我希望进一步了解 Oracle 身份分析 (OIA) 以及它如何与其他 Oracle 身份管理 (OIM) 产品结合使用。例如,它在身份/访问管理中的作用是什么?公司通常如何使用它?
2 回答
您可以将 OIA 视为帐户和权利仓库,当 OIM 更倾向于提供管理自动化(授予和撤销访问权限)时,您可以在其中找出谁有权访问什么。
在我工作的地方,我们主要将它用于身份审计。它涵盖了对违反职责分离的预防和反应。(例如,开发人员不应该拥有对生产环境的直接、高权限访问——这将是一种违规行为)。它是通过针对一组员工设计和执行身份审计策略和规则来完成的。
不幸的是,该工具有很多不足之处,因此需要在做出最终决定之前对其进行彻底测试。其中一些您可以通过编写一些小脚本来解决,但其中一些完全基于 Oracle(扩展、性能、WebUI),因此您可能需要等待了解有关 OIG(Oracle 身份治理套件)的更多详细信息他们在 2012 年 10 月宣布 ( http://www.oracle.com/us/corporate/press/1859216 )
Oracle Identity Analytics (OIA) 允许您运行审计策略和角色管理,从而增强了 OIM 的供应、重新认证和特权访问组件。
OIM 允许您定义角色以自动化和简化配置,但它没有角色挖掘功能来根据谁已经访问了什么来建议角色。因此,在 OIM 中,您必须手动定义用户的角色。OIA 可以通过自下而上地查看数据以找到共性,从而部分自动化该过程。Oracle 建议采用混合方法,将两者结合起来。
审计政策旨在职责分离(或有害组合),允许您防止在存在利益冲突的情况下授予访问权限。一个典型的例子是在某些软件中提出支付请求的权限和批准支付请求的权限。这在高度监管的环境中尤其重要,例如银行和卫生部门。
在 OIM for Privileged Access 中,您通常不会使用 SoD 约束来让用户同时拥有非特权帐户和特权帐户。事实上,您可能希望用户默认使用标准帐户,然后通过紧急情况逐步升级以获取他们的密码并使用特权访问管理器来维护审计跟踪。比起 OIM 中包含的 Oracle 产品,我更熟悉 CyberArk。
在 Oracle Identity Governance 11g PS 2 下,许可协议应为您提供套件中的所有产品。随着时间的推移,甲骨文正在进一步整合这两种产品。