Wprowadzenie do Oracle

Wprowadzenie do Oracle
COREid Access and Identity
Dokument techniczny Oracle
Grudzień 2005
ORACLE FUSION MIDDLEWARE
UWAGA:
Poniższy dokument ma na celu przedstawienie ogólnego kierunku rozwoju
produktów. Ma on charakter wyłącznie informacyjny i nie może stanowić części
żadnej umowy. Nie stanowi też zobowiązania do dostarczenia jakichkolwiek
materiałów, kodu ani funkcji i nie powinien być przyjmowany za podstawę
podejmowania decyzji nabywczych. Opracowanie, publikacja i harmonogram
wprowadzania wszelkich opisanych funkcji lub możliwości produktów Oracle
zależą wyłącznie od decyzji firmy Oracle.
Wprowadzenie do Oracle COREid Access and Identity
Strona 2
Wprowadzenie do Oracle COREid
Access and Identity
WSTĘP
Oracle COREid Access jest
jedynym opartym na regułach
rozwiązaniem do zarządzania
dostępem, które jest zarazem
heterogeniczne i zintegrowane ze
stosem technologicznym Oracle.
Oracle COREid Access and
Identity obejmuje funkcje
samoobsługi użytkowników,
delegowanej administracji,
personalizacji i audytu.
Duże organizacje coraz częściej korzystają z rozwiązań do zarządzania tożsamością
w celu utrzymania zgodności z przepisami, ograniczenia kosztów operacyjnych
i usprawnienia procesu dostarczania aplikacji. Stworzenie solidnej podstawy dla
zarządzania tożsamością wymaga zintegrowanych technologii zarządzania cyklem
życia danych w profilu użytkownika, bezpiecznego składowania tych danych
i administrowania nimi oraz kontroli dostępu do aplikacji na podstawie informacji
w profilu.
Wraz z nabyciem przedsiębiorstwa Oblix i zintegrowaniem jej oferty z produktami
Oracle Identity Management firma Oracle uzyskała możliwość dostarczenia
kompleksowego rozwiązania w każdym z tych obszarów. Oprogramowanie Oracle
COREid Access and Identity jest obecnie wdrażane w wielu czołowych firmach
z rankingu Global 1000 i stanowi podstawę funkcjonowania wielu spośród
największych portali. Wdrożenie Oracle COREid Access and Identity pozwala
zwiększyć bezpieczeństwo, kontrolę administracyjną i przejrzystość portali,
ekstranetów oraz intranetów uruchomionych w różnych środowiskach i na różnych
platformach.
Rozwiązanie COREid Access and Identity istnieje od 1996 r. Zapewnia ono kluczowe
możliwości kontroli dostępu, jednokrotnego logowania i zarządzania profilami
użytkowników. Niniejszy artykuł opisuje podstawowe elementy i funkcje Oracle
COREid Access and Identity. W następnej kolejności opisane jest środowisko
raportowania audytowego oraz możliwości obsługi heterogenicznych środowisk
operacyjnych. Na zakończenie przedstawiona jest interakcja Oracle COREid Access
and Identity z usługą OracleAS Single Sign-On, używaną do uwierzytelniania
w aplikacjach Oracle.
COREid ACCESS
COREid Access to komponent COREid Access and Identity odpowiedzialny za
kontrolę dostępu. W jego skład wchodzą elementy WebGate, Access Manager
i Access Server.
Access Manager
COREid Access Manager to graficzne narzędzie do tworzenia reguł dostępu
i zarządzania nimi, definiowania zasobów podlegających ochronie oraz symulowania
dostępu użytkowników w celu sprawdzenia poprawności zdefiniowanych reguł.
Wprowadzenie do Oracle COREid Access and Identity
Strona 3
Access Server
COREid Access Server to samodzielne oprogramowanie usługowe pozwalające
narzucić określone reguły dostępu zarówno do zasobów WWW, jak i innych
zasobów. Access Server można wdrożyć zarówno w konfiguracji pojedynczego
serwera, jak i klastra (w celu zrównoważenia obciążenia i/lub zwiększenia
odporności na awarie). Rozwiązanie to daje możliwość dynamicznej weryfikacji
reguł stosownie do faktycznego wykorzystania aplikacji internetowych przez
użytkowników, jak również usługi uwierzytelniania, autoryzacji i audytu.
