企業(yè)身份管理產(chǎn)品解決方案

1、 Oracle 企業(yè)身份管理產(chǎn)品解決方案Oracles Identity Management Suite企業(yè)的IT現(xiàn)狀2 企業(yè)賬戶存儲(chǔ)在哪里 帳戶生命周期如何管理 不同應(yīng)用之間賬戶及角 色如何供應(yīng) 門(mén)戶如何與其他應(yīng)用進(jìn)行認(rèn)證、授權(quán)和SSO的集成 賬戶行為如何審計(jì)問(wèn)題#1：管理用戶和職責(zé)3采用手工創(chuàng)建用戶帳戶和授權(quán)企業(yè)應(yīng)用中的職責(zé)，高成本；內(nèi)部調(diào)動(dòng)難以處理，其相應(yīng)權(quán)限的調(diào)整不能及時(shí)處理；申請(qǐng)一個(gè)新的職責(zé)，人工操作，費(fèi)時(shí)耗力；需人工完成訪問(wèn)批準(zhǔn)，用email驅(qū)動(dòng)，每個(gè)職責(zé)的批準(zhǔn)不唯一，而且不能審計(jì)為什么訪問(wèn)被授權(quán)；在終止時(shí)移除訪問(wèn)和職責(zé)要花費(fèi)太長(zhǎng)時(shí)間，且有很多細(xì)微問(wèn)題難以全部解決12345問(wèn)題#

2、2：訪問(wèn)和密碼管理412345想用SSO或用戶的AD密碼來(lái)使訪問(wèn)企業(yè)應(yīng)用變得更簡(jiǎn)單；企業(yè)應(yīng)用用戶忘記了密碼，需要一種方式讓他們重設(shè)密碼；想要使用SSO，但必須確保能了解用戶是誰(shuí)并防止欺騙行為；想將企業(yè)應(yīng)用對(duì)外顯示給web和VPN上所有用戶，但缺乏信任；需要對(duì)企業(yè)應(yīng)用應(yīng)用數(shù)據(jù)進(jìn)行嚴(yán)密的訪問(wèn)控制 (在用戶界面和數(shù)據(jù)庫(kù)層)5Oracle 身份管理套件身份管理訪問(wèn)管理目錄服務(wù)審計(jì)&合規(guī)套件管理Identity Management SuiteEnterprise Manager IDM Pack“身份管理2.0”核心平臺(tái) Identity Manager Internet DirectoryAuthe

3、ntication Servicefor OS Role Manager Adaptive Access Manager Entitlement ServerWeb Services Manager Virtual Directory Identity FederationEnterprise Single Sign-On Access Manager身份管理 本身是一個(gè)廣泛的功能區(qū)，包括各種活動(dòng)，如用戶和組管理、自助服務(wù)、委托管理和審批工作流。這些功能通常由供應(yīng)和企業(yè)角色管理技術(shù)實(shí)現(xiàn)。如果將目錄服務(wù)看作存儲(chǔ)身份數(shù)據(jù)的功能層，則可以將身份管理看作管理身份數(shù)據(jù)完整生命周期的區(qū)域。我們創(chuàng)建并管理規(guī)

4、則和工作流以自動(dòng)化各種應(yīng)用程序中用戶身份及其相關(guān)權(quán)限的創(chuàng)建、刪除或更改流程。此外，組織內(nèi)個(gè)人不斷變化的角色或其相關(guān)事物可動(dòng)態(tài)觸發(fā)這些規(guī)則和工作流。雖然自動(dòng)化是使我們免去手動(dòng)流程的主要優(yōu)勢(shì)，但是我們?nèi)孕铻閭€(gè)人提供賬戶自助服務(wù)功能，并將他們的某些職責(zé)委托給組織內(nèi)其他人。訪問(wèn)管理 是控制用戶訪問(wèn)企業(yè)資源、管理企業(yè)應(yīng)用程序權(quán)限和精細(xì)授權(quán)、預(yù)先防止欺詐活動(dòng)并增強(qiáng)驗(yàn)證安全性，以及跨組織聯(lián)合身份和用戶會(huì)話的區(qū)域。身份管理是對(duì)身份數(shù)據(jù)的生命周期進(jìn)行管理，而訪問(wèn)管理是門(mén)口的警衛(wèi)，根據(jù)不斷變化的政策組合確定哪些用戶在何時(shí)可以訪問(wèn)哪些信息。目錄服務(wù) 是多數(shù)身份管理平臺(tái)的主要構(gòu)成部分。此基礎(chǔ)層由 LDAP 目錄本身構(gòu)

