Управление доступом к web-приложениям (Oracle)

1. <Insert Picture Here>
Андрей Гусаков, ведущий консультант Представительства Oracle в Москве
Управление доступом к web-приложениям
Cеминар Центра компетенции
компании КРОК
«Управление идентификационными
данными и доступом к информации»
27 мая 2009 года,
г. Москва

2. 2
План презентации
• Решения в области информационной безопасности от
Oracle – данные, доступ к ним, контроль
• Выбор конкретного решения для повышения уровня
информационной безопасности предприятия
• Что предпочесть – накладные или встроенные
средства защиты (интеграторы vs. разработчики)
• Вынос логики принятия авторизационных решений из
приложения
• Интеграция продуктов Oracle для управления доступом
к web-приложениям

3. 3
Уровни защиты информации и решения
Oracle
Network Perimeter
Applications
Web Services
Data
Приложения
Oracle Identity Management
Web-сервисы
Oracle Web Services Manager
Данные
Advanced Security Option
Oracle Database Vault
Secure Backup
Information Rights Management
Контроль соответствия
нормативным требованиям
Oracle Audit Vault
Oracle Identity Management

4. 4
Эволюция Oracle – от безопасности данных
к универсальной защите приложений
Аутентификация и авторизация
Single Sign On eSSO Federation
Управление учетными данными,
их согласование и доставка
Службы каталогов
LDAP Virtual Directory Meta Directory
Преобразование (Encryption)
At Rest In Motion Backup
Мониторинг и
предупреждения
Многоуровневый
контроль доступа
Приложения
E-Business Suite, PeopleSoft, Siebel,
SAP, Собственной Разработки, Унаследованные
Аудитиконтрольсоответствия
Применение
политик
Определение
политик
Хранилище ID
Безопасность
данных
FusionMiddleware

5. 5
<Insert Picture Here>
Применяем
сертифицированные
накладные средства защиты Oracle
См. сертификаты №1664 от 18 августа 2008 г. (IAMS) и №1802 от 13 марта 2009 г. (ESSO)
Государственного реестра сертифицированных средств защиты информации
http://www.fstec.ru/_razd/_serto.htm

6. 6
AD
Портал
Прило-
жение
Репози-
торий
Интер-
фейс
OIM
Репози-
торий
Интер-
фейс
OID
OAM
OVD
Интер-
фейс
Внутренний
шлюз
Сотрудник
Web
SQL
Клиент/партнер
Web
OIF
Интер-
фейс
Внешний
шлюз
Уровень
защиты
0
25
50
75
100
ESSO
Интер-
фейс
OeSSO LM
AD sync

7. 7
Объединяем решения безопасности на
уровне базы и приложения через EUS

8. 8
Управление IT-привилегиями сотрудников
Решение – Oracle Identity Manager (OIM)
• Автоматизированное создание учетных записей (УЗ); выявление
«сиротских» УЗ; удаление УЗ
• Назначение / отзыв / изменение привилегий в соответствии с
должностными обязанностями
• Разделение / делегирование полномочий
• Вовлечение в документооборот по изменению привилегий всех
заинтересованных лиц с формализацией бизнес-процессов
• Контроль действий администраторов целевых систем
• Самообслуживание сотрудников
• заявки; смена / синхронизация паролей
• Ведение отчетности (оперативной / исторической)
• Временная блокировка / аттестация сотрудников

9. 9
Управления IT-привилегиями внешних
пользователей
• Организация доверительных (федеративных) отношений с
системами аутентификации партнеров и подключение их без
повторной аутентификации (Web SSO)
Решение – Oracle Identity Federation (OIF)
или
• Саморегистрация партнеров с последующим утверждением
ответственными сотрудниками электронной заявки на
предоставление расширенных привилегий
Решение – Oracle Identity Manager (OIM)
или
• Автоматизированное предоставление сервиса «саморегистрация»
клиентам без предоставления расширенных привилегий
Решение – Oracle Access Manager (OAM)

10. 10
Контроль доступа сотрудников и
привилегированных внешних пользователей
• Защита ресурсов с помощью различных аутентификаторов
Решение – Oracle Access Manager (OAM) и Oracle Adaptive Access
Manager (OAAM)
• Аудит обращений пользователей к ресурсам, защищенным с
помощью политик доступа
Решение – Oracle Access Manager (OAM)
или
• Аудит решений по авторизации пользователей на выполнение
каких-либо действий сервером назначений
Решение – Oracle Entitlements Server (OES)

