采取基于角色的方式实现自动供应和个性化门户


作者:Rex Thexton、Nishidhdha Shah 和 Harish Gaur

2011 年 1 月发表

融合中间件模式系列文章之一

下载:
Oracle 融合中间件

客户、合作伙伴和员工都需要访问企业数据。但随着新系统、新接口和新应用程序的引入,IT 企业的复杂性日益增加,因而控制和监视谁能访问哪些 IT 资源也变得更具挑战性。

效率低下的权限所造成的风险不容忽视。未经授权的用户可以访问 IT 资源,从而给应用程序和数据造成严重破坏。企业可能因未满足严格的安全性和隐私合规性要求而面临风险。IT 帮助台可能要投入大量时间来缓解这些风险。

IT 部门感到最棘手的领域通常有二。首先是在用户加入(或离开)组织时如何供应(或取消供应)用户的过程。如果供应过程未实现自动化,新员工可能要耗费毫无生产效益的数小时乃至数天,等待获得关键应用程序和资源的访问权限。另一方面,如果没有为用户准确地取消供应,这些用户离开公司后就可能未经授权地获得对应用程序和数据的访问权限,从而引发严重的安全风险。

这还不是全部。未经授权的最终用户也可能获得公司内联网(或外联网)门户的访问权限,泄漏敏感数据。内联网/外联网门户必须能够利用用户的身份对用户进行身份验证和授权,消除未经授权的访问,同时个性化门户外观。

那么应如何自动化供应平台、构建安全的门户呢?LDAP 等应用程序协议缺乏架构灵活性,无法捕获和保留关于人员和复杂组织关系的具体信息。举例来说,LDAP 目录可能捕获到 Jean 是一名经理,但无法了解她的业务角色、她管理的人员以及根据她的业务角色她应有权访问哪些应用程序等详细信息。因此,在自动化供应或构建门户时,用户的业务背景十分重要。

在本文中,我们将介绍组织如何采用基于角色的方法来实现自动供应并个性化门户。我们将了解如何利用门户、角色管理器和供应工具来构建参考架构。随后,我们将介绍跨国货运公司 Schneider National 如何利用 Oracle Identity Management Suite(Oracle Identity Manager、Oracle Role Manager 和 Oracle Access Manager)以及 Oracle WebCenter Suite Spaces 特性成功自动化员工入职并个性化其内联网门户。

基于角色的供应和门户访问的关键组件

任何为自动化供应和个性化门户实现基于角色的平台的组织都必须先实现一个集成的身份管理平台,以便管理风险、保护敏感信息资产、提高业务绩效。此外还可利用一种身份管理套件来集成信息门户,提供成熟的访问管理、供应和角色管理解决方案。

该解决方案应该包含四个主要组成部分:

  • 供应平台
  • 角色管理平台
  • 访问管理平台
  • 门户

role-based-auto-prov-fig01

图 1:基于角色的供应和门户访问的四个关键技术组件

供应平台

供应平台从可信的来源(通常是 HR 系统)获取身份,通过在目标系统上自动创建帐户来促进供应。它负责在 HR 系统和用户数据发生更改的目标系统之间同步用户数据,例如新员工、职位变更或员工合同期满。当某个用户从一个角色中删除,不再需要访问权限时,供应平台将自动从目标系统中删除用户权限。

供应平台通过应用程序编程接口 (API) 从 Oracle Role Manager 中提取用户属性,如角色和关系数据。供应平台维护对所有用户供应活动的全面、带时间戳的审计跟踪。

角色管理

基于角色的管理的重要性在于,它是身份和访问管理 (IAM) 中一个迅速被人们所接受的比较新的组件。举例来说,根据 2009 年的现场调查,Burton Group 强调了角色管理的重要性,表明基于角色的计划能通过改善合规性、降低与权限过高有关的风险和支出使企业受益。

许多组织都在采用角色管理技术加快供应过程。角色管理根据企业内类似的职责组织用户访问权限。例如,一家公司可能会将职位代码或职责规范化为具有自己的特定系统访问权限和安全级别的特定角色。当用户的角色发生变化时,用户的访问权限也会随之变化。Oracle Identity Manager 会将这些更改推送到角色管理器,角色管理器根据受信任的资源发送的用户配置文件生成用户角色成员身份和访问信息。供应平台和角色管理器应协同工作,确保供应事件基于角色。

