Oracle Identity Manager (OIM) является полностью интегрированной платформой для управления идентификацией и доступом (IAM) от одного из лидеров ИТ-индустрии. OIM обеспечивает уникальную масштабируемость, защищает критические приложения и данные, независимо от их размещения, позволяет организациям быстро добиться соответствия нормативным требованиям и снизить операционные расходы.

OIM спроектирован для управления доступом пользователей ко всем корпоративным ресурсам на протяжении всего жизненного цикла управления идентификационными данными пользователей, начиная с процесса приема на работу до завершающей процедуры блокирования (или отзыва) учетной записи.

OIM может использоваться как в среде, ориентированной на корпоративных пользователей (интранет), так и в среде, ориентированной на заказчиков и партнеров (экстранет). Превосходная масштабируемость OIM в среде экстранет позволяет предприятию поддерживать миллионы заказчиков и партнеров, получающих доступ к ресурсам корпорации посредством традиционных web-клиентов или смартфонов. В этом случае OIM предоставляет как интерфейс для централизованной обработки кадровых событий (приема на работу, уход в отпуск, увольнение и проч.), так и интерфейс для самостоятельной регистрации пользователей различных приложений корпорации, например, для Oracle PeopleSoft Enterprise Customer Relationship Management, Oracle E-Business iSupplier или Oracle E-Business iRecruitment. Тем самым повышается степень защиты персональных данных за счет централизованного управления учетными данными внешних пользователей и партнеров.

Архитектура Oracle Identity Manager

Архитектура OIM позволяет отделить уровень бизнес-логики от уровня исполнения, упростив таким образом изменение системы в соответствии с изменяющимися требованиями предприятия-пользователя.

Все компоненты OIM разработаны на основе Java EE (Java Platform Enterprise Edition), что дает возможность использовать OIM на различных платформах и наиболее эффективно использовать имеющиеся ресурсы предприятия-пользователя.

В зависимости от потребностей и масштабов предприятия компоненты OIM могут быть развернуты на одном сервере или нескольких серверах для обеспечения наилучшей производительности и отказоустойчивости.

Функциональные уровни Oracle Identity Manager

Сервисы и модули, необходимые функционирования системы, условно разделены на функциональные уровни:

Сервисы и модули, необходимые функционирования системы, условно разделены на функциональные уровни:
  • Уровень данных (Data Tier).
  • Уровень бизнес-сервисов (Business Services Tier).
  • Уровень представлений (Presentation Tier).
  • Связующее программное обеспечение (Middleware Tier).

Хранилище метаданных

Все конфигурации различных компонентов OIM централизованно хранятся в XML-хранилище (Metadata Store – MDS), которое является общим для различных сервисов, предоставляемых Oracle Fusion Middleware (Oracle SOA, WebCenter и т.д.). Эта новая модель метаданных позволяет запускать одновременно несколько задач, выполняющих различные действия в одной целевой системе.

Сервис автоматизированного провижининга

Провижининг (provisioning) – это процесс создания и изменения учетных записей пользователей в целевых системах и предоставление пользователям прав доступа к ресурсам этих систем. Автоматизация этого процесса позволяет ускорить и упростить управление правами доступа пользователей.

Модуль администрирования пользователей

Модуль администрирования включает сервисы:

  • Сервис самообслуживания, позволяющий пользователям самостоятельно управлять своими профилями.
  • Сервис административного управления профилями других пользователей.
  • Сервис управления заявками, который позволяет пользователям создавать запросы для предоставления доступа к ресурсам предприятия и для управления профилем. Согласование запросов производится участниками согласования в том же самом интерфейсе и не требует какого-либо переключения между интерфейсами.
  • Сервис делегирования администрирования, который позволяет «переместить» точку управления как можно ближе к пользователю и добиться более строгого контроля и более высокого уровня безопасности.

Управление политиками

OIM позволяет автоматически на основе политик предоставлять пользователям доступ к ресурсам. Для любого множества пользователей администраторы могут определить уровни доступа к каждому используемому ресурсу, предоставляя каждому пользователю точный набор полномочий, необходимых для выполнения поставленных задач. Политики могут автоматически срабатывать в отношении определенных ролей или атрибутов пользователей, создавая условия для реализации контроля доступа на основе ролей (RBAC) и на основе атрибутов (ABAC).

