IDのライフサイクル管理を自動化する Oracle Identity Manager 11g
 

IDのライフサイクル管理を自動化する Oracle Identity Manager 11g

on

  • 1,350 views

Oracle Identity ...

Oracle Identity Managerはユーザー・アカウントが複数のシステムに散在している環境において、ポリシーに基づいたアカウント情報の配布、更新、削除といったIDライフサイクル管理を自動化するプロビジョニング製品として位置づけられている製品です。Oracle Identity Managerを導入することによって、ID管理ソリューションに求められる内部統制の確立やセキュリティの強化を実現することが可能となります。

Statistics

Views

Total Views
1,350
Slideshare-icon Views on SlideShare
1,350
Embed Views
0

Actions

Likes
0
Downloads
12
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    IDのライフサイクル管理を自動化する Oracle Identity Manager 11g IDのライフサイクル管理を自動化する Oracle Identity Manager 11g Presentation Transcript

    • <Insert Picture Here>IDのライフサイクル管理を自動化するOracle Identity Manager 11g日本オラクル株式会社
    • 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリースおよび時期については、弊社の裁量により決定されます。OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。 Copyright© 2011, Oracle. All rights reserved.
    • Oracle Identity Manager の役割 コンテンツ管理 システム 顧客情報管理 人事 システム システム Target System Trusted Source 売上管理 システム リコンシリエーション (ユーザー情報の取得) プロビジョニング 品質管理 (配信) システム ID管理 コネクタ OSアカウント ・ID情報の管理管理者 データベース ・メンテナンス 管理 ユーザ情報 配信ルール 各種履歴ログ ロール など 属性・ルールに基づいたユーザ ・パスワード変更 ・申請 ロール割当て 入退出管理 Oracle Identity Manager システム Copyright© 2011, Oracle. All rights reserved. 3
    • IDのライフサイクル管理 ポリシー・ロールによる パスワード変更 ユーザ登録 プロビジョニング(自動) ユーザーの部署や役職に 基づいたルールによるID管理 を実現!! リコンシリエー パスワード問い合わせの自動化 ション 管理者負荷軽減!!人事システム 申請・承認ワークフローによる プロビジョニング ユーザ情報の変更 不正アカウントの処理(自動) ユーザ削除 連携対象システム ログ・監査 デプロビジョニング(自動) 承認アカウントのチェック 利用者がセルフサービスにて アクセス権限申請が可能 監査で必要とされるレポート ID管理者負荷軽減!! は標準で準備!! 定期的なアカウント配信 状況のチェック機能!! ログ履歴保存 Copyright© 2011, Oracle. All rights reserved. 4
    • ソフトウェア構成 対象システムクライアント ユーザー・コンソール Design Console Oracle JDeveloper RMI Java HTTP HTTP ユーザー管理 プロビジョニング ワークフロー レポート 設定情報 / 履歴情報 リコンシリエーション Oracle Identity Manager Oracle SOA Suite Oracle BI Publisher Oracle Database SE or EE JDBC Oracle Weblogic Server アプリケーションサーバ層 リポジトリデータベース層 Copyright© 2011, Oracle. All rights reserved. 5
    • 柔軟で使いやすいWebインタフェース マルチタブ 国際化対応 Webインタフェースの特徴 • AJAX を活用することで使いや すさとパフォーマンスの両立 • 透過ウィンドウ • 部分レンダリング • ウィザードによる設定 • 高度な検索機能を標準装備 拡張検索 • 様々な属性を用いた検索 • AND / OR による複数条 件の指定 • Oracle ADF (Application Developement Framework) を活用した製品共通のインタフ ェース並び替え、Read/Write、独自属性の追加 Copyright© 2011, Oracle. All rights reserved. 6
