编辑: JZS133 | 2014-04-13 |
该解决方案提供审计功能,可为共享特 权帐户凭证的用户明确责任.OPAM 与Oracle Identity Manager (OIM) 和Oracle Identity Analytics (OIA) 共同构成完整的 Oracle 身份治理平台,可为 普通用户和特权用户提供集中治理,可为用户的普通帐户和共享帐户提供全 面的审计、报告和认证,其管理功能涵盖从请求、审批、认证到使用跟踪的 整个生命周期.OPAM 可大幅提升安全性和显著改善合规性. Oracle Privileged Account Manager OPAM 可管理目标系统上的特权帐户口令.它集中管理特权帐0户凭证,OPAM 管理员可 通过定义策略来控制哪些人(用户、角色或用户组)可访问某个特权帐户凭证. 当用户需要使用特权帐户访问目标系统时,该用户必须通过 OPAM 的身份验证,在成功 获得授权后得到(签出)凭证.系统将对该凭证的访问进行审计跟踪.由于凭证在一段 时间内是专用的,因此可1以明确责任. 用户和 OPAM 管理员可通过同一个基于 Web 的控制台与 OPAM 交互.该Web 控制台支 持基于角色的访问,可区分是用户在检索口令,还是 OPAM 管理员在管理 OPAM 策略.用户可签入/签出特权帐户口令,而OPAM 管理员则可以管理目标、帐户、授权、使 用和口令等策略.控制台可通过 Oracle Access Manager 和Oracle Adaptive Access Manager 实现强身份验证和一次性登录 (SSO) 来确保其访问的安全性. 所有 OPAM 用户和管理员交互都会被审计并存储在一个中央审计数据库中.OPAM 管理 员随时可以查看被签出的帐户. OPAM 利用 Oracle Integrated Connector Framework (ICF) 提供了一些连接器,因此可以将 OPAM 与目标系统(如用户目录、数据库服务器和操作系统)连接起来.OPAM 服务器 提供一个 REST 式API 供默认的 OPAM 客户端应用程序(包括 OPAM 控制台和 OPAM 命令行)使用.客户可以使用 OPAM 的REST 式公共 API 来进行自定义集成.系统可通 过连接器自动发现和识别特权帐户.由OPAM 管理的口令会经过加密并保存在 OPSS 凭 证库中.当口令存储在 Oracle 数据库中时,客户可以使用 Oracle Database Vault 和Transparent Data Encryption (TDE) 进一步提升安全性. ORACLE 数据表 OPAM 与Oracle 身份治理平台相集成 OPAM 可作为一个独立的组件使用,不过它与 OIM 及OIA 相集成构成完整的 Oracle 身 份治理平台之后才能充分发挥其优势.Oracle 身份治理平台提供了一个全面的治理解决方 案,可为普通帐户、特权帐户以及用户的个人和共享帐户提供生命周期管理,从而满足 企业的合规性需求.集成后,系统可通过 OIM 的基于策略和角色的供应功能将用户从 OIM 供应至 OPAM,以及通过 OIM 的自助委托功能将访问权限委托给特权帐户.管理员 可以从 OIM 中请求特权帐户访问,还可以从 OIM 中发出 打碎玻璃 (紧急)请求,以 便于请求通常无法获得的帐户访问权限.此外,还可利用 OIM-OIA 基于风险的认证和闭 环纠正. OPAM 是对 Oracle 解决方案的补充 Oracle Database Vault 支持细粒度的授权和职责分离,可防止 DBA 在未经授权的情况下访 问存储在数据库中的应用程序数据.数据库企业用户安全性 (Database Enterprise User Security) 可集中管理 LDAP 中的数据库用户(除 sys 等特权数据库帐户之外)和企业 角色.Oracle 操作系统身份验证服务 (OAS4OS) 可帮助企业集中管理 Unix 和Linux 帐户.OPAM 对这些解决方案进行了补充,可管理特权数据库、目录和操作系统帐户及用 户,从而实现责任明确、可审计和更高的安全性和合规性. 总结 Oracle Privileged Account Manager (OPAM) 提供了一个功能全面的集成式解决方案,可帮 助组织管理特权帐户口令和审计特权活动.OPAM 可作为一个独立的解决方案使用,不 过与其他 Oracle 身份管理组件相结合时可发挥更大的价值.Oracle 身份治理平台(包括 OIM、OIA 和OPAM)提供了一个全面的治理解决方案,可为普通帐户、特权帐户以及 用户的个人和共享帐户提供生命周期管理,从而满足企业的合规性需求.