Oracle Identity Management: możliwości i kierunki rozwoju produktów

Transkrypt

1 Oracle Identity Management: możliwości i kierunki rozwoju produktów Dokument techniczny Oracle Marzec 2006 ORACLE FUSION MIDDLEWARE

2 UWAGA Niniejszy dokument ma na celu przedstawienie ogólnego kierunku rozwoju produktów. Ma on charakter wyłącznie informacyjny i nie może stanowić części żadnej umowy. Nie stanowi też zobowiązania do dostarczenia jakichkolwiek materiałów, kodu ani funkcji i nie powinien być przyjmowany za podstawę podejmowania decyzji nabywczych. Opracowanie, publikacja i harmonogram wprowadzania wszelkich opisanych funkcji lub możliwości produktów Oracle zależą wyłącznie od decyzji firmy Oracle. Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 2

3 Oracle Identity Management: możliwości i kierunki rozwoju produktów Uwaga...2 Wstęp... 4 Geneza... 4 Zarządzanie tożsamością... 6 Administrowanie tożsamością...8 Zarządzanie dostępem KONFIGURACJA KONT Federacja...18 Usługi katalogowe Usługi internetowe: bezpieczeństwo i zarządzanie Pakiet Identity Management...29 Obsługa standardów Integracja produktów Identity Management z innymi produktami Oracle Podsumowanie kierunki rozwoju produktów Oracle Identity Management Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 3

4 Oracle Identity Management: możliwości i kierunki rozwoju produktów WSTĘP Zarządzanie tożsamością obejmuje wszystkie aspekty zarządzania użytkownikami w korporacyjnym środowisku aplikacji tworzenie kont użytkowników, składowanie danych na ich temat i dostęp do nich, przydzielanie praw dostępu, kontrola i zarządzanie dostępem do aplikacji oraz metody śledzenia i raportowania o zdarzeniach związanych z dostępem. Oracle Identity Management to zintegrowana, skalowalna i odporna architektura zarządzania tożsamością, obejmująca zarządzanie dostępem, administrowanie użytkownikami, samoobsługę użytkowników, obsługę federacji, konfigurowanie kont, usługi katalogowe LDAP V3, synchronizację katalogów oraz zarządzanie katalogami wirtualnymi i usługami internetowymi. Oracle Identity Management należy do rodziny produktów Oracle Fusion Middleware, a jego najważniejsze zalety to niezawodność, skalowalność, obsługa produktów Oracle od razu po instalacji oraz obsługa heterogenicznych aplikacji dzięki mechanizmom integracji i zastosowaniu otwartych, zgodnych ze standardami rozwiązań. Oracle wprowadził na rynek swój pierwszy produkt do zarządzania tożsamością, Oracle Internet Directory, już w 1999 r. GENEZA Pierwszy produkt Oracle do zarządzania tożsamością wprowadzono w 1999 r. Był nim system Oracle Internet Directory. W kolejnych latach wprowadzano do niego dodatkowe możliwości zarządzania tożsamością, w tym synchronizację katalogów, bezpieczne administrowanie katalogami i internetową usługę jednokrotnego logowania, a wszystkie mechanizmy zostały zintegrowane ze stosem produktów Oracle. Aby zrealizować całościową wizję zarządzania tożsamością w przedsiębiorstwach, firma Oracle poczyniła szereg strategicznych zakupów ukierunkowanych na pozyskanie produktów, mechanizmów i specjalistycznych umiejętności niezbędnych do optymalnego rozwiązywania problemów zarządzania tożsamością w heterogenicznych systemach korporacyjnych. W poniższym rozdziale zostaną pokrótce opisane niektóre z tych nabytków. Phaos Firma Phaos zajmowała się opracowywaniem oprogramowania do bezpiecznego zarządzania tożsamością, jak również innych opartych na standardach otwartych produktów związanych z kryptografią i bezpieczeństwem. Firma była też liczącym się twórcą mechanizmów federacji tożsamości opartych na standardach Liberty Alliance. Oracle nabył Phaos z zamiarem dalszego rozwijania opracowanych przez firmę technologii i dołączenia ich do wybranych produktów Oracle, w tym Oracle Application Server i Oracle Identity Management. Informacja o nabyciu firmy Phaos przez Oracle została ogłoszona 21 maja 2004 r. Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 4

5 Strategiczne nabytki pozwoliły zwiększyć możliwości obsługi środowisk heterogenicznych przez Oracle Identity Management. Oblix Firma Oblix była jednym z czołowych twórców opartych na mechanizmach tożsamości produktów związanych z bezpieczeństwem w środowiskach heterogenicznych. Stworzone rozwiązania dotyczyły bezpiecznego zarządzania tożsamością, usługami internetowymi, autoryzacja i cyklem eksploatacji danych użytkowników, umożliwiając tworzenie federacji tożsamości i obniżanie kosztów utrzymania zgodności z przepisami. Opracowane przez Oblix czołowe technologie zarządzania tożsamością w systemach korporacyjnych i opartego na regułach zarządzania usługami internetowymi stanowiły uzupełnienie oferowanego przez Oracle oprogramowania obsługi infrastruktury przedsiębiorstwa. Firma Oracle nabyła Oblix z zamiarem szybkiego rozwoju działalności połączonych przedsiębiorstw w zakresie bezpieczeństwa oraz dalszego oferowania istniejących rozwiązań Oblix w tym COREid, SHAREid i COREsv jako samodzielnych produktów. Informacja o nabyciu firmy Oblix przez Oracle została ogłoszona 28 marca 2005 r. Thor Technologies Firma Thor Technologies była jednym z czołowych producentów rozwiązań do konfigurowania kont użytkowników w skali całego przedsiębiorstwa. Oprogramowanie Thor Technologies do konfiguracji tożsamości obsługiwało niemal milion użytkowników w ponad trzydziestu różnych firmach, automatyzując proces tworzenia i nadzorowania użytkowników, ich kont oraz uprawnień w systemach przedsiębiorstw. Celem nabycia firmy Thor Technologies przez Oracle była możliwość zaoferowania klientom Oracle sztandarowego produktu do konfiguracji tożsamości, oprogramowania Xellerate, który uzupełnił istniejącą ofertę Oracle w dziedzinie zarządzania tożsamością o funkcje konfigurowania i ujednolicania kont. Informacja o nabyciu firmy Thor Technologies przez Oracle została ogłoszona 16 listopada 2004 r. OctetString Celem nabycia firmy OctetString przez Oracle było rozszerzenie oferty produktów o rozwiązania do obsługi katalogów wirtualnych. Informacje składające się na profil użytkownika są w większości organizacji składowane w wielu różnych miejscach katalogach LDAP, bazach danych, repozytoriach X.500 i innych systemach. Każdy z tych systemów może zatem zawierać częściową definicję profilu danego użytkownika. Mechanizm katalogów wirtualnych firmy OctetString był wykorzystywany w ponad 50 firmach do tworzenia pojedynczego punktu dostępu do danych profilu użytkownika rozproszonych po różnych systemach. Rozwiązanie OctetString jest obecnie dostępne pod nazwą Oracle Virtual Directory i wspomaga klientów Oracle we wdrażaniu elastycznej infrastruktury zarządzania tożsamością i jej integracji z heterogenicznymi środowiskami. Informacja o nabyciu firmy OctetString przez Oracle została ogłoszona 16 listopada 2004 r. Pomoc techniczna Oracle w zakresie istniejących produktów Oracle nadal oferuje klientów pomoc techniczną dotyczącą produktów nabytych firm. Celem firmy Oracle jest ulepszanie integracji produktów wraz z kolejnymi wersjami oprogramowania Oracle Identity Management, a także opracowywanie ścieżek płynnej migracji do nowych produktów przy możliwie najmniejszym wpływie na funkcjonowanie istniejących wdrożeń. Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 5

