technologie Microsoft a sprawa Oracle



Podobne dokumenty
Zarządzanie dostępem i tożsamością (Id&AM)

Serwery LDAP w środowisku produktów w Oracle

11. Autoryzacja użytkowników

Wyjaśnienia treści Specyfikacji Istotnych Warunków Zamówienia

Szczegółowy opis przedmiotu zamówienia

Identity Management w Red Hat Enterprise Portal Platform. Bolesław Dawidowicz

Microsoft Exchange Server 2013

Systemy obiegu informacji i Protokół SWAP "CC"

Zarządzanie tożsamością i uprawnieniami

Wprowadzenie do Active Directory. Udostępnianie katalogów

DOTYCZY KLIENTA PKO BIURO OBSŁUGI LEASING ZAPYTANIE O INFORMACJĘ OTYCZY: DOSTAWY PLATFORMY ELEKTRONICZNE DLA PKO

Wykład I. Wprowadzenie do baz danych

Zarządzanie tożsamością - wprowadzenie do problemu

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

System kontroli kosztów oraz dostępu do urządzeń

OPIS i SPECYFIKACJA TECHNICZNA

EXSO-CORE - specyfikacja

Instalacja SQL Server Express. Logowanie na stronie Microsoftu

Enterprise SSO IBM Corporation

Praca w sieci z serwerem

Możliwość dodawania modułów pozwala na dopasowanie oprogramowania do procesów biznesowych w firmie.

OFFICE ADFS - POŁĄCZENIE KORZYŚCI ROZWIĄZAŃ CHMUROWYCH I CENTRALNEGO ZARZĄDZANIA

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Wprowadzenie do sieciowych systemów operacyjnych. Moduł 1

nr sprawy: BZP ML Wrocław, dn. 20 lutego 2014 r. SPROSTOWANIE DO INFORMACJI DLA WYKONAWCÓW NR 13

NIEZBĘDNE JEST POŁĄCZENIE Z INTERNETEM!!!

Zmiana treści Specyfikacji Istotnych Warunków Zamówienia.

Jak efektywnie i bezpiecznie zarządzać toŝsamością uŝytkowników przy jednoczesnym ułatwieniu korzystania z systemów i aplikacji IBM Corporation

Storware KODO. Zaawansowana platforma do zarządzania i zabezpieczenia danych na urządzeniach mobilnych STORWARE.EU

Integral over IP. Integral over IP. SCHRACK SECONET POLSKA K.Kunecki FIRE ALARM

Usługi analityczne budowa kostki analitycznej Część pierwsza.

Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

Instalacja SQL Server Konfiguracja SQL Server Logowanie - opcje SQL Server Management Studio. Microsoft Access Oracle Sybase DB2 MySQL

Szczegółowa specyfikacja funkcjonalności zamawianego oprogramowania.

ZARZĄDZANIE DOKUMENTACJĄ. Tomasz Jarmuszczak PCC Polska

William R. Stanek. Vademecum Administratora 2012 R2. Windows Server. Podstawy i konfiguracja. Przekład: Leszek Biolik

ActiveXperts SMS Messaging Server

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym

Nazwa usługi. Usługa nie obejmuje: Telefonii VOIP telefonii PSTN Stanowiska pracy nie związanego z IT (akcesoria biurowe)

Szkolenie autoryzowane. MS Administracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

RODO a programy Matsol

ZAŁĄCZNIK NR 3 OPIS PRZEDMIOTU ZAMÓWIENIA DOTYCZĄCY WDROŻENIA PLATFORMY ZAKUPOWEJ

Win Admin Replikator Instrukcja Obsługi

SHAREPOINT SHAREPOINT QM SHAREPOINT DESINGER SHAREPOINT SERWER. Opr. Barbara Gałkowska

pasja-informatyki.pl

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Active Directory

SYSTEM WSMS ZARZĄDZANIE STANDARDEM STACJI ROBOCZYCH. tel: +48 (032)

