it-symposium 2004 bonn oracle identity managment · it-symposium 2004 1 page 1 it-symposium 2004...

IT-Symposium 2004

www.decus.de 1

IT-Symposium 2004 BonnOracle Identity Managment

20.04.20041B03

Olaf StullichBU Database Technologies

Oracle Deutschland GmbH

IT-Symposium 2004

www.decus.de 2

Kosten für Passwort- und User Management

IDC

Gartner

Forrester

US$ 340 pro Jahr / User



Ein User- ein Account- ein Passwort

Sicherheit aller Applikationen

Was ist Identity Management?

Identity Management bezeichnet den Prozeß bei dem:

Benutzeridentitäten angelegt und verwaltet werdenAnwender automatisiert angelegt werdenBenutzerrollen, Privilegien & Berechtigungen verwaltetwerdenAdministratoren Veranwortlichkeiten delegierenAdministratoren Anwendungen leicht & sicher verteilenAnwender selbständig Passwörter und Preferenzen ändernkönnenBenutzer einen Single Sign-On Zugang haben

IT-Symposium 2004

www.decus.de 3

Identity Management Vorteile

Kostenersparnis– Zentrales Benutzermanagement reduziert Administrationskosten– Leichter zu automatisieren– Weniger Fehler anfällig

Erhöhte Sicherheit– Keine fragmentierte Sicherheit

Erhöhte Benutzerakzeptanz– Single Password und Single Sign-on– Personalisierung – Delegierte Administration und Self-service

Oracle Identity Management

Oracle RDBMSOracleAS OracleE-Business Suite

JAAS Roles, Component access Controls, Java2 Permissions,…

DB Enterprise RolesVPDLabel Security, ..

E-Biz Responsibility

Oracle Internet Directory

ProvisioningService

OracleASSSO

Oracle Certificate Authority

DirectoryIntegrationServices

Oracle Identity Management Infrastructure

Delegated Administration

Services

3rd Party LDAP Directory

3rd Party Authentication Service

OracleCollaboration Suite

File permissionsInterpersonal Rights, Secure mail,Service discovery, …

IT-Symposium 2004

www.decus.de 4

• flexible, spezialisierte und verteilte Datenhaltung

• Speicherung und Suche Eintrags-orientierter Informationen für unterschiedliche Anwendungen

Was sind Verzeichnisdienste ?


• Standard basierend– Native LDAPv3 Implementierung– Integration mit der Oracle System

Management Umgebung

• Skalierbarkeit– “unbeschränkte” Anzahl von Entries

auf einem Server– 1000’de gleichzeitiger Client Zugriffe

• Hochverfügbarkeit– Multimaster-Replikation durch

Benutzung von Oracle Advanced Symmetric Replication

– Oracle Real Application Cluster

• Sicherheit– Hochentwickeltes Sicherheits-Modell

LDAPClients

DirectoryAdministration

OracleInternet Directory

Server

OracleDatabase

Oracle NetServices

LDAP over SSL

IT-Symposium 2004

www.decus.de 5






ProvisioningService

OracleASSSO



Oracle Identity Management Infrastructure3rd Party LDAP Directory




DelegatedAdministration

Services

Oracle InternetDirectory

Delegated Administration Services

Einheitliche Schnittstelle zur Directory Datenverwaltung

– Administrator: unterstützt Benutzer und anwendungsspezifische Berechtigungsverwaltung

– Endanwender: ändern von Passwörtern, Preferenzen, Profilen etc.

IT-Symposium 2004

www.decus.de 6

Delegated Administration Service

Benutzer anlegen

IT-Symposium 2004

www.decus.de 7

Benutzerprofil

OID Admin Console

IT-Symposium 2004

www.decus.de 8

OID Admin Console

Benutzer Einstellungen

IT-Symposium 2004

www.decus.de 9

Disable user accounts

DemoDelegated Adminstration Service

IT-Symposium 2004

www.decus.de 10






ProvisioningService

OracleASSSO








Services


Directory Integrations Ansätze

OracleE-Business

SuiteRelease 11i

OracleApplication

Server

OracleDatabase

OracleE-Business

SuiteRelease 11i

OracleApplication

Server

OracleDatabase


Vendor #2Directory

Vendor #3Directory


Vendor #2Directory

Vendor #3Directory

IT-Symposium 2004

www.decus.de 11

mySap.com Zertifizierung

- SAP WAS 6.20- SAP LDAP

Connector 2.1- OID 9.2

Integration mit Unternehmensverzeichnissen


Enterprise DirectoryServices

PartnerApplications

IT-Symposium 2004

www.decus.de 12

Active DirectoryServices

Integration mit Unternehmensverzeichnissen


iPlanet DirectoryServices

PartnerApplications

DirectoryIntegrationPlatform

Meta-directorySolutions

Andere Unterneh-

mens Dienste

Oracle Directory Integration Plattform

ProvisioningIntegrationServices

PL/SQL overOracle Net

OracleInternet

Directory

DirectorySynch.

