2. kim jest i dokąd podąża oracle idm - druk · • wsparcie dla protokołu snmp. coreid...
TRANSCRIPT
Kim jest i dokąd podąża Oracle IdM?
Paweł Korzec
Co to jest Identity Management?
Zbiór procesów, wspomagających infrastrukturę do tworzenia, utrzymania i wykorzystywania cyfrowej tożsamości.
IdM to opis procesów i technologia.
Zarządzanie unikalnymi ID, atrybutami, uprawnieniami.
Implementacja IdM musi być elastyczna, to znaczy funkcjonowaćidentycznie w małym jak i dużym systemie.
Z technicznego punktu widzenia system zarządzania tożsamościąskłada się z: serwera usług katalogowych, systemu provisioning,
systemu do zarządzania kontami i uprawnieniami, platformy pojedyńczego logowania (SSO), mechanizmów autentykacji,
systemów audytujących i raportujących.
Dlaczego Oracle inwestuje w IdM?
� Ponieważ jest to bardzo szybko rozwijający sięrynek
� Oracle zdaje sobie sprawę z faktu że IdM to fundament wszystkich aplikacji!
� To integralny komponent warstwy środkowej
� bo nie ma wyjścia........
Key Business Drivers:Zwiększenie bezpieczeństwa!
Zwiększone bezpieczeństwo
� Wprowadzanie i usuwanie kont użytkowników– Przy zachowaniu reguł bezpieczeństwa
� Mechanizm Workflow approval – Eliminuje tworzenie papierowej dokumentcji będącej poświadczeniem
przyznanych/odebranych uprawnień
� Zautomatyzowanie procesów biznesowych
Zgodność z przepisami
� Zcentralizowana polityka bezpieczeństwa– Wymusza stosowanie procedur
– Jest źródłem pełnej informacji o użytkowniku w systemie, jego uprawnieniach, występkach, etc.....
� Audytowanie oraz raportowanie
Federated Identity– Eliminuje konieczność zarządzania warunkami dostępu (authorization credentials) dla
obcych (w sensie nie naszych) użytkowników;
– Zwiększa ilość aplikacji do których mają dostęp nasi użytkownicy.
Korzyści ze stosowania IdM
� Redukcja kosztów– Ile kosztuje zresetowanie hasła?
– Jak bardzo stworzenie systemu dostępu dla nowej aplikacji obciąża Państwa programistów?
– Jak krytyczny jest dla Państwa krótki czas wdrożenia aplikacji?
– Czy tworzony przez wielu różnych programistów system dostępu będzie spójny?
� Uzyskanie zgodności z przepisami i zwiększenie bezpieczeństwa– Czy istnieje możliwość szybkiej weryfikacji wszystkich uprawnień użytkowników w systemie?
– Ile czasu zajmuje wprowadzenie nowego pracownika do systemu?
– Czy mamy świadomość kto na prawdę korzysta z zasobów naszej firmy?
– Jak zapewniamy dostęp do aplikacji? Czy pilnujemy wysokiej jakości haseł?
– Czy informacje o użytkownikach i ich uprawnieniach są przechowywane w bezpieczny sposób?
� Bycie przygotowanym na sukces – powiekszanie się biznesu– Jak zarzązamy naszymi użytkownikami? I czy tak samo bedziemy ich obsługiwać gdzy będzie
ich 1000 razy więcej.
– Co jeśli do naszych zasobów będą musieli mieć dostęp zewnętrzne firmy a nie tylko użytkownicy?
Rzeczywistość
COREid Mainframe Security Connector for OS/390: RACF, ACF-2, TSS
COREid Mainframe Security Connector for OS/390: RACF, ACF-2, TSS
Application ServersApplication Servers
Web ServersWeb Servers
Legacy SystemsLegacy Systems
ApplicationsApplications
PortalsPortals
DirectoriesDirectories
Apache
Novell
Oracle zakupił OBLIX
W marcu 2005, Oracle zakupił firmę Oblix, lidera na rynku systemów zarządzania tożsamością.
� COREid– a traditional Web SSO/Access Control and Identity Administration suite. Key product
strengths include powerful authorization functionality, sophisticated workflow for managing user profiles, user selfregistration and self-service, dynamic group management, unified audit reporting, and integrations with many third-party platforms and products. In conjunction with third-party metadirectory and virtual directory products, COREid also provided user-provisioning capabilities.
