La Solución de Gestión de Identidades de Oracle
José Manuel [email protected]
Estrategia de Seguridad de Oracle
Cómo se Cómo se Accede Accede a la Informacióna la InformaciónGestión de IdentidadesGestión de Identidades
Dónde Dónde ResideReside la Información la InformaciónPrivacidad, Integridad, Disponibilidad de datosPrivacidad, Integridad, Disponibilidad de datos
Descripción de la solución de Oracle
Estrategia de Oracle en Gestión de Identidades
Gestión deIdentidadesCentrada enAplicaciones
Completo• Riqueza Funcional ( roles, recursos, …)• Proporciona todos los componentes
Modular y Abierto• Todas las Infraestructuras y Aplicaciones• Basado en Estándares
Centrado en las Aplicaciones• Cualquier Aplicación (web, C/S, SOA)• Integrado con Aplicaciones de Negocio
Proveedor deServicios
Colaboradores
Administradoresde Seguridad
Federación
Seguridad en WebServices
Directorio
Control de Accesos
Aprovisionamiento
Admin de Usuarios
Auditoría y Regulación Directorio Virtual
Clientes
Empleados
Auto-Servicio
Oracle Gestión de IdentidadesSolución
Seguridad en el Dato
Oracle Gestión de IdentidadesAreas Clave
• Infraestructura de Identidades• Directorio Virtual• Directorio
• Administración de Identidades• Gestión de Usuarios y Roles• Aprovisionamiento de Usuarios
• Control de Accesos• Single Sign-On• Federación de Identidades• Control de Acceso por
Aplicación• Seguridad en Web Services
• Auditoría
Infraestructura de IdentidadesDirectorio y Directorio Virtual
• Consolidación en Tiempo Real• Abstracción Tecnológica• Reducción de Complejidad
Partners yClientes
Empleados
Administradores
Directorio
Directorio VirtualDirectorios de 3os
Bases de Datos
Caso 1 : Unificación Virtual
Caso 2 : Unión entre diferentes fuentes de datos
Caso 3 : Virtualización
Administradoresde Seguridad
Administración de IdentidadesGestión de Usuarios y Aprovisionamiento
Empleados
Gestión Identidades• Auto-Servicio• Delegación• Workflow• Políticas de Contraseña
Aprovisionamiento• Aprovisionamiento y
Reconciliación• Basado en Roles/Reglas• Auto-Servicio de Cuentas• Sincronización Contraseñas• Adaptadores Heterogéneos• Fábrica de Adaptadores• Auditoría y Cumplimiento Legal
Partners yClientes
Auto-Servicio
Admin Usuarios
Aprovisionamiento
Otros Sistemas
Proceso de Creación de Usuario desde una Aplicación
Recursos Humanos crea un usuario en su sistema
Planificador
Se detectan cambios periódicamente
Motor de Reconciliación
Motor de Políticas
Se evalúan las políticas de
aprovisionamiento
Adapter Factory
Sistemas Operativos CICS/IMS Bases de Datos
CRM/ERP Sistemas Tradicionales
Se crean los perfiles de
Aprovisionamiento
Se inician los workflows de aprovisionamiento
Motor de Workflow
Motor de Reglas
Se añade usuario a los grupos/roles
Se aplican las reglas de reconciliación Perfil de Usuario
Creado
Ejemplo Petición de usuario final
Un usuario solicita un teléfono móvil
Aprobación delResponsable
Se actualiza el atributo tfno_movil
del usuario solicitante
5
El técnico notifica la necesidad de entrega de un
teléfono móvil
Adaptadores
Control de AccesosSSO, Auth/Authz, Federación, ...