6 ZARZĄDZANIE TOŻSAMOŚCIĄ Celem mechanizmów zarządzania tożsamością jest automatyzacja i zabezpieczenie procesu zarządzania tożsamością użytkowników w skali całego cyklu eksploatacji danych użytkownika i aplikacji. Do wprowadzania rozwiązań zarządzania tożsamością skłania klientów pięć podstawowych czynników związanych z ich działalnością: Oprogramowanie do zarządzania tożsamością rozwiązuje wiele kluczowych problemów z zarządzaniem przedsiębiorstwem. Ograniczenie zagrożeń dla bezpieczeństwa informacje o incydentach związanych z bezpieczeństwem mogą zachwiać zaufaniem klientów i inwestorów do firmy. W ostatnich latach coraz częściej pojawiają się informacje o nieautoryzowanym dostępie do aplikacji lub danych, uzyskiwanym przez osoby z zewnątrz, byłych pracowników lub pracowników przekraczających swoje uprawnienia. Zarządzanie tożsamością pozwala lepiej panować nad takimi zagrożeniami poprzez wprowadzenie kontroli dostępu użytkowników i dostarczenie odpornych mechanizmów zarządzania tożsamością i uprawnieniami użytkowników, obejmujących na przykład natychmiastowe zablokowanie dostępu użytkownika do wszystkich aplikacji z chwilą opuszczenia przez niego pracy. Oczekiwania użytkowników coraz więcej firm wdraża portale korporacyjne zbierające istniejące aplikacje w jednym miejscu, a użytkownicy coraz częściej oczekują jednolitego dostępu do tych aplikacji. Zarządzanie tożsamością obejmuje między innymi mechanizmy jednokrotnego logowania i federacji tożsamości, zapewniające użytkownikom wygodny dostęp do wszystkich aplikacji. Wdrożenie zarządzania tożsamością może na przykład oznaczać, że po jednokrotnym logowaniu użytkownik może korzystać z wielu różnych aplikacji dostępnych poprzez portal korporacyjny, w tym aplikacji udostępnianych przez dostawców zewnętrznych. Zgodność z przepisami sprawne funkcjonowanie współczesnej organizacji i utrzymanie zgodności z przepisami prawa oznacza konieczność ścisłego przestrzegania wymagań dotyczących poufności danych i zgodności z przepisami branżowymi. Sprostanie tym wymaganiom wymaga od firm całościowego spojrzenia na zarządzanie bezpieczeństwem i wdrażanie zabezpieczeń, obejmującego zarówno środowisko wewnętrzne, jak i zewnętrzne. Mechanizmy zarządzania tożsamością wspomagają działalność firm, dostarczając infrastrukturę pozwalającą skutecznie wdrażać przyjętą politykę i monitorować zgodność z przyjętymi założeniami. Za pomocą takiego mechanizmu można na przykład łatwo tworzyć raporty dotyczące historii dostępu do konta użytkownika na potrzeby audytów wewnętrznych. Elastyczność i szybkość reagowania firmy nowoczesne firmy wszystkich branż wciąż poszukują nowych metod wykorzystania wszechobecnych możliwości komunikacji przez Internet do łączenia się z partnerami, dostawcami, klientami i wirtualnymi zespołami roboczymi. Zarządzanie tożsamością obsługuje takie działania dzięki mechanizmom uwierzytelniania i autoryzacji, federacji tożsamości, usługom internetowym i możliwości dostarczania uprawnień tymczasowym użytkownikom aplikacji. Firmy posiadające infrastrukturę zarządzania tożsamością mogą na przykład szybciej tworzyć i wdrażać nowe aplikacje korzystające ze wspólnego zestawu usług związanych z bezpieczeństwem. Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 6

7 Ograniczanie kosztów działy informatyczne w firmach na całym świecie coraz częściej otrzymują zadanie dostarczenia nowych możliwości przy jednoczesnym ograniczaniu kosztów. Może to dotyczyć wdrażania nowych aplikacji, dodawania nowych grup użytkowników (na przykład klientów lub partnerów) lub wprowadzania nowych modeli współdziałania firm. Zarządzanie tożsamością pozwala firmom sprawniej zarządzać środowiskiem informatycznym dzięki centralnemu zarządzaniu użytkownikami, administrowaniu delegowanemu, usługom katalogowym i automatyzacji obsługi kont. Zarządzanie tożsamością pozwala zautomatyzować rutynowe czynności, na przykład tworzenie kont użytkowników czy zarządzanie prawami dostępu, lub delegować je do odpowiedniego działu firmy. Oracle Identity Management dostarcza kompletny pakiet funkcji na potrzeby firm oraz ich użytkowników, klientów i partnerów. Rysunek 1 przestawia najważniejsze punkty kontaktu rozwiązania Oracle Identity Management z tymi podmiotami. Rysunek 1: Oracle Identity Management Oracle Identity Management stanowi integralną część komponentu systemu Oracle Fusion Middleware odpowiedzialnego za bezpieczeństwo (Rysunek 2). Oracle Fusion Middleware to rozwiązanie umożliwiające tworzenie i wdrażanie aplikacji opartych na architekturze ukierunkowanej na usługi (SOA Service-Oriented Architecture), pozwalające zwiększać elastyczność różnorodnych środowisk informatycznych oraz dostarczać maksimum danych biznesowych przy jednoczesnym ograniczaniu kosztów i ryzyka. Kolejne części niniejszego artykułu opisują kluczowe aspekty technologiczne Oracle Identity Management. Każda sekcja zaczyna się od przeglądu obecnych możliwości danego produktu, następnie podawane są zalecenia odnośnie wykorzystania tych rozwiązań przez klientów Oracle, a na koniec przedstawiony jest ramowy plan rozwoju poszczególnych komponentów. Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 7

