�

Mit Sicherheit Effizienz schaffen- Oracle Identity Management -

08.+ 17. April 200808.+ 17. April 2008

Heike Jürgensen – Oracle Sales Consultant

�

Agenda

• Herausforderungen bei der Gewährleistung von Sicherheit

• Wie kann Identity Management – die Ausgangssituation vereinfachen / Komponenten des

Identity Manager– IT-Compliance und IT-Governance unterstützen

• Vorstellung Oracle Identity Manager– Anwenderübernahme per Datei– Anwenderkontobereitstellung (automatisiert/manuell) – Self Service mit Genehmigung– Delegierte Administration – Gruppenzuweisung– Attestation – Überprüfung der bestehenden

Anwenderzuordnungen

�

Herausforderungen

• Verwaltung von Anwendern ist komplex– Anwender nutzen eine Vielzahl von Applikationen– Sehr viele Benutzergruppen/Berechtigungen– Personalfluktuation, Verwaltung von internen wie externen

Anwendern� Wildwuchs von Accounts, Passwörtern und Privilegien

• Zugriffsschutz mit Datenschutz gewährleisten– Online-Verfügbarkeit– Kritische Unternehmensdaten– Personenbezogene Daten– Mandantenfähigkeit /Schutz auf Zeilenebene

• Interne und externe Compliance-Richtlinien: – Kontinuierliche Überwachung und Verbesserung– Bundesdatenschutzgesetz, EuroSox, BilMoG, PCI usw.

�

� Anwenderzentrierte Sicherheit– Benutzerverwaltung

– Zugriffverwaltung

� Prozeßbezogene Sicherheit– Verschlüsselung von Kommunikationswegen, Zertifikatsprüfungen

– Sicherung der ‚Anwendung zu Anwendung‘ - Kommunikation

� Datenbezogene Sicherheit– Zugriffsschutz auf Zeilenebene

– Datenverschlüsselung bei der Speicherung

– Anwendungsunabhängige Mandantenfähigkeit

Sicherheitvom Anwender - zur Applikation - bis in die Datenbank

�

HCM ERP

Telefon

VerzeichnisMail

BetriebsSystem

Datenbank

Ausgangssituation Anwenderkonten und -informationen in vielen Unternehmensanwendungen verteilt

�

HCM ERP

Telefon

Verzeichnis-dienst

Mail

BetriebsSystem

Datenbank

Lösung: Zentrale Weitergabe von Anwenderdaten

IDENTITY MANAGEMENT

�

Anwenderkontenverwaltungmit z.B. HCM als Datenquelle für Mitarbeiter

HCM

OIMDB

LDAP

Anwender RegistrierungAnwender RegistrierungAnwender RegistrierungAnwender RegistrierungAnwenderAnwenderAnwenderAnwender updateupdateupdateupdate

AuthentifizierungAuthentifizierungAuthentifizierungAuthentifizierung

AutorisierungAutorisierungAutorisierungAutorisierung

ProvisioningProvisioningProvisioningProvisioning

updateupdateupdateupdate

ProvisioningProvisioningProvisioningProvisioning updateupdateupdateupdate

AD, eDir, OID,…

Datenbanken

Applikationen

Betriebssystemkonten

Unternehmensapplikationen:

* HCM = Human Capital Management

ERP

eMail

�

AnwenderkontenverwaltungAutomatisiert oder mit Genehmigung

HCMNeuerMitarbeiter

Selbst-Registration

Übernahme

Zuweisungs-regeln

ErlaubteApplikationen

Genehmigung

WorkflowUserGruppen

NeuerVertrags-partner

IdentityManager

Anfrage AbgelehnteApplicationen

Oracle IdentityManager

Konnektor

�

Change Management

Flat FileBulk Load

ReconciliationEngine

AccessPolicy

ProvisionedApplications

WorkflowUserGroup

IdentityStore

Oracle IdentityManager

Connector

Admin Create NewUser In

Applications

RogueAccountException

ExceptionWorkflow

�

Mitarbeiter kündigt

Mitarbeiterkündigt

Manual Task

ProvisioningWorkflow

RevokedCell Phone

HCM ReconciliationEngine

Connector IdentityStore

RevokedApplications

Oracle IdentityManager

�

IT-Compliance und IT-Governancemit Identity Managment

Applikationen(SAP, ADS, etc.)

Datenbanken DirectoriesOperating Systems

UM mit Oracle Identity Mgmt .

