2. Kim jest i dokąd podąża Oracle IdM - druk · • Wsparcie dla protokołu SNMP. COREid...

Kim jest i dokąd podąża Oracle IdM?

Paweł Korzec

Co to jest Identity Management?

Zbiór procesów, wspomagających infrastrukturę do tworzenia, utrzymania i wykorzystywania cyfrowej tożsamości.

IdM to opis procesów i technologia.

Zarządzanie unikalnymi ID, atrybutami, uprawnieniami.

Implementacja IdM musi być elastyczna, to znaczy funkcjonowaćidentycznie w małym jak i dużym systemie.

Z technicznego punktu widzenia system zarządzania tożsamościąskłada się z: serwera usług katalogowych, systemu provisioning,

systemu do zarządzania kontami i uprawnieniami, platformy pojedyńczego logowania (SSO), mechanizmów autentykacji,

systemów audytujących i raportujących.

Dlaczego Oracle inwestuje w IdM?

� Ponieważ jest to bardzo szybko rozwijający sięrynek

� Oracle zdaje sobie sprawę z faktu że IdM to fundament wszystkich aplikacji!

� To integralny komponent warstwy środkowej

� bo nie ma wyjścia........

Key Business Drivers:Zwiększenie bezpieczeństwa!

Zwiększone bezpieczeństwo

� Wprowadzanie i usuwanie kont użytkowników– Przy zachowaniu reguł bezpieczeństwa

� Mechanizm Workflow approval – Eliminuje tworzenie papierowej dokumentcji będącej poświadczeniem

przyznanych/odebranych uprawnień

� Zautomatyzowanie procesów biznesowych

Zgodność z przepisami

� Zcentralizowana polityka bezpieczeństwa– Wymusza stosowanie procedur

– Jest źródłem pełnej informacji o użytkowniku w systemie, jego uprawnieniach, występkach, etc.....

� Audytowanie oraz raportowanie

Federated Identity– Eliminuje konieczność zarządzania warunkami dostępu (authorization credentials) dla

obcych (w sensie nie naszych) użytkowników;

– Zwiększa ilość aplikacji do których mają dostęp nasi użytkownicy.

Korzyści ze stosowania IdM

� Redukcja kosztów– Ile kosztuje zresetowanie hasła?

– Jak bardzo stworzenie systemu dostępu dla nowej aplikacji obciąża Państwa programistów?

– Jak krytyczny jest dla Państwa krótki czas wdrożenia aplikacji?

– Czy tworzony przez wielu różnych programistów system dostępu będzie spójny?

� Uzyskanie zgodności z przepisami i zwiększenie bezpieczeństwa– Czy istnieje możliwość szybkiej weryfikacji wszystkich uprawnień użytkowników w systemie?

– Ile czasu zajmuje wprowadzenie nowego pracownika do systemu?

– Czy mamy świadomość kto na prawdę korzysta z zasobów naszej firmy?

– Jak zapewniamy dostęp do aplikacji? Czy pilnujemy wysokiej jakości haseł?

– Czy informacje o użytkownikach i ich uprawnieniach są przechowywane w bezpieczny sposób?

� Bycie przygotowanym na sukces – powiekszanie się biznesu– Jak zarzązamy naszymi użytkownikami? I czy tak samo bedziemy ich obsługiwać gdzy będzie

ich 1000 razy więcej.

– Co jeśli do naszych zasobów będą musieli mieć dostęp zewnętrzne firmy a nie tylko użytkownicy?

Rzeczywistość

COREid Mainframe Security Connector for OS/390: RACF, ACF-2, TSS


Application ServersApplication Servers

Web ServersWeb Servers

Legacy SystemsLegacy Systems

ApplicationsApplications

PortalsPortals

DirectoriesDirectories

Apache

Novell

Oracle zakupił OBLIX

W marcu 2005, Oracle zakupił firmę Oblix, lidera na rynku systemów zarządzania tożsamością.

� COREid– a traditional Web SSO/Access Control and Identity Administration suite. Key product

strengths include powerful authorization functionality, sophisticated workflow for managing user profiles, user selfregistration and self-service, dynamic group management, unified audit reporting, and integrations with many third-party platforms and products. In conjunction with third-party metadirectory and virtual directory products, COREid also provided user-provisioning capabilities.

