Управление доступом в Oracle Cloud

На мероприятиях мы часто говорили о том, что сервисы разграничения доступа к облачным службам Oracle построены на базе наших IdM-решений. К сожалению, далеко не все заказчики использовали все их преимущества, такие как:

• Массовое создание учетных записей в Oracle Cloud

• Массовое начначение привилегий учетным записям в Oracle Cloud

• Оповещение сотрудников об изменениях атрибутов их учетных записей в Oracle Cloud через копоративную почту

• И наконец - федеративную аутентификацию

Настроенная федеративная аутентификация позволяет отказаться от испрользования паролей, хранящихся у поставщика облачных сервисов (таких, как Oracle IaaS, PaaS, SaaS и др.) в пользу проверки паролей в корпоративных каталогах (таких, как MS Active Directory) или в облачных каталогах (например, MS Azure Active Directory).

За последний месяц на наших ресурсах были опубликованы несколько инструкций, облегчающих использование Oracle Public Cloud за счет настройки его служб Shared Identity Management. См.

• docs.oracle.com/cloud/latest/trial_paid_subscriptions/tutorials.htm и
• ateam-oracle.com/configuring-oracle-public-cloud-to-federate-with-microsoft-azure-active-directory 

Кроме того, много полезных материалов по теме федеративных отношений и организации SSO можно найти на Damien Carru's Blog: It's a Federated World

Материалы семинара по мобильной безопасности

Презентации с прошедшего в нашем офисе 29 июля семинара выложены на GoogleDrive.

Кроме них, вы можете скачать брошюру "Расширение возможностей корпоративной платформы управления идентификационными данными и доступом с помощью решений Oracle Mobile Security" и посмотреть нашу видеопрезентацию Oracle API Gateway на Youtube.

Обновленная брошюра по Enterprise Single Sign-On Suite

Долгое время набор Oracle Enterprise Single Sign-On развивался эволюционно; но последние версии этого решения позволяют предприятиям, традиционно ориентировавшимся на защиту только клиент-серверных приложений на рабочих станциях Windows, выйти за эти рамки... Благодаря лицензионному включению поддержки Oracle Access Portal они имеют возможность дополнительно реализовать SSO к web-приложениям для мобильных клиентов и познакомиться с блоком решений Oracle Access Management.
Мы решили напомнить также о базовых функциях сертфицированного ФСТЭК'ом Oracle Enterprise Single Sign-On Suite и обновили техническую брошюру.

Приглашение на семинар по мобильной безопасности

Уважаемые коллеги, Московское представительство компании Oracle приглашает вас посетить 29 июля 2014 года семинар "Oracle Mobile Security - Безопасность и новые возможности для бизнеса". Ознакомиться с программой и зарегистрироваться можно здесь.

Новое партнерское решение в области контроля доступа

Наши партнеры из "Информзащиты" прислали описание интеграционного решения, обеспечивающего многофакторную аутентификацию и однократную регистрацию с использованием ГОСТовых цифровых сертификатов для клиентов трехзвенных приложений. Основными компонентами решения являются Oracle Access Manager и программный комплекс Континент TLS VPN разработки компании «Код безопасности»; кроме того задействованы требующие ввода PIN съемные ключевые носители и каталог MS Active Directory.

Скачать брошюру можно с GoogleDrive, а за подробной информацией можно обратиться к Начальнику отдела систем управления идентификационными данными ЗАО НИП «Информзащита» Дмитрию Андрейчеву 

Для чего нужен Access Portal и другие новые возможности Oracle Access Management 11gR2 PS2

В опубликованной 17 января новости о выходе нового патчсета Oracle IdM не были описаны конкретные детали - желающие легко могли найти их в соответствующих разделах документации, например, What's New in Administrator's Guide for Oracle Access Management.

С некоторыми пунктами все было понятно - например, мы давно ждали делегированного администрирования, порядка применения политик, полноценной поддержки сервисов OAuth 2.0 и миграции в новую консоль федеративных идентификаторов; но предназначение некоторых новых модулей (например, Access Proxy) в документации было описано недостаточно популярно...

Недавно коллеги с официального блога Oracle Identity Management исправили этот недочет. Статья "What's New in PS2? The Cloud Access Portal"рассказывает о типичных проблемах, связанных с аутентификацией пользователей в облачных приложениях и о методах их решения. Схема внизу объясняет, что Access Portal нужен в том случае, если пользователь обращается к ресурсу, не защищенному самим Oracle Access Manager или не интегрированному с помощью федеративных сервисов.

В этом случае [привыкший к SSO] клиент должен вводить свои идентификационные данные в поля ввода имени и пароля. Выходом могло бы быть применение "классического" Enterprise Single Sign-On, но это решение (в связи с необходимостью установки агента) ограничено платформой Windows, что не совсем соответствует требованием сегодняшнего дня...