8 Rysunek 2: Przegląd rozwiązania Oracle Fusion Middleware ADMINISTROWANIE TOŻSAMOŚCIĄ Istniejące możliwości Administrowanie tożsamością obejmuje takie czynności, jak zarządzanie użytkownikami i grupami, samoobsługa użytkowników, administrowanie delegowane i przepływy zadań dotyczące procesów akceptacji. Oracle Identity Management umożliwia administrowanie tożsamością w ramach rozwiązania COREid Identity i konsoli administracyjnej Xellerate (wchodzącej w skład rozwiązania Xellerate Identity Provisioning). Oferowane przez COREid Identity mechanizmy administrowania delegowanego umożliwiają wydajną obsługę dużych populacji użytkowników. COREid Identity Oracle COREid Identity dostarcza mechanizmy zarządzania użytkownikami i grupami, administrowania delegowanego, zarządzania hasłami i samoobsługi użytkowników, których wymaga zarządzanie dużymi populacjami użytkowników w rozbudowanych środowiskach skupionych wokół katalogu użytkowników. Rysunek 3 przedstawia przykładowy interfejsu użytkownika Oracle COREid Identity. Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 8

9 Rysunek 3: Interfejs użytkownika COREid Identity Najważniejsze funkcje Oracle COREid Identity to: Możliwość zarządzania informacjami z różnych katalogów LDAP, w tym Sun Java System Directory, Microsoft Active Directory i Oracle Internet Directory, jak również wykorzystywania Oracle Virtual Directory do integracji z innymi repozytoriami i bazami danych zaplecza. Zarządzanie użytkownikami, grupami i organizacjami, w tym możliwość tworzenia grup dynamicznych na podstawie atrybutów użytkowników. Nieograniczone możliwości delegowania czynności administracyjnych do pracowników, klientów i partnerów. Funkcje samoobsługi użytkowników i zarządzania hasłami (w tym możliwość przywrócenia zapomnianego hasła), pozwalające zmniejszyć obciążenie stanowisk pomocy. Możliwość tworzenia przepływów zadań akceptacji do zarządzania cyklem eksploatacji danych użytkowników. Interfejsy do usług internetowych pozwalające na korzystanie z mechanizmów administrowania tożsamością z poziomu innych aplikacji. Konsola administracyjna Xellerate Rozwiązanie Oracle Xellerate Identity Provisioning (opisane szczegółowo w dalszej części dokumentu) obejmuje między innymi konsolę administracyjną Xellerate aplikację internetową stworzoną w technologii Struts, udostępniającą wszystkie mechanizmy samoobsługi, administrowania delegowanego, raportowania i obsługi aplikacji wymagane przez użytkowników i administratorów wdrożenia systemu obsługi tożsamości opartego na Xellerate. Możliwości konsoli Xellerate w zakresie zarządzania tożsamością obejmują: Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 9

10 Zarządzanie samoobsługowe, pozwalające każdemu użytkownikowi samodzielne przeglądać i modyfikować dane własnego profilu, w tym hasła dostępu do niektórych lub wszystkich zarządzanych zasobów. Jeśli użytkownik zapomni hasła, Xellerate wyświetla zdefiniowane wcześniej pytania pozwalające zweryfikować tożsamość użytkownika. Użytkownicy mogą również zgłaszać potrzeby przydziału zasobów i wybranych uprawnień szczegółowych. Osoby podejmujące decyzje (szefowie zespołów, menedżerowie produktów, dyrektorzy działów itd.) mogą za pośrednictwem tego samego interfejsu przeglądać i akceptować zgłoszenia otrzymywane od użytkowników. Delegowane administrowanie grupami, organizacjami i zasobami. Oracle Xellerate Identity Provisioning pozwala administratorom przeglądać graficzne reprezentacje złożonych procesów przepływu zadań i delegować wybrane obowiązki administracyjne do innych użytkowników i grup użytkowników zarówno wewnątrz firmy, jak i poza nią. Szczegółowy opis funkcji dostarczanych przez konsolę administracyjną Xellerate jest przedstawiony w dalszej części dokumentu. Na rysunku 4 zamieszczono przykładowy ekran konsoli administracyjnej Xellerate. Rysunek 4: Interfejs użytkownika konsoli administracyjnej Xellerate Wskazówki wdrożeniowe Wybór konkretnego produktu do zarządzania tożsamością zależy od wymagań dotyczących danego wdrożenia. Rozwiązanie COREid Identity jest zalecane w przypadku konfiguracji wymagających bezpośredniego zarządzania centralnym repozytorium tożsamości, najczęściej mającym postać usługi katalogowej. Z kolei konsola administracyjna Xellerate jest zalecanym rozwiązaniem w przypadku wdrażania rozwiązania Oracle Xellerate Identity Provisioning, w ramach którego nowo tworzone tożsamości są integrowane z danych z istniejących źródeł. Ujmując to samo bardziej precyzyjnie: Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 10

11 COREid Identity jest idealnym rozwiązaniem dla systemów skupionych wokół katalogu użytkowników, niewymagających uwzględniania aplikacji zaplecza w procesie konfiguracji tożsamości. Szczególnie sprawnie obsługiwane są systemy, w których zarządzanie tożsamością obraca się wokół jednego logicznego katalogu LDAP, stanowiącego repozytorium tożsamości. COREid Identity doskonale nadaje się również do wdrożeń związanych z zarządzaniem dostępem z Internetu, na przykład przy okazji tworzenia portali WWW. W takich przypadkach COREid Identity będzie najczęściej wdrażane wraz z produktem w rodzaju COREid Access, dostarczającym mechanizmy uwierzytelnienia, jednokrotnego logowania z Internetu i autoryzacji. Konsola administracyjna Xellerate jest rozwiązaniem odpowiednim do zarządzania użytkownikami i samoobsługą użytkowników w przypadku wdrożeń wymagających centralnego zarządzania tworzeniem i usuwaniem kont w skali wielu różnych systemów, jak również w przypadku systemów wymagających kompleksowych raportów użytkowania kont i uprawnień na potrzeby działań normalizacyjnych i audytorskich. Wdrożenia obejmujące całe rozwiązanie Identity Management, w tym moduły administrowania tożsamością, zarządzania dostępem z Internetu i dostarczania tożsamości, będą korzystać z obu rozwiązań, a więc zarówno COREid, jak i Xellerate. W takiej konfiguracji COREid Access dostarcza mechanizmy zarządzania dostępem i jednokrotnego logowania, natomiast Xellerate Identity Provisioning dostarcza interfejs administrowania tożsamością oraz obsługuje operacje dostarczania tożsamości wymagające udziału innych systemów. Kierunki rozwoju W przyszłych wersjach oprogramowania Oracle Identity Management przewidywane jest dalsze rozwijanie integracji modułów administrowania tożsamością z innymi produktami Oracle, jak również postępujące ujednolicanie produktów Delegated Administration Services, COREid Identity i Xellerate. Z konkretnych ulepszeń zaplanowanych w najbliższych wersjach warto wymienić: Usprawnienia administracyjnych interfejsów użytkownika, mające na celu łatwiejszą i bardziej intuicyjną obsługę. Usprawnienia funkcji zarządzania hasłami, obejmujące między innymi wprowadzenie selektywnego zarządzania hasłami do różnych systemów docelowych, opracowanie lepszych mechanizmów sprawdzania jakości haseł, możliwość definiowania firmowej polityki zarządzania hasłami oraz wykorzystanie daty ostatniego logowania jako czynnika decyzyjnego dla wybranych funkcji. Wprowadzenie narzędzi do zarządzania wdrożeniem, pozwalających uprościć i zautomatyzować proces poziomej migracji przez kolejne środowiska wdrożeniowe (od tworzenia poprzez testy funkcjonalne aż po wdrożenie produkcyjne). Rozszerzenie możliwości definiowania przepływów zadań na zarządzanie wszystkimi aspektami cyklu eksploatacji danych użytkownika. Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 11

