Gestionando Perfiles y roles de losusuarios en ambiente heterogéneos

Luis Carlos BarreraIngeniero de Soluciones de Negocio

Consolidar yGobernar IT

Ejecutar &Optimizar IT

Administrar &Entregar

InformaciónIntegrar & Adaptar

Procesos

Potenciar &Conectar Personas

TI Estratégico

© SAP AG 2009. All rights reserved. / Page 3

Ciclo de vida típico del usuario

Desafíos:Mucho tiempo en ser productivos

Costo y esfuerzo elevadoSeguridad comprometida si el

empleado se retira de la empresa

Desafíos:Mucho tiempo en ser productivos

Costo y esfuerzo elevadoSeguridad comprometida si el

empleado se retira de la empresa

Contratación

Disponible:Cuenta

temporal deusuario

Chuck Brownentra a laempresa

3 semanasmas tarde

Disponible :E-MailPortal

InternetPréstamos

Chuck Brownpuede trabajaren Préstamos

1 año mástarde

Disponible :E-MailPortal

InternetPréstamosCRM (west)Marketing

data (west)

Chuck Brownes transferido a

marketing

7 años mástarde

Disponible :E-MailPortal

InternetPréstamos

CRM (global)Marketing

data (global)

Chuck Brownes promovido:

Gerente deVentas

8 años mástarde

Chuck Brownrenuncia

Todas lascuentas

conocidas deChuck son

desactivadas

10 años mástarde

Disponible :PréstamosMarketing

data (global)

Chuck Brownaún tieneacceso asistemas

GRC Access ControlSAP NetWeaver

Identity Management

…

Una completa solución para la gestión deperfiles y seguridad de usuarios

MicrosoftActive

DirectoryMicrosoftExchange

Provisionamiento

Sincronización de Identidades yVirtualización

Gestión de Privilegios paraAplicaciones y Recursos

Análisis de Riesgo

Auditoría y Compliance

Gestión de Privilegios paraTransacciones de Negocio

OtrasFuentesde Ident.

HCMFuentes de

Identidad

Sistemas Técnicos y de Negocio

Single Sign-On Unificado

SAP NetWeaver Identity ManagementPropuesta de valor

Eficiencia Agilidad Flexibilidad

Gestión Central deIdentidades

Bajo costo deadministración

Cumplimiento aregulaciones

Modelo de Gobernabilidadpara gestión de Políticas

Gestión de Identidadesbasada en negocio

Respuesta a cambiosdel negocio

Plataforma basada enestándares

Plataforma basada enSAP NetWeaver

Workflow basado enreglas y procesos de

aprobación

Extensivas capacidades deauditoría, tranzabilidad y

reportes

Integración con SAP GRCAccess Control para

fortalecer el cumplimiento aregulaciones y el control

basado en roles

Integración conaplicaciones de negociobasada en estándares

Los servicios deidentidad habilitan la

alineación y laintegración bajamente

acomplada

SAP NetWeaver Identity Management

e.g. contratación

e.g. Order2Cash

SAP NetWeaverIdentity Management

Gestión deContraseñas

Provisionamiento desistemas

Monitoreo yAuditoría

Asignación de rolesbasada en roles de

negocio

Virtualización de identidad(Servicios)

Workflows deaprobación

Almacén centralde IdentidadesSAP Business Objects

Access Control (GRC)

Chequeo deCompliance con

GRC

Integración con SAPHCM

IDM se dispara por procesos de negociosde identidades o datos

Los procesos de negocios confían en unaapropiada asignación de usuarios y roles

en los sistemas

Roles Técnicos y Roles de Negocio

End user(Portal role)End user(Portal role)

Accounting(ABAP role)

Accounting(ABAP role)

HR manager(ABAP role)

HR manager(ABAP role)

SAP HRSAP HRActiveDirectoryActive

Directory SAP FISAP FIE-MailSystemE-MailSystem

SAPPortalSAP

Portal

E-mailE-mail ADuserADuser

Business Roles

Technical Roles

ManagerManager

EmployeeEmployee

AccountingAccounting

Business RolesSe definen en el Identity CenterRepresentan las tareas de negocios de unempleadoSe definen usualmente como parte de unproceso de negociosPueden ser configurados jerárquicamenteSon una combinación de technical roles y/uotros business rolesSon normalmente asignados a usuariosfinales