    • 立場・職務に応じたインタフェースの提供 アカウント• 立場・職務に応じた画面の提供 作成・更新 • ヘルプデスク 組織管理者 • 組織管理者 • システム管理者• 細かな権限の移譲を実現 ヘルプデスク パスワード管理 • 権限: のみ • 作成、削除、変更(パスワード、プ ロファイル、ステータス)、検索、 閲覧、等 10 種類以上の権限を 用意 • 管理対象: • 属性レベルでの制御 • 組織単位 or 全体 • 割当て: • ロール• ウィザードによるメンテナンス ウィザードを用いた権限委譲のポリシー(認可ポリシー)の定義 Copyright© 2011, Oracle. All rights reserved. 7
    • 組織とロールによる効率的なID管理を実現• ユーザと組織とロール • ユーザへの権限付与 1:1 直接割当てられるケース 1:多 User 直接権限が付与される1:多 User Role Org 1:多 組織経由で割当てられるケース 組織に対して ロールが付与 多:多 組織に所属 される Role Org User Role多:多 所属組織に基づいて ロールの権限が 付与される Copyright© 2011, Oracle. All rights reserved. 8
    • 効率的なRBACの実現:階層化ロール• (ネスト型ではなく)階層型のロール 子ロールに属するユーザは Employee 親ロールに引き継がれる Employee Manager Manager Director 子ロールは Director 親ロールの権限を引継ぐ 単なるロールのグルーピングではないからこそ効率的な管理が可能 Copyright© 2011, Oracle. All rights reserved. 9
    • ルールに基づくロールの自動割当て  権限・ポリシーをまとめたロールをユーザーに割り当てることでユーザーの権限を制御  手動または自動にてロールの割当てが可能  ユーザー属性を利用した割当てルール(メンバーシップルール)により自動割当てを実現  “ロールマスタ DB“ からのロール情報の取り込みにも対応 Oracle Identity Manager 技術本部 ロール OIM内の権限 OIMユーザー技術一部 所属 (認可ポリシー) メンバーシップ 配信ポリシー ルール 技術本部 ロール (アクセスポリシー) 組織 = “技術本部” 申請権限 技術一部 ロール人事システム 親ロール (リクエストテンプレート) 親ロールの権限も メンバーシップ 技術一部 ロール 割当てられる ルール 組織 = “技術一部” Copyright© 2011, Oracle. All rights reserved. 10
    • ユーザ毎に柔軟なプロビジョニングを実現• ユーザの属性や割当てられたロールに応じて管理対象シ ステム毎の細かな制御が可能 • 例:経理部ユーザは、あるシステムでは物理削除、他システムでは無効化 自動配信対象 アクセスポリシー1 リソースオブジェクト 営業部ロール リソースオブジェクト グループウェア グループウェア プロセスフォーム リソースオブジェクト 開発部 ロール コンテンツ管理 プロセスフォーム コンテンツ管理 システム 自動配信対象 経理部 ロール アクセスポリシー 2 リソースオブジェクト リソースオブジェクト 売上管理システム プロセスフォーム 売上管理 システム Copyright© 2011, Oracle. All rights reserved. 11
    • ワークフロー機能 Oracle SOA/BPEL• 標準化されたワークフローの枠組みを利用 承認ワークフロー • 独自仕様(10g)から標準言語BPEL採用(11g)へ• 「誰がどの申請ワークフローを実行できるか」の 定義もGUIで設定可能• Oracle JDeveloper を 用いて独自のワーク フローの定義も可能• Oracle SOA Suite (BPEL Manager) を 活用 Copyright© 2011, Oracle. All rights reserved. 12
    • ワークフローはWebブラウザだけで設定可能• 申請画面 • Request Template • ウェブブラウザで作成可能• 申請機能 • ユーザにロールやアカウン ト、アクセス権の申請を行わ せるインタフェースを提供 • 複数のユーザや複数のアカ ウントを一度に申請する一 活リクエストにも対応 • さらに一括リクエストの中で 個別の承認ワークフローを 走らせることも可能 Copyright© 2011, Oracle. All rights reserved. 13
