|
昇陽在企業內部的 Oracle 部署作業,添加領先業界的身分認證管理
 Sun Inner Circle 電子報的讀者們好,我是昇陽電腦首席資訊長 Bob Worrall。過去曾經在電子報中寫道,我的辦公室最近正處於長程規劃和策略時期,因為昇陽正進行一項大規模、涵蓋全公司的計畫,希望改變商務流程和 IT 應用程式的整合,以降低成本和複雜度。
這項計畫稱之為整合商務資訊解決方案 (IBIS),在此期間,我們將以 70 多個流程化的 Oracle E-Business Suite (電子商務套裝軟體) 模組,取代 500 個以上的舊有應用程式。新軟體幾乎是昇陽所有商務和網頁應用程式的基礎,公司內幾乎所有商務部門都會用到新軟體。
選擇 Oracle 的理由是,它的應用程式套裝軟體符合昇陽的基本商務需求。此外我們還需要解決法規遵循和監控的問題,對於 IBIS 這種大範圍的計畫來說,這些議題極為重要。我和同事討論後,認為昇陽如果要處理這些挑戰,就必須以業界最佳的身分認證管理工具,搭配 Oracle 的運作性能。
幸好這點倒是不假外求,因為昇陽提供了一些業界最佳的身分認證管理解決方案 — 與企業應用程式相較之下,這些解決方案能夠更徹底解決法規遵循的問題。例如 Gartner 利用 Magic Quadrant (魔力象限) 檢視市場的身分認證管理工具時,便將 Sun Java System Identity Manager 和 Sun Java System Access Manager 列於領導地位。
大家都能夠了解搭配業界最佳技術的概念,但是當我表示我們將自有的身分認證管理工具用在 Oracle 應用程式上時,許多業界人士似乎感到很訝異。
要說明我們如何將自有的身分認證管理組件加在 Oracle E-Business Suite 上,請容我介紹昇陽 IT 部門資安與應用策略主任 Yvonne Wilson,謝謝 Yvonne 同意為 Inner Circle 電子報讀者大略說明在昇陽的 IT 整合計畫中,昇陽的身分認證管理工具如何提供法規遵循的性能。
我就不再多說了,Yvonne 請開始吧。
 單點登入有利於稽核追蹤
謝謝你邀請我在你的專欄發言,Bob。遵循金融及商務法規的能力,是昇陽 IBIS 整合計畫不可或缺的要素。各位讀者應瞭解昇陽為了因應這項挑戰,遵循法規的能力須以安全管理超過 50,000 名使用者的身份為重心。我們必須積極管理身份認證,才能符合昇陽全球各地營業處須遵循的無數金融及資訊法規。
如同大部分 IT 經理人所知,無法快速廢除帳戶代表著提高資安和法規遵循的風險。
昇陽和許多大型企業一樣,曾經利用自訂腳本和人工流程管理身份認證,此一途徑會提高人為錯誤和違反法規的風險。無論是昇陽或其他企業,企業員工必須存取無數內部和外部的應用程式,此舉通常會增加 IT 部門提供及管理的密碼和身分認證數量。
身分認證的數量越多,越難找到可稽核的使用者資料。如果使用者帳戶未經管理且分佈在多個應用程式的話,等同幾乎無法及時廢除帳戶。而如同大部分 IT 經理人所知,無法快速廢除帳戶代表著提高資安和法規遵循的風險。
單點登入 (SSO) 目前是昇陽管理身分認證的重要基石。對使用者而言,SSO 表示要記的密碼變少了。對 IT 部門而言,要管理的登入數量減少了,使用單一位址能夠迅速提供及停止使用權限,亦可集中於單點施行功能更強大的新驗證機制。
然而如果要在 IBIS 應用程式和外部開發商代管的其他應用程式上增加 SSO 性能,昇陽的 IT 小組就需要比 Oracle E-business Suite 所能提供的更多身分認證管理性能。因為我們發現,Oracle E-Business Suite 的設計目的僅在於搭配舊有的 Oracle Application Server 10g SSO 模組運作,無法用來驗證其他網頁應用程式的使用者。
連結身分認證和提供 SSO 予使用者極為簡單:IT 小組只要在 Oracle Application Server 10g SSO 元件上,安裝 Sun Java System Access Manager 原則代理程式,接著設定該代理程式將使用者導向 Access Manager,使用者即可存取 SSO。
如今存取 Oracle 應用程式的使用者,都會被重新導向 Access Manager 進行 SSO 登入,就如同登入其他網頁應用程式的使用者一樣。透過如此滴水不漏的身分認證連結,即可稽核追蹤利用商務應用程式進行的所有活動。.
