Сентябрь 2005
Тема номера: Oracle COREid и информационная безопасность
Введение в Oracle COREid Federation
(Introducing Oracle COREid Federation)
Источник: Белая книга (White Paper) Oracle, май 2005,
сайт корпорации Oracle, раздел Oracle Fusion Middleware,
http://www.oracle.com/products/middleware/identity-management/docs/wp_oracle_coreid-federation_25.pdf
Введение
Управление грядущей интеграцией – объединением отдельных независимых организаций – это часть большого сдвига к бизнес-процессам, основанным на Web. Интегрированная (federated) идентификация позволяет пользователям получать преимущества от доверия между партнерами и достигает критической массы среди многих больших операторов порталов. Благодаря интегрированной идентификации объединение бизнес-процессов становится более простым, дешевым и безопасным.
COREID FEDERATION
Для компаний, которые хотят интегрировать приложения сторонних фирм или внешние приложения в свои порталы Oracle COREid Federation – это сервер интегрированной идентификации, который обеспечивает однократное предъявление пароля приложениям внешних организаций. Благодаря COREid Federation:
- Администраторам портала не придется поддерживать копии пользовательских данных на каждом партнерском сайте, что позволяет снизить стоимость администрирования и повысить соответствие правилам секретности.
- Пользователям портала не придется помнить идентификаторы и пароли для приложений на партнерских сайтах, результатом чего является облегчение работы и повышение безопасности.
Порталы и интегрированная идентификация
|
COREid Federation спроектирована для поддержания различных стандартов интегрированной идентификации, таких как SAML и WS-Federation.
|
Чтобы понять, почему компании обращают внимание на интегрированную идентификацию в своих порталах, рассмотрим следующий сценарий: корпорации Acme и Beta являются доверенными деловыми партнерами. Acme – национальный дистрибьютор деталей для компьютеров, а Beta – производитель компьютеров, выпускающий детали, которые Acme перепродает. Beta имеет несколько инвентарных и производственных приложений на своем портале и хочет, чтобы сотрудники Acme имели доступ к этим приложениям, что позволит Acme работать более эффективно. Используя общую терминологию интеграции можно сказать, что корпорация Acme является поставщиком идентификации – она владеет и управляет информацией об идентификации, а Beta является поставщиком приложения – она разрешает доступ и обслуживает приложения.
Без COREid Federation корпорация Beta должна управлять правами, профилями и регистрационным именем каждого сотрудника Acme, который имеет доступ к приложениям Beta. Если сотрудник Acme увольняется и корпорации Beta об этом не сообщается, то этот бывший сотрудник продолжает иметь доступ к приложениям Beta. Напротив, с использованием COREid Federation, бывшие пользователи Acme автоматически блокируются в системах Beta, как только эти пользователи уходят из корпорации Acme.
COREid Federation спроектирована для поддержания различных стандартов интегрированной идентификации, таких как SAML и WS-Federation. Используя COREid Federation для доступа пользователей к партнерским приложениям, клиенты Oracle могут избежать головной боли, связанной с поддержанием развивающихся стандартов. COREid Federation работает как доверенный интегрированный посредник, переводящий идентификационную информацию из одного стандарта в следующий, в зависимости от приложения, к которому пользователь хочет получить доступ.
ОБЩИЙ СЦЕНАРИЙ
|
Когда поставщик идентификации делает неактивной одну из пользовательских учетных записей, этот пользователь немедленно блокируется в приложении поставщика сервиса.
|
COREid Federation обычно используется внутри портала, чтобы пользователи портала могли иметь доступ к внешним приложениям без дополнительной регистрации. Давайте поближе посмотрим на наших двух деловых партнеров Acme и Beta.
Acme имеет покупательский портал для поддержки своих 10,000+ технических покупателей. Эти покупатели заходят в портал, управляют своими профилями, меняют уровни обслуживания, заказывают новые продукты и т.д.
Одной из опций, доступных этим пользователям порталов, является база данных технических спецификаций для всех продуктов, продаваемых Acme и ее партнерами. Эта база данных располагается и управляется корпорацией Beta, производителем, доступ в нее ограничен в соответствии с соглашениями обслуживания с компаньонами Beta, например, Acme. Когда пользователи Acme заходят в портал и щелкают по связи “Технические спецификации”, поисковое приложение базы данных корпорации Beta обслуживается через портал Acme. Пользователям Acme не приходится управлять отдельным идентификатором пользователя и паролем в среде Beta, а компаниям не приходится синхронизировать пароли, идентификаторы или профили. Когда Acme делает неактивной одну из пользовательских учетных записей, этот пользователь немедленно автоматически блокируется в приложениях Beta. Результатом этого является высокая безопасность для корпорации Beta и удобство для покупателей Acme, и все это – при низкой стоимости администрирования.
