Oracle hat sein Konzept für Service-orientierte IT-Sicherheit vorgestellt. Ziel ist demnach, fest programmierte Security-Funk-tionen von Geschäftsanwendun-gen zu entkoppeln und durch wiederverwendbare und standardbasierende Sicherheitsdienste und -protokolle zu ersetzen, die jede Applikation nutzen kann. Auf diese Weise sei es Unternehmen möglich, geschäftskritische Sicherheitsprozesse wie Authentifizierung, Autorisierung, Anwenderverwaltung, Rollen-Management, Identitäts-Virtualisierung und -Steuerung, Berechtigungs-Management sowie Audit und Kontrolle zu zentralisieren und damit zu vereinfachen. Als Grundstein für dieses Konzept hat der Hersteller den Oracle Role Manager entwickelt, eine neue Komponente seiner "Fusion"-Middleware.
Rahmenwerk für Identitäten
Aufgabe des ab sofort verfügbaren Produkts ist, für mehr Sicherheit bei der Definition und Steuerung von Beziehungen zwischen Unternehmen, Rollen und Privilegien zu sorgen und die Einhaltung von Vorschriften durchzusetzen. Zu den wesentlichen Funktionen des Rollen-Managers zählt das "Enterprise Role Governance Framework", ein umfassendes Rahmenwerk aus Business- und IT-Rollen, Privilegien sowie damit verbundenen Besitz- und Delegationsmodellen für das gesamte Identity-Lifecycle-Management.
Das applikationszentrierte Identity-Management soll zudem um-fassende Rollen- und Freigabe-informationen für Anwendungen liefern und die Freigabe von Geschäftsprozesstransaktionen über das ganze Unternehmen hinweg automatisieren.
Neben dem Role Manager umfasst Oracles Service-oriented-Security-Konzept noch drei weitere Komponenten: das herstellerunabhängige "Identity Governance Framework" sowie die "Oracle Fine Grained Authorization", ein derzeit als Betaversion vorliegendes Tool, das darauf ausgerichtet ist, fest programmierte Autorisierungsregeln beziehungsweise Policies aus heterogenen Geschäftsanwendungen offenzulegen. Dritter im Bund ist der "Oracle Application Access Controls Governor 8.0", eine Software, die analysiert, ob die Aufgabenteilung (SOD = Segregation of Duties) in heterogenen Anwendungsumgebungen durchgesetzt, überwacht und eingehalten wird. (kf)u