Oracle - L`Asimm
Transcription
Oracle - L`Asimm
Oracle Identity Management Sécurisation de l’entreprise étendue Carl Potvin Conseiller aux ventes – GIA et Sécurité Le 30 septembre 2015 Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle and National Bank of Canada Confidential Déclaration de limitation de responsabilité Ce qui suit se veut un aperçu de notre orientation générale en ce qui concerne notre produit. Cet aperçu n’est donné qu’à titre indicatif et ne peut être incorporé à aucun contrat. Il ne constitue pas un engagement à fournir un matériel, un code ou une fonctionnalité, et l’on ne doit pas prendre de décisions d’achat en fonction de celui-ci. Le développement, la mise à la disposition des utilisateurs et le calendrier d’application de toute caractéristique ou fonctionnalité décrite pour les produits Oracle sont à la seule discrétion d’Oracle. © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | Document confidentiel d’Oracle – Interne / Accès limité / Accès très limité 2 Program Agenda 1 Oracle Identity Governance : Identity Certification and Self-Service 2 Oracle Access Management : Access Control and User Experience 3 IAM Governance – Key Success Factor © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés.Oracle | Confidential – Internal 3 Program Agenda 1 Oracle Identity Governance : Identity Certification and Self-Service 2 Oracle Access Management : Access Control and User Experience 3 IAM Governance – Key Success Factor © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés.Oracle | Confidential – Internal 4 Le nouveau modèle d'identités Sécurité complète Gouvernance des identités Gestion des accès Services de répertoires Sécurité des appareils mobiles Nuage géré Sur place © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | Nuage Défis de la nouvelle économie numérique Habilitation des utilisateurs et tenue à jour des contrôles d'accès • Configuration rapides des applications produisant des identités cloisonnées • Visibilité limitée dans l'ensemble des applications d'entreprise, mobiles et infonuagiques • Processus manuels de certification propices aux erreurs • Retards dans la révocation des accès non autorisés • Processus de demandes et d'exécution désuets © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 6 Fragmentation des identités Les solutions d'identités déconnectées génèrent des risques et des coûts Identités intégrées aux applications Signature Gestion unique des utilisateur s Signature unique et fourn. d’accès de base Certification d’accès Appli. en nuage fédérées Appli. mobiles • •VOL DED'ÉCONOMIES DONNÉES CLIENTS 48 % • •POLITIQUES D'ACCÈS 46 % D'AMÉLIORATION DES INCOHÉRENTES RÉPONSES Signature Gestion unique des utilisateur s Signatur Gestion e unique des utilisateu rs • •FRAIS ÉLEVÉS 35 % DE PROBLÈMES DE VÉRIFICATION EN MOINS Certification des accès Fédération LDAP LDAP LDAP GestionIntégrations unifiée des identités personnalisées © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 7 Oracle Identity Governance USER SELF SERVICE COMPLIANCE • Account Access Request • Access Certification • Password Management • Segregation of Duties Enforcement • Integrated Mobile Management • Application Access Request • Report Device Lost Enterprise • Access Dashboards • Automated Remediation of Access Violations PRIVILEGED ACCESS • Privileged Account Request and Access • Privileged Account Auditing • Session Recording Cloud © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | Mobile 8 Certification Risk Based • Risk Based – Item Risk – Provisioning Method – Last Certification Decision – Identity Audit Mapping • SoD Violation • Multi-Phase • Event Driven • User Challenged © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 9 Continuous SoD Monitoring Enterprise Wide SoD Detection and Remediation • SOD Rule and Policy Definition • Define complex rules across users, applications, roles and entitlements • Detective SOD Analysis • Detective Policy Enforcement – Closed Loop Remediation • Access History to audit all violations and decisions • Review High Risk policy violations in Certifications • Preventative SOD Analysis • Enforce SOD policies during access requests • Review policy violations during approvals and launch exception workflows © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 10 Intelligent Access Catalog Guided navigation to efficiently complete tasks • Intelligent Access Catalog provides • • • • Keyword Search Browse Access Advisor (Recommendations) Request Profiles • Smart search forms allow users to navigate the Catalog in a guided manner • Support for Start/End Dates for Access Grants • Preventative SoD Analysis © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 11 Role Definition Business Process Defined • • Top-Down: Analyzing organizations and access Bottom-Up: Mathematically “mining” data about access © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 12 Comprehensive Role Lifecycle Management Intelligent Role Management • Business users can request creation of new roles and changes to existing ones • Comprehensive role analytics allows business users to see the impact of new roles and changes to existing ones • Role owners can reduce role explosion by reviewing the effectiveness