La Solución de Gestión de Identidades de Oracle

José Manuel CarmonaJosemanuel.carmona@oracle.com

Estrategia de Seguridad de Oracle

Cómo se Cómo se Accede Accede a la Informacióna la InformaciónGestión de IdentidadesGestión de Identidades

Dónde Dónde ResideReside la Información la InformaciónPrivacidad, Integridad, Disponibilidad de datosPrivacidad, Integridad, Disponibilidad de datos

Descripción de la solución de Oracle

Estrategia de Oracle en Gestión de Identidades

Gestión deIdentidadesCentrada enAplicaciones

Completo• Riqueza Funcional ( roles, recursos, …)• Proporciona todos los componentes

Modular y Abierto• Todas las Infraestructuras y Aplicaciones• Basado en Estándares

Centrado en las Aplicaciones• Cualquier Aplicación (web, C/S, SOA)• Integrado con Aplicaciones de Negocio

Proveedor deServicios

Colaboradores

Administradoresde Seguridad

Federación

Seguridad en WebServices

Directorio

Control de Accesos

Aprovisionamiento

Admin de Usuarios

Auditoría y Regulación Directorio Virtual

Clientes

Empleados

Auto-Servicio

Oracle Gestión de IdentidadesSolución

Seguridad en el Dato

Oracle Gestión de IdentidadesAreas Clave

• Infraestructura de Identidades• Directorio Virtual• Directorio

• Administración de Identidades• Gestión de Usuarios y Roles• Aprovisionamiento de Usuarios

• Control de Accesos• Single Sign-On• Federación de Identidades• Control de Acceso por

Aplicación• Seguridad en Web Services

• Auditoría

Infraestructura de IdentidadesDirectorio y Directorio Virtual

• Consolidación en Tiempo Real• Abstracción Tecnológica• Reducción de Complejidad

Partners yClientes

Empleados

Administradores

Directorio

Directorio VirtualDirectorios de 3os

Bases de Datos

Caso 1 : Unificación Virtual

Caso 2 : Unión entre diferentes fuentes de datos

Caso 3 : Virtualización

Administradoresde Seguridad

Administración de IdentidadesGestión de Usuarios y Aprovisionamiento

Empleados

Gestión Identidades• Auto-Servicio• Delegación• Workflow• Políticas de Contraseña

Aprovisionamiento• Aprovisionamiento y

Reconciliación• Basado en Roles/Reglas• Auto-Servicio de Cuentas• Sincronización Contraseñas• Adaptadores Heterogéneos• Fábrica de Adaptadores• Auditoría y Cumplimiento Legal

Partners yClientes

Auto-Servicio

Admin Usuarios

Aprovisionamiento

Otros Sistemas

Proceso de Creación de Usuario desde una Aplicación

Recursos Humanos crea un usuario en su sistema

Planificador

Se detectan cambios periódicamente

Motor de Reconciliación

Motor de Políticas

Se evalúan las políticas de

aprovisionamiento

Adapter Factory

Sistemas Operativos CICS/IMS Bases de Datos

CRM/ERP Sistemas Tradicionales

Se crean los perfiles de

Aprovisionamiento

Se inician los workflows de aprovisionamiento

Motor de Workflow

Motor de Reglas

Se añade usuario a los grupos/roles

Se aplican las reglas de reconciliación Perfil de Usuario

Creado

Ejemplo Petición de usuario final

Un usuario solicita un teléfono móvil

Aprobación delResponsable

Se actualiza el atributo tfno_movil

del usuario solicitante

5

El técnico notifica la necesidad de entrega de un

teléfono móvil

Adaptadores

Control de AccesosSSO, Auth/Authz, Federación, ...

