Управление доступом к web-приложениям (Oracle)

<Insert Picture Here>

Андрей Гусаков, ведущий консультант Представительства Oracle в Москве

Управление доступом к web-приложениям

Cеминар Центра компетенциикомпании КРОК

«Управление идентификационнымиданными и доступом к информации»

27 мая 2009 года, г. Москва

2

План презентации

• Решения в области информационной безопасности отOracle – данные, доступ к ним, контроль

• Выбор конкретного решения для повышения уровняинформационной безопасности предприятия

• Что предпочесть – накладные или встроенныесредства защиты (интеграторы vs. разработчики)

• Вынос логики принятия авторизационных решений изприложения

• Интеграция продуктов Oracle для управления доступомк web-приложениям

3

Уровни защиты информации и решенияOracle

Network Perimeter

ApplicationsWeb Services

Data

ПриложенияOracle Identity Management

Web-сервисыOracle Web Services Manager

ДанныеAdvanced Security OptionOracle Database Vault

Secure Backup

Information Rights ManagementКонтроль соответствиянормативным требованиям

Oracle Audit Vault

Oracle Identity Management

4

Эволюция Oracle – от безопасности данныхк универсальной защите приложений

Аутентификация и авторизацияSingle Sign On eSSO Federation

Управление учетными данными,их согласование и доставка

Службы каталоговLDAP Virtual Directory Meta Directory

Преобразование (Encryption)At Rest In Motion Backup

Мониторинг ипредупреждения

Многоуровневыйконтроль доступа

ПриложенияE-Business Suite, PeopleSoft, Siebel,

SAP, Собственной Разработки, Унаследованные

Аудит

иконтроль

соответствия

Применениеполитик

Определениеполитик

Хранилище ID

Безопасностьданных

Fusi

on M

iddl

ewar

e

5


Применяемсертифицированныенакладные средства защиты Oracle

См. сертификаты №1664 от 18 августа 2008 г. (IAMS) и №1802 от 13 марта 2009 г. (ESSO)Государственного реестра сертифицированных средств защиты информации

http://www.fstec.ru/_razd/_serto.htm

6

AD

Портал

Прило-жение

Репози-торий

Интер-фейс

OIM

Репози-торий

Интер-фейс

OID

OAM

OVD

Интер-фейс

Внутреннийшлюз

Сотрудник

Web

SQLКлиент/партнер

Web

OIF

Интер-фейс

Внешнийшлюз

Уровеньзащиты

0

25

50

75

100ESSO

Интер-фейс

OeSSO LMAD sync

7

Объединяем решения безопасности науровне базы и приложения через EUS

8

Управление IT-привилегиями сотрудниковРешение – Oracle Identity Manager (OIM)

• Автоматизированное создание учетных записей (УЗ); выявление«сиротских» УЗ; удаление УЗ

• Назначение / отзыв / изменение привилегий в соответствии сдолжностными обязанностями

• Разделение / делегирование полномочий• Вовлечение в документооборот по изменению привилегий всехзаинтересованных лиц с формализацией бизнес-процессов

• Контроль действий администраторов целевых систем• Самообслуживание сотрудников

• заявки; смена / синхронизация паролей• Ведение отчетности (оперативной / исторической)• Временная блокировка / аттестация сотрудников

9

Управления IT-привилегиями внешнихпользователей

• Организация доверительных (федеративных) отношений ссистемами аутентификации партнеров и подключение их безповторной аутентификации (Web SSO)Решение – Oracle Identity Federation (OIF)

или• Саморегистрация партнеров с последующим утверждениемответственными сотрудниками электронной заявки напредоставление расширенных привилегийРешение – Oracle Identity Manager (OIM)

или• Автоматизированное предоставление сервиса «саморегистрация»клиентам без предоставления расширенных привилегийРешение – Oracle Access Manager (OAM)

10

Контроль доступа сотрудников ипривилегированных внешних пользователей

• Защита ресурсов с помощью различных аутентификаторовРешение – Oracle Access Manager (OAM) и Oracle Adaptive Access Manager (OAAM)