访问管理

访问管理平台允许应用程序或 IT 系统的用户登录一次即可获得企业内 IT 资源的访问权限。这使组织能够创建集中、自动化的一次性登录 (SSO) 解决方案,管理谁有权访问 IT 基础架构中的哪些信息。

门户

门户以个性化的方式提供对企业信息的统一访问。门户可以利用访问管理平台对用户进行身份验证和授权。用户经过身份验证和授权之后,门户就会显示一个可以针对各用户进行个性化的界面,仅显示该用户有权访问的数据和应用程序。

参考架构

为了了解各种的组件如何协同工作,我们来看看图 2 所示的架构。(另请参见 2009 年 6 月的白皮书 Oracle Role Manager。)


role-based-auto-prov-fig02

图 2:基于角色的供应和门户访问的参考架构

  1. 在权威身份源中创建一个新用户后,将向供应平台发送一条通知。
  2. 供应平台在角色管理器中供应该用户。
  3. 角色管理器根据用户属性为用户分配一个层次结构。
  4. 将对角色、成员身份、审批者和供应属性进行计算并传回供应平台。
  5. 供应平台将创建、撤销和修改目标企业应用程序的帐户。所供应的帐户之一就是 LDAP 目录,它根据用户角色分组存储用户身份。
  6. 访问管理层使用 LDAP 目录对请求访问门户层的用户进行身份验证和授权。

现在,我们已经了解了参考解决方案的工作方式,下面了解 Schneider National 这家货运公司如何自动处理员工入职,并根据员工角色个性化其访问权限。

坎坷之途:一家货运公司过时的基础架构

Schneider National 总部位于威斯康星洲的格林湾,这是一家跨国运输服务和物流解决方案提供商,最近,这家公司更新了自己的 IAM 解决方案。这家公司拥有 75 年的历史,其全资子公司采用一种复杂的 IT 基础架构支持多种用户类型,包括员工、联营商、客户和供应商。尽管 Schneider 并非公开上市公司,但内部规章要求其遵从合规性标准,例如 Sarbanes-Oxley。

近年来,Schneider 自己开发的供应解决方案已经被证明无法应对日益增长的合规性要求和不断提高的业务环境复杂度。现有解决方案可以集中管理多个目标系统上的帐户,但需要可观的 IT 资源来管理与目标系统之间的连接。

这家公司的入职流程依赖手动申请和手动供应。解决方案采用了“效仿”的方法为新员工请求访问权限。随着时间的流逝,安全团队发现系统授予的访问权限超出了用户的需求,使公司处于违反合规性要求的危险之中。

为了纠正访问权限,这家企业对访问权限请求做出了多次调整,导致准确跟踪用户的访问权限变得更加复杂。模糊不清导致为新员工和内部调职员工指定访问权限时出现延迟,从而造成工作效率下降。

类似地,合同期满的员工的访问权限挂起也是一个手动流程,需要经理请求终止。挂起的帐户不会在系统中自动注册,但妨碍了安全团队提供准确的活动帐户内部审计的工作。

Schneider 的现有解决方案也不具备用户配置文件属性的集中授权源,这家公司的目标系统不能自动同步用户配置文件属性。因此,Schneider 的安全团队往往不能了解哪些用户有权访问哪些应用程序。

最终,Schneider 饱受为客户、货运商和员工提供的界面和应用程序不一致的问题所扰。这家公司的应用程序不仅界面不一致,而且在运行时还需要独立的 Web 浏览器会话。

Schneider 利用 Oracle Identity Management Suite 和 Oracle WebCenter Suite Spaces 的解决方案

Schneider 在 PricewaterhouseCoopers 的指导下决定使用打包的应用程序取代所有原有的和自己开发的解决方案,这是其帮助降低成本、标准化 IT 基础架构的战略的一部分。

这家公司为其新基础架构选择了 Oracle Identity Management Suite(Oracle Identity Manager、Oracle Role Manager 和 Oracle Access Manager)及 Oracle WebCenter Suite Spaces。具体来说,Schneider 选择 Oracle Identity Manager 的原因在于其现成的连接器和自动管理不同目标系统中帐户的功能。