� SHAREid– a federated SSO server for cross-domain single sign on. Key product strengths include
support for multiple federation standards such as SAML 1.0, 1.1 and WS-Federation, bridges to multiple authorization products including COREid and CA eTrust SiteMinder, and a simple selfcontained design for easy distribution and deployment to partners.
� COREsv– a Web Services security and management product. Key product strengths include a
flexible architecture of gateways and agents, WS-Security support, XML encryption/decryption, SOAP and non-SOAP support, and Web Service Monitoring.
Oracle zakupił Thor i OctetString
...pół roku potem firmy: Thor i OctetString
�Xellerate Provisioning (Thor)
�VirtualDirectory (OctetString)
Wspierane standardy
� LDAP v3 (directory client interface protocol)
� X.509 v3 (PKI certificate standard)
� SAML (Security Assertions Meta Language) is intended to facilitate interoperation and federation among security services like Oracle9iAS Single Sign-On.
� SPML (Service Provisioning Meta Language) is an XML standard that facilitates integration among provisioning environments by defining the protocol for interaction between Provisioning service components and agents representing provisioned services.
� DSML is an XML standard for exchanging directory data as well as invoke directory operations over the Internet.
� XKMS is the XML Key Management Specification. It is intended to simplify deployment of PKI in a web services environment.
� WS-Security standards define a set of SOAP extensions that can be used to provide message confidentiality, message integrity, and secure token propagation between Web Services and their clients
Identity Management
Oracle Identity Management
� COREid Access & Identity
� COREid Federation
� COREid Provisioning
� Oracle Web Services
Manager (SOA)
� Oracle Internet Directory
� COREid Auditing &
Reporting
� Virtual Directory
� Xellerate provisioning
WiodWiodąące portale i ce portale i systemy ERPsystemy ERP
Leading Directories,Leading Directories,OS, DBs, AppOS, DBs, App--ServersServers
Auditing and Compliance
Federation
Access & Identity
Provisioning
SOA Security
Directory Services
Oracle Internet Directory
� Skalowalność– Miliony użytkowników
– Tysiące równoczesnych sesji
� Wysoka dostępność– Hot backup/recovery, RAC, etc.
� Zarządzanie– Monitorowanie Multi-node
� Bezpieczeństwo– Rozbudowana polityka zarządzania
hasłami
– Audyty
� Plug-in framework– Możliwość tworzenia własnych atrybutów
– Zewnętrzna autoryzacja
– Własna polityka bezpieczeństwa
LDAP
Clients
Directory
Admin
Console
Oracle
Internet
Directory
Server
Oracle
Database
Co nowego w OID 10.1.4?
� Synchronizacja out-of-the-box z:– Oracle Human Resources
– Oracle Database
� out-of-the-box agenci do synchronizacji z LDAP-ami:– Sun Java System
– Directory Server
– Microsoft AD
– nowy adapter do Novell Directory (od wersji 8.7.3)
– OpenLDAP (od wersji 2.1)
� Oracle Password Filter for Microsoft AD
� Server Chaining (zdalny dostęp do zewnętrznychserwerów usług katalogowych)
� DSML (interfejs WebServices dla LDAP)
� Narzędzie pomocne do replikacji
Directory Integration
Connectors
Zewnętrzne serwery
usług katalogowych
SunOne
Active Directory
Oracle HR
Oracle DB
OpenLDAP
eDirectory
Oracle
Internet
Directory
Directory
Integration
Service
OracleAS
Single Sign-on
Single Sign-On (COREid access)
PKI, pwd,
Win2K Native Auth…
SecureID, Biokey,
ERP,
CRM,
Portal
Partner SSO (Netegrity,
RSA, Oblix)
Partner SSO Enabled
Environment
OracleAS Enabled
Environment
OID
ExtranetExtranet
Federation /
Liberty
Oracle Certificate Authority
� Rozwiązanie Out-of-the-box PKI
� Łatwa implementacja certyfikatów X.509v3 dla użytkowników
� Łatwy interfejs Webowy
� Naturalna integracja z Single Sign-On & Oracle Internet Directory
User
Oracle
Certificate
Authority
Infrastructure
Database
Secure IT Facility
Oracle
Single
Sign-OnOracle
Internet
Directory
Podsumowując .........
