1. «Централизованная система управления
учетными записями на базе программного
обеспечения Oracle Identity Manager»
Начальник отдела мониторинга и сопровождения
Службы информационной безопасности
Афонин Евгений
Oracle Day
27 октября 2010 г.
2. О Промсвязьбанке…
Промсвязьбанк – российский частный банк, входящий в число 15 ведущих банков
России и 500 крупнейших мировых банков. Банку присвоены высокие рейтинги
ведущими мировыми рейтинговыми агентствами. В ноябре 2006 года в состав
акционеров вошла дочерняя компания Commerzbank AG - Commerzbank
Auslandsbanken Holding AG. В феврале 2010 года акционером Промсвязьбанка
стал Европейский банк реконструкции и развития.
Промсвязьбанк – универсальный банк, предоставляющий полный комплекс
банковских услуг физическим и юридическим лицам. Его клиентами уже стали
более 80 000 российских предприятий, на сегодняшний день количество
вкладчиков и заемщиков банка превышает 370 тыс. человек, а число держателей
банковских карт составляет более 750 тыс. Региональная сеть банка – это 47
филиалов и около 180 точек продаж в крупных городах России, филиал на Кипре,
представительства в Индии, Китае и на Украине.
После присоединения к ОАО «Промсвязьбанк» ОАО АКБ «Волгопромбанк» и
ОАО ГБ «Нижний Новгород» в мае 2010 года в Банковскую группу Промсвязьбанк
входит ОАО «Промсвязьбанк» (головная кредитная организация) и ОАО
«ЯРСОЦБАНК».
Слайд 2
3. Проект создания централизованной
Системы управления учетными записями
Предпосылки и цели создания Системы:
автоматизация процедур управления учетными записями в информационных
системах Банка
формализация бизнес-процессов управления учетными записями
создание единого центра управления учетными записями пользователей
оптимизация процедур управления доступом
решение проблемы «мертвых душ» раз и навсегда ….
Слайд 3
5. Решаемые Системой задачи
централизованное управление учѐтными данными пользователей во
всех информационных системах на основе данных кадровой системы
синхронизация изменений пользовательских данных в
информационных системах
управление учетными записями пользователей, основанное на
ролях, группах и организационной структуре предприятия
отказ от типовых паролей при предоставлении доступа (PCI DSS
8.5.3)
автоматическое предоставление некоторых видов доступа,
актуализация групп
Слайд 5
6. Используемые технологии
СУБД Oracle Database 10G Release 2
JBoss Application Server
Oracle Identity Manager
коннектор к системе SAP HR
коннектор к системе Microsoft Active Directory
коннектор к системе IBM Lotus Notes
Слайд 6
7. Принцип управления учетными записями
пользователей
Принцип управления учетными записями и привилегиями
пользователей, реализованный в продукте Oracle Identity Mananger
состоит в следующем:
ведение центрального репозитария идентификационных данных и
распространение их в различные информационные системы (целевые
системы) компании
для взаимодействия с целевыми системами в Oracle Identity Manager
используются специальные коннекторы
существует возможность использовать как стандартные коннекторы
Oracle, так и разрабатывать собственные коннекторы с учетом
требуемой функциональности
Слайд 7
8. Централизованное управление правами и
учетными данными пользователей
Приложение Приложение Приложение Приложение
Идентификационные
данные
пользователей
Администраторы
Слайд 8
9. Общая архитектура
Система в качестве источника идентификационных данных использует HR-модуль системы
SAP Enterprise Applications и автоматизирует процессы управления учетными записями в
информационных системах Microsoft Active Directory и IBM Lotus Notes.
Слайд 9
10. Реализованы и автоматизированы
бизнес-процессы
По результатам первой очереди проекта были автоматизированы
следующие бизнес-процессы по управлению учетными записями:
созданиеудаление учетных записей
изменение атрибутовпереименованиеперевод по организационной структуре
блокированиеразблокирование учетных записей
включениеисключение из групп
для необходимых бизнес-процессов реализован механизм автоматических почтовых
оповещений
а также бизнес-процессы, связанные с организационной
структурой:
созданиепереименованиеперемещение организационных единиц в системе OIM и
Microsoft Active Directory на основании данных из SAP HR
использование иерархии организационной структуры для динамического
формирования атрибутов пользователя
Слайд 10
11. Особенности реализованной
функциональности
Разработан и внедрен расширенный коннектор к HR-модулю системы
SAP
Наиболее значимой функциональностью расширенного коннектора является
возможность обеспечения бизнес-процессов:
перевод через увольнение
отсрочка удаления
выгрузка менеджеров подразделений, справочника должностей сотрудников
выгрузка данных об «отсутствиях» сотрудника
более быстрая выгрузка (реконциляция) данных о сотрудникахорганизационной
структуре
неограниченные возможности по расширению атрибутного состава выгружаемых
объектов
Слайд 11
12. Особенности реализованной
функциональности
Доработаны стандартные коннекторы к системам Microsoft Active
Directory, IBM Lotus Notes в части добавления необходимой
функциональности:
реализована возможность заполнения нестандартных атрибутов учетных записей
пользователей в целевых системах Microsoft Active Directory и IBM Lotus Notes
реализовано формирование атрибутов учетных записей на основании положения
сотрудника в организационной структуре (email, информация о руководителе)
реализован механизм автоматического перемещения учетных записей пользователя
по организационной структуре (актуализация атрибутов УЗ, членства в OU и
группах)
обеспечение уникальности атрибутов учетных записей в системе IBM Lotus Notes
(адресная книга)
для большинства бизнес-процессов реализован механизм автоматических почтовых
оповещений сотрудников Банка
Слайд 12
13. Итог. Что получили?
На текущий момент средствами системы Oracle Identity Manager
производится управление учетных записями пользователей Банка:
автоматизировано управление учетными записями для Головного
офиса в системе IBM Lotus Notes
автоматизировано управление учетными записями для филиалов
Банка в системе Microsoft Active Directory
значительно улучшена ситуация с выполнением требований
стандартов информационной безопасности
процедура управления учетными записями стала более прозрачной
и понятной всем участникам процесса
подготовлен серьезный задел для дальнейшего развития системы
Слайд 13
14. Планы на будущее: 2-я очередь работ
Объединенная команда специалистов ФОРС и Промсвязьбанка
приступила к работе над второй очередью работ в части развития
Системы управления учетными записями, в рамках которой
планируется:
осуществление сопровождения Системы
реализация необходимых доработок с учетом практики
использования системы
дальнейшая интеграция с информационными банковскими
системами, такими как PSB-Retail и «АБС Новая Афина»
а также многое другое
Слайд 14
15. Спасибо за внимание!
Начальник отдела мониторинга и сопровождения
Службы информационной безопасности
ОАО «Промсвязьбанк»
Афонин Евгений
afonin@psbank.ru
www.psbank.ru
Слайд 15