Управление полномочиями на основе политик позволяет обрабатывать множество запросов и выполнять множество согласований параллельно во времени, снижая нагрузку на администраторов и руководителей предприятия, связанную с управлением идентификацией и доступом.

Управление рабочими процессами

OIM позволяет разделять рабочие процессы утверждения запросов и провижининга. Рабочий процесс утверждения запросов описывает последовательность действий, связанных с согласованием и утверждением запросов. Рабочий процесс провижининга позволяет структурировать, формализовать и автоматизировать выполнение процедур создания и изменения учетных записей пользователей.

OIM предоставляет пользователям, администраторам и аудиторам графический интерфейс, который позволяет отображать последовательности задач и зависимостей для лучшего понимания структуры процесса, редактировать процесс и управлять им.

Для проектирования рабочих процессов в OIM используются механизмы Oracle SOA’s BPEL и Oracle JDeveloper.

Управление паролями

Сервисы управления паролями включают:

  • Интерфейс самообслуживания, с помощью которого пользователи могут изменять свои пароли.
  • Расширенные парольные политики, которые позволяют установить требования к используемым паролям (длина пароля, использование букв, цифр и специальных символов и т.д.) для повышения их надежности.
  • Синхронизация паролей – OIM позволяет синхронизировать или задавать соответствия паролей для управляемых ресурсов и контролировать выполнение парольных политик на этих ресурсах. OIM может быть тесно интегрирован с Oracle Access Manager для поддержки управления паролями.

Аудит и управление соответствием

Сервисы аудита и управления соответствием включают:

  • Согласование учетных записей – OIM протоколирует процессы создания, обновления и удаления учетных записей на всех управляемых ресурсах.
  • Выявление мошеннических (созданных вне рамок процесса IAM) и устаревших учетных записей.
  • Аттестация прав – проверка не избыточности прав доступа пользователей в соответствии с законом Сарбейнса-Оксли. OIM предлагает функции аттестации, которые можно быстро внедрить для проведения аттестации в масштабах всего предприятия, обеспечивающие автоматическое создание отчетов, их доставку и уведомления о доставке.

Реконсиляция

Процесс реконсиляции включает генерацию событий, которые должны быть обработаны OIM. Эти события отражают незначительные изменения в целевых системах и наряду с другой информацией содержат измененные данные и тип изменений.

API управления событиями OIM, API-реконсиляции и интерфейс управления событиями реконсиляции OIM защищены с помощью авторизационных политик, контролируемых Oracle Entitlements Server.

Разделение обязанностей

Концепция разделения обязанностей (Segregation of Duties, SoD) реализуется посредством применения методов сдерживания и противовесов в рамках бизнес-процессов, когда для выполнения критичных операций требуется участие более чем одного работника.

OIM позволяет использовать разделение обязанностей при провижининге и снизить таким образом риски, связанные с преднамеренным или случайным ненадлежащим использованием ресурсов предприятия. При реализации SoD в OIM, запросы, инициированные пользователями, проверяются и утверждаются механизмом SoD и другими пользователями. Можно ввести разнообразные уровни системной и человеческой проверки, чтобы гарантировать, что даже изменения в оригинальном запросе были тщательно проверены. Такой превентивный подход позволяет выявить и исправить потенциально конфликтующие назначения полномочий пользователям, прежде чем запрашиваемые полномочия будут предоставлены.

Сервисы интеграции и генератор адаптеров (Adapter Factory)

OIM может быть интегрирован с любым приложением или ресурсом с помощью гибкой настраиваемой технологии безагентных интерфейсов.

Oracle сформировал библиотеку предварительно настроенных коннекторов для популярных приложений и пользовательских хранилищ. Каждый такой коннектор поддерживает широкий спектр функций для управления идентификационными данными и использует наиболее подходящий метод интеграции, рекомендованный для целевого ресурса, будь то закрытое приложение или система на основе открытых стандартов.

Интеграция с приложениями, для которых не существует готовых коннекторов, может стать нетривиальной задачей. Генератор адаптеров, входящий в состав OIM, упрощает настройку и поддержку интеграции с такими приложениями. Генератор адаптеров предоставляет простые инструменты для генерации кода Java-классов, используемых как для доступа к целевым системам, так и для реализации дополнительной функциональности внутри OIM.