如何在 Oracle Key Manager 中使用 Microsoft 用户凭证

作者：Scott Painter，2012 年 3 月

您可以在 Oracle Key Manager 中使用现有的 Microsoft 用户凭证，前提是通过 Oracle Enterprise Single Sign-On Logon Manager GUI 导入这些用户凭证。

简介

如今，当您创建 Oracle Key Manager 用户并为他们分配授予各种权限的角色时，必须在 Oracle Key Manager 系统自身中定义这些用户；没有工具可让您使用 LDAP 或 Microsoft Active Directory 等身份管理系统中的现有用户 ID 和关联的凭证。在 Oracle Key Manager 中实施身份管理之前，您必须跟踪和管理与 Oracle Key Manager 相关联的其他用户名和身份验证凭证。

口令管理一直就是一项挑战，但现在对 Oracle Key Manager GUI 的 Microsoft Windows 用户来说，有一种直接的解决办法：使用 Oracle Enterprise Single Sign-On Logon Manager（Oracle Enterprise Single Sign-On Suite Plus 的一个组件）管理口令并为 Oracle Key Manager 提供用户凭证。

注：使用 Oracle Enterprise Single Sign-On Logon Manager 11.1.1.5.0 版对 Oracle Key Manager 进行了测试。Oracle Enterprise Single Sign-On Logon Manager 不能与 Oracle Key Manager 控制台或 Oracle Key Manager CLI 一起使用。它只能与 Oracle Key Manager GUI 一起使用。

在 Oracle Enterprise Single Sign-On Logon Manager 支持下的 Oracle Key Manager 登录过程，将执行以下基本步骤：

• 用户从 Windows 桌面请求访问 Oracle Key Manager。Oracle Enterprise Single Sign-On Logon Manager 代理在桌面截获用户请求。
• Oracle Enterprise Single Sign-On Logon Manager 检索用户记录并填充相应的 Oracle Key Manager 凭证。然后将 Oracle Key Manager 用户名和口令发送到 Oracle Key Manager。
• 向用户授予访问 Oracle Key Manager 的权限。

Oracle Enterprise Single Sign-On Suite Plus

Oracle Enterprise Single Sign On Suite Plus 提供用户安全性，其中包括合规性（HIPAA、GLB、SOX），还提供用户身份管理的单一源。Oracle Enterprise Single Sign-On Suite Plus 支持一系列广泛的目录和数据库作为用户凭证、应用程序登录模板、口令策略和客户端设置的中央信息库。

您可以对 Oracle Key Manager 用户利用 Oracle Enterprise Single Sign-On Suite Plus 的上述特性。默认情况下，Oracle Enterprise Single Sign-On Logon Manager 使用 3DES MS CAPI 加密算法安全地存储用户凭证。

Oracle Enterprise Single Sign-On Suite Plus 包括以下产品组件：

• Oracle Enterprise Single Sign-On Logon Manager。为网络和计算机登录提供接口，提供应用程序登录，从而让用户能够通过一个口令进行一次性登录。它满足在 Microsoft Windows 桌面上对 Oracle Key Manager（用于管理 Oracle Key Manager 集群及其设备的客户端 GUI）使用一次性登录的要求。
• Oracle Enterprise Single Sign-On Password Reset。为忘记桌面口令的用户提供恢复机制。
• Oracle Enterprise Single Sign-On Kiosk Manager。为信息亭环境提供初始用户身份验证和自动用户注销，从而在企业中的任意位置实现安全的信息亭计算。
• Oracle Enterprise Single Sign-On Authentication Manager。支持您使用令牌、智能卡、生物识别和口令的任意组合来控制用户对应用程序的访问，从而更轻松地实施高级身份验证战略。
• Oracle Enterprise Single Sign-On Provisioning Gateway。支持您直接向 Oracle Enterprise Single Sign-On Suite Plus 分发用户凭证、用户名和口令。

Oracle Key Manager 用户管理

作为 Oracle Key Manager 管理员，您执行的基本配置任务是创建用户并为其分配角色。用户使用基于口令的身份验证通过 Oracle Key Manager GUI 进行身份验证。（Oracle Key Manager CLI 用户可以使用基于口令的身份验证，也可以使用基于证书的身份验证。）图 1 提供了 Oracle Key Manager 用户及其角色的示例列表：