• Аудит обращений пользователей к ресурсам, защищенным спомощью политик доступаРешение – Oracle Access Manager (OAM)

или• Аудит решений по авторизации пользователей на выполнениекаких-либо действий сервером назначенийРешение – Oracle Entitlements Server (OES)

11

Контроль доступа к отделяемымдокументам (файлы, почта и т.п.)Решение – Oracle Information Rights Management (IRM)

• Защита документов с помощью маскирования их содержимого, категоризации и предоставления прав на работу с ними тольконекоторым зарегистрированным сотрудникам и партнерам

• Аудит решений по авторизации пользователей на работу сзащищенными документами

12


Как обойти ограничения,возникающие при контроледоступа накладнымисредствами защиты

13

OAM проверяет хранящиеся в каталогеполитики в отношении ресурса

http://www.autoparts.com/credit-check

• Страница защищена?• Вы аутентифицированы?• Доступ разрешен?

ИнформационныйресурсКлиент Сервер управления

доступомШлюз

Аутенти-фикация

Автори-зация

Аудит

Централизо-ванные AAA:

Есть опасность натолкнуться на громоздкость групповых структур в каталоге

14

Типичная мозаика из ресурсов, ролей, операций и атрибутов

ОперацииЧтение/Запись

ЧтениеЗапись

Ограниченное чтениеУправляющий

Администратор счетовАналитик

Клиент банка

Иерархия ролей Банковское приложение

Ведение счетовФормированиеотчетности

Отчет запериод

Иерархия ресурсов

Итоговыйотчет

Расположение Орг. структура Дата/Время

Атрибуты Не в рабочиедни

с 9 до 18

Россия

МоскваНовосибирск

Петровское отд.

Руководитель подразделения

Главный бухгалтерАудитор

Кассир

15

Ресурсы, защищаемые OAM, и Fine GrainedAuthorization

• HTTP • Web-страницы• Каталоги• Web-приложения• Запросы

• J2EE• Java-страницы• EJBs• Сервлеты• Отдельные Java /

C++ / C программы,ERP и CRM-приложения

IDE

XACML

CARML

Authorization Policy

Identity Attribute Policy

Application

• Java• .Net• Custom• Web 2.0

Policy Plug-in

Identity Plug-in FGA

Разработка

Подключение

16


Авторизация на примерепаспортного контроля, Знакомство с серверомназначений Oracle

17

Oracle Entitlements Server (OES) выводит изприложения логику безопасности и затемцентрализованно ею управляет

До использования OES После внедрения OESЗапрос авторизации («Разрешен ли доступ?») выполняется с использованием следующей информации:• запрошенное действие («Trade», т.е. биржевая торговля);

• ресурс («Account», т.е. счет, с которым будут проводиться биржевые операции);

• субъект (кто запрашивает авторизацию для выполнения этих операций – «User», т.е. пользователь);

• контекст из приложения, требуемый для принятия решения об авторизации («Amount», т.е. предельныйобъем биржевых операций).

http://download.oracle.com/docs/cd/E12890_01/ales/docs32/index.html

18

Определение Oracle Entitlements Server

Oracle Entitlements Server

Приложениясобственнойразработки

Проверкаправ

Сервисы

Готовыеприложения

Базы данныхEntitlement Data

Каталогипользователей

Требование

Разрешить

ЗапретитьПользователи

Решение для управления “назначениями” (entitlements) с высокойстепенью детализации, обеспечивающие централизованное

администрирование политик и их распределенное применениепри работе приложений в различных архитектурах

http://www.oracle.com/global/ru/pdfs/tech/introduction-to-oracle-entitlements-server_rus5.pdf

19

Типичные сценарии использования OES

• Динамически изменять интерфейс приложения• Ограничивать доступ пользователя к интерфейсу приложенияпри определенных условиях

Привязать интерфейспользователя к ролям

• Обеспечить прозрачную интеграцию с системами веб SSO икорпоративными системами управленияидентификационными данными