� SHAREid– a federated SSO server for cross-domain single sign on. Key product strengths include

support for multiple federation standards such as SAML 1.0, 1.1 and WS-Federation, bridges to multiple authorization products including COREid and CA eTrust SiteMinder, and a simple selfcontained design for easy distribution and deployment to partners.

� COREsv– a Web Services security and management product. Key product strengths include a

flexible architecture of gateways and agents, WS-Security support, XML encryption/decryption, SOAP and non-SOAP support, and Web Service Monitoring.

Oracle zakupił Thor i OctetString

...pół roku potem firmy: Thor i OctetString

�Xellerate Provisioning (Thor)

�VirtualDirectory (OctetString)

Wspierane standardy

� LDAP v3 (directory client interface protocol)

� X.509 v3 (PKI certificate standard)

� SAML (Security Assertions Meta Language) is intended to facilitate interoperation and federation among security services like Oracle9iAS Single Sign-On.

� SPML (Service Provisioning Meta Language) is an XML standard that facilitates integration among provisioning environments by defining the protocol for interaction between Provisioning service components and agents representing provisioned services.

� DSML is an XML standard for exchanging directory data as well as invoke directory operations over the Internet.

� XKMS is the XML Key Management Specification. It is intended to simplify deployment of PKI in a web services environment.

� WS-Security standards define a set of SOAP extensions that can be used to provide message confidentiality, message integrity, and secure token propagation between Web Services and their clients

Identity Management

Oracle Identity Management

� COREid Access & Identity

� COREid Federation

� COREid Provisioning

� Oracle Web Services

Manager (SOA)

� Oracle Internet Directory

� COREid Auditing &

Reporting

� Virtual Directory

� Xellerate provisioning

WiodWiodąące portale i ce portale i systemy ERPsystemy ERP

Leading Directories,Leading Directories,OS, DBs, AppOS, DBs, App--ServersServers

Auditing and Compliance

Federation

Access & Identity

Provisioning

SOA Security

Directory Services

Oracle Internet Directory

� Skalowalność– Miliony użytkowników

– Tysiące równoczesnych sesji

� Wysoka dostępność– Hot backup/recovery, RAC, etc.

� Zarządzanie– Monitorowanie Multi-node

� Bezpieczeństwo– Rozbudowana polityka zarządzania

hasłami

– Audyty

� Plug-in framework– Możliwość tworzenia własnych atrybutów

– Zewnętrzna autoryzacja

– Własna polityka bezpieczeństwa

LDAP

Clients

Directory

Admin

Console

Oracle

Internet

Directory

Server

Oracle

Database

Co nowego w OID 10.1.4?

� Synchronizacja out-of-the-box z:– Oracle Human Resources

– Oracle Database

� out-of-the-box agenci do synchronizacji z LDAP-ami:– Sun Java System

– Directory Server

– Microsoft AD

– nowy adapter do Novell Directory (od wersji 8.7.3)

– OpenLDAP (od wersji 2.1)

� Oracle Password Filter for Microsoft AD

� Server Chaining (zdalny dostęp do zewnętrznychserwerów usług katalogowych)

� DSML (interfejs WebServices dla LDAP)

� Narzędzie pomocne do replikacji

Directory Integration

Connectors

Zewnętrzne serwery

usług katalogowych

SunOne

Active Directory

Oracle HR

Oracle DB

OpenLDAP

eDirectory

Oracle

Internet

Directory

Directory

Integration

Service

OracleAS

Single Sign-on

Single Sign-On (COREid access)

PKI, pwd,

Win2K Native Auth…

SecureID, Biokey,

ERP,

CRM,

…eMail

Portal

Partner SSO (Netegrity,

RSA, Oblix)

Partner SSO Enabled

Environment

OracleAS Enabled

Environment

OID

ExtranetExtranet

Federation /

Liberty

Oracle Certificate Authority

� Rozwiązanie Out-of-the-box PKI

� Łatwa implementacja certyfikatów X.509v3 dla użytkowników

� Łatwy interfejs Webowy

� Naturalna integracja z Single Sign-On & Oracle Internet Directory

User

Oracle

Certificate

Authority

Infrastructure

Database

Secure IT Facility

Oracle

Single

Sign-OnOracle

Internet

Directory

Podsumowując .........