图 1. Oracle Key Manager GUI 中的用户列表

每个 Oracle Key Manager 系统还需要您定义 M/N 仲裁组。此仲裁组的每个成员都有自己知道的身份和相应的口令。涉及安全性的各种管理操作都需要获得 N 个仲裁成员中最少 M 个成员的批准。

下一节介绍如何在 Oracle Enterprise Single Sign-On Logon Manager 中为各种 Oracle Key Manager 用户实体定义凭证。

Oracle Enterprise Single Sign-On Logon Manager

首先，在用户将用于访问 Oracle Key Manager 的各种 Windows 桌面系统中安装 Oracle Enterprise Single Sign-On Logon Manager 代理。然后，配置 Oracle Enterprise Single Sign-On Logon Manager 以识别 Oracle Key Manager 登录屏幕和用户的 Oracle Key Manager 登录凭证。以下几节将更详细地描述这些步骤。

安装 Oracle Enterprise Single Sign-On Logon Manager

您应在安装了 Oracle Key Manager 的系统中安装 Oracle Enterprise Single Sign-On Logon Manager 代理。在安装过程中，您可以选择 Oracle Enterprise Single Sign-On Logon Manager 代理要使用的登录方法插件。例如，有一些插件可实现 Windows 登录、通过 Windows 域的图形识别和身份验证 (GINA) 登录、LDAP 登录等。

配置 Oracle Enterprise Single Sign-On Logon Manager

下一步是使用设置向导（图 2 所示）选择主要登录方法并设置 Oracle Key Manager 登录。

图 2. Oracle Enterprise Single Sign-On Logon Manager Setup Wizard — Primary Logon

注：Oracle Enterprise Single Sign-On Logon Manager 的自动提示设置默认情况下处于启用状态。Oracle Enterprise Single Sign-On Logon Manager 自动检测受口令保护的应用程序或网站。如果 Oracle Enterprise Single Sign On Logon Manager 只与 Oracle Key Manager 一起使用，而不与其他应用程序一起使用，则应考虑禁用此特性。

配置 Oracle Key Manager 用户登录

安装和配置 Oracle Enterprise Single Sign-On Logon Manager 之后，可以使用它定义 Oracle Key Manager 登录帐户凭证，如图 3 所示。

图 3. 在 Oracle Enterprise Single Sign-On Logon Manager 中配置应用程序登录凭证

配置具有多个 Oracle Key Manager 凭证的用户

一些用户可能拥有多个 Oracle Key Manager 用户帐户，例如对不同的角色使用单独的帐户，如图 4 所示。因此，用户可能拥有一个 Oracle Key Manager 用户帐户作为合规性官员来管理密钥管理设备 (KMA)，同时还拥有另一个帐户，此帐户具有仲裁角色并且严格用于审批需要仲裁成员批准的 Oracle Key Manager 系统更改。

当企业具有多个 Oracle Key Manager 系统时，也可以使用多个 Oracle Key Manager 用户帐户。例如，企业可能具有测试系统和生产系统。您可以配置 Oracle Enterprise Single Sign-On Logon Manager，让其能够通过特定用户的一次性登录来处理所有这些额外的 Oracle Key Manager 登录凭证。

图 4. Oracle Enterprise Single Sign-On Logon Manager 中的帐户列表

配置 Oracle Key Manager 仲裁用户

如前所述，可以让 Oracle Enterprise Single Sign-On Logon Manager 管理具有仲裁角色的 Oracle Key Manager 用户帐户。Oracle Key Manager 2.2 中增加了仲裁角色，因此，在早期版本中使用 Oracle Enterprise Single Sign-On Logon Manager 不太有用。

配置 Oracle Key Manager ELOM/ILOM 登录

Oracle Key Manager KMA 包含一个为设备提供“无人值守管理”的服务处理器。根据特定的 KMA，该服务处理器可以是嵌入式无人值守管理器 (ELOM)，也可以是集成的无人值守管理器 (ILOM)。

