在本文中，我们会了解Oracle身份管理器(OIM)部署模型和它的多层架构，包括客户层，web层，业务逻辑层和数据层。

　　OIM部署

　　每一种OIM组件(设计客户端，web应用和核心服务器引擎)都是用Java编写，而且是以多层部署模型实现的，如下图所示：

　　客户层。在使用OIM时，有两种类型的客户端可用：一种是基于web的管理控制台，另一种是设计时客户端。Web管理控制台主要用于管理用户，资源和支撑它们的所有构件。设计时客户端是身份管理流程的开发人员为设计和配置核心组件(比如：资源对象，IT资源，配置流程，与被配置或者协调的物理应用交互的集成配置)而使用的。两种类型的客户端都遵守分布式交互模型，这样你可以用任意多客户端，从任意多计算机上与OIM业务逻辑层定义的相同的策略集和对象交互。

　　Web层。该层以OIM管理用户界面Web应用容器的形式存在。它是基于纯Java的Web应用环境，使用了像JSP，servlet，Struts和JavaBean这类技术。由于使用了这些标准技术，OIM web层可以被部署到许多应用服务器和容器中。

　　业务逻辑层。该层是OIM产品的核心。在这一层中，OIM解决了谁(用户)来配置，配置到哪里(目标资源)和如何访问(流程)的问题。这一层也是完全用Java编写的，而且应用了J2EE设计模式，因此继承了组合-平台-中立和分布式组件架构的核心优点。基于Java的OIM业务层为新增集成连接器和适配器留出了标准开发平台。J2EE的分布特性使得业务逻辑层可以跨多个应用服务器部署分布，而访问数据层的同一份公共元数据。

　　数据层。数据层是基于SQL的关系数据库，为用户配置平台存储所有身份信息，访问信息和配置信息的元数据。唯一可以允许存留在数据库之外的数据是JAR文件(Java档案文件)，其中包含连接第三方资源和目标系统的代码。数据层是被业务层排他访问的，不应该为了直接操纵数据的目的与任何外部客户端和工具直接集成。实际上，我们推荐你考虑使用Oracle数据库保护技术(比如Oracle数据库Vault和透明数据加密)，来加固和保护存储在OIM信息库中身份相关的敏感元数据。

　　总结

　　本OIM系列文章讨论了Oracle身份管理器，这是一个易于理解，但是难以实现的用户配置领域。配置是每个企业都必须遵守的一个过程，不管手工执行还是以自动方式处理都要持续地进行。因此，优化这一配置流程对于达到运营的高效性，以及为避免流程被违背或忽略提供保证非常关键。安全问题还包括没有解除配置的孤立账户。开放的，未使用的账户是心怀不轨的员工和攻击者的立足点，也是法规审计人员寻求处理的问题列表中排在最前面的问题。企业要构建更好的流程和策略，降低管理负担;还要建立身份管理的一致性，在对信息的访问授权和监控方面建立一致性，对企业的所有资产实现更高级别的安全和保护。因此，真正成功的用户配置解决方案会在这两者之间做到平衡。