Недавно корпорация Oracle приобрела компанию Oblix, ведущего поставщика продуктов для управления идентификацией. Добавление продуктов Oblix значительно расширяет возможности объединенного набора продуктов. В этой статье вводится линейка продуктов Oblix и описываются точки интеграции с имеющимися продуктами Oracle и расширенным набором решений, которые теперь доступны как для имеющихся пользователей Oracle, так и для новых заказчиков. Мы описываем в общих чертах стратегию и особо подчеркиваем, как эти продукты будут развиваться в последующих выпусках. Наконец, мы делаем предположение, какие продукты будут подходящими в различных ситуациях. В этой статье представлены текущие планы по состоянию на июль 2005 года; конечно, с течением времени эти планы могут измениться.
В марте 2005 года корпорация Oracle приобрела компанию Oblix – ведущего производителя в области управления идентификацией. Компания Oblix предлагала три продукта:
Эти продукты, бывшие прежде продуктами Oblix, будут переименованы, поскольку они интегрированы в набор продуктов Oracle для управления идентификацией и средствами обеспечения безопасности:
В дополнение к этим продуктам Oblix, Oracle, конечно, уже предлагает множество продуктов для управления идентификацией (Identity Management). Поставляемые уже сегодня продукты Oracle Identity Management и Security включают в себя следующее: Oracle Internet Directory (OID), Single Sign-On OracleAS (SSO), Oracle Delegated Administration Services, Oracle Certificate Authority и Oracle Directory Integration and Provisioning.
В наборе продуктов Oracle IdM COREid и Oracle WSM представляют новые продукты, которые обеспечивают несколько ключевых преимуществ:
Открытость и модульность
Хотя COREid и Web Services Manager, если развернуть их вместе с другими компонентами Oracle, предлагают более исчерпывающее решение, они могут быть развернуты и как автономные продукты. В следующем разделе описывается полный диапазон продуктов, доступных к маю 2005 года.
ИНТЕГРИРОВАННЫЕ РЕШЕНИЯ ДЛЯ УПРАВЛЕНИЯ ИДЕНТИФИЕЙ
Это приобретение предоставило Oracle полное решение для управления идентификацией наряду с дополнительными опциями развертывания, значительно усилив нашу конкурентную позицию на рынке управления идентификацией по отношению к IBM, Sun, Microsoft и другим .
Сегодняшние решения, сфокусированные на Oracle IdM
Как показано ниже, продукты Oblix повышают эффективность сегодняшних решений Oracle Identity Management:
- Для клиентов OID – продукт COREid может быть использован для управления пользователями, группами и объектами в Oracle Internet Directory. Дополнительно, COREid Access может использоваться для обеспечения управления доступом, когда OID используется как репозиторий для политик и для данных пользователей.
- Для клиентов Oracle DAS – COREid приносит неограниченные уровни делегирования, делая возможной лучшую точность данных и административную масштабируемость. (Отметьте, что для некоторых приложений, а именно, для Oracle Portal, сегодня требуется DAS)
- Для клиентов OracleAS SSO – комбинация COREid и OracleAS SSO обеспечивает полную поддержку крупномасштабных сред с высоким уровнем требований к доступности. Имеющиеся крупные заказчики OracleAS SSO могут быть заинтересованы интеграцией с платформами от IBM, BEA, Microsoft и других фирм.
Oracle – сценарии интеграции с Oblix
Есть четыре области, где Oracle предложит объединенный набор продуктов Oracle-Oblix:
- Access Control and Single Sign-On (Контроль доступа и однократная подпись)
- Identity Administration (Администрирование идентификации)
- Account Provisioning (Инициирование учетных записей)
- Web Services Security and Management (Обеспечение безопасности и управление Web-сервисами)
Контроль доступа и однократная подпись
Корпорация Oracle продает продукты для централизованного и федеративного однократного представления системе (SSO) и управления доступом (Access Control). Эти продукты работают вместе с Oracle Internet Directory (OID), а также с сервером приложений Oracle. Для централизованных сценариев OracleAS Single Sign-On предлагает аутентификацию и доступ к приложениям Oracle и продуктам инфраструктуры. Продукт COREid Access and Identity предлагает аутентификацию и доступ к приложениям и инфраструктурам, не являющимся приложениями и инфраструктурами Oracle, а также сервисы авторизации для продуктов Oracle. Продукт COREid Access and Identity может использоваться вместе с OracleAS Single Sign-On многими способами.