Technical RolesRepresentan el acceso a información oautorizaciones técnicas (como ABAPauthorization roles, UME roles, Portal roles,AD groups, …)Son usualmente cargados del sistematargetSon específicos al sistemaSon usualmente representados como“privilegios” en el Identity Center

Definición de Roles y Provisionamiento

End user(Portal role)End user(Portal role)

Accounting(ABAP role)

Accounting(ABAP role)

HR manager(ABAP role)

HR manager(ABAP role)

SAP HRSAP HRActiveDirectoryActive

Directory SAP FISAP FIE-MailSystemE-MailSystem

SAPPortalSAP

Portal

E-mailE-mail ADuserADuser

Business Roles

Technical Roles

ManagerManager

EmployeeEmployee

AccountingAccounting

Definición de Roles (diseño, 1 vez)Lectura de información de acceso asistema (roles, grupos, autorizaciones, …)de los sistemas targetDefinición de una jerarquía de roles denegocios (business roles)Asignación de roles técnicos a roles denegociosDesarrollo de reglas para asignación deroles

Provisionamiento (regularmente)Asignación o remoción de roles desdehacia personas

Manualmente a través del Workflow oautomáticamente, ej: vía HCM

Ajuste automático de datos maestros yasignaciones de autorizaciones técnicas ensistemas target

Workflows

Interacciones manuales a través deun interfaz web

Iniciar tareas de aprovisionamientoAprobar solicitudesMonitorear estatus

Workflows pueden ser iniciadosdesde:

El interfaz WebTareas de eventosCambio en la asignación de privilegiosOperaciones de Meta directorio

Lógica de procesamiento incluye:Operación SecuencialOperación en ParaleloOperación condicionalAprobaciones

IdentityStore

RulesRoles

Aplicaciones

WorkflowEngine

WorkflowEngine

Provisioning EngineProvisioning Engine

BusinessProcessOwnerInformar

Solicitar

Alertar

Aprovar15 2

3

Aplicaciones

4 Provisionar

Usuario

IdentityCenterIdentityCenter

Integración con HCM

Integración con HCM permite el usodirecto de datos del empleado paraIdentity Management

HCM como fuente de información deidentidadesCambios en HCM generan procesos deidentity management

Exportar datos de HCMAlimentar directamente el Identity Center(IC)Vía LDAP exportMapeo de atributos entre HCM e IdentityCenter

Importar de otros sistemas de HCMtambién es posible

Soporte de interfaces estándares

Auditoría y Monitoreo

Basado en la Aplicación o PrivilegioQuién tiene acceso al sistema?

En base a UsuariosQué privilegios tiene este usuario?

Datos de entradaDatos actuales, históricos, Timestamps,Modificados por, Alertas de Auditoría

Datos de aprobaciónQuién aprobó que y cuando?

Quién tenía que privilegio y cuando?Segregación de funcionesTestimonio

Log de audito de tareasQue tarea fue ejecutada en qué usuario, ypor quien?

Log generales

© SAP AG 2009. All rights reserved. / Page 13

Virtualización de Identidades

DSMLv2

Database

DSMLv2 LDAP

LDAP JDBC

ApplicationDirectoryServer

DirectoryServer

Virtual Directory ServerVirtual Directory Server

Virtual Directory Server (VDS) proveeUna vista única y consistente, además de un puntoúnico de entrada para fuentes de datos deidentidad múltiples y distribuidasInformación de identidad como un servicio paraaplicaciones a través de protocolos estándares(LDAP, DSMLv2)Capa de abstracción para otros almacenes dedatos

El Consumidor ve un interfaz estándarTransforma solicitudes entrantes LDAP, y conectadirectamente a los repositorios de datos existentes

Data se mantiene en su ubicación originalCaching eficiente

PropiedadesAcceso en tiempo real a los datosNo es necesario consolidar fuentes de datosNo es necesario un extra data store