法規遵循性能增加自動存取的功能
Access Manager 雖可解決身分認證管理的部分問題,但應用程式的使用權限分配和存取管理的問題依然存在。事實證明,透過 Sun Java System Identity Manager 解決這些問題極為理想。
IT 小組建置 Sun Java System Identity Manager,以便驗證及記錄存取 Oracle E-Business Suite 應用程式的所有要求和核准。一旦核准存取的要求後,Identity Manager 會按照使用者的職位及職責,自動授與 Oracle E-Business Suite 資料庫的存取權。
同時 Identity Manager 規範遵循操作面板的報表,亦可防止不當存取應用程式。昇陽的 IT 人員可透過這些報表,集中監控存取活動,此外還包括職責分離檢查、工作流程的監督、以及稽核掃描。一旦偵測到違反原則時,Identity Manager 會視違反情節的嚴重程度而建議修正,或是立即凍結該帳戶或有疑問的帳戶。
為了施行 SSO 和存取管理,IT 小組分析過 Oracle 各項應用程式模組的性能,並依序增加使用權限分配的工作流程,以及適合各種狀況和各項應用程式的原則查驗。Identity Manager 提供帳戶使用權限分配和存取的整合性能,Access Manager 的 SSO 驗證功能則可加快前述功能並提高稽核性 — 對於終端使用者而言也更方便。
對所有大規模的 ERP (企業資源規劃) 部署作業而言,整合新應用程式和其他應用程式是一大挑戰。我們將 Sun Java Composite Application Platform Suite (Java 綜合應用平台套裝軟體;Java CAPS) 視為 IBIS 部署作業後端的唯一整合點,並將大部分的整合工作流程化。
為求進一步簡化,昇陽 IT 小組在 IBIS 和 Java CAPS 之間建置單一介面,Java CAPS 因此成為進入許多舊有應用程式介面的單一圖形連結點。由於透過 JCAPS 管理所有的訊息處理工作,因此 Oracle 和舊有應用程式的資料傳遞能夠順利無比。
完善的身分認證管理方案能夠降低成本
昇陽整合身分認證之後,首年度節省淨額為 $400,000 美元,隨著 IBIS 計畫的推展,預期將節省更多金額。以預設應用程式的使用權限分配流程取代自訂腳本和人工流程之後,IT 人員要管理的身分認證數量減少,使用者登錄及隔離等活動所需時間也減少。
更重要的是,自動管理身分認證事宜的速度有助於促進法規遵循。例如 Identity Manager 會辨識相關的帳戶,因此有些員工能夠進入請款頁面申請費用 。使用 Identity Manager 也代表著能夠看到、驗證和記錄存取要求及流程,系統會自動製作法規遵循報表及執行職責分離檢查。
簡化 IBIS 和許多舊有應用程式的身分認證管理之後,昇陽就能夠更輕鬆的整合整個 IT生態系統內的身分認證。身分認證管理成功之後,企業能夠比過去更快速地推行智慧卡驗證等新計畫。
在此我要指出成功提升身分認證管理性能的另外一項因素:無論使用者本身是否意識到,IBIS 應用程式的使用者對於促進法規的遵循也出了一份力。由於密碼關卡減少,登入系統和應用程式的速度也跟著變快。不出所料,使用者覺得方便 — 而因為這樣比較便利,使用者也更樂於遵守新 IT 環境的規定。
Bob Worrall
昇陽電腦首席資訊長
| 
