Wprowadzenie do Oracle
Transkrypt
Wprowadzenie do Oracle
Wprowadzenie do Oracle COREid Access and Identity Dokument techniczny Oracle Grudzień 2005 ORACLE FUSION MIDDLEWARE UWAGA: Poniższy dokument ma na celu przedstawienie ogólnego kierunku rozwoju produktów. Ma on charakter wyłącznie informacyjny i nie może stanowić części żadnej umowy. Nie stanowi też zobowiązania do dostarczenia jakichkolwiek materiałów, kodu ani funkcji i nie powinien być przyjmowany za podstawę podejmowania decyzji nabywczych. Opracowanie, publikacja i harmonogram wprowadzania wszelkich opisanych funkcji lub możliwości produktów Oracle zależą wyłącznie od decyzji firmy Oracle. Wprowadzenie do Oracle COREid Access and Identity Strona 2 Wprowadzenie do Oracle COREid Access and Identity WSTĘP Oracle COREid Access jest jedynym opartym na regułach rozwiązaniem do zarządzania dostępem, które jest zarazem heterogeniczne i zintegrowane ze stosem technologicznym Oracle. Oracle COREid Access and Identity obejmuje funkcje samoobsługi użytkowników, delegowanej administracji, personalizacji i audytu. Duże organizacje coraz częściej korzystają z rozwiązań do zarządzania tożsamością w celu utrzymania zgodności z przepisami, ograniczenia kosztów operacyjnych i usprawnienia procesu dostarczania aplikacji. Stworzenie solidnej podstawy dla zarządzania tożsamością wymaga zintegrowanych technologii zarządzania cyklem życia danych w profilu użytkownika, bezpiecznego składowania tych danych i administrowania nimi oraz kontroli dostępu do aplikacji na podstawie informacji w profilu. Wraz z nabyciem przedsiębiorstwa Oblix i zintegrowaniem jej oferty z produktami Oracle Identity Management firma Oracle uzyskała możliwość dostarczenia kompleksowego rozwiązania w każdym z tych obszarów. Oprogramowanie Oracle COREid Access and Identity jest obecnie wdrażane w wielu czołowych firmach z rankingu Global 1000 i stanowi podstawę funkcjonowania wielu spośród największych portali. Wdrożenie Oracle COREid Access and Identity pozwala zwiększyć bezpieczeństwo, kontrolę administracyjną i przejrzystość portali, ekstranetów oraz intranetów uruchomionych w różnych środowiskach i na różnych platformach. Rozwiązanie COREid Access and Identity istnieje od 1996 r. Zapewnia ono kluczowe możliwości kontroli dostępu, jednokrotnego logowania i zarządzania profilami użytkowników. Niniejszy artykuł opisuje podstawowe elementy i funkcje Oracle COREid Access and Identity. W następnej kolejności opisane jest środowisko raportowania audytowego oraz możliwości obsługi heterogenicznych środowisk operacyjnych. Na zakończenie przedstawiona jest interakcja Oracle COREid Access and Identity z usługą OracleAS Single Sign-On, używaną do uwierzytelniania w aplikacjach Oracle. COREid ACCESS COREid Access to komponent COREid Access and Identity odpowiedzialny za kontrolę dostępu. W jego skład wchodzą elementy WebGate, Access Manager i Access Server. Access Manager COREid Access Manager to graficzne narzędzie do tworzenia reguł dostępu i zarządzania nimi, definiowania zasobów podlegających ochronie oraz symulowania dostępu użytkowników w celu sprawdzenia poprawności zdefiniowanych reguł. Wprowadzenie do Oracle COREid Access and Identity Strona 3 Access Server COREid Access Server to samodzielne oprogramowanie usługowe pozwalające narzucić określone reguły dostępu zarówno do zasobów WWW, jak i innych zasobów. Access Server można wdrożyć zarówno w konfiguracji pojedynczego serwera, jak i klastra (w celu zrównoważenia obciążenia i/lub zwiększenia odporności na awarie). Rozwiązanie to daje możliwość dynamicznej weryfikacji reguł stosownie do faktycznego wykorzystania aplikacji internetowych przez użytkowników, jak również usługi uwierzytelniania, autoryzacji i audytu. Wtyczki uwierzytelniania Oracle COREid obsługuje uwierzytelnianie biometryczne i dwuelementowe. COREid Access udostępnia działający na zasadzie wtyczek interfejs programowania (API) pozwalający integrować różnorodne metody i urządzenia uwierzytelniające. Obsługa kart procesorowych w rodzaju SecurID jest dostępna w konfiguracji fabrycznej. API wtyczek daje klientom możliwość rozszerzania COREid o obsługę każdej niemal istniejącej metody uwierzytelniania, w tym technik biometrycznych i uwierzytelniania dwuelementowego. COREid IDENTITY Rozwiązanie COREid Identity oddaje do dyspozycji administratorów zasobów kluczowe funkcje zarządzania tożsamością. Klienci wdrażający duże rozwiązania portalowe lub ekstranetowe na ogół doświadczają problemów z wydajnością typowych narzędzi administracyjnych przy