La Solución de Gestión de Identidades de Oracle José Manuel Carmona Josemanuel.carmona@oracle.com Como Oracle , a través de su tecnología puede ayudaos a la implementación de proyectos relacionados con la Gestión de Identidades. En la normativa ISO 17000 se asocia el término Seguridad como un todo a dos conceptos fundamentales : Continuidad del negocio Gestión de Identidades En esta sesión vamos a cubrir la parte de Gestión de Identidades

Estrategia de Seguridad de Oracle Dónde Reside la Información Privacidad, Integridad, Disponibilidad de datos Cómo se Accede a la Información Gestión de Identidades

Descripción de la solución de Oracle

Estrategia de Oracle en Gestión de Identidades Completo Riqueza Funcional ( roles, recursos, …) Proporciona todos los componentes Modular y Abierto Todas las Infraestructuras y Aplicaciones Basado en Estándares Centrado en las Aplicaciones Cualquier Aplicación (web, C/S, SOA) Integrado con Aplicaciones de Negocio Gestión de Identidades Centrada en Aplicaciones En relación a la IAM, Oracle tiene una estrategia clara. Es nuestro objetivo para hoy el trasladaros dicha estrategia, es decir cómo Oracle plantea la solución al problema de Gestión de Identidades. El concepto fundamental es “GESTION DE IDENTIDADES CENTRADA EN APLICACIONES” Hasta ahora, entendemos que IAM ha sido tratado como una solución de gestión separada del resto. Algo acoplado a las aplicaciones después de que las aplicaciones hayan sido desarrolladas. La IAM ha estado más ligada a la gestión de los sistemas tradicionales y ha sido tratada como una extensión a los mismos. La filosofía que ofrecemos es que IAM sea un servicio más desde el punto de vista de las aplicaciones. Es decir que las aplicaciones vean la seguridad como un servicio más dentro de los procesos de negocio. Esta orientación tiene importantes beneficios para mejorar la eficacia de los procesos en la compañía. Por ejemplo, el hecho de la creación de un perfil de usuario cuando un empleado es dado de alta dentro de un sistema de RRHH. Este perfil va a ser utilizado para crear sus credenciales, autorizarle el acceso a ciertas aplicaciones, etc.Todos esos privilegios se crean como un proceso de negocio más. This process is initiated by the HR administrator—not a separate team that synchronizes newly created account information into separate, independent identity repositories to perform account management functions. Should the role or employment status of this user be changed at any time by HR, access privilege changes or termination of access and disabling of accounts occurs automatically based on the defined business process and associated policies. This significantly speeds user account access and in-access, streamlines the entire business process, and will further drive down administrative costs. Oracle views Identity Management as a business process management function—not a systems management one. Application Centric Identity Management is: • Integrated out-of-the-box with your business applications, in particular your HRMS system,such that Identity Management easily enables the business processes your organization relies on today. • An integral component of a wider application development and deployment framework that seamlessly works together, such that identity management is always-ready for new applications and thus rapidly deployed. • Architected for future SOA application environment, so that as more and more applications are deployed as loosely coupled services, they can rely on a set of standards-based, reusable security services.

Seguridad en WebServices Auditoría y Regulación Oracle Gestión de Identidades Solución Empleados Auto-Servicio Seguridad en WebServices Colaboradores Clientes Control de Accesos Aprovisionamiento Admin de Usuarios Seguridad en el Dato Administradores de Seguridad Proveedor de Servicios Federación Directorio Auditoría y Regulación Directorio Virtual

Oracle Gestión de Identidades Areas Clave Infraestructura de Identidades Directorio Virtual Directorio Administración de Identidades Gestión de Usuarios y Roles Aprovisionamiento de Usuarios Control de Accesos Single Sign-On Federación de Identidades Control de Acceso por Aplicación Seguridad en Web Services Auditoría We are now going to quickly highlight some of the key areas of Identity Management. Our discussion today is going to be based mostly around these topics. On the subsequent slides we’ll highlight key functionality and benefits offered by each of these functional areas.

