Az Oracle Web Services Manager bemutatása Az Oracle tájékoztató kiadványa 2005. május
Az Oracle Web Services Manager bemutatása
1
Az Oracle WSM bemutatása
BEVEZETÉS A nagygépes rendszerektől a webes környezetre áttérő szervezetek számára lehetővé vált, hogy alkalmazásaikat új, gyakran vállalaton kívüli ügyfélcsoportokhoz is eljuthassák. Az ügyfelek és a partnerek mára már rendszeres hozzáférést igényelnek a „belső” alkalmazásokhoz. Ha egy nagyvállalati részleg valahol üzleti lehetőséget észlel, gyorsan és viszonylag kis beruházással létrehozhatja és beindíthatja a megfelelő webszolgáltatást. Az internet segítségével a vállalatok sokkal gyorsabban és eredményesebben szolgálhatják ki partnereiket és ügyfeleiket. Az elmúlt évek során a nagyvállalatok egy sor webszolgáltatást fejlesztettek ki a szolgáltatásorientált architektúrák (SOA-k) meghonosítására. A SOA kiépítésének célja, hogy a vállalatok a hagyományos rendszerintegrációhoz képest nagyobb rugalmasságot és üzleti integrációt érjenek el. A böngészők és a webkiszolgálók az alkalmazások felhasználói hozzáférését biztosítják, a webszolgáltatások viszont alkalmazások közötti, háttérben működő adatkapcsolatokat kínálnak. Az új módszer kibővíti a hasznos adatokhoz való hozzáférést, és csökkenti a termékek piacra jutási idejét. Hátránya viszont, hogy növekszik az előírások be nem tartásának kockázata, illetve a személyes adatok és a rendszerbiztonság veszélyeztetettsége. ORACLE WEB SERVICES MANAGER Az Oracle Web Services Manager (WSM) egy webszolgáltatásokhoz készült biztonsági és felügyeleti megoldás, amely a webszolgáltatások éles rendszerekbe való telepítéséhez szükséges átláthatóságot és ellenőrizhetőséget biztosítja. Az Oracle WSM megoldással a szervezetek valamennyi webszolgáltatásos alkalmazásukhoz egységes biztonsági infrastruktúrát használhatnak. Ez lehetővé teszi, hogy a bevált biztonsági szabályokat és monitoringot a meglévő vagy új szolgáltatásokon belül is érvényesítsék. Hogyan működik? Az Oracle WSM esetében a rendszergazda egy böngésző alapú eszközzel biztonsági és felügyeleti szabályokat hoz létre. Egy ilyen tipikus, webszolgáltatáshoz készült biztonsági előírássor lehet például a következő: 1. 2. 3. 4. 5. 6. 7.
Fejtsd vissza a bejövő XML-üzeneteket Keresd meg a felhasználó hitelesítő adatait Futtass le egy hitelesítési rutint erre a felhasználóra Végezd el a felhasználó és a webszolgáltatás jogosultságainak ellenőrzését Írd be a fenti ellenőrzési eredményeket egy naplófájlba Ha a fentiek közül valamennyi lépést sikerült végrehajtani, akkor küldj egy üzenetet a címzett webszolgáltatásnak Ha mégsem sikerült végrehajtani a fenti lépéseket, akkor generálj hibaüzenetet, és hozz létre egy kivételrekordot
Az Oracle Web Services Manager bemutatása
2
A WSM ezután minden webszolgáltatáshoz érkező kérést elfog, és lefuttatja a fenti eljárást. Végrehajtás közben a WSM statisztikát készít a műveletekről, és az eredményeket egy monitorozó kiszolgálóra küldi. A monitoron megjelennek a hibaüzenetek, a szolgáltatás rendelkezésre állási adatai stb. Ennek eredményeképpen a vállalati hálózatban működő valamennyi webszolgáltatás automatikusan biztonsági és felügyeleti ellenőrzéssel egészül ki, anélkül, hogy a szolgáltatásfejlesztőnek ehhez külön programozást kellene végeznie. A WMS legfontosabb jellemzői •
Webszolgáltatások hozzáférés-szabályozása és egyszeri bejelentkezéses hitelesítés. Az Oracle WSM egyszeri bejelentkezéses hitelesítést biztosít, beleértve a webszolgáltatások hitelesítését, jogosultság-hozzárendelését és auditálását. A jogosultság-hozzárendelés az XML-üzenet vagy szövegtörzs bármely részében előforduló adatokon alapulhat, és a hozzáférés-szabályozás a szolgáltatás vagy a SOAP-metódus szintjén érvényesül. A WSM támogatja a WS-Security, a SAML és az XML aláírástípusokat.