• Разрешить передачу полномочий другим пользователям вовремя отсутствия пользователя или в других ситуациях

Разрешитьопределеннымпользователям доступ кприложениям

• Создать различные представления общей базы данных оклиентах для различных организаций

• Закрыть доступ к информации и зарплате работников длявсех, кроме руководителей подразделений

• Показывать кредитную историю только клиентов, находящихся в том же регионе, что и Call Center

Ограничить доступ кданным

• Только старшие менеджеры могут совершать сделки попродаже акций , суммы которых превышают 10 000 000 рублей, менее чем за пол часа до закрытия биржи

Ограничитьфункциональностьприложения

OES обеспечиваетТребования

20

OES работает в

21

Administration Server(PAP)‏

Security Module(PDP) ‏

OES PolicyStore

PolicyAdministrator

Application (offline)Security Module(PDP) ‏

Application

Application

ApplicationPolicy Information Points

Policies Policies

PolicyEnforcementPoint (PEP)‏

PEP

Архитектура Oracle Entitlements Server

22

Что собой представляет политика OES?

Grant (view, /app/Sales/RevenueReport, /role/Manager) if region = “East”;

Application

Objects

Resources Subjects ConstraintBoolean

Attributes

Eval Functions

ActionRead

Write

View

…

External

Data

Identity

Store(s)

