Está en la página 1de 28

Integracin de las aplicaciones con el directorio LDAP: Oracle Internet Directory

Oscar Ramos

Senior Sales Consultant Sales Consulting Cesar.Lazaro@oracle.com

Ejemplo - Gestin de Identidades Problema Actual


Aplicaciones Bases de Datos

Red de Clientes Windows

Active Directory

Servidores Linux

Directorios LDAP

Se almacena informacin sobre identidades de usuarios

Solucin - Sistema de Gestin de Identidades


Aplicaciones Bases de Datos

Red de Clientes Windows

Sistema de Gestin de Identidades

Active Directory

LDAP LDAP SSO SSO

Servidores Linux

Otros Otros
Aprovisionamiento Meta-directorio Admin. Delegada PKI (Certific. X.509) Federacin Control de Acceso Auditoria RBAC etc....

Directorios LDAP

Ejemplo: Conseguir una Identidad nica


Aplicaciones Bases de Datos

Red de Clientes Windows

Sistema de Gestin de Identidades

Active Directory LDAP LDAP

Servidores Linux

Directorios LDAP

Oracle Identity Management

Oracle Internet Directory

El Directorio de Oracle: Oracle Internet Directory (OID)


Escalabilidad
Ms de 500 millones de entradas de usuarios en un solo servidor Clientes Miles de clientes simultneos

Alta disponibilidad

LDAP

Replicacin multimaster usando Oracle Advanced Symmetric Replication Oracle hot backup/recovery Completo control de passwords Control de Acceso: ACLs/Roles Auditora Administracin de varios nodos Atributos virtuales Autenticacin externa Polticas de password

Seguridad

Oracle Internet Directory Server Consola Admin Directorio Oracle Database

Administracin

Extensibilidad (Plug-in framework)

Arquitectura de Procesos OID


Instancia de Servidor LDAP Proceso de Servidor OID Proceso de Servidor OID Proceso de Servidor OID Oracle Net

Clientes LDAP

OID Listener/ Dispatcher

Peticiones LDAP

Oracle Net

Oracle DB

Oracle Net Listener/ Dispatcher Oracle Net

OID y el Entorno de Aplicaciones


Default Realm
ASP IM Realm ABC IM Realm XYZ IM Realm

Usuarios

Usuarios ASP

Usuarios ABC

Usuarios XYZ

Aplic. A Aplic. A Aplic. B

Aplic. B

Aplic. C

Entorno No-Hosted

Entorno Hosted

Desarrollo de Aplicaciones Integradas con el Directorio


Se pueden realizar operaciones contra el servidor LDAP utilizando:

APIs de servidor LDAP (C, PL/SQL, Java, ...) Herramientas de lnea de comando

Y las operaciones de modificacin del DIT, que se podrn realizar sern:


aadir una entrada eliminar una entrada modificar una entrada renombrar una entrada (cambio del DN)

OID proporciona un API adicional para trabajar ms fcilmente con el esquema de almacenamiento de usuarios

Ejemplo: Conseguir una Identidad nica


Integracin con Otros Directorios y Repositorios

Sincronizacin mediante agentes Configuracin del Meta-directorio Definicin de mapeos y reglas de sincronizacin
Bases de Datos Sistema de Gestin de Identidades

Red de Clientes Windows


Agente de AD

SQL

Tabla

Active Directory

LDAP LDAP

LDIF

Directorios LDAP

Agente de iPlanet

iPlanet

Otro

Ejemplo: Conseguir una Identidad nica


Aprovisionamiento Hacia/Desde las Aplicaciones

Ejecucin de un cdigo ante un determinado evento (alta/baja/modificacin de identidades) El cambio se puede producir en cualquier direccin (en el LDAP o en la Aplicacin)
Sistema de Gestin de Identidades

Aplicaciones

Aplicaciones

Aplicacin de Gestin de Compras

PL/SQL

LDAP LDAP

Java

Oracle Identity Management

COREid Provisioning (Directory Integration Platform)

