O documento discute o Oracle Identity Management Suite, que permite às empresas gerenciar o ciclo completo de identidades dos usuários. Ele descreve os principais componentes da suíte, como Internet Directory, Identity Manager, Role Manager e Access Manager. Além disso, apresenta os benefícios de segurança, produtividade e redução de custos que a suíte pode fornecer.
3. Agenda
Gerenciamento de Identidades
O que é?
Benefícios
Oracle Identity Management Suite
Componentes
Passo a passo – Simulação de utilização
Caso real – exemplo de adoção
Dúvidas
Como aprender mais?
4. Gerenciamento de Identidades
O que é?
IDENTIDADE: a representação digital de uma pessoa.
Normalmente é composta por um identificador único e
outros dados (atributos) como documentos, nome, e-mail
etc.
GERENCIAMENTO DE IDENTIDADES: conjunto de
processos e estratégias que visam administrar de modo
seguro todo o ciclo de vida dos usuários internos e externos
das organizações, bem como seus privilégios de acesso aos
recursos corporativos (Aplicações Web, Sistemas
Operacionais, Servidores de Banco de Dados, entre outros).
5. Por quê?
• Mais segurança
• Garante o acesso adequado para os funcionários
• Criação e remoção automática de contas
_________________________________________
• Redução de custos
• Redução de tarefas manuais
• Aumento de produtividade
_________________________________________
• Auto-atendimento para os usuários
• Login único
• Fácil auditoria
7. Oracle Identity Management
A suíte Oracle Identity Management
possibilita às empresas gerenciar o ciclo
completo de identidades dos usuários em
todos os recursos empresariais, dentro e
fora do próprio domínio. Com ela, é possível
implementar aplicações mais rápido, aplicar
a proteção mais granular nos recursos
empresariais, eliminar privilégios de acesso
latentes automaticamente e muito mais.
15. Virtual Directory
CARACTERÍSTICAS:
• Serviço virtual de diretório LDAP v3
• Suporte a informações fora de diretórios
(suporta tudo o que Java pode conectar)
• Serviços Web exibidos como LDAP
• Transformação de dados
• Proxy/Firewall
• Suporte a falhas
17. Virtual Directory
BENEFÍCIOS:
• Unificação de múltiplos diretórios sem
sincronização
• Visão unificada de entradas de múltiplos
diretórios
• Facilita deployment de novas aplicações
• Facilidade de gerenciamento
• ROI rápido e significativo
20. Identity Manager
CARACTERÍSTICAS:
• Administração de identidades
– Gerenciamento de usuários
– Self-service
– Delegação de responsabilidades
• Provisionamento
– Gestão de requisições e aprovações
– Modelos de workflow altamente configuráveis
• Reconciliação
• Concessões baseadas em políticas e workflows
• Auditoria e compliance
22. Identity Manager
BENEFÍCIOS:
• Criação e remoção automática de contas
(evita contas órfãs)
• Centralização das informações dos usuários
• Automação no processo de provisionamento
• Maior produtividade
• Informações detalhadas para auditoria
24. Role Manager
CARACTERÍSTICAS:
• Mineração de papéis e regras existentes
– Contexto organizacional
– Declaração de papéis e regras
• Repositório de papéis e concessões
• Modelo de papéis e relacionamentos
– Configurável
– Extensível
• Delegação de papéis
26. Role Manager
BENEFÍCIOS:
• Política segura de atribuição de papéis e
responsabilidades
• Provisionamento baseado em papéis
• Gestão efetiva das atribuições dos usuários
• Usuários obtém acesso ao que realmente
precisam, quando precisam
29. Access Manager
CARACTERÍSTICAS:
• Administração de identidades
– Gerenciamento de usuário
– Grupos dinâmicos
– Integração a workflow
– Self-service
• Autenticação e controle de acesso
– Web single sign-on (SSO)
– Autenticação forte
– Administração e autorização baseado em políticas
• Relatórios para compliance
31. Access Manager
BENEFÍCIOS:
• Redução de custos na administração de um
grande número de usuários
• Maior eficiência por administração centralizada
• Administração de usuários externos
• Password único para aplicações Web
• Delegação de administração
39. Password reset
Por meio de perguntas e respostas previamente definidas,
o usuário consegue uma nova senha.
