среда, 30 декабря 2009 г.

ПРЕСС-РЕЛИЗ "Новая версия Oracle Audit Vault расширяет возможности автоматического аудита и мониторинга баз данных"

Новые функции отчетности и оповещения помогут организациям снизить расходы, связанные с соблюдением нормативных требований и обеспечить защиту от внутренних угроз

REDWOOD SHORES, штат Калифорния, Москва, 24 ноября 2009 г. — Корпорация Oracle объявила о начале продаж Oracle® Audit Vault Release 10.2.3.2. Новая версия продукта позволит организациям обеспечить безопасность своих баз данных и соответствие требованиям регулирующих органов.

Oracle Audit Vault Release 10.2.3.2 поддерживает ряд важных усовершенствований при создании отчетов и формировании предупреждений, которые упрощают процесс аудита баз данных и помогают снизить его стоимость.

«Новая версия Oracle Audit Vault позволит организациям в еще большей мере автоматизировать процессы мониторинга работы и аудита баз данных, помогая сократить совокупные расходы на соблюдение нормативных требований регулирующих органов и защиты критически важных данных, — подчеркнул Випин Самар (Vipin Samar), вице-президент Oracle по технологиям безопасности баз данных (подразделение Database Security). — Oracle специально консультировалась с ИТ-аудиторами, чтобы определить состав необходимой для аудиторов информации, поэтому новые специальные отчеты, включенные в состав Oracle Audit Vault содержат всю информацию, необходимую для прохождения реального аудита баз данных».

Oracle Audit Vault Release 10.2.3.2 - комплексное решение для аудита баз данных и мониторинга в процессе работы с ними - автоматизирует процесс аудита баз данных с помощью новых функций, которые обеспечивают:
  • планирование отчетности, генерацию предупреждений, подтверждение соответствия и архивирование данных, что помогает организациям снизить затраты, связанные с соблюдением нормативных требований к безопасности и конфиденциальности внутренних и внешних данных;
  • формирование «отчетов о полномочиях» с актуальными сведениями (мгновенными снимками данных) о пользователях базы данных Oracle, в которых содержатся их права доступа и профили, что позволяет аудиторам отслеживать изменения, связанные с доступом к базам данных;
  • формирование отчетов о соответствии требованиям законодательства и стандартов для мониторинга и аудита баз данных. В частности, таких, как закон Сарбейнса-Оксли (Sarbanes-Oxley Act, SOX) о финансовой отчетности, закон о страховании здоровья и медицинской ответственности (Health Insurance Portability and Accountability Act, HIPAA) и отраслевой стандарт защиты информации для систем карточных платежей (Payment Card Industry Data Security Standard, PCI DSS).
  • автоматизированную очистку данных аудита в целевых базах данных Oracle и базах данных сторонних разработчиков, после того как эти данные переданы на сервер Oracle Audit Vault и надежно защищены в нем, что помогает снизить операционные расходы на аудит баз данных.
Полная версия пресс-релиза доступна по ссылке http://www.oracle.com/global/ru/press/ppr/24112009.html

ПРЕСС-РЕЛИЗ "Oracle Database Vault повышает защищенность данных в приложениях SAP"

Готовые средства обеспечения безопасности способствуют защите конфиденциальных данных и выполнению регулирующих норм

Oracle OpenWorld, Сан-Франциско, штат Калифорния, Москва, 9 ноября 2009 года. — Продолжая оказывать клиентам помощь в обеспечении более надежной защиты важнейших для бизнеса данных, корпорация Oracle объявила о сертификации Oracle® Database Vault для использования с приложениями SAP®.

Oracle Database Vault позволяет организациям эффективно повышать уровень безопасности и выполнять регулирующие нормы, полностью контролируя доступ к данным приложений SAP, в том числе доступ привилегированных пользователей, таких как администраторы баз данных.

«Данные чрезвычайно важны для любого бизнеса, и они должны защищаться не только для выполнения регулирующих норм, но и для поддержки доверительных отношений между организацией и ее клиентами, — отметил Випин Самар (Vipin Samar), вице-президент Oracle по безопасности СУБД. — Oracle Database Vault эффективно и прозрачно защищает данные приложений, предотвращая несанкционированный доступ и предоставляя клиентам технологии защиты баз данных, необходимые для выполнения нормативных требований. Очередная сертификация распространяет эту защиту на приложения SAP, позволяя клиентам обеспечивать безопасность важнейшей для их бизнеса информации».