Win Admin Replikator Instrukcja Obsługi

Zimbra Collaboration Suite sposób na efektywną komunikację w biznesie

Zarządzaj projektami efektywnie i na wysokim poziomie. Enovatio Projects SYSTEM ZARZĄDZANIA PROJEKTAMI

Gemini Cloud Project Case Study

Egzamin : administrowanie systemem Windows Server 2012 R2 / Charlie Russel. Warszawa, Spis treści

Szkolenie autoryzowane. MS Konfigurowanie Windows 8. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Tomasz Grześ. Systemy zarządzania treścią

Profesjonalne Zarządzanie Drukiem

Procesowa specyfikacja systemów IT

Opis przedmiotu zamówienia w postępowaniu na usługę udostępniania/świadczenia poczty elektronicznej on-line (z aplikacją kalendarza).

Problemy optymalizacji, rozbudowy i integracji systemu Edu wspomagającego e-nauczanie i e-uczenie się w PJWSTK

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

Baza danych. Modele danych

Podział obowiązków, a kontrola dostępu centralne zarządzanie użytkownikami i ich uprawnieniami.

System Comarch OPT!MA v. 17.1

dziennik Instrukcja obsługi

Instrukcja obsługi xserver

Ekspert MS SQL Server Oferta nr 00/08

Serock warsztaty epuap 28 październik 2009 r. Sławomir Chyliński Andrzej Nowicki WOI-TBD Szczecin

Aby rozpocząć proces instalacji programu Alians ewindykator uruchom pakiet instalatora: ewindykator_instalator.msi.

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

2012 Provider Sp. z o.o. ul. Legnicka 62, Wrocław. tel./faks:

Sage ACT! Twój CRM! Zdobywaj, zarządzaj, zarabiaj! Zdobywaj nowych Klientów! Zarządzaj relacjami z Klientem! Zarabiaj więcej!

SiR_13 Systemy SCADA: sterowanie nadrzędne; wizualizacja procesów. MES - Manufacturing Execution System System Realizacji Produkcji

System Kancelaris. Zdalny dostęp do danych

WEBCON BPS Instalacja Standalone

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego

B2B by CTI. Lista funkcjonalności

Zasady współpracy programu Doradca Handlowy z Symfonią

InPro BMS InPro BMS SIEMENS

Podstawowe pakiety komputerowe wykorzystywane w zarządzaniu przedsiębiorstwem. dr Jakub Boratyński. pok. A38

Oferta szkoleniowa Yosi.pl 2012/2013

Korzystanie z edytora zasad grupy do zarządzania zasadami komputera lokalnego w systemie Windows XP

Zmiana treści Specyfikacji Istotnych Warunków Zamówienia.

WorkingDoc CostControl: Precyzyjna kontrola kosztów wydruku na urządzeniach Grupy Ricoh

REFERAT O PRACY DYPLOMOWEJ

Jednolite zarządzanie użytkownikami systemów Windows i Linux

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

1.2 Prawa dostępu - Role

Premiera Exchange 2010

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

Załącznik nr 1 do pisma znak..- BPSP MMK/13 z dnia 20 sierpnia 2013r.

Storware KODO. One KODO to protect them all STORWARE.EU

Opis komunikacji na potrzeby integracji z systemem klienta (12 kwiecień, 2007)

HP Service Anywhere Uproszczenie zarządzania usługami IT

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Tomasz Greszata - Koszalin

OPROGRAMOWANIE KEMAS zbudowane jest na platformie KEMAS NET

CRM VISION FUNKCJE SYSTEMU

Przewodnik technologii ActivCard

Odpowiedź II wyjaśnienie na zapytania do Specyfikacji Istotnych Warunków Zamówienia.

