2_LDAP_OID
-
Upload
marco-de-leon-cruz -
Category
Documents
-
view
119 -
download
2
Transcript of 2_LDAP_OID
Oscar RamosSenior Sales ConsultantSales [email protected]
Integración de las aplicaciones con el directorio LDAP: Oracle Internet Directory
Ejemplo - Gestión de Identidades Problema Actual
Red de Clientes Windows
Servidores Linux
Aplicaciones
Bases de Datos
Directorios LDAPActive
Directory
Se almacena información sobre identidades de usuarios
Solución - Sistema de Gestión de Identidades
Red de Clientes Windows
Aplicaciones
Bases de Datos
Servidores LinuxDirectorios LDAP
ActiveDirectory LDAPLDAP
SSOSSO
Sistema de Gestión de Identidades
OtrosOtros
• Aprovisionamiento• Meta-directorio• Admin. Delegada • PKI (Certific. X.509)• Federación• Control de Acceso• Auditoria• RBAC• etc....
Ejemplo: Conseguir una Identidad ÚnicaAplicaciones
Bases de Datos
Servidores LinuxDirectorios LDAP
ActiveDirectory
LDAPLDAP
Sistema de Gestión de Identidades
Red de Clientes Windows
Oracle Identity Management
Oracle Internet Directory
El Directorio de Oracle:Oracle Internet Directory (OID)
• Escalabilidad• Más de 500 millones de entradas de
usuarios en un solo servidor• Miles de clientes simultáneos
• Alta disponibilidad• Replicación multimaster usando Oracle
Advanced Symmetric Replication• Oracle hot backup/recovery
• Seguridad• Completo control de passwords• Control de Acceso: ACLs/Roles• Auditoría
• Administración• Administración de varios nodos
• Extensibilidad (Plug-in framework)• Atributos virtuales• Autenticación externa• Políticas de password
ClientesLDAP
ConsolaAdmin
Directorio
Oracle Internet
Directory Server
OracleDatabase
Arquitectura de Procesos OID
Instancia de Servidor LDAP
Procesode
ServidorOID
OID Listener/
Dispatcher
Oracle Net Listener/
Dispatcher
OracleDB
Oracle Net
PeticionesLDAP
Procesode
ServidorOID
ClientesLDAP
Oracle Net
Oracle NetProceso
deServidor
OID
OID y el Entorno de Aplicaciones
Default Realm
Aplic. BAplic. A
ASP IM Realm ABC IM Realm XYZ IM Realm
Aplic. A Aplic. B Aplic. C
Usuarios
Usuarios ASP
Usuarios ABC
Usuarios XYZ
Entorno No-Hosted Entorno Hosted
Desarrollo de Aplicaciones Integradas con el Directorio
� Se pueden realizar operaciones contra el servidor LDAP utilizando:
– APIs de servidor LDAP (C, PL/SQL, Java, ...)– Herramientas de línea de comando
� Y las operaciones de modificación del DIT, que se podrán realizar serán:
– añadir una entrada– eliminar una entrada– modificar una entrada– renombrar una entrada (cambio del DN)
� OID proporciona un API adicional para trabajar más fácilmente con el esquema de almacenamiento de usuarios
– Sincronización mediante agentes– Configuración del Meta-directorio– Definición de mapeos y reglas de sincronización
Integración con Otros Directorios y Repositorios
LDAPLDAP
Sistema de Gestión de Identidades
Directorios LDAP
Bases de Datos
ActiveDirectory
Red de Clientes Windows
iPlanet Otro
Tabla
Agente de AD
Agente de iPlanet
LDIF
SQL
Ejemplo: Conseguir una Identidad Única
Ejemplo: Conseguir una Identidad Única
– Ejecución de un código ante un determinado evento (alta/baja/modificación de identidades)
– El cambio se puede producir en cualquier dirección (en el LDAP o en la Aplicación)
Aprovisionamiento Hacia/Desde las Aplicaciones
LDAPLDAP
Sistema de Gestión de Identidades
Aplicación de Gestión
de Compras
Aplicaciones Aplicaciones
PL/SQL Java
Oracle Identity Management
COREid Provisioning (Directory Integration Platform)
Sincronización Vs Aprovisionamiento
Sincronización entre Directorios
Conectores
DirectoriosExternos
SunOne(iPlanet)
Active Directory
Oracle HR
Oracle DB
OpenLDAP
eDirectory
OracleInternet
Directory
DirectoryIntegration
Service
(Fu t
u ro )
Perfiles de Sincronización
� Cuando se quiere configurar la sincronización, es necesario crear un perfil. Este perfil incluye información como:
– Sentido de la sincronización (importación o exportación)– Tipo de sincronización (LDAP, LDIF, ...)– Reglas de mapeo– Detalles de conexión con el directorio a sincronizar– Número de cambio a aplicar– Etc.