12 Innym planowanym dodatkiem funkcjonalnym jest wprowadzenie zintegrowanego rozwiązania do zarządzania rolami biznesowymi. Podobnie jak w przypadku rozwiązań zarządzających danymi użytkowników w całym cyklu ich eksploatacji w systemie korporacyjnym (na przykład Xellerate Identity Provisioning), klienci coraz częściej potrzebują narzędzi do zarządzania rolami biznesowymi (BRM Business Roles Management), umożliwiających definiowanie cykli życia ról biznesowych i zarządzanie nimi. Dostarczane przez takie systemy role biznesowe są następnie pobierane jako wartości wejściowe przez dalsze systemy, w tym systemy zarządzania dostępem i obsługi tożsamości. Docelowa strategia Oracle dotycząca produktów przewiduje stworzenie pojedynczego komponentu do administrowania tożsamością w heterogenicznych repozytoriach użytkowników i zarządzania procesami dostarczania tożsamości wykorzystującymi systemy zaplecza. Rozwiązanie takie będzie łączyć możliwości COREid Identity i konsoli administracyjnej Xellerate, dostarczając je jako usługi w ramach jednolitej platformy zarządzania tożsamością. Co istotne, niezależnie od wybranych przez klientów funkcji zarządzania użytkownikami możliwa będzie płynna migracja do nowszych wersji produktów. ZARZĄDZANIE DOSTĘPEM Istniejące możliwości Zarządzanie dostępem obejmuje całość działań mających na celu kontrolowanie dostępu użytkowników do zasobów firmowych. Oracle Identity Management zawiera dwa komponenty obsługujące zarządzanie dostępem: Oracle COREid Access i OracleAS Single Sign-On. Komponenty te współdziałają w celu dostarczenia funkcji scentralizowanego, szczegółowego zarządzania dostępem w heterogenicznych środowiskach aplikacji, jak również bezproblemowej integracji z innymi produktami Oracle, w tym Oracle Portal, Oracle Collaboration Suite i Oracle E-Business Suite. Oracle COREid Access zapewnia obsługę jednokrotnego logowania użytkowników do heterogenicznych środowisk aplikacji. COREid Access Należące do pakietu Oracle COREid Access and Identity rozwiązanie COREid Access zapewnia możliwość jednokrotnego logowania oraz opartej na regułach kontroli dostępu do aplikacji internetowych i zasobów udostępnianych w środowiskach heterogenicznych. COREid Access obsługuje wszystkie popularne metody uwierzytelniania (formularze wyświetlane w przeglądarce internetowej, certyfikaty cyfrowe, karty procesorowe i inne), integrując się bezproblemowo z większością dostępnych serwerów aplikacji i portali, w tym OracleAS 10g, BEA WebLogic, IBM WebSphere, Vignette i innymi produktami. Informacje o tożsamości i dane uwierzytelniające użytkownika można pobierać z wielu różnych repozytoriów, w tym Oracle Internet Directory, Microsoft Active Directory oraz Sun Java System Directory. COREid Access umożliwia scentralizowane, a zarazem precyzyjne definiowanie reguł dostępu użytkowników do zasobów. OracleAS Single Sign-On OracleAS Single Sign-On dostarcza możliwość jednokrotnego logowania do aplikacji Oracle, w tym Oracle Portal, Oracle Collaboration Suite i Oracle E-Business Suite, stanowiąc tym samym wydajne rozwiązanie uwierzytelniające dla środowisk opartych na aplikacjach Oracle. Obsługiwane metody Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 12

13 uwierzytelniania to podstawowe logowanie z podaniem nazwy użytkownika i hasła oraz uwierzytelnianie certyfikatem X.509. Dane dostarczone przez użytkowników mogą być weryfikowane za pomocą informacji składowanych w Oracle Internet Directory, z możliwością integracji z repozytoriami Microsoft Active Directory i Sun Java System Directory za pośrednictwem mechanizmu Directory Integration Platform (opisanego w części poświęconej usługom katalogowym). Wskazówki wdrożeniowe W przypadku systemów wymagających zarządzania dostępem do heterogenicznych środowisk z Internetu najlepszym rozwiązaniem będzie Oracle COREid Access and Identity wraz z Oracle Directory Services lub inną obsługiwaną usługą katalogową. Dodanie możliwości jednokrotnego logowania do heterogenicznych środowisk aplikacji przy jednoczesnej integracji z istniejącymi aplikacjami internetowymi Oracle (w tym Oracle E-Business Suite, Oracle Portal i Oracle Collaboration Suite) wymaga instalacji Oracle COREid Access and Identity wraz z OracleAS Single Sign-On. Oba rozwiązania współpracują w sposób przezroczysty, pozwalając użytkownikom logować się tylko raz (do COREid Access), a następnie swobodnie korzystać z aplikacji udostępnianych przez oba środowiska. Wprowadzenie obsługi jednokrotnego logowania do systemów łączących aplikacje internetowe Oracle z rozwiązaniem kontroli dostępu innego producenta wymaga wdrożenia OracleAS Single Sign-On i Oracle Internet Directory. Kierunki rozwoju W najbliższej przyszłości produkty COREid Access i OracleAS Single Sign-On będą nadal stanowić podstawę prac związanych z rozwojem mechanizmów i komponentów do zarządzania dostępem z Internetu. OracleAS Single Sign-On ma stanowić gotowe rozwiązanie do uwierzytelniania zintegrowane z istniejącymi aplikacjami Oracle, natomiast COREid Access będzie dostarczać usługi bezpiecznego uwierzytelniania i autoryzacji dla heterogenicznych środowisk aplikacji korporacyjnych. Planowane są też opisane poniżej ulepszenia obu komponentów. COREid Access Główne kierunki dalszego rozwoju komponentu COREid Access rozwiązania Oracle COREid Access and Identity to: Implementacja bezpiecznej usługi dostępu za pośrednictwem tokenów z wykorzystaniem uwierzytelniania WS-Trust, umożliwiającej stworzenie architektury bezpieczeństwa opartej na usługach. Przekształcenie istniejących mechanizmów autoryzacji COREid Access w korporacyjne rozwiązanie do zarządzania regułami zgodne ze standardem XACML, co pozwoli poza zasobami internetowymi obsługiwać również usługi internetowe i transakcje aplikacji. Wprowadzenie obsługi metod uwierzytelniania niewymagających zapisywania plików cookie, co pozwoli objąć uwierzytelnianiem również platformy inne niż komputery z przeglądarką internetową, w tym telefony komórkowe i usługi telefonii IP. Obsługa weryfikacji certyfikatów w czasie rzeczywistym poprzez dodanie implementacji list CRL i protokołu OCSP, co pozwoli dodatkowo zwiększyć bezpieczeństwo uwierzytelniania. Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 13

