Oracle Identity Management
- 2. IDENTITY MANAGEMENT SUITE NathanLopes de Sá nathan.lopes@discover.com.br
- 3. Agenda Gerenciamento deIdentidades O que é? Benefícios Oracle Identity Management Suite Componentes Passo a passo – Simulação de utilização Caso real – exemplo de adoção Dúvidas Como aprender mais?
- 4. Gerenciamento de Identidades Oque é? IDENTIDADE: a representação digital de uma pessoa. Normalmente é composta por um identificador único e outros dados (atributos) como documentos, nome, e-mail etc. GERENCIAMENTO DE IDENTIDADES: conjunto de processos e estratégias que visam administrar de modo seguro todo o ciclo de vida dos usuários internos e externos das organizações, bem como seus privilégios de acesso aos recursos corporativos (Aplicações Web, Sistemas Operacionais, Servidores de Banco de Dados, entre outros).
- 5. Por quê? • Maissegurança • Garante o acesso adequado para os funcionários • Criação e remoção automática de contas _________________________________________ • Redução de custos • Redução de tarefas manuais • Aumento de produtividade _________________________________________ • Auto-atendimento para os usuários • Login único • Fácil auditoria
- 6.
- 7. Oracle Identity Management Asuíte Oracle Identity Management possibilita às empresas gerenciar o ciclo completo de identidades dos usuários em todos os recursos empresariais, dentro e fora do próprio domínio. Com ela, é possível implementar aplicações mais rápido, aplicar a proteção mais granular nos recursos empresariais, eliminar privilégios de acesso latentes automaticamente e muito mais.
- 8.
- 9.
- 10.
- 11. Internet Directory CARACTERÍSTICAS: • Serviçode diretórios LDAP v3 • Sincronização • Replicação • Segurança do diretório • Ferramentas de administração • Integração com produtos Oracle
- 12.
- 13. Internet Directory BENEFÍCIOS: • Agilidadee consistência • Escalabilidade • Alta disponibilidade • Maior segurança
- 14.
- 15. Virtual Directory CARACTERÍSTICAS: • Serviçovirtual de diretório LDAP v3 • Suporte a informações fora de diretórios (suporta tudo o que Java pode conectar) • Serviços Web exibidos como LDAP • Transformação de dados • Proxy/Firewall • Suporte a falhas
- 16.
- 17. Virtual Directory BENEFÍCIOS: • Unificaçãode múltiplos diretórios sem sincronização • Visão unificada de entradas de múltiplos diretórios • Facilita deployment de novas aplicações • Facilidade de gerenciamento • ROI rápido e significativo
- 18.
- 19.
- 20. Identity Manager CARACTERÍSTICAS: • Administraçãode identidades – Gerenciamento de usuários – Self-service – Delegação de responsabilidades • Provisionamento – Gestão de requisições e aprovações – Modelos de workflow altamente configuráveis • Reconciliação • Concessões baseadas em políticas e workflows • Auditoria e compliance
- 21.
- 22. Identity Manager BENEFÍCIOS: • Criaçãoe remoção automática de contas (evita contas órfãs) • Centralização das informações dos usuários • Automação no processo de provisionamento • Maior produtividade • Informações detalhadas para auditoria
- 23.
- 24. Role Manager CARACTERÍSTICAS: • Mineraçãode papéis e regras existentes – Contexto organizacional – Declaração de papéis e regras • Repositório de papéis e concessões • Modelo de papéis e relacionamentos – Configurável – Extensível • Delegação de papéis
- 25.
- 26. Role Manager BENEFÍCIOS: • Políticasegura de atribuição de papéis e responsabilidades • Provisionamento baseado em papéis • Gestão efetiva das atribuições dos usuários • Usuários obtém acesso ao que realmente precisam, quando precisam
- 27.
- 28.