•
Központi biztonsági szabálykezelés és helyi szabályérvényesítés. Az Oracle WSM lehetővé teszi, hogy egy központi biztonsági infrastruktúra segítségével a rendszer csak a legszükségesebb esetekben végezze el több alkalommal a szolgáltatások biztonságához szükséges műveleteket. Az Oracle WSM megoldása lehetővé teszi, hogy a legjobban bevált biztonsági gyakorlatot anélkül alkalmazzuk egy meglévő webszolgáltatásra, hogy előtte át kellene programozni az adott szolgáltatást.
•
A szervezetek közötti webszolgáltatásos alkalmazások egységesített monitoringja. Manapság a vállalatoknak komoly nehézséget okoz, hogy miként gyűjtsék ki azokat az adatokat, amelyek a Sarbanes–Oxley-féle és a Gramm–Leach– Bliley-féle törvény, illetve a HIPAA által előírt megfelelő auditálási információkat szolgáltatják. Az Oracle WSM lehetővé teszi, hogy a vállalatok egységes auditálási nyilvántartást hozzanak létre, amely mutatja, hogy mely felhasználó vagy szolgáltatás használta az adott webszolgáltatást, és milyen műveleteket hajtottak végre.
A WSM legfontosabb előnyei •
Fokozott biztonság. Az Oracle WSM webes és SOA-környezetekben is lehetővé teszi a biztonsági szabályok folyamatos és következetes alkalmazását. Ez biztosítja, hogy a vállalati előírásokat minden informatikai rendszerben egységesen alkalmazzák, érvényesítsék és szorosan figyelemmel kísérjék.
•
Mérsékelt fejlesztési költségek. Az Oracle WSM esetében az alkalmazásfejlesztők egységes eszközkészlettel dolgozhatnak, és nem kell minden egyes alkalmazásba vagy szolgáltatásba külön biztonsági funkciókat beépíteniük.
•
Könnyebb szabálykövetési kimutatáskészítés. Az automatikus monitoringnak köszönhetően a több webszolgáltatásban zajló események és tranzakciók világosan nyomon követhetők.