Partners
Clientes
Smartcard
Cert. Digital
Login/Password
Biométrico
Empleados
Administradores
Control de Accesos
• Autenticación• Autorización
Web
WebServices/SOA
Cliente/Servidor
Usuarios AplicacionesAutenticación
Federación
Seguridad en WebServices
• Liberty• SAML• WS-Federation
• WS-Security• Seguridad XML
SOA AppSOA App
MSFT.NETMSFT.NET
SOA AppSOA App
IBM, BEA, JBOSSIBM, BEA, JBOSS
AplicacionesPaquetizadas
Procesos BPEL
Aplicaciones
Sistemas Legado
Bases de Datos
• Auditoría• Logging• Tracing• Seguridad• Facturación• Monitorización• Análisis de
Rendimiento
SOA AppSOA App
Oracle AS 10Oracle AS 10gg
Consola de Consola de AdministraciónAdministración
Monitorización y Monitorización y Gestión de Políticas Gestión de Políticas
CentralizadaCentralizada
Control de AccesosProtección de Web Services/SOA
Clientes
Web ServicesManagement
Gateway
Auditoria y Conformidad con Leyes
Base de Datos
CESAR CARLOS
CARMEN
MARTA
SONIA
LUIS LAURA
Aplicaciones
Clientes
• Generación de Informes de eventos de seguridad
• Informes de conformidad integrados
• Vista global de políticas de seguridad
Auditoría y Regulación
Gestión de Identidades en la BD
Usuarios
Aplicaciones Web
Usuarios y Roles en la
BD
Usuarios y Roles en el Directorio
Directorio
Propagación del Usuario
• Control de Accesos
• Auditoria de usuario real
• Trazabilidad de los Usuarios
Casos de Uso
• Compañías con grandes bases de datos de usuarios y hetereogéneas
• Características ideales : una o varias de las siguientes :• Muchos repositorios de usuarios de diferente naturaleza : directorios, bases de datos,
web services, etc• Problemas ( propiedad, seguridad, organizativos ) para consolidar la información• Silos de identidad de usuarios
• Circunstancias que favorecen un proyecto de Directorio Virtual:• Nuevas aplicaciones que afectan a diferentes comunidades de usuarios
• Portal, CRM, ERP, BI, etc…• Necesidad de escalabilidad, seguridad y disponibilidad con servicios de directorios
existentes• Necesidad de acceso a información que no está en formato LDAP
¿Quién Necesita un Directorio Virtual?
Solución de Directorio Virtual
• Situación• Disponían de un servicio que proporcionaba acceso a
atributos de Identificación dispersos en varios repositorios. Este servicio solo era accesible vía Web Service
• Solución• Proporcionar acceso a este servicio a clientes LDAP
• Beneficios• Crear un servicio unificado• Reducción de los costes operacionales• Eliminar la customización en las aplicaciones
Solución de Directorio Virtual
Solución de Aprovisionamiento
• Problema• Procesos inconsistentes en la gestión de los privilegios de
acceso de los clientes en diferentes aplicaciones ( SAP, principalmente); sistemas operativos, etc.
• Altos costes en IT para hacer la asignación de privilegios de empleados a los roles de SAP
• Dificultad en establecer : “Quién tiene Qué” para generar las auditorías e informes correspondientes
• Solución• Aprovisionamiento con workflows • Consola única de Administración de Usuarios
• Beneficios• Integración de los roles de SAP con el resto de aplicaciones y
sistemas• Asignación flexible de usuarios a roles y perfiles para SAP de
acuerdo a las políticas de seguridad internas
Solución de Aprovisionamiento
Aprovisionamiento
Reconciliación
Administrador
Directorio Virtual
Base deDatos
Directorio
SAPSistemas
Operativos
Conclusiones
La Solución de OracleDiferenciadores Clave
• Solución Completa e Integrada
• Arquitectura Flexible de Aprovisionamiento mediante Adaptadores
• Control de Accesos para diferentes recursos
• Directorio Virtual
• Soporta Diferentes Tipos de Aplicaciones: Web, C/S y WebServices/SOA
• Hetereogeneidad• Certificado con la mayoría de aplicaciones, servidores de
aplicaciones y bases de datos
• Flexibilidad • Permite acometer los proyectos por fases
• Soporte a Estándares
Más Información
http://www.oracle.com/identity
• Posicionamiento de la Solución de Oracle
• Documentación Técnica
• Seminarios
• Demos
• Software
Top Related