5、成，存儲(chǔ)包括用戶名和密碼在內(nèi)的用戶身份數(shù)據(jù)。多數(shù)企業(yè)應(yīng)用程序使用存儲(chǔ)在 LDAP 目錄中的數(shù)據(jù)。因?yàn)榻M織通常擁有多個(gè)企業(yè)應(yīng)用程序，因此您通常會(huì)發(fā)現(xiàn)他們也擁有多個(gè)目錄。隨著時(shí)間的推移，身份數(shù)據(jù)會(huì)廣泛分布于整個(gè)企業(yè)。此外，企業(yè)應(yīng)用程序經(jīng)常需要存儲(chǔ)在多個(gè)目錄中的數(shù)據(jù)。要消除這樣的分布式數(shù)據(jù)，開(kāi)發(fā)組織可采取的一種方法是使用元目錄服務(wù)，這種服務(wù)允許在目錄之間同步數(shù)據(jù)。另一種方法是使用虛擬目錄，這種目錄提供單一的目錄視圖供應(yīng)用程序使用，同時(shí)從多個(gè)其他目錄中引入數(shù)據(jù)，而無(wú)需進(jìn)行同步。三大功能區(qū)67Oracle 身份管理套件身份管理訪問(wèn)管理目錄服務(wù)審計(jì)&合規(guī)套件管理Identity Management Su

6、iteEnterprise Manager IDM Pack“身份管理2.0”核心平臺(tái) Identity Manager Internet DirectoryAuthentication Servicefor OS Role Manager Adaptive Access Manager Entitlement ServerWeb Services Manager Virtual Directory Identity FederationEnterprise Single Sign-On Access ManagerOracle Role Manager（Oracle 角色管理器）Oracle

7、 角色管理器是權(quán)威的角色管理解決方案，使用可擴(kuò)展的 J2EE 體系結(jié)構(gòu)構(gòu)建。Oracle 角色管理器為企業(yè)角色生命周期管理、多維組織和關(guān)系管理提供全面的功能集。通過(guò)使用角色來(lái)抽取資源和權(quán)限，Oracle 角色管理器使業(yè)務(wù)用戶可以根據(jù)業(yè)務(wù)策略定義用戶訪問(wèn)權(quán)限，并可以在業(yè)務(wù)條款中審核用戶的訪問(wèn)權(quán)限。通過(guò)將業(yè)務(wù)用戶納入身份管理流程，Oracle 角色管理器為身份相關(guān)的安全性和合規(guī)性流程提供了可擴(kuò)展性。Oracle Identity Manager（Oracle 身份管理器）Oracle 身份管理器是高度靈活和可擴(kuò)展的企業(yè)身份管理系統(tǒng)，可以集中控制用戶賬戶的生命周期和企業(yè)內(nèi)部資源的訪問(wèn)權(quán)限。Oracl