КАК ЭТО РАБОТАЕТ
COREid Federation работает в обеих корпорациях прозрачным образом, управляя интегрированной идентификацией, необходимой для того, чтобы сделать возможным вышеописанный сценарий. В рассмотренном выше примере, Acme и Beta используют SAML (Security Assertion Markup Language - Язык Разметки Секретных Утверждений), чтобы разделять данные об идентификации между двумя средами. Вот как этот процесс работает:
|
Результатом является высокая безопасность для поставщика приложения и удобство для покупателей поставщика идентификации, все - при низкой стоимости администрирования.
|
Шаг 1: Пользователь Acme входит в покупательский портал Acme
Пользователь предоставляет идентификатор и пароль для проверки по мандатам (credentials), хранимым в пользовательском репозитории Acme. После успешной идентификации приложение портала помещает жетон (cookie) сессии в пользовательский браузер.
Шаг 2: Пользователь щелкает по связи “Технические спецификации”
Сервер Acme COREid Federation строит утверждение, основанное на профиле сайта назначения (Beta). COREid Federation выбирает из пользовательского репозитория Acme все необходимые данные об идентификации, которые нужно послать Beta, строит утверждение, подписывает его и посылает на сервер COREid Federation корпорации Beta.
Шаг 3: Beta получает SAML утверждение
Собственный сервер COREid Federation компании Beta получает SAML-утверждение, переданное от Acme. COREid Federation извлекает информацию об идентификации пользователя, чтобы проверить, что это утверждение было подписано Acme и что пользователь был признан действительным пользователем портала Acme. Поскольку между фирмами существуют доверительные отношения, Beta принимает идентификацию Acme, отображает пользователей Acme в локальных пользователей Beta (используя роль, электронную почту или другую информацию из утверждения), проверяет доступ к запрашиваемому ресурсу, используя систему контроля доступа Beta, и, указав правильную идентификацию, перенаправляет пользовательский браузер к поисковому приложению технических спецификаций.
Шаг 4: Пользователи Acme видят приложение в своем браузере
Поскольку приложение Beta принимает SAML утверждение от Acme, оно рассматривает пользовательскую идентификацию как правильную, размещает собственные жетоны в пользовательском браузере и обслуживает приложение. Пользователь теперь может перемещаться между приложениями в обоих доменах и обращаться к любым ресурсам, на которые у него есть действительные права доступа, без дополнительной регистрации.
Важнейшие особенности
COREid Federation принес на рынок несколько основных возможностей интегрированной идентификации:
- самостоятельный, готовый к запуску проект.
COREid Federation – это единственный промышленный сервер интегрированной идентификации, полностью самодостаточный и готовый к запуску out-of-the-box (непосредственно “из коробки”). В качестве альтернативы можно использовать либо инструментальные средства разработки, которые требуют пользовательского кодирования, либо дополнительные модули для идентификации машин, которые требуют от каждого делового партнера реализации полного IdM решения, чтобы начать работать.
- пакетирован для передачи партнерам.
COREid Federation – это единственный интегрированный сервер, который спроектирован и пакетирован специально для передачи деловым партнерам, являющимся поставщиками идентификации. Установить его и работать с ним просто, также можно предварительно настроить его перед передачей партнеру. Oracle COREid Federation не требует, чтобы партнер имел для начала какую-нибудь систему управления идентификацией сверх репозитория идентификации, такого как Oracle RDBMS или LDAP каталога, такого как Microsoft Active Directory.
- испытан в промышленной эксплуатации.
Компания Southwest Airlines и ее авиационные производители уже развернули SSO между компаниями, используя функциональность Oracle SAML. Другие клиенты Oracle также используют COREid Federation, чтобы обеспечить прозрачную интеграцию с деловыми партнерами и внешними источниками.
- поддержка различных стандартов.
Будут создаваться модели новых стандартов. COREid Federation спроектирован так, чтобы поддерживать в соответствии с требованиями рынка различные протоколы интеграции, включая WS-Federation, Liberty и другие.
