身份访问管理(IAM)不仅仅是炒作,也不是新现象。访问控制应用已经使用了数十年,并嵌入到许多组织的基础设施中,但它们变得越来越难以管理。
客户有时需要管理数十万用户,这些用户可能可以访问多个应用程序,这意味着可能有数十万种可能的授权。授权,如应用程序内的访问权限和权限,都需要维护。这导致对谁在何种情境/条件下可以访问哪些信息,以及如何访问提出疑问。
这一参考架构利用了以下服务。
下图展示了目标IAM参考架构。
Oracle平台实现的每个组件的功能如下。
Oracle身份治理(OIG)、Oracle身份角色智能(OIRI)和OIG连接器提供以下功能。
提供自助服务功能和代理行政职能,用于管理用户身份,包括用户和特权账户。
从中心管理点到目标系统的用户信息的外部流动。跟踪所有操作(如创建、更新和删除)的账户、角色和权限,覆盖所有管理资源。
从可信系统或目标系统的用户信息的内部流动。用户信息通常包括所有操作(如创建、更新和删除)的账户、角色和权限到中心管理平台。
自动化业务和IT流程的能力,以实现基于策略的自动配置和模拟审批流程,以管理资源访问请求。
密码策略支持和自助管理,用于密码重置和密码更改。
向最终用户和相关单位的管理层,以及系统、安全和代理管理员发送与平台处理的所有类型事件相关的信息。
三层集成能力到各种异构身份感知IT系统。这种三层能力反映了最小化自定义开发、最大化代码重用和缩短部署时间的目标。
定义与用户、角色、权限、账户和组织管理相关的流程执行的评估标准。
使用身份审核(IDA)定义和检测违规行为。IDA的检测机制监控用户对资源的实际访问,并持续捕获任何违规行为。IDA有两种模式:侦查和预防。
对用户进行逻辑分组,可以分配访问权限,自动配置资源,或用于常见任务,如审批和访问认证。
全面的风险管理能力,针对所有关键功能,可直接将角色、账户和权限分配高、中、低风险等级。
在同伴群体中发现权限模式,支持基于用户属性的自上而下的角色挖掘方法。自下而上的方法根据应用程序和权限过滤数据,或自上而下自下而上的混合方法。
将候选角色与现有角色进行比较,以避免角色爆炸。基于用户亲和性和角色亲和性对候选角色进行微调。自动将角色发布到OIG,触发角色采用的工作流程。整合来自不同来源的数据,如OIG数据库和平面文件,并在将候选角色转移到生产之前提供假设分析。
要集成的目标应用程序包括以下一些。
下图展示了Oracle云基础设施区域中一个Kubernetes集群的参考架构,该区域包含多个可用性域。建议在同一区域内实施灾难恢复策略,以利用多个可用性域(数据中心),同时最小化延迟和性能下降。建议的拓扑利用了三个可用性域中的两个,因为建议所有Pod应在同一可用性域的工作节点上运行。下面提供了关于灾难恢复策略的更多细节。
该架构包括以下组件:
VCN是一个可自定义的软件定义网络,您可以在Oracle云基础设施区域中设置。与传统数据中心网络一样,VCN让您完全控制您的网络环境。VCN可以有多个不重叠的CIDR块,您可以在创建VCN后更改它们。您可以将VCN划分为子网,这些子网可以限定在一个区域或一个可用性域。每个子网由不与VCN中其他子网重叠的连续地址范围组成。您可以在创建后更改子网的大小。子网可以是公共的或私有的。
Oracle云基础设施区域是一个地理区域,包含一个或多个数据中心,称为可用性域。区域彼此独立,它们之间可能相隔很远(跨越国家甚至大洲)。
互联网网关允许VCN中的公共子网与公共互联网之间的流量通行。
Oracle云基础设施Web应用防火墙(WAF)是一个符合支付卡行业(PCI)标准的、基于区域的边缘执行服务,附加在执行点上,如负载均衡器或Web应用域名。WAF保护应用程序免受恶意和不必要的互联网流量。WAF可以保护任何面向互联网的端点,为客户的应用程序提供一致的规则执行。
DRG是一个虚拟路由器,为同一区域中的VCN之间、VCN与区域外的网络(如另一个Oracle云基础设施区域的VCN、本地网络或其他云提供商的网络)之间的私有网络流量提供路径。
服务网关提供从VCN到其他服务(如Oracle云基础设施对象存储)的访问。从VCN到Oracle服务的流量通过Oracle网络织物传输,从不穿越互联网。
NAT网关使VCN中的私有资源能够访问互联网上的主机,而不将这些资源暴露给传入的互联网连接。
Oracle云基础设施堡垒服务为不具有公共端点且需要严格资源访问控制的资源提供限制性和时限性的安全访问,例如裸机和虚拟机、Oracle MySQL数据库服务、自治事务处理(ATP)、Oracle容器引擎用于Kubernetes(OKE),以及任何其他允许安全外壳协议(SSH)访问的资源。通过Oracle云基础设施堡垒服务,您可以在不部署和维护跳转主机的情况下启用对私有主机的访问。此外,您可以通过基于身份的权限和集中式、可审计、时间限制的SSH会话获得改善的安全姿态。Oracle云基础设施堡垒消除了堡垒访问的公共IP需求,消除了在提供远程访问时的麻烦和潜在攻击面。
Rsync on NFS提供了一种持久存储复制方法,该方法复制域配置,维护和配置工作量最小。
当您在当前区域启用带有备用数据库的自治数据保护时,自治数据库监控主数据库,如果主数据库宕机,备用实例会自动承担主实例的角色。当启用了带有本地备用数据库的自治数据保护时,自治数据库提供了一个与主数据库相同的备用数据库,允许进行以下操作,具体取决于主数据库的状态。
如果您的主数据库宕机,自治数据保护将备用数据库转换为主数据库,中断时间最短。故障转移完成后,自治数据保护会为您创建一个新的备用数据库。
您可以执行切换操作,其中主数据库变为备用数据库,备用数据库变为主数据库。
在设计您的身份治理解决方案时,请考虑灾难恢复方法。
OCI上的灾难恢复解决方案是一个主动-被动模型。
主系统由一个Oracle WebLogic域(WLS)、Oracle身份和访问管理(OIG和OAM)在Oracle Kubernetes引擎(OKE)上、一个负载均衡器、一个Oracle云基础设施自治数据库系统(ATP)以及两个Oracle HTTP服务器(OHS)组成,这些都位于一个可用性域(AD)内。
辅助系统由相同的架构组件组成,但位于不同的可用性域。这个可用性域、数据中心和站点在物理上距离主可用性域足够远,以保护组件免受灾难影响。
作为Oracle的高级合作伙伴,Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持,Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务,您可以迅速开启并享受Oracle云的全方位服务,从而无缝融入云端世界。
Agilewing的AgileCDN服务,结合了OCI的云基础服务,提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络,确保了无论您的业务扩展到全球哪个角落,都能保持高效稳定的运行。
利用Oracle云的先进技术,Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案,使他们能够更加专注于核心业务,同时享受Oracle云的高性能和安全保障。
Oracle云服务,作为一个充满潜力的领域,以其高性能、安全性和全球统一的服务标准,为各类企业开启了新的机遇之门。通过Agilewing的专业服务,无论是个人用户还是企业,都能轻松步入这个充满技术革新和高效能的新时代。现在,就让Agilewing引领您开始探索Oracle云服务,打开一个全新的世界大门。