了解如何从内部部署访问管理系统迁移到 Oracle Identity Cloud Service
客户开始从使用内部部署应用环境转变为同时包含内部部署和云应用的环境,或者将一些内部部署应用替换为云应用。
- 包含来自多个供应商的应用程序,但这些应用程序可能依赖于唯一、专有和中央身份验证机制(企业身份验证机制)。
- 具有紧密耦合到此验证机制的应用程序。
- 由熟悉此验证机制提供的验证流和登录屏幕的用户使用。
另一方面,云应用:
- 来自多个供应商,每个供应商都使用自己的中央身份验证机制,或者根本没有中央身份验证机制。
- 与它们的验证机制松散耦合。因此,可以使用外部机制替换此验证机制。
- 适用于不受云环境验证流影响的用户。
- 与其他应用程序集成所需的工作量较少,因为它们遵循标准。
使用须知
Oracle Identity Cloud Service 可为本地、云端或移动设备中的应用提供身份管理、单点登录 (SSO) 和身份治理。用户可以随时随地在任何设备上安全地访问应用。Oracle Identity Cloud Service 直接与现有目录和身份管理系统集成,用户可以轻松访问应用。它为 Oracle Cloud 提供安全平台,用户可以安全、轻松地访问、开发和部署业务应用和平台服务。
从内部部署访问管理系统迁移到 Oracle Identity Cloud Service 的原因:
- 集成的基础设施和平台服务,实现更简单、更高效的业务。
- 能够更快地将有关安全方面的新举措推向市场。
- 严格遵守安全标准以满足合规性要求。
- 适用于许多 Oracle 和非 Oracle 应用的整合平台。
Oracle Identity Cloud Service 具有足够的灵活性,因此您的云和内部部署应用可以使用它。但是,需要时间和精力来支持云和内部部署应用正常运行,以便用户可以通过 SSO 访问这些应用。因此,Oracle 提供了路线图,帮助您分阶段将内部部署访问管理系统迁移到 Oracle Identity Cloud Service 。
此解决方案提供有关路线图的详细信息,说明其阶段,讨论如何确定最适合您需求的阶段,并说明如何从一个阶段迁移到另一个阶段。
体系结构
将您的环境从内部部署访问管理系统迁移到 Oracle Identity Cloud Service 的路线图包含四个阶段。这些阶段从完全隔离的内部部署和云环境发展到完全集成的环境。每个阶段都涉及要实现的优势、目标、任务以及进入下一阶段的要求。
下图重点介绍了每个阶段的主要架构组件:
在此架构图中,内部部署访问管理系统表示旧验证机制,Oracle Identity Cloud Service 表示基于云的访问管理系统。企业用户可信源由企业轻量目录访问协议 (Lightweight Directory Access Protocol,LDAP) 表示。内部部署应用按集成方法(例如 OAuth、SAML、反向代理方法等)分组。
关于路线图
该路线图的各个阶段称为混合云阶段,因为它们表示在客户环境中共存的内部部署和基于云的应用程序。
- 在第一阶段,您的本地环境与云环境完全隔离。
- 当您将内部部署验证机制作为身份提供者与 Oracle Identity Cloud Service 作为服务提供商集成时,两个环境的集成将在第二阶段开始。因此,您可以通过单点登录 (SSO) 访问您的应用程序。SSO 对用户透明地进行,因为登录过程未更改。
- 在第三阶段,您可以重新配置或重建内部部署应用,直接将其与 Oracle Identity Cloud Service 集成。
- 在第四阶段,将完全删除内部部署访问管理系统的相关性:所有应用程序都使用 Oracle Identity Cloud Service SSO 机制,并且可以增强登录过程的安全性。您可以设置登录和身份提供者策略,配置多因素身份验证 (MFA),启用自适应安全,以及定制 Oracle Identity Cloud Service 登录页。
对于第 2、3 和 4 阶段,Oracle Identity Cloud Service 必须能够将用户与公司用户存储同步。您可以将您在企业轻量目录访问协议 (Lightweight Directory Access Protocol,LDAP) 中创建的用户传播到 Oracle Identity Cloud Service ,以便他们可以通过 SSO 登录到 Oracle Identity Cloud Service 。此外,如果您从 LDAP 中删除用户,则也会从 Oracle Identity Cloud Service 中删除这些用户,并且他们无法登录以访问受 Oracle Identity Cloud Service 保护的资源。