Как известно 11-ые версии UCM и BPM претерпели ряд инфраструктурных изменений, в связи с переходом в окружение WebLogic Server. Развернув приложения UCM и BPM в одном домене WebLogic, мы интуитивно ожидаем, что WebLogic  будет поддерживать SSO между приложениями UCM и BPM, размещенных на разных Managed серверах. Но на самом деле, как и написано в документации,  SSO будет работать для приложений размещенных только в рамках одного Managed сервера. Для работы SSO между разными Managed серверами необходимо наcтроить SAML.

SSO – (Single Sign-On) – однократная точка входа, организует доступ к защищенным ресурсам без вторичного запроса у пользователя прохождения процесса аутентификации, в частном случае без вторичного запроса пароля.

Итак, целью данной статья ставится описание процесса настройки SAML2 в домене WebLogic, где установлены UCM и BPM на разных Managed серверах.

На представленном выше рисунке Admin сервер будет выступать в роли SAML2 Identity Provider, то есть стороной выполняющей аутентификацию пользователей. Для чего на Admin сервер будет размещено собственное приложение со страницей входа.

На Managed серверах будут установлены приложения UCM и BPM, а сами Managed сервера будут являться SAML2 Service Provider. В такой реализации приложения UCM и BPM должны будут не аутентифицированных пользователей перенаправлять на Admin сервер для ввода логин и пароля на нашей странице входа. После выполнения успешного входа пользователи будут обратно перенаправлены на страницу приложения. При последующем обращении к другому приложению, в рамках текущего интернет обозревателя, пользователи будут автоматически идентифицированы при помощи SAML2 протокола.

Особенности:

В данном примере используются демо сертификаты, что допустимо только для иллюстрации данного решения.

Параметры данного решения:

Hostname сервера:  ecm11g

Weblogic домен: base-domain

Имена серверов ecm11g, ecm11g-bpm, ecm11g-ucm должны распознаваться самим сервером и клиентской машиной, то есть по крайне мере должны быть прописаны в файле hosts.

Настройка приложений:

На Admin сервере будет размещено приложение saml2IdP, выполняющее функцию запроса логина и пароля у пользователя и выполняющее обратное перенаправление пользователя в приложение при успешной аутентификации.

Функцию перенаправления в приложение выполняет файл saml2login.jsp  :

В файле web.xml описана защита ресурса saml2login:

В файле weblogic.xml описано назначение роли saml2-role для всех пользователей.

В приложениях UCM и BPM метод аутентификации уже стоит по умолчанию <auth-method>CLIENT-CERT</auth-method>.

Настройка Realm Providers:

Создание Realm > Providers > Credential Mapping:

• Создать новый SAML2 Credential Mapper провайдер (saml2CMP): myrealm > Providers > Credential Mapping
• После создания зайти в данный провайдер saml2CMP > provider specific
• Заполнить значения:
  • Issuer URI: saml2CMP
  • Name Qualifier: ecm11g
  • WS Assertion Signing Key Alias: DemoIdentity
  • WS Assertion Signing Key Pass Phrase:  DemoIdentityPassPhrase
  • Generate Attributes: true

• Сохраняем изменения

Создание Realm > Providers> Authentication Provider:

• Создать новый SAML2 Identity Assertion Provider провайдер (saml2AP): myrealm > Providers > Authentication

• Сохраняем и перегружаем Admin сервер

Настройка серверов:

Настройка Admin сервера:

• Выбрать в консоли AdminServer > Federation Services > SAML 2.0 General
• Заполнить значения:
  • Site Info – описательные поля
  • Published Site URL: http://ecm11g:7001/saml2
  • Entity ID: saml2IdP
  • Recipient Check Enabled: true
  • Transport Layer Security Key Alias: DemoIdentity
  • Transport Layer Security Pass Phrase:  DemoIdentityPassPhrase
  • Only Accept Signed Artifact Requests: true (будет доступно для изменений после установки значений во вкладке SAML2.0 Identity Provider)
  • SSO Signing Key Alias: DemoIdentity
  • SSO Signing Pass Phrase:  DemoIdentityPassPhrase

• Сохранить изменения
• Выбрать в консоли AdminServer > Federation Services > SAML 2.0 Identity Provider
• Заполнить значения:
  • Enabled: true
  • Only Accept Signed Authentication Requests: true
  • Login Customized: true
  • Login URL: /appA/saml2login
  • POST Binding Enabled: true
  • Redirect Binding Enabled: true
  • Artifact Binding Enabled: true