注意:Oracle Role Manager 已经被 Oracle Identity Analytics 11g 取代,后者目前是角色管理和角色生命周期管理的战略性产品。Oracle Identity Analytics 11g 包含 Oracle Role Manager 10g 特性的超集,还增加了对访问认证和身份审计的全面支持。Oracle Identity Analytics 与 Oracle Identity Manager 相结合,提供了一种强大、灵活的企业身份管理和治理解决方案。


role-based-auto-prov-fig03

图 3:Schneider 利用 Oracle Identity Manager、Oracle Role Manager、Oracle Access Manager 和 Oracle WebCenter Suite Spaces 的参考架构

  1. Oracle E-Business Suite 人力资源管理系统 (HRMS) 是用户配置文件的权威来源。人力资源团队负责在 HRMS 中为现有员工准确录入用户相关信息。
  2. Oracle Identity Manager 策略引擎跨受管应用程序管理细粒度权限,自动化 IT 流程,并实施职责分离等安全性和合规性要求。它为“谁有权访问什么?何时?如何?为何?”这样的关键合规性问题自动提供了答案。Oracle E-Business Suite 内任何员工信息更新都将被 Oracle Identity Manager 获取,最终在 Siebel CRM、Oracle Transportation Management 和其他企业应用程序中供应用户。
  3. Oracle Role Manager 使业务用户能够通过将资源和权限抽象为角色来定义用户访问。Oracle Identity Manager 记录来自 Oracle E-Business Suite HRMS 系统的数据,并将数据发送至 Oracle Role Manager。Oracle Role Manager 随后为用户提供 Oracle Identity Manager 的访问策略成员身份。Oracle Role Manager 作为 Oracle Identity Manager 的角色和角色授予信息提供方,后者利用该信息供应各种应用程序。角色授予也可作为 LDAP 目录的用户属性公布。
  4. Oracle Internet Directory 是 Oracle Identity Manager 供应的 LDAP 目录之一。Oracle Internet Directory 组由 Oracle Identity Manager 基于 Oracle Role Manager 角色和用户角色分配创建。
  5. Oracle Access Manager 提供一个身份管理和访问控制系统,由所有企业应用程序共享。结果将获得一个集中的、自动化的一次性登录解决方案,管理谁有权访问整个 IT 基础架构中的哪些信息。Oracle Access Manager 利用 Oracle Internet Directory 对 Oracle WebCenter Suite Spaces 进行用户身份验证和授权。
  6. Oracle WebCenter Suite Spaces 是一种立即可用的社交网络应用程序,业务用户只需点击几次鼠标即可快速构建个人和小组工作环境。Schneider 利用 Oracle WebCenter Suite Spaces 为其员工提供协作环境。Oracle Access Manger 对用户进行身份验证和授权。
  7. 对于整合平台,Schneider 采用了 Oracle WebLogic Server,其中包含了身份管理组件的原生集成。

由于 Oracle 身份管理组件即需即用的集成,Schneider 不必构建自己的模块和接口,从而节约了开发成本、缩短了实现时间。

将 Oracle Identity Manager 与 Oracle E-Business Suite HRMS 相集成

为了解这些是如何结合在一起的,我们来看看这种技术如何全面自动化 Schneider 的新员工入职流程。

Schneider 利用 Oracle iRecruitment 应用程序发现、招募和聘用新员工。利用自助服务 Web 界面,一份工作申请即可创建一个帐户,并录入申请职位的个人信息。求职者被聘用后,应用程序中的个人数据将传输到 Oracle E-Business Suite 系统中,成为这名新员工的个人数据。

role-based-auto-prov-fig04

图 4:在 Oracle E-Business Suite 中创建新员工记录

创建了员工帐户后,Oracle Identity Manager 即可定期从 Oracle E-Business Suite 中获取用户信息,管理其他目标系统上的用户以及其自有信息库中的用户。这项任务是通过 Oracle E-Business Suite 员工协调连接器实现的。

role-based-auto-prov-fig05

图 5:使用员工协调连接器集成 Oracle Identity Manager 与 Oracle E-Business Suite HRMS

Oracle E-Business Suite 员工协调连接器使用受信任源协调的过程从 Oracle E-Business Suite HR 存储中检索员工记录,并根据这些记录在 Oracle Identity Manager 中创建身份。(当 Oracle E-Business Suite 是 Oracle Identity Manager 的目标资源时,它使用 Oracle E-Business Suite 用户管理连接器。)有关更多详细信息,请参见关于连接器

role-based-auto-prov-fig06

图 6:在 Oracle Identity Manager 中创建了用户

Oracle Identity Manager 还利用 Oracle E-Business Suite 用户管理器连接器创建 Oracle E-Business Suite 用户,并根据其角色指定职责。利用 Oracle E-Business Suite 与 Oracle Identity Manager 的集成,Schneider 在年度效益登记过程中以电子形式登记了全部员工,由于员工不必打印、分发和处理纸质表单,因而节约了大量成本。