40. Enterprise Single Sign-On
BENEFÍCIOS:
• Apenas uma ou nenhuma senha
• Aumenta produtividade
– Elimina perda de senhas
– Help Desk
• Armazenamento seguro de senhas
• Protege aplicações
• Centraliza administração de senhas
42. Identity Federation
CARACTERÍSTICAS:
• Diversos ambientes
• Suporte a múltiplos protocolos
– OASIS SAML 1.0, 1.1, and 2.0
– Liberty ID-FF 1.1 and 1.2
– WS-Federation
• Federação em massa
• Load-balancing e suporte a falhas
• Integração a soluções de gestão de identidades
43. Identity Federation
BENEFÍCIOS:
• Integração de recursos externos
• SaaS e HaaS
• Não há necessidade de sincronização com outros
servidores e diretórios
• Menor número de senhas
53. "A plataforma indestrutível de segurança da
Oracle nos permite garantir a integridade dos
dados altamente sensíveis de defesa sem
impedir o acesso por pessoal autorizado. Nós
agora temos os nossos dados consolidados de
forma segura, o que permite nos preparar
para a adesão à OTAN. "- Genci Kokoshi, Chefe
de Informação
Ministério da Defesa, Albânia
54.
55. Como aprender mais?
Para obter maiores informações e para
downloads, visite o site da OTN (Oracle
Technology Network):
http://www.oracle.com/technetwork/index.html
São muitos os benefícios que uma solução de gerenciamento de identidades proporciona:
Novos usuários obtém rapidamente acesso aos recursos necessários para e execução de suas tarefas, mantendo-os satisfeitos e produtivos.
A automação acelera o processamento de requisições, liberando os administradores para tarefas mais importantes.
Provisionamento de contas de usuários levam minutos e não dias.
Operações simplificadas.
Um sistema flexível, baseado em regras permite automatizar rotinas de provisionamento, mesmo que complexas, aumentando a eficiência e reduzindo a possibilidade de erros.
Information Security support and operating costs are greatly reduced with automation, delegation, and self-service features.
Implementation of the common processes across multiple accounts will standardize and simplify procedures, reducing mistakes and cost.
Enable growth with reduced need to increase the size and expertise of the account administrative staff.
Improved enterprise security with complete visibility into user access privileges.
Improved ability to automatically detect and react to potential risks.
Consistent application and enforcement of security rules.
Reduced security costs through task automation.
Audit and reporting capabilities.
Tighter security controls.
Eliminated or reduced duplicate user IDs.
Account clean-up or deletion validation across all platforms & applications based on single action.
Todos são beneficiados pela redução ou até mesmo eliminação de erros.
Maior qualidade de serviço para os clientes.
In a nutshell: Improved service, increased productivity, reduced errors, increased efficiency, improved security, reduced risk, regulatory compliance and growth enablement.
Embora o segmento de gerenciamento de identidades continue a se expandir com novos produtos e recursos, muitas dessas tecnologias geralmente recaem em uma
destas três áreas funcionais: serviços de diretório, gestão de identidades ou gerenciamento de acesso.
Um diretório, em uma definição bem simplória, é um banco de dados desenvolvido para atender principalmente a grandes quantidades de consultas e não a grandes volumes de atualizações (inserções ou remoções). A forma em que os diretórios armazenam suas informações é hierárquica e não relacional, ou seja, em sistemas de diretórios não temos tabelas de dados como temos em bancos relacionais (como MySQL, Oracle, SQL Server...). No lugar de tabelas, os dados são organizados em uma DIT (Directory Information Tree - Árvore de informação do diretório), que é uma árvore onde cada vértice é um registro (onde um registro é um conjunto de informações sobre determinado objeto que queremos guardar).
O LDAP é basicamente um sistema de diretórios que engloba o diretório em si (a DIT) e um protocolo também denominado LDAP (LightWeight Directory Access Protocol - Protocolo leve de acesso a diretórios), que é o protocolo que permite o acesso à DIT.
Serviços de diretório são os principais componentes da maioria das plataformas de gerenciamento de identidades. Essa camada de fundação consiste no próprio diretório LDAP, que guarda os dados de identidade do usuário, incluindo nomes de usuário e senhas. A maioria das aplicações empresariais utiliza dados armazenados em um diretório LDAP. Como é comum que as organizações tenham mais de uma aplicação empresarial, você geralmente descobrirá que elas têm mais de um diretório. Com o tempo, os dados de identidade tornam-se largamente distribuídos pela empresa. Além disso, é bastante comum as aplicações empresariais precisarem de dados armazenados em vários diretórios. Uma abordagem que a organização de desenvolvimento pode adotar para consumir esses dados distribuídos é o uso de um serviço de metadiretório, que lhe permite sincronizar dados entre diretórios. Outra abordagem é o uso de um diretório virtual, que fornece uma visão única dos diretórios para a aplicação consumir, enquanto puxa dados de vários outros diretórios sem a necessidade de sincronizar.