• Сохранить изменения  и перегрузить AdminServer
• Выбрать в консоли AdminServer > Federation Services > SAML 2.0 General

• Сохранить профиль в виде файла (Publish metadata): user_projects\domains\base_domain\metadata_admin.xml

Настройка ucm_server1:

• Выбрать в консоли ucm_server1 > Federation Services > SAML 2.0 General
• Заполнить значения:
  • Site Info – описательные поля
  • Published Site URL: http://ecm11g-ucm:16200/saml2
  • Entity ID: saml2SPucm
  • Recipient Check Enabled: true
  • Transport Layer Security Key Alias: DemoIdentity
  • Transport Layer Security Pass Phrase:  DemoIdentityPassPhrase
  • Only Accept Signed Artifact Requests: true (будет доступно для изменений после установки значений во вкладке SAML2.0 Service Provider)
  • SSO Signing Key Alias: DemoIdentity
  • SSO Signing Pass Phrase:  DemoIdentityPassPhrase

• Сохранить изменения
• Выбрать в консоли ucm_server1 > Federation Services > SAML 2.0 Service Provider
• Заполнить значения:
  • Enabled: true
  • Always Sign Authentication Requests: true
  • Force Authentication: true
  • Passive: false
  • Only Accept Signed Assertions: true
  • POST Binding Enabled: true
  • Redirect Binding Enabled: true
  • Artifact Binding Enabled: true

• Сохранить изменения  и перегрузить сервера
• Выбрать в консоли ucm_server1 > Federation Services > SAML 2.0 General

• Сохранить профиль в виде файла (Publish metadata): user_projects\domains\base_domain\metadata_ucm.xml

Настройка soa_server1:

• Выбрать в консоли soa_server1 > Federation Services > SAML 2.0 General
• Заполнить значения:
  • Site Info – описательные поля
  • Published Site URL: http://ecm11g-bpm:8001/saml2
  • Entity ID: saml2APbpm
  • Recipient Check Enabled: true
  • Transport Layer Security Key Alias: DemoIdentity
  • Transport Layer Security Pass Phrase:  DemoIdentityPassPhrase
  • Only Accept Signed Artifact Requests: true (будет доступно для изменений после установки значений во вкладке SAML2.0 Service Provider)
  • SSO Signing Key Alias: DemoIdentity
  • SSO Signing Pass Phrase:  DemoIdentityPassPhrase

• Сохранить изменения
• Выбрать в консоли soa_server1 > Federation Services > SAML 2.0 Service Provider
• Заполнить значения:
  • Enabled: true
  • Always Sign Authentication Requests: true
  • Force Authentication: true
  • Passive: false
  • Only Accept Signed Assertions: true
  • POST Binding Enabled: true
  • Redirect Binding Enabled: true
  • Artifact Binding Enabled: true

• Сохранить изменения  и перегрузить сервера
• Выбрать в консоли soa_server1 > Federation Services > SAML 2.0 General

• Сохранить профиль в виде файла (Publish metadata): user_projects\domains\base_domain\metadata_bpm.xml

Загрузка metadata профилей:

• Выбрать в консоли домена провайдер saml2AP: myrealm > Providers > Authentication > saml2AP > Management
• Создать новый provider partner (admin) : New > New Web Single Sign-On Identity Provider Partner >metadata_admin.xml

• Зайти в созданный  Identity Provider Partner: admin
• Заполнить значения:
  • Enabled: true
  • Virtual User: false
  • Redirect URIs:

  /cs/idcplg

  /adfAuthentication

  /bpm/workspace/faces/jsf/worklist/worklist.jspx

  • Process Attributes: true
  • Only Accept Signed Authentication Requests: true
  • Only Accept Signed Artifact Requests: true
  • Send Artifact via POST: false

• Сохранить изменения

• Выбрать в консоли домена провайдер saml2CMP: myrealm > Providers > Credential Mapping > saml2CMP > Management
• Создать новый provider partner (ucm): New > New Web Single Sign-On Service Provider Partner >metadata_ucm.xml

• Зайти в созданный  Service Provider Partner: ucm
• Заполнить значения:
  • Enabled: true
  • Time to Live: 120
  • Time to Live Offset: -5
  • Generate Attributes: true
  • Include One Time Use Condition: false
  • Key Info Included: true
  • Only Accept Signed Assertions: true
  • Only Accept Signed Authentication Requests: true
  • Only Accept Signed Artifact Requests: true
  • Send Artifact via POST: false

