IT-Symposium 2004 Bonn Identity Managment 20.04.2004 1B03 Olaf Stullich BU Database Technologies Deutschland GmbH Page 1 www.decus.de 1
Sicherheit aller Applikationen Ein User- ein Account- ein Passwort Kosten für Passwort- und User Management Forrester US$ 200 pro Jahr / User Gartner US$ 300 pro Jahr / User IDC US$ 340 pro Jahr / User Was ist Identity Management? Identity Management bezeichnet den Prozeß bei dem: Benutzeridentitäten angelegt und verwaltet werden Anwender automatisiert angelegt werden Benutzerrollen, Privilegien & Berechtigungen verwaltet werden Administratoren Veranwortlichkeiten delegieren Administratoren Anwendungen leicht & sicher verteilen Anwender selbständig Passwörter und Preferenzen ändern können Benutzer einen Single Sign-On Zugang haben Page 2 www.decus.de 2
Identity Management Vorteile Kostenersparnis Zentrales Benutzermanagement reduziert Administrationskosten Leichter zu automatisieren Weniger Fehler anfällig Erhöhte Sicherheit Keine fragmentierte Sicherheit Erhöhte Benutzerakzeptanz Single Password und Single Sign-on Personalisierung Delegierte Administration und Self-service Identity Management Identity Management Infrastructure Certificate Authority Internet Integration Services 3rd Party LDAP Delegated Administration Services Provisioning Service AS SSO 3rd Party Authentication Service JAAS Roles, Component access Controls, Java2 Permissions, DB Enterprise Roles VPD Label Security,.. E-Biz Responsibility File permissions Interpersonal Rights, Secure mail, Service discovery, AS RDBMS E-Business Suite Collaboration Suite Page 3 www.decus.de 3
Was sind Verzeichnisdienste? flexible, spezialisierte und verteilte Datenhaltung Speicherung und Suche Eintrags-orientierter Informationen für unterschiedliche Anwendungen Internet Standard basierend Native LDAPv3 Implementierung Integration mit der System Management Umgebung Skalierbarkeit unbeschränkte Anzahl von Entries auf einem Server 1000 de gleichzeitiger Client Zugriffe Hochverfügbarkeit Multimaster-Replikation durch Benutzung von Advanced Symmetric Replication Real Application Cluster Sicherheit Hochentwickeltes Sicherheits-Modell LDAP Clients LDAP over SSL Administration Database Internet Server Net Services Page 4 www.decus.de 4
Identity Management Identity Management Infrastructure Certificate Authority Internet Integration Services 3rd Party LDAP Delegated Administration Services Provisioning Service AS SSO 3rd Party Authentication Service JAAS Roles, Component access Controls, Java2 Permissions, DB Enterprise Roles VPD Label Security,.. E-Biz Responsibility File permissions Interpersonal Rights, Secure mail, Service discovery, AS RDBMS E-Business Suite Collaboration Suite Delegated Administration Services Einheitliche Schnittstelle zur Datenverwaltung Administrator: unterstützt Benutzer und anwendungsspezifische Berechtigungsverwaltung Endanwender: ändern von Passwörtern, Preferenzen, Profilen etc. Page 5 www.decus.de 5
Delegated Administration Service Benutzer anlegen Page 6 www.decus.de 6
Benutzerprofil OID Admin Console Page 7 www.decus.de 7
OID Admin Console Benutzer Einstellungen Page 8 www.decus.de 8
Disable user accounts Demo Delegated Adminstration Service Page 9 www.decus.de 9
Identity Management Identity Management Infrastructure Certificate Authority Internet Integration Services 3rd Party LDAP Delegated Administration Services Provisioning Service AS SSO 3rd Party Authentication Service JAAS Roles, Component access Controls, Java2 Permissions, DB Enterprise Roles VPD Label Security,.. E-Biz Responsibility File permissions Interpersonal Rights, Secure mail, Service discovery, AS RDBMS E-Business Suite Collaboration Suite Integrations Ansätze E-Business Suite Release 11i Application Server Database E-Business Suite Release 11i Application Server Database Internet Vendor #2 Vendor #3 Internet Vendor #2 Vendor #3 Page 10 www.decus.de 10
mysap.com Zertifizierung - SAP WAS 6.20 - SAP LDAP Connector 2.1 - OID 9.2 Integration mit Unternehmensverzeichnissen Enterprise Services Partner Applications Internet Page 11 www.decus.de 11