Authorization RequestAuthorization Response

EffectGrant

Deny

Delegate

Maps to Based on Read from

23

Security Module Pluggable FrameworkOES Security Module

Authentication

Framework API

Authorization Role Mapping Auditing Cred Mapping

EntitlementsIdentity

Directories

Entitlements Secure

Audit Logs

External

Application

• Integrate with LDAP, RDBMS, Custom Identity Stores

• Leverage multiple stores simultaneously

• Assert identity fromSSO or custom tokens

• Establishes JAAS Subject

• Provide Grant/Deny decisions based upon policies

• Integrate external entitlement attribute data from LDAP, RDBMS, SDO

• Dynamically map users to Roles based upon policy

• Log messages generated by framework events

• Write to everything from log4j to securedfilesystems and RDBMS

• Describe custom handlers for various events

• Translate credentials into custom formats

• Helps propagate identity across disparate systems

24

Распределенная (offline) конфигурация

25

Централизованная конфигурация

26

Контролирующиеорганы и аудиторы

Администраторыприложений

DeveloperOracleEntitlements

Server

Разработчики Офицербезопасности

• Integrate with

Applications

• Configure External

Attribute Retrievers

• Review Audit L

ogs

• Generate Policy R

eports

• Monitor P

erform

ance

• Define Access Rights

• Manage Roles

• Define Security

Policies

• Integrate withIdm

Systems

• Configure Security

Providers

Поддержка жизненного цикла политик

27


Интеграция продуктов Oracle для управления доступомк web-приложениям

28

Oracle Access Management Functional Architecture

Web Tier Application Tier Data Tier

Oracle Access Manager

Federation Service

Oracle Entitlements

Server

Oracle Entitlements

Server

Oracle Adaptive Access Manager

Authentication & SSO

Identity Assertion


Federation Service

Entitlements & Authorization

Web Tier

29

Oracle Access Manager Applications

Authentication

Oracle Access Management OAM and Application Integration

Single Sign-On

1. Check URL Access

2. Challenge for Credentials

3. Validate Credentials

4. Set Session Cookie

5. Authorize URL Access

6. Assert Authenticated Identity

ID Assertion

HTTP Header VariablesWindows UsersJAAS Subject

30

Oracle Access Manager Oracle Entitlements Server

Authentication

Authorization

Oracle Access Management OAM and OES, Part I

Single Sign-On

Entitlements

ID Assertion

3. Validate Credentials


7. Fine-grained Resource Access

1. Check URL Access

2. Challenge for Credentials

4. Set Session Cookie

5. Authorize URL Access

31


Authorization

Oracle Access Management OAM and OES, Part II

Entitlements

7. Retrieve Trusted Subject, Resource Request, &

Security ContextID Assertion

8. Dynamic Role Evaluation

9. Retrieve Additional Attributes

10. Check Application Authorization Policy Against

Subject/Roles + Resource/Action11. Enforce Fine Grained

Resource Access


32


Oracle Access Management OAM and OES, Part III

Entitlements

7. Retrieve Subject, Security Context, Data RequestID Assertion


9. Retrieve Additional Attributes

10. Check Data Access Policy

11. Enforce Fine Grained Data Access

Data Security

12. Redact Data From Application/End User


33

Oracle Access Management OAAM and OES, Part I


6. User/Session ID

Authentication Security Fraud Detection

7. Retrieve Trusted Subject, Resource Request, &

Security Context

Authorization

Entitlements

8. Evaluate Context Data and Compute Risk Score

9. Return Risk Score Attribute To OES

10. Enforce Fine Grained Application Access

Policy with Risk Obligations



34

Oracle Access Management OAAM and OES, Part II


6. User/Session ID

Authentication Security Fraud Detection

Authorization

Entitlements

8. Evaluate Context Data and Compute Risk Score



9. Present Knowledge-Based Authentication

Challenge or OTP

10. Recalculate Risk Score Based on Secondary Challenge

7. Resource Request

12. Enforce Fine Grained Policy

11. Return New Risk Score Attribute To OES

35

Oracle Access Management OAAM and OAM

Authentication Security

Fraud Detection

Oracle Access Manager

Authentication4. Authenticate with

Virtual AuthN Device

1. Check URL Access

Adaptive Access Manager

Adaptive Access Manager

ID Assertion

2. Evaluate Risk3. Generate and Return Virtual

AuthN Device

5. Validate Credentials, Set SSO Cookie, Assert Identity 6. Evaluate Real Time Transaction Data

7. Calculate Risk for Transaction 1, Set Alert

8. Calculate Risk for Transaction 2, Block

Transaction

9. Calculate Risk for Transaction 3, Set

Secondary Knowledge-Based Authentication or

One Time Pin

36

Oracle Access Management OAM and OIF

Oracle Access Manager Identity Provider

Authentication

Single Sign-On

Federation Services

Federation Services

Service Provider

1. User Requests Protected Resource, OIF Redirects to

OAM for Authentication

2. Challenges User, Authenticates

Credentials

3. Set SSO Cookie, Asserts Authenticated Identity to Federation

Service

4. IdP Generates Authentication Assertion, Sends Signed/Encrypted

Assertion to Service Provider

5. SP Consumes Authentication Assertion,

Locally Authenticates User, Redirects to Protected

Resource

37


Authorization

Oracle Access Management OES and OWSM

Entitlements

2. Retrieve Trusted Subject, Service Request


4. Retrieve Message Context

5. Check Application Authorization Policy

Against Subject/Roles + Resource/Action6. Provide service access

decision to OWSM

WS Security

1. User invokes secured web service

Oracle Web ServicesManager

7. Enforce Fine Grained Service Access

38

Oracle Access Management OAM and OWSM

Oracle Web Services ManagerOracle Access Manager

Authentication

Single Sign-On

WS Security

1. Challenges User, Authenticates

Credentials

2. Set SSO Cookie, Asserts Authenticated

Identity to Portal

3. Portal Invokes Remote Web Service

on User’s Behalf

4. PEP Intercepts Request and Checks

for SSO Cookie

5. SSO Cookie Verified by OAM, Service Access Allowed

39119435, Россия, Москва, Краснопресненская набережная, 18

Башня на Набережной, Блок С(+7495) 6411400 [email protected]

Есть вопросы?

40

Устраняемпреграды...

• СертификацияФСТЭКомнаших решений• Oracle DB• Oracle DB Vault• Oracle IAMS• Oracle ESSO• Oracle IRM

• Локализация• Региональныймаркетинг

Technology

Управление доступом к web-приложениям (Oracle)