Во-первых, для имеющихся клиентов Oracle продукт Oblix COREid Access and Identity дает поддержку авторизации на базе URL и управление доступом к системам и платформам, не являющимся системами и платформами Oracle. Во-вторых, для имеющихся клиентов Oblix Oracle SSO обеспечивает более тесную интеграцию с приложениями Oracle и функциями защиты, типа Windows Native Authentication, и глобальное управление сеансами.
Для сценариев с федерированием Oracle Secure Developer Tools (Защищенные инструментальные средства разработчика) предлагают кросс-доменный SSO по стандарту Liberty, причем к Oracle Federation Server добавляется более поздний выпуск – SAML 2.0. Продукт COREid Federation обеспечивает кросс-доменный SSO по стандарту SAML 1.0, 1.1 и стандарты WS-Federation.
<рисунок “Сервер приложений Oracle с IDM и WS-Federation”>
Сегодня развернутые вместе COREid Federation и Oracle Secure Developer Tools обеспечивают полное протоколльное объединительное (федеративное) решение. Решение COREid Federation может быть развернуто для обработки транзакций SAML 1.x, в то время как Oracle Secure Developer Tools обрабатывает запросы Liberty.
Администрирование идентификации
В Identity Administration обычно включается управление пользователями и группами, самообслуживание, делегированное администрирование и возможности автоматизации технологического процесса. Функциональные возможности входящего в Identity Administration продукта COREid будут доступны, как для сред Oracle, так и для других сред. Типичные функции управления пользователями в Identity Administration COREid позволяют системным администраторам:
- Выполнять все задачи конечного пользователя и менеджера/руководителя
- Создавать в массовом порядке идентификацию пользователей
- Создавать по запросу идентификацию пользователей
- Назначать индивидуальным пользователям роли и обязанности
- Самостоятельно регистрироваться пользователям, управлять своими собственными конфигурациями и изменять пароли
- Создавать группы пользователей, включая вложенные группы
- Предоставлять пользователям членство в группах
- Выполнять поиски, базирующиеся на пользователях и группы
Делегированное администрирование COREid позволяет системным администраторам определять неограниченный набор уровней делегирования, гарантируя, что управление профилями лежит на соответствующих менеджерах. Наконец, COREid Workflow дает возможность системным администраторам определить технологические процессы согласования для запросов на создание идентификации конечных пользователей, включая согласование, как за один шаг, так и многошаговые/последовательные согласования. К общим технологическим процессам относятся процессы для активизации, обновления и деактивации профилей пользователей.
Инициирование учетных записей
Кроме того, в дополнение к названным возможностям Identity Administration в этом выпуске изменились функциональные возможности Oracle по инициированию. COREid Provisioning объединяет администрирование идентификацией COREid и возможности автоматизации документооборота (workflow) с структурой инициализации и коннекторами платформы Oracle Directory Integration and Provisioning (DIP). Эти продукты могут быть немедленно использованы вместе, причем COREid Workflow управляет сбором данных профиля пользователя и вставкой этих данных в OID, а DIP управляет распространением пользовательских данных из OID в соответствующие целевые системы.
Важно отметить изменение в пакете COREid Provisioning. Ранее пакет Oblix COREid Provisioning объединял возможности автоматизации документооборота COREid с коннектором для продукта метакаталога Microsoft MIIS. Поддержка этой конфигурации продолжена для клиентов, которые хотят развернуть MIIS. Более того, в рамках этой архитектуры будут также поддержаны клиенты, использующие отличные от OID каталоги. Для новых клиентов, развертывающих инициализационное решение (provisioning solution), DIP обеспечит функциональные возможности, ранее предоставлявшиеся MIIS, плюс масштабируемость в масштабе предприятия.
Для развертывания предыдущего пакета COREid Provisioning ранее требовалось наличие COREid Identity, а новый пакет COREid Provisioning будет требовать, чтобы был развернут COREid Access and Identity. Используя DIP, COREid Provisioning добавляет функциональность инициализации учетной записи поверх COREid Access and Identity.