O Oracle Internet Directory é um diretório LDAP que aproveita a escalabilidade, a alta disponibilidade e os recursos de segurança do Banco de Dados Oracle. O Oracle Internet Directory pode atuar como metadiretório (repositório de usuários central) para implantações do Oracle Identity Management ou como um diretório baseado em padrões e altamente escalável para a empresa heterogênea. A funcionalidade de metadiretório é fornecida através da Plataforma de Integração de Diretórios, possibilitando assim que os usuários sincronizem dados entre o Oracle Internet Directory e outros diretórios de terceiros.
O Oracle Virtual Directory é um serviço flexível e seguro para conectar aplicações à identidade do usuário existente, como diretórios e bancos de dados, sem exigir mudanças na infraestrutura, nem nas aplicações. Os clientes escolhem o Oracle Virtual Directory para acelerar a implantação de aplicações habilitadas com diretório, como portais e sistemas single sign-on (SSO). Mais especificamente, o Oracle Virtual Directory possibilita que os clientes resolvam problemas relacionados à necessidade de unificar vários diretórios, permitir acesso LDAP a bancos de dados ou outros armazenamentos de dados de identidade proprietários, melhorar a escalabilidade do servidor de diretório e fornecer mais segurança. Por fim, o Oracle Virtual Directory aumenta a reusabilidade dos seus dados de identidade, onde quer que estejam armazenados, o que reduz custos de administração e integração.
A gestão de identidades é em si uma ampla área funcional que engloba várias atividades, como gerenciamento de usuários e grupos, autoatendimento, administração delegada e workflows de aprovação. Esses recursos são em geral fornecidos por tecnologias de aprovisionamento e gestão de funções empresariais. Se pensarmos no serviço de diretório como a camada de fundação para guardar dados de identidade, podemos pensar na administração de identidades como a área que gerencia todo o ciclo de vida dos dados de identidade. Nós criamos e gerenciamos regras e workflows que automatizam o processo de criar, excluir ou alterar a identidade de um usuário e seus privilégios associados em várias aplicações. Além disso, as mudanças na função de um indivíduo ou sua associação na organização podem disparar essas regras e workflows dinamicamente. Embora a automação seja um benefício importante ao deixarmos os processos manuais, ainda precisamos fornecer aos indivíduos a capacidade de se servirem sozinhos em suas próprias contas e delegarem algumas de suas responsabilidades a outros dentro da organização.
O Oracle Identity Manager é um sistema altamente flexível e escalável de gerenciamento de identidades que controla de forma centralizada o ciclo de vida das contas de usuários e privilégios de acesso nos recursos empresariais. O Oracle Identity Manager tem integração pronta com as aplicações empresariais e tecnologias de infraestrutura implantados mais comumente. Além disso, o Identity Manager vem com uma ferramenta gráfica que permite sua integração a outras aplicações, caso ela não venha pronta, como acontece quando é preciso fazer integração com tecnologias desenvolvidas internamente.
Identity Provisioning is about the automation of all the steps required to manage (create, amend, and revoke) user or system access entitlements. Deprovisioning, such as when an employee leaves a company, is done by closing access accounts. Notice though that user lifecycle management and in specific the provisioning of user accounts and attributes is only one piece of Identity Management.
O Oracle Role Manager é uma solução fundamentada para gerenciamento de funções, criada usando uma arquitetura J2EE escalável, que fornece um conjunto completo de recursos para gerenciamento do ciclo de vida das funções empresariais, organização multidimensional e gestão de relacionamento. Usando funções para abstrair recursos e direitos, o Oracle Role Manager permite que os usuários de negócios definam o acesso de acordo com a política da empresa, além de examinar os direitos de acesso do usuário em termos administrativos. Ao envolver os usuários de negócios no processo de administração de identidades, o Oracle Role Manager traz escalabilidade aos processos de segurança e compliance relacionados à identidade.
Gerenciamento de acesso é a área para controlar o acesso do usuário aos recursos empresariais, gerenciar direitos e autorizações rigorosas para aplicações empresariais, impedir atividades fraudulentas de forma pró-ativa e fortalecer a segurança da autenticação, e federar identidades e sessões do usuário entre organizações. Enquanto a administração de identidades gerencie o ciclo de vida dos dados de identidade, o gerenciamento de acesso é o guardião da porta, determinando quais usuários têm acesso a quais informações e quando, com base em um conjunto de políticas em constante mudança.
