《身份管理与移动安全在大型企业的应用与实践》由会员分享,可在线阅读,更多相关《身份管理与移动安全在大型企业的应用与实践(44页珍藏版)》请在金锄头文库上搜索。
1、Hardware and Software Engineered to Work Together 身份管理与移动安全在大型企业的应用与实践 Copyright 2012, Oracle and/or its affiliates. All rights reserved. 2 挑战与需 求 :身份管理、 安全 与新型业务 Oracle IDM身份解决方案 目录服务 身份管理 访 问控 制 案例 分 享 Q&A 议题 Copyright 2012, Oracle and/or its affiliates. All rights reserved. 3 身份管理需求及 发展趋势 Copyrig
2、ht 2012, Oracle and/or its affiliates. All rights reserved. 4 企业传统业务对身份管理的挑战 管理信息系统 业务系统 ERP系统 网管 系统 系统都是离散的、相对独立的 异构的技术平台和设计架构 商业软件与自行开发应用系统共存 身份是片段的 企业缺乏统一的安全策略 认证和授权的机制及实现各不相同 后端 IT系统维护工作量大 客户要求更加全面、安全、强大的渠道和服务 对审计及合规性管理方面的要求 Copyright 2012, Oracle and/or its affiliates. All rights reserved. 5 社交
3、 CRM 移 动银 行 电 子商 务 业务转型 公民服 务 移 动办 公 在 线 医 疗 保健 社交零售 云服 务 来自新业务 的创新需求 交叉 销 售 Copyright 2012, Oracle and/or its affiliates. All rights reserved. 6 云计算、移动应用 和社交网络 极限伸缩能力 升级路径 简化的体验 简化 和创新 帐号、角色管理 法律法规审计 云计算中的身份管理 身份生命周期管理 合作伙伴 客户帐号 内部员工 基于平面文件、数据库、目录服务的用户存储 HR应用 目录服务 应用访问控制 帐号、角色治理 Cloud Office Automa
4、tion Applications Physical Items Web / Portals Databases & OS/Legacy 用户帐号供应流程 管理权限委托 登录验证 访 问控 制 IaaS PaaS SaaS 用户存储 集中认证 Copyright 2012, Oracle and/or its affiliates. All rights reserved. 8 Encryption and Masking Privileged User Controls Database Firewall Secure Configuration Database Security Trus
5、ted OS Extensions Virtualization Security Cryptographic Acceleration Key Storage Built-In Secure Storage Infrastructure Security Auditing Attestation Segregation of Duties Process Controls Transaction Controls Risk & Compliance Privilege Account Management User and Role Management Entitlements Manag
6、ement Risk-Based Access Control Directory Services Identity Management Oracle Security Services Copyright 2012, Oracle and/or its affiliates. All rights reserved. 9 Oracle的解决方案 Copyright 2012, Oracle and/or its affiliates. All rights reserved. 10 Oracle Identity Management 为新数字化工作环境保驾护航 SERVICESUSER
7、 AUTHENTICATION LOCATION DATA EXTREME SCALE LOW TCO INTEGRATED INTEROPERABLE DEVICE AUTHN NAMING SERVICES HOST ACCESS CONTROL APP THOUSANDS MILLIONS BILLIONS 10s of BILLIONS 承担所有内部 IT应用认证、授权的基础,建议采用 Oracle目录服务,可基于 Linux/Unix部署 考虑到目录服务重要性,建议集群部署 LDAP集群部署 数据灾备 (如果有条件的话 ) 与现有 LDAP关系 认证库、用户信息库 Oracle目录服
8、务作为企业中心目录,与其他 LDAP保持数据的同步 与数据库应用集成 可利用 易管理型 提供统一的 B/S管理界面 企业中心目录服务 实现最全面的身份数据视图 面向云计算、社交网络的目录服务 Oracle Unify Directory 同步 代理 3X 读性能 5X 写性能 与 ODSEE相比较 Oracle Unified Directory OUD更快,读写性能提高 3-5倍 OUD基于 Java技术,可以支持任何平台 OUD十分易于维护 OUD在全球有很多大规模实施部署 OUD更适合于云计算、社交网络、大用户量类型应用而设计 重点特性 将继续增强和保留已有目录服务集成 目录服务 代理服
9、务器 复制服务器 核心组件 COMPLETE GOVERNANCE GOVERNANCEOPERATING SYSTEMS DIRECTORY SERVICES APPS APPLICATIONS COMMON REPOSITORY DATABASES SINGLE USER VIEW ACCESS REQUEST ENTITLEMENT CATALOG PRIVILEGED ACCOUNT MANAGEMENT ACCESS CERTIFICATION Identity Administration Request/Approval Approve or Reject User Self S
10、ervice Provisioning Identity Warehouse Role Management Audit Compliance Alerts, Reports, Dashboards Identity Access Governance Dis-connected Systems Active Directory OID/ ODSEE Oracle Apps Provisioning Targets Database 帐号供应与角色管理 实现账户生命周期统一管理 PeopleSoft GTC Other Sources of Record Sources of Record E
11、TL Mainframe Oracle 数据库 用户帐户 和职责 创建 /修改 帐户同步供应及检查 HR应用 事件驱动 数据库 应用 目录服务 Oracle E-SSO容器 创建 修改 密码重置 激活 /关闭 终止 其他数据源 文本文件 数据库 目录服务 自服务 / 委托管理 身份管理和用户供应 Oracle Identity Manager 晋升 经认证的应用集成 密码的更新和同步 添加和 删除职责 用户的入职 , 调动 , 更新 , 离职 Oracle Database Oracle Identity Manager 1.用户帐号和职责 创建 /修改 2. 对孤儿帐号进行定期检查 3. 删
12、除 /屏蔽身份或职责 Directories, Databases & OS/Legacy E-Mail Applications (On-Premise & SaaS) Portals Oracle Identity Manager Copyright 2012, Oracle and/or its affiliates. All rights reserved. 18 身份生命周期管理 典型身份管理流程 自注册,从 HR系统或文本文件同步帐号 New Employee HRMS Provisioned Applications Revoked Applications Reconcilia
13、tion Engine Identity Store Access Policy Workflow Connector User Group New Contractor Approval Self Registration Role Mgmt Role Mgmt ! 帐号生命周期 Copyright 2012, Oracle and/or its affiliates. All rights reserved. 19 特权账户管理 LDAP Server DBA HR Application Database User logs in as DBA Adds Table to DB Syst
14、em out of space Verify OPAM User in HR DBA Role Set DBA password for HR App Database based on password policy for HR App Database User checks in passwords Oracle Privileged Account Manager User logs in as superuser Adds disk space Unix Server Return DBA password Request DBA password Return unix pass
15、word Request unix password Copyright 2012, Oracle and/or its affiliates. All rights reserved. 20 角色生命周期管理 通过混合手段实现全面的角色发现 : 自底向上(用户授权) 自顶向下 (用户 HR属性 ) 灵活的用户信息传输 集中化仪表板 挖掘统计 智能分析 图形表示 角色授权发现 在已有角色基础上挖掘新的角色应用 Copyright 2012, Oracle and/or its affiliates. All rights reserved. 21 多纬度的层次业务组织结构 Copyright 2012, Oracle and/or its affiliates. All