8、e 身份管理器可與最常見(jiàn)部署的企業(yè)應(yīng)用程序和基礎(chǔ)架構(gòu)技術(shù)進(jìn)行隨取隨用集成。此外，身份管理器還隨附一個(gè)圖形工具，允許您與其他應(yīng)用程序集成，在可能需要與自有技術(shù)集成的情況下，不能進(jìn)行隨取隨用集成。身份管理89Oracle 身份管理套件身份管理訪問(wèn)管理目錄服務(wù)審計(jì)&合規(guī)套件管理Identity Management SuiteEnterprise Manager IDM Pack“身份管理2.0”核心平臺(tái) Identity FederationEnterprise Single Sign-On Access Manager Identity Manager Internet DirectoryAut

9、hentication Servicefor OS Role Manager Adaptive Access Manager Entitlement ServerWeb Services Manager Virtual DirectoryOracle Adaptive Access Manager （Oracle 自適應(yīng)訪問(wèn)管理器）Oracle 自適應(yīng)訪問(wèn)管理器通過(guò)強(qiáng)大的多因素身份驗(yàn)證安全性（可根據(jù)用戶操作環(huán)境以及前瞻、實(shí)時(shí)的欺詐防護(hù)進(jìn)行動(dòng)態(tài)調(diào)整）為業(yè)務(wù)及其客戶提供強(qiáng)有力的保護(hù)。Oracle 自適應(yīng)訪問(wèn)管理器為在線應(yīng)用程序提供無(wú)需設(shè)備的強(qiáng)大的相互身份驗(yàn)證。Oracle 自適應(yīng)訪問(wèn)管理器還在事務(wù)

10、處理的多個(gè)點(diǎn)上提供實(shí)時(shí)風(fēng)險(xiǎn)評(píng)級(jí)以識(shí)別潛在欺詐。Oracle Entitlement Server （Oracle 授權(quán)服務(wù)器）成功滿足了控制訪問(wèn)管理的需求后，更多的企業(yè)開(kāi)始尋求對(duì)應(yīng)用程序本身內(nèi)嵌的精細(xì)授權(quán)策略的集中化管理。新標(biāo)準(zhǔn)使其可以跨供應(yīng)商環(huán)境而實(shí)現(xiàn)。Oracle 授權(quán)服務(wù)器通過(guò)提供跨企業(yè)應(yīng)用程序的、集中的、基于標(biāo)準(zhǔn)的策略管理和分布式策略執(zhí)行實(shí)現(xiàn)了更安全的企業(yè)環(huán)境、提高了管理的簡(jiǎn)便性、統(tǒng)一了策略執(zhí)行并且改進(jìn)了合規(guī)性。Oracle Web Services Manager （Oracle Web 服務(wù)管理器）全球公司正在內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)環(huán)境中積極實(shí)施面向服務(wù)的體系結(jié)構(gòu) (SOA)。雖然 SOA

11、 和當(dāng)前的備選方案相比擁有諸多優(yōu)勢(shì)，但是部署 Web 服務(wù)網(wǎng)絡(luò)仍然是關(guān)鍵的挑戰(zhàn)，尤其是在安全性和管理方面。Oracle 通過(guò)稱為 Oracle Web 服務(wù)管理器的基于標(biāo)準(zhǔn)的解決方案來(lái)應(yīng)對(duì) SOA 安全性和管理挑戰(zhàn)。Oracle Web 服務(wù)管理器是 J2EE 應(yīng)用程序，為在異構(gòu)環(huán)境中定義和實(shí)施 Web 服務(wù)安全性而設(shè)計(jì)，它提供了在服務(wù)級(jí)別協(xié)議基礎(chǔ)上管理 Web 服務(wù)的工具，并允許用戶以圖表形式監(jiān)視運(yùn)行時(shí)活動(dòng)。Oracle Web 服務(wù)管理器可由開(kāi)發(fā)人員在開(kāi)發(fā)時(shí)用于測(cè)試各項(xiàng) Web 服務(wù)的安全性，或由系統(tǒng)管理員在生產(chǎn)環(huán)境中利用身份管理基礎(chǔ)架構(gòu)來(lái)實(shí)施符合公司需求的安全性。訪問(wèn)管理110Oracl

