Mit Sicherheit Effizienz schaffen -Oracle Identity ...
Transcript of Mit Sicherheit Effizienz schaffen -Oracle Identity ...
�
Mit Sicherheit Effizienz schaffen- Oracle Identity Management -
08.+ 17. April 200808.+ 17. April 2008
Heike Jürgensen – Oracle Sales Consultant
�
Agenda
• Herausforderungen bei der Gewährleistung von Sicherheit
• Wie kann Identity Management – die Ausgangssituation vereinfachen / Komponenten des
Identity Manager– IT-Compliance und IT-Governance unterstützen
• Vorstellung Oracle Identity Manager– Anwenderübernahme per Datei– Anwenderkontobereitstellung (automatisiert/manuell) – Self Service mit Genehmigung– Delegierte Administration – Gruppenzuweisung– Attestation – Überprüfung der bestehenden
Anwenderzuordnungen
�
Herausforderungen
• Verwaltung von Anwendern ist komplex– Anwender nutzen eine Vielzahl von Applikationen– Sehr viele Benutzergruppen/Berechtigungen– Personalfluktuation, Verwaltung von internen wie externen
Anwendern� Wildwuchs von Accounts, Passwörtern und Privilegien
• Zugriffsschutz mit Datenschutz gewährleisten– Online-Verfügbarkeit– Kritische Unternehmensdaten– Personenbezogene Daten– Mandantenfähigkeit /Schutz auf Zeilenebene
• Interne und externe Compliance-Richtlinien: – Kontinuierliche Überwachung und Verbesserung– Bundesdatenschutzgesetz, EuroSox, BilMoG, PCI usw.
�
� Anwenderzentrierte Sicherheit– Benutzerverwaltung
– Zugriffverwaltung
� Prozeßbezogene Sicherheit– Verschlüsselung von Kommunikationswegen, Zertifikatsprüfungen
– Sicherung der ‚Anwendung zu Anwendung‘ - Kommunikation
� Datenbezogene Sicherheit– Zugriffsschutz auf Zeilenebene
– Datenverschlüsselung bei der Speicherung
– Anwendungsunabhängige Mandantenfähigkeit
Sicherheitvom Anwender - zur Applikation - bis in die Datenbank
�
HCM ERP
Telefon
VerzeichnisMail
BetriebsSystem
Datenbank
Ausgangssituation Anwenderkonten und -informationen in vielen Unternehmensanwendungen verteilt
�
HCM ERP
Telefon
Verzeichnis-dienst
BetriebsSystem
Datenbank
Lösung: Zentrale Weitergabe von Anwenderdaten
IDENTITY MANAGEMENT
�
Anwenderkontenverwaltungmit z.B. HCM als Datenquelle für Mitarbeiter
HCM
OIMDB
LDAP
Anwender RegistrierungAnwender RegistrierungAnwender RegistrierungAnwender RegistrierungAnwenderAnwenderAnwenderAnwender updateupdateupdateupdate
AuthentifizierungAuthentifizierungAuthentifizierungAuthentifizierung
AutorisierungAutorisierungAutorisierungAutorisierung
ProvisioningProvisioningProvisioningProvisioning
updateupdateupdateupdate
ProvisioningProvisioningProvisioningProvisioning updateupdateupdateupdate
AD, eDir, OID,…
Datenbanken
Applikationen
Betriebssystemkonten
Unternehmensapplikationen:
* HCM = Human Capital Management
ERP
�
AnwenderkontenverwaltungAutomatisiert oder mit Genehmigung
HCMNeuerMitarbeiter
Selbst-Registration
Übernahme
Zuweisungs-regeln
ErlaubteApplikationen
Genehmigung
WorkflowUserGruppen
NeuerVertrags-partner
IdentityManager
Anfrage AbgelehnteApplicationen
Oracle IdentityManager
Konnektor
�
Change Management
Flat FileBulk Load
ReconciliationEngine
AccessPolicy
ProvisionedApplications
WorkflowUserGroup
IdentityStore
Oracle IdentityManager
Connector
Admin Create NewUser In
Applications
RogueAccountException
ExceptionWorkflow
�
Mitarbeiter kündigt
Mitarbeiterkündigt
Manual Task
ProvisioningWorkflow
RevokedCell Phone
HCM ReconciliationEngine
Connector IdentityStore
RevokedApplications
Oracle IdentityManager
�
IT-Compliance und IT-Governancemit Identity Managment
Applikationen(SAP, ADS, etc.)
