Integracin de las aplicaciones con el directorio LDAP: Oracle Internet Directory
Oscar Ramos
Senior Sales Consultant Sales Consulting [Link]@[Link]
�Ejemplo - Gestin de Identidades Problema Actual
Aplicaciones Bases de Datos
Red de Clientes Windows
Active Directory
Servidores Linux
Directorios LDAP
Se almacena informacin sobre identidades de usuarios
�Solucin - Sistema de Gestin de Identidades
Aplicaciones Bases de Datos
Red de Clientes Windows
Sistema de Gestin de Identidades
Active Directory
LDAP LDAP SSO SSO
Servidores Linux
Otros Otros
Aprovisionamiento Meta-directorio Admin. Delegada PKI (Certific. X.509) Federacin Control de Acceso Auditoria RBAC etc....
Directorios LDAP
�Ejemplo: Conseguir una Identidad nica
Aplicaciones Bases de Datos
Red de Clientes Windows
Sistema de Gestin de Identidades
Active Directory LDAP LDAP
Servidores Linux
Directorios LDAP
�Oracle Identity Management
Oracle Internet Directory
�El Directorio de Oracle: Oracle Internet Directory (OID)
Escalabilidad
Ms de 500 millones de entradas de usuarios en un solo servidor Clientes Miles de clientes simultneos
Alta disponibilidad
LDAP
Replicacin multimaster usando Oracle Advanced Symmetric Replication Oracle hot backup/recovery Completo control de passwords Control de Acceso: ACLs/Roles Auditora Administracin de varios nodos Atributos virtuales Autenticacin externa Polticas de password
Seguridad
Oracle Internet Directory Server Consola Admin Directorio Oracle Database
Administracin
Extensibilidad (Plug-in framework)
�Arquitectura de Procesos OID
Instancia de Servidor LDAP Proceso de Servidor OID Proceso de Servidor OID Proceso de Servidor OID Oracle Net
Clientes LDAP
OID Listener/ Dispatcher
Peticiones LDAP
Oracle Net
Oracle DB
Oracle Net Listener/ Dispatcher Oracle Net
�OID y el Entorno de Aplicaciones
Default Realm
ASP IM Realm ABC IM Realm XYZ IM Realm
Usuarios
Usuarios ASP
Usuarios ABC
Usuarios XYZ
Aplic. A Aplic. A Aplic. B
Aplic. B
Aplic. C
Entorno No-Hosted
Entorno Hosted
�Desarrollo de Aplicaciones Integradas con el Directorio
Se pueden realizar operaciones contra el servidor LDAP utilizando:
APIs de servidor LDAP (C, PL/SQL, Java, ...) Herramientas de lnea de comando
Y las operaciones de modificacin del DIT, que se podrn realizar sern:
aadir una entrada eliminar una entrada modificar una entrada renombrar una entrada (cambio del DN)
OID proporciona un API adicional para trabajar ms fcilmente con el esquema de almacenamiento de usuarios
�Ejemplo: Conseguir una Identidad nica
Integracin con Otros Directorios y Repositorios
Sincronizacin mediante agentes Configuracin del Meta-directorio Definicin de mapeos y reglas de sincronizacin
Bases de Datos Sistema de Gestin de Identidades
Red de Clientes Windows
Agente de AD
SQL
Tabla
Active Directory
LDAP LDAP
LDIF
Directorios LDAP
Agente de iPlanet
iPlanet
Otro
�Ejemplo: Conseguir una Identidad nica
Aprovisionamiento Hacia/Desde las Aplicaciones
Ejecucin de un cdigo ante un determinado evento (alta/baja/modificacin de identidades) El cambio se puede producir en cualquier direccin (en el LDAP o en la Aplicacin)
Sistema de Gestin de Identidades
Aplicaciones
Aplicaciones
Aplicacin de Gestin de Compras
PL/SQL
LDAP LDAP
Java
�Oracle Identity Management
COREid Provisioning (Directory Integration Platform)
�Sincronizacin Vs Aprovisionamiento
�Sincronizacin entre Directorios
Directorios Externos SunOne(iPlanet) Active Directory Oracle Internet Directory Directory Integration Service Oracle HR Oracle DB OpenLDAP eDirectory Conectores
(Futuro)
�Perfiles de Sincronizacin
Cuando se quiere configurar la sincronizacin, es necesario crear un perfil. Este perfil incluye informacin como:
Sentido de la sincronizacin (importacin o exportacin) Tipo de sincronizacin (LDAP, LDIF, ...) Reglas de mapeo Detalles de conexin con el directorio a sincronizar Nmero de cambio a aplicar Etc.