Oracle Database Vault создает защитные области вокруг объектов баз данных приложений SAP, чтобы предотвратить несанкционированный доступ пользователей баз данных, в том числе и привилегированных, к конфиденциальной информации, а также для более строго разграничения полномочий пользователей в соответствии с их функциональными обязанностями.

Полная версия пресс-релиза доступна по ссылке http://www.oracle.com/global/ru/press/ppr/09112009.html

четверг, 17 декабря 2009 г.

Интервью Дмитрия Шепелявого журналу "Информационная безопасность"


"Заказчик чувствует себя уверенно, используя прошедшие сертификацию решения"

На вопросы редакции отвечает Дмитрий Шепелявый, руководитель департамента интеграционных решений Oracle, СНГ

– Каково различие российских и зарубежных подходов к защите информации в целом и персональных данных в частности?
– Россия, безусловно, отличается более жестким подходом к защите персональных данных. За рубежом информационная безопасность основана, в первую очередь, на рисках и процессах. В политике безопасности компании, обрабатывающей персональные данные, должно содержаться описание основных бизнес-процессов безопасности, а управление безопасностью должно быть основано на модели угроз и рисков. Зарубежные организации ориентируются на европейские, международные стандарты защиты информации, которые, в основном, не предписывают конкретных технологических решений – этот выбор отдан на откуп конечному пользователю. Единственное требование – решения должны быть обоснованы с точки зрения моделей угроз, рисков, политик, основанных на международных стандартах.
Российский же подход является комбинированным. С одной стороны, он включает в себя процессную составляющую: касающиеся персональных данных документы и подзаконные акты требуют создания модели нарушителя, моделей угроз. С другой стороны, такой подход содержит в себе и конкретные рекомендации по использованию технических средств защиты. Это относится и к антивирусам, межсетевым экранам, системам обнаружения вторжений, система защиты от НСД, аудита, мониторинга и т.д. Таким образом, наши заказчики, пользователи, которые обрабатывают персональные данные, поставлены в более жесткие условия, потому что им четко предписано, какие средства защиты, сертифицированные по какому классу они должны использовать.

С другой стороны, это дает им больше определенности. И меньше шансов ошибиться при выборе технологии защиты персональных данных, тем более если компания выходит на аттестацию. Все четко и ясно: какие средства, какой класс защищенности, какие сертификаты установленного образца нужны. Так что компания заранее будет знать, пройдет ли она аттестацию или нет.

– Как в крупных компаниях принято учитывать требования международного законодательства и требования РФ в области ИБ?
– Для соответствия регулирующим нормам международного законодательства разработки глобальных корпораций, в том числе Oracle, проходят сертификацию и по Common Criteria, и по различным национальным стандартам. В России практика может отличаться. Это зависит, ведется ли компанией разработка в России, насколько официальная сертификация РФ в области информационной безопасности необходима для продаж продуктов, является ли этот фактор критическим требованием потенциальных заказчиков. Для государственного сектора это, безусловно, так.
Поэтому мы, например, придерживаемся той же практики, что и штаб-квартира Oracle, сертифицируя наши средства защиты в соответствии с требованиями российского законодательства, которые со своей стороны государство предъявляет российским компаниям. Получение сертификатов соответствия служит дополнительным подтверждением надежности и безопасности продукта и в дальнейшем позволит расширить сферу его использования, особенно в тех компаниях, которые в своей деятельности руководствуются требованиями регулирующих органов, предписывающих использование сертифицированных средств защиты информации.

Заказчик чувствует себя более уверенно, когда все решения, обеспечивающие информационную безопасность на его предприятии, прошли сертификацию. Это и решения для централизованного управления IT-привилегиями и контроля доступа (identity and access management), и технологии однократной аутентификации пользователей (enterprise single sign-on), и системы защиты баз данных, и системы защиты электронного документооборота (information rights management).