- 29. Access Manager CARACTERÍSTICAS: • Administraçãode identidades – Gerenciamento de usuário – Grupos dinâmicos – Integração a workflow – Self-service • Autenticação e controle de acesso – Web single sign-on (SSO) – Autenticação forte – Administração e autorização baseado em políticas • Relatórios para compliance
- 30.
- 31. Access Manager BENEFÍCIOS: • Reduçãode custos na administração de um grande número de usuários • Maior eficiência por administração centralizada • Administração de usuários externos • Password único para aplicações Web • Delegação de administração
- 32.
- 33. Adaptive Access Manager CARACTERÍSTICAS: •Gerenciamento de acesso – Detecção de fraude – Autenticação por multifatores • Oracle Adaptive Strong Authenticator – Não é necessário download de softwares • Oracle Adaptive Risk Manager • Personalização • Regras, alertas, black & white lists • Risk scoring
- 34.
- 35. Adaptive Access Manager BENEFÍCIOS: •Níveis flexíveis de acesso • Monitoração de transações de alto risco • Restrições personalizadas • Relatórios extremamente detalhados (local de acesso, dispositivo, endereço IP, SO) • Self-service
- 36.
- 37. Enterprise Single Sign-On COMPONENTES: •ESSO Logon Manager • ESSO Provisioning Gateway • ESSO Authentication Manager • ESSO Kiosk Manager • ESSO Password Reset
- 38.
- 39. Password reset Por meiode perguntas e respostas previamente definidas, o usuário consegue uma nova senha.
- 40. Enterprise Single Sign-On BENEFÍCIOS: •Apenas uma ou nenhuma senha • Aumenta produtividade – Elimina perda de senhas – Help Desk • Armazenamento seguro de senhas • Protege aplicações • Centraliza administração de senhas
- 41.
- 42. Identity Federation CARACTERÍSTICAS: • Diversosambientes • Suporte a múltiplos protocolos – OASIS SAML 1.0, 1.1, and 2.0 – Liberty ID-FF 1.1 and 1.2 – WS-Federation • Federação em massa • Load-balancing e suporte a falhas • Integração a soluções de gestão de identidades
- 43. Identity Federation BENEFÍCIOS: • Integraçãode recursos externos • SaaS e HaaS • Não há necessidade de sincronização com outros servidores e diretórios • Menor número de senhas
- 44.
- 45. Passo 1 –Criação e Gestão de Identidades e Papéis
- 46. Passo 2 –Provisionamento
- 47. Passo 3 –Virtualização
- 48. Passo 4 –Logon
- 49. Passo 5 –Autenticação e Autorização
- 50. Passo 6 –Acesso Restrito
- 51. Passo 7 –Federação
- 52.
- 53. "A plataforma indestrutívelde segurança da Oracle nos permite garantir a integridade dos dados altamente sensíveis de defesa sem impedir o acesso por pessoal autorizado. Nós agora temos os nossos dados consolidados de forma segura, o que permite nos preparar para a adesão à OTAN. "- Genci Kokoshi, Chefe de Informação Ministério da Defesa, Albânia
- 55. Como aprender mais? Paraobter maiores informações e para downloads, visite o site da OTN (Oracle Technology Network): http://www.oracle.com/technetwork/index.html
- 56.
Notas do Editor
- #6 São muitos os benefícios que uma solução de gerenciamento de identidades proporciona: Novos usuários obtém rapidamente acesso aos recursos necessários para e execução de suas tarefas, mantendo-os satisfeitos e produtivos. A automação acelera o processamento de requisições, liberando os administradores para tarefas mais importantes. Provisionamento de contas de usuários levam minutos e não dias. Operações simplificadas. Um sistema flexível, baseado em regras permite automatizar rotinas de provisionamento, mesmo que complexas, aumentando a eficiência e reduzindo a possibilidade de erros. Information Security support and operating costs are greatly reduced with automation, delegation, and self-service features. Implementation of the common processes across multiple accounts will standardize and simplify procedures, reducing mistakes and cost. Enable growth with reduced need to increase the size and expertise of the account administrative staff. Improved enterprise security with complete visibility into user access privileges. Improved ability to automatically detect and react to potential risks. Consistent application and enforcement of security rules. Reduced security costs through task automation. Audit and reporting capabilities. Tighter security controls. Eliminated or reduced duplicate user IDs. Account clean-up or deletion validation across all platforms & applications based on single action. Todos são beneficiados pela redução ou até mesmo eliminação de erros. Maior qualidade de serviço para os clientes. In a nutshell: Improved service, increased productivity, reduced errors, increased efficiency, improved security, reduced risk, regulatory compliance and growth enablement.