Поэтому была разработана схема расширения платформы Oracle Access Management, которая обеспечивает поддержку однократной (или многофакторной, или на основе риска) аутентификации клиентов любых устройств и передачу приложениям меток аутентификации требуемого формата - либо маркеров OAM, либо федеративных утверждений, либо подстановку имени/пароля через Form-Fill Service. 

Настройка последнего сценария как раз и выполняется через Access Portal, а необходимые облачному приложению идентификационные данные клиента автоматически извлекаются из репозитория ESSO в момент обращения... По-моему, изящно :-)

Примеры практического применения других нововведений можно посмотреть в статье "Oracle Access Manager - What's new in PS2" на блоге Oracle Fusion Middleware Security.

 

Брошюра по Mobile Security и информация по уязвимости в OpenSSL (Heartbleed)

К сожалению, нечасто удается найти время и силы для качественного перевода наших технических материалов... На этот раз мы взялись за Oracle Mobile Security Suite и подготовили локализованную версию OMSS Technical Whitepaper. Правда, возможны небольшие расхождения с оригиналом, поскольку на корпоративном сайте в документ периодически вносят обновления.

Итак, знакомьтесь - "Расширение возможностей корпоративной платформы управления идентификационными данными и доступом с помощью решений Oracle Mobile Security".

Вторая тема - уязвимость Heartbleed, обнаруженная в пакете OpenSSL - наделала много шума; поэтому многим производителям ПО пришлось выпустить не только программные заплатки, но и пресс-релизы, чтобы успокоить своих заказчиков. Не стала исключением и компания Oracle, выпустившая бюллетень "OpenSSL Security Bug - Heartbleed / CVE-2014-0160".

Обратите внимание, на бОльшую часть решений Oracle данная уязвимость не оказывает влияния, но вот компоненты Oracle Mobile Security Suite такому риску подвержены; правда, для актуальных версий уже есть заплатки, которые можно скачать с сайта поддержки (см. MOS Note 1664164.1)

Видеопрезентация Oracle API Gateway на Youtube

Команда Oracle CIS Enterprise Security подготовила видеопрезентацию с позиционированием нашего решения Oracle API Gateway в качестве удобного средства периферийной защиты SOA-инфраструктуры и интеграционного решения, обеспечивающего легкое подключение мобильных приложений.

Видео знакомит с многообразием публичных и корпоративных сервисов, организацией их работы и способами нейтрализации потенциальных угроз; также даны примеры контроля содержимого ответных сообщений и их модификации в зависимости от контекста запроса, реализованные без проведения изменений в связанных IT-системах и приложениях.

Таким образом, один продукт решает и задачи безопасности, и бизнес-задачи по быстрому развертыванию новых каналов интеграционного взаимодействия.
Видео доступно по ссылке http://www.youtube.com/watch?v=KXulA9DdsXs

Oracle Mobile Security Suite - подробности

Переведенную листовку о нашем новом решении безопасности для защиты корпоративных данных и приложений на мобильных устройствах можно скачать с Google Disk.

В связи с расширением функционала и появлением новых позиций в прайс-листе обновилась информация о лицензировании наших продуктов в документации по FMW. Появился всеобъемлющий набор Enterprise Identity Services Suite, а также Mobile Security Suite и Secure Mobile Mail Manager.

Дистрибутивы новых решений доступны для скачивания, но защищены паролями. При наличии интереса к ним и к документации Bitzer Mobile обращайтесь к нам напрямую. Возможно также проведение демонстраций для потенциальных заказчиков.

