Authentication and Integration 第一篇:oracle 身份认证管理体系

1、身份认证体系的必要性

•在您的企业里应用系统中是否有太多的密码需要记忆?

•作为系统管理员,您是否需要花费很多的时间去管理用户帐号和访问权限?

•各部门管理员需要花费多长时间才能为一个新的用户在所有的应用系统中建立账号?是否工作重复,效率低下?

•员工离开企业时能否立即停用其在各个应用子系统中的账号?

•用户的详细信息在各个系统中是否一致?

•添加新的应用时是否有一致的认证和授权框架可以利用?

•如何满足行业政策规范的要求?

•是否可以对企业内应用系统实现监控和跟踪?

•在一些大型企业中,用户需要记住超过20个密码用于访问他们的系统

•30-45% 的IT管理员的电话是寻求有关密码方面的帮助

•在大多数企业中,大约需要从几天到几周的时间实现用户帐号在各个应用中创建

•平均只有73%的内部用户和69%的外部用户离开时其账号被及时停用

•需要很多额外的费用为每个应用系统建立安全的访问控制

2、ORACLE 的身份管理体系


企业业务发展到一定阶段之后,信息管控的需求就会逐渐显现出来,身份管理和访问控制在企业信息安全建设中起到了极其重要的作用。然而技术门槛较高、系统集成难度大以及市面上产品纷繁复杂为企业部署身份管理类平台提出了极大的挑战,最新的Oracle 身份管理平台时基于融合中间件技术和开放标准的端到端凭条,为用户提供了模块化的部署方式,极大程度上降低了用户的部署难度,能够针对Oracle和非Oracle环境实现开箱即用的效果。

    在Oracle身份管理11g R2中,最显而易见的功能改善就是全面简化了用户体验,对访问请求进行了重新设计,并提供了一个通用的用户界面(UI)架构。Oracle IdM 11g R2在身份治理组件中推出了新的特权账户管理器,并对其进行了类似购物车式的简化,用户可以像网上购物一样通过自服务(Self-service)的方式迅速发出应用访问的请求。此外,新的界面将基于浏览器方式,用户通过拖拽的方式即可完成操作。

    此外,Oracle身份管理11g R2还对企业移动应用和社交网络访问管理进行了加强,其中包括对企业本地移动信息安全和单点登录,提供了REST API对定制和移动应用的开发,并支持社交媒体登录的支持,用户只需一次性登录到社交网络账号。


    身份管理产品线路图逐渐清晰

    Oracle身份管理11g R2属于Oracle融合中间件产品线,TechTarget数据库网站此前报道过一系列的身份管理器(OIM,来自于收购的公司Thor Technologies)产品是其中的一个组件,而Oracle IdM是包含更为广泛的产品套件,请用户注意区分。随着这次最新版的Oracle IdM发布,甲骨文整体的身份管理产品线路图也逐渐清晰起来。

    Oracle身份管理11g R2共包含三个组件:

即身份治理(Identity Governance)

访问管理(Access Management)

目录服务(Directory Services):

    身份治理:提供用户注册、访问请求、角色生命周期管理、用户配置、访问认证、闭环管控以及特权账户管理等功能。

    访问管理:提供身份验证、单点登录、身份授权、联合、欺诈检测以及移动和社交登录等功能。保障应用、数据、Web服务以及云服务安全。

    目录服务:提供虚拟目录、LDAP存储、元目录和同步服务等功能。

 Oracle身份管理11g R2是目前业界最完整且集成度最高的身份管理与访问平台,在强化企业内部信息安全的同时能够保障端到端的合规性,并有效降低总拥有成本(TCO)。据了解,甲骨文还改善了Oracle身份管理11g R2的升级路径,整个升级过程变得更加平滑,升级后的IdM 11g R2还将采用新的License Model,用户可以从中也可降低一定的软件许可证费用成本。

关于单点登录的介绍:

http://blog.csdn.net/cymm_liu/article/details/17021953

关于ldap的介绍:

http://blog.csdn.net/cymm_liu/article/details/17021991

3、概念解析

LDAP:一个协议,也可以理解为一个提供目录服务访问功能的的数据库,我们公司用它来实现单点登录(SSO)

OIM(oracle Identity Managerment):oracle身份认证管理。包括如下组件:

OID(Oracle Internet Directory):是Oracle Identity Management的一个组件,一个集成的基础平台,为oracle 产品提供分布式安全服务。

Oracle Directory Integration and Provisioning:这个组件可以让Oracle Internet Directory 与   其他的目录和用户职责、oracle组件和应用的自动provisioning服务、第三方的应用  同步。

