Oracle IdM Self Study Materials

Oracle регулярно публикует на различных ресурсах материалы для самостоятельного изучения... Для новичков наиболее полезными являются проработанные сценарии решения конкретных задач. Я решил собрать ссылки на актуальные советы в одном месте...

Для начала - учебные материалы от

Configuring an Identity Provider with Oracle Cloud as Service Provider

Oracle Mobile Security Suite 11g R2 PS3 Series

Oracle Identity Manager 11g R2 PS3: Getting Started Series
Oracle Identity Manager 11g R2 PS3: Upgrade Series
Oracle Privileged Account Manager 11g R2 PS3: New Features
Oracle Identity Manager 11g R2 PS2: ADF Primer Series
Oracle Identity Governance 11g R2 PS1: Customization Series
Oracle Identity Manager 11g R2 PS1: Closed Loop Identity Certification

Oracle Mobile and Social 11g R2 PS2 SeriesOracle Access Portal 11g R2 PS2 Series
Oracle Access Manager 11g R2 PS2 Upgrading 

Oracle Directory Services 11g Series: Virtual Directory Setup
 
Oracle Platform Security Services 11g R1 Series

Oracle Enterprise Manager 13c: Best Practices for Identity Management - Using Dashboards
Oracle Enterprise Manager 12c: Best Practices to Successfully Monitor and Manage Oracle’s Identity Management Product Line
Oracle Enterprise Manager 12c: Compliance Management for Oracle Identity Manager
Oracle Enterprise Manager 12c: Manage Oracle Identity Management

Oracle Identity Manager 11g R2 Sample Assets
...

Oracle Access Management 11g R2 PS3 Workshop
Oracle Identity Governance 11g R2 PS3 Workshop
Место размещения пусть вас не смущают... Для доступа к материалам потребуется аутентификация (скорее всего - партнерский аккаунт), поэтому я скопировал описание тренингов и лабораторные работы в личную папку

Oracle Cloud Services Security

На сайте наконец опубликована 40-страничная брошюра с детальным описанием подхода к обеспечению безопасности публичных облачных сервисов Oracle.

После общих слов и раздела с разграничением обязанностей и советов "самим не плошать" идет подробное перечисление того, что сделано корпорацией для защиты информации клиентов...
Для примера приведу содержание 4-й главы о защите инфраструктуры:

1. Physical Security Safeguards
2. Oracle Cloud Services Access for Oracle Employees
3. Background Checks
4. Measures to Minimize Employee Risks
5. Oracle Corporate Network Segregation
6. Secure Network Architecture
7. Encrypted Access to Oracle Cloud Services
8. Platform Hardening and Monitoring
9. Security Incident Response
10. Malware Prevention
11. Internal Oversight by Executives
12. Data Disposal
13. Physical Media in Transit
14. Data Privacy
15. Third Party Audit Reports

Далее - главы, посвященные работе общих сервисов по управлению идентификационными данными и доступом (Shared Identity and Access Management = SIM) и безопасности, специфичной для отдельных облачных решений.

Скачать кижку можно из облачного раздела Learn More - White Papers
https://cloud.oracle.com/en_US/compute?lmResID=1385171309534&tabID=1383678920245 

Материалы по свежему релизу Oracle Identity & Access Management

В середине мая появилась информация о выходе нового релиза Oracle IdM; вскоре обновились страницы для скачивания и документации... 29 числа компанией был проведен соответствующий вэбкаст. Внимание в основном было уделено новым возможностям релиза 11.1.2.3; в первую очередь - OIM'а (см. иллюстрированные примеры в статье "What’s New in Oracle Identity Manager 11gR2 PS3?") и OUD'а.

Постепенно на официальном сайте обновляется информация и по другим модулям, в частности по радикально переработанным средствам обеспечения мобильной безопасности. Например, на OTN-странице Oracle Mobile Security Suite появилась брошюра "What's New in Oracle MSS 11gR2 PS3". В Oracle Enterprise Single Sign-On Suite изменений немного; главное - появилась полноценная поддержка клиентов Windows 8/8.1.