• Сохранить изменения

• Выбрать в консоли домена провайдер saml2CMP: myrealm > Providers > Credential Mapping > saml2CMP > Management
• Создать новый provider partner (bpm): New > New Web Single Sign-On Service Provider Partner >metadata_bpm.xml

• Зайти в созданный  Service Provider Partner: bpm
• Заполнить значения:
  • Enabled: true
  • Time to Live: 120
  • Time to Live Offset: -5
  • Generate Attributes: true
  • Include One Time Use Condition: false
  • Key Info Included: true
  • Only Accept Signed Assertions: true
  • Only Accept Signed Authentication Requests: true
  • Only Accept Signed Artifact Requests: true
  • Send Artifact via POST: false

• Сохранить изменения
• Для «надежности» перегрузить Admin сервер.

Результат:

• На странице UCM http://ecm11g-ucm:16200/cs/ для входа в систему переходим по ссылке Login

• Нас переправляют на страницу нашего приложения http://ecm11g:7001/saml2IdP/login.jsp для ввода логина и пароля

• Если были введены не правильные учетные данные, то открывается окно с соответствующим сообщением и ссылкой на страницу логона.

• После успешного ввода логина и пароля нас переправляют обратно в UCM

• Если же в другой вкладке обратиться к странице BPM http://ecm11g-bpm:8001/bpm/workspace/ то мы автоматически без запроса логина и пароля попадает на ресурс BPM. При этом открытая сессия UCM не обрывается.

• Также возможен и другой вариант: сначала обращаемся к ресурсу BPM, логинимся через собственное приложение, и уже без запроса логина и пароля получаем доступ к приложению UCM.

Российское Представительство корпорации Oracle вместе с партнером ФОРС-Центр разработки завершило программу испытаний продукта Oracle Information Rights Management 11g и получило сертификат соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК) России № 2128, действительный до 8 июля 2013 г.

Решение является средством общего  назначения со встроенными средствами защиты от несанкционированного доступа к информации и может быть использовано  в автоматизированных системах класса до класса защищенности 1Г включительно, а также для защиты информации в информационных системамх персональных данных (ИСПДн) до 1 класса включительно!

Для получения сертифицированных дистрибутивов достаточно быть легальным пользователем соответствующего ПО Oracle (т.е. ни вендор, ни партнер не взимают за них дополнительную плату).

Более подробно читайте в блоге наших коллег http://security-orcl.blogspot.com/

Не так давно вышла 11 версия продукта Oracle Information Rights Management. Предлагаю вниманию инструкцию по установке данного продукта на Windows Server 2003 EE SP2 Rus.

Необходимое программное обеспечение:

• Oracle Database 10g Expresion Edition (10.2.0.1)
• Oracle WebLogic Server 11gR1 (10.3.3)
• Oracle Fusion Middleware Repository Creation Utility 11gR1 (11.1.1.3.0)
• Oracle Enterprise Content Management Suite 11gR1 (11.1.1.3.0)
• Oracle Information Rights Management Client 11gR1 (11.1.1.3.0)

Указанное программное обеспечение можно скачать с Oracle Technology Network.

Содержание

• 1. Установка базы данных Oracle Database 10g XE
• 2. Установка сервера приложений WebLogic Server
• 3. Установка и настройка репозитария
• 4. Установка Information Rights Management
• 5. Настройка домена WebLogic Server
• 6. Настройка сервера IRM
• 7. Запуск сервера IRM
• 8. Установка клиента IRM

1. Установка базы данных Oracle Database 10g XE

Лучше устанавливать мультибайтовую Unicode версию Oracle Database 10g XE, чтобы не было проблем с русскими названиями.

Важное замечание! Используйте в Windows Server 2003 американские региональные настройки, иначе могут возникнуть проблемы при использовании тонких JDBC драйверов вместе с Oracle XE. Проблема заключается в том, что последние версии JDBC-драйверов не используют параметр NLS_LANG при установлении соединения, а берут параметры региональных настроеек из Java машины, которая по умолчанию берет параметры из операционной системы.

