Ensartet ID-håndtering i blandingsmiljø

Oracle tilbyr en omfattende oppgradering av sine verktøy for ID-håndtering i heterogene miljøer.

I forrige uke gjorde Oracle sin verktøypakke Identity Management 10g Release 3 allment tilgjengelig. Pakken tilbyr hjelpemidler for sikker ID-håndtering i heterogene miljøer, slik at brukere logger seg på én gang for å nå alle tjenester, også der brukeren kommer utenfra og autentisert av den tredje part.

Pakken retter seg etter åpne standarder, og skal løse mange av de ID-relaterte utfordringer bedrifter møter når de legger om til tjenesteorientert tankegang. Oracle deltar i svært mye ID-orientert standardiseringsarbeid, blant annet utviklingen av rammeverket WS-I, standardene som Liberty Alliance tar seg av (det vil si SAML, Liberty ID Federation Framework og WS-Federation), samt det som foregår i Oasis.

Mye av teknologien i pakken – suiten – er utviklet av mindre selskaper som Oracle nylig har kjøpt.

– Det er nisjeaktører vi har kjøpt, forklarer teknologiderektør Rune Syverinsen i Oracle Norge til digi.no. – Det dreier seg om selskaper som har vært tidlig ute med å implementere produkter og som vi integrerer i vår nye ID-suite.

De viktigste selskapene for ID Management 10g R3 er Octet String, Thor Technology og Oblix.

Octet String har bidratt med en virtuell katalogjener som forener for eksempel domener under ActiveDirectory eller Novell. Det innebærer at tjenester og applikasjoner kan henvende seg til ett sted, den virtuelle katalogtjeneren, for å hente informasjon om brukere og hvilke rettigheter de har.

Bidraget til Thor Technology supplerer den virtuelle katalogtjeneren ved å sørge for at applikasjoner som ikke er laget med tanke på å forholde seg til katalogtjenester, automatisk får oppdatert sine interne brukertabeller med endringene i katalogtjenestene. Løsningen tilfredsstiller amerikanske krav til «compliance», det vil si til kontroll over hvem som har – og hadde – tilgang til hvilke tjenester, når og hvor.

Løsningen til Oblix dekker en tredje type utfordring når man skal forene engangspålogging mot mange tjenester i en stor portal med en desentralisert administrasjon av brukerne. I stedet for å se på alle brukere under ett, innfører man et hierarki. I Hydro brukes Oblix slik at Hydro selv bare forvalter én kontaktperson fra hver underleverandør. Denne kontaktpersonen har ansvaret for å forvalte sine brukere. I sjargongen snakker man om et «forvaltersystem» for ID. Kontaktpersonen legger selv inn de brukerne som underleverandøren mener det er hensiktsmessig å gi tilgang til portalen.

Oracles ID-håndtering tilbyr også en ordning, kjent som «federation», der en bruker leverer sin ID til et system som en webtjeneste. Webtjenesten viser at en av systemets partnere allerede har godkjent ID-en, og at vedkommende følgelig kan slippes inn. Utfordringen her er at godkjenningen ikke skal være avhengig av at de to ID-håndteringssystemene bygger på den samme teknologiske plattformen.

ID Management 10g R3 skal integrere dette, og mer, i en løsning som skal kunne installeres mens applikasjonene den skal betjene er i drift. Den er umiddelbart tilrettelagt for Oracles egne applikasjoner, som E-Business Suite, JD Edwards, PeopleSoft og Siebel, og for SAP.

– Rikstrygdeverket (RTV) kjøpte løsningen til Octet String før vi kjøpte selskapet, forteller Syverinsen. – Nå skal Aetat og RTV slås sammen til én etat. Alle trenger tilgang til de gamle systemene, samtidig som saksbehandlerne må ha en felles portal. Man må ha kontroll helt ned på personnivå, ikke bare for å vite hvem den enkelte brukeren er, men også hva vedkommende har lov til å gjøre.

Tjenesteorientert tankegang gjør at bedrifter må tenke gjennom brukerautentisering og rettighetsstyring på nytt.

– Før hadde man monolittiske systemer, for eksempel pakker for CRM eller ERP, som var vant til å ha full kontroll, også over hvem som var brukere og hva de kunne gjøre. Så lenge man holder seg til hele pakker, er dette helt i orden.

Poenget til Syverinsen og Oracle er at når man blir opptatt av tjenesteorientering, holder man seg ikke til én pakke.

– Tendensen i dag er at man henter moduler fra flere pakker og syr dem sammen til en egen prosess. I praksis kan denne prosessen oppfattes som selve applikasjonen. Da stiller sikkerheten seg annerledes. Den monolittiske applikasjonen er nå bare en del av en applikasjon. Tjenesteorienteringen krever at monolittiske applikasjoner må begynne å ta hensyn til andre applikasjoner.

Med tjenesteorientert arkitektur oppretter man en egen «enterprise service bus» eller ESB som sørger for tjenesteutvekslingen mellom applikasjoner som inngår i en prosess. Arkitekturen innebærer at funksjonalitet som skal betjenes alle tjenester – også ID-håndtering og andre sikkerhetsproblemer – bør løses i bussen, og ikke overlates den enkelte applikasjonen. Nye webtjenesteorienterte sikkerhetsstandarder skal sørge for at tjenester og applikasjoner kan koples sammen, samtidig med at sikkerheten ivaretas. På den andre siden må bussen også betjene applikasjoner som ennå ikke støtter webtjenester, eller aldri kommer til å gjøre det.

Oracle bruker denne plansjen for å forklare hvordan den hele virker (klikk på plansjen for å se den i full størrelse i eget vindu):

Klikk på bildet for å se det i full størrelse

ID-håndteringen skjer både rett over og rett under tjenestebussen. Engangspåloggingen (SSO eller «single sign on») henvender seg til katalogtjenestene for å sjekke ID-en, og sikkerhetslaget for webtjenester henvender seg også dit for å sjekke rettighetene til hver ID. Siden ikke alle fagsystemer kan trekkes inn i sikkerhetsordningen på webtjenestesiden, sørger man for at disse forsynes med ID-er og rettigheter direkte fra katalogtjenestene.

    Les også:

Til toppen