在11g環境中替換Oracle SSO 10g所需的建議

Question

我們目前使用Oracle 10g應用服務器的SSO組件來在面向外部/互聯網的客戶端「門戶」（認爲類似於網上銀行）上驗證用戶身份

SSO使用Oracle Internet Directory來存儲它的數據，並且我們已經能夠使用PL/SQL和Java來訪問和修改保存在OID中的數據（例如創建/刪除用戶，更改/驗證密碼等）

隨着11g的出現，Oracle似乎有了「孤立的」SSO ......它可用，但僅作爲附加組件，似乎已被Oracle Access Manager取代。我猜測它會一起下降12克。另外，它看起來很難安裝並正確運行。

所以，我想知道如果任何人有有過相同的遷移問題，因爲我們的經驗嗎？如果是這樣，你做了什麼？

另外，沒有任何人有使用Oracle訪問管理器做類似事情的經驗嗎？你認爲它會做我們想要的嗎？

還是有更好的路往下走？還有什麼我應該考慮的嗎？

對不起，我很廣泛的問題，但它是其中一個人的是什麼+不工作經驗，可以使我們的巨大的差異使得及時取得一些進展的情況之一。謝謝。

Answer 1

從我的知識，Oracle互聯網目錄（OID）是一個LDAP兼容的目錄，而Oracle訪問管理器（OAM）要複雜得多，它由兩個主要系統：

1. 識別系統（用戶，組， 工作流程）
2. 訪問系統（單/多域 SSO解決方案適用於Web和非Web 的應用程序）。

訪問管理器依賴標識服務器是一個獨立的服務器進程與任何目錄服務器（AD，OID，Sun目錄服務器。）上進行通信。

所以，你可以使用新的OAM和與您現有的OID鏈接吧...檢索用戶/組和元數據。所有你可以用OID做的事情都可以通過OAM實現，因爲它帶來了更多的抽象層。

但在我看來，考慮到您的情況，直接訪問LDAP服務器（OID，AD等）以及使用輕型和「自制」SSO系統比依靠這些大型系統便宜....我認爲當您擁有大量異構應用程序（web，非web，移動，...）和/或多個組織/域與鏈接和/或您需要一個非常可擴展的方法時，OAM是一個有用的解決方案。