Oracle Delegated Administration Services:(oracle 授权管理服务):提供信任的基于代理的目录信息管理。

Oracle Application Server Single Sign-On :为oracle和第三方的web应用提供单点登录

Oracle Application Server Certificate Authority(认证授权):

OAM(Oracle Access Manager):

IDM()

Webgate:是在http server上单独安装的

Oracle E-Business Suite AccessGate:单独部署到webloggic的应用。

某公司实例分析:

当用户通过浏览器请求访问某ebs系统相关资源,请求被转发到了安装了Webgate的HTTP Server上。WebGate(webgate是:OAM的一个组件)再将请求转发给OAM(Oracle Access Manager)认证服务器进行身份认证。

该用户认证通过,请求(这里的请求带有OAM返回的凭证),到达Oracle E-Business Suite AccessGate(独立部署在weblogic的Java EE应用),AccessGate连接到EBS数据库,为此用户和EBS用户做链接,用户即可访问目标ebs系统。一旦一个用户初次被OAM认证,那么请求的资源(带有OAM返回的凭证)就被Oracle E-Business Suite AccessGate放行。

如果一个用户已拥有有效的OAM凭证,AccessGate连接到EBS数据库,为此用户和EBS用户做链接。如果EBS无法找到此用户的链接用户,则该用户请求被重定向到一个用户链接页面,让该用户建立和EBS用户的关联关系。一旦这个关联关系(mapping)建立起来,原来请求的资源作为一个有效的已认证的EBS用户session被返回。只要用户session仍然有效,所有关于EBS资源的子请求都被直接返回给用户。

a)       用户请求受保护的资源,比如EBS URL。

b)       用户被重定向到受保护的OAM AccessGate,该AccessGate是OAM特意为EBS所提供的Agent。

c)       WebGate拦截请求,收集凭证,转发到OAM服务器。

d)      OAM比较OID用户和创建的Session,验证用户的凭证。

e)       OAM WebGate通过用户认证,到EBS AccessGate。

f)        AccessGate识别这个EBS用户。

g)       用户session通过EBS认证,被重定向到原始的网址,资源返回给浏览器,此时返回的应用资源是EBS授权该用户所允许看到的应用界面。

2、what is  Lightweight Directory Access Protocol(LDAP)?

LDAP是一个标准的,可扩展的目录访问协议,它是一个通用的语言,提供给LDAP 客户端和服务器端的通信。LDAP standard simplifies management 管理信息通过如下三种方式:

1、它提供企业内所有用户和应用程序单独的、易定义的、标准的接口 到 一个单独的、可扩展的目录服务。这让应用的快速开发和部署更简单。

2、在多个服务分散的企业中,降低输入和整理冗余信息的需要。

3、它良好的协议和接口技术,让部署internet-ready应用更加实用。

LDAP是一个Internet-ready,轻量级实现的目录服务,它在客户端需要最小量的网络软件,也可以认为是一个瘦客户端的应用。

参考ppt:http://download.csdn.net/detail/changyanmanman/6631859

时间: 2024-11-07 01:46:54

Authentication and Integration 第一篇:oracle 身份认证管理体系的相关文章

如何做好移动时代的身份认证管理?

本文讲的是 : 如何做好移动时代的身份认证管理?   ,  [IT168评论]移动互联网的出现不仅彻底改变了人们的生活方式,同时也给企业的IT架构带来了根本性的变革.身份认证是企业在传统PC时代必不可少的关键一环,那么到了移动互联网时代,要如何做好身份认证管理呢?移动互联网时代身份认证又存在哪些挑战?为此,我们专门采访了龙脉科技总经理李刚. ▲龙脉科技总经理 李刚 "如今,企业在移动平台办公比在传统PC平台办公所面临的安全风险要大的多.用户的需求从传统PC上的安全需求,转移到了移动端的安全需求,

DB2数据库安全(二)——身份认证

根据<循序渐进DB2>(牛新庄)第13章内容整理 身份认证(authentication) 1.什么时候进行身份认证   DB2身份认证 控制数据库安全性策略的以下方面: 谁有权访问实例或数据库 在哪里以及如何校验用户的 密码   在发出attach和connect命令时,它借助于底层操作系统的安全特性实现对DB2用户的身份认证.attach命令用来连接实例.connect命令用来连接实例中的数据库.   下面的示例展示了DB2对发出这些命令的用户进行身份验证的不同方式,这些示例在数据库管理程

