Oscar RamosSenior Sales ConsultantSales ConsultingCesar.Lazaro@oracle.com

Integración de las aplicaciones con el directorio LDAP: Oracle Internet Directory

Ejemplo - Gestión de Identidades Problema Actual

Red de Clientes Windows

Servidores Linux

Aplicaciones

Bases de Datos

Directorios LDAPActive

Directory

Se almacena información sobre identidades de usuarios

Solución - Sistema de Gestión de Identidades

Red de Clientes Windows

Aplicaciones

Bases de Datos

Servidores LinuxDirectorios LDAP

ActiveDirectory LDAPLDAP

SSOSSO

Sistema de Gestión de Identidades

OtrosOtros

• Aprovisionamiento• Meta-directorio• Admin. Delegada • PKI (Certific. X.509)• Federación• Control de Acceso• Auditoria• RBAC• etc....

Ejemplo: Conseguir una Identidad ÚnicaAplicaciones

Bases de Datos

Servidores LinuxDirectorios LDAP

ActiveDirectory

LDAPLDAP

Sistema de Gestión de Identidades

Red de Clientes Windows

Oracle Identity Management

Oracle Internet Directory

El Directorio de Oracle:Oracle Internet Directory (OID)

• Escalabilidad• Más de 500 millones de entradas de

usuarios en un solo servidor• Miles de clientes simultáneos

• Alta disponibilidad• Replicación multimaster usando Oracle

Advanced Symmetric Replication• Oracle hot backup/recovery

• Seguridad• Completo control de passwords• Control de Acceso: ACLs/Roles• Auditoría

• Administración• Administración de varios nodos

• Extensibilidad (Plug-in framework)• Atributos virtuales• Autenticación externa• Políticas de password

ClientesLDAP

ConsolaAdmin

Directorio

Oracle Internet

Directory Server

OracleDatabase

Arquitectura de Procesos OID

Instancia de Servidor LDAP

Procesode

ServidorOID

OID Listener/

Dispatcher

Oracle Net Listener/

Dispatcher

OracleDB

Oracle Net

PeticionesLDAP

Procesode

ServidorOID

ClientesLDAP

Oracle Net

Oracle NetProceso

deServidor

OID

OID y el Entorno de Aplicaciones

Default Realm

Aplic. BAplic. A

ASP IM Realm ABC IM Realm XYZ IM Realm

Aplic. A Aplic. B Aplic. C

Usuarios

Usuarios ASP

Usuarios ABC

Usuarios XYZ

Entorno No-Hosted Entorno Hosted

Desarrollo de Aplicaciones Integradas con el Directorio

� Se pueden realizar operaciones contra el servidor LDAP utilizando:

– APIs de servidor LDAP (C, PL/SQL, Java, ...)– Herramientas de línea de comando

� Y las operaciones de modificación del DIT, que se podrán realizar serán:

– añadir una entrada– eliminar una entrada– modificar una entrada– renombrar una entrada (cambio del DN)

� OID proporciona un API adicional para trabajar más fácilmente con el esquema de almacenamiento de usuarios

– Sincronización mediante agentes– Configuración del Meta-directorio– Definición de mapeos y reglas de sincronización

Integración con Otros Directorios y Repositorios

LDAPLDAP

Sistema de Gestión de Identidades

Directorios LDAP

Bases de Datos

ActiveDirectory

Red de Clientes Windows

iPlanet Otro

Tabla

Agente de AD

Agente de iPlanet

LDIF

SQL

Ejemplo: Conseguir una Identidad Única

Ejemplo: Conseguir una Identidad Única

– Ejecución de un código ante un determinado evento (alta/baja/modificación de identidades)

– El cambio se puede producir en cualquier dirección (en el LDAP o en la Aplicación)

Aprovisionamiento Hacia/Desde las Aplicaciones

LDAPLDAP

Sistema de Gestión de Identidades

Aplicación de Gestión

de Compras

Aplicaciones Aplicaciones

PL/SQL Java

Oracle Identity Management

COREid Provisioning (Directory Integration Platform)