1.1. Запускаете установку OracleXEUniv.exe, принимаете условия лицензионного соглашения:

1.2. Выбираете папку для установки, например D:/oracle/xe:

1.3. Выбираете пароль для схем базы данных, например welcome1:

1.4. Проверяете остальные параметры и установите базу данных:

2. Установка сервера приложений WebLogic Server

2.1. Запускаете установку wls1033_win32.exe:

2.2. Выбираете папку для установки, например D:/oracle/middleware:

2.3. Можно отказаться от обновлений через My Oracle Support:

2.4. Выберите стандартную установку Typical:

2.5. Проверьте пути установки:

2.6. Оставьте значение по умолчанию для создания ярлыков:

2.7. Проверьте остальные параметры и установите сервер приложений:

2.8. Убедитесь, что установка прошла удачно:

3. Установка и настройка репозитария

3.1. Разархивируйте файл ofm_rcu_win_11.1.1.3.0_disk1_1of1.zip и отройте его содержимое.

3.2. Запустите установщик rcuHome/BIN/rcu.bat:

3.3. Убедитесь, что выбрана опция Create для создания репозитария:

3.4. Введите параметры для соединения с установленной базой данных:

3.5. Про проверки соединения появится предупреждающее окно, что для установки репозитария необходимо иметь версию базы данных Oracle > 10.2.0.4 или > 11.1.0.7. Версия Oracle Database 10g XE – 10.2.0.1, поэтому возникает окно предупреждения. Для тестовых целей данное предупреждение можно проигнорировать.

3.6. Убедитесь, что проверка пререквизитов прошла удачно:

3.7. Выберите в списке компонентов репозитария Enterprise Content Management > Oracle Information Rights Management, префикс для схемы можно оставить по умолчанию DEV:

3.8. Убедитесь, что выполнены пререквизиты для схемы Oracle Information Rights Management:

3.9. Введите пароль для схемы, например welcome1:

3.10. Оставьте настройки tablespaces по умолчанию:

3.11. Убедитесь, что tablespaces создались удачно:

3.12. Проверьте еще раз все настройки и создайте репозитарий:

3.13. Убедитесь, что все прошло удачно:

4. Установка Information Rights Management

4.1. Разархивируйте файл ofm_ecm_generic_11.1.1.3.0_disk1_1of1.zip и откройте его содержимое.

4.2. Запуститие установщик Disk1/setup.exe.

4.3. Введите путь к JDK, например D:/oracle/Middleware/jdk160_18:

4.4. Начните установку:

4.5. Убедитесь, что все пререквизиты для установки выполнены:

4.6. Оставьте директорию для установки по умолчанию:

4.7. Проверьте еще раз все настройки и установите:

4.8. Убедитесь, что установка прошла удачно:

5. Настройка домена WebLogic Server

5.1. Запустите конфигуратор домена D:/oracle/Middleware/Oracle_ECM1/common/bin/config.cmd.

5.2. Выберите опцию Create a new WebLogic domain:

5.3. В списке компонентов выбираете Oracle Information Rights Management, при этом автоматически активизируются обязательные компоненты Oracle Enterprise Manager и Oracle JRF:

5.4. Оставьте название домена base_domain и пути для домена и приложений по умолчанию:

5.5. Введите пароль администратора, например welcome1:

5.6. Выберите значения для режима запуск домена Production Mode, в качестве JDK выберите JRockit SDK 1.6.0_17:

5.7. Выберите в списке схему IRM Schema, введите пароль для схемы – welcome1, параметры соединения с базой данных, куда был установлен репозитарий:

5.8. Убедитесь, что тест соединения со схемой IRM в репозитарии прошел удачно:

5.9. Выберите опции Administration Server & Managed Servers, Clusters and Machines & Deployments and Services для дальнейшее настройки:

5.10. Выберите SSL enabled для сервера администрирования:

5.11. Оставьте параметры управляемого сервера IRM_server1 по умолчанию:

5.12. Оставьте настройку кластера по умолчанию пустой. (В данной инструкции кластер не создается, поэтому окно настройки кластера осталось пустым. Если требуется использовать кластер, надо выполнить его первоначальную настройку именно в этом экране. Если настройка не будет выполнена, потом это будет сделать намного сложнее):

5.13. Добавьте машину localhost:

5.14. Перенесите серверы AdminServer и IRM_server1 в машину localhost:

5.15. Оставьте по умолчанию:

< ?xml:namespace prefix = o />

5.16. Оставьте по умолчанию:

5.17. Проверьте все настройки еще раз и установите домен:

5.18. Убедитесь, что домен был установлен удачно:

6. Настройка сервера IRM

6.1. Запустите AdminServer созданного домена D:/oracle/Middleware/user_projects/domains/base_domain/startWebLogic.cmd.

