Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Oracle Identity Management Sécurisation de l’entreprise étendue
Oracle and National Bank of Canada Confidential
Carl Potvin Conseiller aux ventes – GIA et Sécurité Le 30 septembre 2015
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Déclaration de limitation de responsabilité
Ce qui suit se veut un aperçu de notre orientation générale en ce qui concerne notre produit. Cet aperçu n’est donné qu’à titre indicatif et ne peut être incorporé à aucun contrat. Il ne constitue pas un engagement à fournir un matériel, un code ou une fonctionnalité, et l’on ne doit pas prendre de décisions d’achat en fonction de celui-ci. Le développement, la mise à la disposition des utilisateurs et le calendrier d’application de toute caractéristique ou fonctionnalité décrite pour les produits Oracle sont à la seule discrétion d’Oracle.
Document confidentiel d’Oracle – Interne / Accès limité / Accès très limité 2
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Program Agenda
Oracle Identity Governance : Identity Certification and Self-Service
Oracle Access Management : Access Control and User Experience
IAM Governance – Key Success Factor
1
2
3
3 Oracle Confidential – Internal
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Program Agenda
Oracle Identity Governance : Identity Certification and Self-Service
Oracle Access Management : Access Control and User Experience
IAM Governance – Key Success Factor
1
2
3
4 Oracle Confidential – Internal
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Le nouveau modèle d'identités
Sécurité complète
Gouvernance des identités
Gestion des accès
Services de répertoires
Nuage Sur place
Nuage géré
Sécurité des appareils mobiles
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Défis de la nouvelle économie numérique
• Configuration rapides des applications produisant des identités cloisonnées
• Visibilité limitée dans l'ensemble des applications d'entreprise, mobiles et infonuagiques
• Processus manuels de certification propices aux erreurs
• Retards dans la révocation des accès non autorisés
• Processus de demandes et d'exécution désuets
Habilitation des utilisateurs et tenue à jour des contrôles d'accès
6
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Fragmentation des identités Les solutions d'identités déconnectées génèrent des risques et des coûts
Gestion des
utilisateurs
Gestion des
utilisateurs
Signature unique
Gestion des
utilisateurs
Signature unique
Signature unique
Certification des accès
Fédération
Identités intégrées aux applications
Signature unique et fourn. d’accès de base
Certification d’accès
Appli. en nuage fédérées
Appli. mobiles
LDAP LDAP LDAP
Intégrations personnalisées
• VOL DE DONNÉES CLIENTS
• POLITIQUES D'ACCÈS INCOHÉRENTES
• FRAIS ÉLEVÉS
Gestion unifiée des identités
• 48 % D'ÉCONOMIES
• 46 % D'AMÉLIORATION DES RÉPONSES
• 35 % DE PROBLÈMES DE VÉRIFICATION EN MOINS
7
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
• Account Access Request
• Password Management
• Integrated Mobile Management • Application Access Request • Report Device Lost
• Access Certification
• Segregation of Duties Enforcement
• Access Dashboards
• Automated Remediation of Access Violations
USER SELF SERVICE
• Privileged Account Request and Access
• Privileged Account Auditing
• Session Recording
PRIVILEGED ACCESS
Oracle Identity Governance
COMPLIANCE
Cloud Mobile Enterprise
8
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Certification
• Risk Based
– Item Risk
– Provisioning Method
– Last Certification Decision
– Identity Audit Mapping • SoD Violation
• Multi-Phase
• Event Driven
• User Challenged
Risk Based
9
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Continuous SoD Monitoring
• SOD Rule and Policy Definition • Define complex rules across users, applications,
roles and entitlements
• Detective SOD Analysis • Detective Policy Enforcement – Closed Loop
Remediation
• Access History to audit all violations and decisions
• Review High Risk policy violations in Certifications
• Preventative SOD Analysis • Enforce SOD policies during access requests
• Review policy violations during approvals and launch exception workflows
Enterprise Wide SoD Detection and Remediation
10
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Intelligent Access Catalog
• Intelligent Access Catalog provides • Keyword Search
• Browse
• Access Advisor (Recommendations)
• Request Profiles
• Smart search forms allow users to navigate the Catalog in a guided manner
• Support for Start/End Dates for Access Grants
• Preventative SoD Analysis
Guided navigation to efficiently complete tasks
11
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 12
Business Process Defined
Role Definition
• Top-Down: Analyzing organizations and access • Bottom-Up: Mathematically “mining” data about access
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Comprehensive Role Lifecycle Management
• Business users can request creation of new roles and changes to existing ones
• Comprehensive role analytics allows business users to see the impact of new roles and changes to existing ones
• Role owners can reduce role explosion by reviewing the effectiveness of existing roles and consolidate new roles with existing one
• Role owners can see comprehensive auditing and prior versions
Intelligent Role Management
13
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
What should Organizations be Working Towards?