– Каковы Ваши рекомендации по организации защиты ПДн для бизнес-приложений?
– Производителям программного обеспечения часто задают вопрос: "Когда вы будете сертифицировать тот или иной продукт?" Бизнес-приложений очень много, и немалая их часть при конкретном применении может обрабатывать в том числе конфиденциальную информацию. Сертифицировать каждый из несколько тысяч продуктов на соответствие безопасности может оказаться дорого, долго и неоправданно. Безусловно, дополнительные
расходы в результате отразятся на стоимости лицензий бизнес-приложений. И вряд ли заказчики простят это поставщику.
Один из подходов, который мы можем предложить для соблюдения буквы закона и выполнения требований по защите персональных данных в бизнес-приложениях, – сертификация средств защиты информации. Класс таких решений включает решения для централизованного управления IT-привилегиями и контроля доступа, технологии однократной аутентификации пользователей, системы защиты баз данных, системы защиты электронного документооборота и др. Эти средства используются в том числе и для защиты бизнес-приложений.
Применив сертифицированное средство защиты, заказчик в итоге получит автоматизированную систему, которая может быть аттестована как комплекс по требованиям безопасности информации.

Ваше мнение и вопросы присылайте по адресу infosec@groteck.ru

среда, 18 ноября 2009 г.

Использование BI для разработки отчетов в Oracle Identity Manager

Дорогие читатели,

Приятно, что не только мы принимаем участие в формировании содержательной части нашего блога, но и наши коллеги из компаний-партнеров.

Сейчас я с удовольствием хочу представить статью Натальи Семеновой, которая в настоящий момент работает в компании "Астерос". И, пользуясь случаем, хочу попросить всех коллег, работающих в сфере безопасности Oracle: если у вас есть интересный опыт, какие-то уникальные наработки или наблюдения по поводу наших продуктов и их интеграции между собой или с продуктами третьих фирм, - не стесняйтесь, присылайте ваши статьи к нам, мы по мере возможности будем их выкладывать в нашем блоге.

А теперь, собственно, статья.



Использование BI Publisher при разработке отчетов для Oracle Identity Manager

Наталья Семенова

Ведущий консультант-разработчик

Астерос


Введение

В настоящее время система централизованного управления учетными записями Oracle Identity manager (OIM) является одним из наиболее развитых средств аудита и контроля доступов к информационным ресурсам компании. Неотъемлемой частью аудита является система отчетности, позволяющая получить информацию о текущих полномочиях пользователей в информационных системах, а также об истории их изменений.

В OIM существует встроенная система отчетности, с более чем 20 предустановленными отчетами. Помимо стандартных отчетов, OIM предоставляет возможность создания дополнительных отчетов, выполненных в виде PL/SQL процедур. Система отчетности OIM обладает достаточно большим набором функций, но иногда их оказывается недостаточно.

Oracle BI Publisher позволяет расширить функциональность стандартной системы отчетности OIM: увеличить скорость выполнения отчетов, упростить процедуру разработки интерфейса отчета, добавить множество форматов, в которые можно экспортировать результаты их выполнения (MS Office, PDF, HTML и т.д.).

Если, помимо OIM, в компании развернуты другие продукты из стека Oracle Identity Management: Oracle Access manager, Oracle Role Manager или Oracle Adaptive Access Manager, то BI Publisher можно использовать, как единый интерфейс для создания, редактирования и запуска отчетов из всех этих систем.

Для BI Publisher разработано несколько отчетов для OIM, распространяемых по ограниченной лицензии (Oracle Identity Management BI Publisher Reports package), что позволяет использовать их в качестве образца при разработке собственных отчетов.

В данной статье описывается процесс установки BI Publisher на сервер приложений, где развернут OIM, настройки OIM в качестве источника данных для BI, а также показано, как создать несложный аудиторский отчет.

Инсталляция Oracle BI Publisher 10.1.3.3 на Weblogic Server 8.1 sp6

В данной статье предполагается, что установка BI Publisher будет осуществляться на сервер приложений, где ранее был установлен OIM 9.1.0.1, который и будет служить источником данных для создания отчетов.

Далее описаны последовательные шаги по установке BI Publisher и настройке источника данных для отчетности.