Integration mit Unternehmensverzeichnissen Active iplanet Services Services Partner Applications Internet Integration Platform Metadirectory Solutions Andere Unternehmens Dienste Integration Plattform Event Provisioning Integration Services PL/SQL over Net Provisioned Applications -Portal - ias Wireless - Legacy apps. Internet Poll Synch. Services LDAP or File 3rd Party Meta -directory Connected Directories -SUN ONE -Active directory -e Page 12 www.decus.de 12
Synchronisation Synchronization Service Der Synchronization Integration Service koordiniert die Änderungen zwischen den servern und dem zentralen OID-Server in einem Unternehmen Synchronisation stellt die Konsistenz der Daten in einem Unternehmen sicher Für jedes angeschlossene muß eine eigenes Synchronisationsprofil angelegt werden Page 13 www.decus.de 13
Connector Ein Connector ist eine vorkonfigurierte Lösung zwischen einem OID-Server und anderen Verzeichnissen Ein Connector besteht aus einem Connector Profile-> Integration Profile Ein Connector Profile enthält alle Informationen um Daten zwischen einem OID-Server und verbundenen Verzeichnissen zu synchronisieren Synchronization Agent Ein Agent ist ein spezielles Programm, das Daten zwischen einem OID und Servern mit anderen Datenformaten synchronisiert Agenten konvertieren die Daten in ein Zwischenformat bevor sie in das native Verzeichnisformat umgesetzt werden Page 14 www.decus.de 14
Synchronization Profiles Es werden separate Synchronisation Profile für jede Synchronisationsrichtung benötigt Synchronisationsprofile unterstützen folgende Interface: PL/SQL LDAP Tagged LDIF Der Synchronization Service (DSS) arbeitet periodisch das Syschronisation Profile ab Internet Plug-In Framework Neue Funktionalität mit 9i Application Server R2 Plug-in`s sind PL/SQL packages Erlaubt Aufruf Benutzerdefinierter Operationen Aufruf bei LDAP Kommando Ausführung ldapbind, ldapadd, ldapmodify, ldapcompare, ldapsearch, ldapdelete Page 15 www.decus.de 15
Unterstützte Plug-In Operationen Pre-Operation Vor Ausführung der LDAP Operation Z.B. Überprüfung der Daten bevor diese von LDAP Operationen genutzt werden Post-Operation Nach Durchführung einer LDAP Operation Z.B. Protokollierung und Benachrichtigung When-Operation in Ergänzung der Standardoperationen z.b. erweitert bestehende Funktionalität When-operation (Add-on / Replace) Identity Management Identity Management Infrastructure Certificate Authority Internet Integration Services 3rd Party LDAP Delegated Administration Services Provisioning Service AS SSO 3rd Party Authentication Service JAAS Roles, Component access Controls, Java2 Permissions, DB Enterprise Roles VPD Label Security,.. E-Biz Responsibility File permissions Interpersonal Rights, Secure mail, Service discovery, AS RDBMS E-Business Suite Collaboration Suite Page 16 www.decus.de 16
Sicherheit aller Applikationen Ein User- ein Account- ein Passwort Kosten für Passwort- und User Management Forrester US$ 200 pro Jahr / User Gartner US$ 300 pro Jahr / User IDC US$ 340 pro Jahr / User Password Reset 1 (Delegated Admin Service) Page 17 www.decus.de 17
Password Reset 2 (Delegated Admin Service) Passwort Reset 3 (Delegated Admin Service) Page 18 www.decus.de 18
Password Reset 3 (Delegated Admin Service) Passwort Reset 4 (Delegated Admin Service) Page 19 www.decus.de 19
Demo Delegated Adminstration Service Password Reset Definitionen Single Sign-on - ein Passwort Single Station Administration (SSO) (SSA) - ein Verwaltungswerkzeug Single Source of Control (SSC) - zentrale Datenverwaltung Page 20 www.decus.de 20
SSO Server Kernkomponente der s Web SSO Technologie Authentifiziert Benutzer und reicht deren Identität sicher an Partner-Anwendungen weiter Fordert den Benutzer zur Eingabe eines Namens und Passwortes auf: beim erstmaligen Systemzugriff innerhalb einer vorgegebenen Zeit verifiziert das Passwort Architektur FIREWALL J2EE Apps 9iAS Web Cache HTTP-S HTTP Server mod_osso PERL Apps 9iAS Other Apps DB Single Sign-On LDAP Certificates Privileges Roles 9iAS Integrated Security with DB Page 21 www.decus.de 21
Authentifizierung von Benutzern Clients Applikationsserver Single Sign-On Server OID Datenbank Server Enterprise User Security Single Sign-On im Client/Server Umfeld Wallet DB sales.us.oracle.com NetService über SSL Role Retrieval LDAP/ SSL Remote User Wallets Role Information Wallet Wallet Wallet Retrieval Net 8i/9i Client Internet Page 22 www.decus.de 22
