OAM10g技术白皮书.docVIP

ORACLE 融合中间件  Oracle Access Manager Oracle白皮书2006年6月 Oracle Access Manager 简介 PAGE 3 声明: 以下内容旨在说明Oracle产品的总体方向。本文仅提供信息，不构成任何合同的约定条件。本文无义务提供任何资料、代码或功能，不应作为采购决策的依据。所述Oracle产品性能和功能的开发、发布及时间计划由Oracle自行决定。 Oracle Access Manager Oracle Access Manager是唯一基于策略的访问管理解决方案，不仅支持异构平台，而且可与Oracle融合应用和融合中间件无缝集成。 Oracle Access Manager是市场上唯一将强大的访问管理系统与最佳身份管理系统相结合的产品。 概述 随着互联网成为信息发布的主要传媒，企业及政府机构开放IT基础设施供客户及合作伙伴访问产品支持数据等资源后面临日益严峻的挑战。这些组织还需要管理员工访问各种企业数据，跟踪他们访问的内容。领先的组织越来越多地依靠身份管理解决方案加强管理，降低运营成本，提高应用的安全性和可用性。严格的身份管理策略要求通过集成技术进行用户生命周期管理，可靠地保存管理用户档案数据，并根据这些档案控制应用的访问。 Oracle Access Manager已在“全球1000排行榜”的许多大企业中广泛部署，并为世界许多业务量巨大的门户网站提供支持。企业利用Oracle Access Manager实现了安全的管理控制、用户自助服务、托管管理，并提高了基于各种供应商产品和平台部署的门户、企业外部网及内部网的可视性。本文将介绍 Oracle Access Manager的主要组件及功能，如身份管理、验证、授权与审计，建立异构应用环境下端对端安全的基础设施。 ORACLE ACCESS MANAGER简介 Oracle Access Manager是Oracle身份管理解决方案，用以进行网站访问管理和用户身份管理。Oracle Access Manager专门支持企业复杂的异构环境。作为Oracle融合（Fusion）中间件的关键组件，访问管理器可全面支持Oracle目前及今后推出的ERP、CRM和协同应用套件。 Oracle Access Manager由访问系统和身份系统组成。访问系统通过集中验证、授权和审计实现企业资源单点登录和安全访问，从而保证应用安全。身份系统管理个人、部门和组织的信息。可进行用户托管管理，并为审批流程提供用户自助注册界面。这些系统无缝集成，可以组合部署，也可以单独部署。 Oracle Access Manager可以为Web和J2EE资源提供基于策略的集中验证、授权和审计服务。 访问管理器后端信息库是基于LDAP的目录服务，可与多种目录服务器结合，主要用于以下两个目的： 作为策略、配置和工作流相关数据的信息库，供访问与身份系统使用和管理。 作为保存用户、部门和组织相关数据的身份库，由身份管理器进行管理并供访问系统用以评估访问策略。 访问管理 Oracle Access Manager的访问系统可进行集中验证、授权和审计，实现web和J2EE资源 (JSP、servlets、各种EJB等)，以及传统系统等企业资源间的单点登录和安全访问。访问系统是一种具有强大扩展能力的解决方案，可用以通过策略保护任何资源。传统或定制应用可以利用各种API进行应用的验证、授权和审计，并且可以加强分布式应用或系统环境下访问策略的集中管理。 验证 访问系统通过集中管理对试图访问Oracle Access Manager保护资源的用户和系统进行验证。访问系统支持以下验证方法： ? 基本用户名/口令? X.509证书 智能卡 双因素令牌 基于表单 通过验证API定制验证 访问系统允许客户定义策略确定验证级别的层次，验证级别可以结合使用满足各种业务要求。例如，客户可以通过用户名和口令保护员工门户系统，而对于关系到敏感数据更为敏感的人力资源（HR）自助应用，用户可以要求采用RSA SecurlD令牌进行验证，从而提高敏感资源或应用的安全级别。 此外，客户还可以通过基于策略的验证模型定义验证流程或步骤，处理各种用户类型或后端验证信息库。例如，流程可以要求提供用户名和口令，根据使用这些凭证的LDAP目录对用户进行验证。 不过，如果这种验证失败，访问系统可以尝试根据Windows域进行验证。这个流程对于最终用户是透明的。验证的灵活性便于客户无缝迁移和集成各种后端验证系统，而最终用户感觉不到这种复杂性。 访问管理器配置了各种验证API，用以集成各种验证方法和设备。即开即用功能支持SecurlD等各种智能卡。利用验证API，客户可扩展访问管理器，从而可以支持几乎任何形式