Kompletne rozwiązanie
Web-Access Control
Web-Services
Identity Admin
Password Mgmt
Provisioning
Directory
Meta Directory
Auditing & Reporting
Virtual Directory
Enterprise SSO
Identity Technologies
Strong Authentication
Federation
OID and Directory Services
Directory Services
Virtual Directory
Enterprise SSO
Oracle Cert Auth / PKI / Partner
Oracle Xellerate Identity Provisioning
Oracle Products
COREid Federation
Auditing / Reporting (each product)
Oracle Xellerate Identity Provisioning
COREid Access and Identity
Oracle Web Services Manager
COREid Access and Identity
Partner
Oracle Identity Management is the most complete and
best integrated solution
COREid Identity
COREid Access and Identity
� Korzyści– Jeden spójny, scentralizowany
system dla wielu heterogonicznych środowisk
– Uproszczona do minimum administracja
� Funkcjonalność
– Self-service
– Rozbudowana polityka haseł
– Wbudowany workflow
– Interfejsy Web Services
AuthenticationAuthentication
AuthorizationAuthorization
Identity AdminIdentity Admin
COREid Identity� Prospects
– Driven by compliance regulations to deploy IdM products, replacing home grown solutions
– Need to drive down the cost of administering users and entitlements
– Support company business expansion through extranet initiatives
� Identity Features– User self service
– Attribute-based delegated admin manages users, groups, orgs.
– Password services support (composition, enforcement, forgotten password)
– Workflow approval and business automation
– Auditing and customizable reports
� Identity Benefits– Increase overall security
– Increases productivity of contractors, business partners, employees
– Demonstrate compliance with industry regulations
– Improve user satisfaction
� Revenue opportunity– Compliance is the highest priority for many companies today
– Identity Management is a conversation entrée with C-level executives
– Always position Identity Administration in combination with Web SSO
COREid Identity
Secure
Protocol
over SSL
Users
(Employees, Partners,
Customers, Suppliers, etc)
HTTP(s)
LDAP
over
SSL
Group Management
User Management
Organization Management
Identity
Workflow
Delegated
Administration
WebPass
Web Server COREid Identity Server
Firewall FirewallDMZ
LDAP
COREid Identity: Identity Workflow
Elastyczne oraz intuicyjne w obsłudze narzędzie do budowania prcesów typu:
workflow
Elastyczne oraz intuicyjne w obsłudze narzędzie do budowania prcesów typu:
workflow
Step 2: Delegated
Administrator approves request
Step 3: IT team
approves request
Step 1: User Self-registers
Create User: By User Self RegistrationCreate User: By User Self Registration
Step 4:Application
owner approves request
Callout to an external
application
Step 1:Delegated
administrator creates user
Create User: By Delegated AdministrationCreate User: By Delegated Administration
Step 2:Approval from IT team
Role-based routing: Routing based on user role or other
attribute
Step 1:
End User requests
change to role
Attribute ChangeAttribute Change
Step 2:
Manager approves change
Pre-processing action before next step is
enteredStep 3:
HR approves change
Post-processing action after step is
completed
LDAP
PresentationXML COREid Identity
XSL Processor
Processing Logic
HTML PresentationXML
XSL Stylesheets
LDAP
Mechanizm PresentationXML oparty na trasformacjach xml przez XSLT, umożliwia modelowanie wyglądu
strony
Mechanizm PresentationXML oparty na trasformacjach xml przez XSLT, umożliwia modelowanie wyglądu
strony
COREid Identity Server
WebPass
Web Server
User
LDAP
COREid Access
(Single Sign On)
COREid Access
Enterprise Resources
Single Sign-On
to Enterprise
Applications
Users
(Employees, Partners,
Customers, Suppliers, etc)
LDAP over SSL
User Identities for Authentication and
Authorization
Security Policies for Authentication and
Authorization
Web Server
Web Server
HTTP(s)
HTTP(s)
Secure
Protocol over SSL
WebGate
WebGate
COREidAccess Server
Firewall FirewallDMZ
LDAP
COREid Identity Server
Web Server
WebPass
WebGate
COREid Access Server
Zmiany są automatycznie aplikowane do COREid Access Cache.
COREid identity zapewnia
informacje o użytkowniku,
bądź zmianach które miały miejsce w
serwerze usług katalogowych.