Sincronización Vs Aprovisionamiento

Sincronización entre Directorios

Conectores

DirectoriosExternos

SunOne(iPlanet)

Active Directory

Oracle HR

Oracle DB

OpenLDAP

eDirectory

OracleInternet

Directory

DirectoryIntegration

Service

(Fu t

u ro )

Perfiles de Sincronización

� Cuando se quiere configurar la sincronización, es necesario crear un perfil. Este perfil incluye información como:

– Sentido de la sincronización (importación o exportación)– Tipo de sincronización (LDAP, LDIF, ...)– Reglas de mapeo– Detalles de conexión con el directorio a sincronizar– Número de cambio a aplicar– Etc.

� El registro del perfil se hace cargando una entrada en el directorio. Se puede configurar desde Oracle Directory Manager

Ejemplo: Integración entre OID e iPlanet/SunONE

Ejemplo: Integración entre OID e iPlanet/SunONE

Servicio de Integración de Aprovisionamiento

ERP,CRM,…

eMail

Portal

Partner Provisioning System

Oracle Provisioning Integration Service

Event Notification

Engine

Pro

visi

onin

g C

onne

ctor

s

Policy &Workflow

Engine

User self-service

Corporate HR

Enterprise Admin

Portal Admin

eMail Admin

���

Ejemplo: Administración Delegada

– Para Administradores: administración de usuarios y grupos, configuración de workflows de aprobación, delegación de responsabilidades de administración, ...

– Para Usuarios: cambio de password, info personal, petición de modificación de roles, ...

Consola de Administración Delegada

Oracle Identity Management

Delegated Administration Service (DAS)

Los Servicios de Administración Delegada

� Permite a los administradores delegar la administración a otros administradores o a los propios usuarios finales

Administrador Global

Administradores Realm 1 Administradores Realm 2

Usuarios y Grupos Usuarios y Grupos

Gestión de Usuarios vía WebDelegated Administration Service (DAS)

� Un usuario final podrá utilizar DAS para hacer lo siguiente:

– Editar y cambiar información de su perfil (dirección, teléfono, ...)

– Cambiar la password y el “password hint”– Resetear la password cuando el usuario la ha olvidado– Ver el diagrama jerárquico de la organización– Cambiar las zonas horarias– Configurar la información de acceso a recursos a los

que el administrador le ha dado permiso

Oracle Delegated AdministrationServices (DAS)

� Un administrador utiliza los servicios de DAS para:

– Configurar Realms de gestión de identidades (crear nuevos realms, configurar realms, ...)

– Administrar entradas de usuarios (crear, borrar, modificar, asignar privilegios...)

– Administrar entradas de grupos (crear, borrar, modificar, insertar usuarios, asignar privilegios...)

– Administrar servicios– Administrar cuentas (invalidar, habilitar, desbloquear)– Administrar la información de acceso a recursos

Oracle Delegated AdministrationServices (DAS)

Resumen

� El directorio estándar LDAP de Oracle (OID) se implementa sobre la BD, ofreciendo disponibilidad y escalabilidad sin precedentes

� Alrededor de OID, se ofrecen otros servicios de valor añadido que proporciona una solución de seguridad/gestión de usuarios: Oracle IM

� Completamente integrado con el entorno Oracle

� Integrado con otros servidores y aplicaciones

Beneficios de Identity Management

� Menores costes de administración� Provisionamiento de usuarios mejorado� Mayor seguridad a través de la gestión centralizada de

políticas y autorizaciones� Administración escalable a través de delegación

� Mayor productividad mediante el acceso más rápido a las aplicaciones

� Mayor usabilidad con una única identidad y credenciales

Para los Administradores:

Para los Usuarios:

Más información...

Oracle Technology Networkhttp://otn.oracle.com

Oracle Application Serverhttp://otn.oracle.com/products/ias/

Oracle Identity Managementhttp://otn.oracle.com/products/id_mgmt/

Oracle Internet Directoryhttp://otn.oracle.com/products/oid/

EmailOscar.Ramos@oracle.com