Oracle Identity Management a jeho použití v praxi Aleš Novák, Oracle [email protected]
Agenda • • • •
Úvod do IdM Ukázka Popis projektu Analytici
Co je Identity Management? Inspirováno wikipedií Řízení životního cyklu identity:
• Workflow • Uživatelská samoobsluha • Password reset • Provisioning a de-provisioning identit ze systémů ... zavedením elektronických – automatizovaných procesů
Potřebujeme Identity Management?
Q: Kdo má ve vaší organizaci nejvíce přístupových práv?
a – Správce bezpečnosti b – Finanční ředitel c – Brigádník, který přes léto zapojoval naši novou síť
Q: Jak přidělujete přístupová práva? a – Dejte Alici to co má Wally b – Na základě business role c – To co řekne její manager
Q: Co je napsáno na nálepkách, přilepených k monitoru? a – Hesla b – Vzkazy c – Úkoly
A co ČR / SK? • 2008, ČR, finanční instituce, vnitřní útok, pokus o ukradení cca 270 milionů • 1999 - 2002, ČR, finanční instituce, 200 milionů ukradeno zaměstnancem (a většinou vráceno) • SK, telekomunikace, root heslo na serverech připojených k internetu, žádná password policy, zneužito bývalým zaměstnancem
Důvody nasazení - audit, compliance • SOX – podléhají mu firmy obchodované na US burze • PCI • Bezpečnostní audit – cyklus audit, nález, náprava, ...
• Nástup, změna pracovní pozice • Správa kontraktorů • Správa externistů – hypoteční a pojišťovací agenti, obchodní partneři
Oracle Identity Manager • J2EE aplikace – aplikační server + Oracle DB • SoD podporováno a doporučeno
• • • • •
Webové rozhraní pro uživatele Design console pro vývojáře Workflow engine Formuláře Konektory
Zapojení
Oracle Identity Manager
Zaměstnanec
Konektor
Zpřístupněné aplikace AD, OID, ERP
Reconciliation Engine
Nastoupil nový Nastoupil nový zaměstnanec zaměstnanec
Zavedení Zavedení nového nového zaměstnance do do zaměstnance evidence evidence
Pracovník Pracovník HR HR oddělení oddělení
Start Start synchronizace synchronizace Nastal Nastal okamžik okamžik synchronizace synchronizace (scheduled (scheduled task task v v OIM) OIM)
Synchronizace Synchronizace z z HR do do OIM OIM HR
Potřeba Potřeba postihnout postihnout standardní standardní synchronizaci synchronizaci (1x (1x za za 4 4 hodiny) hodiny) a a plnou plnou synchronizaci synchronizaci (pro (pro aktualizaci aktualizaci všech všech atributů, atributů, 1x 1x týdně) týdně) Potřeba Potřeba postihnout postihnout opakovanou opakovanou synchronizaci synchronizaci při při ztrátě ztrátě spojení. spojení.
Konec Konec synchronizace synchronizace do do OIM OIM Údaje Údaje ze ze SAP SAP HR HR přeneseny přeneseny
Zpracování Zpracování údajů údajů v v OIM OIM
Které Které atributy atributy jednoznačně jednoznačně určují určují nového nového zaměstnance? zaměstnance?
Kmenový Kmenový zaměstnanec zaměstnanec v v hlavním hlavním pracovním pracovním poměru poměru
Zaměstnanec Zaměstnanec s s jiným jiným prac. prac. poměrem poměrem
Založení Založení nového nového účtu v v OIM účtu OIM
Notifikace Notifikace uživateli uživateli E-mailem na personalistu, který údaje sdělí novému zaměstnanci. o založeném založeném účtu účtu E-mailem na personalistu, který údaje sdělí novému zaměstnanci. o
email do HR email do HR odd. odd. o o emailu emailu
Nová Nová identita identita založena založena v v OIM OIM
Založení účtu v Založení účtu v LDAP MZe LDAP MZe
Založení účtu v MS Založení účtu v MS AD MZe AD MZe
Založení účtu v Založení účtu v SAP WAS SAP WAS
Účet je v LDAP založen a aktivní Účet je v LDAP založen a aktivní
Účet je v MS AD založen a aktivní Účet je v MS AD založen a aktivní
Účet je v SAP WAS založen a neaktivní Účet je v SAP WAS založen a neaktivní
Záznam o výsledku Záznam o výsledku založení nového založení nového účtu účtu Účet zaměstnance založen Účet zaměstnance založen
HR systém, csv
Úložiště identit
Uživatelská skupina
Přístupová politika
Workflow
Přístupové politiky - RBAC fmetelka,Franta,Metelka,Full-Time,… Skupina „Full-Time Employee“
• Definice přístupové politiky • AD, DB přístup
DEMO
DEMO • • • •
Oracle IdM Active Directory Oracle BI Publisher Reporty – disabled users, partially disabled, rogue accounts, entitlement exception
Reconciliation Usmíření Active Directory Identity Manager