COREid Access
wykorzystuje informacje z
profilu użytkownika
COREid Access buduje cache
kóry jest wykorzystywany do autentykacji
w celu zwiększenia dostępności
systemu
„Real Time Access” - Identity Integration
LDAP
COREid Access: Feature Overview
Secure
Protocol
over SSL
użytkownicy
(pracownicy, partnerzy,
klienci, dostawcy, etc)
HTTP(s)
LDAP
over
SSL
Authentication•Sposoby autentykacji
• Użytkownik/hasło
• Certyfikaty X.509
• formularze HTML
• SecurID lub SmartCard
• Rozwiązania własne
WebGate
Web Server COREid Access Server
Firewall FirewallDMZ
LDAP
Authorization• Policies based on
• Username
• Role
• LDAP filter
• IP Address
• Time period
• własne rowiązania ( plug-ins)
Audyt (raportowanie)• Authentication and Authorization success / failure
• Zapis do pliku lub RDBMS
• Wsparcie dla protokołu SNMP
COREid Integration
Rozwiązania typu „out of the box”
HTTP(s)
PortalsPortals
Packaged E-Business ApplicationsPackaged E-Business Applications
Application ServersApplication Servers
COREid Mainframe Security Connector for OS/390: RACF, ACF-2, TSS
COREid Mainframe Security Connector for OS/390: RACF, ACF-2, TSS
Mainframe SystemsMainframe Systems
Single Sign-on to
multiple resources
COREid Access Server
WebGate
Web Server
LDAP
Dobrze udokumentowane API, poparte przykładami
Applications
ID Event Plug-inAPI
Business Logic, such as calling to other external
systems (C, C++, Perl, Java, .NET API languages*)
Access Management
APIAccess Policy Management (C, Java, .NET API languages*)
Access ServerSDK
(Java)
(C, C++)
Authn Plug-inAPI
Database
Chained authentication & authentication
levels
NT/AD
Mainframe
Support
Biometrics
SmartCards
Authz Plug-inAPI
Database
Mainframe Support
Business Logic, for dynamic
authorization (C, C++, .NET API languages*)
• Authentication
• Authorization
• Dynamic Permissions
App
Logic
*All APIs run as managed code in Microsoft .NET Common Language Runtime (C#, J#, VB.NET, C++ managed extensions)
AuthenticationAuthentication
AuthorizationAuthorization
External AppsExternal Apps
App ServersApp Servers
Mainframe, Legacy &
Client-Server
Mainframe, Legacy &
Client-Server
.NET Apps, ASPs, JSPs.NET Apps, ASPs, JSPs
(.NET API languages*)
LDAP
LDAP
Database
Oracle Virtual Directory
(OctetString)
Directory Services:Oracle Virtual Directory
� Prospects– Have multiple LDAP / RDBMS based identity repositories
– Are deploying applications which need access to multiple identity repositories
– Must bring new identity repositories online
� Virtual Directory Features– Real time data access from the data source – no data copy or synchronization– Rapid deployment using plugins, mappings, templates
– Superior extensibility and interoperability solves unique enterprise requirements
� Virtual Directory Benefits– Efficiency through leveraging existing identity repositories
– Data security and ownership is maintained
– Speedy deployment of new applications - High ROI, Low TCO
� Revenue opportunity– Integration with COREid Access exists
Directory Services:Oracle Virtual Directory
Key selling points
Virtual Directory
Przykład
PORTALPORTAL
Virtual Directory
Nie ma konieczności
synchronizacji, kopiowania
lub przenoszenia informacji
o użytkownikach pomiędzy
wieloma systemami!
Oracle Virtual Directory
Oracle Virtual DirectoryOracle Virtual Directory•• RealReal--time time ““consolidationconsolidation””
•• Technology abstractionTechnology abstraction
•• Complexity reductionComplexity reduction
Partners
Customers
Employees
Zachowujemy istniejscą infrastrukturę ♦ Pojedyńczy punkt dostępu
Oracle Provisioning
Thor
Identity Provisioning - problemy
� Proces „uruchamiania” użytkownika w firmie jest wprost proporcjonalny do wielkości firmy i jest zagadnieniem skomplikowanym i trudnym.
� W czasach wędrówek po szczeblach kariery, trudno jest zapanować nad weryfikacją dostępu użytkowników do zasobów.
� Czy na na pewno odchodzący pracownik nie ma już dostępu do zasobów naszej firmy?