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Transkrypt:

Zarządzanie tożsamo samością technologie Microsoft a sprawa Oracle Tomasz Onyszko Consultant II Microsoft Services Warszawa, 31 maj 2006

Agenda Zarządzanie tożsamo samością i dostępem technologie Microsoft MIIS 2003 platforma budowy rozwiąza zań IdM MIIS 2003 a sprawa Oracle przykłady użyciau

Zarządzanie tożsamo samością Co to jest? Usługi Katalogowe Repozytoria przechowujące ce informacje o tożsamo samościach i uwierzytelnienia oraz uprawnienia Access Management Identity Lifecycle Management Zestaw technologii i procedur Procesy weryfikacji uwierzytelnień,, kontroli dostępu do zasobów w (w tym przyznawania i odbierania dostępu) zgodnie z uprawnieniami stosownymi do roli umożliwiający efektywne zarządzanie cyklem życia tożsamości Procesy tworzenia, usuwania, modyfikacji ustawień kont, zarządzania zmianami stanu i informacji o tożsamo samości oraz uprawnieniami.

Cykl życia elektronicznej tożsamości Usunięcie - Kasowanie/Blokada Kont - Usunięcie/Blokada Praw Synchronizacja - Wszelkie czynności wykonywane w wielu repozytoriach informacji/systemach Raportowanie - Audyt/log zmian - Stan historyczny Hasła - Silne hasła - Zagubione hasła - Reset haseł Nowy użytkownik - Utworzenie konta - Utworzenie uwierzytelnienia - Nadanie Praw Zmiany Konta - Awanse - Transfery - Nowe Prawa - Zmiany atrybutów

Metakatalog Usługa synchronizacji: Automatyzacja zarządzania życiem obiektów (provisioning\deprovisioning) Przepływ danych pomiędzy katalogami Przechowuje informacje o relacjach pomiędzy obiektami odpowiadającym tej samej tożsamości, które znajdują się w różnych katalogach. Zapewnia: Spójne dane w zintegrowanych katalogach Określony właściciel dla zbioru danych np. katalog będący autorytatywnym źródłem atrybutu Podstawowe informacje replikowane do wszystkich katalogów Wzbogacone, aktualne dane

Podstawowe procesy Provisioning Automatyczne tworzenie obiektów w repozytoriach połączonych za pomocą metakatalogu (bazujący na informacji z autorytatywnych źródeł np. HR) Reguły definiują w których repozytoriach obiekty powinny być tworzone a w jakich nie Konta tworzone z uwzględnieniem reguł nazewnictwa i bezpieczeństwa

Podstawowe procesy Provisioning c.d. Nie tylko tworzenie kont Dodatkowe elementy Tworzenie unikalnego loginu i innych atrybutów, zgodnie z zadanymi konwencjami nazewnictwa Przypisanie do odpowiednich ról / grup / kontenerów zgodnie ze stanowiskiem Ustawienie i przekazanie pierwszego hasła dostępowego Wysłanie wiadomości powitalnej Utworzenie katalogu domowego, ustawienie uprawnień, quoty, etc.

Podstawowe procesy Deprovisioning Proces blokady / usuwania konta gdy pracownik odchodzi z firmy W części katalogów konta powinny pozostać zablokowane z części powinny zostać usunięte, zgodnie z informacją w autorytatywnych źródłach (HR) Typowy scenariusz tzw. Timebomb scenario minimalizuje potencjalne efekty błędów ludzkich.

Rozwiązania Microsoft w zakresie Id&AM

Zarządzanie tożsamo samością i dostępem Przeszłość Teraz Przyszłość Aplikacje Integracja Połączone systemy Synchronizacja Nadmiarowość tożsamo samości Autoryzacja na poziomie aplikacji Synchronizacja Autoryzacja na Tożsamo samości federowane Federacja Autoryzacja nastawiona poziomie zasobów IT na użytkownika Kosztowne rozwiązanie Uproszczone zarządzanie Efektywne zarządzanie Jesteśmy tutaj