Интегрированная архитектура инициализации будет выглядеть следующим образом:
“Интегрированная архитектура инициализации (по шагам)”
В этой конструкции Oracle может поддерживать несколько общеупотребительных сценариев инициализации:
- Клиенты могут импортировать идентификационные параметры из приложения Oracle Human Resources в COREid
- Клиенты могут инициализировать пользователей и группы в приложениях Oracle, типа Oracle Portal
- Клиенты могут инициализировать пользователей и группы в разработанных на заказ приложениях
- Клиенты могут использовать COREid для управления пользователями и группами в каталогах LDAP и базах данных
В этом выпуске COREid Provisioning доступны следующие четыре встроенных коннектора идентификации:
- Коннектор к Microsoft Active Directory
- Коннектор к SunONE (iPlanet)
- Коннектор к Oracle Human Resources
- Общий коннектор к Identity Provisioning (вкл. SQL, PL/SQL, режимы File)
Обеспечение безопасности и управление Web-сервисами
Добавив Oblix COREsv, который теперь называется менеджером Web-сервисов Oracle (Oracle Web Services Manager – WSM), Oracle предоставляет продукт для управления доступом к Web-сервисам, выполняющимся для инфраструктур Oracle и прочих инфраструктур. Oracle WSM работает в инфраструктуре сервера приложений Oracle, а также и на других платформах серверов приложений. Oracle WSM привносит в новые и имеющиеся Web-сервисы поддержку WS-Security и обеспечивает функции управления, типа автоматического преодоления последствий сбоев, что повышает доступность сервисов. Oracle WSM может быть использован с продуктами Web-сервисов для других платформ, типа BPEL, чтобы обеспечить естественное безопасное управление процессами на конкретной прикладной платформе.
Дальнейшие направления интеграции
Доступные сегодня продукты могут быть развернуты “как есть”, но Oracle планирует их дальнейшую интеграцию на долгую перспективу, что увеличивает их ценность для заказчиков. В частности, в следующем году развитие продуктов пойдет следующим образом:
Access Control и Single Sign-On
Продукты COREid Access and Identity и Single Sign-On OracleAS будут интегрированы еще далее, чтобы можно было выполнять аутентификацию и авторизацию, как для продуктов Oracle, так и для других продуктов. Эти два продукта превратятся в единый сервер управления доступом, который будет сильно интегрирован с платформой Oracle, но в то же время сможет поддерживать Web-инфраструктуры третьих фирм. В OracleAS 11g будут введены дополнительные функциональные возможности управления доступом для аутентификации и авторизации на базе политик. Агенты доступа (Access Agents) для Web-серверов и серверов приложений продолжат обеспечивать точки форсирования, как для политик аутентификации, так и для политик авторизации.
К преимуществам такой интегрированной архитектуры следует отнести улучшенные функциональные возможности защиты, а также поддержку, как сред Oracle, так и прочих сред, и все это – на базе апробированного в промышленных условиях кода.
Продукты COREid Federation и Oracle Federation Server сольются в объединенную связку продуктов, которая в рамках единой инсталляции сервера будет поддерживать все главные протоколы федеративного SSO (SAML 1.x, 2.0, Liberty и WS-Federation). Клиенты могут использовать самый подходящий для каждого случая применения бизнес-технологии объединенный протокол. Эти продукты обеспечивают, как опции автономного интегрирования, так и опции интегрированного с OracleAS развертывания.
За счет комбинирования упрощенного пакетирования COREid Federation с изощренной обработкой Liberty/SAML 2.0 из Oracle Federation и OracleAS, Oracle может удовлетворить объединеным (федеративным) решением требования крупного предприятия, наравне с удовлетворением требований деловых партнеров предприятий малого и среднего размеров. Подобная гибкость с легкостью поддерживает парадигму “ступица и спицы” (hub and spoke), используя богатые возможность интегрированного стека Oracle IdM выступать в роли концентратора для облегченных автономных развертываний COREid Federation, которые исполнит роль различных спиц.
Администрирование иденификации и инициализация
Oracle предложит полностью интегрированный продукт – Oracle Identity Provisioning – в который войдет
- новая Provisioning Console с возможностями графического конфигурирования технологического процесса и коннектора, в дополнение к администрированию и самообслуживанию пользователей
- богатый и расширяемый Provisioning Server (Framework), куда встроены возможности Provisioning Workflow, Policy Management, RBAC, BPEL, SPML и Web-сервисов, и
- расширенный список Identity Connectors для интеграции и инициализации как с Oracle, так и с целевыми системами от третьих фирм – каталогами, базами данных, операционными системами и приложениями – пакетированными приложениями масштаба предприятия, а также заказными приложениями.
