简介

当今的企业必须提供对企业信息系统的及时访问，同时确保此类访问符合政府法规和政策。然而，在当今的全球商业环境中，跨用户、组织、位置和报告结构管理数据很快成为严峻的挑战。在大多数情况下，信息维护还是一个人工任务，这就导致难以保障安全且实时响应业务事件的成本很高。因此，提供访问的流程易于出错，滞后于组织的变化，且缺少必要的灵活性来表示当今机构中众多复杂和时刻变化的关系。

为应对这些挑战，Oracle Role Manager 提供了一系列综合的特性，涉及生命周期管理、业务和组织关系以及资源。Oracle Role Manager 采用可伸缩的 J2EE 体系结构构建而成，业务用户可以通过将资源和权限抽象为角色来定义用户访问。可在 Oracle Role Manager 中管理现有应用程序中的组织数据，以对跨业务结构的复杂关系路径进行建模，如报告企业架构和位置。Oracle Role Manager 中定义的业务策略使用组织和关系数据来推进角色成员资格和最终访问的实现。通过将 Oracle Role Manager 与身份和访问管理 (IAM) 应用程序的集成，您能够实现供应事件的自动化，满足您现在信息技术 (IT) 基础架构中的治理和合规性需求。

使用 Oracle Role Manager，您可以：

• 通过在角色成员资格更改时显著提高供应和取消供应资源的时效性和准确性，从而增强安全性
• 针对候选角色进行挖掘，以加快角色管理实施
• 保持一个单一、权威的角色信息源
• 对访问用户、访问内容和授权原因进行详细的审计并提供完整报表，从而强化合规性

Oracle Role Manager 的主要优势

增强的安全性
Oracle Role Manager 显著提高了基于策略进行资源供应的准确性。通过实时响应如新员工入职或人员调动等业务事件，基于角色的自动化供应确保了访问和权限遵循业务策略。Oracle Role Manager 还提供挖掘工具用于识别恶意权限、发现无权限的用户（“孤立”用户）以及发现候选角色。这些工具不仅可以辅助分析和清理您现有的数据，还可以快速为您的 IAM 投资带来价值并为角色生命周期管理创建一个安全的基础。

权威的角色和权限信息源
作为角色和角色生命周期管理的全面信息来源，Oracle Role Manager 可为一系列企业应用程序提供基于上下文和策略的角色，这些应用程序包括业务流程管理 (BPM) 工作流和 IAM 应用程序。作为权限的抽象，角色提供了定义最终回答“谁应该访问什么”的上下文策略的机制。

权威的业务和运营数据建模
诸如员工白页、报表结构甚至关于合作伙伴和客户的外部数据等运营数据，由于通常分散在安全策略仍然覆盖不到的不同系统中，从而造成了其价值的损失。通过将各种运营数据汇集到单个权威的应用程序中，Oracle Role Manager 可以轻松地对组织结构和关系进行建模。这些业务模型形成了构建安全、准确的角色策略的基础。Oracle Role Manager 还提供挖掘工具以辅助进行数据清理和分析，确保对业务数据精确建模。

实现可伸缩的角色成员资格管理流程
基于角色成员资格和策略的自动供应事件提升了 IT 效率，限制了人工措施并防止了安全违规行为。业务用户可以利用 Oracle Role Manager 来定义和管理角色并创建业务策略以驱动自动化的供应事件。通过将权限抽象为角色并捕捉业务上下文，业务用户可与参与到公司的安全流程中。业务用户的参与对于部署一个可伸缩的，并能保证其中角色和策略数据准确且最新的安全流程来说非常关键。

实现高水平的服务和业务持续完整性
角色成员资格的更改自动基于组织、人员和资源的变化。与 IAM 系统的现成集成意味着当角色成员资格发生变化时，访问和权限也随之更改。与 IAM 的集成加上权威的运营数据信息库，使得 Oracle Role Manager 成为规划和准备应对无法预料事件（如灾难和紧急情况）的工具。基于预先配置的业务连续性模型实现紧急访问的自动化能使核心业务运营得以持续，同时降低在灾难性的紧急情况下对您的组织和客户的总体影响。