Infraestructura de Identidades Directorio y Directorio Virtual Administradores Directorios de 3os Directorio Virtual Consolidación en Tiempo Real Abstracción Tecnológica Reducción de Complejidad Empleados Bases de Datos Partners y Clientes

Caso 1 : Unificación Virtual Customer has a portal system that can only speak to a single directory server Customer has multiple directory information and does not want to synchronize all of the systems into a singe server Solution – Virtual Directory provides a single consistent view in real-time, no synchronization required

Caso 2 : Unión entre diferentes fuentes de datos Customer has a SSO system Customer wants to use Active Directory for passwords but another data source for authorization information Authorization Data source is an RDBMS (e.g. PSFT) Solution – use OVID’s Join View capabilities to make data from two different data sources appear as one. Joined Data can come from any of OVID’s adapters

Caso 3 : Virtualización Under this use case, Oracle Virtual Directory can provide a variety of translation tools to make OVID appear as whatever directory structure you need. This can range from a rather simple transformation – make an Active Directory person entry look like the Internet standard InetOrgPerson entry to rather complex complete translations of the LDAP directory tree structure.

Administración de Identidades Gestión de Usuarios y Aprovisionamiento Empleados Gestión Identidades Auto-Servicio Delegación Workflow Políticas de Contraseña Auto-Servicio Admin Usuarios Partners y Clientes Aprovisionamiento Aprovisionamiento y Reconciliación Basado en Roles/Reglas Auto-Servicio de Cuentas Sincronización Contraseñas Adaptadores Heterogéneos Fábrica de Adaptadores Auditoría y Cumplimiento Legal Aprovisionamiento Administradores de Seguridad Otros Sistemas

Proceso de Creación de Usuario desde una Aplicación Recursos Humanos crea un usuario en su sistema Planificador Se detectan cambios periódicamente Se aplican las reglas de reconciliación Motor de Reconciliación Perfil de Usuario Creado Se crean los perfiles de Aprovisionamiento Se inician los workflows de aprovisionamiento Motor de Workflow Motor de Políticas Se evalúan las políticas de aprovisionamiento Motor de Reglas Se añade usuario a los grupos/roles Adapter Factory Sistemas Operativos CICS/IMS Bases de Datos CRM/ERP Sistemas Tradicionales

Ejemplo Petición de usuario final Un usuario solicita un teléfono móvil Aprobación del Responsable El técnico notifica la necesidad de entrega de un teléfono móvil Adaptadores Se actualiza el atributo tfno_movil del usuario solicitante 5

Control de Accesos SSO, Auth/Authz, Federación, ... Usuarios Autenticación Aplicaciones Control de Accesos Smartcard Web Autenticación Autorización Empleados Cert. Digital WS-Security Seguridad XML WebServices/SOA Administradores Login/Password Seguridad en WebServices Partners Cliente/Servidor Federación Liberty SAML WS-Federation Biométrico Clientes

Control de Accesos Protección de Web Services/SOA Monitorización y Gestión de Políticas Centralizada SOA App Bases de Datos Oracle AS 10g Web Services Management Gateway Procesos BPEL SOA App IBM, BEA, JBOSS Auditoría Logging Tracing Seguridad Facturación Monitorización Análisis de Rendimiento Sistemas Legado Clientes SOA App MSFT.NET Aplicaciones Consola de Administración Aplicaciones Paquetizadas

Auditoria y Conformidad con Leyes Aplicaciones Base de Datos CESAR SMITH CARLOS gAMES CARMEN fONES MARTA MIER SONIA ByAgE LUIS SCOjd LAURA sfING Clientes Generación de Informes de eventos de seguridad Informes de conformidad integrados Vista global de políticas de seguridad Auditoría y Regulación

Usuarios y Roles en la BD Usuarios y Roles en el Directorio Gestión de Identidades en la BD Aplicaciones Web Propagación del Usuario Usuarios y Roles en la BD Usuarios Directorio Control de Accesos Auditoria de usuario real Trazabilidad de los Usuarios Usuarios y Roles en el Directorio

Casos de Uso

¿Quién Necesita un MetaDirectorio? Compañías que buscan un único punto de consolidación de la información de identidad Compañías con una organización de IT más centralizada Circunstancias que favorecen un proyecto de MetaDirectorio : Se desea desde el departamento de RRHH provisionar cuentas de usuario al resto de sistemas High-end positioning takes account of our product capabilities & deployment methodologies … Choice of primary: Corporate & industry adoption, geographically desirable, internal competency, alignment with addressable market & complementarity with partner competencies ….