Az Oracle Web Services Manager bemutatása
3
AZ ORACLE WEB SERVICES MANAGER ELEMEI A WSM Platform négy elemből áll: szabálykezelő (Policy Manager), átjárók (Gateway), ügynökszoftverek (Agent) és felügyelőprogram (Monitor). Az Oracle WSM egyedülálló jellemzője, hogy az átjárókra, illetve az ügynökszoftverekre épülő architektúrában egyaránt képes az előírások érvényesítésére. A Web Services Policy Manager bemutatása A WSM Policy Manager egy böngésző alapú grafikus eszköz, amely a biztonsági és felügyeleti szabályok létrehozását és verziókövetését előre definiált vagy a felhasználó által definiált szabálylépések alapján hajtja végre. Az ilyen szabályokban előforduló lépés lehet például a hasznos XML-adattartalom visszafejtése, LDAP-hitelesítés végrehajtása, auditálási rekord naplózása, a kért jogosultságok hozzárendelése stb. A szabálylépéseket a szabályfeldolgozócsatorna köti össze, és ezt a feldolgozást egy webszolgáltatáson, a webszolgáltatások egy részhalmazán vagy valamennyi webszolgáltatáson el lehet végezni. Így a szervezet olyan „jól bevált” biztonsági előírásokat tud létrehozni, amelyekkel biztosítható, hogy azok a szolgáltatás kivitelezésétől vagy tervezésétől függetlenül is érvényesítésre kerülnek. Web Services Management Gateway Az Oracle WSM kétfajta szabályérvényesítési ponttal rendelkezik: Gateway (átjáró) és Agent (ügynökszoftver). A WSM Gateway a védendő szolgáltatástól függetlenül, a szolgáltatáskliensek felé proxyként működik. A Gateway a hozzá rendelt webszolgáltatást virtualizált módon futtathatja, így a kliensek nem tudják meg a szolgáltatás részletes címzési adatait. Ezzel a megoldással a legtöbb szabálylépés érvényesíthető, a Gateway ugyanakkor képes az üzeneteket az üzenet vagy a melléklet tartalma alapján célba irányítani. A Gateway emellett az üzenet formátumát vagy protokollját is képes átalakítani, pl. XML-over-HTTP-ről JMS-re. Az átjárókat gyakran a szervezet „demilitarizált zónájába” (DMZ) telepítik, hogy oda irányítsák a szolgáltatásoknak szánt üzeneteket, és a külső kliensek elől elrejtsék a szolgáltatás részleteit. A Policy Manager rendszeres időközönként elküldi az átjárónak a szabály-feldolgozócsatornák frissített állapotát. Web Services Management Agent A Gateway-hez hasonlóan az Oracle WSM Agent ügynökszoftver szinte minden beépített szabálylépést végre tud hajtani. A Gateway-jel ellentétben azonban a WSM Agent a védendő háttérszolgáltatással azonos processzterületen fut, így az üzenetek titkosítását egészen a végpontig el tudja látni. Mivel azonban egy végponton helyezkedik el, nem tudja átirányítani vagy átalakítani az üzeneteket. A Gateway-hez hasonlóan az Agent is rendszeresen megkapja a Policy Managertől a szabály-feldolgozócsatornák frissített állapotát. A fentieknek megfelelően az Oracle WSM jelentős architekturális rugalmasságot biztosít a Gateway és az Agent együttes alkalmazásával. Jellemző telepítési módja, amikor egy szervezet webszolgáltatási hálózatát kívülről egy Gateway védi, amely átirányítja a szolgáltatást és lefordítja a protokollt, míg az egyes belső szolgáltatásoknál Agent szoftverek gondoskodnak a hozzáférés szabályozásáról és a végpontig történő titkosításról.
Az Oracle Web Services Manager bemutatása
4
Web Services Monitor Mivel az átjáró- és ügyfélszoftverek a be-, illetve kimenő üzenetek esetében érvényesítik a szabályokat, ezért statisztikát is készítenek a válaszidőkről, kivételeseményekről stb. Ezeket a statisztikákat aztán valós időben küldik el a WSM Monitornak, amely egy webes műszerfal, célja pedig a szolgáltatási követelményszinteknek, a szolgáltatás rendelkezésre állásának és a szolgáltatás válaszképességének figyelemmel kísérése. A Monitor riasztja a rendszergazdákat, ha a paraméterek a kritikus értékekhez közelednek, majd automatikusan értesíti a Policy Manager szolgáltatást, hogy bizonyos feltételek teljesülése esetén új szabályrendszert aktiváljon.
Szabályok: A WSM Policy Manager a műveleti szabályok konfigurálására szolgál, illetve arra, hogy azokat a megfelelő WSM érvényesítő elemhez (átjárók vagy ügynökszoftverek) juttassa el a különböző telepített alkalmazásokban.