Публично доступная информация о внедрениях решений безопасности Oracle

Год	Компания	Отрасль	Особенности проекта	Ссылка на публичную статью	Партнер
2016	Связь-Банк (группа Внешэкономбанка)	Финансы	Защита от мошенничества - фрод-мониторинга операций в каналах дистанционного банковского обслуживания (ДБО) физических лиц, созданную на базе решения Oracle Adaptive Access Manager (ОААМ) ·         Oracle Adaptive Access Manager, ·	http://www.jet.msk.su/about/news/18875/	Jet Infosystems
2014	Банк Москвы	Финансы	Автоматизированное управление правами доступа ·         Oracle Identity Manager	http://www.jetinfo.ru/jetinfo_arhiv/entsiklopediya-idm/my-beseduem-o-prichinakh-i-nyuansakh-vnedreniya-v-banke-moskvy-idm-resheniya/2014	Jet Infosystems
2013	Высший Арбитражный Суд РФ	Госсектор	Аутентификация в OeBS по учетным записям в MS AD ·         Oracle Access Manager, ·         Oracle Internet Directory And Oracle Directory Integration Platform	http://security-orcl.blogspot.ru/2014/04/oracle.html	IBS
2013	Газпром трансгаз Ухта	Энергетика	Автоматизированное управление учетными записями ·         Oracle Identity Manager, ·         Oracle Access Manager, ·         Oracle Enterprise Single Sign-On	http://security-orcl.blogspot.ru/2013/11/oracle-day-2013.html	Газинформсервис
2013	Альфа-банк	Финансы	Единая платформа для реализации интернет банка «Альфа-клик 2.0»   ·         Oracle Access Manager, ·         Oracle Adaptive Access Manager, ·         Oracle Internet Directory And Oracle Virtual Directory ·         Oracle Entitlement Server.	https://www.oracle.com/ru/corporate/pressrelease/internet-bank-alfaclick-transferred-to-new-platform-oracle-fusion-middleware-20130424.html  https://www.oracle.com/ru/corporate/pressrelease/2-14729.html https://alfabank.ru/press/news/2013/4/24/30739.html http://forum.sources.ru/index.php?showtopic=375981	Oracle консалтинг, Альфа-банк
2013	Лето банк	Финансы	Автоматизированное управление учетными записями ·         Oracle Identity & Access Management Suite	https://www.oracle.com/ru/corporate/pressrelease/2-14730.html http://www.cnews.ru/news/news/leto_bank_avtomatiziroval__upravlenie	AT Consulting
2012	ВТБ	Финансы	Система обеспечения безопасности доступа к приложениям. ·         Oracle Identity Manager, ·         Oracle Access Manager ·         Oracle Enterprise Single Sign-On ·         Oracle Label Security ·         Oracle Audit Vault	http://www.rdtex.ru/press-center/news/news20120423/ http://www.rdtex.ru/press-center/news/news20101118/	RDTEX (SP + DB Sec)
2012	ОТП Банк (Украина)	Финансы	Система централизованного управления учетными данными и правами доступа. Автоматизация управления ролями. ·         Oracle Identity Manager, ·         Oracle Identity Analytics	http://www.jet.msk.su/about/news/13296/	Jet Infosystems (SP)
2012	Киевстар (Украина)	Телеком	Система управления учетными данными и правами доступа, аттестация и пересмотр прав доступа. ·         Oracle Identity Manager	http://www.jet.msk.su/about/news/13342/	Jet Infosystems (SP)
2012	РОСНО	Страхование	Внедрение средств защиты персональных данных. ·         Oracle Identity Manager, ·         Oracle Access Manager.	http://www.croc.ru/experience/14387/	Croc
2012	МРСК Центра и Приволжья	Энергетика	Система централизованного управления учетными данными и правами доступа. ·         Oracle Identity Manager	http://www.fors.ru/pressroom/news/1041/  http://www.fors.ru/business-solutions/information-security/index.php	Fors (SP)
2011	Вимм-Биль-Данн	Производство	Проект управления идентификацией. Oracle Identity Manager	http://www.iemag.ru/interview/detail.php?ID=23847	R-Style (SP)
2011	Иркут	Промышленность	Управление учетными записями пользователей. ·         Oracle Identity Manager	http://www.jet.msk.su/about/news/13206/	Jet Infosystems (SP)
2010	ПромСвязьБанк	Финансы	Система централизованного управления учетными данными и правами доступа. ·         Oracle Identity Manager	http://oracleday.ru/presentation2010/oday_fmv_promsvyaz.pdf http://www.fors.ru/business-solutions/information-security/index.php	Fors (SP)
2010	Райффайзен Банк Аваль (Украина)	Финансы	Система управления жизненным циклом учетных записей ·         Oracle Identity Manager	http://www.snt.ua/884.ua.php	«ЭС ЭНД ТИ УКРАИНА»
2009	СИБУР	Нефтегаз	Интегрированный набор продуктов IAMS. ·          Oracle Identity & Access Management Suite	http://www.r-style.ru/projects/neftegaz/ooo-sibur/	R-Style (SP)
2009	Университет ФизКультуры Спорта и Туризма	Образование	Обеспечение информационной безопасности на базе набора продуктов IAMS ·         Oracle Identity Manager	http://www.cnews.ru/news/line/rgufksit_vnedril_sistemu_avtorizatsii	R-Style (SP)
2008 2015	Мегафон	Телеком	Корпоративная система управления доступом на основе ролевой модели. ·         Oracle Identity Manager ·         Oracle Role Manager	http://www.asteros.ru/upload/iblock/235/2350a505a22a4acbefc8cbbac73586d8.pdf https://www.oracle.com/ru/corporate/pressrelease/hardware-and-software-extends-oracle-exadata-development-reporting-in-megafon-20151006.html	Астерос (SP)
2008	СУЭК	Энергетика	Централизованная система управления доступом. ·         Oracle Identity & Access Management Suite	http://www.ibs.ru/media/news/suek-sozdala-tsentralizovannuyu-sistemu-upravleniya-dostupom/	IBS Borlas
2007	Аэрофлот	Авиаперевозки	Централизованное управление идентификацией на базе IAMS ·         Oracle Identity Manager	http://www.pcweek.ru/themes/detail.php?ID=104989	R-Style (SP)
2007	Билайн (ОАО «ВымпелКом»)	Телеком	Управление идентификационными данными пользователей ·         Oracle Identity Management ·         Oracle Internet Directory ·         Oracle SSO	http://www.cybersecurity.ru/news/26302.html	Борлас