Следует отметить, что пакет обновлений выпущен и для "классического" Oracle Identity Management 11.1.1.9, и в Internet Directory, и в Virtual Directory, и в Directory Integration Platform тоже появились новые возможности.


Ниже - пару слов о развертывании нового IdM... Всего за две недели в интернете опубликовано с десяток постов на эту тему; мы тоже попробовали и рекомендуем воспользоваться средствами автоматизированного деплоймента (Lifecycle Management Tools), появившимся еще в предыдущем патчсете (IdM 11gR2 PS2). Для наиболее востребованной схемы развертывания "OIM-OAM-OMSS Integrated with Directory" на одной машине вам понадобятся 15 ГБ оперативной памяти, около 20 ГБ на жестком диске под дистрибутивы и 30 ГБ под сконфигурированные компоненты.

Наши друзья с блога Securny.com проделали отличную работу и разместили у себя пошаговую инструкцию. Если ее кому-то будет мало, можно найти такой же вариант у Muthu Manoharan'а и примеры небольшого траблшутинга у Sumit Gupt'ы. Последний запостил также руководство по развертыванию и настройке OUD'а.


Появляются и инструкции по обновлениям до 11.1.2.3.0; например, на findiamsolution - для OAM, а на orclidentitymanagement - для OIM. Кроме того, для знакомства с новыми возможностями OIM 11gR2 PS3 на identityincloud уже выложено несколько лабораторных работ.

Пользуйтесь и делитесь своими находками! Удачи!
 

Как скачать дистрибутивы для установки Oracle Mobile Security Suite (OMSS)

На текущий момент, июнь 2015, самая свежая версия OMSS называется 11g R2 PS3 или 11.1.2.3.

Версии сопутствующего ПО указывать не буду, т.к. их нужно смотреть в матрице сертификации под выбранный вами продукт и операционную систему:
 System Requirements and Supported Platforms for Oracle Identity and Access Management 11g Release 2 (11.1.2.3.0) ( xls)

Скачивать дистрибутивы можно с трех мест: Oracle Technology Network, Oracle Software Delivery Cloud или с My Oracle Support.

Итак, вам понадобится:

1. База данных Oracle
2. JDK
3. Oracle WebLogic Server 10.3.6
4. Repository Creation Utility 11g Release 1 (11.1.1.9.0)
5. Oracle Identity and Access Management 11g (11.1.2.3.0)
6. Oracle Mobile Security Access Server 11.1.2.3.0
7. Oracle Mobile Security Suite Clients 11.1.2.3.0
8. LDAP каталог, например Active Directory или Oracle Unified Directory 11g (11.1.2.3.0).

Ссылка для скачивания с OTN: Identity & Access Management 11gR2 Downloads

Ссылка для скачивания с My Oracle Support:  IAMS, MSAS, OMSS Clients, OUD.

Ссылка для скачивания с Oracle Software Delivery Cloud под Linux 64: Oracle Fusion Middleware Identity Management 11g R2

Документация по OMSS 11.1.2.3.0.

Инструкция как скачивать с Oracle Software Delivery Cloud:

• Открываете https://edelivery.oracle.com/
• Нажимаете кнопку Sign In / Register 
• Авторизуетесь под своей учетной записью Oracle (если у вас ее нет, создайте новую, задав свой emeil адрес и пройдя по ссылке в письме, которое вам придет на указанный email)
• Поставьте галочки I have reviewed the terms of the License Agreement or Oracle Trial License Agreement and accept its terms. и YES, I accept these Export Restrictions и нажмите кнопку Continue.
• Выберите раздел Oracle Fusion Middleware и нужную операционную систему, нажмите Go.
  