¿Quién Necesita un Directorio Virtual? Compañías con grandes bases de datos de usuarios y hetereogéneas Características ideales : una o varias de las siguientes : Muchos repositorios de usuarios de diferente naturaleza : directorios, bases de datos, web services, etc Problemas ( propiedad, seguridad, organizativos ) para consolidar la información Silos de identidad de usuarios Circunstancias que favorecen un proyecto de Directorio Virtual: Nuevas aplicaciones que afectan a diferentes comunidades de usuarios Portal, CRM, ERP, BI, etc… Necesidad de escalabilidad, seguridad y disponibilidad con servicios de directorios existentes Necesidad de acceso a información que no está en formato LDAP High-end positioning takes account of our product capabilities & deployment methodologies … Choice of primary: Corporate & industry adoption, geographically desirable, internal competency, alignment with addressable market & complementarity with partner competencies ….

Solución de Directorio Virtual Situación Disponían de un servicio que proporcionaba acceso a atributos de Identificación dispersos en varios repositorios. Este servicio solo era accesible vía Web Service Solución Proporcionar acceso a este servicio a clientes LDAP Beneficios Crear un servicio unificado Reducción de los costes operacionales Eliminar la customización en las aplicaciones We can’t currently list who this firm is publicly but it is a large firm – well known by the general public.

Solución de Directorio Virtual

Solución de Aprovisionamiento Problema Procesos inconsistentes en la gestión de los privilegios de acceso de los clientes en diferentes aplicaciones ( SAP, principalmente); sistemas operativos, etc. Altos costes en IT para hacer la asignación de privilegios de empleados a los roles de SAP Dificultad en establecer : “Quién tiene Qué” para generar las auditorías e informes correspondientes Solución Aprovisionamiento con workflows Consola única de Administración de Usuarios Beneficios Integración de los roles de SAP con el resto de aplicaciones y sistemas Asignación flexible de usuarios a roles y perfiles para SAP de acuerdo a las políticas de seguridad internas We can’t currently list who this firm is publicly but it is a large firm – well known by the general public.

Solución de Aprovisionamiento Base de Datos Directorio SAP Sistemas Operativos Aprovisionamiento Reconciliación Administrador Directorio Virtual Creación de roles Asignación de roles a usuarios desde la herramienta de administración

Conclusiones

La Solución de Oracle Diferenciadores Clave Solución Completa e Integrada Arquitectura Flexible de Aprovisionamiento mediante Adaptadores Control de Accesos para diferentes recursos Directorio Virtual Soporta Diferentes Tipos de Aplicaciones: Web, C/S y WebServices/SOA Hetereogeneidad Certificado con la mayoría de aplicaciones, servidores de aplicaciones y bases de datos Flexibilidad Permite acometer los proyectos por fases Soporte a Estándares

Entornos Heterogéneos Portales Servidores Web/Aplicaciones Aplicaciones Trabajo en Grupo Directorios Sistemas Operativos Access System enables single sign-on across any number of protected enterprise resources. COREid provides out-of-the-box SSO for a large number of packaged applications, application servers, mainframe systems, which allows it to be seamlessly integrated into any enterprise environment. ACF-2 & TSS RACF

Estándares Estándares de Gestión de Identidades Estándares e Seguridad SAML XACML Liberty ID-FF SPML WS-Fed X.509, etc. Estándares e Seguridad XKMS XML-SIG PKCS WSS XML-ENC TLS PKI SSL S/MIME LDAP Kerberos etc. Estándares de Plataforma e Integración WSDL SOAP WSRP J2EE 1.4 JSR-115 BPEL JCP EJB 3.0, JSF Estándares de Web Services WS-Security WS-Policy WS-Fed WS-Trust

Clientes de Oracle en Gestión de Identidades Algunas Referencias de Ejemplo Servicios Financieros/Seguros Retail y Servicios Industria y Transporte Tecnología y Comunicaciones Gobierno y Sector Público Sanidad Fuente: Oracle.com

Evaluación de Analistas Positiva “En los últimos nueve meses Oracle ha demostrado un serio compromiso en proporcionar una solución técnica para las necesidades en gestión de identidades y de accesos tanto para clientes Oracle como para el mercado en general” Burton Group “La oferta de Oracle actual en productos IAM le ha posicionado por delante de otros competidores tales como BMC, Computer Associates International, Hewlett- Packard, IBM, Microsoft, Novell y Sun Microsystems.” Gartner “Con la adquisición de PeopleSoft, Oracle demostró que es capaz de incorporar a su organización las compañías adquiridas con un mínimo de interrupción. No hay ninguna razón para pensar que con estas nuevas adquisiciones no se generará valor para Oracle y sus nuevos clientes.” Aberdeen Group

Más Información http://www.oracle.com/identity Posicionamiento de la Solución de Oracle Documentación Técnica Seminarios Demos Software