El registro del perfil se hace cargando una entrada en el directorio. Se puede configurar desde Oracle Directory Manager
�Ejemplo: Integracin entre OID e iPlanet/SunONE
�Ejemplo: Integracin entre OID e iPlanet/SunONE
�Servicio de Integracin de Aprovisionamiento
Corporate HR Provisioning Connectors
ERP, CRM,
eMail Portal
Enterprise Admin
Event Notification Engine Policy & Workflow Engine
Partner Provisioning System
Portal Admin
Oracle Provisioning Integration Service
eMail Admin User self-service
�Ejemplo: Administracin Delegada
Consola de Administracin Delegada
Para Administradores: administracin de usuarios y grupos, configuracin de workflows de aprobacin, delegacin de responsabilidades de administracin, ... Para Usuarios: cambio de password, info personal, peticin de modificacin de roles, ...
�Oracle Identity Management
Delegated Administration Service (DAS)
�Los Servicios de Administracin Delegada
Permite a los administradores delegar la administracin a otros administradores o a los propios usuarios finales
Administrador Global Administradores Realm 1 Administradores Realm 2
Usuarios y Grupos
Usuarios y Grupos
�Gestin de Usuarios va Web
Delegated Administration Service (DAS)
�Oracle Delegated Administration Services (DAS)
Un usuario final podr utilizar DAS para hacer lo siguiente:
Editar y cambiar informacin de su perfil (direccin, telfono, ...) Cambiar la password y el password hint Resetear la password cuando el usuario la ha olvidado Ver el diagrama jerrquico de la organizacin Cambiar las zonas horarias Configurar la informacin de acceso a recursos a los que el administrador le ha dado permiso
�Oracle Delegated Administration Services (DAS)
Un administrador utiliza los servicios de DAS para:
Configurar Realms de gestin de identidades (crear nuevos realms, configurar realms, ...) Administrar entradas de usuarios (crear, borrar, modificar, asignar privilegios...) Administrar entradas de grupos (crear, borrar, modificar, insertar usuarios, asignar privilegios...) Administrar servicios Administrar cuentas (invalidar, habilitar, desbloquear) Administrar la informacin de acceso a recursos
�Resumen
El directorio estndar LDAP de Oracle (OID) se implementa sobre la BD, ofreciendo disponibilidad y escalabilidad sin precedentes Alrededor de OID, se ofrecen otros servicios de valor aadido que proporciona una solucin de seguridad/gestin de usuarios: Oracle IM Completamente integrado con el entorno Oracle Integrado con otros servidores y aplicaciones
�Beneficios de Identity Management
Para los Administradores:
Menores costes de administracin Provisionamiento de usuarios mejorado Mayor seguridad a travs de la gestin centralizada de polticas y autorizaciones Administracin escalable a travs de delegacin
Para los Usuarios:
Mayor productividad mediante el acceso ms rpido a las aplicaciones Mayor usabilidad con una nica identidad y credenciales
�Ms informacin...
Oracle Technology Network
[Link] [Link] [Link] [Link]@[Link] [Link]
Oracle Application Server
Oracle Identity Management Oracle Internet Directory Email