12、e Access Manager（Oracle 訪問(wèn)管理器）Oracle 訪問(wèn)管理器通過(guò)集成了身份驗(yàn)證、Web 一次性登錄以及訪問(wèn)策略創(chuàng)建和執(zhí)行的基于標(biāo)準(zhǔn)的解決方案為異構(gòu)環(huán)境提供可擴(kuò)展的訪問(wèn)控制。Oracle 訪問(wèn)管理器支持所有主要的 Web 服務(wù)器、應(yīng)用服務(wù)器和目錄服務(wù)器。它有助于確保 Web、J2EE 和企業(yè)應(yīng)用程序的安全性，同時(shí)降低成本、復(fù)雜性和管理負(fù)擔(dān)。Oracle Identity Federation （Oracle 身份聯(lián)合）構(gòu)建跨公司邊界的聯(lián)合用戶社區(qū)代表著企業(yè)實(shí)施客戶產(chǎn)品交叉銷(xiāo)售策略、簡(jiǎn)化供應(yīng)商訪問(wèn)外聯(lián)網(wǎng)應(yīng)用程序操作，以及快速響應(yīng)合并和并購(gòu)等組織變化的時(shí)機(jī)。Oracle 身份

13、聯(lián)合通過(guò)實(shí)施基于標(biāo)準(zhǔn)的 Web 技術(shù)的多協(xié)議聯(lián)合服務(wù)器使這些類型的交互成為可能。Oracle 身份聯(lián)合使企業(yè)能夠跨安全邊界安全地鏈接賬戶和身份，而無(wú)需使用中央用戶信息庫(kù)或同步數(shù)據(jù)存儲(chǔ)。Oracle 身份聯(lián)合為供應(yīng)商、客戶和業(yè)務(wù)合作伙伴提供了可互操作的方式來(lái)實(shí)施跨域一次性登錄，而無(wú)需管理和維護(hù)其身份和證書(shū)的成本。Oracle Enterprise Single Sign-On （Oracle 企業(yè)一次性登錄）Oracle 企業(yè)一次性登錄為用戶實(shí)現(xiàn)了跨所有企業(yè)資源（包括桌面、客戶端服務(wù)器、定制和基于主機(jī)的大機(jī)應(yīng)用程序）的統(tǒng)一登錄和身份驗(yàn)證。用戶可使用單個(gè)證書(shū)（如用戶名/密碼、智能卡或生物設(shè)備）驗(yàn)證

14、身份一次，然后即可安全地訪問(wèn)所有的企業(yè)應(yīng)用程序，而無(wú)需再次登錄。訪問(wèn)管理21112Oracle 身份管理套件身份管理訪問(wèn)管理目錄服務(wù)審計(jì)&合規(guī)套件管理Identity Management SuiteEnterprise Manager IDM Pack“身份管理2.0”核心平臺(tái) Identity Manager Internet DirectoryAuthentication Servicefor OS Role Manager Adaptive Access Manager Entitlement ServerWeb Services Manager Virtual Directory I

15、dentity FederationEnterprise Single Sign-On Access ManagerOracle Authentication Service for OS（ Oracle 操作系統(tǒng)驗(yàn)證服務(wù)）大多數(shù)企業(yè)組織都廣泛部署了 Unix 和 Linux 服務(wù)器，并且這些服務(wù)器通常存儲(chǔ)公司的敏感數(shù)據(jù)。這些系統(tǒng)各自均可提供自有的本地賬戶管理功能，但是會(huì)因?yàn)閼?yīng)用不一致的安全策略而導(dǎo)致管理挑戰(zhàn)，其中最嚴(yán)重的就是潛在安全漏洞。Oracle 操作系統(tǒng)驗(yàn)證服務(wù)可為這些 Linux 和 Unix 環(huán)境提供集中、安全且無(wú)縫的用戶身份驗(yàn)證基礎(chǔ)架構(gòu)?，F(xiàn)在，如果有真正的端到端安全性服務(wù)，則可集