Rozwiązania zania Microsoft w zakresie Id&AM System Operacyjny Windows Server Usługi uwierzytelnienia oparte o Kerberos Wbudowana integracja z systemami UNIX (Windows 2003 R2) Rozszerzenie dostępu poprzez dodatkowe oprogramowanie (HIS) Metakatalog MIIS 2003 Usługa zapewniająca synchronizacje danych pomiędzy katalogami Provisioning\deprovisioning Synchronizacja haseł Federacja tożsamości Active Directory Federation Services (Windows 2003 R2) Federacja tożsamości pomiędzy różnymi platformami

MIIS 2003 LDAP LOB Apps NOS SQL Synchronizacja katalogów Łączy się z wieloma różnymi systemami Nie wymaga instalacji dodatkowego oprogramowania na integrowanych systemach agentless Automatyzacja zarządzania grupami / listami dystrybucyjnymi Zarządzanie hasłami Synchronizacja haseł Single hire/fire Identity Data

MIIS 2003 Cechy produktu Opiera się na technologiach Microsoft SQL Server 2000 Rozszerzenia pisane za pomocą Visual Studio.NET i języków kompilujących się do CLR Sterowany / monitorowany przez WMI Active Directory nie jest wymagane Proste wdrożenie Większość konfiguracji za pomocą interfejsu graficznego W złożonych przypadkach wykorzystanie VB.NET / C# Elastyczność Praktycznie każdy aspekt działania rozszerzalny Wykorzystanie prostych narzędzi

Integracja z pudełka AD/Exchange 2000/2003 ADAM SUN ONE Directory Server (iplanet) DB2 IBM Directory NT4 Exchange 5.5 Lotus Notes Novell edirectory RACF (OS/390) SAP R/3 (Beta) SQL Server Oracle 8/9 DSML 2.0 (XML) LDAP Directory Interchange Format (LDIF) Delimited Text Fixed-Width Text Attribute-Value Pair Text Extensible Management Agent (*) W dotychczasowych projektach między innymi: RSA ACE/Server Cisco Secure Access Control Server 3.1-3.3 RSA KEON Oracle Internet Directory SAP R/3 (*) Rozmaite systemy kadrowe, systemy zarządzania uprawnieniami Można zbudować konektor, gdy dostępne ODBC, OLEDB, jakiekolwiek API,.NET lub natywne Windows, lub aplikacja używa otwartych standardów. Pozwalają na budowę połączenia do właściwie każdego katalogu..

MIIS 2003 Mechanizmy działania ania MIIS 2003 działa w cyklach Czyta dane z połączonych katalogów Przelicza logikę przepływu danych (oraz provisioningu/deprovisioningu) definiowaną z GUI lub poprzez kod rozszerzeń Wylicza jakie zmiany powinny zostać wprowadzone do połączonych katalogów Eksportuje dane Każdy z tych kroków może być wykonywany różnicowo (przetwarzane tylko zmiany)

MIIS 2003 Podstawowe pojęcia MIIS MV CD CS MA Connected Data Source (CD) Źródło danych Katalog podlegający integracji Management Agent (MA) Agent Zarządzający Zapewnia fizyczną komunikację MIIS 2003 ze źródłami danych Connector Space (CS) Przestrzeń konektorowa Odwzorowanie struktury i danych katalogu w MIIS, bufor danych do odczytu i zapisu Metaverse (MV) Centralna składnica zagregowanej informacji o obiektach Obiekty MV spinają razem opisujące jedną tożsamość obiekty z przestrzeni konektorowych, umożliwiając przepływ danych

MIIS 2003 Podstawowe pojęcia SAP HR CSEntry MIIS 2003 Projekcja (Gdy utworzony obiekt MVEntry) Disconnector obiekt CSEntry bez odpowiadajacego MVEntry Active Directory Connector Obiekt CSEntry powiązyany z obiektem MVEntry Connector Space CSEntry CSEntry Connector Space Metaverse MVEntry Join (Gdy dla CSEntry Znaleziono odpowiadający MVEntry)