Wtyczki uwierzytelniania
Oracle COREid obsługuje
uwierzytelnianie biometryczne
i dwuelementowe.
COREid Access udostępnia działający na zasadzie wtyczek interfejs programowania
(API) pozwalający integrować różnorodne metody i urządzenia uwierzytelniające.
Obsługa kart procesorowych w rodzaju SecurID jest dostępna w konfiguracji
fabrycznej. API wtyczek daje klientom możliwość rozszerzania COREid o obsługę
każdej niemal istniejącej metody uwierzytelniania, w tym technik biometrycznych
i uwierzytelniania dwuelementowego.
COREid IDENTITY
Rozwiązanie COREid Identity oddaje do dyspozycji administratorów zasobów
kluczowe funkcje zarządzania tożsamością. Klienci wdrażający duże rozwiązania
portalowe lub ekstranetowe na ogół doświadczają problemów z wydajnością
typowych narzędzi administracyjnych przy wysokim obciążeniu generowanym przez
setki tysięcy czy wręcz miliony użytkowników. Jedyną metodą zapewnienia
skalowalności zasobów użytkowników (składowanych w katalogach LDAP lub
w relacyjnych bazach danych) jest wprowadzenie specjalnie zaprojektowanych
funkcji, takich jak administrowanie delegowane, dynamiczne zarządzanie grupami
oraz samoobsługa i samodzielna rejestracja użytkowników. Możliwości te są opisane
poniżej w odniesieniu do COREid Identity.
Administrowanie delegowane
Oracle COREid Identity obsługuje
administrowanie delegowane,
nieodzowne w przypadku
zarządzania dużymi liczbami
użytkowników.
Gdy katalog użytkowników rozrasta się do tysięcy czy wręcz milionów pozycji,
centralne zarządzanie ciągłymi zmianami w profilach użytkowników staje się
niemożliwe, gdyż wymagałoby od firm zatrudniania po kilkudziesięciu
administratorów katalogów. Znacznie lepszym rozwiązaniem jest administrowanie
delegowane, polegające na rozproszeniu odpowiedzialności za zarządzanie grupami
użytkowników po administratorach poszczególnych grup. Jeśli na przykład firma
produkcyjna prowadzi portal dla dostawców, z którego korzysta tysiąc partnerów, to
odpowiedzialność za zarządzanie użytkownikami z każdej firmy dostarczającej
można przenieść na administratora zatrudnianego w danej firmie. Daje to lepsze
rozproszenie pracy, dokładniejsze dane i skalowalność administrowania.
Rozwiązanie COREid Identity oferuje najbardziej elastyczne i skalowalne
możliwości administrowania spośród dostępnych produktów tego typu, a jego
skuteczność została wielokrotnie sprawdzona w portalach należących do
największych na świecie. Co więcej, zalety dostępnych funkcji administrowania
delegowanego są na tyle istotne, że wielu klientów już korzystających z rozwiązań
kontroli dostępu innych producentów postanawia przejść na COREid Identity tylko
po to, by móc z tych funkcji korzystać.
Wprowadzenie do Oracle COREid Access and Identity
Strona 4
Dynamiczne zarządzanie grupami
Oracle COREid Access and
Identity obejmuje potężne
i elastyczne mechanizmy
autoryzacji, w tym dynamiczne
grupy i kontrolę dostępu do
atrybutów.