EnterpriseUser

Repository

Au

tho

rizatio

n

User Management

Au

the

ntificatio

n

Auditing

Help Desk

Enduser(mit Self Service)

Delegated Administration(mit Approval Workflow)

Partner

• Schaffen klarer Zuständigkeiten

• Aufbau eines zentralen User

Managements (UM)

• Vereinfachung von UM-Prozessen

• Automatisierung

- Beantragung (Workflow)

- Bereitstellung / Provisionierung

- Entzug von Berechtigungen

- Funktionstrennung / Segregation of

Duties

- Nachhaltig: Audit/Reporting

• Steigerung der Anwender-

Produktivität

�

Services

A P I

Komponentendes Oracle Identity Manager

Funktionalitäten:

• User Selfservice• Unterstützt komlexeWorkflow-Anforderungen

• Delegation von administrativen Aufgaben

• Umfangreiches Reporting, Analyse und Prüfungsmöglichkeiten

• Provisioning - zur Verfügungstellung von Benutzerprofilen und Zugriffsrechten

• Reconciliation – Abgleich mit angeschlossenen Systemen

• Leichte Integration von Kundenanforderungen durch Adapter Factory®

�

Oracle Identity Manager stellt Anwenderdaten unternehmensweit zur Verfügung

Database Servers Directory Servers

Enterprise Applications Enterprise Messaging

Operating Systems Security Management

Help Desk Web Access Control

RACF ACF2TopSecret

�

Oracle Standard Reporting Anwender Historie

�

Ergänzter ReportAD mit zugewiesenen Gruppen eines Mitarbeiters

�

Demonstrationbeispielhaftes Organigramm

HoldingVorstand

Bereich 1Leiter B 1

Bereich 2Leiter B 2

PersonalLeiter

Personal

ControllingLeiter

Controlling

BeschaffungLeiter

Beschaffung

ControllingOstLeiter ContrOst

ControllingNordLeiter ContrNord

�

Demonstration – Szenario 1 Datenübernahme aus einem Flat File

1. Daten im Flat File einfügen

2. Prozess starten

�

Demonstration – Szenario 2 automatisierte – manuelle Zuweisung

1. Anwender Profil- LDAP OID automatisch vergeben

- LDAP ADS manuell zuweisen

2. Betrachtung der Access Policies

�

1. Anmeldung als Abteilungs-Administrator

2. Beantragung einer Berechtigung

3. Aufgabentrennung / Segregation of Duty

Demonstration Demonstration –– Szenario 3Szenario 3Delegierte Administration

�

Demonstration Demonstration –– Scenario 4Self Service – Mobil Telefon

1. Login als User....

2. Mobil Telefon beantragen

- als Berater

- als Mitarbeiter

3. einstufige Genehmigung für Mitarbeiter

4. zweistufige Genehmigung für Berater

�

Provisionierung eines Mobil-Telefons

Mitarbeiter

SelfRequest

Berater

RequestEngine

ApprovalWorkflow

ProvisioningWorkflow

BereitgestelltesMobil Telefon

Oracle IdentityManager

ApprovalManager

ApprovalMobile-Admin

�

Workflow – Bearbeitung

�

Workflow – Bearbeitung

�

Demonstration – Szenario 5Attestation

�

Demonstration – Scenario 6Reconcilation für AD

1. Anwender direkt in Active Directory anlegen

2. Überprüfungsprozeß starten

3. Betrachtung des Berichtes

�

Demonstration – Scenario 6Reconcilation für AD

�

Anwenderverwaltung - Provisioningbei der schwedischen Polizei

�

Kunden bauen auf Oracle Identity Manager

• Halifax Bank of Scotland (HBOS)• Barclays• Swedish National Police Board (Riskpolisstyrelsen)• Dillinger Hütte GTS• NEW Energie GmbH• Bundesamt für Migration und Flüchtlinge• Lehman Brothers

− 22.000 Anwender − 1.400 Applikationen− Neue Anwender in 20 Minuten produktiv − Anwenderzugriff in 60 Sekunden entfernt

�

• Vorteile– Reduzierte Administrationskosten– Erfüllt Compliance-Anforderungen– Erhöht bestehende Sicherheitsstufen– Verbessert die Unternehmensabläufe

