Одной из наиболее актуальных проблем построения и поддержки распределенных компьютерных систем остается сегодня эффективное и надежное управление идентификацией и доступом пользователей к ресурсам этих систем. Для решения такого рода задач корпорация Oracle (http://www.oracle.com) предлагает новое семейство продуктов — Oracle Identity and Access Management, которое выступает важнейшей составляющей комплекса связующего ПО Oracle Fusion Middleware. Эти средства обеспечивают предприятиям защиту корпоративной информации самого высокого уровня, в том числе и в соответствии с законодательством США. На прошедшем в Москве 6 апреля семинаре данный пакет ПО был впервые представлен в России вице-президентом корпорации Oracle по направлению Identity Management and Security products Хасаном Ризви.

Все семейство Oracle Identity and Access Management основано на отраслевых стандартах. Ключевой его компонент — Oracle COREid Access and Identity, комплексный набор сервисов централизованного управления доступом, однократной регистрации и управления профилями пользователей в гетерогенной среде приложений. В нем полностью реализован подход к защищенному доступу к ресурсам предприятия, известный как концепция 3А (аутентификация, авторизация, аудит). Пакет включает развитые средства авторизации и аудита действий и пользователей, и администраторов системы, может работать с широким набором LDAP-каталогов, серверов приложений, Web-серверов, серверов порталов и приложений, поставляемых ведущими производителями ПО. Централизованное управление учетными записями пользователей, политиками доступа и аудита существенно снижает риски несанкционированного доступа, особенно для организаций с большим количеством сотрудников и различных ресурсов. Система успешно используется в ряде крупных организаций c неоднородной инфраструктурой, таких, как British Airways, Coca-Cola, Boeing, General Motors, US Postal Service.

Photo

Средства автоматизации определения и исполнения процессов (workflow) используются для утверждения при регистрации пользователей, регистрации их в группах, передачи идентификационных данных во внешние системы (provisioning) и т. д. В то же время пользователи с помощью средств самообслуживания могут самостоятельно создавать свои учетные записи, а также изменять данные в них в рамках предоставленных им полномочий. Поддержка аутентификации пользователей и взаимодействия с внешними системами может быть организована с применением имен и паролей, цифровых сертификатов, смарт-карт, биометрии и т. д. Авторизация для группы приложений выполняется на основе однократной аутентификации (Single Sign-On, SSO).

Кроме того, в состав Oracle Identity and Access Management входят следующие программные компоненты.

Oracle Internet Directory (OID) обеспечивает реализацию протокола LDAP v.3. Данное решение опирается на высокую надежность и масштабируемость базы данных Oracle, служащей для хранения данных каталога. OID активно использует имеющиеся в Oracle Database возможности обработки больших объемов данных, поддержания одновременной работы большого числа пользователей, высокой готовности на основе Real Application Cluster.

Oracle Single Sign-On и Directory Integration Platform (DIP) включают поддержку механизма SSO и средств интеграции OID c LDAP-каталогами других поставщиков, а также с Oracle HRMS и Oracle Database.

Oracle Virtual Directory — это система, позволяющая создавать виртуальные LDAP-каталоги на основе LDAP или XML-представлений (view) для существующих на предприятии систем хранения учетных записей (различные типы LDAP-каталогов, баз данных и т. д.) без копирования или синхронизации записей в этих системах хранения. С ее помощью можно без дополнительных настроек связать объекты и записи из одного репозитория с одним или несколькими объектами в других репозиториях, поддерживая три типа объединения: простое (Simple Joiner), "один ко многим" (One-to-Many Joiner) и "теневое" (Shadow Joiner).

Oracle COREid Federation обеспечивает однократную междоменную регистрацию пользователей через многопротокольный шлюз. Поддерживает все стандарты федеративного доступа, включая SAML, Liberty ID-FF, WS-Federation.

Oracle Xellerate Identity Provisioning — система автоматизации управления учетными записями пользователей в различных целевых информационных системах предприятия, основанная на едином централизованном представлении учетных данных, распространении этой информации между различными корпоративными системами. Одно из самых мощных средств Xellerate — механизм согласования учетных данных (Identity Reconciliation Engine), позволяющий контролировать порядок доступа к ресурсам, находящимся под его управлением. Если Xellerate обнаруживает изменения в учетных записях или привилегиях пользователей, появившиеся в корпоративных системах «без его участия», то, в зависимости от настроек конфигурации, он может немедленно отменить эти изменения или уведомить администратора Xellerate. Это позволяет легко обнаружить незаконные и неиспользуемые учетные записи, существенно повышая уровень безопасности. Компонент Adapter Factory («фабрика адаптеров») продукта Xellerate предназначен для создания адаптеров к коммерческим системам и системам собственной разработки без дополнительного программирования.

Oracle Web Services Manager — комплексное решение для включения средств безопасности и управления на основе политик в существующие или вновь создаваемые Web-сервисы для развертывания решений сервис-ориентированной архитектуры (SOA). С помощью этого средства можно также собирать статистику о работе различных компонентов распределенных систем и представлять их в виде наглядных Web-панелей.

В целом продукты семейства Oracle Identity and Access Management обеспечивают предприятиям сохранение их инвестиций в существующую, часто неоднородную ИТ-инфраструктуру, поддерживают все отраслевые стандарты, обладают высокой степенью интеграции и гибкой системой настроек.