11. 11
Контроль доступа к отделяемым
документам (файлы, почта и т.п.)
Решение – Oracle Information Rights
Management (IRM)
• Защита документов с помощью маскирования их содержимого,
категоризации и предоставления прав на работу с ними только
некоторым зарегистрированным сотрудникам и партнерам
• Аудит решений по авторизации пользователей на работу с
защищенными документами

12. 12
<Insert Picture Here>
Как обойти ограничения,
возникающие при контроле
доступа накладными
средствами защиты

13. 13
OAM проверяет хранящиеся в каталоге
политики в отношении ресурса
http://www.autoparts.com/credit-check
• Страница защищена?
• Вы аутентифицированы?
• Доступ разрешен?
Информационный
ресурсКлиент
Сервер управления
доступомШлюз
Аутенти-
фикация
Автори-
зация
Аудит
Централизо-
ванные AAA:
Есть опасность натолкнуться на громоздкость групповых структур в каталоге

14. 14
Типичная мозаика из ресурсов, ролей,
операций и атрибутов
Операции
Чтение/Запись
ЧтениеЗапись
Ограниченное чтение
Управляющий
Администратор счетов
Аналитик
Клиент банка
Иерархия ролей Банковское приложение
Ведение счетов
Формирование
отчетности
Отчет за
период
Иерархия ресурсов
Итоговый
отчет
Расположение Орг. структура Дата/Время
Атрибуты Не в рабочие
дни
с 9 до 18
Россия
МоскваНовосибирск
Петровское отд.
Руководитель подразделения
Главный бухгалтер
Аудитор
Кассир

15. 15
Ресурсы, защищаемые OAM, и Fine Grained
Authorization
• HTTP
• Web-страницы
• Каталоги
• Web-приложения
• Запросы
• J2EE
• Java-страницы
• EJBs
• Сервлеты
• Отдельные Java /
C++ / C программы,
ERP и CRM-
приложения
IDE
XACML
CARML
Authorization Policy
Identity Attribute Policy
Application
• Java
• .Net
• Custom
• Web 2.0
Policy
Plug-in
Identity
Plug-in FGA
Разработка
Подключение

16. 16
<Insert Picture Here>
Авторизация на примере
паспортного контроля,
Знакомство с сервером
назначений Oracle

17. 17
Oracle Entitlements Server (OES) выводит из
приложения логику безопасности и затем
централизованно ею управляет
До использования OES После внедрения OES
Запрос авторизации («Разрешен ли доступ?») выполняется с использованием следующей информации:
• запрошенное действие («Trade», т.е. биржевая торговля);
• ресурс («Account», т.е. счет, с которым будут проводиться биржевые операции);
• субъект (кто запрашивает авторизацию для выполнения этих операций – «User», т.е. пользователь);
• контекст из приложения, требуемый для принятия решения об авторизации («Amount», т.е. предельный
объем биржевых операций).
http://download.oracle.com/docs/cd/E12890_01/ales/docs32/index.html

18. 18
Определение Oracle Entitlements Server
Oracle Entitlements Server
Приложения
собственной
разработки
Проверка
прав
Сервисы
Готовые
приложения
Базы данных
Entitlement Data
Каталоги
пользователей
Требование
Разрешить
Запретить
Пользователи
Решение для управления “назначениями” (entitlements) с высокой
степенью детализации, обеспечивающие централизованное
администрирование политик и их распределенное применение
при работе приложений в различных архитектурах
http://www.oracle.com/global/ru/pdfs/tech/introduction-to-oracle-entitlements-server_rus5.pdf

19. 19
Типичные сценарии использования OES
• Динамически изменять интерфейс приложения
• Ограничивать доступ пользователя к интерфейсу приложения
при определенных условиях
Привязать интерфейс
пользователя к ролям
• Обеспечить прозрачную интеграцию с системами веб SSO и
корпоративными системами управления
идентификационными данными
• Разрешить передачу полномочий другим пользователям во
время отсутствия пользователя или в других ситуациях
Разрешить
определенным
пользователям доступ к
приложениям
• Создать различные представления общей базы данных о
клиентах для различных организаций
• Закрыть доступ к информации и зарплате работников для
всех, кроме руководителей подразделений
• Показывать кредитную историю только клиентов,
находящихся в том же регионе, что и Call Center
Ограничить доступ к
данным
• Только старшие менеджеры могут совершать сделки по
продаже акций , суммы которых превышают 10 000 000 рублей,
менее чем за пол часа до закрытия биржи
Ограничить
функциональность
приложения
OES обеспечиваетТребования