MIIS 2003 Działanie anie w oparciu o stan obiektów MIIS 2003 działa w oparciu o stan obiektów w danym momencie czasu Stan obiektów jest czytany w cyklu synchronizacji Brak monitorowania stanu obiektów w czasie rzeczywistym Zaleta: Odporność na błędy / utratę danych Nie trzeba działać w pełni transakcyjnie Nie wszystkie źródła danych są transakcyjne Olbrzymia łatwość odtwarzania Pozwala na łatwe przetworzenie / przeliczenie logiki dla istniejących danych Nie wysyła niepotrzebnych zmian Może być wyzwolony przez zmiany w danych

MIIS 2003 Zarządzanie hasłami ami Ustawienie hasła początkowego Centralne zarządzanie hasłem przez aplikację WWW Samodzielne ustawianie haseł Reset hasła helpdesk Łatwe tworzenie aplikacji do samoresetu \ resetu haseł (WWW_ Active Directory Aplikacja WWW Synchronizacja haseł (z AD do dowolnego systemu)

MIIS 2003 Zarządzanie hasłami ami jak to działa? a?

MIIS 2003 Dane historyczne MIIS 2003 nie dostarcza narzędzi do zapisywania danych historycznych Metaverse przedstawia stan obecny obiektu Rozwiązanie pozwalające na logowanie danych historycznych Historia zmian : Stworzone w polskim MCS Pozwala na logowanie danych o stanie systemu w każdym z podłączonych źródeł i metaverse Pozwala śledzić zmiany obiektu \ atrybutów obiektu w czasie, również z informacją o osobach wprowadzających zmiany Pozwala na przekształcenia wartości atrybutów przed zapisaniem do bazy Logowanie zmian na poziomie MIIS niezależne od źródła danych Oparte na bazie MS SQL 2000 i rozszerzeniach MIIS

MIIS 2003 Dane historyczne jak to działa? a?

MIIS 2003 Rozszerzenia własne w MCS Polska Usługa powiadomień - MailSender Realizowana poprzez agenta zarządzającego bazy danych Pozwala na planowanie powiadomień wysyłanych następnie przez zaplanowane zadanie Akcje odroczone Agent zarządzający bazy danych wraz z rozszerzeniami Pozwala na zaplanowanie akcji mających swój efekt w przyszłości Przykłady akcji odroczonych: Powiadomienie o zwolnieniu użytkownika Zwolnienie użytkownika w wyznaczonym dniu Zablokowanie kont w wyznaczonym dniu

MIIS 2003 współpraca z produktami Oracle

MIIS 2003 Baza danych Oracle jako źródło o danych Standardowy agent zarządzający Dostarczany wraz z MIIS 2003 z pudełka Wsparcie dla wersji 8/9 (dla wersji 10 niedługo) Wymaga oprogramowania klienta Oracle Zalecana wersja > 9.2.0.4 Wymagany komponent: Oracle OleDB Provider Pozwala na obsługę Pełnych i różnicowy cykli synchronizacji Synchronizacji haseł Uniwersalny agent baz danych (Extensible MA) Zbudowany w MCS Polska w oparciu o technologię Extensible MA Komunikacja z bazą danych poprzez Oracle OleDB Działa w oparciu o zdefiniowane szablony poleceń SQL

MIIS 2003 Baza danych Oracle jako źródło o danych Najczęstsze zastosowania Provisioning \ deprovisioning na rzecz aplikacji używających baz danych Oracle jako źródła informacji o użytkownikach Provisioning \ deprovisioning kont użytkowników Oracle Synchronizacja haseł pomiędzy Active Directory \ Oracle Samodzielny reset haseł użytkowników w bazie danych Oracle