Services

ProvisionedApplications- Portal- iAS Wireless- Legacy apps.

ConnectedDirectories

3rd PartyMeta-directory

LDAP or File

Event

Poll

-SUN ONE-Active directory-eDirectory

IT-Symposium 2004

www.decus.de 13

Directory Synchronisation

Directory Synchronization Service

• Der Synchronization Integration Service koordiniertdie Änderungen zwischen den Directoryservern und dem zentralen OID-Server in einem Unternehmen

• Synchronisation stellt die Konsistenz der Daten in einem Unternehmen sicher

• Für jedes angeschlossene Directory muß eineeigenes Synchronisationsprofil angelegt werden

IT-Symposium 2004

www.decus.de 14

Connector

• Ein Connector ist eine vorkonfigurierte Lösungzwischen einem OID-Server und anderenVerzeichnissen

• Ein Connector besteht aus einem Connector Profile->Directory Integration Profile

• Ein Connector Profile enthält alle Informationen um Daten zwischen einem OID-Server und verbundenen Verzeichnissen zu synchronisieren

Synchronization Agent

• Ein Agent ist ein spezielles Programm, das Datenzwischen einem OID und Servern mit anderenDatenformaten synchronisiert

• Agenten konvertieren die Daten in ein Zwischenformatbevor sie in das native Verzeichnisformat umgesetztwerden

IT-Symposium 2004

www.decus.de 15

Directory Synchronization Profiles

• Es werden separate Synchronisation Profile für jedeSynchronisationsrichtung benötigt

• Synchronisationsprofile unterstützen folgendeInterface:

PL/SQLLDAPTaggedLDIF

• Der Directory Synchronization Service (DSS) arbeitetperiodisch das Syschronisation Profile ab

Oracle Internet Directory Plug-In Framework

Neue Funktionalität mit Oracle9i Application Server R2Plug-in`s sind PL/SQL packagesErlaubt Aufruf Benutzer-definierter Operationen Aufruf bei LDAP Kommando Ausführung

– ldapbind, ldapadd, ldapmodify, ldapcompare, ldapsearch, ldapdelete

IT-Symposium 2004

www.decus.de 16

Unterstützte Plug-In Operationen

Pre-Operation– Vor Ausführung der LDAP Operation

Z.B. Überprüfung der Daten bevor diese von LDAP Operationen genutzt werden

Post-Operation– Nach Durchführung einer LDAP Operation

Z.B. Protokollierung und Benachrichtigung

When-Operation– in Ergänzung der Standardoperationen

z.B. erweitert bestehende Funktionalität When-operation (Add-on / Replace)






ProvisioningService








Services

OracleASSSO


IT-Symposium 2004

www.decus.de 17

Kosten für Passwort- und User Management

IDC

Gartner

Forrester




Ein User- ein Account- ein Passwort

Sicherheit aller Applikationen

Password Reset 1 (Delegated Admin Service)

IT-Symposium 2004

www.decus.de 18


Passwort Reset 3 (Delegated Admin Service)

IT-Symposium 2004

www.decus.de 19


Passwort Reset 4 (Delegated Admin Service)

IT-Symposium 2004

www.decus.de 20

DemoDelegated Adminstration Service

Password Reset

Definitionen

Single Sign-on (SSO)

Single Station Administration (SSA)

Single Source of Control (SSC)

- ein Passwort

- zentrale Datenverwaltung

- ein Verwaltungswerkzeug

IT-Symposium 2004

www.decus.de 21

Oracle SSO Server

• Kernkomponente der Oracle’s Web SSO Technologie

• Authentifiziert Benutzer und reicht deren Identität sicher an Partner-Anwendungen weiter

• Fordert den Benutzer zur Eingabe eines Namens und Passwortes auf:

• beim erstmaligen Systemzugriff innerhalb einer vorgegebenen Zeit

• verifiziert das Passwort

Architektur

Oracle9iAS

Single Sign-On

DB

WebCacheWeb

Cache Oracle9iAS

Oracle9iAS

LDAPCertificatesPrivileges

Roles

HTTP ServerHTTP Server

mod_osso

J2EE Apps

PERL Apps

Other Apps

HTTP-S

FIREWALL

IntegratedSecurity with DB

IT-Symposium 2004

www.decus.de 22

Authentifizierung von Benutzern

Single Sign-OnServer

DatenbankServer

Clients

Applikations-server

OID

Oracle Enterprise User SecuritySingle Sign-On im Client/Server Umfeld

DB sales.us.oracle.com

Oracle Internet DirectoryOracle Net 8i/9i Client

Wallet Retrieval

NetServiceüber SSL

WalletWallet

Remote User WalletsRole Information

WalletWallet

WalletWallet

Role Retrieval

LDAP/ SSL

IT-Symposium 2004

www.decus.de 23

Bsp SSL based authentication

Beispiel Login username/pwd

IT-Symposium 2004

www.decus.de 24

Beispiel

Integration Windows Active Directoy

Windows Integration

Windows Active Directory Connector für Oracle Internet Directory

– Pre-packaged Lösung für Windows-Verzeichnisse– Bestandteil der Oracle Directory Integration Plattform