Partners

Clientes

Smartcard

Cert. Digital

Login/Password

Biométrico

Empleados

Administradores

Control de Accesos

• Autenticación• Autorización

Web

WebServices/SOA

Cliente/Servidor

Usuarios AplicacionesAutenticación

Federación

Seguridad en WebServices

• Liberty• SAML• WS-Federation

• WS-Security• Seguridad XML

SOA AppSOA App

MSFT.NETMSFT.NET

SOA AppSOA App

IBM, BEA, JBOSSIBM, BEA, JBOSS

AplicacionesPaquetizadas

Procesos BPEL

Aplicaciones

Sistemas Legado

Bases de Datos

• Auditoría• Logging• Tracing• Seguridad• Facturación• Monitorización• Análisis de

Rendimiento

SOA AppSOA App

Oracle AS 10Oracle AS 10gg

Consola de Consola de AdministraciónAdministración

Monitorización y Monitorización y Gestión de Políticas Gestión de Políticas

CentralizadaCentralizada

Control de AccesosProtección de Web Services/SOA

Clientes

Web ServicesManagement

Gateway

Auditoria y Conformidad con Leyes

Base de Datos

CESAR CARLOS

CARMEN

MARTA

SONIA

LUIS LAURA

Aplicaciones

Clientes

• Generación de Informes de eventos de seguridad

• Informes de conformidad integrados

• Vista global de políticas de seguridad

Auditoría y Regulación

Gestión de Identidades en la BD

Usuarios

Aplicaciones Web

Usuarios y Roles en la

BD

Usuarios y Roles en el Directorio

Directorio

Propagación del Usuario

• Control de Accesos

• Auditoria de usuario real

• Trazabilidad de los Usuarios

Casos de Uso

• Compañías con grandes bases de datos de usuarios y hetereogéneas

• Características ideales : una o varias de las siguientes :• Muchos repositorios de usuarios de diferente naturaleza : directorios, bases de datos,

web services, etc• Problemas ( propiedad, seguridad, organizativos ) para consolidar la información• Silos de identidad de usuarios

• Circunstancias que favorecen un proyecto de Directorio Virtual:• Nuevas aplicaciones que afectan a diferentes comunidades de usuarios

• Portal, CRM, ERP, BI, etc…• Necesidad de escalabilidad, seguridad y disponibilidad con servicios de directorios

existentes• Necesidad de acceso a información que no está en formato LDAP

¿Quién Necesita un Directorio Virtual?

Solución de Directorio Virtual

• Situación• Disponían de un servicio que proporcionaba acceso a

atributos de Identificación dispersos en varios repositorios. Este servicio solo era accesible vía Web Service

• Solución• Proporcionar acceso a este servicio a clientes LDAP

• Beneficios• Crear un servicio unificado• Reducción de los costes operacionales• Eliminar la customización en las aplicaciones

Solución de Directorio Virtual

Solución de Aprovisionamiento

• Problema• Procesos inconsistentes en la gestión de los privilegios de

acceso de los clientes en diferentes aplicaciones ( SAP, principalmente); sistemas operativos, etc.

• Altos costes en IT para hacer la asignación de privilegios de empleados a los roles de SAP

• Dificultad en establecer : “Quién tiene Qué” para generar las auditorías e informes correspondientes

• Solución• Aprovisionamiento con workflows • Consola única de Administración de Usuarios

• Beneficios• Integración de los roles de SAP con el resto de aplicaciones y

sistemas• Asignación flexible de usuarios a roles y perfiles para SAP de

acuerdo a las políticas de seguridad internas

Solución de Aprovisionamiento

Aprovisionamiento

Reconciliación

Administrador

Directorio Virtual

Base deDatos

Directorio

SAPSistemas

Operativos

Conclusiones

La Solución de OracleDiferenciadores Clave

• Solución Completa e Integrada

• Arquitectura Flexible de Aprovisionamiento mediante Adaptadores

• Control de Accesos para diferentes recursos

• Directorio Virtual

• Soporta Diferentes Tipos de Aplicaciones: Web, C/S y WebServices/SOA

• Hetereogeneidad• Certificado con la mayoría de aplicaciones, servidores de

aplicaciones y bases de datos

• Flexibilidad • Permite acometer los proyectos por fases

• Soporte a Estándares

Más Información

http://www.oracle.com/identity

• Posicionamiento de la Solución de Oracle

• Documentación Técnica

• Seminarios

• Demos

• Software