1. Заходим в WebLogic Server Administration Console и создаем новый инстанс сервера: Managed Server: Mydomain => Servers => Configure a new server… Указываем имя сервера (например, bipublisher) и порт (например, 8101). Запускаем созданный сервер

2. Распаковываем архив приложения BI Publisher xmlpserver.war, последовательно выполнив следующие команды:

а. mkdir C:\BIPub\xmlpserver.war

b. cd C:\BIPub\xmlpserver.war

c. jar -xvf manual\generic\xmlpserver.war

3. Возвращаемся в административную консоль и выполняем установку приложения: Mydomain => Deployments => Web Application Modules => Deploy a new Web Application Module... На странице Select the archive for this Web application module выбираем путь к директории C:\BIPub\xmlpserver.war.

Ставим галочку, что надо запускать Веб-приложение из ранее выбранной директории - C:\BIPub\xmlpserver.war

Weblogic автоматически выполнит deploy и запустит сервер.

4. Теперь необходимо настроить путь к папке с отчетами

- Копируем папку XMLP в C:\BIPub.

- Открываем файл C:\BIPub\xmlpserver.war\WEB-INF\ xmlp-server-config.xml, в качестве значения параметра file path указано значение %s_Reports_Path%. Меняем это значение на путь к директории XMLP - C:/BIPub/XMLP.

- Копируем шрифты из директории fonts в %JAVA_HOME%\jre\lib\fonts (%JAVA_HOME% - домашняя директория JAVA, на которую поставлен Weblogic domain). Это необходимо для корректной поддержки русских шрифтов.

5. Перезапускаем сервер bipublisher.

Настройка OIM в качестве источника данных для отчетов BI Publisher.

1. Заходим в консоль BI Publisher (http:\\localhost:8101\xmlpserver), пользователь по умолчанию - Administrator / Administrator.

2. Переходим на вкладку Admin =>Data Sources=>JDBC Connections=>Add Data Source.

3. Создаём коннект к БД OIM.

    1. Data Source Name – OIM JDBC
    2. Connection String - jdbc:oracle:thin:@::
    3. Username (пользователь БД OIM)
    4. Password
    5. Database Driver Class - oracle.jdbc.OracleDriver




4. Создаём пользователей для доступа к отчётам, в соответствии с уровнем доступа, который нужно обеспечить при обращении к БД OIM. Например, пользователь xelsysadm будет иметь доступ ко всем объектам OIM, т.е. в отчётах будет выводиться полная информация. Для пользователей, не являющихся администраторами OIM, в отчётах будет выводиться только информация о доступных им объектах. Если запускать отчеты от имени несуществующего в OIM пользователя, то отчёт будет пуст.

После создания пользователя переходим на вкладку Admin => Security Center => Users=>Assign Role и добавляем ему роль BI Publisher Administrator.



Создание отчета о событиях реконсиляции за период

В терминологии OIM под процессом реконсиляции (reconciliation) понимается процесс загрузки данных из подключенной информационной системы. Чаще всего загружаются данные о пользователях и информационных ролях. Изучение данных о реконсиляции, проведенной из информационной системы, позволяет выявить несоответствия между информацией о текущих доступах пользователей, хранящейся в OIM, и фактическими доступами пользователей. Например, если в информационной системе имеется учетная запись, о которой «не знает» OIM, это может означать, что данная учетная запись была создана администратором системы в обход OIM, возможно, с нарушением действующих регламентов информационной безопасности.

Среди стандартных отчетов OIM отсутствует отчет, позволяющий анализировать данные о событиях реконсиляции.

Ниже описаны шаги по созданию в BI Publisher отчета, выводящего данные о событиях реконсиляции. Результаты отчета можно отфильтровать по информационным системам или по периоду их генерации.

1. Заходим в консоль BI Publisher (пользователь xelsysadm, либо любой другой пользователь с правом создания отчетов и просмотра данных в БД OIM).

2. Переходим на вкладку ReportsShared Folders Create New folder и создаем папку, куда мы будем помещать все созданные для OIM отчеты. Например, OIM Reports.

3. Выбираем пункт «Create a new report» и вводим его имя – Recon Events. Выбираем пункт Edit рядом с заголовком созданного отчета. Откроется окно редактирования свойств отчета.