wysokim obciążeniu generowanym przez setki tysięcy czy wręcz miliony użytkowników. Jedyną metodą zapewnienia skalowalności zasobów użytkowników (składowanych w katalogach LDAP lub w relacyjnych bazach danych) jest wprowadzenie specjalnie zaprojektowanych funkcji, takich jak administrowanie delegowane, dynamiczne zarządzanie grupami oraz samoobsługa i samodzielna rejestracja użytkowników. Możliwości te są opisane poniżej w odniesieniu do COREid Identity. Administrowanie delegowane Oracle COREid Identity obsługuje administrowanie delegowane, nieodzowne w przypadku zarządzania dużymi liczbami użytkowników. Gdy katalog użytkowników rozrasta się do tysięcy czy wręcz milionów pozycji, centralne zarządzanie ciągłymi zmianami w profilach użytkowników staje się niemożliwe, gdyż wymagałoby od firm zatrudniania po kilkudziesięciu administratorów katalogów. Znacznie lepszym rozwiązaniem jest administrowanie delegowane, polegające na rozproszeniu odpowiedzialności za zarządzanie grupami użytkowników po administratorach poszczególnych grup. Jeśli na przykład firma produkcyjna prowadzi portal dla dostawców, z którego korzysta tysiąc partnerów, to odpowiedzialność za zarządzanie użytkownikami z każdej firmy dostarczającej można przenieść na administratora zatrudnianego w danej firmie. Daje to lepsze rozproszenie pracy, dokładniejsze dane i skalowalność administrowania. Rozwiązanie COREid Identity oferuje najbardziej elastyczne i skalowalne możliwości administrowania spośród dostępnych produktów tego typu, a jego skuteczność została wielokrotnie sprawdzona w portalach należących do największych na świecie. Co więcej, zalety dostępnych funkcji administrowania delegowanego są na tyle istotne, że wielu klientów już korzystających z rozwiązań kontroli dostępu innych producentów postanawia przejść na COREid Identity tylko po to, by móc z tych funkcji korzystać. Wprowadzenie do Oracle COREid Access and Identity Strona 4 Dynamiczne zarządzanie grupami Oracle COREid Access and Identity obejmuje potężne i elastyczne mechanizmy autoryzacji, w tym dynamiczne grupy i kontrolę dostępu do atrybutów. Bardzo przydatnym i powszechnym aspektem zarządzania tożsamością jest możliwość przydzielania użytkowników do grup w celu łatwiejszej kontroli dostępu i analizy użytkowania. W przypadku dużych grup statyczne przypisywanie do nich użytkowników jest niepraktyczne — znacznie lepszym rozwiązaniem jest dynamiczne grupowanie użytkowników na podstawie określonych atrybutów. Biorąc za przykład portal operatora telefonii komórkowej obsługujący wiele milionów użytkowników, wszyscy klienci z aktywną usługą wiadomości SMS mogliby być przypisani do dynamicznej grupy o nazwie „Użytkownicy SMS”, zyskując tym samym dostęp do dodatkowych zasobów pomocy technicznej przez WWW. Każdy klient może w dowolnej chwili aktywować lub dezaktywować usługę SMS, więc ręczne przydzielanie klientów do tej grupy byłoby niepraktyczne. Udostępniane przez COREid Identity możliwości dynamicznego zarządzania grupami pozwalają automatycznie dołączać i odłączać użytkowników z grupy „Użytkownicy SMS” na podstawie atrybutów profilu użytkownika. Aktywacja usługi SMS w ramach konta klienta powoduje wtedy ustawienie w profilu użytkownika znacznika, na podstawie którego mechanizm COREid Identity natychmiast dołącza danego użytkownika do odpowiedniej grupy. Samoobsługa i samodzielna rejestracja użytkowników Skalowalność administrowania można dodatkowo zwiększyć pozwalając użytkownikom na samodzielne zarządzanie własnymi profilami. Gotowe ekrany rejestracyjne dostarczane z oprogramowaniem COREid Identity pozwalają użytkownikom samodzielnie dopisywać się do katalogu bez udziału administratora. Dostępne w COREid Identity funkcje obsługi zadań umożliwiają automatyczne wykonywanie odpowiednich sprawdzeń i procesów w reakcji na modyfikacje wprowadzane przez użytkowników. COREid Identity pozwala też użytkownikom modyfikować atrybuty konta w ramach posiadanych uprawnień. W przypadku pracowników firmy mogłoby to oznaczać, że pracownik może zmieniać swój numer telefonu, ale nie stanowisko. Z kolei jego przełożony może zmieniać jego stanowisko, ale nie wynagrodzenie, i tak dalej. COREid Identity umożliwia tworzenie dowolnych konfiguracji dostępu do atrybutów użytkowników i łączenia ciągów zadań z wprowadzanymi zmianami. Efekt to większa elastyczność i większe możliwości dla użytkowników, a wszystko przy utrzymaniu wymaganego poziomu nadzoru administracyjnego. Oracle COREid Access and Identity może wspomagać organizacje w utrzymywaniu zgodności z