16、中管理、執(zhí)行和審計(jì)對(duì)操作系統(tǒng)的訪問(wèn)。Oracle Virtual Directory （ Oracle 虛擬目錄）Oracle 虛擬目錄是靈活和安全的服務(wù)，用于將應(yīng)用程序連接至現(xiàn)有用戶身份（如目錄和數(shù)據(jù)庫(kù)），而無(wú)需更改基礎(chǔ)架構(gòu)或應(yīng)用程序。客戶可選擇Oracle 虛擬目錄加速對(duì)支持目錄應(yīng)用程序（如門(mén)戶和一次性登錄系統(tǒng)SSO）的部署。更具體的說(shuō)，Oracle 虛擬目錄允許客戶圍繞統(tǒng)一多個(gè)目錄的需求解決特定問(wèn)題、允許 LDAP 訪問(wèn)數(shù)據(jù)庫(kù)或其他專用身份數(shù)據(jù)存儲(chǔ)、改進(jìn)目錄服務(wù)器可擴(kuò)展性，并提供增強(qiáng)的安全性。最后，Oracle 虛擬目錄提高了身份數(shù)據(jù)（不管存儲(chǔ)在何處）的可重用性，從而減少管理和集成成本。

17、Oracle Internet Directory （ Oracle 互聯(lián)網(wǎng)目錄）Oracle 互聯(lián)網(wǎng)目錄是 LDAP 目錄，它利用了 Oracle 數(shù)據(jù)庫(kù)的可擴(kuò)展性、高可用性和安全性功能。Oracle 互聯(lián)網(wǎng)目錄可用作 Oracle 身份管理部署的中央用戶信息庫(kù)，還可用作異構(gòu)企業(yè)的高度可擴(kuò)展的基于標(biāo)準(zhǔn)的目錄。元目錄功能是通過(guò)目錄集成平臺(tái)提供的，因此允許用戶在 Oracle 互聯(lián)網(wǎng)目錄和其他第三方目錄之間同步數(shù)據(jù)。目錄服務(wù)1314Oracle 身份管理套件身份管理訪問(wèn)管理目錄服務(wù)審計(jì)&合規(guī)套件管理Identity Management SuiteEnterprise Manager IDM P

18、ack“身份管理2.0”核心平臺(tái) Identity Manager Internet DirectoryAuthentication Servicefor OS Role Manager Adaptive Access Manager Entitlement ServerWeb Services Manager Virtual Directory Identity FederationEnterprise Single Sign-On Access ManagerOracle Internet Directory15Oracle Internet Directory16LDAP客戶端LDAP

19、overSSLLDAP管理平臺(tái)Oracle數(shù)據(jù)庫(kù)OracleLDAP服務(wù)器Oracle網(wǎng)絡(luò)連接基于標(biāo)準(zhǔn)LDAP v3與Oracle系統(tǒng)管理環(huán)境緊密集成伸縮性單個(gè)服務(wù)器上億條用戶條目成千并發(fā)client高可用性Multi master復(fù)制Oracle 熱備份/恢復(fù)安全性基于訪問(wèn)控制列表(access control lists)的精密安全模型擴(kuò)展性(Plug-in 框架)外部認(rèn)證OID提供一個(gè)自助控制臺(tái)Oracle Directory Services Manager (ODSM) ，它是一個(gè)基于 Oracle 的應(yīng)用開(kāi)發(fā)框架（ ADF ）為 OID（和 OVD）管理員提供了一個(gè)易于使用的管理工