O Oracle Access Manager oferece controle de acesso escalável para ambientes heterogêneos, com uma solução integrada e baseada em padrões para autenticação, single sign-on na Web, e criação e aplicação de políticas de acesso. O Oracle Access Manager suporta todos os principais servidores Web, servidores de aplicação e serviços de diretório. Ele ajuda a proteger aplicações empresariais, J2EE e da Web, ao mesmo tempo reduzindo a carga de administração, custo e complexidade.
O Oracle Adaptive Access Manager oferece um nível superior de proteção para empresas e seus clientes, através de segurança com forte autenticação multifatorial com capacidade de ajuste dinâmico baseado no contexto das ações do usuário, além de combate a fraude pró-ativo e em tempo real. O Oracle Adaptive Access Manager oferece forte autenticação mútua e independente de dispositivo às aplicações online. Fornece também pontuação de risco em tempo real, a fim de identificar o potencial de fraude em vários pontos de uma transação.
O Oracle Enterprise Single Sign-On oferece aos usuários autenticação e sign-on unificado em todos os seus recursos empresariais, incluindo desktops e aplicações cliente-servidor, personalizados e de mainframe baseados em host. Os usuários podem se autenticar uma vez com uma única credencial – como nome de usuário/senha, smartcard ou dispositivo biométrico – e ter acesso seguro a todas as suas aplicações empresariais sem a necessidade de nova autenticação.
A criação de comunidades de usuários federadas que extrapolam o limite das empresas representa uma oportunidade para implementar estratégias de venda cruzada de produtos para o consumidor, agilizar o acesso do fornecedor às aplicações de sua extranet e responder rapidamente a mudanças organizacionais, como fusões e aquisições. O Oracle Identity Federation torna esse tipo de interação possível com um servidor de federação multiprotocolo que implementa tecnologia da Web baseada em padrões. Com ele, as organizações podem vincular contas e identidades de forma segura entre limites de segurança, sem um repositório de usuários central nem necessidade de sincronizar armazenamentos de dados. O Oracle Identity Federation oferece uma maneira interoperável de implementar single sign-on entre domínios para fornecedores, clientes e parceiros de negócios, sem o trabalho de gerenciar, manter e administrar suas identidades e credenciais.
No diagrama do slide, Oracle Identity Manager concilia com o Oracle Role Manager e recebe um papel para um usuário final. Estes papéis e os privilégios que eles transmitem são associadas com os recursos aos quais o usuário será provisionado.
O Oracle Identity Manager se comunica com múltiplas fontes de dados para criar, modificar ou remover a contas do usuário nestas fontes de dados. Nste exemplo, o Oracle Identity Manager está realizando o provisionamento do usuário para duas fontes de dados: Oracle Internet Directory e Microsoft Active Directory. Através de um fluxo de trabalho de provisionamento adicional, o Oracle Identity Manager também provisiona o usuário para um recurso-alvo (neste exemplo, uma aplicação do portal corporativo).
O Oracle Virtual Directory permite a integração entre múltiplas fontes de dados em tempo real. Como resultado, a Oracle Virtual Directory apresenta uma lista única que expõe dados em tempo real a partir destas fontes de dados. Nste exemplo, o Oracle Virtual Directory recebe o registro do usuário do Oracle Internet Directory e os atributos adicionais para o usuário do Microsoft Active Directory.
O usuário tenta acessar a aplicação do portal da empresa (o recurso-alvo).
Oracle Access Manager utiliza os dados do usuário fornecidos pelo Oracle Virtual Directory para autenticar e autorizar o usuário final. Para segurança adicional, o Oracle Adaptive Access Manager é utilizado para realizar a detecção de fraudes e segurança de autenticação por multifatores. Isso protege as credenciais da empresa e dados de phishing, pharming, trojans e ataques de fraude baseada em proxy. Para este exemplo, o usuário final também é solicitado a fornecer um número de dispositivo móvel e localização geográfica. O Oracle Adaptive Access Manager passa os resultados dessa verificação de autenticação forte, para o Oracle Access Manager.
O Oracle Access Manager retorna o usuário com seus devidos privilégios no recurso em questão (o aplicativo do portal).
O usuário tenta acessar informações relacionadas à sua conta (por exemplo, dados de sua aposentadoria). Tal informação é mantida por terceiros. O Oracle Identity Federation redireciona o usuário para um Web site externo, e faz a autenticação do usuário via Web.