无论是哪种具体类型，这些服务处理器都包含一个 Web 服务器，您可以用各种用户帐户对其进行配置。您还可以配置 Oracle Enterprise Single Sign-On Logon Manager，让其使用 New Logon 对话框中的 Web 选项（图 3 所示）管理这些登录帐户。务请查看 Oracle Enterprise Single Sign-On Logon Manager 版本说明以了解支持的 Web 浏览器列表。

在 Oracle Enterprise Single Sign-On Logon Manager 中管理口令

通过 Oracle Enterprise Single Sign-On Logon Manager 的口令管理特性，您可以手动更改 Oracle Key Manager 口令。利用这些特性，您还可以让 Oracle Enterprise Single Sign-On Logon Manager 随机生成符合 Oracle Key Manager 口令策略的口令。

有关如何利用口令管理特性的详细信息，请参见 Oracle Enterprise Single Sign-On Logon Manager 最佳实践和管理员文档。例如，Oracle Key Manager 不会对其用户强制实施口令更改策略，但拥有企业口令更改策略却是最佳实践。您可以通过配置 Oracle Enterprise Single Sign-On Logon Manager 来定义口令更改策略，此策略可以通过口令更改提醒来帮助 Oracle Key Manager 用户。

使用 Oracle Enterprise Single Sign-On Logon Manager 和 Oracle Key Manager 进行一次性登录

安装和配置 Oracle Enterprise Single Sign-On Logon Manager 之后，事情就变得很简单了，只需通过企业的身份管理系统进行一次身份验证，就可以访问 Oracle Key Manager 并让 Oracle Enterprise Single Sign-On Logon Manager 提供正确的登录凭证。

将一次性登录与 Microsoft Windows 结合使用

如前所述，安装和设置向导需要您选择一种主要登录方法。系统支持各种选择，但最简单的选择是基本 Windows 登录，它提供用户名和口令以便向 Windows 桌面系统进行身份验证。进行身份验证之后，Oracle Enterprise Single Sign-On Logon Manager 代理使用其帐户配置来帮助进行应用程序登录。

登录到 Oracle Key Manager

图 5 显示了在 Oracle Enterprise Single Sign-On Logon Manager 代理的帮助下进行 Oracle Key Manager 用户登录的示例。在此示例中，用户拥有多个 Oracle Key Manager 帐户，因而 Oracle Enterprise Single Sign-On Logon Manager 提供一个对话框来让用户选择本次登录会话使用的凭证。

图 5. 在 Oracle Enterprise Single Sign-On Logon Manager 代理的帮助下进行 Oracle Key Manager 登录

提供 Oracle Key Manager 仲裁批准

各种 Oracle Key Manager 操作（如创建新用户）都需要仲裁批准。当某个操作需要仲裁批准时，拥有仲裁成员身份的用户会具有 Oracle Enterprise Single Sign-On Logon Manager 提供的仲裁拆分密钥凭证。此功能为这些特殊的 Oracle Key Manager 用户提供另一个凭证管理区域，并且在 Oracle Key Manager 第 2.2 版或更高版本中对于批准待处理的仲裁操作最有用。

总结

如果您使用 Microsoft Windows 平台访问 Oracle Key Manager 系统，则 Oracle Enterprise Single Sign-On Logon Manager 可以实现一次性登录以及支持的身份管理解决方案附带的许多其他优势。

资源

以下是本文前面所引用的资源的 URL：

• Oracle Enterprise Single Sign-On Logon Manager 版本说明：http://docs.oracle.com/cd/E15624_01/logon.11112/LMGRN.pdf
• Oracle Enterprise Single Sign-On Logon Manager 最佳实践和管理员文档： http://docs.oracle.com/cd/E15624_01/index.htm

下面是其他一些资源：

• Oracle Enterprise Single Sign-on Suite Plus 网站：http://www.oracle.com/technetwork/cn/middleware/id-mgmt/index-092305-zhs.html?ssSourceSiteId=ocomcn
• Oracle Key Manager 网站：http://www.oracle.com/us/products/servers-storage/storage/tape-storage/029154.htm

通过 Facebook、Twitter 或 Oracle 博客关注我们。