SOA)组合,包括业务流程执行语言(BPEL)和企业服务总线(ESB)流程;以及Oracle WebCenter的远程portlet。
Oracle Identity Federation
Oracle Identity Federation(OIF)是独立的解决方案,使用行业标准(安全断言标记语言—SAML、Liberty ID-FF、WS-Federation)实现基于浏览器的跨域一次性登录。OIF11gR1引入了对Microsoft Windows CardSpace的支持(例如,OIF身份提供程序可以要求用户通过CardSpace协议登录,然后根据CardSpace身份验证和声明返回SAML断言)。
Oracle Enterprise Single Sign-On
Oracle Enterprise Single Sign-On(eSSO)是基于Microsoft Windows桌面的产品套件,可为胖客户端和瘦客户端应用程序提供统一的身份验证和一次性登录,而无需对现有应用程序进行修改。使用Oracle eSSO,企业用户得益于一次性登录到所有应用程 序,无论用户连接到公司网络、离开办公室、在计算机之间漫游还是在共享工作站上工 作。
Oracle Entitlements Server
Oracle Entitlements Server(OES)是细粒度授权引擎,可外部化、统一以及简化复杂授权策略的管理。OES保护对应用程序资源和软件组件(例如URL、Enterprise JavaBeans和Java Server Pages)以及任意业务对象(例如数据库中的客户帐户或患者记录)的访问。OES为跨各种业务和IT系统的复杂授权策略提供集中管理点。
Oracle Adaptive Access Manager
Oracle Adaptive Access Manager(OAAM)通过实时欺诈防范、基于软件的多因素身份验证以及特有的身份验证加强来提供资源保护。OAAM包括两个主要组件,它们在反欺诈战争中共同构筑了一个最强大、最灵活的武器。Adaptive Strong Authenticator为敏感信息(例如口令、令牌、帐号以及其他凭证)提供多因素身份验证和保护机制。Adaptive Risk Manager在关键登录和事务检查点提供实时的脱机风险分析和主动操作以防止欺诈。
Oracle目录服务
Oracle Internet Directory(OID)为Oracle融合中间件组件、Oracle融合应用产品以及内部企业应用程序提供基于标准轻型目录访问协议(LDAP)的机制,用于存储和访问身份数据,如用户凭证(用于身份验证)、访问权限(用于授权)以及配置文件信息。
Oracle Virtual Directory(OVD)旨在提供实时身份聚合和转换,而无需数据复制或数据同步。OVD无需移动数据即可提供现有企业身份信息的行业标准LDAP和XML视图, 从而隐藏了底层数据基础架构的复杂性。
Oracle Platform Security Services
Oracle Platform Security Services(OPSS)为企业产品开发团队、系统集成商以及独立软件供应商提供基于标准的、可移植的、集成的企业级安全框架,可用于Java Platform, Standard Edition(Java SE)和Java Platform,Enterprise Edition(Java EE)应用程序。OPSS通过以基于标准的应用程序编程接口的形式提供抽象层,使开发人员无需执行与应用程序开发无直接关系的复杂任务。OPSS是Oracle融合中间件的安全性基础:所有Oracle 融合中间件11g组件和Oracle融合应用产品都“使用”OPSS的服务。
Oracle Management Pack for Identity Management
Oracle Management Pack for Identity Management利用Oracle企业管理器的各种功能 控制端到端的Oracle Access Manager、Oracle Identity Manager以及Oracle Identity Federation环境。
Oracle身份管理及其他Oracle技术
Oracle身份管理同时采用了几种互补的Oracle技术。以下部分将介绍Oracle身份管理如何与Oracle信息权限管理、Oracle的治理、风险和合规性(GRC)平台以及Oracle数据库安全性集成。
Oracle身份管理和Oracle信息权限管理
Oracle信息权限管理(IRM)直接保护信息。它通过加密将访问控制范围缩小到实际数字信息单元,例如文档、电子邮件以及Web页面。Oracle将保护数字文档的过程称为 “密封”,它包括加密文档,对包含此文档的文件进行数字签名,以及在每个指回到客户操作的Oracle IRM Server的密封文件内包括永久性URL超链接。Oracle IRM利用以下Oracle IM组件:Oracle Identity Manager用于集中供应IRM用户和授权;Oracle Virtual Directory用于从现有企业LDAP和非LDAP目录同步IRM用户和组;以及Oracle Enterprise Single Sign-On用于实现桌面一次性登录和强身份验证的其他支持。
Oracle身份管理和企业治理
Oracle的治理、风险和合规性(GRC)平台集成了业务智能、流程管理以及自动控制实 施,以实现持续的风险和合规性管理。
通过Oracle身份管理11gR1,Oracle Identity Manager、Oracle Role Manager以及Oracle Access Manager成为组成Oracle GRC的基础架构控件的多种产品的一部分。 Oracle Application Access Controls Governor是Oracle GRC平台中的主要产品,允许客户管理、纠正以及实施企业资源规划职责分离(SoD)策略。通常,Oracle Identity Manager与Oracle Application Access Controls Governor集成,以便在为Oracle电子商务供应角色和职责之前执行实时SoD验证。
Oracle身份管理和Oracle数据库安全性
Oracle的身份管理产品的一个主要不同之处在于,它通过集成Oracle Virtual Directory(OVD)与Oracle数据库的企业用户安全性(EUS)特性,能够为客户提供更大灵活性和更多选择,从而使企业能够通过诸如Oracle Internet Directory(OID)、Microsoft Active Directory以及Sun Java System Directory Server之类的现有公司目录集中管理数据库 用户身份。由于OVD与EUS集成,因此企业可以利用身份虚拟化跨不同的身份存储来管理数据库用户身份及其特权角色,而不必迁移或同步数据。此外,OID还利用两个特有的数据库安全性特性:Oracle Database Vault(针对数据库管理员实施职责分离)和Oracle透明加密。Oracle Database Vault可防止在OID协议监听器之外访问或操作身份数据。透明数据加密在数据库内加密数据。即使用户获取对数据库的未授权访问权限, 他们也无法读取数据。通过Oracle Database Vault和Oracle透明数据加密这两个特 性,Oracle可供提供独有的从存储到客户端的目录服务,同时具有全面的安全性。
719
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
