06 gobierno de identidades

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.1


The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract.

It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.

Gobierno de Identidades

Juan Carlos DíazPrincipal Sales Consultant


Agenda

Evolución de las soluciones de Oracle– Gobierno de Identidades

Ventajas


Crear y gestionar identidades de usuario

Asignar a los usuarios derechos y privilegios

Habilitar de forma segura el acceso

Monitorizar y certificar accesos y derechos

Básico en cualquier entorno IT

Gestión de Identidades


Problemática Habitual según el área afectada

IT Ops y Seguridad Business Managers Auditoría y Cumplimiento

Gestión manual de políticas de control de acceso

Evidencia de cumplimiento con métodos manuales

No hay conexión con la líneas de negocio para transmitir las políticas de acceso

Necesidad de acceder y dar acceso rápidamente a las aplicaciones

Aprueban excepciones de acceso

Han de entender el lenguaje críptico de las aplicaciones e IT

Falta de métodos escalables y automáticos de control de cumplimiento

Necesidad de asignar objetivos de control con políticas de acceso

Falta de automatización en determinados controles de acceso


Se ha incrementado la demanda para peticiones de acceso a las aplicaciones.

Incremento en el volumen y frecuencia de las certificaciones de acceso a las aplicaciones

Incremento en las peticiones de uso de cuentas privilegiadas

Requerimientos Actuales


Evitar las adaptaciones complejas requeridas para alcanzar requisitos individuales

Acelerar los ciclos de configuración/despliegue y simplificar el mantenimiento

Evitar carencias multi-proveedor, problemas de rendimiento, integración, ciclos de actualizaciones complejos

Reducir TCO

Tendencias del mercado : Evitar la fragmentación de sistemas y reducir costes


Evolución de plataforma

Herramientas Soluciones puntuales Plataforma Inteligencia

Sites Sociales

Nube Híbrida

Single ID Acceso Móvil

Millones de certificados

Monitorizar comportamiento


Oracle Identity Governance Plataforma de gobierno

Access Catalog Ownership, Risk & Audit Objectives

Catalog Management

Accounts

Roles

Glossaries

Entitlements

Grant User Access Monitor User Access

AccessRequest

Privileged AccountRequest

RoleLifecycleManagement

Check-in/Checkout

Identity Certifications

IT Audit Monitoring

Rogue Detection &Reconciliation

Reporting & Privileged Access Monitoring

Provision De-ProvisionConnectors


Nuevo modelo de peticionesFlujos de procesos de aprobaciónCertificación orientada a usuarios de negocioCiclo cerrado de remediaciónCuentas estándar y privilegiadasInterfaces de administración flexibles

Oracle Identity Governance Gobierno de identidades completo e integrado


Catalog enrichment

Catalog

definition

Harvesting

Oracle Identity Governance Catálogo de Accesos


Oracle Identity Governance Enfoque “Carrito de la compra”

Comparar &Seleccionar

Seguimiento Confirmación

Navegación


Oracle Identity GovernanceAprobaciones

Revisión y toma de decisiones vía correo, móvil (navegador) e interfaz de usuario tipo autoservicio

Comentarios y ficheros adjuntos como complemento de los procesos

Visualización del estado del proceso ( aprobadores pendientes )

Priorización y organización de tareas


Framework de personalización de UI basado en navegador

– Protege personalizaciones de parches y actualizaciones

– Elimina la edición de XML y scripting propietario

Herramienta basada en navegador para:– Añadir UDF (user defined fields ) a Usuarios, Roles,

Organizaciones, Catálogo y entidades de tipo Application

– Cunado un UDF se añade o borra , el sistema lo propaga al resto de metadatos de OIM

– Crear formularios de peticiones

Sandbox – Herramienta basada en navegador para:– Probar personalizaciones sin impactar a otros usuarios

– Ejecutar o cancelar personalizaciones

– Mover cambios de un entorno a otro

Oracle Identity Manager Fácil personalización

Interfaz estándar

Interfaz personalizada

16

Oracle Identity Governance

Administrador, Helpdesk

Administrador delegado

Autoregistro

Usuario final

Fuentes

Web U.I.