14 OracleAS Single Sign-On Do planowanych ulepszeń OracleAS Single Sign-On należą: Możliwość zarządzania za pośrednictwem komponentu Oracle Enterprise Manager Grid Control (szczegółowy opis w części dokumentu poświęconej administrowaniu systemem zarządzania tożsamością). Gotowe mechanizmy integracji OracleAS Single Sign-On z Oracle COREid Federation, pozwalające aplikacjom dopuszczonym przez OracleAS Single Sign-On uczestniczyć w środowiskach federacyjnych jako dostawcy usług. W dłuższej perspektywie planowana jest integracja COREid Access i OracleAS Single Sign-On do postaci jednolitej platformy technologicznej, łączącej rozwiązania dostępne w obu produktach. Opracowane w ten sposób mechanizmy będą włączane do produktów wbudowanych mających na celu obsługę kontroli dostępu w całej ofercie oprogramowania Oracle, jak również do korporacyjnych systemów dostarczania usług uwierzytelniania, autoryzacji i zarządzania polityką w heterogenicznych środowiskach aplikacji. KONFIGURACJA KONT Istniejące możliwości Oracle Xellerate Identity Provisioning automatyzuje procesy obsługi tożsamości i zarządzania prawami dostępu, wspomagając zarazem utrzymywanie zgodności z przepisami. Automatyzacja konfigurowania tożsamości użytkowników pozwala ograniczyć koszty zarządzania infrastrukturą informatyczną i zwiększyć bezpieczeństwo. Konfigurowanie tożsamości odgrywa też istotną rolę w procesie utrzymywania zgodności z przepisami wymagającym wdrażania strategii firmowej i wykazywania zgodności działań z obowiązującymi założeniami. Korporacyjne rozwiązania do zarządzania tożsamością dostarczają mechanizmy wdrażania aspektów strategii korporacyjnej dotyczących zarządzania użytkownikami, jak również metody śledzenia działań i uprawnień użytkowników. Oferowanym przez Oracle korporacyjnym rozwiązaniem do dostarczania tożsamości jest Oracle Xellerate Identity Provisioning. Oracle Xellerate Identity Provisioning Oracle Xellerate Identity Provisioning to korporacyjny system zarządzania tożsamością, umożliwiający zarządzanie prawami dostępu użytkowników do zasobów informatycznych firmy. Oracle Xellerate Identity Provisioning zarządza prawami dostępu do wszystkich zasobów firmy w całym cyklu eksploatacji danych użytkownika, od utworzenia konta o uprawnieniach początkowych po usunięcie użytkownika, jednocześnie przez cały czas dynamicznie dostosowując się do zmiennych wymagań biznesowych. Dostępne mechanizmy samoobsługi i administrowania delegowanego są omówione w części poświęconej administrowaniu tożsamością. Do innych istotnych mechanizmów Oracle Xellerate Identity Provisioning należą: Kompleksowe funkcje zarządzania hasłami, obejmujące konfigurowalne reguły generowania i sprawdzania jakości haseł, mechanizmy synchronizacji i odwzorowywania haseł w skali wszystkich zarządzanych zasobów oraz możliwość definiowania różnych haseł i reguł haseł dla Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 14

15 różnych zasobów. Xellerate ma też możliwość przechwytywania zmian haseł wprowadzanych w Microsoft Active Directory, a w przyszłości zostanie też dodana funkcja przechwytywania zmian haseł wprowadzanych w systemach mainframe. Zarządzanie przepływami zadań i polityką, umożliwiające opartą na regułach, zautomatyzowaną obsługę zasobów i przydzielanie szczegółowych uprawnień w ich obrębie. Możliwe jest również łatwe tworzenie przepływów zadań konfigurowania tożsamości, czyli ciągów procesów biznesowych rządzących poszczególnymi operacjami związanymi z tworzeniem tożsamości. Mechanizm ujednolicania tożsamości, pozwalający Oracle Xellerate Identity Provisioning nadzorować wykorzystanie zarządzanych zasobów. W razie wykrycia utworzenia nowych kont lub wprowadzenia zmian praw dostępu poza kontrolą Xellerate, system może albo wycofać zmianę, albo powiadomić o niej administratora, w zależności od konfiguracji ustawionej na etapie wdrożenia. Pozwala to łatwo wykrywać konta nieautoryzowane lub zagubione. Szczegółowe raportowanie i śledzenie historycznych i aktualnych danych o środowisku aplikacji, co pozwala na zautomatyzowane zbieranie informacji o użytkownikach (w tym o ich aktualnych i historycznych prawach dostępu) i zasobach (w tym dane o użytkownikach, którzy mają lub w przeszłości mieli do nich dostęp). Umożliwia to utrzymywanie zgodności z przepisami dotyczącymi poufności informacji biznesowych oraz poufności danych o pracownikach i klientach. Potwierdzanie uprawnień. Proces potwierdzania uprawnień polega na okresowym potwierdzaniu praw dostępu poszczególnych użytkowników przez upoważnione osoby. Obowiązujące w USA przepisy wymagają na przykład od korporacji potwierdzania uprawnień dla wszystkich systemów o znaczeniu finansowym co 3 6 miesięcy. W skład systemu Xellerate wchodzi elastyczne rozwiązanie do potwierdzania uprawnień, pozwalające klientom korporacyjnym niewielkim kosztem i w wymaganych terminach sprostać wszelkim wymaganiom tego typu. Odpowiednie ustawienie procesów potwierdzania uprawnień w Xellerate pozwala klientom korporacyjnym zautomatyzować proces generowania, dostarczania, sprawdzania, zatwierdzania, delegowania, śledzenia i archiwizacji raportów o prawach dostępu użytkowników dla potrzeb audytorów, przy czym raporty te mogą być tworzone regularnie lub na żądanie. Komponent Adapter Factory (fabryka adapterów), umożliwiający szybką integrację z komercyjnymi lub tworzonymi wewnętrznie systemami korporacyjnymi bez konieczności programowania. Definicje adapterów są składowane w repozytorium Xellerate jako samodzielnie opisujące się widoki, co znacznie ułatwia i przyspiesza proces tworzenia, utrzymywania i aktualizacji połączeń z zewnętrznymi aplikacjami. Wraz z Oracle Xellerate Identity Provisioning dostarczana jest dodatkowo biblioteka gotowych adapterów obsługujących wiele typowych zasobów, w tym popularne usługi katalogowe (np. Microsoft Active Directory) i aplikacje (np. PeopleSoft Enterprise Human Capital Management). Gotowe adaptery można konfigurować i modyfikować za pomocą fabryki adapterów. Rozwiązanie Oracle Xellerate Identity Provisioning zostało opracowane w n-warstwowej architekturze J2EE zapewniającej rozdzielność warstw prezentacji, logiki biznesowej i danych. Warstwowa Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 15