Sincronizacin Vs Aprovisionamiento

Sincronizacin entre Directorios


Directorios Externos SunOne(iPlanet) Active Directory Oracle Internet Directory Directory Integration Service Oracle HR Oracle DB OpenLDAP eDirectory Conectores
(Futuro)

Perfiles de Sincronizacin
Cuando se quiere configurar la sincronizacin, es necesario crear un perfil. Este perfil incluye informacin como:

Sentido de la sincronizacin (importacin o exportacin) Tipo de sincronizacin (LDAP, LDIF, ...) Reglas de mapeo Detalles de conexin con el directorio a sincronizar Nmero de cambio a aplicar Etc.

El registro del perfil se hace cargando una entrada en el directorio. Se puede configurar desde Oracle Directory Manager

Ejemplo: Integracin entre OID e iPlanet/SunONE

Ejemplo: Integracin entre OID e iPlanet/SunONE

Servicio de Integracin de Aprovisionamiento


Corporate HR Provisioning Connectors

ERP, CRM,

eMail Portal

Enterprise Admin

Event Notification Engine Policy & Workflow Engine

Partner Provisioning System

Portal Admin

Oracle Provisioning Integration Service

eMail Admin User self-service

Ejemplo: Administracin Delegada


Consola de Administracin Delegada

Para Administradores: administracin de usuarios y grupos, configuracin de workflows de aprobacin, delegacin de responsabilidades de administracin, ... Para Usuarios: cambio de password, info personal, peticin de modificacin de roles, ...

Oracle Identity Management

Delegated Administration Service (DAS)

Los Servicios de Administracin Delegada


Permite a los administradores delegar la administracin a otros administradores o a los propios usuarios finales
Administrador Global Administradores Realm 1 Administradores Realm 2

Usuarios y Grupos

Usuarios y Grupos

Gestin de Usuarios va Web


Delegated Administration Service (DAS)

Oracle Delegated Administration Services (DAS)


Un usuario final podr utilizar DAS para hacer lo siguiente:

Editar y cambiar informacin de su perfil (direccin, telfono, ...) Cambiar la password y el password hint Resetear la password cuando el usuario la ha olvidado Ver el diagrama jerrquico de la organizacin Cambiar las zonas horarias Configurar la informacin de acceso a recursos a los que el administrador le ha dado permiso

Oracle Delegated Administration Services (DAS)


Un administrador utiliza los servicios de DAS para:

Configurar Realms de gestin de identidades (crear nuevos realms, configurar realms, ...) Administrar entradas de usuarios (crear, borrar, modificar, asignar privilegios...) Administrar entradas de grupos (crear, borrar, modificar, insertar usuarios, asignar privilegios...) Administrar servicios Administrar cuentas (invalidar, habilitar, desbloquear) Administrar la informacin de acceso a recursos

Resumen
El directorio estndar LDAP de Oracle (OID) se implementa sobre la BD, ofreciendo disponibilidad y escalabilidad sin precedentes Alrededor de OID, se ofrecen otros servicios de valor aadido que proporciona una solucin de seguridad/gestin de usuarios: Oracle IM Completamente integrado con el entorno Oracle Integrado con otros servidores y aplicaciones

Beneficios de Identity Management


Para los Administradores:
Menores costes de administracin Provisionamiento de usuarios mejorado Mayor seguridad a travs de la gestin centralizada de polticas y autorizaciones Administracin escalable a travs de delegacin

Para los Usuarios:


Mayor productividad mediante el acceso ms rpido a las aplicaciones Mayor usabilidad con una nica identidad y credenciales

Ms informacin...
Oracle Technology Network
http://otn.oracle.com/products/ias/ http://otn.oracle.com/products/id_mgmt/ http://otn.oracle.com/products/oid/ Oscar.Ramos@oracle.com http://otn.oracle.com

Oracle Application Server

Oracle Identity Management Oracle Internet Directory Email