20、具，包括用于搜索和管理目錄中的用戶數(shù)據(jù)，調(diào)優(yōu) OID，以及建立和配置 LDAP 復(fù)制的部署加速器。OID提供復(fù)雜的密碼策略管理功能（例如，控制密碼到期時(shí)間和密碼長(zhǎng)度）OID利用服務(wù)器端的高級(jí)緩存功能，為用戶提供快速的目錄搜索功能。OID基于Oracle數(shù)據(jù)庫(kù)的數(shù)據(jù)存儲(chǔ)，可以提供所有數(shù)據(jù)庫(kù)的高級(jí)安全和可靠性支持目錄集成可以實(shí)現(xiàn)集團(tuán)統(tǒng)一身份存儲(chǔ)和區(qū)域中心身份存儲(chǔ)的兩級(jí)目錄集成。OID 包括一個(gè)目錄集成平臺(tái) (DIP) 一組支持客戶進(jìn)行各種第三方數(shù)據(jù)源和 OID 目標(biāo)之間數(shù)據(jù)同步的服務(wù)。此外，DIP 還使 OID 能夠與第三方元目錄解決方案進(jìn)行互操作。DIP 包括可與 Oracle E-Busine

21、ss Human Resources、Oracle 數(shù)據(jù)庫(kù)隨時(shí)同步的連接器，以及用來(lái)與第三方 LDAP 服務(wù)器（如 Sun Java System Directory Server、Microsoft Active Directory 和 Active Directory Lightweight Directory Services(LDS)、Novell eDirectory、OpenLDAP 以及 11gR1 新支持的 IBM Tivoli）同步信息的連接器。Oracle Internet Directory1718Understanding OID in OFMODSM，部署在WebLo

22、gic Server上的Java組件，是OID和OVD的管理工具。Oracle WebLogic Server 管理控制臺(tái)，能對(duì)ODSM、DIP的運(yùn)行情況進(jìn)行監(jiān)控。19Oracle 身份管理套件身份管理訪問(wèn)管理目錄服務(wù)審計(jì)&合規(guī)套件管理Identity Management SuiteEnterprise Manager IDM Pack“身份管理2.0”核心平臺(tái) Identity Manager Internet DirectoryAuthentication Servicefor OS Role Manager Adaptive Access Manager Entitlement Ser

23、verWeb Services Manager Virtual Directory Identity FederationEnterprise Single Sign-On Access Manager 統(tǒng)一認(rèn)證OAM具有訪問(wèn)控制、單點(diǎn)登錄和用戶配置文件管理等重要功能，同時(shí)還具有這些功能間的相關(guān)審計(jì)報(bào)告訪問(wèn)管理和SSO 方面，OAM 提供了創(chuàng)建、管理和實(shí)施訪問(wèn)策略的主要功能 主要特點(diǎn)及功能1. OAM 是一個(gè)圖形化工具，用于創(chuàng)建和管理訪問(wèn)策略、設(shè)置要保護(hù)的資源以及模擬用戶訪問(wèn)以確保正確的策略功能性2. OAM 提供了一個(gè)插件API，用于集成各種身份驗(yàn)證方法和設(shè)備。它可以靈活支持智能卡或CA證書(shū)

24、認(rèn)證。通過(guò)該插件API，客戶可以擴(kuò)展OAM 以支持幾乎任何可能的身份驗(yàn)證形式，其中包括生物特征識(shí)別和雙因素身份驗(yàn)證3. 最具靈活性和可伸縮性的委托管理功能4. 動(dòng)態(tài)組管理、用戶自助服務(wù)/自注冊(cè)、審計(jì)報(bào)告5. 開(kāi)箱即用的集成代理Web GateOracle Access Manager2021Oracle Access Manager-什么是單點(diǎn)登錄 單點(diǎn)登錄（Single Sign On），簡(jiǎn)稱為 SSO，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。SSO的定義是在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)，他是伴隨著企業(yè)應(yīng)用集成（EAI, Enterprise App