Bsp SSL based authentication Beispiel Login username/pwd Page 23 www.decus.de 23
Beispiel Integration Windows Active Directoy Windows Integration Windows Active Connector für Internet Pre-packaged Lösung für Windows-Verzeichnisse Bestandteil der Integration Plattform Windows Native Authentication Automatic logon zum Application Server basiert auf Windows logon (Kerberos) Verbessert Windows Benutzer-Erfahrung Windows Authentifizierung und Password Plug-ins Referenziert die Windows O/S Authentifizierung; keine Passwort Synchronisation erforderlich Update des Windows Passworts durch Admin.-Werkzeuge Page 24 www.decus.de 24
User Provisioning from Windows 9iAS Single Sign-On Portal 1 - Add user Windows Environment 2 - User created in ADS 3- User synchronized with OID 4 - User provisioned in environment E-Business Suite Release 11i Microsoft ADS Internet Delegated Administration Console User Sign-On to 9iAS Single Sign-On Portal Windows Environment 4- Authentication via Windows Plug-in 2- Authentication 3- User identity E-Business Suite Release 11i 1- User sign-on Microsoft ADS Internet Delegated Administration Console Page 25 www.decus.de 25
User Privileges Update 9iAS Single Sign-On Portal Windows Environment 1- Add privileges 3- Synchronize group membership in OID E-Business Suite Release 11i 2- Group membership change in ADS Microsoft ADS Internet Delegated Administration Console User Password Update 9iAS Single Sign-On Portal Windows Environment 2- Update password to OID E-Business Suite Release 11i Microsoft ADS 3- Password updated in ADS via Password Modifier Plug-In Internet Delegated Administration Console 1- User change password Page 26 www.decus.de 26
Demo Authentifzierung Windows Active Identity Management Identity Management Infrastructure Certificate Authority Internet Integration Services 3rd Party LDAP Delegated Administration Services Provisioning Service AS SSO 3rd Party Authentication Service JAAS Roles, Component access Controls, Java2 Permissions, DB Enterprise Roles VPD Label Security,.. E-Biz Responsibility File permissions Interpersonal Rights, Secure mail, Service discovery, AS RDBMS E-Business Suite Collaboration Suite Page 27 www.decus.de 27
Certificate Authority AS 10 g (9.0.4) Out-of-the-box PKI Lösung Einfache Bereitstellung von X.509v3 Zertifikaten Ergänzt die PKI Story Nahtlose Integration mit OAS 10 g SSO Server Einfache Installation Standardkonformität Hochverfügbarkeit und Skalierbarkeit mit AS 10 g und Internet X.509 Zertifikate/ wallet Page 28 www.decus.de 28
AS 10g Certificate Authority CA User Interface Page 29 www.decus.de 29
Anwender Zertifikate (manuell) 1 Benutzer Zertifikat (manuell) 2 Page 30 www.decus.de 30
Benutzer Zertifikat (manuell) 3 User Zertifikat (Admin Sicht) Page 31 www.decus.de 31
CA User Interface Benutzeranmeldung SSO Page 32 www.decus.de 32
Request User Certificate Identity Management Vorteile Eine Unternehmensinfrastruktur, die die unbreakable Technologie von einsetzt Hochverfügbarkeit, Skalierbarkeit, Sicherheit, Performance Vereinfacht die Verteilung aller Produkte AS, DB, OCS, ebiz Zentraler Integrationspunkt für existierende Kunden Identity Management Lösungen Transparente 3 rd party Integration von OIM basierten Produkten Eine offene, standard-basierte Infrastruktur anpassbar an unterschiedliche Partnerlösungen und Kundenbedürfnisse Page 33 www.decus.de 33
Identity Management Identity Management Infrastructure Certificate Authority Internet Integration Services 3rd Party LDAP Delegated Administration Services Provisioning Service AS SSO 3rd Party Authentication Service JAAS Roles, Component access Controls, Java2 Permissions, ias DB Enterprise Roles VPD Label Security,.. RDBMS E-Biz Responsibility E-Business Suite File permissions Interpersonal Rights, Secure mail, Service discovery, Collaboration Suite Informationen: Olaf.Stullich@oracle.com http://www.oracleworld2003.com/scps/controller/catalog Solution Areas Security and Identity Management (23) http://otn.oracle.com/deploy/security/index.html Page 34 www.decus.de 34
Q U E S T I O N S A N S W E R S Page 35 www.decus.de 35