Kompletne rozwiązanie

Web-Access Control

Web-Services

Identity Admin

Password Mgmt

Provisioning

Directory

Meta Directory

Auditing & Reporting

Virtual Directory

Enterprise SSO

Identity Technologies

Strong Authentication

Federation

OID and Directory Services

Directory Services

Virtual Directory

Enterprise SSO

Oracle Cert Auth / PKI / Partner

Oracle Xellerate Identity Provisioning

Oracle Products

COREid Federation

Auditing / Reporting (each product)


COREid Access and Identity

Oracle Web Services Manager


Partner

Oracle Identity Management is the most complete and

best integrated solution

COREid Identity


� Korzyści– Jeden spójny, scentralizowany

system dla wielu heterogonicznych środowisk

– Uproszczona do minimum administracja

� Funkcjonalność

– Self-service

– Rozbudowana polityka haseł

– Wbudowany workflow

– Interfejsy Web Services

AuthenticationAuthentication

AuthorizationAuthorization

Identity AdminIdentity Admin

COREid Identity� Prospects

– Driven by compliance regulations to deploy IdM products, replacing home grown solutions

– Need to drive down the cost of administering users and entitlements

– Support company business expansion through extranet initiatives

� Identity Features– User self service

– Attribute-based delegated admin manages users, groups, orgs.

– Password services support (composition, enforcement, forgotten password)

– Workflow approval and business automation

– Auditing and customizable reports

� Identity Benefits– Increase overall security

– Increases productivity of contractors, business partners, employees

– Demonstrate compliance with industry regulations

– Improve user satisfaction

� Revenue opportunity– Compliance is the highest priority for many companies today

– Identity Management is a conversation entrée with C-level executives

– Always position Identity Administration in combination with Web SSO

COREid Identity

Secure

Protocol

over SSL

Users

(Employees, Partners,

Customers, Suppliers, etc)

HTTP(s)

LDAP

over

SSL

Group Management

User Management

Organization Management

Identity

Workflow

Delegated

Administration

WebPass

Web Server COREid Identity Server

Firewall FirewallDMZ

LDAP

COREid Identity: Identity Workflow

Elastyczne oraz intuicyjne w obsłudze narzędzie do budowania prcesów typu:

workflow

Elastyczne oraz intuicyjne w obsłudze narzędzie do budowania prcesów typu:

workflow

Step 2: Delegated

Administrator approves request

Step 3: IT team

approves request

Step 1: User Self-registers

Create User: By User Self RegistrationCreate User: By User Self Registration

Step 4:Application

owner approves request

Callout to an external

application

Step 1:Delegated

administrator creates user

Create User: By Delegated AdministrationCreate User: By Delegated Administration

Step 2:Approval from IT team

Role-based routing: Routing based on user role or other

attribute

Step 1:

End User requests

change to role

Attribute ChangeAttribute Change

Step 2:

Manager approves change

Pre-processing action before next step is

enteredStep 3:

HR approves change

Post-processing action after step is

completed

LDAP

PresentationXML COREid Identity

XSL Processor

Processing Logic

HTML PresentationXML

XSL Stylesheets

LDAP

Mechanizm PresentationXML oparty na trasformacjach xml przez XSLT, umożliwia modelowanie wyglądu

strony

Mechanizm PresentationXML oparty na trasformacjach xml przez XSLT, umożliwia modelowanie wyglądu

strony

COREid Identity Server

WebPass

Web Server

User

LDAP

COREid Access

(Single Sign On)

COREid Access

Enterprise Resources

Single Sign-On

to Enterprise

Applications

Users

(Employees, Partners,

Customers, Suppliers, etc)

LDAP over SSL

User Identities for Authentication and

Authorization

Security Policies for Authentication and

Authorization

Web Server

Web Server

HTTP(s)

HTTP(s)

Secure

Protocol over SSL

WebGate

WebGate

COREidAccess Server


LDAP

COREid Identity Server

Web Server

WebPass

WebGate

COREid Access Server

Zmiany są automatycznie aplikowane do COREid Access Cache.

COREid identity zapewnia

informacje o użytkowniku,

bądź zmianach które miały miejsce w

serwerze usług katalogowych.

