четверг, 10 апреля 2014 г.

Новые внедрения решений безопасности Oracle и новости партнеров


Пришло время обновить нашу таблицу, опубликованную в мае прошлого года... Повод появился еще полгода назад, когда наши партнеры из ООО «Газинформсервис» представили на Oracle Day 2013 в Москве согласованный с заказчиком доклад о внедрения решения по автоматизированному управлению учетными записями пользователей в ООО «Газпром трансгаз Ухта». В состав решения вошли Oracle Identity Manager, Oracle Access Manager и Oracle Enterprise Single Sign-On Suite.
Справедливости ради стоит заметить, что это - всего лишь типовой пример внедрения, которые проходят во многих дочерних компаниях ОАО «Газпром». Кроме ООО «Газинформсервис», на IdM-проектах в ОАО «Газпром» активно работают наши партнеры из ООО «НПО ВС» (ссылка1, ссылка2), НИИ СОКБ и другие компании...


Разглядеть наши технологии в пресс-релизе компании IBS, посвященном созданию новой инфраструктуры для Высшего Арбитражного Суда РФ, на первый взгляд не так уж просто :-) Немного помогает связанная статья на CNews, но без брошюры с архитектурой решения всё равно не слишком понятно, что там и для чего. Наш хороший знакомый, бизнес-архитектор Группы IBS Александр Касенков любезно поведал подробности и пообещал подготовить подробное техническое описание, подобное приложенным ниже листовкам.

Итак, на проекте решается типовая задача по аутентификации в Oracle eBusiness Suite с помощью ГОСТовых сертификатов, размещенных на eToken... Для организации ГОСТового канала между клиентом и серверной инфраструктурой используется StoneGate SSL VPN со СКЗИ производства «Крипто-Про»; изделие StoneSoft похоже также аутентифицирует клиента в MS Active Directory и передает идентификатор (например, ключ Kerberos) в его обозреватель. При запросе клиентом любого защищенного с помощью Oracle Access Manager ресурса этот идентификатор перехватывается шлюзом WebGate и передается в OAM для валидации. После успешной проверки ключа Kerberos на MS AD для клиента создается новая сессия OAM и обеспечивается WebSSO ко всем разрешенным ресурсам.

Поскольку идентификаторы одного клиента в OeBS и MS AD могут не совпадать, для их синхронизации используется промежуточный LDAP-каталог Oracle Internet Directory и сервис Oracle Directory Integration Platform. Поэтому, когда клиент хочет попасть на OeBS, OAM запрашивает в OID связанную с предъявленным идентификатором MS AD учетную запись OeBS, а затем (уже с правильным именем) перенаправляет клиента на OeBS через свой специализированный шлюз Oracle E-Business Suite AccessGate... Как-то так; в общем, чтобы кому-то было потом легко, кому-то другому сначала надо как следует поработать :-)


К счастью, по другим типовым решениям от IBS мне писать ничего не надо - посмотрите, если интересно на "Модуль  формирования  и  проверки  электронной  подписи  при согласовании заявок на доступ в Oracle  Identity Manager" и "Единый сервис проверки электронной подписи"

Комментариев нет: