<Insert Picture Here> Oracle Identity Management a jeho použití v praxi. Aleš Novák, Oracle

<Insert Picture Here> Oracle Identity Management a jeho použití v praxi Aleš Novák, Oracle ales.novak@oracle.com

Agenda Úvod do IdM Ukázka Popis projektu Analytici

Co je Identity Management? Inspirováno wikipedií Řízení životního cyklu identity: Workflow Uživatelská samoobsluha Password reset Provisioning a de-provisioning identit ze systémů... zavedením elektronických automatizovaných procesů

Potřebujeme Identity Management?

Q: Kdo má ve vaší organizaci nejvíce přístupových práv? a Správce bezpečnosti b Finanční ředitel c Brigádník, který přes léto zapojoval naši novou síť

Q: Jak přidělujete přístupová práva? a Dejte Alici to co má Wally b Na základě business role c To co řekne její manager

Q: Co je napsáno na nálepkách, přilepených k monitoru? a Hesla b Vzkazy c Úkoly

A co ČR / SK? 2008, ČR, finanční instituce, vnitřní útok, pokus o ukradení cca 270 milionů 1999-2002, ČR, finanční instituce, 200 milionů ukradeno zaměstnancem (a většinou vráceno) SK, telekomunikace, root heslo na serverech připojených k internetu, žádná password policy, zneužito bývalým zaměstnancem

Důvody nasazení - audit, compliance SOX podléhají mu firmy obchodované na US burze PCI Bezpečnostní audit cyklus audit, nález, náprava,...

Úspora nákladů Self service, password reset Případ pondělní amnézie Nástup, změna pracovní pozice Správa kontraktorů Správa externistů hypoteční a pojišťovací agenti, obchodní partneři

Oracle Identity Manager J2EE aplikace aplikační server + Oracle DB SoD podporováno a doporučeno Webové rozhraní pro uživatele Design console pro vývojáře Workflow engine Formuláře Konektory

Založení účtu v Založení účtu LDAP MZe LDAP MZe Nastoupil nový zaměstnanec Zavedení nového zaměstnance do evidence Start synchronizace Nastal okamžik synchronizace (scheduled task v OIM) Synchronizace z HR do OIM Konec synchronizace do OIM Údaje ze SAP HR přeneseny Potřeba postihnout standardní synchronizaci (1x za 4 hodiny) a plnou synchronizaci (pro aktualizaci všech atributů, 1x týd Potřeba postihnout opakovanou synchronizaci při ztrátě spojení. Zpracování údajů v Které atributy jednoznačně určují nového zaměstnance? OIM Kmenový zaměstnanec v hlavním pracovním poměru Přiřazení Přiřazení unikátního unikátního emailu emailu email email do do HR HR odd. odd. o emailu emailu Založení Založení nového nového účtu účtu v OIM OIM Nová Nová identita identita založena založena v OIM OIM Založení účtu v MS Založení účtu MS AD MZe AD MZe Přiřazení Přiřazení přechodného přechodného hesla hesla Zaměstnanec s jiným prac. poměrem Notifikace Notifikace uživateli uživateli E-mailem E-mailem na na personalistu, personalistu, který který údaje údaje sdělí sdělí novému novému zaměstnanci. zaměstnanci. o založeném založeném účtu účtu Založení účtu v Založení účtu SAP WAS SAP WAS Účet je v LDAP založen a aktivní Účet je v MS AD založen a aktivní Účet je v SAP WAS založen a neaktivní Účet je LDAP založen aktivní Účet je MS AD založen aktivní Účet je SAP WAS založen neaktivní Záznam o výsledku Záznam výsledku založení nového založení nového účtu účtu Účet zaměstnance založen Účet zaměstnance založen Pracovník HR oddělení Start synchronizace Nastal okamžik synchronizace (scheduled task v OIM) Konec synchronizace do OIM Údaje ze SAP HR přeneseny Zapojení Zaměstnanec Konektor Reconciliation Engine Oracle Identity Manager Zpřístupněné aplikace AD, OID, ERP HR systém, csv Úložiště identit Uživatelská skupina Přístupová politika Workflow

Přístupové politiky - RBAC fmetelka,franta,metelka,full-time, Skupina Full-Time Employee Definice přístupové politiky AD, DB přístup

DEMO

DEMO Oracle IdM Active Directory Oracle BI Publisher Reporty disabled users, partially disabled, rogue accounts, entitlement exception

Reconciliation Usmíření Identity Manager Počáteční AD Reconciliace - linkování Active Directory Počáteční recon (Trusted) baseline Následné AD Reconciliace

IdM Architektura

Případová studie Ministerstvo Zemědělství

Motivace Portal access Nový zaměstnanec HRMS Konektor Reconciliation Engine Oracle Identity Manager Zpřístupněné aplikace AD, OID, ERP, CRM, portál pro zaměstnance Blokování přístupu Nový kontraktor Csv soubor, DB tabulka Úložiště identit Uživatelská skupina Přístupová politika Workflow Konsolidace hesel Konektor Schválení Zakázané aplikace

Zadání Vstup SAP HR Výstup AD, OID, SAP CUA Incremental a full recon HA infastruktura

Návrh implementace Dev, test, produkce Rozšíření data modelu v OIM Konektor na SAP HR, SAP CUA, AD, OID Workflow Dodatečná BAPI

Implementace SAP HR Konektor + úpravy 1 x týdně full reconciliace, 1 x denně inkrementální Volání custom BAPI Vývoj BAPIletů, unit testy... PERNR, VORNA, NACHN, USRID_LONG, ORGEH, STEXT,...

SAP CUA Spravované systémy, profily a role do číselníků OIM BNAME NAME_LAST NAME_FIRST TITLE_ACA1 TITLE_ACA2 DEPARTMENT ROOMNUMBER FLOOR BUILDING TEL_NUMBER SMTP_ADDR CODVN LOCL

Implementace AD, OID OID objectclasses pro portál Department change -> AD moddn AD generuje mail

MS AD jako zdroj pro emailové adresy

Deployment Management

Infrastruktura Load Balancer Middleware Oracle DB / RAC Oracle Identity Manager / ias cluster

Projekt Cca 2,5 měsíce 2 5 lidí Analýza, dokumentace, testy, akceptace

Analytici

User Provisioning (Oracle Identity Manager)

Forrester Wave 2006-2008 by Jonathan Penn with Laura Koetzle, Paul Stamp, Simon Yates, and Adele Sage by Andras Cser with Jonathan Penn, Paul Stamp, and Allison Herald

Závěr Co a k čemu je identity management Demo Studie Analytici