Oracle Role Manager 特性和功能概述

• 角色和规则挖掘：导入现有的有关用户、资源和权限的数据以发现候选角色和成员策略，从而加快角色管理实施。
• 可感知上下文、同时支持多种角色的角色引擎： Oracle Role Manager 提供了一个强大的角色引擎，它使用您的业务策略并遍历用户和组织之间的关系以提供准确、实时的角色成员资格。
• 权威的角色和权限信息库： 将上下文业务信息（如组织关系）并入一个综合的角色信息库并对其进行管理。作为角色的中央信息源，这些复杂的关系为企业系统提供权威的权限数据。
• 可配置、可扩展的角色和关系模型：Oracle Role Manager 简化了对独特的业务结构和关系进行建模的工作，并提供工具用于定制用户界面。
• 角色委托：通过提供角色委托管理功能，Oracle Role Manager 使业务用户能轻松进行访问和权限的委托，且不违反现有的业务策略。

企业角色生命周期管理

Oracle Role Manager 提供了全面的工具来支持企业角色生命周期管理 (RLM)。利用基于 Web 的用户界面，整个企业的用户可以根据业务策略创建和管理角色，定义角色成员资格，将角色映射到资源和权限，更改角色状态以控制访问。随着业务事件的发生和组织的变化，将动态重新计算角色成员资格，确保提供相应的访问并防止安全漏洞和违规。

角色和规则挖掘
角色挖掘工具采用现有的关于用户、权限和它们之间关系的企业数据来发现候选的 IT 角色。该过程（通常称为“自下向上”的分析）识别现有权限和用户成员中的模式，然后建议可导出并在 Oracle Role Manager 中管理的角色。

对于试图对整个企业的数据进行归类的企业来说，采用角色管理解决方案可能是一个令人生畏的任务。采用角色挖掘流程，企业首先要进行数据分析和验证、角色挖掘，最后是规则挖掘，这将进一步优化候选的 IT 角色成员资格。

Oracle Role Manager 可通过以下过程加快角色管理实施：

• 从不同信息源导入用户、资源和权限信息，以进行分析和验证。数据分析工具有助于数据清理过程，可以删除孤立用户帐户并发现现有的违反安全策略的情况。


• 允许对角色挖掘参数进行配置，从而提高挖掘结果的准确性。基于导入的数据集的独特特征更改角色挖掘参数值，可以增加创建高质量候选角色的可能性。


• 发现候选角色并将其构造为角色层级结构，这使得用户能轻松查看大量权限。层次结构简化了挖掘结果的分析和验证，确保角色包含正确的权限。


• 发现可能用于挖掘到的角色的规则和策略。规则派生自用户属性和关系，有助于优化角色成员资格以提供更安全的角色定义。


• 导出用于整个生命周期管理的角色定义。从业务中挖掘得到的理想的角色和规则经过评估后，可选择将它们导出到角色管理系统中。

可感知上下文，同时支持多种角色的角色引擎
Oracle Role Manager 提供了一个强大的角色引擎，它使用您的业务策略并遍历用户和组织之间的关系以提供准确、实时的角色成员资格。这个可感知上下文的引擎可以解决企业组织中的复杂关系，确保访问与企业策略保持一致。

例如，您可以指定：

• 成本中心经理是在成本中心层级结构中与组织有经理关系的人员。


• 欧洲客户经理是在报告层级结构的销售分支机构中具有特定工作代码或团队成员身份，且位于地点层级结构中欧洲分支机构中的人员。

Oracle Role Manager 本身即支持三个主要角色类型：业务、IT 和审批者。业务角色可基于策略，它依赖于上下文业务信息来优化成员（如工作代码属性或工程组织中的成员）。为了有效地管理角色，业务所有者应当管理业务角色定义和反映人员所做工作的角色成员资格。

IT 角色可看作是一个权限集合，它们映射到业务角色，实现对角色成员的访问自动化。IT 组织应当管理 IT 角色定义和权限以确保为角色成员赋予适当的访问权。

审核者角色根据上下文进行定义，可以解决诸如“谁是 Joe 的成本中心经理？”之类的复杂查询。基于策略的业务角色包含了整个企业的层级信息以提供任务的准确范围和上下文。这样用户就可以了解并管理组织结构，以便定义结构和实现角色成员资格的自动化。

