Компания КРОК - сертифицированный мастер-партнер Oracle (OCAP)

Халиуллин Рустам,
системный инженер,
компания КРОК

Интеграция продуктов Oracle в существующую сетевую инфраструктуру

Интеграция продуктов Oracle на всех уровнях, начиная от доступа к базам данных пользователей и заканчивая интеграцией различных приложений, позволяет строить единую информационную инфраструктуру всего предприятия. Решения Oracle находят применение и в крупных, и в небольших компаниях практически в любых отраслях.

У специалистов КРОК есть опыт как построения ИТ-инфраструктур и систем хранения и обработки данных на базе ПО Oracle с нуля (участие в проекте ГАС “Выборы”), так и интеграции продуктов и решений в уже существующие информационные системы (внедрение CRM-систем, автоматизация служб техподдержки с применением ПО Oracle).

Краеугольным камнем интеграции считается Oracle Identity Management, который обеспечивает информационную безопасность в системе, в том числе позволяет создавать профили пользователей и службы доступа к приложениям.

Oracle Identity Management – это инфраструктура сервисов управления идентификацией и аутентификацией корпоративных пользователей и ресурсов, которая способствуют централизации управления безопасностью в организации. При использовании Oracle Identity Management упрощается управление и усиливается защита систем, при одновременном снижении административных издержек и расширении возможностей конечных пользователей.

Oracle Identity Management это:

• интегрированный пакет функциональных средств управления каталогами, пользователями и обеспечения безопасности;
• интегрированная инфраструктура, которая обеспечивает распределенную систему безопасности в продуктах Oracle;
• возможность быстро развернуть продукты Oracle в организациях без затрат и сложностей, связанных с интеграцией разнородных систем;
• единая точка интеграции между средой Oracle и средствами других поставщиков, предназначенных для управления идентификацией корпоративных пользователей и ресурсов.

Всем продуктам Oracle, использующим сервисы однократной регистрации и централизованного управления пользователями, требуется для работы инфраструктура Oracle Identity Management. Если на предприятии уже есть ИТ-инфраструктура, отличная от Oracle Identity Management, можно развернуть продукты Oracle так, чтобы максимально использовать существующую инфраструктуру. Например, не обязательно модифицировать или создавать заново структуру каталогов, сложившиеся методы и политику управления пользователями, управление паролями и т.д. Интеграционные сервисы инфраструктуры Oracle Identity Management примут уже существующие организационные правила, без каких-либо усилий со стороны организации.

Oracle Identity Management включает в себя следующие компоненты:

• Oracle Internet Directory
• Oracle Directory Integration and Provisioning Platform
• Oracle Delegated Administration Services
• Oracle AS Single Sing-On
• Oracle AS Certificate Authority

Oracle Internet Directory – масштабируемая, надежная, совместимая со стандартом LDAP V3 служба каталога, реализованная на основе базы данных Oracle 9i Database Server. Все другие сервисы инфраструктуры Oracle Identity Management и сервисы защиты получают доступ к этому единственному описанию идентификационных данных пользователей, верительных данных, профилей и настроек. Такое централизованное управление не только облегчает администрирование, но и усиливает защиту приложений, имеющих доступ к этой инфраструктуре.

Возможности:

• гибкая политика паролей;
• частичное тиражирование;
• простая синхронизация данных каталога с таблицами базы данных;
• интеграция с каталогами других фирм, например, поддерживается решение для синхронизации с Windows Active Directory (продукт компании Microsoft, предназначенный для обеспечения управления, защиты, доступа и разработки компонентов сети). Это дает возможность пользователям применять единые верительные данные (идентификаторы пользователей и пароли) в средах Oracle и Windows;
• возможность синхронизации идентификационных данных пользователей
  с продуктами Oracle, например Oracle e-Business Suite Release 11i .

Oracle AS Single Sing-On – сервис однократной регистрации. Позволяет пользователям зарегистрироваться в сети организации один раз и не вводить идентификационные данные при входе в каждое приложение.