“Дорожная карта интегрированной инициализации”
Защита Web-сервисов и управление ими
В Oracle WSM будет продолжена поддержка сервера приложений Oracle, и будут поддерживаться все главные компоненты Web-сервисов для платформы OracleAS после проведения в ближайшее время ее интеграции с BPEL и OC4J.
Произойдет развитие Oracle WSM, чтобы он мог поддерживать многие продукты Oracle, включая приложения из eBusiness Suite. Результатом этого развития будут защищенное форсирование политики и аудит, присущие всем продуктам Oracle.
ОБЯЗАТЕЛЬСТВА ЗАКАЗЧИКАМ ПО ПОДДЕРЖКЕ ПРОДУКТА
Oracle постоянно работает над созданием нового поколения интегрированных продуктов. В то же время мы обязуемся непрерывно поддерживать обе продуктовые линии. По мере того, как становятся доступными обновленнные продуктов, они предлагаются нашим заказчикам, чтобы обеспечить им безболезненный переход от имеющихся у них версий.
Какие продукты рекомендуется развертывать сегодня
Контроль доступа и однократная подпись (Access Control и SSO)
Для существующих заказчиков Oracle или для тех, кто только присматривается (экспертиза) к Oracle:
- Присмотритесь к Single Sign-On OracleAS + COREid Access and Identity для управления доступом в масштабе предприятия
Для существующих заказчиков Oblix:
- Присмотритесь к SSO OracleAS, если вы испытываете необходимость в надежной аутентификации в приложениях Oracle
Для тех, кто присматривается к Oblix:
- Присмотритесь к SSO Oracle, если вы испытываете необходимость в надежной аутентификации в приложениях Oracle
- Рассмотрите COREid Access and Identity для управления доступом к приложениям, не являющимся приложениями Oracle
Для федерированной экспертизы SSO:
- Рассмотрите COREid Federation, если вы испытываете необходимость в поддержке SAML 1.x или WS-Federation, или если есть необходимость в облегченной автономной опции для ваших партнеров
- Рассмотрите Oracle Secure Developer’s Toolkit для программируемой поддержки Liberty 1.2
Администрирование идентификации и инициализация (Identity Administration и Provisioning)
Для существующих заказчиков Oblix, существующих заказчиков Oracle и новой экспертизы Oracle-Oblix:
- Присмотритесь к COREid Access and Identity для администрирования пользователей и саморегистрации/самообслуживания пользователей
- Присмотритесь к COREid Provisioning (с использованием Oracle DIP) для неотложных потребностей подготовки к работе
- Используйте Oracle DAS, если вы развертываете Oracle Portal; используйте делегированное администрирование COREid, если используются другие Web-приложения
Web-сервисы
Для экспертизы Web-сервисов:
- Рассмотрите сервер приложений Oracle, если есть необходимость в запуске Web-сервисов. Рассмотрите, как дополнение, Oracle Web Services Manager, если есть необходимость в управлении доступом, контроле и управлении Web Services.
- Рассмотрите Oracle WSM, если есть необходимость в управлении доступом, контроле и управлении развернутыми Web-сервисами на платформах, не являющихся платформами Oracle.
- Рассмотрите Oracle WSM вместе с BPEL для безопасного управления бизнес-процессами в сервис-ориентированной среде.
ЦЕНЫ И ДОСТУПНОСТЬ
По вопросам цен и доступности предложений по Oracle Identity Management, пожалуйста, проконсультируйтесь с работающим с вами представителем Oracle. Для получения дополнительной информации посетите сайт http://www.oracle.com/identity/.
Oracle-Oblix Product Integration
July 2005
Oracle Corporation
World Headquarters
500 Oracle Parkway
Redwood Shores, CA 94065
U.S.A.
Worldwide Inquiries:
Phone: +1.650.506.7000
Fax: +1.650.506.7200
oracle.com
Copyright © 2005, Oracle. All rights reserved.
This document is provided for information purposes only and the
contents hereof are subject to change without notice.
This document is not warranted to be error-free, nor subject to any
other warranties or conditions, whether expressed orally or implied
in law, including implied warranties and conditions of merchantability
or fitness for a particular purpose. We specifically disclaim any
liability with respect to this document and no contractual obligations
are formed either directly or indirectly by this document. This document
may not be reproduced or transmitted in any form or by any means,
electronic or mechanical, for any purpose, without our prior written permission.
Oracle, JD Edwards, and PeopleSoft are registered trademarks of
Oracle Corporation and/or its affiliates. Other names may be trademarks
of their respective owners.
