解决方案 行业解决方案

解决方案

身份治理咨询方案:

整合ITIL、5s等方法论体系,结合信息用户身份服务治理业务,总结制定出一套的行业咨询方案,通过现状调研,提供规划设计、试试路线等指导。

身份治理解决方案:

云端企业服务身份治理、移动应用身份治理、分权分级身份治理、单点登录、细粒度权限治理、角色治理、特权身份治理、联邦身份治理、强认证访问治理、合规性审查等。

身份数据治理解决方案:

结合多年身份数据治理经验,形成一套自主身份数据治理方法论,为企业单位提供最权威的身份数据治理咨询与服务。

身份治理实施方案:

根据多年身份治理项目实施交付经验,总结制定出确保项目质量前提下,代价最小,周期最短,扩展性强的项目实施方案。

身份治理升级与迁移方案:

根据多年技术积累,提供系统迁移和升级服务,以协助客户将原有系统升级到稳定性更高的新版本上。包括:Oracle目录服务升级、Oracle IM升级服务、Oracle AM升级服务等。

身份治理运维培训方案:

针对信息身份治理庞大的技术与业务架构,设计和制作出运维服务方案,确保系统平稳高效运行。针对各信息身份治理项目干系人,提供个性化培训服务,确保各角色可以具备必要的资质满足各角色的能力要求。

身份管理平台

        XX身份管理平台,Oracle Identity Manager 11g利用了基于角色的用户推送和身份管理核心技术,在企业资源上能够自动化地添加、更新或删除用户帐户及属性级别相关权限,实现用户全生命周期的管理以及审计合规。

        身份管理解决方案统一了用户信息的管理工作和用户与实际业务之间的关系。身份管理的主要目的就是让用户更方便和更高效地建立用户在企业IT环境中的身份,使得用户可以尽早地使用企业的IT资源,为企业创造价值,包括了管理每个用户的整个生命周期以及围绕用户管理的各种自动化的业务流程。

        帐号供应可以自动处理在异构企业环境中大量用户的创建和管理。Oracle Identity Manager(简称:OIM)提供了丰富的管理、自服务和工作流能力以及帐号供应功能。OIM允许自动供应或手动供应来自于应用、数据库、身份库和其他系统之间的用户身份,因此在异构IT环境中大大的降低各种管理成本。

        在上述架构图中,通过Oracle Identity Manager不仅可以实现各应用系统和身份库的身份集中供应和帐号生命周期管理,同时对于未来新增的业务应用系统也能保证非常顺利的纳入OIM系统进行统一用户管理。


基于OIM进行应用系统身份供应和协调管理,能实现员工整个身份生命周期的管理,实现从员工入职、变更到离职的整个过程自动化的流程控制。身份管理生命周期流程图如下:

访问控制管理平台

        Oracle Access Manager具有访问控制、单点登录和用户配置文件管理等重要功能,同时还具有这些功能间的相关审计报告。OAM提供身份管理和用户自服务的一些基本功能,但在与身份管理平台如OIM后,这些功能将直接使用身份管理平台的相应功能。

        Oracle Access Manager上图为针对某企业IT应用现状所推荐的总体认证架构的框架,由该框架可清晰的看出,未来访问服务器基于中央目录服务器的用户库而规划,利用Oracle Access Manager所提供的WebGate来保护后台的各个应用,实现各应用间的SSO。WebGate是部署在WEB服务器上的访问拦截器,支持流行的各种WEB服务器,如:IIS、Apache、WebLogic、Oracle HTTP Server、WebSphere等等。WebGate与OAM Access Server采用双向签名的加密协议通信。

        Oracle Access Manager在上图的逻辑架构中,Oracle ESSO主要是为有需要的应用平台处理C/S应用的单点登录服务功能,同样它将基于身份认证平台的OUD作为认证基础。


在访问管理和 SSO 方面,Oracle Access Manager 提供了创建、管理和实施访问策略的主要功能。


        1)访问管理器

        Oracle Access ManagerOracle Access Server是一个图形化工具,用于创建和管理访问策略、设置要保护的资源以及模拟用户访问以确保正确的策略功能性。