• Apply the principal of least privilege access to privileged accounts
• Only provide access to a privileged account when it’s required to perform a specific task
• Assign privileged access to specific individuals – know exactly who has been granted a privileged account password and limit command execution
• Apply access governance principals to Privileged Accounts – Access Request / Approval / Certification
• Audit use of privileged accounts and activities performed using a privileged account
System sets a new Privileged Password
User gains authorized access to privileged
account
System tracks login and records session
User finishes tasks
System correlates user to privilege login and
session recording
14
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Oracle Privileged Account Management Solution de gestion de mot de passe sécurisé
• Gestion de mots de passe temporaires
• Enregistrement de session Windows
• Enregistrement de session SSH
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Oracle Identity Governance Approche unifiée pour la gouvernance complète des identités • Fourniture d’accès
automatisée
• Demande d'accès
(OOTB)
• Flux d’approbation
• Cadre de connecteurs
• Certification d’accès
• Gestion des comptes
privilégiés
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Program Agenda
Oracle Identity Governance : Identity Certification and Self-Service
Oracle Access Management : Access Control and User Experience
IAM Governance – Key Success Factor
1
2
3
17 Oracle Confidential – Internal
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
L'économie numérique transforme le monde
• Le déploiement rapide de nouveaux services se traduit par des politiques d'authentification fragmentées.
• Plus de 40 % des effectifs seront mobiles, d'ici 2016.
• 89 % des entreprises favorisent l'approche BYOD (« AVEC » :: apportez votre équipement de communication).
• L'authentification est vue comme un obstacle et la sécurité est une attente absolue.
• La consommarisation des TI crée des attentes parallèles, chez les consommateurs et les employés.
• Apparition rapide de possibilités en nuage et mobiles qui attirent les organisations privées et publiques.
18
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Adoption rapide d'applications en nuage
• Signatures uniques fédérées avec SAML dans les applications en nuage et partenaires
• Service de jetons de sécurité pour la validation d'accès et l'échange de jetons
• Soutien « OAuth » pour accès aux applications en nuage et mobiles par l'entremise d'identités sociales
• Agent désigné expressément pour le nuage
• Sécurité de l'accès aux API
• Interfaces « RESTful » pour intégration
19
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Oracle Access Management Approche unifiée pour une authentification, une autorisation et une vérification complètes
• Gestion d'accès Web
• Signatures uniques fédérées
et sociales
• Gestion d'accès mobiles
• Gestion des accès au nuage
• Gestion des autorisations
• Prévention de la fraude
• Authentification forte
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Authentication
• Authentication schemes define the type of authentication challenge
• Authentication level determines the strength of authentication needed
• Support for step-up authentication
• Multi-step authentication framework using custom plugins with support for orchestrating multiple steps via the administrator’s console
21
Ensuring You Are Who You Claim To Be
Oracle Confidential – Internal
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Authentification intégrée et forte contre les risques et la fraude
• Politique sensible au contexte et au contenu
• Authentification et autorisation adaptatives en temps réel
• OTP natif et mobile pour authentification progressive
• Analyse des risques et prévention de la fraude en temps réel
• Occultation de données au moyen d'autorisations dynamiques axées sur les risques
22
FAIBLE
ÉLEVÉ
MOYEN
RÉPONSE
PERMETTRE REFUSER
RIS
QU
E
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Accès universel sécurisé
• Accès transparent à toute application, de tout appareil
• Authentification forte et autorisation fine axées sur les risques
• Signature unique mobile pour applications Web et natives
• Applications héritées sûres grâce à API Gateway
• Étendre les identités aux services en nuage au moyen des normes SAML, OAuth, XACML ou REST
Accéder à toute les applications, à partir de n’importe quel appareil, de n'importe où
23
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Windows Native Authentication (WNA)
• Client logs in to their Windows desktop
• Client opens an Internet browser, navigates to an Access Management protected HTTP resource
• Client is let in using the Kerberos Service Ticket without being challenged
24
Simplified Multi-Platform Authentication
Oracle Confidential – Internal
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Oracle Access Management Federation Services
• SAML-based federation (authentication, attribute sharing)
• OpenID-based federation (delegated authentication)
• OAuth-based federation (delegated authorization)
• Social-identity-based federation (redirected authentication)
• Form-fill-based federation (access management Access Portal)
25
On-Premise and Cloud Deployments
Oracle Confidential – Internal
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Enterprise Single Sign-on – Why Now?