• Выберите раздел Oracle Fusion Middleware Identity Management 11g R2 Media Pack 11.1.2.1.0 B69737-18 
  
• Далее откроется длинная простыня с дистрибутивами из которой можно скачать нужный вам софт. 
  

Материалы недавних семинаров по информационной безопасности Oracle

Как обещали, выкладываем презентации с недавно прошедших в Москве мероприятий по информационной безопасности.

Партнерский семинар «Oracle Enterprise Security –
истории успеха и перспективы развития» 26 февраля 2015 года

 

Семинар «Oracle Secure Exadata: Защита конфиденциальной информации
и персональных данных для интегрированных систем» 3 марта 2015 года

Кроме того, в свободном доступе - подготовленные Николаем образы лабораторных работ.

Были рады видеть наших гостей; спасибо всем за замечательную атмосферу!

Новые сертификаты Федеральной службы по техническому и экспортному контролю (наконец-то!)

Под Новый год ФСТЭК России приготовила нам подарок – выдала сертификаты на средства защиты информации IdM и ряда пакетов из состава FMW на платформе Exalogic.

Расшифровка сути содержимого сертификата №3295 сроком действия до 9 декабря 2017 года дает следующую информацию - пакеты Oracle Identity and Access Management версии 11g R2 PS1 (11.1.2.1.0) [основной медиа-пак V37472, Entitlements Server Security Module V37473, Unified Directory V37478, диск с Bundle Patch и критическими обновлениями] прошли проверку на соответствие требованиям руководящих документов «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) - по 3 классу защищенности и «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) - по 2 уровню контроля. Другими словами - могут использоваться в качестве средств защиты информационных систем высокого уровня, обеспечивая экстернализацию (замену) сервисов безопасности, обычно встроенных в используемые заказчиком приложения. Недостаток исходной позиции - фрагментарность хранилищ учетных данных, средств управления и контроля, а также - отсутствие сертификации средств защиты.

Сертификат №3299 сроком действия до 16 декабря 2017 года позволяет использовать базовые средства защиты Oracle Fusion Middleware версий 11.1.1.7 и 11.1.1.8 на платформе Exalogic в соответствии с ТУ и Формуляром.

Чуть ранее мы получили и высокоуровневый сертификат на FMW №3196 сроком действия до 7 июля 2017 года, но версия ПО там постарше - 11.1.1.3.

Чтобы как-то упорядочить картину с нашей программой сертификации средств безопасности, мы подготовили соответствующую шпаргалку.

Надеюь, в 2015 году таблица пополнится еще несколькими новыми сертификатами :-)

Правила получения сертификатов, медиа-паков и сопроводительной документации - прежние. Для одобрения запроса по IdM (№3295) заказчику необходимо подвердить лицензирование Oracle Identity and Access Management Suite Plus или Oracle Identity Governance Suite или Oracle Access Management Suite Plus или Oracle Enterprise Identity Services Suite. С сертификатом №3299 похожая ситуация; подойдут лицензии ряда пакетов FMW для работы на Exalogic - минимум Oracle WebLogic Suite или Oracle WebCenter Content. Для получения высокоуровневого сертификата по FMW (№3196) также понадобятся лицензии на WebLogic Suite или WebCenter Content.

Вебинары Enterprise Manager для Identity Management и Identity Governance 11gR2 PS2

Приглашаем заказчиков и партнеров посетить два ближайших онлайн семинара по Identity Management:

• Первый семинар Enterprise Manager: New Features and Best Practices for Identity Management, который состоится в среду 10 сентября 2014 в 18:00. Продолжительность один час.

В сессии будут рассмотрены вопросы, с которыми часто сталкиваются клиенты, например успешный практический опыт мониторинга решений Oracle Identity Management, Oracle Directory Services и Oracle Access Management, а также как они обеспечивают полное решение для управления.

