采取基于角色的方式实现自动供应和个性化门户.docxVIP

采取基于角色的方式实现自动供应和个性化门户作者：Rex Thexton、Nishidhdha Shah 和 Harish Gaur2011 年 1 月发表融合中间件模式系列文章之一下载：Oracle 融合中间件客户、合作伙伴和员工都需要访问企业数据。但随着新系统、新接口和新应用程序的引入，IT 企业的复杂性日益增加，因而控制和监视谁能访问哪些 IT 资源也变得更具挑战性。效率低下的权限所造成的风险不容忽视。未经授权的用户可以访问 IT 资源，从而给应用程序和数据造成严重破坏。企业可能因未满足严格的安全性和隐私合规性要求而面临风险。IT 帮助台可能要投入大量时间来缓解这些风险。IT 部门感到最棘手的领域通常有二。首先是在用户加入（或离开）组织时如何供应（或取消供应）用户的过程。如果供应过程未实现自动化，新员工可能要耗费毫无生产效益的数小时乃至数天，等待获得关键应用程序和资源的访问权限。另一方面，如果没有为用户准确地取消供应，这些用户离开公司后就可能未经授权地获得对应用程序和数据的访问权限，从而引发严重的安全风险。这还不是全部。未经授权的最终用户也可能获得公司内联网（或外联网）门户的访问权限，泄漏敏感数据。内联网/外联网门户必须能够利用用户的身份对用户进行身份验证和授权，消除未经授权的访问，同时个性化门户外观。那么应如何自动化供应平台、构建安全的门户呢？LDAP 等应用程序协议缺乏架构灵活性，无法捕获和保留关于人员和复杂组织关系的具体信息。举例来说，LDAP 目录可能捕获到 Jean 是一名经理，但无法了解她的业务角色、她管理的人员以及根据她的业务角色她应有权访问哪些应用程序等详细信息。因此，在自动化供应或构建门户时，用户的业务背景十分重要。在本文中，我们将介绍组织如何采用基于角色的方法来实现自动供应并个性化门户。我们将了解如何利用门户、角色管理器和供应工具来构建参考架构。随后，我们将介绍跨国货运公司 Schneider National 如何利用 Oracle Identity Management Suite（Oracle Identity Manager、Oracle Role Manager 和 Oracle Access Manager）以及 Oracle WebCenter Suite Spaces 特性成功自动化员工入职并个性化其内联网门户。基于角色的供应和门户访问的关键组件任何为自动化供应和个性化门户实现基于角色的平台的组织都必须先实现一个集成的身份管理平台，以便管理风险、保护敏感信息资产、提高业务绩效。此外还可利用一种身份管理套件来集成信息门户，提供成熟的访问管理、供应和角色管理解决方案。该解决方案应该包含四个主要组成部分：供应平台角色管理平台访问管理平台门户图 1：基于角色的供应和门户访问的四个关键技术组件供应平台供应平台从可信的来源（通常是 HR 系统）获取身份，通过在目标系统上自动创建帐户来促进供应。它负责在 HR 系统和用户数据发生更改的目标系统之间同步用户数据，例如新员工、职位变更或员工合同期满。当某个用户从一个角色中删除，不再需要访问权限时，供应平台将自动从目标系统中删除用户权限。供应平台通过应用程序编程接口 (API) 从 Oracle Role Manager 中提取用户属性，如角色和关系数据。供应平台维护对所有用户供应活动的全面、带时间戳的审计跟踪。角色管理基于角色的管理的重要性在于，它是身份和访问管理 (IAM) 中一个迅速被人们所接受的比较新的组件。举例来说，根据 2009 年的现场调查，Burton Group 强调了角色管理的重要性，表明基于角色的计划能通过改善合规性、降低与权限过高有关的风险和支出使企业受益。许多组织都在采用角色管理技术加快供应过程。角色管理根据企业内类似的职责组织用户访问权限。例如，一家公司可能会将职位代码或职责规范化为具有自己的特定系统访问权限和安全级别的特定角色。当用户的角色发生变化时，用户的访问权限也会随之变化。Oracle Identity Manager 会将这些更改推送到角色管理器，角色管理器根据受信任的资源发送的用户配置文件生成用户角色成员身份和访问信息。供应平台和角色管理器应协同工作，确保供应事件基于角色。访问管理访问管理平台允许应用程序或 IT 系统的用户登录一次即可获得企业内 IT 资源的访问权限。这使组织能够创建集中、自动化的一次性登录 (SSO) 解决方案，管理谁有权访问 IT 基础架构中的哪些信息。门户门户以个性化的方式提供对企业信息的统一访问。门户可以利用访问管理平台对用户进行身份验证和授权。用户经过身份验证和授权之后，门户就会显示一个可以针对各用户进行个性化的界面，仅显示该用户有权访问的数据和应用程序。参考架构为了了解各种的组件如何协同工