【正文】 事件和統(tǒng)計信息；啟動可以把上述數(shù)據(jù)收集到新資源庫的流程；10 / 59 Oracle Inter Directory 優(yōu)勢OID 在目錄操作、管理與訪問中具備以下優(yōu)勢： ? 可擴(kuò)展性 發(fā)掘了 Oracle 數(shù)據(jù)庫的能力，可以支持 T 字節(jié)的目錄信息。 ? Oracle Inter Directory 軟件開發(fā)包。下面的圖示說明了這個關(guān)系：9 / 59Oracle Inter Directory 架構(gòu) Oracle Inter Directory 組件Oracle Inter Directory 包括 :? Oracle 目錄服務(wù)器, 通過一個直接建立在 TCP/IP 上的多層架構(gòu)，對客戶端信息請求做出響應(yīng)。 Oracle Inter Directory 架構(gòu)Oracle Inter Directory 作為 Oracle 數(shù)據(jù)庫上的一個應(yīng)用來運(yùn)行。 目錄服務(wù)Oracle Inter Directory (OID)是一個多功能的目錄服務(wù)，允許快速讀取并集中管理分散用戶的信息和網(wǎng)絡(luò)資源。Oracle Portal 內(nèi)置的認(rèn)證方式有兩種：基于密碼和基于證書的。 用戶必須輸入他們的用戶名和密碼，或以數(shù)字證書的方式，將認(rèn)證信息發(fā)送到服務(wù)器端進(jìn)行身份驗證，只有認(rèn)證通過后，該用戶才可以訪問這些系統(tǒng)資源。8 / 59第二章 Oracle AS Portal 安全框架介紹 身份認(rèn)證（Authentication）Portal 的資源按照訪問權(quán)限可以大致分成兩類：一類是面向公眾的資源，另一類是受系統(tǒng)安全訪問控制的資源。Oracle Identity Management 包括 LDAP 目錄服務(wù)、目錄集成和供應(yīng)服務(wù)、一個委托管理服務(wù)應(yīng)用程序、認(rèn)證和授權(quán)服務(wù)以及一個 V3 認(rèn)證中心（certificate authority） 。健全7 / 59而可靠的身份管理策略可以降低成本、加快應(yīng)用部署、改善用戶體驗，同時提高應(yīng)用程序的安全性。? 緩存 針對靜態(tài)和動態(tài)生成的 Web 內(nèi)容提供緩存解決方案用以加速應(yīng)用的訪問性能并保障訪問安全性。 ? 商務(wù)智能利用 Oracle 應(yīng)用服務(wù)器的商務(wù)智能分析的特性，提供綜合的個性化功能和商務(wù)智能分析的服務(wù)。1 / 59密 級：文檔編號：項目代號：中國 移動 ORACLE Portal安全配置手冊Version 中國移動通信有限公司二零零四年十二月2 / 59擬 制:審 核:批 準(zhǔn):會 簽:標(biāo)準(zhǔn)化:3 / 59版本控制版本號日期 參與人員更新說明分發(fā)控制編號讀者 文檔權(quán)限 與文檔的主要關(guān)系1 創(chuàng)建、修改、讀取 負(fù)責(zé)編制、修改、審核2 批準(zhǔn) 負(fù)責(zé)本文檔的批準(zhǔn)程序3 標(biāo)準(zhǔn)化審核 作為本項目的標(biāo)準(zhǔn)化負(fù)責(zé)人，負(fù)責(zé)對本文檔進(jìn)行標(biāo)準(zhǔn)化審核4 讀取5 讀取4 / 59目 錄第一章 ORACLE AS 平臺安全概述 ................................................................6 ORACLE AS 平臺簡介 ...................................................................................6 ORACLE AS 身份管理介紹 ........................................................................6第二章 ORACLE AS PORTAL 安全框架介紹 ..............................................8 身份認(rèn) 證（AUTHENTICATION） ..................................................................8 目錄服務(wù) ................................................................................................8 單 點(diǎn)登錄 ..............................................................................................10 Java 認(rèn)證與授權(quán)服務(wù) (JAAS)...........................................................13 授權(quán) （AUTHORIZATION ） ........................................................................14 Portal 授權(quán)和訪問機(jī)制 ......................................................................15 Portal 權(quán)限管理 ..................................................................................15 安全 審計 （AUDITING） ...........................................................................16 數(shù)據(jù)傳輸加密 （ENCRYPTION） ...............................................................17第三章 ORACLE AS PORTAL 的安全模型及組件安全性 ........................19 ORACLE AS PORTAL 安全模型 ...................................................................19 PORTAL 組件安全性 ...................................................................................22 Portlet 安全性 ......................................................................................22 OraDAV 安全性 ..................................................................................24第四章 ORACLE AS PORTAL 安全框架配置步驟 ....................................26 ORACLE AS PORTAL 安全 