Для регистрации на семинар откройте страницу Oracle Enterprise Manager 12c: Live Webcasts, найдите на ней название семинара "Enterprise Manager: New Features and Best Practices for Identity Management" и нажмите кнопку Register. На следующей странице выберите ссылку Live Customer Webcast: New Features and Best Practices for Identity Management, далее введите имя и фамилию и нажмите Join Now.

• Второй семинар Identity Governance 11gR2 PS2, пройдет в четверг 11 сентября 2014 в 17:00. Продолжительность полтора часа. В конце будет сессия вопросов и ответв.

На этом тренинге будет предоставлен технический обзор новых функций самой последней версии Identity Governance 11gR2 PS2. Посмотреть более подробную программу тренинга, а так же зарегистрироваться на него можно на странице Identity Governance solution Webcast.

Пресс-релизы по теме IdM

С начала 2014 года на сайте Oracle опубликовано уже несколько пресс-релизов по нашим продуктам; часть из них переведена на русский язык. Итак,

• 12 марта - Oracle Mobile Security Suite предлагает безопасное развертывание приложений и доступ к данным на мобильных устройствах 
• 15 апреля - Oracle объявляет о защите «Расширенного предприятия» в Oracle Identity Management
• 16 апреля - Новое приложение Oracle Mobile Authenticator превращает мобильное устройство в аппаратный аутентификатор

Новые внедрения решений безопасности Oracle и новости партнеров

Пришло время обновить нашу таблицу, опубликованную в мае прошлого года... Повод появился еще полгода назад, когда наши партнеры из ООО «Газинформсервис» представили на Oracle Day 2013 в Москве согласованный с заказчиком доклад о внедрения решения по автоматизированному управлению учетными записями пользователей в ООО «Газпром трансгаз Ухта». В состав решения вошли Oracle Identity Manager, Oracle Access Manager и Oracle Enterprise Single Sign-On Suite.
Справедливости ради стоит заметить, что это - всего лишь типовой пример внедрения, которые проходят во многих дочерних компаниях ОАО «Газпром». Кроме ООО «Газинформсервис», на IdM-проектах в ОАО «Газпром» активно работают наши партнеры из ООО «НПО ВС» (ссылка1, ссылка2), НИИ СОКБ и другие компании...


Разглядеть наши технологии в пресс-релизе компании IBS, посвященном созданию новой инфраструктуры для Высшего Арбитражного Суда РФ, на первый взгляд не так уж просто :-) Немного помогает связанная статья на CNews, но без брошюры с архитектурой решения всё равно не слишком понятно, что там и для чего. Наш хороший знакомый, бизнес-архитектор Группы IBS Александр Касенков любезно поведал подробности и пообещал подготовить подробное техническое описание, подобное приложенным ниже листовкам.

Итак, на проекте решается типовая задача по аутентификации в Oracle eBusiness Suite с помощью ГОСТовых сертификатов, размещенных на eToken... Для организации ГОСТового канала между клиентом и серверной инфраструктурой используется StoneGate SSL VPN со СКЗИ производства «Крипто-Про»; изделие StoneSoft похоже также аутентифицирует клиента в MS Active Directory и передает идентификатор (например, ключ Kerberos) в его обозреватель. При запросе клиентом любого защищенного с помощью Oracle Access Manager ресурса этот идентификатор перехватывается шлюзом WebGate и передается в OAM для валидации. После успешной проверки ключа Kerberos на MS AD для клиента создается новая сессия OAM и обеспечивается WebSSO ко всем разрешенным ресурсам.