of existing roles and consolidate new roles with existing one • Role owners can see comprehensive auditing and prior versions © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 13 What should Organizations be Working Towards? • Apply the principal of least privilege access to privileged accounts System sets a new Privileged Password System correlates user to privilege login and session recording User finishes tasks User gains authorized access to privileged account System tracks login and records session • Only provide access to a privileged account when it’s required to perform a specific task • Assign privileged access to specific individuals – know exactly who has been granted a privileged account password and limit command execution • Apply access governance principals to Privileged Accounts – Access Request / Approval / Certification • Audit use of privileged accounts and activities performed using a privileged account © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 14 Oracle Privileged Account Management Solution de gestion de mot de passe sécurisé • Gestion de mots de passe temporaires • Enregistrement de session Windows • Enregistrement de session SSH © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | Oracle Identity Governance Approche unifiée pour la gouvernance complète des identités • Fourniture d’accès automatisée • Demande d'accès (OOTB) • Flux d’approbation • Cadre de connecteurs • Certification d’accès • Gestion des comptes privilégiés © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | Program Agenda 1 Oracle Identity Governance : Identity Certification and Self-Service 2 Oracle Access Management : Access Control and User Experience 3 IAM Governance – Key Success Factor © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés.Oracle | Confidential – Internal 17 L'économie numérique transforme le monde • Le déploiement rapide de nouveaux services se traduit par des politiques d'authentification fragmentées. • Plus de 40 % des effectifs seront mobiles, d'ici 2016. • 89 % des entreprises favorisent l'approche BYOD (« AVEC » :: apportez votre équipement de communication). • L'authentification est vue comme un obstacle et la sécurité est une attente absolue. • La consommarisation des TI crée des attentes parallèles, chez les consommateurs et les employés. • Apparition rapide de possibilités en nuage et mobiles qui attirent les organisations privées et publiques. © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 18 Adoption rapide d'applications en nuage • Signatures uniques fédérées avec SAML dans les applications en nuage et partenaires • Service de jetons de sécurité pour la validation d'accès et l'échange de jetons • Soutien « OAuth » pour accès aux applications en nuage et mobiles par l'entremise d'identités sociales • Agent désigné expressément pour le nuage • Sécurité de l'accès aux API • Interfaces « RESTful » pour intégration © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 19 Oracle Access Management Approche unifiée pour une authentification, une autorisation et une vérification complètes • Gestion d'accès Web • Signatures uniques fédérées et sociales • Gestion d'accès mobiles • Gestion des accès au nuage • Gestion des autorisations • Prévention de la fraude • Authentification forte © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | Authentication Ensuring You Are Who You Claim To Be • Authentication schemes define the type of authentication challenge • Authentication level determines the strength of authentication needed • Support for step-up authentication • Multi-step authentication framework using custom plugins with support for orchestrating multiple steps via the administrator’s console © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés.Oracle | Confidential – Internal 21 Authentification intégrée et forte contre les risques et la fraude • Politique sensible au contexte et au contenu • Authentification et autorisation adaptatives en temps réel ÉLEVÉ RISQUE MOYEN • OTP natif et mobile pour authentification progressive • Analyse des risques et prévention de la fraude en temps réel FAIBLE RÉPONSE PERMETTRE REFUSER • Occultation de données au moyen d'autorisations dynamiques axées sur les risques © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 22 Accès universel sécurisé Accéder à toute les applications, à partir de n’importe quel appareil, de n'importe où • Accès transparent à toute application, de tout appareil • Authentification forte et autorisation fine axées sur les risques • Signature unique mobile pour applications Web et natives • Applications héritées sûres grâce à API Gateway • Étendre les identités aux services en nuage au moyen des normes SAML, OAuth, XACML ou REST © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 23 Windows Native Authentication (WNA) Simplified Multi-Platform Authentication • Client logs in to their Windows desktop • Client opens an Internet browser, navigates to an Access Management protected HTTP resource • Client is let in using the Kerberos Service Ticket without being challenged © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés.Oracle | Confidential – Internal 24 Oracle Access Management Federation Services On-Premise and Cloud