Oracle Role Manager 还支持以手动方式即席管理业务角色成员资格的传统方法。当业务角色不应当基于策略或者可以通过静态方式更轻松地管理角色的复杂性及其支持的数据时，可以使用该策略。

尽管 Oracle Role Manager 提供了三类现成的角色，仍然可以配置定制角色类型以满足当今不断变化的企业需要。

权威的角色和权限信息库
Oracle Role Manager 将上下文业务信息（如组织关系）并入一个综合的角色信息库中并对其进行管理作为角色的中央信息源，这些复杂的关系为企业系统提供权威的权限数据。

可配置、扩展的角色和关系模型
组织结构、关系和业务运营模型可以如业务本身一样独一无二、丰富多彩。某一业务可能依赖于传统的报告组织层次结构，而另一业务可能有更具协作性的组织。Oracle Role Manager 通过简化对独特的业务结构和关系进行建模的工作并提供工具用于定制用户界面来作出相应。

组织和关系管理

动态组织中个人关系的复杂性对现有应用程序和目录提出了重大挑战，这些程序和目录缺乏捕获和管理复杂业务关系和时间维度的能力。在最好的情况下，目录可以描述一个组织层次结构，而其他层次结构和成员资格只能用简单的布尔属性表示。例如，使用目录，您可以指明 Jane 是否为经理，但您不能捕获其角色的完整上下文，包括 Jane 管理什么，管理谁，她的控制范围或权限范围，以及她在不同应用程序上有哪些权限。要正确地反映组织的实际情况并在相互依存的层次结构间保持数据完整性，您需要映射了多个相互重叠的层次结构或“支持多角色”的交叉部分的模型。

要了解对多角色进行建模如何改进角色生命周期管理，先了解一个国内大杂货连锁店的业务问题将有所帮助。该杂货连锁店面临关管理跨不同地理位置的零售店铺、管理不同产品的不同供应链和适应高人员流动率和员工职责日常变化等事项。通过将这些业务结构建模为独立的层次结构然后在它们之间建立关系，杂货连锁店可以解决身份和访问问题，如多个零售员共享一个注册帐户。零售员的角色策略以业务用户使用员工和零售店铺的层次结构能理解的形式制定。使用多角色来定义角色对于运营效率非常关键，它为业务完整性提供了基础。

Oracle Role Manager 基于 Web GUI 加快了角色的设计，并允许业务用户和管理员一样定义和管理角色。
Oracle Role Manager 与现有的应用程序相集成，以将多个组织结构和它们间的关系建模为一流的对象。除了提供现成的标准组织结构外，还可以轻松地对 Oracle Role Manager 进行配置以支持独特的业务运营模型和关系。Oracle Role Manager 图形用户界面 (GUI) 提供交叉的业务层次结构和关系的多个视图。普通组织模型示例包括报告组织、位置、团队、客户或合作伙伴。此外，Oracle Role Manager 还可响应组织生命周期事件，确保实时更新信息。这些复杂的关系存储了角色工程师可用来定义角色策略的数据。当普通业务事件发生时，将重新计算基于策略的角色成员资格，然后根据策略赋予或取消权限。

集成解决方案

Oracle Role Manager 用作身份和访问管理 (IAM) 系统的角色管理库。它利用以前在 IAM 系统上的投资，将角色和策略与目标系统上的权限同步。对于外部任务集成，如业务流程管理 (BPM) 或工作流，其他系统也可将 Oracle Role Manager 根据上下文得到的角色用于审批工作流中的角色解决方案。

与身份供应集成

Oracle Role Manager 提供与 Oracle Identity Manager (OIM) 即需即用的集成以启动供应事件。供应系统使用应用程序编程接口从 Oracle Role Manager 中抽取包括角色和关系数据的用户属性。然后保留所有用户供应活动的综合的、带时间戳的审计线索。这一无缝集成使用角色成员资格和策略来实现用户对信息、应用程序和系统的访问的自动化和实施。

