1、身份认证体系的必要性
•在您的企业里应用系统中是否有太多的密码需要记忆?
•作为系统管理员,您是否需要花费很多的时间去管理用户帐号和访问权限?
•各部门管理员需要花费多长时间才能为一个新的用户在所有的应用系统中建立账号?是否工作重复,效率低下?
•员工离开企业时能否立即停用其在各个应用子系统中的账号?
•用户的详细信息在各个系统中是否一致?
•添加新的应用时是否有一致的认证和授权框架可以利用?
•如何满足行业政策规范的要求?
•是否可以对企业内应用系统实现监控和跟踪?
•在一些大型企业中,用户需要记住超过20个密码用于访问他们的系统
•30-45% 的IT管理员的电话是寻求有关密码方面的帮助
•在大多数企业中,大约需要从几天到几周的时间实现用户帐号在各个应用中创建
•平均只有73%的内部用户和69%的外部用户离开时其账号被及时停用
•需要很多额外的费用为每个应用系统建立安全的访问控制
2、ORACLE 的身份管理体系
企业业务发展到一定阶段之后,信息管控的需求就会逐渐显现出来,身份管理和访问控制在企业信息安全建设中起到了极其重要的作用。然而技术门槛较高、系统集成难度大以及市面上产品纷繁复杂为企业部署身份管理类平台提出了极大的挑战,最新的Oracle 身份管理平台时基于融合中间件技术和开放标准的端到端凭条,为用户提供了模块化的部署方式,极大程度上降低了用户的部署难度,能够针对Oracle和非Oracle环境实现开箱即用的效果。
在Oracle身份管理11g R2中,最显而易见的功能改善就是全面简化了用户体验,对访问请求进行了重新设计,并提供了一个通用的用户界面(UI)架构。Oracle IdM 11g R2在身份治理组件中推出了新的特权账户管理器,并对其进行了类似购物车式的简化,用户可以像网上购物一样通过自服务(Self-service)的方式迅速发出应用访问的请求。此外,新的界面将基于浏览器方式,用户通过拖拽的方式即可完成操作。
此外,Oracle身份管理11g R2还对企业移动应用和社交网络访问管理进行了加强,其中包括对企业本地移动信息安全和单点登录,提供了REST API对定制和移动应用的开发,并支持社交媒体登录的支持,用户只需一次性登录到社交网络账号。
身份管理产品线路图逐渐清晰
Oracle身份管理11g R2属于Oracle融合中间件产品线,TechTarget数据库网站此前报道过一系列的身份管理器(OIM,来自于收购的公司Thor Technologies)产品是其中的一个组件,而Oracle IdM是包含更为广泛的产品套件,请用户注意区分。随着这次最新版的Oracle IdM发布,甲骨文整体的身份管理产品线路图也逐渐清晰起来。
Oracle身份管理11g R2共包含三个组件:
即身份治理(Identity Governance)访问管理(Access Management)
目录服务(Directory Services):
身份治理:提供用户注册、访问请求、角色生命周期管理、用户配置、访问认证、闭环管控以及特权账户管理等功能。
访问管理:提供身份验证、单点登录、身份授权、联合、欺诈检测以及移动和社交登录等功能。保障应用、数据、Web服务以及云服务安全。
目录服务:提供虚拟目录、LDAP存储、元目录和同步服务等功能。
Oracle身份管理11g R2是目前业界最完整且集成度最高的身份管理与访问平台,在强化企业内部信息安全的同时能够保障端到端的合规性,并有效降低总拥有成本(TCO)。据了解,甲骨文还改善了Oracle身份管理11g R2的升级路径,整个升级过程变得更加平滑,升级后的IdM 11g R2还将采用新的License Model,用户可以从中也可降低一定的软件许可证费用成本。
关于单点登录的介绍:
http://blog.csdn.net/cymm_liu/article/details/17021953
关于ldap的介绍:
http://blog.csdn.net/cymm_liu/article/details/17021991
3、概念解析
LDAP:一个协议,也可以理解为一个提供目录服务访问功能的的数据库,我们公司用它来实现单点登录(SSO)
OIM(oracle Identity Managerment):oracle身份认证管理。包括如下组件:
OID(Oracle Internet Directory):是Oracle Identity Management的一个组件,一个集成的基础平台,为oracle 产品提供分布式安全服务。
Oracle Directory Integration and Provisioning:这个组件可以让Oracle Internet Directory 与 其他的目录和用户职责、oracle组件和应用的自动provisioning服务、第三方的应用 同步。
Oracle Delegated Administration Services:(oracle 授权管理服务):提供信任的基于代理的目录信息管理。
Oracle Application Server Single Sign-On :为oracle和第三方的web应用提供单点登录
Oracle Application Server Certificate Authority(认证授权):
OAM(Oracle Access Manager):
IDM()
Webgate:是在http server上单独安装的
Oracle E-Business Suite AccessGate:单独部署到webloggic的应用。
某公司实例分析:
当用户通过浏览器请求访问某ebs系统相关资源,请求被转发到了安装了Webgate的HTTP Server上。WebGate(webgate是:OAM的一个组件)再将请求转发给OAM(Oracle Access Manager)认证服务器进行身份认证。
该用户认证通过,请求(这里的请求带有OAM返回的凭证),到达Oracle E-Business Suite AccessGate(独立部署在weblogic的Java EE应用),AccessGate连接到EBS数据库,为此用户和EBS用户做链接,用户即可访问目标ebs系统。一旦一个用户初次被OAM认证,那么请求的资源(带有OAM返回的凭证)就被Oracle E-Business Suite AccessGate放行。
如果一个用户已拥有有效的OAM凭证,AccessGate连接到EBS数据库,为此用户和EBS用户做链接。如果EBS无法找到此用户的链接用户,则该用户请求被重定向到一个用户链接页面,让该用户建立和EBS用户的关联关系。一旦这个关联关系(mapping)建立起来,原来请求的资源作为一个有效的已认证的EBS用户session被返回。只要用户session仍然有效,所有关于EBS资源的子请求都被直接返回给用户。
a) 用户请求受保护的资源,比如EBS URL。
b) 用户被重定向到受保护的OAM AccessGate,该AccessGate是OAM特意为EBS所提供的Agent。
c) WebGate拦截请求,收集凭证,转发到OAM服务器。
d) OAM比较OID用户和创建的Session,验证用户的凭证。
e) OAM WebGate通过用户认证,到EBS AccessGate。
f) AccessGate识别这个EBS用户。
g) 用户session通过EBS认证,被重定向到原始的网址,资源返回给浏览器,此时返回的应用资源是EBS授权该用户所允许看到的应用界面。
2、what is Lightweight Directory Access Protocol(LDAP)?
LDAP是一个标准的,可扩展的目录访问协议,它是一个通用的语言,提供给LDAP 客户端和服务器端的通信。LDAP standard simplifies management 管理信息通过如下三种方式:
1、它提供企业内所有用户和应用程序单独的、易定义的、标准的接口 到 一个单独的、可扩展的目录服务。这让应用的快速开发和部署更简单。
2、在多个服务分散的企业中,降低输入和整理冗余信息的需要。
3、它良好的协议和接口技术,让部署internet-ready应用更加实用。
LDAP是一个Internet-ready,轻量级实现的目录服务,它在客户端需要最小量的网络软件,也可以认为是一个瘦客户端的应用。
参考ppt:http://download.csdn.net/detail/changyanmanman/6631859