【密码文件】Oracle OS认证与密码文件(口令文件)认证--密码文件介绍

[密码文件]Oracle OS认证与密码文件(口令文件)认证 1.1  密码文件 1.1.1  密码文件简介 作用:主要进行SYSDBA和SYSOPER权限的身份认证.密码文件存放着被授予SYSDBA或SYSOPER权限的用户的用户名和密码.它是一个加密的文件,用户不能修改这个文件,但是可以使用strings命令看到密码的HASH值. 在Linux系统中,密码文件一般保存在$ORACLE_HOME/dbs目录下,文件名为orapw$SID:在Windows系统中,密码文件一般保存在%ORACLE

网络安全形势不容乐观 加强网络身份认证体系建设势在必行

互联网的高速发展,带动了众多产业的兴盛,但也造成了日益严重的网络安全问题,身份认证作为信息安全防护的第一关,承担了至关重要的作用.今后在推动网络安全产业发展时,应当注重加强网络身份认证体系建设,从认证技术和方法提高身份认证水平. 网络安全的重要性 网络安全是国家安全的重要组成部分,没有网络安全就没有国家安全.建设网络强国,要有自己的技术,有过硬的技术;要有丰富全面的信息服务,繁荣发展的网络文化;要有良好的信息基础设施,形成实力雄厚的信息经济;要有高素质的网络安全和信息化人才队伍;要积极开展双边.

身份认证与访问管理护航云安全

本文讲的是身份认证与访问管理护航云安全,"我怎样管理我的用户的'SaaS 帐号'以及他们的访问?" "我怎样定义并实施 PaaS 应用的访问策略,同时无需创建更多的安全信息孤岛?" "我怎样控制 IaaS 中的特权用户,包括对方及我们自已的用户在内?" 是不是听上去都很熟悉?作为一个云服务的消费者与供应商,你是不是经常遇到这样的问题? 的确如此,在云计算为企业提供价值的同时,它也为云服务(包括公共云.私有云与混合云)的消费者与供应商带来了不可回避

对云中的身份认证管理系统重新评价

随着越来越多的新安全风险的威胁,人们也渐渐重视确保企业数据安全和完整,身份认证管理软件为帮助企业确保数据安全,可以对访问不同数据的用户进行管理. 认证管理保证了跨越多个系统的用户身份的一致性.该技术自动化战略性的IT任务,在结合用户权限和用户身份的限制上,允许员工只访问自己权限以内的数据.其目的就是通过确保资源的稳定性来维护企业安全.此外,随着云计算越来越多地深入到数据中心管理,基于云计算的系统也遇到越来越多的困难. 为确保与动作一致,政府的规章制度要求企业对用户的身份进行审计.但是最近,由于其

浅谈Oracle外部身份认证研究

一.服务器上使用操作系统验证     1.配置SQLNET.ORA文件     参数NAMES.DIRECTORY_PATH= (TNSNAMES, ONAMES, HOSTNAME)表明解析客户端连接时所用的主机字符串的方式    TNSNAMES表示采用TNSNAMES.ORA文件来解析:    ONAMES表示Oracle使用自己的名称服务器(Oracle Name Server)来解析,目前Oracle建议使用轻量目录访问协议LDAP来取代ONAMES:    HOSTNAME表示使用h

浅谈Oracle数据库外部身份认证研究

以下的文章主要是浅谈Oracle数据库的外部身份认证实际研究,我在一个信誉度很好的网站,找到了一个关于浅谈Oracle数据库外部身份认证的一些实用性很强的相关资料,拿出来供大家分享. 一.服务器上使用操作系统验证 1.配置SQLNET.ORA文件 参数NAMES.DIRECTORY_PATH= (TNSNAMES, ONAMES, HOSTNAME)表明解析客户端连接时所用的主机字符串的方式.TNSNAMES表示采用TNSNAMES.ORA文件来解析:ONAMES表示Oracle使用自己的名称服

《Oracle高性能SQL引擎剖析:SQL优化与调优机制详解》一第一篇 执行计划

第一篇 执行计划 执行计划是指示Oracle如何获取和过滤数据.产生最终结果集,是影响SQL语句执行性能的关键因素.我们在深入了解执行计划之前,首先需要知道执行计划是在什么时候产生的,以及如何让SQL引擎为语句生成执行计划. 在深入了解执行计划之前,我们先了解SQL语句的处理执行过程.当一条语句提交到Oracle后,SQL引擎会分为三个步骤对其处理和执行:解析(Parse).执行(Execute)和获取(Fetch),分别由SQL引擎的不同组件完成.SQL引擎的组件如图1-1所示. 1. SQL