Поскольку идентификаторы одного клиента в OeBS и MS AD могут не совпадать, для их синхронизации используется промежуточный LDAP-каталог Oracle Internet Directory и сервис Oracle Directory Integration Platform. Поэтому, когда клиент хочет попасть на OeBS, OAM запрашивает в OID связанную с предъявленным идентификатором MS AD учетную запись OeBS, а затем (уже с правильным именем) перенаправляет клиента на OeBS через свой специализированный шлюз Oracle E-Business Suite AccessGate... Как-то так; в общем, чтобы кому-то было потом легко, кому-то другому сначала надо как следует поработать :-)


К счастью, по другим типовым решениям от IBS мне писать ничего не надо - посмотрите, если интересно на "Модуль  формирования  и  проверки  электронной  подписи  при согласовании заявок на доступ в Oracle  Identity Manager" и "Единый сервис проверки электронной подписи"

Identity & Access Management 11gR2 PS2 release

На сайте поддержки и на OTN появились дистрибутивы и документация на новый патч-сет IAMS 11.1.2.2. Кроме основного пакета с агентами и модулями безопасности, в релиз входят Oracle Unified Directory и Oracle Enterprise Single Sign On

Как обычно, много инновационных изменений, в основном - в Access Management

...но и в Identity Governance, и в OUD тоже кое-что новое появилось!

Актуальную табличку с "System Requirements and Supported Platforms for Oracle Identity and Access Management 11g Release 2 (11.1.2.2.0)" скачиваем отсюда. В числе поддерживаемых новой Repository Creation Utility СУБД можно заметить Oracle 12.1.0.1