Conectores

Co

nec

tore

s

AUTOMATIZADOAUTOMATIZADO

Identity ConnectorFramework

Aplicaciones en la nube

Aplicaciones empresariales

Directorios

Bases de datos

Aplicaciones personalizadas

17

• Aprobación de Cambios de Roles

• Versionado de Roles

• Rollbacks

• Análisis de Impacto en el cambio de Roles (simulación)

Gestión de Cambios

• Histórico de Relaciones Roles – Permisos de Acceso

• Histórico de Pertenencia a Roles de Usuarios

• Histórico de Aprobaciones

• Histórico de Responsables de Roles

Auditoría de Roles

• Certificación de Definición de Roles

• Certificación de Pertenencia a Roles

• Consolidación de Roles

• Minería de Roles

Análisis

IdentityWarehouse

Aproximación Top-Down

Aproximación Bottom-Up

Auditoría y Análisis de Roles

Minería de Roles

Modelado de Roles

Definición de Roles Gobierno de Roles

Gobierno de RolesGestión del ciclo de vida de los roles

18

• Descubrimiento Completo de Roles Mediante Aproximación Híbrida:

• Bottom Up (desde los Permisos de los Usuarios)

• Top Down (desde los Atributos de RR.HH. / Definición previa de Roles)

• Cuadro de Mando con Resultados del Proceso

• Proceso de Minería Incremental

• Descubrimiento de Permisos/Roles en nuevas aplicaciones basado en los Roles ya existentes

Minería de Roles

Recursos Identidades Permisos Roles ya Existentes

Datos “minables”

Patrones de Búsqueda/Descubrimiento

Roles Sugeridos

Otras Fuentes

BB.DD.

Oracle Identity Manager

Aplicaciones

Gobierno de RolesMinería de Roles

19

Generación del Informe y almacén resultados en BDD

4

Auditoría

Datos Certificados (attested)

Acciones de Certificación

Rutas de Delegación y Revocación

Delega

Rechaza

Certifica

Declina

Acciones del Supervisor

Comentarios

Configurar revisiones periódicas

1 Se notifica al Supervisor que accede al Auto-Servicio

2 En base a los resultados, se ejecutan acciones de forma automática

3

¿Quién lo debe revisar?

¿Qué se debe

revisar?

¿Cuándo comienza?

¿Cada cuánto se repite?

Notificación al responsible

Delegado

Notificación al responsible de

un proceso

Eliminación Automática de

Usuarios

Mail con resumen al

Usuario

Gobierno de RolesCertificación de Accesos


Oracle Identity Governance PlatformVentajas de una Plataforma

Completo e Integrado

Cumplimiento de inicio a fin

Reducción del TCO


Las Plataformas aceleran el ROI

Platform

Point Solutions

46%

Ahorro de costes

48%Responsividad

35% Errores de auditoría

Source: Aberdeen “Analyzing point solutions vs. platform” 2011


www.facebook.com/OracleIDMwww.twitter.com/OracleIDM

blogs.oracle.com/OracleIDM

www.oracle.com/Identity



Servicios avanzados de directorio

David Rodríguez-BarberoSecurity Presales Team Leader


Agenda

Directory Services Plus

Oracle Unified Directory

Oracle Virtual Directory

Conclusiones


Host Access

Enterprise/

Extranet

Cloud and

Social

NetworkingMobile

Reads:70%Writes:30%

Reads:60%Writes:40%

Reads:80%Writes:20%

Reads:90%Writes:10%

Porcentaje de escrituras en aumento• Datos de Personalización• Atributos de localización • Aplicaciones móviles

Miles

Millones

Millardos

Billones

Rendimiento en lectura todavía importante• Miles de millones de usuarios y dispositivos• Millones de operaciones por segundo