        2)访问服务器

        Oracle Access Server是一个独立的软件服务器,它可以部署在单个或集群(负载均衡/故障切换)配置中,以在 Web 和非 Web 资源上实施访问策略。访问服务器在用户访问Web应用程序时提供动态策略评估。它还提供身份验证、授权和审计服务。

        3)身份验证插件

        Oracle Access Server提供了一个插件API,用于集成各种身份验证方法和设备。它可以灵活支持智能卡(如SecurID)或企业CA证书认证。通过该插件 API,客户可以扩展Oracle Access Manager以支持几乎任何可能的身份验证形式,其中包括生物特征识别和双因素身份验证。

        4)委托管理

        当一个用户目录扩大到数千或上百万用户时,让一个集中的管理小组来管理贯穿全天的固定配置文件更改是不可能的。此等规模的公司不得不雇用几十个目录管理员来应付如此庞大的负载。处理此种情形的更好方法就是通过委托管理。在这种管理模式下,管理一组用户的责任被转移给了该组的管理员。例如,如果一个制造商管理着一个拥有一千个供应商的供应商门户,则该制造商可把每个供应商公司中用户的职责委托给各个供应商的管理员。其结果将是分布式的工作、更准确的数据以及管理可伸缩性。

        Oracle Access Manager 是当今市场上最具灵活性和可伸缩性的委托管理功能,这已为世界上许多大型门户在实际运行中所证实。Oracle Access Manager的委托管理特性是如此强大,以至于许多已经从其他供应商购买了具有竞争性的访问控制解决方案的 Oracle 客户又额外部署了 Oracle Access Manager,而这样做的目的只是为了获得 Oracle Access Manager的委托管理功能。

        5)动态组管理

        将用户分配给组是一个十分有用且常见的身份管理特性,该特性可实现更好的访问控制和使用分析。但是,将大量用户分配给静态组无法按规模进行伸缩。更好的方法是基于用户属性来使用动态组。例如,在一个拥有数百万用户的无线电话公司的客户门户中,可能有一个称为"SMS 用户"的动态组,它包含所有其帐户当前已激活 SMS 消息服务的客户。该组中的用户被自动授予访问额外支持 Web 页面的权限。由于客户经常激活和停用该功能,因此不可能手动将用户分配到该组。Oracle Access Manager的动态组功能可以基于配置文件属性自动分配和取消分配用户。当一个客户在其帐户中激活 SMS 消息时,在其目录配置文件中的一个标志将激活,则 Oracle Access Manager立刻会将该客户包含在该组中。

        6)Oracle Access Manager集成代理

        Oracle Access Manager包含许多集成代理,用于管理和保护运行在各种平台上的应用程序。这些集成组件包含现成的代理,这些代理用于运行在多种平台上的所有主要Web服务器、应用服务器和门户服务器。

        Oracle Access Manager Oracle Access Manager WebGate和AccessGate可以连接第三方和自定义基础架构产品,来截获请求和应用Oracle Access Manager访问策略。WebGate是预置的Web服务器代理。由于 Access SDK使客户能够为自定义应用程序构建自己的AccessGate,从而扩大了Oracle Access Manager策略管理和实施的范围。

        在此基础上,对于独立部署了身份管理平台的下属单位,下属单位和集团之间通过Oracle Identity Federation实现联邦单点登录(Federation SSO)。Oracle Identity Federation 可以和Oracle Access Manager天然的集成,并通过业界标准的协议例如SAML 2.0相连。

合规性管理平台

        企业信息化程度不断提高,系统规模变得日益庞大和复杂,各系统往往孤立存在、独立进行管理。管理层与审计部门,难以及时掌握信息系统的使用情况以及潜在风险。如何实时掌握员工使用信息系统的真实情况,并且当发现潜在风险时,如何及时排除变的尤为重要。因此统一的合规管理平台对企业至关重要。

