Oracle IAM与IDCS的混合云身份安全管理方案

随着信息技术的不断发展和信息化建设的不断进步，信息系统在企业的运营中全面渗透。数字化转型已成为众多企业最急迫的选择，各类系统纷纷立项上线，传统的业务系统还在建设的同时，移动化办公和各类云服务已经接踵而至。因此，如何高效地管理企业内部复杂繁多的业务系统的身份与访问也越发重要。同时，各国政府为了规范企业的信息化建设，也相继出台了各类法律法规对企业IT建设进行指导和规范，例如美国的塞班斯法案、欧盟的GDPR法案，国内的信息安全等级保护管理办法以及互联网个人信息安全保护指南等。

为了保证系统安全和符合法律法规的监管要求，企业信息安全也越来越成为企业IT管理的重点，而身份安全则成为信息安全的基石。因为管理用户身份是访问控制中的基础。身份管理系统基本上就是要求公司定义出自身访问策略，尤其是规定好谁对哪些数据资源有访问权，以及在何种条件下才可以访问。

因此，管理良好的身份意味着更好的用户访问控制，企业内部和外部数据泄露风险的降低。随着外部威胁的上升，内部攻击也日趋频繁。Ponemon Institute发布的《2018年全球组织内部威胁成本报告》中显示，64%的企业信息泄漏是由员工和承包商的疏忽导致的；而CybersecurityInsiders发表的《2018年网络内部安全威胁报告》则指出90%的企业认为自己容易受到内部攻击。主要的风险因素包括：拥有过度访问权的用户太多（37%），访问敏感数据的设备数量过多（36%），以及信息技术越来越复杂（35%）。正如前文所提及的，企业的IT管理需要一个IAM系统通过提供实现全面安全、审计与访问策略的工具，以加强监管合规。

虽然企业IAM的需求和要求一直都很高，但是从最近的数据泄露事件（Equifax）、新合规压力（GDPR）以及隐私泄露问题（Cambridge Analytica剑桥分析公司/Facebook）都进一步增加了对身份安全和治理的压力。

当今企业的业务系统既在企业内网部署，例如HR，财务；也有销售，采购，电商等外网部署的业务系统；同时还会有Office 365等云端应用。在这种复杂的IT环境下，IAM系统必须足够灵活和健壮。因为企业的业务应用曾经很大程度上都在内部部署，身份管理系统仅在用户来公司上班时对其进行身份验证和跟踪，有一道安全围墙阻隔着企业外面的各种风险，而现在，随着移动办公和云服务的发展，围墙消失了。因为今天的企业需要提升员工在各种环境的生产力（保证安全的情况下），无论他们是在家办公还是在公司里上班，或者是在外地出差，都要及时有效的处理自己的工作事物。同时，今天的企业需要管理各类用户的访问权限，不仅包括在公司上班的员工也包括世界各地的供应商、承包商，甚至还包括了企业的消费者用户；因此，今天的企业IT融合了内部计算、SaaS应用和影子IT及BYOD用户的混合计算环境；也包括了UNIX、Windows、Macintosh、iOS、安卓甚至IoT设备的计算架构。

Oracle CTO Larry Ellison曾经说过“用户和身份处于数字食物链的顶端。”身份管理与访问认证一直是Oracle 的战略投资，Oracle提供了完整的身份和安全管理解决方案。包括On-Premise的IAM (Identity And Access Management)和Public Cloud的IDCS(Identity Cloud Service)两大解决方案，IAM和IDCS可以组成混合云部署方案，为企业IT提供完整的身份安全管理解决方案。

从传统4A到5A+的数字化安全

针对传统的IAM平台难以应对日益复杂企业应用，尤其是针对外网部署应用、高并发应用、社交认证、公有云服务，移动App等应用的现状。Oracle针对性的推出身份云服务IDCS（Identity Cloud Service）,IDCS在传统IAM平台针对4A管理的基础上，应用大数据和Machine Learning的相关技术，针对性的推出访问自适应功能，通过配置不同的策略，实现基于风险的身份验证(RBA)。实现身份管理与访问认证从传统4A到5A+的转变。

IDCS Adaptive自适应访问增强

IDCS支持目前互联网认证的主流协议，包括OpenID Connect、OAuth2、JWT、SAML、SCIM等，此外IDCS提供了功能丰富的Restful API，可以满足用户的个性化需求；同时，IDCS还满足GDPR等安全法案的要求。IDCS基于Oracle公有云服务，天生具备企业级互联网安全的基因，可以同时满足企业应用对于性能、安全和稳定性的需求。

Oracle 混合云身份管理方案

为了满足外网应用、移动App以及云服务的集成，我们设计了以上混合云的部署方案：

• 内网以HR为数据源，为企业员工在IAM平台生成统一账号；然后将账号同步至各业务系统；内网应用与IAM平台集成SSO

• 外网使用IDCS，企业员工可以通过IAM平台同步至IDCS；同时合作伙伴、供应商、消费者等用户可以直接在IDCS注册账号，然后IAM平台从IDCS回收至平台；外网应用、移动App与IDCS集成SSO

• IDCS与IAM集成联邦认证，可以单向SSO，企业内网可以访问外网应用，外网无法访问内网应用；也可以双向SSO，内外网应用统一实现SSO

• 内外网应用隔离，对于企业核心业务系统无需暴露在外网，最大程度保障核心应用的数据安全

Oracle IAM与IDCS的混合云身份管理与认证方案完美的解决了现代企业对IAM的需求，实现了功能、稳定、性能、成本的高度统一，是企业实现数字化转型之路上必不可少的帮手。