- #9 Embora o segmento de gerenciamento de identidades continue a se expandir com novos produtos e recursos, muitas dessas tecnologias geralmente recaem em uma destas três áreas funcionais: serviços de diretório, gestão de identidades ou gerenciamento de acesso.
- #10 Um diretório, em uma definição bem simplória, é um banco de dados desenvolvido para atender principalmente a grandes quantidades de consultas e não a grandes volumes de atualizações (inserções ou remoções). A forma em que os diretórios armazenam suas informações é hierárquica e não relacional, ou seja, em sistemas de diretórios não temos tabelas de dados como temos em bancos relacionais (como MySQL, Oracle, SQL Server...). No lugar de tabelas, os dados são organizados em uma DIT (Directory Information Tree - Árvore de informação do diretório), que é uma árvore onde cada vértice é um registro (onde um registro é um conjunto de informações sobre determinado objeto que queremos guardar). O LDAP é basicamente um sistema de diretórios que engloba o diretório em si (a DIT) e um protocolo também denominado LDAP (LightWeight Directory Access Protocol - Protocolo leve de acesso a diretórios), que é o protocolo que permite o acesso à DIT. Serviços de diretório são os principais componentes da maioria das plataformas de gerenciamento de identidades. Essa camada de fundação consiste no próprio diretório LDAP, que guarda os dados de identidade do usuário, incluindo nomes de usuário e senhas. A maioria das aplicações empresariais utiliza dados armazenados em um diretório LDAP. Como é comum que as organizações tenham mais de uma aplicação empresarial, você geralmente descobrirá que elas têm mais de um diretório. Com o tempo, os dados de identidade tornam-se largamente distribuídos pela empresa. Além disso, é bastante comum as aplicações empresariais precisarem de dados armazenados em vários diretórios. Uma abordagem que a organização de desenvolvimento pode adotar para consumir esses dados distribuídos é o uso de um serviço de metadiretório, que lhe permite sincronizar dados entre diretórios. Outra abordagem é o uso de um diretório virtual, que fornece uma visão única dos diretórios para a aplicação consumir, enquanto puxa dados de vários outros diretórios sem a necessidade de sincronizar.
- #11 O Oracle Internet Directory é um diretório LDAP que aproveita a escalabilidade, a alta disponibilidade e os recursos de segurança do Banco de Dados Oracle. O Oracle Internet Directory pode atuar como metadiretório (repositório de usuários central) para implantações do Oracle Identity Management ou como um diretório baseado em padrões e altamente escalável para a empresa heterogênea. A funcionalidade de metadiretório é fornecida através da Plataforma de Integração de Diretórios, possibilitando assim que os usuários sincronizem dados entre o Oracle Internet Directory e outros diretórios de terceiros.
- #15 O Oracle Virtual Directory é um serviço flexível e seguro para conectar aplicações à identidade do usuário existente, como diretórios e bancos de dados, sem exigir mudanças na infraestrutura, nem nas aplicações. Os clientes escolhem o Oracle Virtual Directory para acelerar a implantação de aplicações habilitadas com diretório, como portais e sistemas single sign-on (SSO). Mais especificamente, o Oracle Virtual Directory possibilita que os clientes resolvam problemas relacionados à necessidade de unificar vários diretórios, permitir acesso LDAP a bancos de dados ou outros armazenamentos de dados de identidade proprietários, melhorar a escalabilidade do servidor de diretório e fornecer mais segurança. Por fim, o Oracle Virtual Directory aumenta a reusabilidade dos seus dados de identidade, onde quer que estejam armazenados, o que reduz custos de administração e integração.
- #19 A gestão de identidades é em si uma ampla área funcional que engloba várias atividades, como gerenciamento de usuários e grupos, autoatendimento, administração delegada e workflows de aprovação. Esses recursos são em geral fornecidos por tecnologias de aprovisionamento e gestão de funções empresariais. Se pensarmos no serviço de diretório como a camada de fundação para guardar dados de identidade, podemos pensar na administração de identidades como a área que gerencia todo o ciclo de vida dos dados de identidade. Nós criamos e gerenciamos regras e workflows que automatizam o processo de criar, excluir ou alterar a identidade de um usuário e seus privilégios associados em várias aplicações. Além disso, as mudanças na função de um indivíduo ou sua associação na organização podem disparar essas regras e workflows dinamicamente. Embora a automação seja um benefício importante ao deixarmos os processos manuais, ainda precisamos fornecer aos indivíduos a capacidade de se servirem sozinhos em suas próprias contas e delegarem algumas de suas responsabilidades a outros dentro da organização.
- #20 O Oracle Identity Manager é um sistema altamente flexível e escalável de gerenciamento de identidades que controla de forma centralizada o ciclo de vida das contas de usuários e privilégios de acesso nos recursos empresariais. O Oracle Identity Manager tem integração pronta com as aplicações empresariais e tecnologias de infraestrutura implantados mais comumente. Além disso, o Identity Manager vem com uma ferramenta gráfica que permite sua integração a outras aplicações, caso ela não venha pronta, como acontece quando é preciso fazer integração com tecnologias desenvolvidas internamente.
- #22 Identity Provisioning is about the automation of all the steps required to manage (create, amend, and revoke) user or system access entitlements. Deprovisioning, such as when an employee leaves a company, is done by closing access accounts. Notice though that user lifecycle management and in specific the provisioning of user accounts and attributes is only one piece of Identity Management.
- #24 O Oracle Role Manager é uma solução fundamentada para gerenciamento de funções, criada usando uma arquitetura J2EE escalável, que fornece um conjunto completo de recursos para gerenciamento do ciclo de vida das funções empresariais, organização multidimensional e gestão de relacionamento. Usando funções para abstrair recursos e direitos, o Oracle Role Manager permite que os usuários de negócios definam o acesso de acordo com a política da empresa, além de examinar os direitos de acesso do usuário em termos administrativos. Ao envolver os usuários de negócios no processo de administração de identidades, o Oracle Role Manager traz escalabilidade aos processos de segurança e compliance relacionados à identidade.
- #28 Gerenciamento de acesso é a área para controlar o acesso do usuário aos recursos empresariais, gerenciar direitos e autorizações rigorosas para aplicações empresariais, impedir atividades fraudulentas de forma pró-ativa e fortalecer a segurança da autenticação, e federar identidades e sessões do usuário entre organizações. Enquanto a administração de identidades gerencie o ciclo de vida dos dados de identidade, o gerenciamento de acesso é o guardião da porta, determinando quais usuários têm acesso a quais informações e quando, com base em um conjunto de políticas em constante mudança.
- #29 O Oracle Access Manager oferece controle de acesso escalável para ambientes heterogêneos, com uma solução integrada e baseada em padrões para autenticação, single sign-on na Web, e criação e aplicação de políticas de acesso. O Oracle Access Manager suporta todos os principais servidores Web, servidores de aplicação e serviços de diretório. Ele ajuda a proteger aplicações empresariais, J2EE e da Web, ao mesmo tempo reduzindo a carga de administração, custo e complexidade.