Bardzo przydatnym i powszechnym aspektem zarządzania tożsamością jest
możliwość przydzielania użytkowników do grup w celu łatwiejszej kontroli dostępu
i analizy użytkowania. W przypadku dużych grup statyczne przypisywanie do nich
użytkowników jest niepraktyczne — znacznie lepszym rozwiązaniem jest
dynamiczne grupowanie użytkowników na podstawie określonych atrybutów. Biorąc
za przykład portal operatora telefonii komórkowej obsługujący wiele milionów
użytkowników, wszyscy klienci z aktywną usługą wiadomości SMS mogliby być
przypisani do dynamicznej grupy o nazwie „Użytkownicy SMS”, zyskując tym
samym dostęp do dodatkowych zasobów pomocy technicznej przez WWW. Każdy
klient może w dowolnej chwili aktywować lub dezaktywować usługę SMS, więc
ręczne przydzielanie klientów do tej grupy byłoby niepraktyczne. Udostępniane przez
COREid Identity możliwości dynamicznego zarządzania grupami pozwalają
automatycznie dołączać i odłączać użytkowników z grupy „Użytkownicy SMS” na
podstawie atrybutów profilu użytkownika. Aktywacja usługi SMS w ramach konta
klienta powoduje wtedy ustawienie w profilu użytkownika znacznika, na podstawie
którego mechanizm COREid Identity natychmiast dołącza danego użytkownika do
odpowiedniej grupy.
Samoobsługa i samodzielna rejestracja użytkowników
Skalowalność administrowania można dodatkowo zwiększyć pozwalając
użytkownikom na samodzielne zarządzanie własnymi profilami. Gotowe ekrany
rejestracyjne dostarczane z oprogramowaniem COREid Identity pozwalają
użytkownikom samodzielnie dopisywać się do katalogu bez udziału administratora.
Dostępne w COREid Identity funkcje obsługi zadań umożliwiają automatyczne
wykonywanie odpowiednich sprawdzeń i procesów w reakcji na modyfikacje
wprowadzane przez użytkowników. COREid Identity pozwala też użytkownikom
modyfikować atrybuty konta w ramach posiadanych uprawnień. W przypadku
pracowników firmy mogłoby to oznaczać, że pracownik może zmieniać swój numer
telefonu, ale nie stanowisko. Z kolei jego przełożony może zmieniać jego
stanowisko, ale nie wynagrodzenie, i tak dalej. COREid Identity umożliwia
tworzenie dowolnych konfiguracji dostępu do atrybutów użytkowników i łączenia
ciągów zadań z wprowadzanymi zmianami. Efekt to większa elastyczność i większe
możliwości dla użytkowników, a wszystko przy utrzymaniu wymaganego poziomu
nadzoru administracyjnego.
Oracle COREid Access and
Identity może wspomagać
organizacje w utrzymywaniu
zgodności z przepisami dzięki
rejestrowaniu działań związanych
z bezpieczeństwem
i zarządzaniem tożsamością
w centralnej relacyjnej bazie
danych.
RAPORTOWANIE AUDYTOWE
Rozwiązanie COREid Access and Identity dostarcza osobne środowisko na potrzeby
raportowania audytowego, umożliwiające rejestrowanie wszystkich działań
związanych z bezpieczeństwem i zarządzaniem profilami w centralnej relacyjnej
bazie danych. Audytorzy wymagają obecnie daleko posuniętej zgodności
z przepisami i wewnętrznymi zasadami, a możliwość analizy operacji dotyczących
bezpieczeństwa i zarządzania tożsamością przydaje się również administratorom
poszukującym luk w zabezpieczeniach. W przypadku najczęściej używanych funkcji
audytowania dostępne są gotowe raporty, obejmujące między innymi:
• statystyki uwierzytelniania (liczby udanych i nieudanych prób uwierzytelnienia
dla wszystkich serwerów dostępowych COREid),
• statystyki autoryzacji (liczby udanych i nieudanych prób autoryzacji dla
wszystkich serwerów dostępowych COREid),
• nieudane próby autoryzacji według użytkowników,
• nieudane próby autoryzacji według zasobów,
Wprowadzenie do Oracle COREid Access and Identity
Strona 5
•
•
•
•
•
•
•
•
•
testowanie dostępu,
historię grup (wszystkie modyfikacje wszystkich profilów grup),
historię tożsamości według użytkowników,
blokowanych użytkowników,
operacje zmiany hasła w zadanym przedziale czasowym,
operacje tworzenia/dezaktywacji/reaktywacji/usuwania użytkowników,
historię modyfikacji profilu użytkownika (dla wszystkich użytkowników),
wykaz dezaktywowanych użytkowników,
czas wykonania wybranego ciągu zadań.