如果员工合同期满,Oracle Identity Manager 可利用来自 HR 系统的数据确定员工的最后任职日期。在最后一个工作日,Oracle Identity Manager 系统会自动删除该用户对所有目标系统的访问权限。对于强制性的终止,Schneider 建立了一支应急团队,可直接从 Oracle Identity Manager 中删除用户帐户。从 Oracle Identity Manager 中删除用户帐户时,Oracle Identity Manager 可自动删除隶属于被删除的用户的全部目标系统帐户。

Schneider 还将 Oracle Identity Manager 配置为定期重新认证目标应用程序的所有帐户。这使企业能够检测所有目标系统上的所有无主帐户,并覆盖直接在目标系统上作出的任何更改。Schneider 还利用 Oracle Identity Manager 管理和同步所有目标系统上的口令,Schneider 利用 Oracle Identity Manager 中的自助式口令重置功能为最终用户提供自助服务功能。

将 Oracle Identity Manager 与 Oracle Role Manager 集成

Oracle Role Manager 作为 Oracle Identity Manager 的角色和角色授予信息提供方,后者利用该信息供应各种应用程序。当 Oracle Role Manager 与 Oracle Identity Manager 一起部署时,组件之间的集成将被绑定并预先进行配置。

Oracle Role Manager 中的动态业务角色可根据职位代码(如图 6 中的 Executive Sales 帐户)或其他业务关系自动化角色成员身份。此前,角色定义是在大量电子表格中手动跟踪的。新系统使 Schneider 能够在集中、自动化的信息库中管理员工的角色生命周期。

role-based-auto-prov-fig07

图 7:Oracle Role Manager 中非驾驶员员工的业务角色定义

Oracle Role Manager 根据角色成员身份生成用户访问权限,例如,图 7 中的美国员工自助服务(非驾驶员),同时在目标应用程序中自动生成帐户,这能大幅度缩短新员工的入职过程。

对于人事变动(如升职或调动),HR 系统会修改用户配置文件以反映最新职位,Oracle Role Manager 将根据角色定义通知 Oracle Identity Manager 自动更新用户的访问权限并删除不必要的访问权限。

role-based-auto-prov-fig08

图 8:Oracle Role Manager 在目标应用程序中生成帐户

Oracle Identity Manager 中的 Oracle Resource Profile 创建一个用户配置文件,其中定义了每个员工可以访问的应用程序。利用即需即用的连接工具,Schneider 的 IT 团队将 Oracle Identity Manager 配置为管理 Oracle E-Business Suite、Siebel、Oracle Internet Directory、Microsoft Active Directory、Microsoft Exchange 2007 和 Oracle Database 的自动供应。这家公司还将 Oracle Identity Manager 配置为管理其他目标系统上的用户,利用 Oracle Identity Manager 适配器工厂支持与其他目标系统的基于 Java 的集成。

Oracle Virtual Directory 作为 Oracle Access Manager 和 Oracle Internet Directory 之间的代理,提供来自任何数据存储(包括目录、数据库和 Web)的实时、虚拟的身份数据视图。

将 Oracle WebCenter Suite Spaces 与 Identity Management 集成

Schneider 利用 Oracle WebCenter Suite Spaces 模块构建灵活、健壮的个人和组工作环境。这家公司利用 Oracle WebCenter Suite Spaces 的功能和灵活性为员工创建门户,此外还计划在下一年为客户和所有货车驾驶员实现门户。Oracle WebCenter Suite Spaces 使 Schneider 能够构建一个门户,将各种应用程序结合到一个具有通用外观的界面中。