Despliegue rápido de LDAPMantenimiento simple y barato

Permite la manipulación de atributosPermite la modificación del Name space

SAP NetWeaver Identity ManagementConectividad

DirectoryServers

AplicacionesSAP Business Suite

SAP BusinessObjectsAccess Control (GRC)Lotus Domino / NotesMicrosoft Exchange

RSA ClearTrustRSA SecurID

AplicacionesSAP Business Suite

SAP BusinessObjectsAccess Control (GRC)Lotus Domino / NotesMicrosoft Exchange

RSA ClearTrustRSA SecurID

OtrosSAP Application ServerMicrosoft Windows NT

Unix/LinuxShell execute

Custom Java connector APIScript-based connector API

OtrosSAP Application ServerMicrosoft Windows NT

Unix/LinuxShell execute

Custom Java connector APIScript-based connector API

Bases de DatosMicrosoft SQL Server

Microsoft AccessOracle databaseIBM UDB (DB2)

MySQLSybase

Bases de DatosMicrosoft SQL Server

Microsoft AccessOracle databaseIBM UDB (DB2)

MySQLSybase

TécnicosSPML (Services Provisioning

Markup Language)LDAP

ODBC / JDBC / OLE-DBRFC

LDIF filesXML filesCSV files

TécnicosSPML (Services Provisioning

Markup Language)LDAP

ODBC / JDBC / OLE-DBRFC

LDIF filesXML filesCSV files

Servidores de DirectorioMicrosoft Active Directory

IBM Tivoli DirectoryNovell eDirectory

SunONE Java Directory

Servidores de DirectorioMicrosoft Active Directory

IBM Tivoli DirectoryNovell eDirectory

SunONE Java Directory

Oracle Internet DirectoryMicrosoft Active Directory Application

Mode (ADAM)Siemens DirXOpenLDAP

eB2Bcom View500 Directory ServerCA eTrust Directory

SAP NetWeaver IDM VirtualDirectory Server

Any LDAP v3 compliant directory server

Connector FrameworkPropósito y Componentes

PropósitoProveer un toolkit de desarrollo para crear nuevos conectores para SAP NetWeaverIdentity Management

ComponentesIdentity Center

Provisionamiento de IdentidadesVirtual Directory Server

Punto único de acceso para actualización de datos en múltiples repositorios

Connector Framework

Identity Center IntegrationA través de Conector Tasks puede

aprovecharse los nuevos conectorescreados para el provisionamiento sobrenuevas aplicaciones

Virtual Directory Server IntegrationSe provee librería JAVA para extender la

funcionalidad de conexión a nuevasaplicaciones

GRC Access ControlSAP NetWeaver

Identity Management

…

Integración SAP NetWeaver Identity Management& SAP GRC Access Control

MicrosoftActive

DirectoryMicrosoftExchange

Provisionamiento

Sincronización de Identidades yVirtualización

Gestión de Privilegios paraAplicaciones y Recursos

Análisis de Riesgo

Auditoría y Compliance

Gestión de Privilegios paraTransacciones de Negocio

OtrasFuentesde Ident.

HCMFuentes de

Identidad

Sistemas Técnicos y de Negocio

Alerts Framework

ReportingRep

ortin

g

Risk Analysis, Remediation and Prevention ServicesGenerando cumplimiento 24/7, en tiempo real al detener violaciones de control o seguridad antes queocurran

Real-time Simulation

Mitigation Management

Remediation Management

Critical Transaction Monitoring

Real-time SoD Risk Analysis

Cross-Application Integration

Ris

k Id

entif

icat

ion

Elim

inat

ion

Prev

entio

n

Mandatory Prevention

Access Risks Services

Cross-Enterprise Rules Architect

Cross-Enterprise Rules Database

Rul

es

Access Risks Library

• Servicios Comunes en todas lascapacidades de SAP GRC Access

Control

“SAP GRC Access Control, con sucomprensivo set de reglas

preconfiguradas, nos entregó unconocimiento profundo en SAP quenos hubiera tomado mucho tiempo

en replicar.”Synopsys Inc.

Risk Analysis and RemediationLimpieza

Reporting

Risk Elimination

RiskIdentification

Prevention

End-to-EndAutomation

Initial Risk Analysis and Remediation

• Facilita la colaboración entre elNegocio y TI para limpiar riesgos de

accesos

“El proceso de limpieza ha traído unalto grado de disciplina a la forma

en que manejamos acceso deusuario y autorizaciones.”

Synopsys Inc.

© SAP 2008 / Page 20

Gracias!