OBSŁUGA ŚRODOWISK HETEROGENICZNYCH
Oracle COREid Access płynnie
integruje się z wieloma
popularnymi serwerami WWW,
serwerami aplikacji, serwerami
katalogów i gotowymi aplikacjami.
Rozwiązanie COREid Access and Identity jest dostarczane z licznymi agentami
umożliwiającymi zarządzanie i zabezpieczanie aplikacji uruchamianych w wielu
różnych systemach. Komponenty integracyjne obejmują między innymi gotowe
agenty dla wszystkich popularnych serwerów WWW, serwerów aplikacji i serwerów
portalowych dla różnych systemów.
Komponenty COREid WebGate i AccessGate działają jako wtyczki dla aplikacji
innych producentów i oprogramowania firmowego, przechwytując żądania dostępu
do zasobów i przetwarzając je zgodnie ze zdefiniowanymi regułami dostępu.
Komponenty WebGate to gotowe agenty dla serwerów WWW, natomiast zakres
dostępnych komponentów AccessGate można rozszerzać o własne aplikacje
programując odpowiednie agenty z wykorzystaniem SDK Access, co umożliwia
zastosowanie mechanizmów kontroli zasad COREid również do tych aplikacji. Żaden
inny dostawca rozwiązań do zarządzania tożsamością nie oferuje tak szerokiej gamy
możliwości, obejmującej liczne wersje, produkty i systemy operacyjne w celu
skutecznej ochrony rzeczywistych środowisk produkcyjnych.
ZGODNOŚĆ OPERACYJNA Z USŁUGĄ ORACLE SINGLE SIGN-ON
Oracle COREid Access and
Identity w pełni współpracuje
z usługą OracleAS Single SignOn, dostarczając klientom Oracle
możliwość korzystania
z jednokrotnego logowania do
wszystkich aplikacji
przedsiębiorstwa.
Oracle COREid Access and Identity w pełni współpracuje z OracleAS Single SignOn — wbudowaną usługą uwierzytelniania dla aplikacji Oracle. Oznacza to, że
klienci Oracle korzystający z oprogramowania Oracle Portal, Oracle Collaboration
Suite, Oracle E-Business Suite Release 11i i innych aplikacji Oracle mogą poprzez
wdrożenie Oracle COREid Access and Identity stworzyć pojedynczy punkt kontroli
dostępu i jednokrotnego logowania użytkowników do wszystkich aplikacji w całej
firmie.
PODSUMOWANIE — ZAANGAŻOWANIE ORACLE WE WSPARCIE
PRODUKTOWE
Choć firma Oracle bezustannie pracuje nad stworzeniem nowej generacji
zintegrowanej oferty produktów, jednocześnie zapewnia pomoc techniczną dla
wszystkich swoich rozwiązań. W miarę pojawiania się nowszych wersji Oracle
będzie wspólnie z klientami starać się zapewnić bezproblemową migrację
z dotychczas używanych produktów.
Wprowadzając COREid Access and Identity, firma Oracle dostarcza najbardziej
kompleksowe z dostępnych obecnie na rynku rozwiązań do zarządzania tożsamością,
obejmujące zarządzanie pełnym cyklem eksploatacji danych użytkowników, od
utworzenia poprzez użytkowanie i raportowanie aż po usunięcie. W połączeniu
z Oracle Internet Directory i platformą Oracle Identity Management, COREid
stanowi kompletne rozwiązanie do zarządzania tożsamością zarówno w przypadku
platform i aplikacji Oracle, jak i produktów innych producentów.
Wprowadzenie do Oracle COREid Access and Identity
Strona 6