COREid Access

wykorzystuje informacje z

profilu użytkownika

COREid Access buduje cache

kóry jest wykorzystywany do autentykacji

w celu zwiększenia dostępności

systemu

„Real Time Access” - Identity Integration

LDAP

COREid Access: Feature Overview

Secure

Protocol

over SSL

użytkownicy

(pracownicy, partnerzy,

klienci, dostawcy, etc)

HTTP(s)

LDAP

over

SSL

Authentication•Sposoby autentykacji

• Użytkownik/hasło

• Certyfikaty X.509

• formularze HTML

• SecurID lub SmartCard

• Rozwiązania własne

WebGate

Web Server COREid Access Server


LDAP

Authorization• Policies based on

• Username

• Role

• LDAP filter

• IP Address

• Time period

• własne rowiązania ( plug-ins)

Audyt (raportowanie)• Authentication and Authorization success / failure

• Zapis do pliku lub RDBMS

• Wsparcie dla protokołu SNMP

COREid Integration

Rozwiązania typu „out of the box”

HTTP(s)

PortalsPortals

Packaged E-Business ApplicationsPackaged E-Business Applications

Application ServersApplication Servers



Mainframe SystemsMainframe Systems

Single Sign-on to

multiple resources

COREid Access Server

WebGate

Web Server

LDAP

Dobrze udokumentowane API, poparte przykładami

Applications

ID Event Plug-inAPI

Business Logic, such as calling to other external

systems (C, C++, Perl, Java, .NET API languages*)

Access Management

APIAccess Policy Management (C, Java, .NET API languages*)

Access ServerSDK

(Java)

(C, C++)

Authn Plug-inAPI

Database

Chained authentication & authentication

levels

NT/AD

Mainframe

Support

Biometrics

SmartCards

Authz Plug-inAPI

Database

Mainframe Support

Business Logic, for dynamic

authorization (C, C++, .NET API languages*)

• Authentication

• Authorization

• Dynamic Permissions

App

Logic

*All APIs run as managed code in Microsoft .NET Common Language Runtime (C#, J#, VB.NET, C++ managed extensions)

AuthenticationAuthentication

AuthorizationAuthorization

External AppsExternal Apps

App ServersApp Servers

Mainframe, Legacy &

Client-Server

Mainframe, Legacy &

Client-Server

.NET Apps, ASPs, JSPs.NET Apps, ASPs, JSPs

(.NET API languages*)

LDAP

LDAP

Database

Oracle Virtual Directory

(OctetString)

Directory Services:Oracle Virtual Directory

� Prospects– Have multiple LDAP / RDBMS based identity repositories

– Are deploying applications which need access to multiple identity repositories

– Must bring new identity repositories online

� Virtual Directory Features– Real time data access from the data source – no data copy or synchronization– Rapid deployment using plugins, mappings, templates

– Superior extensibility and interoperability solves unique enterprise requirements

� Virtual Directory Benefits– Efficiency through leveraging existing identity repositories

– Data security and ownership is maintained

– Speedy deployment of new applications - High ROI, Low TCO

� Revenue opportunity– Integration with COREid Access exists

Directory Services:Oracle Virtual Directory

Key selling points

Virtual Directory

Przykład

PORTALPORTAL

Virtual Directory

Nie ma konieczności

synchronizacji, kopiowania

lub przenoszenia informacji

o użytkownikach pomiędzy

wieloma systemami!

Oracle Virtual Directory

Oracle Virtual DirectoryOracle Virtual Directory•• RealReal--time time ““consolidationconsolidation””

•• Technology abstractionTechnology abstraction

•• Complexity reductionComplexity reduction

Partners

Customers

Employees

Zachowujemy istniejscą infrastrukturę ♦ Pojedyńczy punkt dostępu

Oracle Provisioning

Thor

Identity Provisioning - problemy

� Proces „uruchamiania” użytkownika w firmie jest wprost proporcjonalny do wielkości firmy i jest zagadnieniem skomplikowanym i trudnym.

� W czasach wędrówek po szczeblach kariery, trudno jest zapanować nad weryfikacją dostępu użytkowników do zasobów.

� Czy na na pewno odchodzący pracownik nie ma już dostępu do zasobów naszej firmy?

� Każda próba uporządkowania stanu zastanego, bez konkretnych reform skazana jest na niepowodzenie.

� Często sami użytkownicy nie panują nad swoimi hasłami....

