Компания выпустила пакет решений для управления доступом пользователей
Хасан Ризви, вице-президент Oracle, представляет IAM Suite российским клиентам |
В основе любой системы защиты лежит принцип разделения полномочий пользователей. Однако для того, чтобы он работал, система контроля должна точно знать, какой пользователь к ней обращается (это процедура аутентификации) и к каким ресурсам он может иметь доступ (процедура авторизации). Кроме того, и ту и другую информацию нужно изменять, то есть осуществлять ее администрирование. Аутентификация, авторизация и администрирование — это и есть те самые пресловутые «три А», которые аналитики относят к числу перспективных направлений развития средств безопасности (некоторые добавляют еще аудит, но его не всегда нужно выделять из администрирования).
Корпорация Oracle некоторое время назад значительно усилила свои позиции на рынке 3А, купив несколько компаний, разрабатывающих соответствующие программные продукты, — Oblix, Thor Technologies и OctetString. Эти приобретения позволили Oracle сформировать полный набор решений 3А, причем для гетерогенных сред. Именно из таких решений состоит пакет Oracle Access & Identity Management Suite (AIM).
Основу пакета составляет система COREid Access & Identity, которая обеспечивает доступ легальных пользователей к базам данных, системам CRM и ERP и другим приложениям. Информация для аутентификации может быть взята из самых разнообразных источников: стандартных процедур проверки пароля, сертификатов X.509, различных Web-форм или сторонних приложений. Для установления прав доступа в продукте предусмотрены несколько методов: прямое присвоение, ролевое управление и правила назначения ролей. При этом в правилах могут учитываться, кроме имен и ролей, также поля LDAP-записей, IP-адрес компьютера и время подключения.
За взаимодействие с внешними системами идентификации в этом пакете отвечает система COREid Federation. С помощью продукта Oracle Virtual Directory можно организовать централизованный доступ в несколько LDAP-каталогов (сами LDAP-каталоги могут создаваться посредством Oracle Internet Directory). Для управления различными репозитариями идентификационной информации предназначен Xellerate Identity Provisioning. В этот же пакет входит инструмент защиты Web-сервисов Oracle Web Services Manager. Управление информацией о пользователях и их правах доступа осуществляется через Xellerate Identity Provisioning. С его помощью администратор может заводить новые учетные записи пользователей в различных системах, переносить их из одной системы в другую и назначать им права. В Xellerate, кроме имен, ролей и правил, используется более общий механизм бизнес-процессов, в рамках которого можно назначать роли динамически. Также Xellerate следит за репозитариями идентификаторов, из которых одни являются доверенными, а другие — целевыми. Из доверенных каталогов система распространяет информацию по целевым. Кроме того, в Xellerate предусмотрена возможность самообслуживания, когда сам пользователь, пройдя через определенный бизнес-процесс, может получить доступ к ресурсу.
Если же необходимо иметь единый LDAP-каталог, например для портала, а в компании уже внедрено несколько каталогов для различных отделов, то для централизованного доступа к персональным данным можно надстроить дополнительный уровень — виртуальный каталог. Внешнее приложение может обращаться к нему как к единой точке доступа к персональной информации, но сами данные могут физически храниться в самых разнообразных каталогах и приложениях. Именно для создания таких виртуальных каталогов и предназначен продукт Oracle Virtual Directory. Он скрывает от пользователей физическое место расположения данных, что упрощает их перенос и управление, но накладывает требование постоянного подключения со всеми репозитариями, из которых собирается единый каталог. В тех случаях когда сложно организовать постоянное подключение всех каталогов, для создания централизованного хранилища персональных данных требуется так называемый метакаталог, который обеспечивает репликацию данных из различных источников. В качестве метакаталога можно использовать дополнительный продукт Oracle Directory Integration Platform.
Пока все приложения пакета Oracle Access & Identity Management Suite являются независимыми, поскольку собраны из разных источников. Однако уже в следующем выпуске этого пакета планируется сделать единую консоль управления, унифицировать графические интерфейсы и интегрировать их в инфраструктуру программного обеспечения промежуточного слоя от Oracle. Этими продуктами также можно будет управлять из единой для Oracle системы управления Grid Control. К тому же новые приложения самой Oracle будут базироваться на этом наборе технологий управления идентификационной информацией. Продукты серии COREid станут в еще большей степени ориентированными на гетерогенную среду — будут поддерживать больше Web-сервисов, серверов приложений, операционных систем и каталогов. В целом же IAM Suite должен стать одним из базовых элементов инфраструктуры Oracle.