16 architektura pozwala szybko skalować Xellerate stosownie do potrzeb wdrożenia, wykorzystując przy tym najbardziej elastyczne i najszerzej obsługiwane wieloplatformowe usługi J2EE, obejmujące języki Java i XML oraz techniki obiektowe. Rysunek 5 przedstawia przegląd architektury Oracle Xellerate Identity Provisioning. Rysunek 5: Architektura Oracle Xellerate Wskazówki wdrożeniowe Rozwiązanie Oracle Xellerate Identity Provisioning nadaje się idealnie do następujących scenariuszy wdrożenia: Systemy wymagające scentralizowanego rozwiązania do zarządzania użytkownikami i ich prawami dostępu w heterogenicznych systemach w skali całego przedsiębiorstwa. Dotyczy to w szczególności złożonych środowisk obejmujących wiele różnych mechanizmów repozytoriów (katalogi, systemy kadrowe, relacyjne bazy danych, centralne systemy mainframe), interfejsów dostępowych (LDAP, Web Services, bezpośredni dostęp do bazy danych, API konkretnych aplikacji) i wcześniej wdrożonych technologii (RACF, ACF2, Top Secret). Systemy wymagające wdrożenia przepływów zadań akceptacji do zarządzania zgłaszanymi przez użytkowników żądaniami dostępu do zasobów i/lub przepływów dostarczania tożsamości w taki sposób, aby umożliwić wskazanie zasobów podlegających zarządzaniu, a następnie wykonanie ciągu złożonych zadań związanych z dostarczaniem tożsamości zgodnie z definicją. Systemy wymagające wprowadzenia niedrogich metod przestrzegania zgodności z przepisami. Oracle Xellerate Identity Provisioning można na przykład wykorzystać do zbierania Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 16

17 szczegółowych informacji o prawach dostępu użytkowników z wielu różnych zasobów, a następnie uruchamiania dla centralnie skonsolidowanych informacji niezbędnych procesów związanych z przestrzeganiem zgodności, na przykład okresowego sprawdzania uprawnień. W systemach o złożonych środowiskach składowania tożsamości, w których różne typy tożsamości są zapisywane w różnego rodzaju systemach składujących, Oracle Xellerate Identity Provisioning może posłużyć do ujednolicania i odwzorowywania tożsamości pobieranych z różnych źródeł. Kierunki rozwoju Strategicznym kierunkiem rozwoju rozwiązań Oracle do dostarczania tożsamości jest zacieśnianie integracji pakietów Oracle Identity Management i Oracle Fusion Middleware oraz wykorzystywanie możliwości, jakie ta integracja stwarza, przy jednoczesnym nacisku na utrzymywanie obsługi szerokiego zakresu heterogenicznych platform i kluczowych wymagań biznesowych, w tym śledzenia i przestrzegania zgodności z przepisami. Z usprawnień planowanych dla Oracle Xellerate Identity Provisioning należy wymienić: Rozszerzenie możliwości śledzenia działań i zgodności z wymaganiami, w tym: Dodatkowe narzędzia do automatyzacji sprawdzania zgodności, umożliwiające między innymi wdrażanie reguł podziału obowiązków administracyjnych. Dodatkowe narzędzia i interfejsy dla dalszego zwiększania dostępności danych dotyczących śledzenia i przestrzegania zgodności i udostępniania ich aplikacjom innych producentów. Rozszerzenie możliwości potwierdzania uprawnień użytkowników o dodatkowe mechanizmy kontroli, w tym reguły, polityki i przepływy zadań, jak również o wybór potwierdzania według przełożonych, organizacji, grup i zasobów oraz raportowanie żądań potwierdzenia i działań osób potwierdzających. Narzędzia umożliwiające analizę danych dotyczących tożsamości i praw dostępu pod kątem istniejących i potencjalnych zagrożeń dla bezpieczeństwa. Ulepszone konsole kierownicze i funkcje tworzenia raportów kierowniczych. Integracja z oferowanymi przez Oracle produktami do zarządzania rolami biznesowymi (BRM), umożliwiająca między innymi: Odwzorowywanie ról biznesowych, atrybutów ról oraz zależnych od kontekstu związków między użytkownikami z narzędzia BRM do Oracle Xellerate Identity Provisioning. Uruchamianie w Xellerate odpowiednich przepływów zadań w reakcji na wprowadzone w systemie BRM zmiany ról lub atrybutów ról. Dynamiczne kierowanie przepływem procesów akceptacji w Xellerate na podstawie udostępnianych przez narzędzie BRM złożonych informacji o zależnościach między użytkownikami. Zgodna z uznanymi standardami obsługa dostarczania tożsamości w złożonych systemach federacji tożsamości, wykorzystująca możliwości takich protokołów, jak na przykład SPML. Pełniejsza integracja z aplikacjami Oracle w roli wbudowanej platformy dostarczania tożsamości i zarządzania rolami. Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 17