� ....i jest coraz gorzej…

O co zatem chodzi?

Security

Administrators


Customers

Partners

Employees

COREid IdentityCOREid Identity•• SelfSelf--ServiceService

•• DelegationDelegation

•• WorkflowWorkflow

Xellerate ProvisioningXellerate Provisioning•• Provisioning & ReconciliationProvisioning & Reconciliation

•• Rule/RoleRule/Role--basedbased

•• Account Self ManagementAccount Self Management

•• Password SyncPassword Sync

•• Heterogeneous AdaptorsHeterogeneous Adaptors

•• Adaptor FactoryAdaptor Factory

•• Audit & SOD ComplianceAudit & SOD Compliance

Przykład: proces przyznania użytkownikowi telefonu komórkowy...

Manager

Approval

End User Requests

Cell Phone

User Provisioned with

Cell Phone5

IT Technician notified to

deliver cell phone

Resource Adapters

Oracle Web Services Manager

Globalne zarządzenie infrastrukturąusług sieciowymi

� Bez mechanizmów globalnego zarządzania, polisy bezpieczeństwa muszą być kodowane we wszystkich serwisach

� Zmiana standardów bezpieczeństwa = przebudowa wszystkich serwisów

� Wyższe koszty, mniejsza elastyczność

� Brak jednego punktu zarządzania i monitorowania usług sieciowych

Celem jest wydzielenie polis zarządania i bezpieczeństwa z logiki poszczególnych

usług sieciowych

Oracle Web Services Manager (WSM)

� Oferuje zcentralizowaną platformę do wdrażania

polis w aplikacjach i usługach sieciowych

– Zapewnia mechanizmy bezpieczeństwa i zarządzania we wszystkich usługach sieciowych i aplikacjach

– Nie wymaga modyfikacji kodu aplikacji i usług sieciowych

– Wspiera standardy WS-* takie jak WS-Security, WS-Policy, itd.

– Oferuje narzędzie do definiowania i monitorowania polis

– Dostarcza mechanizmy do egzekwowania polis w czasie rzeczywistym

Składniki Oracle WSM

Definiowanie

polisEgzekwowanie

polis

Monitorowanie

polis

Policy

Manager

Policy

Gateway

Policy

Agents Web Service

Monitor

Web Services

ZASTOSOWANIE W SOA

Bezpieczeństwo w SOA

Select Lowest Offer

10:00am

Handle Negative

Credit Exception

Credit Rating

start

end

BPEL Flow

?

United Loan Star Loan

Get Rating

Send Loan Application

Receive Loan Offer

03:00pm


Receive Loan Offer

Czego brakuje?

Select Lowest Offer

10:00am

Handle Negative

Credit Exception

Credit Rating

start

end

BPEL Flow

?


Get Rating


Receive Loan Offer

03:00pm


Receive Loan Offer

<SSN>

011-22-4488

</SSN>

2. Dane osobowe są

przesyłane czystym tekstem

1. Każdy kto ma dostęp do serwera może

uruchomić proces

3. Odpowiedź musi

przejść przez

firewall4. Jak mogę się upewnić,

że wszystkie dane są

chronione?

BPEL + Oracle WSM = Bezpieczeństwo w SOA

Select Lowest Offer

10:00am

Handle Negative

Credit Exception

Credit Rating

start

end

BPEL Flow

?


Get Rating


Receive Loan Offer

03:00pm


Receive Loan Offer

1. Bezpieczeństwo: Dostęp

oparty na rolach2. Bezpieczeństwo:

Automatyczne szyfrowanieinformacji w komunikatach

XML

3. Zarządzanie:

Wirtualizacja serwisów

w DMZ 4. Zarządzanie: audytowanie

serwisów

Bramy i Agenci

Oracle WSM

Oracle WSM Monitor

WSM Monitor umożliwiapodgląd wywołań usług

sieciowych– Informacje na temat wywołań serwisów

– Informacje, alerty o awariach

– Informacje na temat egzekwowania polis

2. Kim jest i dokąd podąża Oracle IdM - druk · • Wsparcie dla protokołu SNMP. COREid...

Documents

Transcript of 2. Kim jest i dokąd podąża Oracle IdM - druk · • Wsparcie dla protokołu SNMP. COREid...