    • エージェントレス・コネクタ主要コネクタDatabase User IBM DB2/UDB Database Enterprise Oracle E-Business Suite Microsoft SQL Server Database Applicationsr PeopleSoft Oracle Database Siebel Sybase ASE Databse SAPDatabase Table Oracle Databse Application Table JDEdwards Sybase ASE Databse Application Table OS UNIX TelnetDirectory Oracle Internet Directory UNIX SSH Microsoft Active Directory Enterprise IBM Lotus Notes/Domino Novell eDirectory Messaging Microsoft Exchange 旧Sun Java System Directory Server• 管理対象システムにソフトウェアのインストールが不要な “エージェン トレス” コネクタのアーキテクチャを採用• データベースのテクノロジ(ストアード・プロシージャ)を活用することで 非常に高速な取り込みを実現 • 前バージョン比 10 倍 Copyright© 2011, Oracle. All rights reserved. 14
    • Generic Technology Connector (汎用テクノロジコネクタ)  SPMLとFlat Fileによる汎用的なコネクタ  OIM Serverの標準機能として実装済み  コネクタのインポートは不要。ウィザード形式のWeb画面で作成できる  以下の2つの汎用テクノロジコネクタのライセンスは不要 – Flat Fileによるリコンシリエーション用コネクタ – SPMLによるプロビジョニング用コネクタ ユーザー情報 Oracle Identity Manager 取り込み SPML ユーザー情報配信Flat File SPML GUIによる設定 Copyright© 2011, Oracle. All rights reserved. 15
    • SaaS や外部アプリケーションとの連携ウェブサービス(SPML)によるプロビジョニング 業務アプリ SaaS グループ企業 ユーザ管理(非同期型) ロール管理(非同期型) その他(同期型) ユーザ作成 ロール作成 ユーザ名の検証 ユーザ更新 ロール更新 ユーザ名の生成 ユーザ削除 ロール削除 ユーザ状態の確認 ユーザの一時停止 List Targets ユーザの再開 SPML ロールの割当て ロールの剥奪 Oracle Identity Manager ID のライフサイクル管理 Copyright© 2011, Oracle. All rights reserved. 16
    • 対象システムとの処理1. コネクターパック (有償) を使用して処理 各システム向けにOracleからご提供するコネクタを使用 Oracle Identity Manager System A 開発済アダプター、設定、リコンシリエーションタスクの集合体 コネクター パック2. コネクターパックをカスタマイズして処理 コネクターパックが対応しきれない配信要件のシステムとの接 System B 続用に、既存のコネクタを一部カスタマイズ コネクター カスタ OIMに付属するGUIツール(アダプター・ファクトリー)上でカス パック マイズ タマイズを実装 コネクターパックをテンプレートに使用可能 System C3. コネクターを新規開発して処理 新規開発 独自アプリケーションなどとの接続用に、コネクターパックを コネクター 全く使用せず、新規開発 アダプター・ファクトリー上で、既存の部品を組み合わせる方 式で開発 開発ツール:Adapter Factory 細かい仕様の実装にはJavaによるコーディングも可能 Copyright© 2011, Oracle. All rights reserved. 17
    • Adapter Factory• GUIによるアダプター設計のためのツール• お客様の要望にあわせたコネクタのカスタマイズ・新規コネクタの• 開発を容易に• コーディングを減らし、TCOダウン• JavaやIdentity ManagerのAPIがすでに取り込まれているため、簡単なアダプタ ーであればGUIのみでの設計が可能 カスタムJavaプログラムのコール Java Utilityのコール Copyright© 2011, Oracle. All rights reserved. 18
    • パスワード管理とチャレンジQA • ユーザー自身にてセルフサービス機能によりパスワード変更が可能 • チャレンジQAを設定することパスワード忘れ時に自身でのリセットが可能パスワード変更画面にて設定されているパスワードポリシーを表示 チャンレジQAの内容や設定数、正解数 は設定にて変更可能 Copyright© 2011, Oracle. All rights reserved. 19