18 Kolejne wersje Oracle Xellerate Identity Provisioning będą obejmować rozbudowane możliwości zarządzania zasobami administracyjnymi, rolami i uprawnieniami szczegółowymi. Wprowadzone też zostanie podejście usługowe, pozwalające integrować technologie i usługi wykorzystywane w Oracle Fusion Middleware, między innymi język BPEL. Język BPEL jest w świecie architektury ukierunkowanej na usługi coraz szerzej uznawanym standardem łączenia pojedynczych usług w kompleksowe przepływy procesów, a jego wykorzystanie pozwala znacznie ograniczyć koszt i złożoność integracji procesów. Narzędzie Oracle BPEL Process Manager oferuje kompleksową i łatwą w obsłudze infrastrukturę tworzenia, wdrażania i zarządzania procesami biznesowymi zdefiniowanymi w języku BPEL. Oracle Xellerate Identity Provisioning będzie w przyszłości korzystać z modułu Oracle BPEL Process Manager w celu koordynacji przepływów zadań związanych z dostarczaniem tożsamości. Otworzy to zupełnie nowe możliwości szybkiego definiowania i wdrażania dowolnie złożonych przepływów zadań, które będą mogły współpracować z innymi procesami SOA z wykorzystaniem standardowych mechanizmów. FEDERACJA Istniejące możliwości Federacje tożsamości umożliwiają stosowanie opartych na standardach mechanizmów jednokrotnego logowania w obrębie różnych firm i domen administracyjnych. W miarę coraz częstszego przenoszenia procesów biznesowych firm do Internetu wiele organizacji potrzebuje możliwości przesuwania granic systemów korporacyjnych w sposób umożliwiający objęcie nimi aplikacji udostępnianych przez partnerów. Federacyjne zarządzanie tożsamością pozwala firmom utrzymać niezależność działania przy jednoczesnym zapewnieniu współpracy biznesowej, obejmującej między innymi jednokrotne logowanie do wszystkich aplikacji udostępnianych przez partnerów. Każda ze współpracujących organizacji zarządza danymi o tożsamości własnych użytkowników i poręcza wiarygodność użytkowników podczas autoryzacji dostępu do zasobów partnerów. Oracle oferuje samodzielne, gotowe do pracy rozwiązanie federacyjne w postaci Oracle COREid Federation. W ramach pakietu OracleAS Security Developer Tools dostępne są dodatkowo interfejsy API Java pozwalające tworzyć aplikacje federacyjne, a narzędzie Oracle Web Services Manager (opisane w części poświęconej usługom internetowym) zapewnia obsługę uwierzytelniania SAML w usługach internetowych. Oracle COREid Federation Oracle COREid Federation to rozwiązanie do federacji tożsamości dostarczające zgodne z przyjętymi standardami mechanizmy jednokrotnego logowania do wielu różnych systemów, obejmujące obsługę wielu protokołów. Wdrożenie tego rozwiązania pozwala firmom bezpiecznie włączać partnerów biznesowych do portalu korporacyjnego lub ekstranetu, a zarazem zwiększać stopień zgodności z przepisami dotyczącymi bezpieczeństwa i poufności danych. COREid Federation pozwala firmom zarządzać współpracą z wieloma partnerami i obsługuje kilka standardowych protokołów federacji, a wszystko to w postaci samodzielnego produktu, który firmy mogą z łatwością udostępniać partnerom. COREid Federation zawiera gotowe mechanizmy integracji z wdrożoną u klienta infrastrukturą zarządzania tożsamością (zarówno produkcji Oracle, jak i innych producentów), dostarczając tym samym kompleksową obsługę użytkowników, obejmującą między innymi automatyczną rejestrację, odwzorowywanie tożsamości, płynną nawigację po mechanizmach kontroli dostępu i inne możliwości. Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 18

19 OracleAS Security Developer Tools Pakiet OracleAS Security Developer Tools dostarcza programistom podstawowe moduły elementarnych mechanizmów (na przykład bezpiecznych komunikatów), które mogą być wykorzystane przy tworzeniu bardziej złożonych projektów, takich jak np. bezpieczne implementacje architektury usługowej. Pakiet OracleAS Security Developer Tools udostępnia następujące mechanizmy obsługi federacji: Oracle SAML SDK interfejs API do OracleAS Security Developer Tool implementujący specyfikacje OASIS SAML 1.0 i 1.1. Interfejs ten stanowi element modułowej architektury OracleAS Security Developer Tools i wykorzystuje udostępniane przez pozostałe narzędzia funkcje kryptograficzne i przetwarzania danych XML. Oracle Liberty SDK implementacja specyfikacji Liberty ID-FF 1.1 i 1.2, umożliwiająca federacyjne jednokrotne logowanie do aplikacji innych producentów zgodnych ze standardami Liberty. Inne możliwości pakietu OracleAS Security Developer Tools są przedstawione w części poświęconej bezpieczeństwu usług internetowych. Wskazówki wdrożeniowe Oracle COREid Federation to lekkie rozwiązanie federacyjne, współpracujące z różnorodnymi repozytoriami użytkowników i usługami uwierzytelniającymi, pozwalające obsłużyć potrzeby zarówno dostawców usług, jak i dostawców tożsamości w konfiguracji federacyjnej. Typowe scenariusze wdrożenia to: Obsługa federacyjnych dostawców usług Oracle COREid Federation można zintegrować z istniejącym systemem kontroli dostępu w celu udostępnienia partnerom wymaganych aplikacji internetowych. Obsługa federacyjnych dostawców tożsamości Oracle COREid Federation można skonfigurować dla współpracy z wieloma różnymi repozytoriami tożsamości, w tym Oracle Internet Directory, Microsoft Active Directory, Sun Java System Directory, usługami katalogowymi dostępnymi przez LDAP (w tym Oracle Virtual Directory) i relacyjnymi bazami danych. W środowiskach silnie rozproszonych organizacyjnie lub geograficznie, COREid Federation można wdrożyć zarówno jako dostawcę usług, jak i tożsamości, dostarczając użytkownikom możliwość jednokrotnego logowania niezależnie od rozproszenia i różnorodności środowiska informatycznego. Klienci wymagający ścisłej integracji własnych aplikacji ze środowiskiem federacji mogą samodzielnie stworzyć odpowiednie mechanizmy korzystając z pakietu OracleAS Security Developer Tools. Kierunki rozwoju W przyszłych wersjach rozwiązań federacyjnych Oracle Identity Management w dalszym ciągu będzie rozwijana obsługa standardów i heterogenicznych środowisk aplikacji. Z konkretnych planowanych ulepszeń można wymienić: Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 19