20. 20
OES работает в

21. 21
Administration Server
(PAP)‫‏‬
Security Module
(PDP)‫‏‬
OES Policy
Store
Policy
Administrator
Application (offline)Security Module
(PDP)‫‏‬
Application
Application
Application
Policy Information Points
Policies
Policies
Policy
Enforcement
Point (PEP)‫‏‬
PEP
Архитектура Oracle Entitlements Server

22. 22
Что собой представляет политика OES?
Grant (view, /app/Sales/RevenueReport, /role/Manager) if region = “East”;
Application
Objects
Resources Subjects Constraint
Boolean
Attributes
Eval Functions
Action
Read
Write
View
…
External
Data
Identity
Store(s)
Authorization Request
Authorization Response
Effect
Grant
Deny
Delegate
Maps to Based on Read from

23. 23
Security Module Pluggable Framework
OES Security Module
Authentication
Framework API
Authorization Role Mapping Auditing Cred Mapping
Entitlements
Identity
Directories
Entitlements Secure
Audit Logs
External
Application
• Integrate with LDAP,
RDBMS, Custom
Identity Stores
• Leverage multiple
stores
simultaneously
• Assert identity from
SSO or custom
tokens
• Establishes JAAS
Subject
• Provide Grant/Deny
decisions based
upon policies
• Integrate external
entitlement attribute
data from LDAP,
RDBMS, SDO
• Dynamically map
users to Roles based
upon policy
• Log messages
generated by
framework events
• Write to everything
from log4j to secured
filesystems and
RDBMS
• Describe custom
handlers for various
events
• Translate
credentials into
custom formats
• Helps propagate
identity across
disparate
systems

24. 24
Распределенная (offline) конфигурация

25. 25
Централизованная конфигурация

26. 26
Контролирующие
органы и аудиторы
Администраторы
приложений
DeveloperOracle
Entitlements
Server
Разработчики
Офицер
безопасности
•
Integrate
w
ith
Applications
•
Configure
External
Attribute
Retrievers
•
Review
Audit Logs
•
Generate
Policy
Reports
•
M
onitor Perform
ance
•
Define
Access
Rights
•
M
anage
Roles
•
Define
Security
Policies
•
Integrate
w
ith
Idm
System
s
•
Configure
Security
Providers
Поддержка жизненного цикла политик

27. 27
<Insert Picture Here>
Интеграция продуктов Oracle
для управления доступом
к web-приложениям

28. 28
Oracle Access Management
Functional Architecture
Web Tier Application Tier Data Tier
Oracle Access
Manager
Federation
Service
Oracle
Entitlements
Server
Oracle
Entitlements
Server
Oracle Adaptive
Access Manager
Authentication
& SSO
Identity
Assertion
Oracle Adaptive
Access Manager
Federation
Service
Entitlements &
Authorization
Web Tier

29. 29
Oracle Access Manager Applications
Authentication
Oracle Access Management
OAM and Application Integration
Single Sign-On
1. Check URL Access
2. Challenge for Credentials
3. Validate Credentials
4. Set Session Cookie
5. Authorize URL Access
6. Assert Authenticated Identity
ID Assertion
HTTP Header Variables
Windows Users
JAAS Subject

30. 30
Oracle Access Manager Oracle Entitlements Server
Authentication
Authorization
Oracle Access Management
OAM and OES, Part I
Single Sign-On
Entitlements
ID Assertion
3. Validate Credentials
6. Assert Authenticated Identity
7. Fine-grained Resource
Access
1. Check URL Access
2. Challenge for Credentials
4. Set Session Cookie
5. Authorize URL Access

31. 31
Oracle Access Manager Oracle Entitlements Server
Authorization
Oracle Access Management
OAM and OES, Part II
Entitlements
7. Retrieve Trusted Subject,
Resource Request, &
Security ContextID Assertion
8. Dynamic Role Evaluation
9. Retrieve Additional Attributes
10. Check Application
Authorization Policy Against
Subject/Roles +
Resource/Action
11. Enforce Fine Grained
Resource Access
6. Assert Authenticated
Identity