Deployments • SAML-based federation (authentication, attribute sharing) • OpenID-based federation (delegated authentication) • OAuth-based federation (delegated authorization) • Social-identity-based federation (redirected authentication) • Form-fill-based federation (access management Access Portal) © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés.Oracle | Confidential – Internal 25 Enterprise Single Sign-on – Why Now? • More passwords than ever before Legacy Windows-based client applications still exist Users typically have different passwords for partner / outsourced sites SaaS applications are adding to the problem • Oracle Enterprise Single Sign-On – Consolidate identities and enables single sign-on across web, windows-based clients and SaaS applications – Provides cross-platform logon manager (PC, Smartphone & Tablet) for Web-based applications © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | SSO Identity Context Introduction • Identity Context allows organizations to meet growing security threats by leveraging the contextaware policy management and authorization capabilities built into the Oracle Access Management platform • Identity Context secures access to resources using traditional security controls (roles and groups) and dynamic data established during authentication and authorization • Contextual information controlled by the Access Management platform includes location, risk assessment, partner information, etc. © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés.Oracle | Confidential – Internal 27 IAM Platform – Logical Views © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | Oracle Confidential – Internal Access Management Services – Logical View Access Management · · · · · Authentication Authorization Web SSO Federation Secure Mobile Access · Secure Token Services TV Distribution User Customer (Family) Voice · Risk Based Access and Fraud prevention Telephony Services Partner / Reseller REST · Fine Grained Authorization · API Gateway HTTP App Tunnel Employee BYOD Employee Call Center Agent Web Servers Application Server Virtual Directory Customer Directory · Secure Mobile Access Employee Directory · Enterprise SSO © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 29 Identity Management Services – Logical View Identity Management TV Distribution User Customer (Family) Telephony Services · User Lifecycle management · Access Request/ Approval · Password Management · Self-Service/ Delegated Admin · Provisioning & Reconciliation Partner / Reseller Application Server HTTP Application Server Employee BYOD Customer Directory Employee Directory Employee Call Center Agent © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 30 Program Agenda 1 Oracle Identity Governance : Identity Certification and Self-Service 2 Oracle Access Management : Access Control and User Experience 3 IAM Governance and Shared Services © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés.Oracle | Confidential – Internal 31 Identity and Access Management Shared Services Key Areas for Success Strategic Direction Governance & Planning Architecture & Frameworks Project Execution Support & Operations • Executive Sponsorship • LOB’s alignment • Governance Structure with clear IAM Services Offering • Standards Enforcement • Development, promotion and control of IAM Shared Services standards • Quick business initiative on-boarding • Project Delivery Methodology adapted to IAM • Well defined sourcing model • Continuous Evergreening • Services Level Monitoring © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 32 IAM Shared Service Model Consumable and shared service for all business initiatives Business Initiatives •Mandated to use IAM Services •Funded by Business Units •Template driven integration projects IAM Shared Services New Application Business Initiative Service Catalog Self-Registration Cloud SSO Web SSO Lifecycle Access Request Delegated Admin • Set of common services and standards … Certification Password Mgmt • Design Authority responsible for the development, promotion and control of IAM Shared Services standards Frameworks Standards Templates • Part of IT budget Infrastructure HA/DR • On-going Asset Management • On-going IAM Governance Reduce risk, time and cost to launch new business initiatives Templates for Apps to take advantage of IAM Services. 33 © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | Priority Matrix Strategic Direction 2 3 3 1 1..2 2 2 1 1 1 1 Dedicated budget to accelerate Business Value 1 Control & Enforcement 2 Internal: Accelerate phasing out of legacy 2 IAM Governance 3 External: Leverage new Shared Service 3 Design Authority and IAM Standards 2 3..4 3 4 Architecture and Frameworks 1 CoE to Adapt Architectures Projects Execution Criticality (low, medium, High): 1 1 1 Governance & Planning 2 Continuous Availability Support & Operation 1 Delivery Structure 1 Accelerate transition of resources 2 Skill Set and Capacity 2 Outsource Sustaining Support 3 System Integration Methodology 3 Proactive Monitoring and KIPs 4 Project Work Product Gap 4 Oracle Support © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. | 34 Période de questions © 2014, Oracle et/ou ses sociétés affiliées. Tous droits réservés. |