20 Moduł centralny z obsługą wielu protokołów, w tym specyfikacji SAML 1.0, Liberty ID-FF i WS- Federation. Komponent ten będzie między innymi obsługiwać logowanie inicjowane przez IdP oraz jednokrotne wylogowanie, pozwalając klientom wykorzystywać mechanizmy federacji do sprawnego integrowania aplikacji, bez konieczności podlegania ograniczeniom poszczególnych protokołów czy standardów. Uproszczone wdrażanie i administrowanie dla narzędzi do dołączania i zamykania kont użytkowników, jak również narzędzia do masowej federacji i zaawansowanego administrowania przez Internet. SDK dla SAML 2.0 w języku Java. Obsługa federacji tożsamości oparta na integracji z Oracle Xellerate Identity Provisioning. USŁUGI KATALOGOWE Standardowe, oparte na protokole LDAP usługi katalogowe są kluczowym elementem strategii zarządzania tożsamością. Oracle dostarcza skalowalne rozwiązania katalogowe i integracyjne, pozwalające sprostać wymaganiom wdrożeń korporacyjnych i umożliwiające wykorzystanie przez inne produkty firmy Oracle. Istniejące możliwości Oracle Internet Directory Oracle Internet Directory to usługa katalogowa zgodna z protokołem LDAP V3, wykorzystująca mechanizmy skalowalności, wysokiej dostępności i bezpieczeństwa bazy danych Oracle. Jak widać na Rysunku 6, Oracle Internet Directory może służyć za centralne repozytorium rozwiązania Oracle Identity Management, upraszczając tym samym zarządzanie użytkownikami w środowisku aplikacji Oracle. Repozytorium Oracle Internet Directory może też pełnić funkcje skalowalnej, zgodnej ze standardami usługi katalogowej dla heterogenicznych systemów korporacyjnych. Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 20

21 Rysunek 6: Architektura Oracle Internet Directory Oracle Internet Directory to usługa katalogowa zgodna ze standardem LDAP V3, wyróżniająca się doskonałą skalowalnością i dostępnością. Wydajność, wysoka dostępność i bezpieczeństwo to tylko niektóre z wielu zalet Oracle Internet Directory. Serwer Oracle Internet Directory wykorzystuje architekturę opartą na wielu procesach i wielu instancjach, umożliwiającą sprawne skalowanie stosownie do liczby procesorów dostępnych na centralnym serwerze lub w węzłach klastra sprzętowego. Jest to jedyne tego typu rozwiązanie na rynku, wyraźnie odróżniające produkt Oracle od jednoprocesowych usług katalogowych. Oracle Internet Directory sprawdza się również doskonale w kwestii zarządzania danymi. Wraz z rozrostem populacji użytkowników coraz trudniejsze stają się zadania konfiguracji instalacji pilotażowych, szybkiego wdrażania nowych węzłów katalogów, tworzenia kopii zapasowych i bieżącego wykonywania masowych operacji konfigurowania tożsamości. Oracle Internet Directory wykorzystuje możliwości bazy danych Oracle do obsługi tworzenia kopii zapasowych bez zamykania bazy i równoległego ładowania danych. Dostępne są też specjalne narzędzia do zarządzania katalogiem, w tym wydajne, wielowątkowe aplikacje klienckie usprawniające proces bieżącego, masowego konfigurowania tożsamości. Oracle Internet Directory wykorzystuje wreszcie mechanizmy zabezpieczeń udostępniane przez bazę danych Oracle w celu zapewnienia bezpieczeństwa procesów obsługi katalogów i składów danych. Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 21

22 Usługi administrowania delegowanego Oracle Wchodzące w skład Oracle Internet Directory usługi administrowania delegowanego (DAS Delegated Administration Services) udostępniają użytkownikom i administratorom aplikacji mechanizmy zarządzania danymi w katalogach za pośrednictwem zaufanych serwerów proxy. Oracle DAS to zestaw gotowych modułów z obsługą dostępu z Internetu, osadzanych w interfejsach administracyjnych produktów Oracle, w tym Oracle Portal, Oracle Collaboration Suite, Oracle Database Security Manager i Oracle E-Business Suite. Wraz z Oracle Internet Directory dostarczana jest konsola samoobsługi DAS łatwa w obsłudze aplikacja internetowa oparta na architekturze usług administrowania delegowanego Oracle. Konsola ta pozwala użytkownikom i administratorom aplikacji wyszukiwać potrzebne dane w katalogu i zarządzać nimi, a dla administratorów instalacji Oracle Application Server stanowi metodę zarządzania użytkownikami w środowisku aplikacji Oracle. Oracle Directory Integration Platform umożliwia integrację Oracle Internet Directory z innymi repozytoriami. Directory Integration Platform W skład Oracle Internet Directory wchodzi również Oracle Directory Integration Platform platforma integracji pozwalająca klientom synchronizować dane składowane w różnych usługach katalogowych z Oracle Internet Directory. Dostępne w ramach rozwiązania Oracle mechanizmy synchronizacji katalogów pozwalają aplikacjom bazującym na Oracle Internet Directory korzystać również z danych o użytkownikach zapisywanych w innych katalogach i korporacyjnych repozytoriach użytkowników. Ta sama platforma może posłużyć do utworzenia korporacyjnego metakatalogu, stanowiącego centralny punkt dostępu i zarządzania dla wpisów fizycznie składowanych w kilku odrębnych katalogach oddziałowych lub aplikacyjnych. Wraz z oprogramowaniem Oracle Internet Directory dostarczane są gotowe agenty umożliwiające synchronizację z Oracle Human Resources i Oracle Database, jak również serwerami innych producentów obsługującymi protokół LDAP, na przykład Sun Java System Directory i Microsoft Active Directory. Oracle Virtual Directory Stworzenie bezpiecznego środowiska aplikacji często wymaga zintegrowania istniejących danych o tożsamości użytkowników, nierzadko rozproszonych w wielu lokalizacjach i usługach. Oprogramowanie Oracle Virtual Directory (wcześniej znane pod nazwą OctetString Virtual Directory Engine) pozwala stworzyć pojedynczy, dynamiczny punkt dostępu do takich źródeł danych z wykorzystaniem LDAP lub protokołów opartych na XML. Jest to możliwe dzięki dynamicznemu łączeniu danych pobieranych z różnych źródeł i udostępnianiu ich za pośrednictwem warstwy abstrakcji jako pojedynczego katalogu logicznego, bez konieczności osobnej synchronizacji czy też przenoszenia danych z pierwotnych lokalizacji. Oracle Virtual Directory może udostępniać aplikacjom wiele różnych widoków danych dotyczących tożsamości, składowanych na przykład w instancjach Oracle Internet Directory, Microsoft Active Directory i Sun Java Systems Directory. Możliwe jest również zabezpieczenie dostępu do danych w istniejących katalogach i maksymalizacja ich dostępności. Połączenie tych możliwości pozwala przyspieszyć wdrażanie aplikacji przy jednoczesnym ograniczeniu kosztów, gdyż eliminowana jest konieczność osobnej konsolidacji informacji o użytkownikach przed przystąpieniem do wdrożenia, jak również konieczność ciągłego adaptowania aplikacji do zmian w strukturze i liczbie używanych repozytoriów tożsamości. Rysunek 7 przedstawia schemat architektury Oracle Virtual Directory. Oracle Identity Management: możliwości i kierunki rozwoju produktów Strona 22