|
Sun 公司给全企业 Oracle 部署增加了行业领先的身份管理能力
 Sun Inner Circle 读者,你们好!我是 Bob Worrall,正在 Sun 公司首席信息官 (CIO) 办公室给大家介绍我的观点。正如我过去写的一样,我的办公室最近成了长期规划和战略对话的舞台,因为 Sun 公司承接了一个规模巨大的全企业项目,旨在通过变革业务流程和 IT 应用程序整合工作来降低成本和复杂性。
在该项目 (称为集成化业务信息解决方案 (IBIS)) 的整个实施过程中,超过 500 个原有应用程序将会被一套简化的 70+ Oracle 电子商务套件模块所取代。新的软件将成为 Sun 公司几乎所有业务和 Web 应用程序的基础,而这些应用程序应用于 Sun 公司几乎各个业务部门。
我们只所以选中了 Oracle,是因为其应用程序套件满足 Sun 公司的基本业务需要。我们还需要解决合规和控制问题,它们在像 IBIS 这样意义深远的项目中极为重要。我的同事和我都认为,要应对这些挑战,Sun 公司需要使 Oracle 的运行能力配以一流的身份管理工具。
我们不必看得太远,因为 Sun 公司就提供一些业内最佳的身份管理解决方案 — 比企业应用程序更全面地处理合规问题的解决方案。例如,Gartner 已将 Sun Java 系统身份管理器和 Sun Java 系统访问管理器置于其“魔幻象限”(Magic Quadrant) 身份管理工具概览中的领先地位。
配套使用一流技术是一个很好理解的概念。然而,当我告诉业内许多人 Sun 公司在 Oracle 应用程序上使用 Sun 公司自己的身份管理解决方案时,他们面呈惊讶之色。
为了说明 Sun 公司是如何将其身份管理产品组合添加到 Oracle 电子商务套件中的,先让我介绍我的同事 Sun 公司安全和应用策略部门 IT 总监 Yvonne Wilson。Yvonne 欣然同意向 Inner Circle 介绍 Sun 身份管理工具如何巩固 Sun 公司 IT 整合项目的合规能力。
因此,我不多说了。Yvonne,你开始吧!
 单点登录使审计线索一目了然
Bob,感谢您给我为这个栏目做点贡献。遵守财务和商业法规的能力是 Sun 公司 IBIS 整合项目中的一个不可缺少的组成部分。为了正确看待这一挑战,读者应该考虑确保遵守管理法规应以安全地管理超过 50,000 名用户的身份为中心。上述身份必须得到积极管理,以遵守难以计数的财务和信息法规。这些法规管控着 Sun 公司在全世界的各项经营活动。
多数 IT 经理都知道,无法快速吊销帐户意味着安全性和合规性会面临更大风险。
就像许多大型机构一样,Sun 公司曾经在身份管理中使用了自定义脚本和手动流程。这种方法增大了发生人为错误和无法遵守法规的风险。无论是在 Sun 公司还是其它机构,员工都需要访问许多内部和外部应用程序,而这通常会增加 IT 机构配置和管理的密码和身份的数量。
增加更多身份,可审计的用户信息就变得更难找到。如果用户帐户得不到管理,并散布在许多应用程序之中,及时销去帐户成了几乎不可能的事情。而且,多数 IT 经理都知道,无法快速销去帐户意味着增大了安全性和合规性所面临的风险。
单点登录 (SSO) 现在已成为 Sun 公司身份管理中的一个关键构件。对于用户来说,SSO 意味着减少了需要记住的密码。而需要管理的登录减少了,IT 就可以在单个位置快速配置和销去用户,并且可以在一个集中点实施更强大的新身份验证机制。
然而要为 IBIS 应用程序以及外部供应商托管的其它应用程序提供 SSO 能力,Sun IT 团队需要比 Oracle 电子商务套件能够提供的更多的身份管理能力。结果表明,Oracle 电子商务套件只支持原有的 Oracle Application Server 10g SSO 模块,而该模块无法用来对其它企业 Web 应用程序的用户进行身份验证。
链接身份和为用户提供 SSO 非常简单:IT 团队只需在 Oracle Application Server 10g SSO 组件上安装 Sun Java 系统访问管理器策略代理程序,然后配置策略代理程序,以把用户指向用于 SSO 访问的访问管理器。
现在,访问 Oracle 应用程序的用户被重新定向到用于 SSO 登录的访问管理器,就像用户登录其它 Web 应用程序一样。这种全面的身份链接提供一条与业务应用程序使用相关联的所有活动的审计线索。
访问自动化增强了合规能力
尽管访问管理器解决了身份管理问题的一部分,但应用程序配置和访问管理挑战仍然存在。Sun Java 系统身份管理器证明非常适合于应对这一挑战。
IT 团队实施了 Sun Java 系统身份管理器,用来验证和记录针对访问 Oracle 电工子商务套件应用程序的所有请求和批准。一旦访问请求获得批准,身份管理器以角色和责任的形式自动配置访问 Oracle 电子商务套件数据仓库的访问权限。
与此同时,身份管理器的合规面板报告可以防范不适当的应用程序访问。这些报告使 Sun IT 员工能够集中地了解并控制访问活动,并包括职责分离检查、工作流监督和审计扫描。当监测到策略违反行为时,身份管理器可以根据违反程度建议纠正,或者立即吊销相应的帐户。
为了实施 SSO 和访问管理,IT 团队分析了每个 Oracle 应用程序模块的能力,并且有系统地添加了适合于各种情形和应用的配置工作流和策略检查。把配置帐户和访问与身份管理器以及把 SSO 身份验证与访问管理器组合起来有助于更快和更可审计地进行配置,同时为最终用户提供更大便利。
对于任何大型 ERP 部署,把新应用程序与其它应用程序集成在一起是一个主要挑战。我们通过使用 Sun Java 复合应用程序平台套件 (Java CAPS) 作为针对 IBIS 部署的唯一后端集成点,简化了上述许多工作。
为了进一步简化工作,Sun IT 团队在 IBIS 与 Java CAPS 之间实施了单个接口,这样,Java CAPS 还用作连接许多原有应用程序的接口的唯一图形连接点。而且由于 JCAPS 管理所有消息处理,数据可以通过 Oracle 应用程序和原有应用程序无缝地进行传递。
全面的身份管理降低了成本
通过整合身份,Sun 公司在运行第一年里就节约 400,000 美元资金,而且随着 IBIS 项目不断推进,可望节约更多资金。通过用经过配置的应用程序配置工作流取代自定义脚本和手动流程,减少了 IT 人员需要管理的身份。像用户 Onboarding 和 Shutoff 这样的活动所需的时间也大大减少。
更重要的是,自动管理身份事务的速度有助于促进合规工作。例如,有些员工可能还能够进行费用申请,因为身份管理器将会识别能够进行这些请求的适当帐户。使用身份管理器还意味着访问请求和流程非常直观,经过验证和记录,而合规报告和职责分离检查也是自动执行的。
通过简化 IBIS 和许多原有应用程序内的身份管理,Sun 公司可以更加容易地在整个 IT 生态环境内联合身份。身份管理取得成功也使新项目 (如智能卡身份验证) 能够比以往更快地向前推进。
我想指出的是,成功的身份管理能力的另一个要素是:不管 IBIS 应用程序的用户知道不知道,他们都在改进合规工作方面发挥了作用。登录系统和应用程序花费的时间更少,因为密码减少了。毫不惊奇的是,用户发现这很方便,而且当事情变得方便起来时,用户更可能遵守新的 IT 环境的要求。
Bob Worrall
Sun 公司首席信息官
| 