25、lication Integration）的發(fā)展而出現(xiàn)的技術(shù)。 單點(diǎn)登錄的技術(shù)實(shí)現(xiàn)機(jī)制： 當(dāng)用戶第一次訪問(wèn)應(yīng)用系統(tǒng)1的時(shí)候，因?yàn)檫€沒(méi)有登錄，會(huì)被引導(dǎo)到認(rèn)證系統(tǒng)中進(jìn)行登錄；根據(jù)用戶提供的登錄信息，認(rèn)證系統(tǒng)進(jìn)行身份效驗(yàn)，如果通過(guò)效驗(yàn)，應(yīng)該返回給用戶一個(gè)認(rèn)證的憑據(jù)ticket；用戶再訪問(wèn)別的應(yīng)用的時(shí)候，就會(huì)將這個(gè)ticket帶上，作為自己認(rèn)證的憑據(jù)，應(yīng)用系統(tǒng)接受到請(qǐng)求之后會(huì)把ticket送到認(rèn)證系統(tǒng)進(jìn)行效驗(yàn)，檢查ticket的合法性。如果通過(guò)效驗(yàn)，用戶就可以在不用再次登錄的情況下訪問(wèn)應(yīng)用系統(tǒng)2及其他的系統(tǒng)。 要實(shí)現(xiàn)SSO需要以下幾個(gè)功能： 所有應(yīng)用系統(tǒng)共享一個(gè)身份認(rèn)證系統(tǒng)； 所有應(yīng)用系統(tǒng)能夠識(shí)別和提

26、取ticket信息； 應(yīng)用系統(tǒng)能夠識(shí)別已經(jīng)登錄過(guò)的用戶，能自動(dòng)判斷當(dāng)前用戶是否登錄過(guò)，從而完成單點(diǎn)登錄的功能 其中，統(tǒng)一的身份認(rèn)證系統(tǒng)最重要，認(rèn)證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫(kù)相比較，對(duì)用戶進(jìn)行登錄認(rèn)證；認(rèn)證成功后，認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志（ticket），返還給用戶。另外，認(rèn)證系統(tǒng)還應(yīng)該對(duì)ticket進(jìn)行效驗(yàn)，判斷其有效性。整個(gè)系統(tǒng)可以存在兩個(gè)以上的認(rèn)證服務(wù)器，這些服務(wù)器甚至可以是不同的產(chǎn)品。認(rèn)證服務(wù)器之間要通過(guò)標(biāo)準(zhǔn)的通訊協(xié)議，互相交換認(rèn)證信息，就能完成更高級(jí)別的單點(diǎn)登錄。22Oracle Access Manager-Oracle的單點(diǎn)登錄解決方案 Oracle單點(diǎn)登錄

27、的解決方案主要通過(guò)身份管理套件IDM（Identity Management）來(lái)實(shí)現(xiàn)，其中的組件包括OAM，OID，OVD，ORM，OIM，OIF等，這些組件可根據(jù)項(xiàng)目需求進(jìn)行合理的組合運(yùn)用，以提供完善的身份管理解決方案，而單點(diǎn)登錄主要運(yùn)用其中的OAM組件（必需），可能會(huì)用到OID（推薦）或其他的組件。 下圖即為Oracle的單點(diǎn)登錄解決方案： 1）用戶請(qǐng)求一個(gè)受WebGate保護(hù)的Web應(yīng)用系統(tǒng)資源（WebGate作為一個(gè)組件，安裝在應(yīng)用系統(tǒng)的WEB服務(wù)器上，用于攔截用戶的請(qǐng)求，WebGate目前主要有For Apache和For IIS等，所以對(duì)于某些系統(tǒng)來(lái)說(shuō)可能沒(méi)有對(duì)應(yīng)的webgate，