Hozzáférés: Működés közben a WSM átjárói és ügynökszoftverei a felügyelt alkalmazások közötti minden szolgáltatási kérelmet elfognak, és a további kommunikáció előtt érvényesítik a megfelelő biztonsági és működési szabályokat.
Adatok: Az alkalmazások kommunikációjának átláthatósága érdekében a WSM Monitor valós idejű információkat kap az átjáróktól és ügynökszoftverektől, amelyek alapján kimutatásokat készít a teljes webszolgáltatási hálózat állapotáról, teljesítményéről, biztonságáról és szabálykövetéséről.
Az Oracle Web Services Manager bemutatása
5
AZ ORACLE WSM ÉS WEB ACCESS CONTROL Noha az Oracle WSM LDAP útján vagy adatbázis-jogosultsági ellenőrzésekkel érvényesítheti egy adott szolgáltatás hozzáférés-szabályozását, valószínűbb azonban, hogy egy olyan Web Access Control (webhozzáférési szabályozó) rendszerrel együtt kerül telepítésre, mint a COREid vagy a SiteMinder. A COREid-vel történő integráció lehetővé teszi, hogy a COREidban központilag meghatározott előírásokat helyi szinten a WSM ügynökszoftverei vagy átjárói hajtsák végre. Ezzel a COREid a teljes SOA alapú és webes környezet együttesében hitelesítési és jogosultsági szabálykezelést biztosít. A WSM ügynökszoftverei és átjárói kiemelik az XML-üzenetekből a biztonságot érintő adatokat, mint például a kérelmeket, kontextust, identitást, végrehajtandó műveleteket és műveleti változókat, majd ezeket közvetlenül a COREid Accesshez küldik kiértékelésre. A COREid Access System egyszeri bejelentkezési kulcsszóval válaszol a hitelesítésre, majd vagy engedélyezi, vagy visszautasítja a jogosultságot. A WSM ügynökszoftvere vagy átjárója ezután érvényesíti a COREid Access döntését. Ahogyan a szervezetek minél inkább a szolgáltatásorientált architektúrára térnek át, egyedül az Oracle tud olyan megoldást kínálni, amely alapszolgáltatásként kínálja az integrált biztonságot és felügyelhetőséget valamennyi webes és webszolgáltatásos alkalmazáshoz és feldolgozáshoz. ÖSSZEFOGLALÁS Ahogy a webszolgáltatások a kezdeti próbaidőszak után most már kritikus fontosságú üzleti folyamatok kiszolgálásában vesznek részt, csak kevés ügyfél lesz hajlandó ezeket a szolgáltatásokat megfelelő biztonsági és felügyeleti támogatás nélkül rendszerbe állítani. Az Oracle WSM lehetővé teszi, hogy az ügyfelek a bevált gyakorlatot és a szabályalapú biztonságot a meglévő vagy új webszolgáltatások fölötti rétegbe integrálják anélkül, hogy át kellene dolgozni az adott szolgáltatásokat. Ennek a megközelítési módnak a legfőbb előnye a biztonság, a rendszer nagyobb mértékű rendelkezésre állása és az egyszerűbb szabálykövetés. Azon ügyfeleknek, akik már használják a webszolgáltatásokat vagy azok bevezetését fontolgatják, mindenképpen figyelemreméltó lehetőséget kínál az Oracle hatékonyságnövelő WSM megoldása.
Az Oracle Web Services Manager bemutatása
6
Oracle Hungary Kft. Déli Point Irodaház 1123 Budapest, Alkotás utca 17-19. Telefon: +36 1 224 1700 Kereskedelmi információk: + 36 80 016 108 Fax: +36 1 214 0070 www.oracle.com/hu Copyright © 2005, Oracle. Minden jog fenntartva. Az Oracle, a JD Edwards és a Peoplesoft az Oracle Corporation és/vagy társult vállalatainak regisztrált védjegyei.
Az Oracle Web Services Manager bemutatása
7