Возможности:

• Интегрированное управление идентификационными данными. Oracle AS Single Sing-On может получать идентификационные данные из одного или нескольких заслуживающих доверия источников аутентификации и передавать эти данные в среду Oracle AS.
• Многоуровневая аутентификация. Oracle AS Single Sing-On дает возможность пользователям устанавливать несколько механизмов аутентификации.

Oracle AS Certificate Authority дополняет спектр продуктов Oracle, связанных с инфраструктурой открытых ключей. Сервис дает пользователям возможность создавать цифровые сертификаты X.509v3 и управлять ими.

Oracle Delegated Administration Services – сервис делегированного администрирования. Позволяет делегировать административные функции различным группам администраторов.

Oracle Directory Integration and Provisioning Platform – позволяет производить:

• интеграцию с LDAP-каталогами других фирм (Windows Active Directory, Sun iPlanet) и других источников каталогов;
• интеграцию сервисов однократной регистрации, разработанных другими фирмами (Netegrity SiteMinder);
• интеграцию решений других фирм по управлению учетными записями пользователей.

Рассмотрим интеграцию Oracle e-Business Suit 11i в существующую сетевую инфраструктуру (для определенности возьмем Windows Active Directory). Данная задача подразделяется на две подзадачи: реализация Oracle Single Sing-On в Oracle e-Business Suit 11i и интеграция Oracle Identity Management с существующей инфраструктурой.

Это особенно актуально для предприятия, где уже существует развернутая сетевая инфраструктура на основе Windows Active Directory, с установившимися правилами и политикой безопасности. В Active Directory кроме идентификационной (учетные записи и пароли), хранится и другая информация о сотруднике (например: телефон, e-mail и т.д.), которая активно используется. От данной инфраструктуры зависят многие сервисы предприятия (бизнес приложения, почтовые сервисы, файловые и т.д.) И так как в организации происходит внедрение продуктов Oracle e-Business Suit 11i, то развертывание Oracle Identity Management и ее интеграция в существующую инфраструктуру, в данной ситуации, имеет ряд преимуществ:

• Oracle Identity Management можно сконфигурировать таким образом, чтобы все необходимые атрибуты из Windows Active Directory попадали бы в Oracle Internet Directory, предоставляя удобный способ использования дополнительных атрибутов, к которым пользователи уже привыкли. Мало того, если в эти атрибуты внести изменения в Oracle Internet Directory, то эти изменения могут отразиться обратно в Windows Active Directory.
• Атрибуты учетной записи, как и сама учетная запись, могут попасть из Oracle Internet Directory в Oracle e-Business Suit, и, если внести изменения в атрибуты в Oracle e-Business Suit, обратно в Oracle Internet Directory, а оттуда и в Windows Active Directory. Все зависит от потребности в доставке тех или иных изменений. Администратору достаточно завести учетную запись в Windows Active Directory, и она автоматически появится в Oracle Internet Directory, а затем и в Oracle e-Business Suit и будет далее автоматически синхронизироваться в зависимости от настроенных правил синхронизации.
• Реализация сервиса Oracle Single Sing-On, интегрированного в существующую сетевую инфраструктуру, позволяет пользователю пройти аутентификацию на основе учетной записи в Windows Active Directory. Т.е. если пользователь залогинился в домен Windows, а затем набрал URL-адрес для доступа в страничке Oracle e-Business Suit, то Oracle e-Business Suit перенаправит запрос пользователя в Oracle Single Sing-On для прохождения аутентификации. Oracle Single Sing-On проверит права данного пользователя и, в зависимости от результата, либо разрешит доступ и перенаправит запрос обратно в Oracle e-Business Suit, либо выдаст сообщение о запрете доступа к данной странице для данного пользователя. Тем самым пользователю нет нужды помнить пароли для доступа к каждой системе, достаточно знать один, для входа в домен Windows.

Все это так же справедливо и для других web-приложений основанных на технологиях Oracle. Таким образом, при развертывании других приложений Oracle общая стоимость владения Oracle Identity Management снижается благодаря использованию уже развернутой инфраструктуры. Само развертывание web-приложений Oracle происходит гораздо быстрее. При этом повышается уровень защиты приложений при одновременном снижении административных издержек и расширении возможностей конечных пользователей.