Oracle Role Manger 与 OIM 的集成确保了：

• 当角色成员资格变化时发生供应事件


• 当业务角色和 IT 角色映射更改时发生供应事件


• 诸如如新员工入职或人员调动等业务事件触发角色成员资格更改，进而发生供应

业务应用程序 / ERP 和 HR

除确保基于相应的角色对业务应用程序访问外，Oracle Role Manager 还可提供业务应用程序丰富的角色信息以提升事务处理的自动化。大型企业进行业务事务路由以审批和处理时通常有复杂的规则。例如，决定购买请求在整个购买组织中的路由过程的规则可能基于购买的物品，请求方的组织关系、所购买物品和服务的类型，或产品的供应商。决定哪个购买者应当处理特定购买请求以及哪个审核者需要批准该请求的规则通常依赖于购买应用程序中以硬编码编写的规则。

Oracle Role Manager 还可为人力资源应用程序提供可扩展性。过去的 HR 应用程序只有有限的复杂层次结构建模能力。管理更高级的概念（如职务和职位）通常需要部署其他模块。Oracle Role Manager 强大的多方管理和角色能力是用于扩展 HR 应用程序的极具吸引力的选择，它提供了一个优势，即安装后即可实现 HR 角色和 IT 权限的一致性。

应用程序管理的另一常见挑战就是紧急访问授权以保证业务连续性。在当今的企业中，对紧急访问的授权通常没有进行恰当程度的控制或审计。Oracle Role Manager 允许企业在紧急情况下对其运营计划进行建模。在紧急时间期间，可以根据预先定义的配置为员工赋予角色和访问权。

通过与 Oracle Identity Manager 的集成，Oracle Role Manager 提供与领先的业务应用产品（如 Oracle 电子商务套件、PeopleSoft、Siebel、SAP 和 JD Edward）以及垂直应用产品（如 Oracle Retail Suite 和 Oracle Clinical Solutions）的现成集成。

治理、风险和合规性 (GRC)

角色管理应当是任何企业 GRC 解决方案的重要部分。角色管理是角色和权限数据的权威信息源，并且是职责划分 (SOD) 的自然实施点。由于角色管理还是“谁应当拥有什么”的授权信息源，因此还需要紧密控制并定期证明角色管理应用程序中的角色和策略。

Oracle Role Manager 捕获角色配置和角色成员资格的可审计数据。通过现成的报告特性，可随时提供该数据并导出到审计平台（如 Oracle GRC Manager）作为合规证据。使用 Oracle Identity Manager 中的证明特性，角色和权限成员资格可按审计要求重新进行认证。

Oracle Role Manager 还可与来自 LogicalApps/Oracle、Virsa/SAP 和 Approva 的企业应用控制 (EAC) 产品相集成。EAC 产品在特定 ERP 应用程序的深度 SOD 控制上表现优异。Oracle Role Manage 对 EAC 应用程序进行了补充，它增加了跨异构系统的企业级角色 SOD，将 EAC 覆盖面扩大到关键的 IT 基础架构以及原有的业务应用程序（如基于大型机的应用程序）。

在当今安全意识深入人心的业务环境中，企业需要一个妥善的策略来构建一个全面的身份和访问管理基础架构。遗憾的是，通常使用的诸如目录之类的应用程序在体系结构上缺乏灵活性，无法捕获和保留关于人员和复杂组织关系的信息。

Oracle Role Manager 是一个基于标准和专利技术的一流解决方案，其体系结构具切实的灵活性。企业中的应用程序可以利用它来确保及时、准确地管理有关角色、组织、关系和权限的信息。Oracle Role Manager 提供了用于进行全面角色生命周期管理的必要工具，从而使用户能够有效地管理企业中的访问和资源。最终的结果是：简化了 IT 管理，降低了成本和安全风险。

返回页首

Oracle Corporation
全球总部：
500 Oracle Parkway
Redwood Shores, CA 94065

全球垂询电话：
+1.650.506.7000
传真：+1.650.506.7200
http://www.oracle.com/

版权© Oracle Corporation 2008
保留所有权利

本文档只用于参考，
其中包含的信息如有更改，
恕不另行通知。请将本文中出现的错误报告给
甲骨文公司。甲骨文公司不提供
任何担保声明，尤其是不承担与本文相关的任何
责任。

Oracle 是甲骨文公司的注册商标。

本文提到的所有其他公司和产品名称只用于
标识目的，并且可能是其各自所有者的商标。