DEMO Baza Oracle jako źródło danych w synchronizacji

MIIS 2003 Zarządzanie użytkownikami u i rolami Wymaganie: Zarządzanie dostępem do zasobów Oracle na podstawie ról biznesowych Rola użytkownika definiuje wymagania Wymagania przekładają się na zestaw ról po stronie bazy danych Oracle Problem: duży nakład pracy na zarządzanie użytkownikami i rolami w Oracle Zastosowane rozwiązanie: Zarządzanie użytkownikami i rolami poprzez Extensible MA Provisioning \ deprovisioning kont użytkowników i ról Pełna automatyzacja zarządzania kontami i rolami w bazie danych Oracle Automatyczne generowanie unikalnych loginów użytkowników Wartość dodatkowa: wymuszenie poprawności danych nadmiarowe role przypisane użytkownikowi są usuwane przez MIIS

DEMO Zarządzanie użytkownikami bazy danych Oracle

MIIS 2003 Oracle Internet Directory (OID) Agent zarządzający zbudowany w oparciu o technologie Extensible MA Pozwala na import \ export danych z\do Oracle Internet Directory Działa w oparciu o zewnętrzne narzędzie i format LDIF Pozwala na synchronizację obiektów użytkowników, kontenerów Uwierzytelnienie w oparciu o Active Directory Użytkownicy i jednostki organizacyjne z AD synchronizowane są do OID jako obiekty inetorgperson i kontenery Przy odwołaniu użytkownika do OID następuje uwierzytelnienie w Active Directory (LDAP bind)

MIIS 2003 Oracle Internet Directory (OID)

MIIS 2003 i Oracle Najczęstsze problemy Zbudowanie jednoznacznego widoku danych po stronie bazy danych Oracle W szczególności zbudowanie widoku różnicowego Działania na styku baza danych Oracle \ sterownik Oracle OleDB Uwaga: wysokie uprawnienia wymagane Synchronizacja \ ustawienie haseł: Problem: zgodność polityki haseł pomiędzy Oracle i Active Directory Problem: brak znaków specjalnych (większości) w hasłach Oracle

MCS Polska Przykłady rozwiązań

1.Serwer baz danych Oracle jako źródło danych MCS Implementowaliśmy my MIIS do Systemy połączone \ rozszerzenia MIIS Zarządzanie pełnym cyklem życia tożsamości we wszystkich połączonych systemach Założenie konta Założenie skrzynki Generowanie hasła (powiadomienie SMS, e-mail) Zmiany loginów Zarządzanie grupami użytkowników w Active Directory Odwzorowanie grup AD w SUN ONE Zarządzanie certyfikatami użytkowników (RSA) Zarządzanie dostępem do urządzeń sieciowych (Cisco) Zarządzanie dostępem VPN Zarządzanie dostępem z\do Internetu Zarządzanie uprawnieniami w aplikacjach biznesowych (raportowanie, IFS) Synchronizacja haseł pomiędzy systemami Raportowanie zmian (własne rozwiązanie) Zarządzania folderami domowymi użytkowników Powiadomienia użytkowników

Podsumowanie

Podsumowując Dobre rozwiązanie zarządzania tożsamością podnosi bezpieczeństwo, zwiększa produktywność pracowników administratorów Helpdesku Typowy zakres projektu Automatyzacja czynności administracyjnych Tworzenie, Usuwanie, Zarządzanie Kontami Typowo: zarządzania kontami / uprawnieniami

Podsumowując MIIS 2003 Podstawowy produkt IdM z Microsoft Nie wymaga instalacji dodatkowego oprogramowania Wykorzystuje istniejące zasoby Prosty i łatwy we wdrożeniu Wysoko oceniany przez klientów Nie tylko MIIS Integracja z innymi produktami SSO na platformie HIS i Windows 2003 R2 (ADFS) MIIS w polskim oddziale Microsoft Duże doświadczenia we wdrożeniach Wartość dodana: wiele autorskich rozwiązań w zakresie połączeń z systemami i nowej funkcjonalności

Pytania???