Loading...


Loading...

Регистрация

Пароль будет отправлен Вам по электронной почте.

Восстановление пароля

Подтверждение будет отправлено вам по e-mail.



Технология единого входа - для корпоративной ИС агрохимического холдинга «ФосАгро»

История успешного проекта. Внедрение технологии единого входа (Single Sign-On) в корпоративную информационную систему агрохимического холдинга «ФосАгро»

Сроки реализации
2010 – начало 2011 года

Заказчик

fosagro

«ФосАгро» ‑ крупный российский агрохимический холдинг, объединяет предприятия, обеспечивающие единый технологический цикл ‑ добычу, обогащение руды и переработку полученного фосфатного сырья в сложные минеральные удобрения и кормовые фосфаты. В состав холдинга «ФосАгро» входят крупные предприятия ‑ ОАО «Апатит», ОАО «Аммофос», ОАО «Череповецкий «Азот», ООО «ПК «Агро-Череповец» и ООО «Балаковские минеральные удобрения».

Поставщик решения

digt_business_systems

«Дигт Бизнес Системы» ‑ российский разработчик и поставщик программного обеспечения в области защиты информации, создания решений по аутентификации в продуктах Oracle. Компания уже на протяжении нескольких лет успешно сотрудничает с компанией Oracle и имеет статус Silver Partner Oracle. Технологический и бизнес-партнер компании “Цифровые технологии”.

Цель проекта
Предлагаемая технология направлена на решение следующих бизнес-задач, стоящих перед организацией:

  • ускорение предоставления новым пользователям доступа к приложениям;
  • повышение безопасности процедуры аутентификации в Oracle e-Business Suite за счет использования протокола Kerberos;
  • расширенный аудит и контроль безопасности;
  • усиление защиты корпоративной информационной системы Холдинга за счет внедрения технологии единого входа (Single Sign-On).

Краткое описание проекта
Корпоративная информационная система «ФосАгро» охватывает более 2 000 активных пользователей и построена на базе Oracle E-Business Suite. Решение по аутентификации в системе Oracle E-Business Suite основано на использовании протокола Kerberos для обеспечения прозрачного, то есть не требующего дополнительного ввода данных аутентификации, доступа пользователей к ресурсам (внутри системы OEBS).

Механизм работы протокола Kerberos следующий:

“Мы постоянно совершенствуем нашу корпоративную информационную систему, для того чтобы она была максимально удобной и отличалась высоким уровнем безопасности. Уже давно перед нами стояла задача – упростить для пользователей процедуру аутентификации пользователей и сделать ее централизованной. Решение компании «Дигт Бизнес Системы» позволило в полной мере реализовать эту задачу”.

Якорев Р.А. Начальник отдела развития Корпоративной информационной системы «ФосАгро»

  • Пользователь обращается к серверу Kerberos (Key Distribution Center, KDC), предоставляя данные аутентификации (имя пользователя и пароль или ранее полученный TGT-билет) за секретным ключом для шифрования взаимодействия «пользователь-сервис».
  • Сервер KDC генерирует билет (ticket), в котором хранится сеансовый ключ сервиса и пользователя (зашифрованный КDC в адрес обоих), снабженный меткой времени, когда был сгенерирован сеансовый ключ, и передает его пользователю.
  • При дальнейшем обращении к ресурсу пользователь предъявляет сервису билет на обслуживание. Полученный билет расшифровывается с помощью расшифрованного сеансового ключа, и, если все в порядке, пользователю предоставляется доступ к ресурсу.

Состав решения (компоненты)

  • Модуль «Trusted Login» для Kerberos
  • KDC под управлением Windows 2008 Server R2
  • LDAP каталог Microsoft ActiveDirectory под Windows 2008 Server R2

Архитектура решения и особенности настройки
Функциональная схема решения представлена на рисунке. Процедура аутентификации выполняется для всех пользователей, которые предварительно зарегистрированы в службе каталогов. Единственное действие, требуемое от пользователя, – вход на страницу аутентификации (1). Все остальные операции происходят в скрытом от пользователя режиме и контролируются модулем «TrustedLogin» для Kerberos.

Рис.1

Рис.1. Схема аутентификации через модуль «TrustedLogin» по протоколу Kerberos для корпоративных intranet-сетей

КDС в представленном решении необходим для выдачи билета на обслуживание (2,3) после того как KDC проверит TGT-билет пользователя (который включает ID-клиента, сетевой адрес клиента, период действия билета, и Сессионный Ключ «Пользователь-Сервис»).

“На мой взгляд, большой плюс решения состоит в том, что оно не потребовало от нас развёртывания каких-либо специализированных программных сервисов и настройки аппаратных серверов. И в этом - его отличие от других предлагаемых на рынке решений для Oracle E-Business Suite, обеспечивающих технологию единого входа. Также порадовали быстрые ответы специалистов компании на все вопросы, появившиеся в процессе тестирования. Во время установки и настройки данного решения не возникло никаких технических сложностей, корпоративная ИТ-система работала без остановок и сбоев”.

Лексиков А.Н. Начальник бюро администрирования приложений «ФосАгро»

Модуль аутентификации «TrustedLogin» (страница OAF «TrustedKRB5» модуля) получает идентификатор пользователя (имя принципала из предъявленного пользователем билета на обслуживание). Затем по таблице DIGT_NTLM_USERS определяет ссылку (4) на пользователя Oracle E-Business Suite из таблицы FND_USERS, вычисляет по ней логин пользователя (5), назначает ему новый случайный пароль и проводит процедуру аутентификации (6) для найденного логина со вновь созданным паролем.