� El registro del perfil se hace cargando una entrada en el directorio. Se puede configurar desde Oracle Directory Manager
Ejemplo: Integración entre OID e iPlanet/SunONE
Ejemplo: Integración entre OID e iPlanet/SunONE
Servicio de Integración de Aprovisionamiento
ERP,CRM,…
Portal
Partner Provisioning System
Oracle Provisioning Integration Service
Event Notification
Engine
Pro
visi
onin
g C
onne
ctor
s
Policy &Workflow
Engine
User self-service
Corporate HR
Enterprise Admin
Portal Admin
eMail Admin
���
Ejemplo: Administración Delegada
– Para Administradores: administración de usuarios y grupos, configuración de workflows de aprobación, delegación de responsabilidades de administración, ...
– Para Usuarios: cambio de password, info personal, petición de modificación de roles, ...
Consola de Administración Delegada
Oracle Identity Management
Delegated Administration Service (DAS)
Los Servicios de Administración Delegada
� Permite a los administradores delegar la administración a otros administradores o a los propios usuarios finales
Administrador Global
Administradores Realm 1 Administradores Realm 2
Usuarios y Grupos Usuarios y Grupos
Gestión de Usuarios vía WebDelegated Administration Service (DAS)
� Un usuario final podrá utilizar DAS para hacer lo siguiente:
– Editar y cambiar información de su perfil (dirección, teléfono, ...)
– Cambiar la password y el “password hint”– Resetear la password cuando el usuario la ha olvidado– Ver el diagrama jerárquico de la organización– Cambiar las zonas horarias– Configurar la información de acceso a recursos a los
que el administrador le ha dado permiso
Oracle Delegated AdministrationServices (DAS)
� Un administrador utiliza los servicios de DAS para:
– Configurar Realms de gestión de identidades (crear nuevos realms, configurar realms, ...)
– Administrar entradas de usuarios (crear, borrar, modificar, asignar privilegios...)
– Administrar entradas de grupos (crear, borrar, modificar, insertar usuarios, asignar privilegios...)
– Administrar servicios– Administrar cuentas (invalidar, habilitar, desbloquear)– Administrar la información de acceso a recursos
Oracle Delegated AdministrationServices (DAS)
Resumen
� El directorio estándar LDAP de Oracle (OID) se implementa sobre la BD, ofreciendo disponibilidad y escalabilidad sin precedentes
� Alrededor de OID, se ofrecen otros servicios de valor añadido que proporciona una solución de seguridad/gestión de usuarios: Oracle IM
� Completamente integrado con el entorno Oracle
� Integrado con otros servidores y aplicaciones
Beneficios de Identity Management
� Menores costes de administración� Provisionamiento de usuarios mejorado� Mayor seguridad a través de la gestión centralizada de
políticas y autorizaciones� Administración escalable a través de delegación
� Mayor productividad mediante el acceso más rápido a las aplicaciones
� Mayor usabilidad con una única identidad y credenciales
Para los Administradores:
Para los Usuarios:
Más información...
Oracle Technology Networkhttp://otn.oracle.com
Oracle Application Serverhttp://otn.oracle.com/products/ias/
Oracle Identity Managementhttp://otn.oracle.com/products/id_mgmt/
Oracle Internet Directoryhttp://otn.oracle.com/products/oid/