• Funktionen– Identitäts Lebenszyklus Verwaltung für heterogene Systeme– Automatisierter Be-/Entzug von Zugriffsprivilegien– Genehmigungs- und Provisionierungs-Workflow– Rollenbasierte Zugangskontrolle– Standard Konnektoren & Adapter Factory– Auditierung und Compliance Reports– Kontinuierliche Überprüfung (Attestation)– Self Service und Passwortmanagement

OracleOracleIdentity ManagerIdentity ManagerOracle Identity Manager

http://www.oracle.com/technology/products/id_mgmt/index.html

�

PWC Umfrage - http://www.cio.de/_misc/article/printoverview/index.cfm?pid=158&pk=833118&op=lst

IT-Governance

mit

Identity und Access Management

erleichtert

IT-Compliance

und verbessert den ROI

Sicherheitein kontinuierlicher Prozess

�

Oracle Identity ManagementDie Basis für eine modulare + sichere IT-Infrastruktur

http://www.oracle.com/technology/products/id_mgmt/index.html

�

Offene Standards

� Standards für das Identitätsmanagement

SAML XACML Liberty ID-FF SPML WS-Fed X.509 usw.

� Sicherheitsstandards

XKMS XML-SIG PKCS WSS XML-ENC TLS PKI SSL S/MIME LDAP Kerberos usw.

� Standards für Plattformen und Integration

WSDL SOAP WSRP Oracle Jdeveloper JSR-115 Oracle BPEL Designer JCP Oracle TopLink and ADF

� Standards für Webdienste

WS-Security WS-Policy WS-Fed WS-Trust Identity Governance Framework:

- http://www.oracle.com/technology/tech/standards/idm/igf/index.html- http://www.projectliberty.org/liberty/strategic_initiatives/identity_governance- http://www.openliberty.org/wiki/index.php/IGF_Introduction

�

Identity Governance Framework

Identity Governance Framework:- http://www.oracle.com/technology/tech/standards/idm/igf/index.html- http://www.projectliberty.org/liberty/strategic_initiatives/identity_governance- http://www.openliberty.org/wiki/index.php/IGF_Introduction

http://www.projectliberty.org/liberty/news_events/press_releases/liberty_alliance_and_oracle_team_to_advance_identity_governance_framework

“Oracle has taken the lead in developing an important framework toallow organizations of all sizes and in every market sector to better

manage and protect a wide range of private identity information,” saidBrett McDowell, Executive Director of the Liberty Alliance. “By

developing the IGF standards in Liberty Alliance, Oracle is helping toensure the broadest possible industry support for advancing the

framework quickly.”

“Since its launch, vendors and customers alike have expressed enthusiasm for the IGF and view it as aneffective means for better managing and protecting identity information across the extended enterprise,”

said Hasan Rizvi, vice president of Identity Management and Security Products, Oracle. “Liberty’s membership – spanning vendors and customers – has significant experience in addressing the

technology, business and privacy aspects of identity. Their success in driving open and secure identity standards made the consortium a natural choice for advancing the IGF specifications.”

�

ProvisioningRepository

Prozesse

sichere Services

Partner

FöderierteAnwender Infos

SSO über Unternehmensgrenzen

LDAPAnwe

nder

Verwaltung

Zugriffs-kontrolle

DatenVerschlüsselung

Dokumente

Datenzugriff

Bitte geben Sie Ihre PIN ein :

PIN :

...Oracle Hamburg...

Durchgängiges Sicherheitskonzeptvom Anwender - zur Applikation - bis in die Datenbank

�

ProvisioningRepository

Prozesse

sichere Services

Partner

FöderierteAnwender Infos

SSO über Unternehmensgrenzen

LDAPAnwe

nder

Verwaltung

Zugriffs-kontrolle

DatenVerschlüsselung

Dokumente

Datenzugriff

Bitte geben Sie Ihre PIN ein :

PIN :

...Oracle Hamburg...

Durchgängiges Sicherheitskonzeptvom Anwender - zur Applikation - bis in die Datenbank

• Access Manager

• Adaptive Access Manager

• Enterprise SSO• Identity Manager

• Role Manager

• Internet Directory

• Virtual Directory

• Web Services Manager

• Oracle Access Manager

• Oracle Adaptive Access Manager

• Oracle Enterprise SSO

• Advanced Security

• Secure Backup

• Label Security

• Database/Audit Vault

• Information Right Mgmt

• Identity Federation

http://www.oracle.com/products/middleware/identity-management/identity-management.htmlhttp://www.oracle.com/security/security-solutions.html