32. 32
Oracle Access Manager Oracle Entitlements Server
Oracle Access Management
OAM and OES, Part III
Entitlements
7. Retrieve Subject, Security
Context, Data RequestID Assertion
8. Dynamic Role Evaluation
9. Retrieve Additional Attributes
10. Check Data Access Policy
11. Enforce Fine Grained
Data Access
Data Security
12. Redact Data From
Application/End User
6. Assert Authenticated
Identity

33. 33
Oracle Access Management
OAAM and OES, Part I
Oracle Entitlements Server
6. User/Session ID
Authentication
Security Fraud Detection
7. Retrieve Trusted Subject,
Resource Request, &
Security Context
Authorization
Entitlements
8. Evaluate Context Data and
Compute Risk Score
9. Return Risk Score
Attribute To OES
10. Enforce Fine Grained
Application Access
Policy with Risk
Obligations
Oracle Adaptive
Access Manager
Oracle Adaptive
Access Manager

34. 34
Oracle Access Management
OAAM and OES, Part II
Oracle Entitlements Server
6. User/Session ID
Authentication
Security Fraud Detection
Authorization
Entitlements
8. Evaluate Context Data and
Compute Risk Score
Oracle Adaptive
Access Manager
Oracle Adaptive
Access Manager
9. Present Knowledge-
Based Authentication
Challenge or OTP
10. Recalculate Risk Score Based
on Secondary Challenge
7. Resource Request
12. Enforce Fine
Grained Policy
11. Return New Risk Score
Attribute To OES

35. 35
Oracle Access Management
OAAM and OAM
Authentication
Security
Fraud Detection
Oracle Access Manager
Authentication
4. Authenticate with
Virtual AuthN Device
1. Check URL Access
Adaptive Access Manager
Adaptive Access Manager
ID Assertion
2. Evaluate Risk
3. Generate and Return Virtual
AuthN Device
5. Validate Credentials, Set SSO Cookie, Assert Identity 6. Evaluate Real Time Transaction Data
7. Calculate Risk for
Transaction 1, Set Alert
8. Calculate Risk for
Transaction 2, Block
Transaction
9. Calculate Risk for
Transaction 3, Set
Secondary Knowledge-
Based Authentication or
One Time Pin

36. 36
Oracle Access Management
OAM and OIF
Oracle Access Manager Identity Provider
Authentication
Single Sign-On
Federation
Services
Federation
Services
Service Provider
1. User Requests Protected
Resource, OIF Redirects to
OAM for Authentication
2. Challenges User,
Authenticates
Credentials
3. Set SSO Cookie,
Asserts Authenticated
Identity to Federation
Service
4. IdP Generates
Authentication Assertion,
Sends Signed/Encrypted
Assertion to Service
Provider
5. SP Consumes
Authentication Assertion,
Locally Authenticates User,
Redirects to Protected
Resource

37. 37
Oracle Entitlements Server
Authorization
Oracle Access Management
OES and OWSM
Entitlements
2. Retrieve Trusted Subject,
Service Request
3. Dynamic Role Evaluation
4. Retrieve Message Context
5. Check Application
Authorization Policy
Against Subject/Roles +
Resource/Action
6. Provide service access
decision to OWSM
WS Security
1. User invokes secured web
service
Oracle Web Services
Manager
7. Enforce Fine Grained
Service Access

38. 38
Oracle Access Management
OAM and OWSM
Oracle Web Services ManagerOracle Access Manager
Authentication
Single Sign-On
WS Security
1. Challenges User,
Authenticates
Credentials
2. Set SSO Cookie,
Asserts Authenticated
Identity to Portal
3. Portal Invokes
Remote Web Service
on User’s Behalf
4. PEP Intercepts
Request and Checks
for SSO Cookie
5. SSO Cookie Verified
by OAM, Service
Access Allowed

39. 39
119435, Россия, Москва, Краснопресненская набережная, 18
Башня на Набережной, Блок С
(+7495) 6411400 Andrey.Gusakov@Oracle.Com
Есть вопросы?

40. 40
Устраняем
преграды...
• Сертификация
ФСТЭКом
наших решений
• Oracle DB
• Oracle DB Vault
• Oracle IAMS
• Oracle ESSO
• Oracle IRM
• Локализация
• Региональный
маркетинг