- возможность взаимодействия с различными поставщиками.
COREid Federation может взаимодействовать с SAML-совместимыми продуктами от других поставщиков, отличных от Oracle. Это часто необходимо при работе с различными компаниями.
- дополнительные возможности.
COREid Federation предоставляет несколько дополнительных полезных возможностей сверх спецификации протокола:
- SmartMarks™.
Закладки для защиты Web-страниц могут вызвать проблемы в интегрированном режиме. Когда пользователь пытается обратиться к заложенной странице с истекшими жетонами сессии, Oracle SmartMarks перенаправляет его в корректный домен для идентификации.
- SmartWalls™.
Oracle SmartWalls может ограничить утверждения от одного домена о другом домене. Например, по соображениям безопасности концентратор может не допустить отправки партнером А идентификационного утверждения о пользователе партнера В.
- SmartMaps™.
Интеграция обычно включает отображение пользовательской идентификации одной компании в соответствующую идентификацию другой компании. Oracle SmartMaps предоставляет механизм для отображения входящих пользователей в локальный ID и для запуска технологического процесса, если такой локальный ID не существует. SmartMaps может также использоваться для обновления изменившейся информации о пользователе.
ПЕРСПЕКТИВЫ
В настоящее время COREid Federation поддерживает SSO между компаниями только через SAML. Однако COREid Federation спроектирован так, чтобы поддерживать другие инициативы интеграции идентификации, такие как WS-Federation и Liberty Alliance. Oracle работает над дополнительными модулями для этих стандартов в дополнение к существующему механизму SAML. Когда к COREid Federation будут добавлены новые модули, он станет единым шлюзом от портала одной компании к приложениям различных деловых партнеров, вне зависимости от того, какой протокол использует каждый партнер.
Например, в случае с рассмотренными выше корпорациями Acme и Beta, через некоторое время Acme может также интегрировать приложения с корпорациями Gamma и Delta, в то время как Beta требует только SAML для поддержки идентификации для доступа к своим приложениям, Gamma может использовать WS-Federation, а Delta пользоваться Liberty. Преимущество COREid Federation для всех этих компаний заключается в том, что один сервер будет обрабатывать различные методы для SSO через домены. Таким образом, COREid Federation сервер будет использовать SAML для общения с Beta, WS-Federation для общения с Gamma и Liberty для общения с Delta. Acme не придется устанавливать различные продукты для обработки различных стандартов. В то же время, поскольку продукты других поставщиков поддерживают каждый из этих стандартов, нет необходимости иметь COREid Federation на каждом сайте. Продукты других поставщиков, совместимые со стандартом SAML, могут взаимодействовать в настоящее время с COREid Federation.
ЗАКЛЮЧЕНИЕ
С появлением COREid Federation, Oracle предоставляет теперь самостоятельный сервер интеграции, пакетированный для легкого распространения, который помогает большим корпорациям безопасно связывать своих деловых партнеров со своими корпоративными порталами или с экстранет (extranet). Платформа позволяет партнерам разделять пользовательскую идентификацию и секретную информацию между различными независимыми организациями без необходимости копирования идентификационных профилей на каждый сервер. Предприятия могут расширять интеграцию со своими клиентами и деловыми партнерами, также повышая свое соответствие правилам секретности и безопасности.
Introducing COREid Federation
May 2005
Author: Rick Caccia
Contributing Authors: Beth Styles
Oracle Corporation
World Headquarters
500 Oracle Parkway
Redwood Shores, CA 94065
U.S.A.
Worldwide Inquiries:
Phone: +1.650.506.7000
Fax: +1.650.506.7200
oracle.com
Copyright © 2005, Oracle. All rights reserved.
This document is provided for information purposes only and the
contents hereof are subject to change without notice.
This document is not warranted to be error-free, nor subject to any
other warranties or conditions, whether expressed orally or implied
in law, including implied warranties and conditions of merchantability
or fitness for a particular purpose. We specifically disclaim any
liability with respect to this document and no contractual obligations
are formed either directly or indirectly by this document. This document
may not be reproduced or transmitted in any form or by any means,
electronic or mechanical, for any purpose, without our prior written permission.
Oracle, JD Edwards, and PeopleSoft are registered trademarks of
Oracle Corporation and/or its affiliates. Other names may be trademarks
of their respective owners.
|