Datenbanken DirectoriesOperating Systems
UM mit Oracle Identity Mgmt .
EnterpriseUser
Repository
Au
tho
rizatio
n
User Management
Au
the
ntificatio
n
Auditing
Help Desk
Enduser(mit Self Service)
Delegated Administration(mit Approval Workflow)
Partner
• Schaffen klarer Zuständigkeiten
• Aufbau eines zentralen User
Managements (UM)
• Vereinfachung von UM-Prozessen
• Automatisierung
- Beantragung (Workflow)
- Bereitstellung / Provisionierung
- Entzug von Berechtigungen
- Funktionstrennung / Segregation of
Duties
- Nachhaltig: Audit/Reporting
• Steigerung der Anwender-
Produktivität
�
Services
A P I
Komponentendes Oracle Identity Manager
Funktionalitäten:
• User Selfservice• Unterstützt komlexeWorkflow-Anforderungen
• Delegation von administrativen Aufgaben
• Umfangreiches Reporting, Analyse und Prüfungsmöglichkeiten
• Provisioning - zur Verfügungstellung von Benutzerprofilen und Zugriffsrechten
• Reconciliation – Abgleich mit angeschlossenen Systemen
• Leichte Integration von Kundenanforderungen durch Adapter Factory®
�
Oracle Identity Manager stellt Anwenderdaten unternehmensweit zur Verfügung
Database Servers Directory Servers
Enterprise Applications Enterprise Messaging
Operating Systems Security Management
Help Desk Web Access Control
RACF ACF2TopSecret
�
Demonstrationbeispielhaftes Organigramm
HoldingVorstand
Bereich 1Leiter B 1
Bereich 2Leiter B 2
PersonalLeiter
Personal
ControllingLeiter
Controlling
BeschaffungLeiter
Beschaffung
ControllingOstLeiter ContrOst
ControllingNordLeiter ContrNord
�
Demonstration – Szenario 1 Datenübernahme aus einem Flat File
1. Daten im Flat File einfügen
2. Prozess starten
�
Demonstration – Szenario 2 automatisierte – manuelle Zuweisung
1. Anwender Profil- LDAP OID automatisch vergeben
- LDAP ADS manuell zuweisen
2. Betrachtung der Access Policies
�
1. Anmeldung als Abteilungs-Administrator
2. Beantragung einer Berechtigung
3. Aufgabentrennung / Segregation of Duty
Demonstration Demonstration –– Szenario 3Szenario 3Delegierte Administration
�
Demonstration Demonstration –– Scenario 4Self Service – Mobil Telefon
1. Login als User....
2. Mobil Telefon beantragen
- als Berater
- als Mitarbeiter
3. einstufige Genehmigung für Mitarbeiter
4. zweistufige Genehmigung für Berater
�
Provisionierung eines Mobil-Telefons
Mitarbeiter
SelfRequest
Berater
RequestEngine
ApprovalWorkflow
ProvisioningWorkflow
BereitgestelltesMobil Telefon
Oracle IdentityManager
ApprovalManager
ApprovalMobile-Admin
�
Demonstration – Scenario 6Reconcilation für AD
1. Anwender direkt in Active Directory anlegen
2. Überprüfungsprozeß starten
3. Betrachtung des Berichtes
�
Kunden bauen auf Oracle Identity Manager
• Halifax Bank of Scotland (HBOS)• Barclays• Swedish National Police Board (Riskpolisstyrelsen)• Dillinger Hütte GTS• NEW Energie GmbH• Bundesamt für Migration und Flüchtlinge• Lehman Brothers
− 22.000 Anwender − 1.400 Applikationen− Neue Anwender in 20 Minuten produktiv − Anwenderzugriff in 60 Sekunden entfernt
�
• Vorteile– Reduzierte Administrationskosten– Erfüllt Compliance-Anforderungen– Erhöht bestehende Sicherheitsstufen– Verbessert die Unternehmensabläufe
• Funktionen– Identitäts Lebenszyklus Verwaltung für heterogene Systeme– Automatisierter Be-/Entzug von Zugriffsprivilegien– Genehmigungs- und Provisionierungs-Workflow– Rollenbasierte Zugangskontrolle– Standard Konnektoren & Adapter Factory– Auditierung und Compliance Reports– Kontinuierliche Überprüfung (Attestation)– Self Service und Passwortmanagement
OracleOracleIdentity ManagerIdentity ManagerOracle Identity Manager
http://www.oracle.com/technology/products/id_mgmt/index.html
�
PWC Umfrage - http://www.cio.de/_misc/article/printoverview/index.cfm?pid=158&pk=833118&op=lst
IT-Governance
mit
Identity und Access Management
erleichtert
IT-Compliance
und verbessert den ROI
Sicherheitein kontinuierlicher Prozess
�
Oracle Identity ManagementDie Basis für eine modulare + sichere IT-Infrastruktur
http://www.oracle.com/technology/products/id_mgmt/index.html
�
Offene Standards
� Standards für das Identitätsmanagement
SAML XACML Liberty ID-FF SPML WS-Fed X.509 usw.