6.2. Для старта сервера введите логин/пароль – weblogic/welcome1.

6.3. Для того, чтобы не вводить логин/пароль каждый раз при старте сервера, создайте в каталоге D:/oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer папку security. Внутри нее создайте текстовый файл boot.properties c двумя строками username=weblogic и password=welcome1:

6.4. Дождитесь, чтобы сервер перешел в состояние RUNNING:

6.5. Запустите Enterprise Manager в браузере http://[servername]:7001/em и введите логин/пароль – weblogic/welcome1:

6.6. Выберите слева в списке Content Management > Information Rights Management > IRM, нажмите правую кнопку мыши, в контекстном меню выберите Adminstration > General Settings:

6.7. Убедитесь, что выбран алгоритм AES128 для защиты контента, введите в поле Server URL значение https://[servername]:16101/irm_desktop:

Значение, которое указано в поле Server URL будет записываться в метаданные каждого файла, который вы запечатываете, поэтому надо указывать FQDN для сервера, которое не будет меняться со временем. Поэтому лучше использовать виртуальное имя сервера, которое резолвится на DNS серверах.

6.8. Нажмите кнопку Apply, чтобы сохранить изменения.

6.9. Не закрывая окно браузера, откройте командную строку. Выполните команды
cd D:/oracle/Middleware/wlserver_10.3/server/bin
setWLSEnv.cmd

6.10. Выполните команду
keytool -genseckey -storetype JCEKS -alias oracle.irm.wrap -keyalg AES -keysize 128 -keystore irm.jceks

6.11. Введите одинаковый пароль для хранилищах ключей и алиаса oracle.irm.wrap, например welcome1

6.12. В результате будет создан файл-хранилище ключей irm.jceks. Выполните команду, чтобы переместить его
move irm.jceks D:/oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig

6.13. Вернитесь в браузер в Enterprise Manager. В разделе General Settings > Keystore Settings значения Type = JCEKS,Path = D:/oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig/irm.jceks

6.14. Нажмите кнопку Apply, чтобы применить значений.

6.15. Вернитесь в окно командной строки. Выполните команду
cd D:/oracle/Middleware/Oracle_ECM1/common/bin
wlst.cmd

6.16. Подождите пока загрузится WebLogic Scripting Tool. Введите следующие команды:
conntect('weblogic','welcome1')

6.17. Выполните следующие команды:
createCred('IRM','keystore:irm.jceks','dummy','welcome1')
createCred('IRM','key:irm.jceks:oracle.irm.wrap','dummy','welcome1')

6.18. Закройте WLST.

6.19. В командной строке введите команду
mkdir D:/oracle/Middleware/keystore
cd D:/oracle/Middleware/keystore

6.20. Выполните команды:
java utils.CertGen -selfsigned -certfile MyOwnSelfCA.cer -keyfile MyOwnSelfKey.key -keyfilepass welcome1 -cn "vmwin2003"
java utils.ImportPrivateKey -keystore MyOwnIdentityStore.jks -storepass welcome1 -keypass welcome1 -alias trustself -certfile MyOwnSelfCA.cer.pem -keyfile MyOwnSelfKey.key.pem -keyfilepass welcome1

6.20. Выполните команду, введите пароль welcome1, введите yes, чтобы подписать сертификат:
keytool -import -trustcacerts -alias trustself -keystore TrustMyOwnSelf.jks -file MyOwnSelfCA.cer.der -keyalg RSA

6.21. Выполните команду, введите пароль welcome1:
keytool -export -alias trustself -file certfile.cer -keystore MyOwnIdentityStore.jks

6.22. Убедитесь, что в папке D:/oracle/Middleware/keystore создалось 7 файлов

6.23. Откройте консоль администрирования WebLogic сервар http://[servername]:7001/console логин/пароль – weblogic/welcome1

6.24. Подождите пока консоль будет развернута на сервере и откроется. Откройте в разделе Domain Structure > Environment > Server

6.25. Нажмите на ссылку IRM_server1 справа в списке серверов, а затем на кнопку Lock&Edit в разделе Change Center

6.26. Откройте закладку Keystores и настройте параметры следующим образом:

6.27. Нажмите кнопку Save, чтобы сохранить изменения.