- #33 O Oracle Adaptive Access Manager oferece um nível superior de proteção para empresas e seus clientes, através de segurança com forte autenticação multifatorial com capacidade de ajuste dinâmico baseado no contexto das ações do usuário, além de combate a fraude pró-ativo e em tempo real. O Oracle Adaptive Access Manager oferece forte autenticação mútua e independente de dispositivo às aplicações online. Fornece também pontuação de risco em tempo real, a fim de identificar o potencial de fraude em vários pontos de uma transação.
- #37 O Oracle Enterprise Single Sign-On oferece aos usuários autenticação e sign-on unificado em todos os seus recursos empresariais, incluindo desktops e aplicações cliente-servidor, personalizados e de mainframe baseados em host. Os usuários podem se autenticar uma vez com uma única credencial – como nome de usuário/senha, smartcard ou dispositivo biométrico – e ter acesso seguro a todas as suas aplicações empresariais sem a necessidade de nova autenticação.
- #42 A criação de comunidades de usuários federadas que extrapolam o limite das empresas representa uma oportunidade para implementar estratégias de venda cruzada de produtos para o consumidor, agilizar o acesso do fornecedor às aplicações de sua extranet e responder rapidamente a mudanças organizacionais, como fusões e aquisições. O Oracle Identity Federation torna esse tipo de interação possível com um servidor de federação multiprotocolo que implementa tecnologia da Web baseada em padrões. Com ele, as organizações podem vincular contas e identidades de forma segura entre limites de segurança, sem um repositório de usuários central nem necessidade de sincronizar armazenamentos de dados. O Oracle Identity Federation oferece uma maneira interoperável de implementar single sign-on entre domínios para fornecedores, clientes e parceiros de negócios, sem o trabalho de gerenciar, manter e administrar suas identidades e credenciais.
- #46 No diagrama do slide, Oracle Identity Manager concilia com o Oracle Role Manager e recebe um papel para um usuário final. Estes papéis e os privilégios que eles transmitem são associadas com os recursos aos quais o usuário será provisionado.
- #47 O Oracle Identity Manager se comunica com múltiplas fontes de dados para criar, modificar ou remover a contas do usuário nestas fontes de dados. Nste exemplo, o Oracle Identity Manager está realizando o provisionamento do usuário para duas fontes de dados: Oracle Internet Directory e Microsoft Active Directory. Através de um fluxo de trabalho de provisionamento adicional, o Oracle Identity Manager também provisiona o usuário para um recurso-alvo (neste exemplo, uma aplicação do portal corporativo).
- #48 O Oracle Virtual Directory permite a integração entre múltiplas fontes de dados em tempo real. Como resultado, a Oracle Virtual Directory apresenta uma lista única que expõe dados em tempo real a partir destas fontes de dados. Nste exemplo, o Oracle Virtual Directory recebe o registro do usuário do Oracle Internet Directory e os atributos adicionais para o usuário do Microsoft Active Directory.
- #49 O usuário tenta acessar a aplicação do portal da empresa (o recurso-alvo).
- #50 Oracle Access Manager utiliza os dados do usuário fornecidos pelo Oracle Virtual Directory para autenticar e autorizar o usuário final. Para segurança adicional, o Oracle Adaptive Access Manager é utilizado para realizar a detecção de fraudes e segurança de autenticação por multifatores. Isso protege as credenciais da empresa e dados de phishing, pharming, trojans e ataques de fraude baseada em proxy. Para este exemplo, o usuário final também é solicitado a fornecer um número de dispositivo móvel e localização geográfica. O Oracle Adaptive Access Manager passa os resultados dessa verificação de autenticação forte, para o Oracle Access Manager.
- #51 O Oracle Access Manager retorna o usuário com seus devidos privilégios no recurso em questão (o aplicativo do portal).
- #52 O usuário tenta acessar informações relacionadas à sua conta (por exemplo, dados de sua aposentadoria). Tal informação é mantida por terceiros. O Oracle Identity Federation redireciona o usuário para um Web site externo, e faz a autenticação do usuário via Web.