� Każda próba uporządkowania stanu zastanego, bez konkretnych reform skazana jest na niepowodzenie.
� Często sami użytkownicy nie panują nad swoimi hasłami....
� ....i jest coraz gorzej…
O co zatem chodzi?
Security
Administrators
Oracle Xellerate Identity Provisioning
Customers
Partners
Employees
COREid IdentityCOREid Identity•• SelfSelf--ServiceService
•• DelegationDelegation
•• WorkflowWorkflow
Xellerate ProvisioningXellerate Provisioning•• Provisioning & ReconciliationProvisioning & Reconciliation
•• Rule/RoleRule/Role--basedbased
•• Account Self ManagementAccount Self Management
•• Password SyncPassword Sync
•• Heterogeneous AdaptorsHeterogeneous Adaptors
•• Adaptor FactoryAdaptor Factory
•• Audit & SOD ComplianceAudit & SOD Compliance
Przykład: proces przyznania użytkownikowi telefonu komórkowy...
Manager
Approval
End User Requests
Cell Phone
User Provisioned with
Cell Phone5
IT Technician notified to
deliver cell phone
Resource Adapters
Oracle Web Services Manager
Globalne zarządzenie infrastrukturąusług sieciowymi
� Bez mechanizmów globalnego zarządzania, polisy bezpieczeństwa muszą być kodowane we wszystkich serwisach
� Zmiana standardów bezpieczeństwa = przebudowa wszystkich serwisów
� Wyższe koszty, mniejsza elastyczność
� Brak jednego punktu zarządzania i monitorowania usług sieciowych
Celem jest wydzielenie polis zarządania i bezpieczeństwa z logiki poszczególnych
usług sieciowych
Oracle Web Services Manager (WSM)
� Oferuje zcentralizowaną platformę do wdrażania
polis w aplikacjach i usługach sieciowych
– Zapewnia mechanizmy bezpieczeństwa i zarządzania we wszystkich usługach sieciowych i aplikacjach
– Nie wymaga modyfikacji kodu aplikacji i usług sieciowych
– Wspiera standardy WS-* takie jak WS-Security, WS-Policy, itd.
– Oferuje narzędzie do definiowania i monitorowania polis
– Dostarcza mechanizmy do egzekwowania polis w czasie rzeczywistym
Składniki Oracle WSM
Definiowanie
polisEgzekwowanie
polis
Monitorowanie
polis
Policy
Manager
Policy
Gateway
Policy
Agents Web Service
Monitor
Web Services
ZASTOSOWANIE W SOA
Bezpieczeństwo w SOA
Select Lowest Offer
10:00am
Handle Negative
Credit Exception
Credit Rating
start
end
BPEL Flow
?
United Loan Star Loan
Get Rating
Send Loan Application
Receive Loan Offer
03:00pm
Send Loan Application
Receive Loan Offer
Czego brakuje?
Select Lowest Offer
10:00am
Handle Negative
Credit Exception
Credit Rating
start
end
BPEL Flow
?
United Loan Star Loan
Get Rating
Send Loan Application
Receive Loan Offer
03:00pm
Send Loan Application
Receive Loan Offer
<SSN>
011-22-4488
</SSN>
2. Dane osobowe są
przesyłane czystym tekstem
1. Każdy kto ma dostęp do serwera może
uruchomić proces
3. Odpowiedź musi
przejść przez
firewall4. Jak mogę się upewnić,
że wszystkie dane są
chronione?
BPEL + Oracle WSM = Bezpieczeństwo w SOA
Select Lowest Offer
10:00am
Handle Negative
Credit Exception
Credit Rating
start
end
BPEL Flow
?
United Loan Star Loan
Get Rating
Send Loan Application
Receive Loan Offer
03:00pm
Send Loan Application
Receive Loan Offer
1. Bezpieczeństwo: Dostęp
oparty na rolach2. Bezpieczeństwo:
Automatyczne szyfrowanieinformacji w komunikatach
XML
3. Zarządzanie:
Wirtualizacja serwisów
w DMZ 4. Zarządzanie: audytowanie
serwisów
Bramy i Agenci
Oracle WSM
Oracle WSM Monitor
WSM Monitor umożliwiapodgląd wywołań usług
sieciowych– Informacje na temat wywołań serwisów
– Informacje, alerty o awariach
– Informacje na temat egzekwowania polis