Публично доступная информация о внедрениях решений безопасности Oracle

Год	Компания	Отрасль	Особенности проекта	Ссылка на публичную статью	Партнер
2016	Связь-Банк (группа Внешэкономбанка)	Финансы	Защита от мошенничества - фрод-мониторинга операций в каналах дистанционного банковского обслуживания (ДБО) физических лиц, созданную на базе решения Oracle Adaptive Access Manager (ОААМ) ·         Oracle Adaptive Access Manager, ·	http://www.jet.msk.su/about/news/18875/	Jet Infosystems
2014	Банк Москвы	Финансы	Автоматизированное управление правами доступа ·         Oracle Identity Manager	http://www.jetinfo.ru/jetinfo_arhiv/entsiklopediya-idm/my-beseduem-o-prichinakh-i-nyuansakh-vnedreniya-v-banke-moskvy-idm-resheniya/2014	Jet Infosystems
2013	Высший Арбитражный Суд РФ	Госсектор	Аутентификация в OeBS по учетным записям в MS AD ·         Oracle Access Manager, ·         Oracle Internet Directory And Oracle Directory Integration Platform	http://security-orcl.blogspot.ru/2014/04/oracle.html	IBS
2013	Газпром трансгаз Ухта	Энергетика	Автоматизированное управление учетными записями ·         Oracle Identity Manager, ·         Oracle Access Manager, ·         Oracle Enterprise Single Sign-On	http://security-orcl.blogspot.ru/2013/11/oracle-day-2013.html	Газинформсервис
2013	Альфа-банк	Финансы	Единая платформа для реализации интернет банка «Альфа-клик 2.0»   ·         Oracle Access Manager, ·         Oracle Adaptive Access Manager, ·         Oracle Internet Directory And Oracle Virtual Directory ·         Oracle Entitlement Server.	https://www.oracle.com/ru/corporate/pressrelease/internet-bank-alfaclick-transferred-to-new-platform-oracle-fusion-middleware-20130424.html  https://www.oracle.com/ru/corporate/pressrelease/2-14729.html https://alfabank.ru/press/news/2013/4/24/30739.html http://forum.sources.ru/index.php?showtopic=375981	Oracle консалтинг, Альфа-банк
2013	Лето банк	Финансы	Автоматизированное управление учетными записями ·         Oracle Identity & Access Management Suite	https://www.oracle.com/ru/corporate/pressrelease/2-14730.html http://www.cnews.ru/news/news/leto_bank_avtomatiziroval__upravlenie	AT Consulting
2012	ВТБ	Финансы	Система обеспечения безопасности доступа к приложениям. ·         Oracle Identity Manager, ·         Oracle Access Manager ·         Oracle Enterprise Single Sign-On ·         Oracle Label Security ·         Oracle Audit Vault	http://www.rdtex.ru/press-center/news/news20120423/ http://www.rdtex.ru/press-center/news/news20101118/	RDTEX (SP + DB Sec)
2012	ОТП Банк (Украина)	Финансы	Система централизованного управления учетными данными и правами доступа. Автоматизация управления ролями. ·         Oracle Identity Manager, ·         Oracle Identity Analytics	http://www.jet.msk.su/about/news/13296/	Jet Infosystems (SP)
2012	Киевстар (Украина)	Телеком	Система управления учетными данными и правами доступа, аттестация и пересмотр прав доступа. ·         Oracle Identity Manager	http://www.jet.msk.su/about/news/13342/	Jet Infosystems (SP)
2012	РОСНО	Страхование	Внедрение средств защиты персональных данных. ·         Oracle Identity Manager, ·         Oracle Access Manager.	http://www.croc.ru/experience/14387/	Croc
2012	МРСК Центра и Приволжья	Энергетика	Система централизованного управления учетными данными и правами доступа. ·         Oracle Identity Manager	http://www.fors.ru/pressroom/news/1041/  http://www.fors.ru/business-solutions/information-security/index.php	Fors (SP)
2011	Вимм-Биль-Данн	Производство	Проект управления идентификацией. Oracle Identity Manager	http://www.iemag.ru/interview/detail.php?ID=23847	R-Style (SP)
2011	Иркут	Промышленность	Управление учетными записями пользователей. ·         Oracle Identity Manager	http://www.jet.msk.su/about/news/13206/	Jet Infosystems (SP)
2010	ПромСвязьБанк	Финансы	Система централизованного управления учетными данными и правами доступа. ·         Oracle Identity Manager	http://oracleday.ru/presentation2010/oday_fmv_promsvyaz.pdf http://www.fors.ru/business-solutions/information-security/index.php	Fors (SP)
2010	Райффайзен Банк Аваль (Украина)	Финансы	Система управления жизненным циклом учетных записей ·         Oracle Identity Manager	http://www.snt.ua/884.ua.php	«ЭС ЭНД ТИ УКРАИНА»
2009	СИБУР	Нефтегаз	Интегрированный набор продуктов IAMS. ·          Oracle Identity & Access Management Suite	http://www.r-style.ru/projects/neftegaz/ooo-sibur/	R-Style (SP)
2009	Университет ФизКультуры Спорта и Туризма	Образование	Обеспечение информационной безопасности на базе набора продуктов IAMS ·         Oracle Identity Manager	http://www.cnews.ru/news/line/rgufksit_vnedril_sistemu_avtorizatsii	R-Style (SP)
2008 2015	Мегафон	Телеком	Корпоративная система управления доступом на основе ролевой модели. ·         Oracle Identity Manager ·         Oracle Role Manager	http://www.asteros.ru/upload/iblock/235/2350a505a22a4acbefc8cbbac73586d8.pdf https://www.oracle.com/ru/corporate/pressrelease/hardware-and-software-extends-oracle-exadata-development-reporting-in-megafon-20151006.html	Астерос (SP)
2008	СУЭК	Энергетика	Централизованная система управления доступом. ·         Oracle Identity & Access Management Suite	http://www.ibs.ru/media/news/suek-sozdala-tsentralizovannuyu-sistemu-upravleniya-dostupom/	IBS Borlas
2007	Аэрофлот	Авиаперевозки	Централизованное управление идентификацией на базе IAMS ·         Oracle Identity Manager	http://www.pcweek.ru/themes/detail.php?ID=104989	R-Style (SP)
2007	Билайн (ОАО «ВымпелКом»)	Телеком	Управление идентификационными данными пользователей ·         Oracle Identity Management ·         Oracle Internet Directory ·         Oracle SSO	http://www.cybersecurity.ru/news/26302.html	Борлас