使用过去的解决方案时,这家公司的应用程序不仅界面不一致,而且在运行时还需要独立的 Web 浏览器会话。而全新的员工门户仅需要一个浏览器会话,使用户能够更加迅速和高效地完成任务。

每一名 Schneider 员工都可以访问基于用户角色、提供对恰当应用程序和数据的访问的个人门户。

根据 HR 在 Oracle E-Business Suite 中指定的职责,Oracle Role Manager 将为用户分配恰当的业务角色。利用这种业务角色,Oracle Identity Manager 可在 Oracle Internet Directory 中自动创建用户帐户并分配恰当的组成员身份。

Schneider 采用 Oracle Internet Directory 的原因在于它能够与 Oracle Access Manager、Oracle Collaborative Suite、Oracle E-Business Suite 和 Oracle Enterprise Manager 等 Oracle 产品无缝集成。Schneider 利用 Oracle Internet Directory 作为可伸缩的目录,为 Oracle Access Manager 和 Oracle WebCenter Suite Spaces 存储身份和元数据信息。

Schneider 利用 Oracle Access Manager 对用户进行身份验证,并通过安装在托管 Oracle WebCenter Suite Spaces 的 Oracle WebLogic 服务器上的 Web 代理(Oracle WebGates)实施组织的访问策略。

用户初次在未经身份验证的情况下访问 Oracle WebCenter Suite Spaces 时,Oracle Access Manager 会要求用户使用一次性登录凭证登录。登录之后,Oracle Access Manager 将从 Oracle Internet Directory 提取用户凭证,并根据访问策略允许或拒绝其访问 Oracle WebCenter Suite Spaces。

role-based-auto-prov-fig09

图 9:Oracle WebCenter Suite Spaces 配置为根据 Oracle Internet Directory
组成员身份授权访问信息

在身份验证之后,Oracle WebCenter Suite Spaces 将根据用户在 Schneider 组织中的角色为用户显示门户,例如:

  • Schneider 员工门户允许用户通过自定义门户查看和回复电子邮件和日历事件。Schneider 还在考虑添加信息板,根据用户的角色或者部门提供实时信息和指标。
  • 对于驾驶员,Schneider 将构建一个门户,允许用户访问个人信息,例如付款历史、载运历史和联机培训。
  • 客户门户使用户能够查看个人数据(例如,发票、交货证明文档和驾驶员指派)并执行申请运货单费率等任务。

基于角色的系统的好处

这套新的身份管理解决方案套件使 Schneider 得以实现可观的效率收益,对运营成本产生了积极的影响。利用该解决方案,这家公司将入职所需的总时间从数天缩短为 24 小时。这带来了显著的成本节约和效率提升,因为新员工能够在入职第一天就开始工作。

Oracle Identity Manager 自动删除合同期满员工的能力显著改善了 Schneider 的整体安全状态,这家公司不再需要为无主帐户造成的违规而担忧。

Oracle Access Manager 提供的更高可用性使这家公司能够运行多个实例,提供冗余和效率。自实施新系统以来,Schneider 因系统中断造成的停机得以减少,从而大幅提升了生产效率。

新系统还使 Schneider 能够将某些项目的手动处理降至最低。例如,这家公司简化了工资处理,因为现在可以通过电子手段处理支票。类似地,这家企业的全部员工都从联机登记中受益,消除了邮寄和处理纸质表单的需要。

最后,这次实现使 Schneider 能够迅速生成审计报告,为法规合规性报告确定用户访问权限。

正确的成功之路

Schneider Transportation 过时的基础架构无法跟上日益增长的高效入职、身份管理、认证、角色管理和与业务合作伙伴共享数据的要求。这家公司实施了基于 Oracle Identity Management Suite 的可伸缩系统,标准化了技术,同时将有效的身份和访问管理与基于角色的访问控制相整合。Oracle WebCenter Suite Spaces 使 Schneider 可以轻松地为员工(不久之后,还会为所有货车驾驶员和业务合作伙伴)创建门户,提供了对其系统的简化、安全的访问,实现了一组可随业务发展逐步成熟和发展的解决方案。

Rex Thexton 是 PricewaterhouseCoopers 的管理总监 | LinkedIn

Nishidhdha Shah 是 PricewaterhouseCoopers Consulting 的高级助理 | LinkedIn

Harish Gaur 是 Oracle 融合中间件产品管理总监 | LinkedIn