SCHEMA.............................................................26 與 ORACLE 應(yīng)用服務(wù)器安全的集成 ..........................................................27 與 ORACLE 身份管理的集成 ......................................................................27 Portal 與 Oracle SSO 服務(wù)器的關(guān)系 .................................................27 Portal 與 Oracle 目錄服務(wù)的關(guān)系 ....................................................28 Portal 與 Oracle 目錄服務(wù)集成的關(guān)系 ............................................32 與 ORACLE HR 系統(tǒng)的用戶集成 ...............................................................345 / 59 Oracle 身份管理和 Oracle HR 用戶集成簡介 ..................................34 HR 系統(tǒng)與 Oracle 身份管理集成的流程 ..........................................35 與 ORACLE APPLICATION 11I 的集成 ..........................................................36 與 Oracle Application 11i 的單點(diǎn)登錄 /門戶的集成 ..........................36 與 Oracle Application 集成的益處 ....................................................38 ORACLE AS PORTAL 安全選項的配置 .......................................................42 用 SSL 方式訪問 AS Portal 的配置 ....................................................43 用 SSL 方式訪問 OID 的配置 ............................................................48 AS Portal 全局設(shè)置的配置 .................................................................49 AS Portal 安全配置建議 .....................................................................50附錄 1 術(shù)語表 ....................................................................................................566 / 59第一章 Oracle AS 平臺安全概述 Oracle AS 平臺簡介Oracle 應(yīng)用服務(wù)器是 Oracle 所提供的全面而完整的電子商務(wù)解決方案的一個非常重要的組成部分，是一個 100% 基于 標(biāo)準(zhǔn)的應(yīng)用服務(wù)器，為運(yùn)行 Web 站點(diǎn)、J2EE 應(yīng)用程序、Web 服務(wù)提供一個完整和高度集成的平臺，同時也是支持網(wǎng)格計算的應(yīng)用服務(wù)器平臺。Oracle AS 平臺可提供以下功能以及服務(wù)：? J2EE 應(yīng)用平臺和 Web 服務(wù) ? PORTAL Server（門戶服務(wù)器） ? 無線服務(wù)在無線網(wǎng)絡(luò)環(huán)境中提供傳遞內(nèi)容到移動設(shè)備的服務(wù)。 ? 電子商務(wù)集成對電子商務(wù)應(yīng)用提供交互和集成的能力，并能對非 Oracle 數(shù)據(jù)源提供無逢查詢和交易處理。 ? 管理和安全服務(wù) Oracle AS 身份管理介紹身份管理是機(jī)構(gòu)管理終端用戶和網(wǎng)絡(luò)實(shí)體整個安全生命周期的過程。 Oracle Identity Management（Oracle 身份管理）是一個集成的、可伸縮的、健壯的身份管理基礎(chǔ)架構(gòu)。Oracle Identity Management 的關(guān)鍵優(yōu)勢在于其健壯性和可伸縮性、對 Oracle 產(chǎn)品即需即用的部署支持、用作與其他企業(yè)身份管理解決方案的單一集成點(diǎn)、以及可以開放地基于標(biāo)準(zhǔn)地進(jìn)行實(shí)施。當(dāng)用戶需要訪問這些受安全控制的資源時，比如說，一個內(nèi)部網(wǎng)頁的 URL，如果用戶還沒有登錄，系統(tǒng)會將用戶的請求重定向到 OracleAS Portal 的登錄界面。 由此可見，身份認(rèn)證的主要目的就是檢測用戶身份的合法性。? 用戶名/密碼認(rèn)證方式? 數(shù)字證書為了支持有效的用戶身份認(rèn)證，Oracle 提供了目錄服務(wù)和單點(diǎn)登錄等功能，同時還支持 Java 的認(rèn)證和授權(quán)服務(wù)。它把輕量目錄存取協(xié)議（LDAP v3）和高性能、可擴(kuò)展性、強(qiáng)壯性和 Oracle 數(shù)據(jù)庫的可用性聯(lián)合在一起。通過 Oracle 網(wǎng)絡(luò)服務(wù)（Oracle 獨(dú)立于操作系統(tǒng)的數(shù)據(jù)庫連接解決方案）和數(shù)據(jù)庫進(jìn)行通信。 ? Oracle 目錄復(fù)制服務(wù)器，用于在 Oracle 目錄服務(wù)器之間復(fù)制數(shù)據(jù)。? 目錄管理工具，其中包含： ? Oracle 目錄管理器， 通過一個基于 Java 的圖形界面，簡化了目錄管理；? 多種 LDAP 客戶端可以調(diào)用的基于命令行方式的管理工具和數(shù)據(jù)管理工具；? Oracle10g 企業(yè)管理器應(yīng)用服務(wù)器控制臺中的目錄服務(wù)器管理工具。另外，借助于共享 LDAP 服務(wù)器和數(shù)據(jù)庫連接池，它能夠支持上千個并發(fā)的用戶，并且保持響應(yīng)時間在秒級。同時利用了 Oracle 數(shù)據(jù)庫的特性受到Oracle 數(shù)據(jù)庫備份能力的保護(hù)。管理員可以授予或限制對某個特定目錄對象的訪問，或者是整個目錄子樹。 ? 與第三方企業(yè)目錄以及特殊應(yīng)用用戶資源庫的集成能力 OracleAS Portal 允許自助服務(wù)的、集成的企業(yè)門戶在 Oracle Inter Directory 中存儲公共用戶和組的屬性。 Oracle 單點(diǎn)登錄服務(wù)器 利用 Oracle Inter Directory 來存儲用戶條目。 單點(diǎn)登錄單點(diǎn)登錄通過確保用戶只需輸入一次用戶名和口令即可訪問所有