6.28. Откройте закладку SSL и настройте параметры следующим образом:

6.29. Нажмите кнопку Save, чтобы сохранить изменения.

6.30. Откройте закладку Deployment и выберите значение nostage для параметра Staging Mode

6.31. Нажмите кнопку Save, чтобы сохранить изменения.

6.32. Нажмите на кнопку Activate Changes в разделе Change Center, убедитесь, что изменения удачно применилсь

7. Запуск сервера IRM

7.1. Запустите сервер IRM_server1, для этого выполните следующую команду
D:\oracle\Middleware\user_projects\domains\base_domain\bin\startManagedWebLogic.cmd IRM_server1

7.2. Для старта сервера введите логин/пароль – weblogic/welcome1.

7.3. Для того, чтобы не вводить логин/пароль каждый раз при старте сервера, создайте в каталоге D:/oracle/Middleware/user_projects/domains/base_domain/servers/IRM_server1 папку security. Внутри нее создайте текстовый файл boot.properties c двумя строками username=weblogic и password=welcome1:

7.4. Дождитесь, чтобы сервер перешел в состояние RUNNING:

7.5. Запустите Information Rights Management Console в браузере https://[servername]:16101/irm_rights.

7.6. Появится окно с предупреждением, что SSL сертификат не действителен.

7.7. Откройте свойства браузера Internet Explorer (версия >= 7.0), перейдите на закладку Содержание и нажмите кнопку Сертификаты.
Откроется окно с сертификатами, выберите закладку Доверенные корневые центры сертификациинажмите на кнопку Импорт…

7.8. Выберите файл D:\oracle\Middleware\keystore\certfile.cer и убедитесь, он будет помещен в хранилище доверенных корневых сертификатов:

7.9. Согласитесь, импортировать сертификат

7.10. Закройте окно свойств и перегрузите страницу.

7.11. Введите логин/пароль – weblogic/welcome1:

7.12. Перейдите на закладку Контексты, чтобы создаеть конекст Test

8. Установка клиента IRM

8.1. Запустите установкщик OracleIRMDesktop_ru.exe

8.2. Откройте параметры клиента IRM, перейдите на закладку Серверы, нажмите кнопку Создать, введите адрес сервера https://[servername]:16101/irm_desktop

8.3. Нажмите кнопку Проверить согласитесь с политиками безопасности

8.4. Введите логин/пароль – weblogic/welcome1

8.5. Убедитесь, что связь с сервером удачно установлена

8.6. В списке серверов у вас появится новый сервер IRM

На этом установке сервера IRM заканчивается, дальше можно заниматься администрированием сервера.

Свершилось! Вышла новая версия клиента Oracle Information Rights Management Desktop с поддержкой РУССКОГО языка.

На Oracle Technology Network (OTN) появилась новая версия 10gR3 PR5 клиента Oracle IRM Desktop. Теперь официально поддерживается 27 языков, среди которых появился и русский язык.

Кроме того, продукт официально сертифицирован с

• Windows 7
• Adobe Acrobat Reader 9.2
• Lotus Notes 8.5

Более подробно про все изменения и нововведения можно прочитать в комментариях к релизу здесь.

Скачать русскую версию можно по прямой ссылке.

В последние годы пользователи Интернет стали свидетелями активнейшего развития сферы электронных коммуникаций, которые проникли и окончательно закрепились в нашей повседневной жизни. Прогресс двигался итеративно, но поступательно и интенсивно: сначала произошел переход основной части деловой и частной переписки на электронную почту, затем стало крайне модно интенсивное использование средств обмена мгновенными сообщениями, следующими шагами стали применение технологий передачи аудио и видео по сети и развертывание целой серии глобальных и региональных систем социальных сетей, в которых зарегистрированы уже сотни миллионов человек.

Сложно переоценить значение первого этапа упомянутого выше маховика прогресса, утверждение электронной почты как первичного инструмента бизнес контактов и личной переписки. Практически все критически важные бизнес-процессы, осуществление эффективного и оперативного взаимодействия между подразделениями и проектными офисами, партнерами, клиентами и заказчиками, все это держится не в последней степени на с виду простом и очевидном инструменте – электронной почте.