4. Необходимо убедиться, что источником данных для отчета выступает созданный нами источник OIM JDBC.

5. Определим значения, которые могут принимать параметры отчета, имеющие тип «Выпадающий список». Таких параметров будет 3: «Имя объекта», «Статус событий», «Тип отчета».

- Для поля «Тип отчета» зададим просто ограничение, состоящее из двух значений



- Для поля «Имя объекта» зададим ограничение, допускающее выбор любой информационной системы, зарегистрированной в OIM, для которой есть хотя бы одно событие реконсиляции.



- Для поля «Статус событий» зададим ограничение LOV_EVSTATUS на выбор любого статуса, в котором находится хотя бы одно событие реконсиляции.

В поле SQL Query введем следующий запрос:

select r.RCE_STATUS

from RCE r

group by r.RCE_STATUS

6. Определим входные параметры отчета. Данный отчет имеет 5 входных параметров: «Дата С», «Дата По» (задают временной диапазон событий), «Имя объекта» (ограничивает выводимые события по объекту), «Статус событий» (выводить события только в определенном статусе), «Тип отчета» (полный или краткий)

- Параметр «Дата С»: Identifier=p_DateFrom, Data Type = String, Parameter Type=Text, Display Label = «Дата С»

- Параметр «Дата По»: Identifier=p_DateTo, Data Type = String, Parameter Type=Text, Display Label = «Дата По»

- Параметр «Тип отчета»: Identifier=p_Full, Data Type = String, Default Value = SUMM, Parameter Type=Menu, Display Label = «Тип отчета», List of Values = LOV_FULL

- Параметр «Имя объекта»: Identifier=p_ObjectName, Data Type = String, Parameter Type=Menu, Display Label = «Имя объекта», List of Values = LOV_OBJNAME, Can select All = true

- Параметр «Статус событий»: Identifier=p_status, Data Type = String, Parameter Type=Menu, Display Label = «Статус событий», List of Values = LOV_EVSTATUS, Can select All = true

7. Создадим модель данных для нашего отчета. Для этого нужно выбрать пункт меню Data Model и нажать кнопку New.

- Выбираем тип модели – Data Template. В поле Data Template отобразится заготовка для шаблона.

- опишем входные параметры отчета



11. После сохранения всех внесенных изменений отчет готов к запуску.

Дополнительные материалы к отчету

Готовый отчет, созданный при выполнении описанных в статье шагов, доступен для загрузки по адресу: http://sites.google.com/site/russianoraclesecurityteam/file-cabinet/rce.rar?attredirects=0&d=1

Для того чтобы разработанный отчет стал доступен через BI Publisher, достаточно извлечь архив в папку C:\BIPub\XMLP\Reports.

Заключение.

Перевод отчетности Identity Management-приложений в BI Publisher не несет в себе множество дополнительных возможностей, как для централизованного аудита информационной безопасности, так и для контроля числа учетных записей пользователей в различных информационных системах. Последнее очень актуально в случае, когда лицензии на программное обеспечение приобретаются на каждого пользователя, и помогает выявить «мертвые» учетные записи, которым уже не требуется лицензирование.

Как показано в статье, разработка отчета для OIM в BI Publisher является менее трудоемкой, чем с помощью стандартной системы отчетности OIM, так как выполняется полностью через web-интерфейс (за исключением, может быть, написания и отладки sql-запроса). Для переноса готового отчета в BI Publisher достаточно скопировать их в соответствующую папку, в то время как в OIM процедура переноса состоит из импорта PL/SQL-процедуры, и выполнения ряда запросов к БД OIM. Учитывая, что Oracle выпустила набор готовых Identity Management-отчетов для BI, думается, что перевод отчетности на платформу BI Publisher станет тенденцией в будущих внедрениях IDM-продуктов.

вторник, 10 ноября 2009 г.

Использование российской криптографии при аутентификации и организации SSO для широкого спектра Web-приложений


Важное сообщение для партнеров Oracle в области информационной безопасности

Проверена работоспособность лицензионно чистого решения!