� Sicherheitsstandards
XKMS XML-SIG PKCS WSS XML-ENC TLS PKI SSL S/MIME LDAP Kerberos usw.
� Standards für Plattformen und Integration
WSDL SOAP WSRP Oracle Jdeveloper JSR-115 Oracle BPEL Designer JCP Oracle TopLink and ADF
� Standards für Webdienste
WS-Security WS-Policy WS-Fed WS-Trust Identity Governance Framework:
- http://www.oracle.com/technology/tech/standards/idm/igf/index.html- http://www.projectliberty.org/liberty/strategic_initiatives/identity_governance- http://www.openliberty.org/wiki/index.php/IGF_Introduction
�
Identity Governance Framework
Identity Governance Framework:- http://www.oracle.com/technology/tech/standards/idm/igf/index.html- http://www.projectliberty.org/liberty/strategic_initiatives/identity_governance- http://www.openliberty.org/wiki/index.php/IGF_Introduction
http://www.projectliberty.org/liberty/news_events/press_releases/liberty_alliance_and_oracle_team_to_advance_identity_governance_framework
“Oracle has taken the lead in developing an important framework toallow organizations of all sizes and in every market sector to better
manage and protect a wide range of private identity information,” saidBrett McDowell, Executive Director of the Liberty Alliance. “By
developing the IGF standards in Liberty Alliance, Oracle is helping toensure the broadest possible industry support for advancing the
framework quickly.”
“Since its launch, vendors and customers alike have expressed enthusiasm for the IGF and view it as aneffective means for better managing and protecting identity information across the extended enterprise,”
said Hasan Rizvi, vice president of Identity Management and Security Products, Oracle. “Liberty’s membership – spanning vendors and customers – has significant experience in addressing the
technology, business and privacy aspects of identity. Their success in driving open and secure identity standards made the consortium a natural choice for advancing the IGF specifications.”
�
ProvisioningRepository
Prozesse
sichere Services
Partner
FöderierteAnwender Infos
SSO über Unternehmensgrenzen
LDAPAnwe
nder
Verwaltung
Zugriffs-kontrolle
DatenVerschlüsselung
Dokumente
Datenzugriff
Bitte geben Sie Ihre PIN ein :
PIN :
...Oracle Hamburg...
Durchgängiges Sicherheitskonzeptvom Anwender - zur Applikation - bis in die Datenbank
�
ProvisioningRepository
Prozesse
sichere Services
Partner
FöderierteAnwender Infos
SSO über Unternehmensgrenzen
LDAPAnwe
nder
Verwaltung
Zugriffs-kontrolle
DatenVerschlüsselung
Dokumente
Datenzugriff
Bitte geben Sie Ihre PIN ein :
PIN :
...Oracle Hamburg...
Durchgängiges Sicherheitskonzeptvom Anwender - zur Applikation - bis in die Datenbank
• Access Manager
• Adaptive Access Manager
• Enterprise SSO• Identity Manager
• Role Manager
• Internet Directory
• Virtual Directory
• Web Services Manager
• Oracle Access Manager
• Oracle Adaptive Access Manager
• Oracle Enterprise SSO
• Advanced Security
• Secure Backup
• Label Security
• Database/Audit Vault
• Information Right Mgmt
• Identity Federation
http://www.oracle.com/products/middleware/identity-management/identity-management.htmlhttp://www.oracle.com/security/security-solutions.html