Windows Native Authentication– “Automatic logon” zum Application Server basiert auf Windows

logon (Kerberos)– Verbessert Windows Benutzer-Erfahrung

Windows Authentifizierung und Password Plug-ins– “Referenziert” die Windows O/S Authentifizierung; keine Passwort

Synchronisation erforderlich– Update des Windows Passworts durch Oracle Admin.-Werkzeuge

IT-Symposium 2004

www.decus.de 25

User Provisioning from Windows

OraclePortal


Console

OracleE-Business

SuiteRelease 11i


Oracle9iAS Single Sign-On

Microsoft ADS

WindowsEnvironment

1 - “Add user”

2 - User created in ADS

3- User synchronized

with OID

4 - User provisioned in

Oracle environment

User Sign-On to Oracle

OraclePortal


Console

OracleE-Business

SuiteRelease 11i



Microsoft ADS

WindowsEnvironment

1- Usersign-on

2- Oracle Authentication

3- User identity

4- Authentication via Windows

Plug-in

IT-Symposium 2004

www.decus.de 26

User Privileges Update

OraclePortal


Console

OracleE-Business

SuiteRelease 11i



Microsoft ADS

WindowsEnvironment

1- Add privileges

2- Group membership

change in ADS

3- Synchronize group membership

in OID

User Password Update

OraclePortal


Console

OracleE-Business

SuiteRelease 11i



Microsoft ADS

WindowsEnvironment

2- Update password

to OID

1- User change

password

3- Password updated in ADS via Password

Modifier Plug-In

IT-Symposium 2004

www.decus.de 27

DemoAuthentifzierung

Windows Active Directory






ProvisioningService







Services


OracleCertificateAuthority

OracleASSSO

IT-Symposium 2004

www.decus.de 28

Oracle Certificate AuthorityOracleAS 10g (9.0.4)

• Out-of-the-box PKI Lösung• Einfache Bereitstellung von X.509v3 Zertifikaten• Ergänzt die Oracle PKI Story• Nahtlose Integration mit OAS 10g SSO Server• Einfache Installation• Standardkonformität• Hochverfügbarkeit und Skalierbarkeit mit OracleAS 10g

und Oracle Internet Directory

X.509 Zertifikate/ Oracle wallet

IT-Symposium 2004

www.decus.de 29

OracleAS 10g Oracle Certificate Authority

Oracle CA User Interface

IT-Symposium 2004

www.decus.de 30

Anwender Zertifikate (manuell) 1

Benutzer Zertifikat (manuell) 2

IT-Symposium 2004

www.decus.de 31

Benutzer Zertifikat (manuell) 3

User Zertifikat (Admin Sicht)

IT-Symposium 2004

www.decus.de 32

Oracle CA User Interface

Benutzeranmeldung SSO

IT-Symposium 2004

www.decus.de 33

Request User Certificate

Oracle Identity Management – Vorteile

Eine Unternehmensinfrastruktur, die die “unbreakable”Technologie von Oracle einsetzt

– Hochverfügbarkeit, Skalierbarkeit, Sicherheit, Performance

Vereinfacht die Verteilung aller Oracle Produkte– AS, DB, OCS, eBiz

Zentraler Integrationspunkt für existierende Kunden IdentityManagement Lösungen

– Transparente 3rd party Integration von OIM basierten Produkten

Eine offene, standard-basierte Infrastruktur– anpassbar an unterschiedliche Partnerlösungen und

Kundenbedürfnisse

IT-Symposium 2004

www.decus.de 34


Oracle RDBMSOracle iAS OracleE-Business Suite




ProvisioningService

OracleASSSO



Oracle Identity Management Infrastructure


Services

3rd Party LDAP Directory





Informationen: [email protected]

• http://www.oracleworld2003.com/scps/controller/catalog

• Solution Areas

• Security and Identity Management (23)

http://otn.oracle.com/deploy/security/index.html

IT-Symposium 2004

www.decus.de 35

Q U E S T I O N SQ U E S T I O N SA N S W E R SA N S W E R S

it-symposium 2004 bonn oracle identity managment · it-symposium 2004 1 page 1 it-symposium 2004...

Documents