Описание проблемы

Российское законодательство (например, Федеральный Закон о Персональных Данных N 152-ФЗ) требует в некоторых случаях обязательного использования Российской криптографии («для ИСПДн 1 класса при многопользовательском режиме обработки ПДн ... должны использоваться сертифицированные средства криптографической защиты»).[1]

При доступе к ИСПДн через Web-интерфейс логично было бы использовать ее для аутентификации пользователей и установки безопасного соединения на HTTP-сервере; но, к сожалению, не для всех систем существует готовая интеграция...

Дело в том, что западные производители программного обеспечения ориентируются на использование криптографии стандарта RSA, в то время как отечественные сертифицированные СКЗИ используют собственные алгоритмы преобразований, такие, как:
  • ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94 (генерация ключевой пары, операции создания и проверки X.509 сертификата и для аутентификации клиента),

  • ГОСТ 28147-89 (операции шифрования данных и имитозащита для обеспечения конфиденциальности и контроля целостности передаваемой информации),

  • ГОСТ Р 34.10-2001 (операции электронной подписи).

В итоге, часто администраторам крупных российских IT-систем приходится дублировать системы обеспечения безопасных подключений и аутентификации. Разумно было бы оптимизировать эти системы, совместив в рамках одного решения защиту гетерогенной Web-среды бизнес-приложений и возможность работы с российской криптографией.

В качестве такого решения мог бы подойти сертифицированный в составе Oracle Identity & Access Management Suite
[2] продукт Oracle Access Manager, обеспечивающий аутентификацию (с организацией Web-SSO), авторизацию и аудит обращений пользователей и администраторов к десяткам различных HTTP, Web-серверов и бизнес-приложений.[3]

История решения проблемы

Российские пользователи классических Web-приложений Oracle (Portal, Collaboration Suite, e-Business Suite и др.) пытались с ними «подружить» ГОСТовую криптографию самостоятельно и с помощью системных интеграторов.

К сожалению, лучшее, чего удалось добиться до сих пор, – это организация защищенного канала связи между клиентом и сервером Oracle AS 10g на уровне TCP/IP соединения с использованием библиотек сертифицированных российских криптопровайдеров (CSP). Аутентификация внутри приложений оставалась прежняя – парольная (или с помощью сертификатов формата RSA при добавлении Oracle SSO сервера).

Попытки решить эту проблему сводились к модификации модуля аутентификации, идущего в составе Oracle HTTP-сервера, что не гарантировало нормальную работу приложения, т.к. при этом нарушалась его целостность (и лицензионная чистота). Кроме того, существовали дополнительные интеграционные ограничения.

Их снял только новый продукт, – Oracle Access Manager (OAM), поддерживающий широкий спектр различных HTTP-серверов на основе свободно распространяемого программного обеспечения. OAM умел передавать идентификатор пользователя как приложениям Oracle, так и Web-приложениям других вендоров; осталось только научить его получать этот идентификатор от системы, понимающей аутентификацию по ГОСТ...

В качестве такой системы мог подойти любой HTTP-сервер Apache со шлюзом (webgate) OAM, дополненый росийскими библиотеками для обеспечения безопасных подключений и аутентификаций по ГОСТ. С лицензионной точки зрения нет никаких проблем для разработчиков и пользователей этих дополнительных библиотек.

В итоге появляется возможность построить универсальную систему, обеспчивающую

  1. создание защищенных соединений между клиентами и пограничными HTTP-серверами Apache (ГОСТ и не-ГОСТ)
  2. проверку X.509 сертификатов и аутентификацию клиентов (ГОСТ и не-ГОСТ)
  3. безопасную передачу идентификатора пользователя, аутентентифицированного по ГОСТ и не-ГОСТ сертификату на Web-сервера бизнес-приложений с организацией Web Single Sign-On, авторизация на защищаемых web-ресурсах по дополнительным факторам, аудит обращений

Описание решения

Выяснилось, что решение компания Digt (ООО «Цифровые технологии»)[4] Trusted TLS[5] прекрасно интегрируется с OAM и справляется с этой задачей, работая в паре с сертифицированным СКЗИ «КриптоПро CSP».[6]

Trusted TLS работает через протоколы TLS/SSL (SSL v.2/v.3 или TLS v.1.0) с помощью средств, предоставляемых библиотекой OpenSSL. Он поставляется в виде специальной сборки сервера Apache.