28、這種情況我們往往采用Apache代理轉(zhuǎn)發(fā)的方式來(lái)處理，即WebGate安裝在Apache上，認(rèn)證成功再轉(zhuǎn)發(fā)到實(shí)際的應(yīng)用系統(tǒng)）23Oracle Access Manager-Oracle的單點(diǎn)登錄解決方案 2）WebGate攔截了用戶的請(qǐng)求后，將請(qǐng)求轉(zhuǎn)向Access Server，由Access Server來(lái)判斷所訪問(wèn)的資源是否受保護(hù)，如果不受保護(hù)則可以直接瀏覽資源；如果資源受保護(hù)，則Access Server會(huì)檢查用戶是否已認(rèn)證（通過(guò)檢查ObSSOCookie來(lái)判斷是否已認(rèn)證），如果未認(rèn)證，則轉(zhuǎn)向認(rèn)證中心進(jìn)行認(rèn)證（這里即OID）3）Access Server連接IDM對(duì)用戶名/密碼進(jìn)行校驗(yàn)，

29、若校驗(yàn)成功則返回信息到WebGate，并生成一個(gè)加密的Cookie（ObSSOCookie）返回給認(rèn)證成功的用戶。4）如果認(rèn)證成功，Access Server查找資源的訪問(wèn)策略，比較授權(quán)等級(jí)，來(lái)決定能否訪問(wèn)該資源。（目前所做的實(shí)施并沒(méi)有在OAM進(jìn)行授權(quán)配置，而是只配置認(rèn)證，即OAM只做認(rèn)證，不做授權(quán)）24Oracle Access Manager-Oracle的單點(diǎn)登錄解決方案 OAM（Oracle Access Manager）IDM套件中負(fù)責(zé)訪問(wèn)管理的組件，是實(shí)現(xiàn)單點(diǎn)登錄的核心組件，可以把理解為一個(gè)企業(yè)整個(gè)應(yīng)用系統(tǒng)的“門(mén)”，所有受其“管控”的系統(tǒng)均要OAM中定義配置，以達(dá)到單點(diǎn)登錄的效果。

30、 注：?jiǎn)吸c(diǎn)登錄的實(shí)質(zhì)思想是給所有要實(shí)現(xiàn)單點(diǎn)登錄的系統(tǒng)提供一個(gè)統(tǒng)一且唯一的入口，這個(gè)入口常常只完成認(rèn)證，即驗(yàn)證用戶名/密碼是否正確，而至于是否有權(quán)限訪問(wèn)某個(gè)系統(tǒng)是由其系統(tǒng)本身決定的，然后有的客戶常常要求某某系統(tǒng)既可以單點(diǎn)登錄，也可以使用此系統(tǒng)原有登錄模式進(jìn)行登錄，從而使得單點(diǎn)登錄提供的是一個(gè)統(tǒng)一的入口，但常常并非是唯一入口，而這個(gè)統(tǒng)一的入口往往是以門(mén)戶的形式展現(xiàn)的，下圖為金風(fēng)科技門(mén)戶的截圖： 25Oracle Access Manager-單點(diǎn)登錄實(shí)例 從目前實(shí)施的單點(diǎn)登錄來(lái)看，我們接觸的系統(tǒng)共分為如下三類： A、Oracle的 應(yīng)用系統(tǒng)，如OAM（Identity Domain/Policy Manage），WebLogic（Console/EM），EBS，SES，BIEE等，這些系統(tǒng)均有單點(diǎn)登錄的認(rèn)證模塊，都有較成熟的單點(diǎn)登錄實(shí)現(xiàn)方案，配置即可。 B、外部系統(tǒng)，如金蝶K3 HR，E-learning，漢邦極通，UCenter，eDoc等，這些系統(tǒng)均會(huì)提供單點(diǎn)登錄的API或接口，或結(jié)合OAM進(jìn)行些客戶化開(kāi)發(fā)。 C、基于WebLogic Security的ADF應(yīng)用，如WebCenter門(mén)戶，此類應(yīng)用可作為單點(diǎn)登錄主入口（但要進(jìn)行一定的客戶化開(kāi)發(fā)），但不能做為單點(diǎn)登錄的一個(gè)應(yīng)用。 26Oracle 身份管理套件