    • パスワード変更と変更同期  変更したパスワードをリアルタイムに対象システムへ同期可能 OIMユーザー情報 ユーザID UserA ******* リソースオブジェクト パスワード リソースA 姓 山田 ターゲット:リソースA 配信ユーザ情報パスワード変更 太郎 名 ユーザID UserA リソースA用 OIMパスワード同期タスク ******* リソースB用 パスワード パスワード変更タスク OIMパスワード同期アダプタ パスワード変更アダプタ リソースオブジェクト リソースB ターゲット:リソースB 配信ユーザ情報 ユーザID UserA リソースB用 OIMパスワード同期タスク ******* リソースB用 パスワード OIMパスワード同期アダプタ パスワード変更タスク パスワード変更アダプタ Copyright© 2011, Oracle. All rights reserved. 20
    • 不正アカウント検知• プロビジョニング先ターゲットへの定期的な変更検出タスク(Targetリコンシリエーショ ン)により、対象システムに直接作成されかつOIMでは管理外のアカウントを検知• 悪意による不正アカウントや動作確認用の一時アカウントを検出 Oracle Identity Manager リソースA 1. アカウントの配信 配信済みアカウント一覧 UserA UserA UserB UserB 対象システムA test01 UserC ユーザー情報 取り込み UserC 2. システムに UserD UserD 直接アカウント追加 3. ターゲットリコンシリエーション (OIM保持配信ユーザー情報と対象システム側のユーザー情報を比較) 不正作成ID(test01)の検出 Copyright© 2011, Oracle. All rights reserved. 21
    • 不正属性操作の検知/確認• プロビジョニング先ターゲットへの定期的な変更検出タスク(Targetリコンシリエー ション)により、対象システムでの不正属性変更を検知• 検知した不正属性操作をレポートにて確認可能Oracle Identity Manager リソースオブジェクト リソースA 2. システムにて ターゲット:リソースA 1. アカウントの配信 Email属性の直接更新 配信ユーザ情報 UserAの情報 UserID : UserA UserID : UserA Last Name : User Last Name : User First Name : A 対象システムA First Name : A Email : A@test.com ユーザー情報 Email : X@test.com Group : G001 取り込み Group : G001 Privilege :P1,P2 Privilege :P1,P2 3. ターゲットリコンシリエーション (OIM保持配信情報と対象システム側のユーザー情報を比較) 不正属性変更 (Email属性)の検出 Copyright© 2011, Oracle. All rights reserved. 22
    • 不正属性操作の検知/確認• 不正属性操作をレポートとして表示 →ファイングレイン権限例外レポート 本来あるべき値 現在の不正属性値 Copyright© 2011, Oracle. All rights reserved. 23
    • 統制外アカウントの検知/確認 • プロビジョニング先ターゲットへの定期的な変更検出タスクにより、 対象システムでの統制外アカウントを検知 • 検知した統制外アカウントをレポートにて確認可能“統制外アカウント”とは以下3種類のアカウントを指します。 配信先システム OIM側での把握 あるべき状態 実際の状態 削除を配信A) OIMアカウントが削除されているにもかかわらずターゲット・アカウントが存在している 配信していないB)OIMでアカウントを配信していないにもかかわらずターゲット・アカウントが存在している 配信先システムに削除を指令C)OIMから削除を処理が行われているにもかかわらずターゲット・アカウントが存在している Copyright© 2011, Oracle. All rights reserved. 24
    • 統制外アカウントの検知/確認• 統制外アカウントをレポートとして表示 →統制外アカウントレポート Copyright© 2011, Oracle. All rights reserved. 25
    • レポート• Oracle BI Publisherにて全てのレポートを表示• Oracle BI Publisherの機能を利用することが可能で、レポート毎に出力形式を選 択でき、レイアウト変更もWebインターフェースより実施可能• レポート出力のスケジューリングも可能 出力形式(PDF、Excel、PPTなど)を レポートフォーマットをWebUIより 選択可能 変更可能 Copyright© 2011, Oracle. All rights reserved. 26