        合规管理平台,是一套具有高度灵活性和扩展能力的企业合规管理平台,用于管理用户在企业IT资源中的角色与权限,一致化角色管理模型,对权限分配进行实时SOD检测,提供实时与事后合规审计,有效解决何人在何时为何以及通过何种途径访问何种系统等合规管理方面至关重要的问题。

        BI Publisher提供了可视化的用户操作界面,管理者可以很方便得对身份管理相关信息进行查询,并对用户访问行为进行分析;审计人员可以通过系统提供的报表进行相关信息的审计,减少身份相关的运行风险。

        Oracle Entitlements Server(前身为BEA)对企业级应用,Web服务及数据提供外部化和集中化的细粒度授权策略。通过全面、可重用的并充分审计授权策略以及简单、易用的管理模式,实现以下几点:高度的扩展性和分布式架构,确保能对大量的保护资源进行实时授权;整合各种不同的平台能加速对应用软件、中间件和数据库细粒度安全策略的部署及发展;支持各种流行的现代标准,确保客户有多种选择,能快速灵活地部署应用。

        Oracle Identity Analytics 11g 提供有丰富分析能力、包含公告板、有高合规性特点的身份智能功能,可以监控、分析、回顾并管理用户访问,来降低风险、提高透明度、满足一系列合规性策略。无缝的集成Oracle Identity Manager 11g能确保任何的修正是闭环的,包括对预防和检测职责分工的控制。以360度全方位的用户访问视角,通过数据入库存储及IT控制的自动化,巩固并关联了身份数据,使数据能够快速达到合规性的要求;利用公告板、先进的角色挖掘和分析技术以及丰富的报表工具可以极大地提高分析能力并控制企业风险;从业务的视角展示身份和所要访问的数据,提供清晰完整的信息来支持商业决策。

移动安全平台

        近年来,随着移动终端的普及,以及企业对于办公效率的追求,移动信息化逐渐纳入企业信息系统规划建设的蓝图,移动安全问题应运而生,如何对移动设备、移动应用、移动内容进行管理越来越重要。Oracle紧随信息发展步伐,提供移动安全解决方案。如下图,Oracle移动安全解决方案由两大安全组件组成:Oracle移动和社交及Oracle移动安全套件。

        Oracle移动和社交的目的是保障企业定制的移动用户通过Internet、安全访问的移动应用程序,作为Oracle访问管理平台,Oracle移动和社交,充分利用企业现有的后端身份管理基础架构,在基于浏览器应用和原生移动应用之间实现单点登录、强大的身份验证、设备指纹识别、以及设备基于上下文之间的部分授权。Oracle移动和社交,也提供了开发人员用来织成安全与身份管理紧密结合原生移动应用的客户端软件开发包(SDK)。此外,Oracle移动和社交使企业能够安全地利用个性化和联合登录的社交身份,以帮助企业通过社交网络发展他们的业务。

        Oracle移动安全套件是一个独立的环境,提供为公司员工利用自拥有设备、能够安全的访问Intranet资源(网站,Web服务和文件),以及在设备上的企业信息化的集中管控。Oracle移动安全套件提供了个人和企业信息和应用之间有明显的隔离。访问企业信息和应用需要各种用户认证、甚至不同的安全级别方式(Username/Password、数字证书或一次性密码等), 在跨互联网资源支持标准Kerberos 和Microsoft Windows NT LAN Manager(NTLM)机制,以及在Oracle访问管理平台的认证和SSO功能。离线数据是使用强FIPS认可的加密算法加密。可设置策略,比如不允许离线存储、远程锁住/消除企业信息和应用,并设置设备超过时间、设备超过指定地理区域的限制策略。安全的应用程序特性能够通过复制/粘贴、电子邮件、打印和通讯,来阻止泄露企业信息的风险。客户自拥有设备上的安全容器应用与后端移动访问网关之间通过份验证的传输层安全(TLS)/安全套接层(SSL)通道(“AppTunnel”)进行通讯。

联系我们  |   网站地图  |   友情链接

© 2015 Copyright 上海今日信息科技有限公司 沪ICP备16040928号-2