przepisami dzięki rejestrowaniu działań związanych z bezpieczeństwem i zarządzaniem tożsamością w centralnej relacyjnej bazie danych. RAPORTOWANIE AUDYTOWE Rozwiązanie COREid Access and Identity dostarcza osobne środowisko na potrzeby raportowania audytowego, umożliwiające rejestrowanie wszystkich działań związanych z bezpieczeństwem i zarządzaniem profilami w centralnej relacyjnej bazie danych. Audytorzy wymagają obecnie daleko posuniętej zgodności z przepisami i wewnętrznymi zasadami, a możliwość analizy operacji dotyczących bezpieczeństwa i zarządzania tożsamością przydaje się również administratorom poszukującym luk w zabezpieczeniach. W przypadku najczęściej używanych funkcji audytowania dostępne są gotowe raporty, obejmujące między innymi: • statystyki uwierzytelniania (liczby udanych i nieudanych prób uwierzytelnienia dla wszystkich serwerów dostępowych COREid), • statystyki autoryzacji (liczby udanych i nieudanych prób autoryzacji dla wszystkich serwerów dostępowych COREid), • nieudane próby autoryzacji według użytkowników, • nieudane próby autoryzacji według zasobów, Wprowadzenie do Oracle COREid Access and Identity Strona 5 • • • • • • • • • testowanie dostępu, historię grup (wszystkie modyfikacje wszystkich profilów grup), historię tożsamości według użytkowników, blokowanych użytkowników, operacje zmiany hasła w zadanym przedziale czasowym, operacje tworzenia/dezaktywacji/reaktywacji/usuwania użytkowników, historię modyfikacji profilu użytkownika (dla wszystkich użytkowników), wykaz dezaktywowanych użytkowników, czas wykonania wybranego ciągu zadań. OBSŁUGA ŚRODOWISK HETEROGENICZNYCH Oracle COREid Access płynnie integruje się z wieloma popularnymi serwerami WWW, serwerami aplikacji, serwerami katalogów i gotowymi aplikacjami. Rozwiązanie COREid Access and Identity jest dostarczane z licznymi agentami umożliwiającymi zarządzanie i zabezpieczanie aplikacji uruchamianych w wielu różnych systemach. Komponenty integracyjne obejmują między innymi gotowe agenty dla wszystkich popularnych serwerów WWW, serwerów aplikacji i serwerów portalowych dla różnych systemów. Komponenty COREid WebGate i AccessGate działają jako wtyczki dla aplikacji innych producentów i oprogramowania firmowego, przechwytując żądania dostępu do zasobów i przetwarzając je zgodnie ze zdefiniowanymi regułami dostępu. Komponenty WebGate to gotowe agenty dla serwerów WWW, natomiast zakres dostępnych komponentów AccessGate można rozszerzać o własne aplikacje programując odpowiednie agenty z wykorzystaniem SDK Access, co umożliwia zastosowanie mechanizmów kontroli zasad COREid również do tych aplikacji. Żaden inny dostawca rozwiązań do zarządzania tożsamością nie oferuje tak szerokiej gamy możliwości, obejmującej liczne wersje, produkty i systemy operacyjne w celu skutecznej ochrony rzeczywistych środowisk produkcyjnych. ZGODNOŚĆ OPERACYJNA Z USŁUGĄ ORACLE SINGLE SIGN-ON Oracle COREid Access and Identity w pełni współpracuje z usługą OracleAS Single SignOn, dostarczając klientom Oracle możliwość korzystania z jednokrotnego logowania do wszystkich aplikacji przedsiębiorstwa. Oracle COREid Access and Identity w pełni współpracuje z OracleAS Single SignOn — wbudowaną usługą uwierzytelniania dla aplikacji Oracle. Oznacza to, że klienci Oracle korzystający z oprogramowania Oracle Portal, Oracle Collaboration Suite, Oracle E-Business Suite Release 11i i innych aplikacji Oracle mogą poprzez wdrożenie Oracle COREid Access and Identity stworzyć pojedynczy punkt kontroli dostępu i jednokrotnego logowania użytkowników do wszystkich aplikacji w całej firmie. PODSUMOWANIE — ZAANGAŻOWANIE ORACLE WE WSPARCIE PRODUKTOWE Choć firma Oracle bezustannie pracuje nad stworzeniem nowej generacji zintegrowanej oferty produktów, jednocześnie zapewnia pomoc techniczną dla wszystkich swoich rozwiązań. W miarę pojawiania się nowszych wersji Oracle będzie wspólnie z klientami starać się zapewnić bezproblemową migrację z dotychczas używanych produktów. Wprowadzając COREid Access and Identity, firma Oracle dostarcza najbardziej kompleksowe z dostępnych obecnie na rynku rozwiązań do zarządzania tożsamością, obejmujące zarządzanie pełnym cyklem eksploatacji danych użytkowników, od utworzenia poprzez użytkowanie i raportowanie aż po usunięcie. W połączeniu z Oracle Internet Directory i platformą Oracle Identity Management, COREid stanowi kompletne rozwiązanie do zarządzania tożsamością zarówno w przypadku platform i aplikacji Oracle, jak i produktów innych producentów. Wprowadzenie do Oracle COREid Access and Identity Strona 6