Factores de evolución


Corporate

LDAP

Extranet

LDAP

Customer

LDAP

LOB

Virtual

SynchStorage

Convergencia de Directorios• Capacidad de Integración como requisito• Expansión de Servicios compartidos vs Linea de Negocio• Requisitos de Seguridad y Cumplimiento

Convergencia y Unificación• TCO menor• Administración menos costosa• Mejor experiencia de usuario

Employees/Partners/Customers

Business Affiliates and Subsidiaries

Necesidades de unificación


Oracle Directory Services Plus

Oracle

Directory

Server

Enterprise Editio

n (ODSEE)

Oracle Virtual Directory (OVD)

Oracle Internet

Directory (OID)

Oracle

Unified

Directory

(OUD)

ODS Plus


• Alto rendimiento tanto en operaciones de lectura como de escritura

• Autenticación hasta para miles de millones de usuarios y dispositivos

Escalabilidad

• Un solo componente para todas las necesidades de directorio.

• 100% Java con soporte a múltiples plataformas con despliegue simplificado.

Servicios de directorio unificados

• Soporte 100% a estándares para simplificar la integración con aplicaciones

• Totalmente compatible con ODSEE• Lo que funciona con ODSEE funciona con OUD

Integrabilidad

Oracle Unified Directory100% Java, solución de directorio todo en uno, con

almacenamiento, proxy, sincronización y virtualización


Coexistencia OUD-ODSEE

Totalmente compatible con ODSEE Replication gateway proporcionado como parte de OUD

– Replicación bidireccional con ODSEE

– Convivencia en entornos mixtos de OUD y ODSEE

– Actualización de ODSEE a OUD sin pérdidas de servicio (“zero down time”)

OUD ODSEE

OUD Directory Server 2

ODSEE Directory Server 1

ODSEE Directory Server 2

OUD Rep.Gateway

OUD Directory Server 1

OUD Rep.Gateway


DS 6.3.1 ODSEE 11gPS1 OUD 11GPS10

100020003000400050006000

Modify


20000

40000

60000

80000

100000

Search

DS 6.3.1 ODSEE 11gPS1 OUD 11GPS10:000:280:571:261:552:242:523:21

Import


10203040506070

DB size

Rendimiento en lectura y escrituraComparación OUD vs ODSEE (*)

(*) Datos de la prueba: 10M de entradas, 4kbytes y 120 atributos por entrada Hardware: 2 servidores X4170 con 2CPU 4cores, 2.5 GHz y 64 Gb RAM


Clientes yProveedores

Empleados

Administradores

Directorio

• Consolidación en tiempo real• Abstracción tecnológica• Reducción de complejidad

Directorio VirtualDirectorios de terceros

Bases de datos



Active Directory

Directorio LDAP


Caso 1: Repositorio único de usuarios

(*) Conexión a otros repositorios que lo permitan mediante desarrollo en Java

BB.DD.

Servicios web (*)



Caso 2: Unión entre diferentes fuentes de datos

Directorio LDAP

BB.DD. de RR.HH.



AD PersonsaMAccountName

InetOrgPersonuid

Caso 3: Estandarización

Active Directory


Active Directory Forest #1

Directorio LDAP

BB.DD.


Caso 4: repositorio de usuarios de MS SharePoint (*)

Active Directory Forest #2

(*) o cualquier otra aplicación con la limitación de conexión a un único directorio


Conclusiones

Solución de directorio completa:

– Almacenamiento, virtualización y sincronización

Alto rendimiento, escalabilidad y disponibilidad

Múltiples arquitecturas posibles

– Replicación, distribución, balanceo, proxy, DR, …

Integración con ODSEE existentes y migraciones con “zero down time”



www.facebook.com/OracleIDMwww.twitter.com/OracleIDM

blogs.oracle.com/OracleIDM

www.oracle.com/Identity



Documents

06 gobierno de identidades