Существенный плюс данного решения, в отличие от других предлагаемых Oracle E-Business Suite, оно позволяет поддерживать смешанную модель аутентификации пользователей, когда одни аутентифицируются в системе по технологии SSO, а другие штатным образом. решений для

Процесс установки и настройки данного решения не вносит технических сложностей в работу действующей системы и может выполняться поэтапно. В систему Oracle E-Business Suite модуль устанавливается запуском командного скрипта. В Active Directory регистрируется учетная запись пользователя, которая используется в качестве учётной записи SPN.

В системе Oracle E-Business Suite штатными средствами настраивается системный профиль для зарегистрированного пользователя (службы SPN) и назначаются полномочия SYSADMIN или другой административной учетной записи (рис.2).

Рис2

Рис.2. Назначение полномочий пользователя (в активном диалоге выбирается требуемое решение)

Все пользователи OEBS с соответствующими правами производят привязку учетной записи пользователя Oracle E-Business Suite (User Name) к имени принципала (@) (так называемый «маппинг») с помощью форм модуля «TrustedLogin» (Рис.3).

d180d0b8d1813

Рис.3. Установка связи имени принципала с учетной записью пользователя Oracle E-Business Suite

После выполнения привязки учетных записей пользователи могут воспользоваться возможностью аутентификации без ввода логина/пароля при каждом соединении.

На клиентской стороне системы пользователям необходимо работать в рамках Intranet без использования прокси-серверов. В данной схеме поддерживаются браузеры Internet Explorer, FireFox Mozilla, для которых выполняется настройка доверенного узла. Установка дополнительного ПО пользователям не производится.

Результаты проекта
Решение представляет собой сервис централизованного управления аутентификацией пользователей, часть которого является успешной интеграцией в систему OEBS. Реализация решения полностью соответствует концепции защищенного доступа к ресурсам предприятия, известной как концепция трех «А» (Аутентификация, Авторизация, Аудит).

“По моему мнению, пользователям стало намного проще заходить в корпоративную систему. Если раньше, начиная работу в Oracle E-Business Suite, пользователь каждый раз должен был вводить свои логин и пароль, то теперь все происходит автоматически, новый модуль берет все необходимые аутентификационные данные из баз каталога Active Directory. Очень удобно. Причем, безопасность этой процедуры обеспечивается на высоком уровне”.

Маслов О.В. Начальник управления «ФосАгро»

Преимущества используемого решения

  • «Trusted Login» не требует развёртывания дополнительных программных сервисов и аппаратных серверов
  • Решение позволяет поддерживать смешанную модель аутентификации, когда одни пользователи входят в систему с помощью технологии Single Sign-On, а другие ‑ штатным образом, что позволяет IT-службам Холдинга использовать систему для решения более широкого круга задач
  • «Trusted Login» собирает дополнительную информацию о том, кто, когда, с какого IP-адреса и с каким результатом входил в корпоративную систему, что дает возможность дополнительного контроля безопасности корпоративной информационной системы.

Термины и Сокращения

KDC (Key Distribution Center) - централизованный сервис аутентификации, предоставляемый Kerberos. KDC является доверенным сервисом для всех других компьютеров и поэтому к нему предъявляются высокие требования безопасности. Хотя работа сервера Kerberos требует очень немного вычислительных ресурсов, из соображений безопасности для него рекомендуется отдельный компьютер, работающий только в качестве KDC.

TGT (Ticket-Granting Ticket)– билет, дающий право на получение других билетов в реалме (области, использующей единую базу Kerberos), где был он выпущен.

Сеансовый ключ (Session Key) «Пользователь-Сервис» ‑ сгенерированный KDC-ключ, одна копия которого сохраняется в ST (Service Ticket, шифруемый хешем пароля сервиса), чтобы сервис, для которого выдан билет, мог извлечь ключ сессии и расшифровать данные от клиента. Другая копия ключа сессии шифруется ключом сессии «Пользователь-KDC» (содержится внутри TGT) и вся эта информация, включая ST, передаётся пользователю. Таким образом, при обращении к сервису, штамп времени пользователя шифруется ключом сессии «Пользователь-Сервис» (аутентификатор) и вместе с ST передаётся сервису. Сервис извлекает из ST ключ сессии, расшифровывает штамп времени и, если время «не убежало», считает, что пользователь тот, за кого он себя выдаёт.

Principal – имя, которому поставлен в соответствие набор учетных данных. Делится на три части: 1) primary ‑ первая часть принципала Kerberos. Если это пользователь, то соответствует его имени. Если сервис ‑ имя сервиса. 2) instance ‑ вторая часть, служит для уточнения первой части. Может не содержаться в имени принципала, если есть, то это описание. В случае хоста ‑ его fqdn. 3) realm ‑ реалм идет последней частью.

Технология единого входа (Single Sign On) ‑ технология, при использовании которой Пользователь переходит из одного раздела портала в другой без повторной аутентификации>.

OEBS (Oracle e-Business Suite) - ERP-система компании Oracle, т.е. набор приложений/модулей для управления предприятием.

OAF (Oracle Applications Framework) ‑ платформа для разработки HTML-приложений. Ключевые компоненты OAF: 1) Business Components for Java (BC4J) ‑ включены в Oracle JDeveloper и используются для создания Java бизнес-компонентов, представляющих бизнес-логику, 2) AOL/J в структуре OAF обеспечивает безопасность и Java-сервисы для приложений. Логика приложений на основе структуры OAF контролируется процедурами, исполняемыми через механизм Java-сервлетов.

Ссылки на дополнительные материалы и публикации
1. «Windows IT Pro», № 06, 2004. Павел Покровский, Илья Четвертнев. Методы аутентификации в ORACLE (http://www.osp.ru/win2000/2004/06/177152/).

2. Oracle Advanced Security Administrator’s Guide Release 2 (9.2) Part Number A96573-01 Configuring Kerberos Authentication.