全面身份治理.PDF

Oracle 白皮书 2013 年3 月 全面身份治理 业务概述 全面身份治理 执行概要 2 Oracle 身份治理套件– 全面方案 3 组装模块– 核心解决方案组件 4 访问目录 4 访问请求 5 访问目录的业务用户友好性 5 访问请求期间的预防性IT 审计策略分析 6 跟踪请求 6 UI 定制和持久性 7 特权帐户管理 7 角色生命周期管理 8 身份认证 11 IT 审计监控 13 帐户同步和孤儿账户侦测 14 审计和报告 14 结束语 15 全面身份治理 执行概要 企业需要确保用户有充足访问权限来履行其岗位职责，但由于合规和安全原因，对此类访问进行约束也很重 要。因此，企业在简化让用户获得和供应访问权限的同时，管理人员、资源所有者及系统管理也需要简化审核 和撤消访问权限的操作。Oracle 的身份治理解决方案旨在帮助企业平衡这些访问、安全和合规方面的综合目 标。 对大型组织而言，让用户获得他们需要的访问可能成为一项让人苦恼和耗时的任务。新用户对 IT术语了解不多，从 而妨碍他们按IT名称来请求权限。所以新用户常常干脆请求与身边同事同样的访问权限，而这些权限有可能对新用 户来说是不恰当的。在正式员工和合同工从事各种项目、调动部门和工作地点、改变其岗位职责以及获得晋升时， 其访问要求会发生变化。在更深层面，系统管理员需要访问特权和共享帐户，以便履行更关键的任务及管理职责。 这些帐户常常是超级用户，名字和管理员的账户名不一样，所以这类账户的授予必须具备时效性。针对所有这些情 形，Oracle 提供了身份治理解决方案套件，通过让用户能够根据简单、基于Web 的目录来请求访问以及通过将这 些请求发送给合适的批准者来简化访问授权。另外该解决方案还提供了特权帐户管理功能，用于控制对共享账户、 超级用户或管理员帐户的访问。 同样，访问认证也是大多数企业始终面临的一个挑战，但它对遵守诸如《萨班斯-奥克斯利法案》(SOX) 等法规 是必不可少的。执行众多困难任务（如验证用户访问权限、执行安全策略和自动撤消多余的访问权限）的需要由 于依赖于处理这些任务的缓慢和易于出错的手动流程而增加。由于这些问题的存在，再加上没有全面、连贯的合 规与审计方案使得以有效和经济上划算的方式来克服这一挑战成为几乎不可能的事情。因此，企业不得不投入大 量资源来实现合规目标。Oracle 通过使审核周期自动化的方式简化了访问认证的挑战。Oracle 的治理解决方案 可自动检测用户的特权和孤儿帐户，通知相关人员需要采取的行动，使用风险评分来帮助他们安排其认证任务的 优先级，以及在做出决定后对特权和帐户进行变更。 本白皮书介绍了Oracle 的身份治理套件组件如何协同工作，来帮助企业实现全面和集中的身份治理。 全面身份治理 Oracle 身份治理套件– 全面方案 Oracle 身份治理套件为跨业务应用程序和平台管理帐户和访问权限提供了一个新式和简化的解决方案。通过一个 完整和集成的平台，Oracle 身份治理套件能够提供以下好处：  提高最终用户生产力- 一致和直观的用户界面，通用的业务术语表，即时访问关键应用程序，角色生命 周期管理  提高 IT 生产力和供应任务自动化  降低总体拥有成本- 单一厂商的身份治理平台、灵活和简化的定制框架、轻松证明合规性、通用连接器、 基于业界标准的技术  降低风险– 确保的的访问权限撤消，检测和管理孤儿帐户，主动和被动IT 审计策略检测与执行，对于 谁能够做什么事情的细粒度授权控制，定期的重新认证，持续的基于策略和角色的访问再评估  提高运营效率- 基于风险的身份认证缩短了认证的总时间，自动化的可重复用户管理任务，角色 合并，部署简便性 该解决方案支持各种流行管理方式，如基于角色、规则及策略的管理，来帮助实现灵活和可扩展的管理。此外，用 户还能对生动的访问请求目录进行搜索来请求对应用程