• More passwords than ever before
Legacy Windows-based client applications still exist
Users typically have different passwords for partner / outsourced sites
SaaS applications are adding to the problem
• Oracle Enterprise Single Sign-On
– Consolidate identities and enables single sign-on across web, windows-based clients and SaaS applications
– Provides cross-platform logon manager (PC, Smartphone & Tablet) for Web-based applications
SSO
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Identity Context
• Identity Context allows organizations to meet growing security threats by leveraging the context-aware policy management and authorization capabilities built into the Oracle Access Management platform
• Identity Context secures access to resources using traditional security controls (roles and groups) and dynamic data established during authentication and authorization
• Contextual information controlled by the Access Management platform includes location, risk assessment, partner information, etc.
27
Introduction
Oracle Confidential – Internal
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
IAM Platform – Logical Views
Oracle Confidential – Internal
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Access Management Services – Logical View
29
Access Management
Application Server
· Enterprise SSO
· Authentication· Authorization· Web SSO· Federation· Secure Mobile
Access· Secure Token
Services
· Risk Based Access and Fraud prevention
· Fine Grained Authorization· API Gateway
Web Servers
TV Distribution
Telephony Services
Voice
HTTP
REST
· Secure Mobile Access
AppTunnel
UserCustomer
(Family)
Partner / Reseller
Employee BYOD
EmployeeCall Center Agent
VirtualDirectory
Customer Directory
Employee Directory
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Identity Management Services – Logical View
30
Application Server
Employee Directory
Customer Directory
TV Distribution
Telephony Services
HTTP
UserCustomer
(Family)
Partner / Reseller
Employee BYOD
EmployeeCall Center Agent
Application Server
Identity Management
· User Lifecycle management
· Access Request/Approval
· Password Management
· Self-Service/Delegated Admin
· Provisioning & Reconciliation
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Program Agenda
Oracle Identity Governance : Identity Certification and Self-Service
Oracle Access Management : Access Control and User Experience
IAM Governance and Shared Services
1
2
3
31 Oracle Confidential – Internal
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Identity and Access Management Shared Services Key Areas for Success
32
Strategic Direction
• Executive Sponsorship
• LOB’s alignment
• Governance Structure with clear IAM Services Offering
• Standards Enforcement
• Development, promotion and control of IAM Shared Services standards
• Quick business initiative on-boarding
• Project Delivery Methodology adapted to IAM
• Well defined sourcing model
• Continuous Evergreening
• Services Level Monitoring
Governance & Planning
Architecture & Frameworks
Project Execution
Support & Operations
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
IAM Shared Service Model
33
Consumable and shared service for all business initiatives
Service Catalog
Business Initiatives •Mandated to use IAM Services •Funded by Business Units •Template driven integration projects
IAM Shared Services
• Set of common services and standards • Design Authority responsible for the development,
promotion and control of IAM Shared Services
standards
• Part of IT budget
• On-going Asset Management • On-going IAM Governance
Reduce risk, time and cost to launch new business initiatives
Templates for Apps to take advantage of IAM Services.
Web SSO
Lifecycle
…
Cloud SSO
Delegated Admin
Password Mgmt
Frameworks Standards Templates
Infrastructure HA/DR
New Application
Business Initiative
Self-Registration
Access Request
Certification
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Priority Matrix
34
2
3
1
2
3
Dedicated budget to accelerate Business Value
Internal: Accelerate phasing out of legacy
External: Leverage new Shared Service
Control & Enforcement
IAM Governance
Design Authority and IAM Standards
Strategic Direction Governance & Planning
1 2
1
2
3
1
2
CoE to Adapt Architectures Continuous Availability
Delivery Structure
Skill Set and Capacity
System Integration Methodology
Accelerate transition of resources
Outsource Sustaining Support
Architecture and Frameworks
Support & Operation Projects Execution
Criticality (low, medium, High): 1 1 1
1
4 Project Work Product Gap
3
4
Proactive Monitoring and KIPs
Oracle Support
2
2
1 2 1..2
3 4
3 2
3..4
1
1 3
1
© 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |
Période de questions