В развитии технологий электронной почты на сегодняшний день я бы определил следующие основные тенденции:

• Обеспечение максимальной доступности почтовых сообщений, вне зависимости от того, где могут находится потенциальные адресаты – в офисе, в дороге, дома, на даче или в командировке. Последние инициативы российских сотовых операторов, введение сетей 4G и расширение международного роуминга обеспечивает пользователей коммуникаторов, смартфоров, нет- и ноутбуков доступом к своим почтовым ящикам практически в любых условиях и с любым необходимым уровнем качества.
• Развитие технологий защиты данных, обеспечение безопасных интернет коммуникаций и проработка нормативной базы способствует утверждению электронной почты в областях, ранее закрытых для компьютерных технологий – формальный документооборот и обеспечение юридической значимости документов и сообщений.
• Огромные массы электронных почтовых сообщений, ежедневно обрабатываемых почтовыми серверами, требуют надежных и эффективных систем индексации, поиска и долговременного хранения. Я уверен, что каждый второй из нас сталкивался с переполнением своих корпоративных почтовых ящиков, что вело к приостановке деловых операций, потере времени, нервов и денег. Современные почтовые системы, наподобие Microsoft Exchange или Lotus Notes в редких случаях могут единолично удовлетворить растущие потребности компаний в хранении гигабайтов сообщений и связанных с ними вложений, например документов, отчетов, таблиц, мультимедиа материалов.

Для каждой из обозначенных тенденций (которые, как мы понимаем, плавно перетекают в проблемы, если ими не заниматься) у корпорации Oracle есть свои решения.

Доступность: портальные решения – Oracle WebCenter Suite и Oracle WebLogic Portal, вместе с продуктами семейства Oracle SOA Suite обеспечат не просто удобное и легко доступное с любого устройства рабочее место, но и позволят организовать автоматическую обработку потока почтовых сообщений, проведение бизнес-процессов согласования и утверждения, а также любые иные автоматизированные действия, необходимые в каждом конкретном случае для решения задач заказчика. Задачи доступности информации с помощью наших портальных и интеграционных решений решили, к примеру, следующие компании: Vodafone, Procter & Gamble.

Безопасность: Oracle Information Rights Management (IRM) поможет не только обезопасить передачу почтовых сообщений и документов по сети, но и гарантировать возможность прочтения контента сообщений только авторизованным адресатам с использованием on-line сервера доступа. Иными словами, получив почтовое сообщение и документы, пользователь сможет их прочитать только в том случае, если на момент открытия этих объектов автор сообщения не отозвал права доступа. Вспомните, случалось ли вам случайно отправлять письма не тем людям, или обнаруживать, что единожды отправленное письмо было потом переслано по десятку новых, нежелательных для вас адресатов? В том числе и эти проблемы решает Oracle IRM. Одной из многих компаний, внедривших у себя Oracle IRM является Национальный банк Чехии, решивший с его помощью проблемы гарантированной неприкосновенности информации, организации политик доступа к данным и мониторинга активности пользователей.

Хранение: Oracle Universal Online Archive (UOA). Этот продукт предназначен для обеспечения долговременного, архивного хранения миллионов почтовых сообщений. Например, внедрение продукта в банке La Caixa (Испания) обеспечивает архивацию и индексирование более чем трех миллионов почтовых сообщений в день. Отличительной особенностью технологии является ее полная прозрачность для конечных пользователей. Oracle UOA автоматически забирает архивную почту с почтовых серверов Microsoft Exchange, Lotus Notes и любых других SMTP совместимых решений, но сотрудники могут не выходя из привычных Microsoft Outlook или клиентов Lotus Notes работать со всеми своими почтовыми сообщениями, вне зависимости от того, где физически производится хранение.

Oracle Information Rights Management (IRM)  – специализированное решение, которое обеспечивает защиту и контоль над конфидициальными документами вне зависимости от месторасположения. В целом продукты по управлению контентом только управляют документами, электронными сообщениями и web-страницами, когда они находятся в репозитариях (хранилищах) на сервере. Решение IRM расширяет управление информацией за границы хранилищ для любых копий критической для организации информации, везде, где она хранится и используется – на рабочих станциях пользователей, ноутбуках, мобильных устройствах, в других репозитариях, внутри организации и снаружи, за пределами межсетевых экранов.