    • アテステーション(アカウント配信の棚卸) 定期的なアカウント配信状況の棚卸作業 – ターゲットシステム上にアカウントを持つ権利があるのかをチェック – 容認、却下、否認、委任のアクション定義が可能 各部門長、システム管理社などに棚卸作業を委任し、担当を割り振ることも可能 棚卸実施棚卸の設定、定期的な依頼 アクションを定義 棚卸進捗確認 レポート作成 Copyright© 2011, Oracle. All rights reserved. 27
    • Oracle Identity Analytics との連携• 権限を付与する前にポリシー違反を検知 Oracle Identity Manager Oracle Identity Analytics リソースの承認 ワークフロー 1 IT監査ポリシー 検証リクエスト 競合分析 IT監査 リソースのプロ ポリシー ビジョニング・ ワークフロー 2 シミュレーション 3 IT監査ポリシー 検証結果 企業の監査ポリシーを 満たした権限の プロビジョニング Copyright© 2011, Oracle. All rights reserved. 28
    • Oracle Access Manager との連携 • Oracle Access Manager のユーザ情報を管理 • 人事情報などと連動した ID ライフサイクル管理の自動化 • 管理者向けコンソールによる個別管理 • ワークフローによる利用申請・承認 • ユーザによるセルフサービス • パスワード/属性変更など • シングルサインオン利用権限に関する監査情報 Access Manager SSOユーザ IDの配信人事情報 Copyright© 2006, Oracle. All rights reserved. Oracle Identity Manager 不正アカウント ユーザー情報(LDAP) 検知 Copyright© 2011, Oracle. All rights reserved. 29
    • まとめ• オラクルの ID 管理ソリューションはオープンで標準に基 づいたソリューションです• サービス志向なアーキテクチャを外部サービスとの連携 にも内部的なソフトウェア連携にも採用しています• Oracle Identity Manager 11g はユーザ・インタフェース、 機能、性能、アーキテクチャすべてが新しくなりました• Oracle Identity Analytics 11g と組み合わせることで、社 内外の “ID 管理” と “ID の統制” を実現します Copyright© 2011, Oracle. All rights reserved. 30
    • 補足情報• 製品のダウンロード • http://www.oracle.com/technetwork/middleware/downloads/oid-11g- 161194.html• Oracle Identity Manager • Oracle Identity Manager 11g 製品ドキュメント • http://download.oracle.com/docs/cd/E14571_01/im.htm#oim • Oracle Access Manager 11g 製品ドキュメント • http://download.oracle.com/docs/cd/E14571_01/im.htm#oam Copyright© 2011, Oracle. All rights reserved. 31
    • あなたにいちばん近いオラクル Oracle Direct まずはお問合せください Oracle Direct 検索 システムの検討・構築から運用まで、ITプロジェクト全般の相談窓口としてご支援いたします。 システム構成やライセンス/購入方法などお気軽にお問い合わせ下さい。 Web問い合わせフォーム フリーダイヤル 専用お問い合わせフォームにてご相談内容を承ります。http://www.oracle.co.jp/inq_pl/INQUIRY/quest?rid=28 0120-155-096 ※フォームの入力には、Oracle Direct Seminar申込時と同じ ※月曜~金曜 9:00~12:00、13:00~18:00 ログインが必要となります。 ※こちらから詳細確認のお電話を差し上げる場合がありますので、ご登録さ (祝日および年末年始除く) れている連絡先が最新のものになっているか、ご確認下さい。 Copyright© 2011, Oracle. All rights reserved. 32
    • Copyright© 2011, Oracle. All rights reserved.
    • Copyright© 2011, Oracle. All rights reserved. 34