Модуль mod_digt_tls.so обеспечивает работу по протоколу TLS на ГОСТ-алгоритмах, используя низкоуровневые вызовы функции криптопровайдера КриптоПро. Это означает, что многие российские организации могут получить лицензионно чистое решение по использованию российской криптографии для аутентификации и организации Web-SSO в гетерогенной среде.

Краткий список защищаемых с помощью накладных сертифицированных ФСТЭК решений включает:

  • множество Web-приложений, доступ к которым организован через сервера Apache и их модификации от Oracle и IBM, сервера IBM Domino, Microsoft IIS и ISA, Sun JS
  • множество Web-приложений, работающих на серверах приложений и порталах Oracle (OC4J через Oracle SSO и WebLogic), IBM WebSphere, Microsoft (Portal и SharePoint), SAP и Plumtree
  • приложения Oracle – eBusiness Suite, Siebel, PeopleSoft, iFlex

При своем недавнем обновлении продуктов интеграционного слоя Oracle Fusion Middleware 11g компания подтвердила, что Oracle Access Manager будет являться основным решением для организации SSO для продуктов OFM 11g и всех будущих приложений.[7] Такому выбору способствовала гибкая архитектура решения, в частности, – поддержка разнообразных хранилищ идентификационных данных через Oracle Virtual Directory.

Поэтому мы призываем партнеров Oracle в области информационной безопасности ориентироваться именно на этот продукт, предлагая заказчикам решение для WebSSO.



Рекомендации и поддержка

По информации разработчика, - компаниии Digt, для обеспечения кроссплатформенности конечного решения разработка модуля Trusted TLS ведется на платформах Linux RedHat 7.3/9.0, Solaris 9 Sparc 32, Windows 2000+

Мы все же рекомендуем вам ориентироваться на Windows-платформу, в частности, - на актуальные версии, встречающиеся в вышеупомянутом реестре сертифицированных средств защиты информации ФСТЭК.

КриптоПро CSP поддерживается на Windows 2000/XP/2003/Vista/2008; так что с этим тоже не будет проблем.

Существуют версии Trusted TLS для HTTP-серверов Apache 1.3, Apache 2.0 и Apache 2.2. По вышеуказанной таблице «Oracle Access Manager Certification Information» находим, что поддерживаются следующие шлюзы (Webgates)

  • Apache 1.3.x – на платформе Windows 2000 AS SP4 or later SPs & Windows 2003 EE SP1 or later SPs
  • Apache 2.0.x – на платформе Windows 2000 AS SP4 or later SPs, Windows 2003 EE SP1 or later SPs, Windows 2008 EE all SPs
  • Apache 2.2.x – на платформе Windows 2003 EE SP1 or later SPs & Windows 2008 EE all SPs


Список OID атрибутов сертификата X.509, поддерживаемых OAM, приведен в главе «Настройка аутентификации пользователей» руководства по администрированию Oracle Access Manager:

http://download.oracle.com/docs/cd/E15217_01/doc.1014/e12488/v2authen.htm#CACCBAAI

Пример установки и настройки OVD и OAM можно найти по ссылке:
http://www.oracle.com/technology/obe/fusion_middleware/im1014/ovd-oam/index.htm

По вопросам деталей настройки интеграции между OAM и Trusted TLS просьба обращаться письменно по адресу
igor.mineev@oracle.com


[1] http://www.fstec.ru/_spravs/meropriaytiay.doc
[2] См. сертификат ФСТЭК №1664 от 18 августа 2008 г. в реестре сертифицированных средств защиты информации по адресу http://www.fstec.ru/_razd/_serto.htm
[3] См. закладки «Webgates» и «3rdParty Oracle Integrations» в таблице http://www.oracle.com/technology/products/id_mgmt/coreid_acc/pdf/oracle_access_manager_certification_10.1.4_r3_matrix.xls
[4] http://www.digt.ru/company/ или http://www.trusted.ru/company/about/
[5] http://www.trusted.ru/products/trusted-tls/about/
[6] http://www.cryptopro.ru/cryptopro/products/csp/
[7] http://www.oracle.com/technology/products/id_mgmt/coreid_acc/pdf/oracle-access-manager-101430-faq-ext.pdf