Oracle IRM обеспечивает безопасность самой информации, то есть напрямую защищает саму информацию, а не только хранилища, где она находится. Решение Oracle IRM, являясь одним из сервисов линейки Oracle Fusion Middleware, глубоко интегрировано в спектр решений Oracle, в частности в Enterprise Content Management (Content Management, Records Management), Identity and Acccess Management.

Более подробно про Oracle IRM можно прочитать тут.

Любая системы управление контентом обеспечивает следующий функционал в части безопасности и контроля доступа к документам:

• Доступ к документам предоставляется только авторизованным пользователям в соотвествии с их правами и ролями в системе;
• Поиск документов осуществляется в соотвествии с политиками безопасности;
• Отбор только определенных версий и представлений документов (чаще всего последних);
• Аудит и запись всех действий пользователей в системе.

Однако описанный выше инструмент Oracle IRM, значительно расширяет возможности по построению безопасной среды для хранения информации.

Oracle IRM вводит новые элементы в жизненный цил документооборота, такие как “запечатывание” и классификация в соотвествии с контекстом безопасности. Выгоды подхода, ориентированного на защиту информации следующие:

• Неавторизованные пользователи не могут получить доступ к информации;
• Только авторизованные пользователи могут открывать или модифицировать документы в соотвествии с их полномочиями;
• Вся работа с информацией централизованно протоколируется;
• Доступ к удаленно хранимой информации может быть централизованно отменен, вне зависимости от ее текущего местоположения (dvd, usb, e-mail…).

Хотя Oracle IRM можно использовать как самостоятельный продукт, в него встроены возможности интеграции с корпоративной инфраструктурой и решениями других компаний. Множество процедур реализованы как Web-сервисы, которые можно вызывать. Таким образом, продукт построен по сервис-ориентированной архитектуре (SOA).

В решении есть два программных интерфейса (API): клиентский и серверный.  Клиентский API используется в агенте Oracle IRM Desktop, являющимся по сути набором динамических библиотек, встраиваемых в Desktop-приложения, такие как Microsoft Office, Microsoft Outlook,  Windows Explorer, Internet Explorer и т.д. Серверный API позволяет вызывать функции Oracle IRM из различных сред, в том числе ифраструктурных платформа, систем управления корпоративным контентом и многих других. Программные интерфейсы Oracle IRM позволяют использовать различные транспорты (реализации) для вызовов удаленный процедур:

• SOAP (WSDL)
• Java
• COM
• JavaScript (ActiveX)
• C++
• Command line

В принципе некоторые задачи интеграции можно решать через вызовы специализированных утилит из командной строки.

Oracle IRM предоставляет несколько SDK :

• Oracle IRM Web Services SDK – построен на основе Web-сервисов сервера IRM. На сайте Oracle представлены документированные примеры по использованию SOAP/WSDL Web-сервисов в среде разработке JDeveloper и Eclipse;
• Oracle Enterprise SDK – включает в себя Oracle IDM Component SDK, Windows Sealing SDK, Java Sealing SDK, Scanning SDK.

Если стоит задача интеграции Oracle IRM с системой управления контентом, документооборота, архива (например EMC Documentum, IBM FileNet и т.д.) или с системой безопасности правильным решением будет использовать Oracle IRM Web Services SDK, который решает следующие типичные задачи:

• Динамическое “запечатывание” (шифрование) документов при записи в репозитарий или когда они покидают его;
• Динамическое “запечатывание” (шифрование) представлений и копий документов;
• Полнотекстовая индексация “запечатанных” (шифрованных) документов и копий;
• Поиск по “запечатанным” (шифрованным) документам и копиям;
• Преобразование “запечатанных” (шифрованных) документов  к различным представлениям;
• Запечатывание и снятие защиты как часть управления жизенным циклом документов;
• Интеграция с системами управления идентификацией и доступом: построение соответствий прав/ролей, динамическое добавление/удаление пользователей и т.д.
• Использование разделяемых каталогов пользователей (LDAP, AD);
• Использование внутренних пользователей системы управления контентом в системе прав IRM;
• Однократная идентификация пользователей (SSO).

Ниже представлены примеры архитектур интеграции Oracle IRM и внешних систем.

Архитектура шифрования файлов при записи в хранилище

Архитектура однократной идентификации пользователей

Архитектура контроля версий

Архитектура синхронизации пользователей LDAP

Архитектура синхронизации пользователей CMS

И последнее, существует готовая интеграция решения Oracle IRM и Oracle UCM, построенная именно на технологии Oracle IRM Web Services SDK.