Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Argentina-México-Perú
Objetivos
• Después de completar este capitulo, estará en la capacidad de:
– Entender los productos que conforman OIG
– Describir las modalidades de despliegue de OIG
– Entender la arquitectura técnica de OIG
– Describir las funciones de integración de OIG e IAM
– Describir las funcionalidades de OIG y sus principales funcionalidades
– Describir Oracle Privileged Account Manageer (OPAM)
– Discutir los beneficios de utilizar OPAM
– Discutir Identity Connector Framework (ICF)
– Explicar la seguridad en OPAM
– Examinar como implementar la seguridad en OPAM
Argentina-México-Perú
Agenda
• Productos Oracle Identity Governance (OIG) Suite
• Oracle Identity Governance (OIG)
– Configuraciones OIG
– OIG e Integración con Aplicaciones & Sistemas
– OIG e Integración con IAM
– Herramientas OIG
– Arquitectura Técnica OIG
– Nuevas Características
• Oracle Privileged Account Management (OPAM)
– Beneficios de usar OPAM
– Funcionalidades
– Arquitectura
– Integración OPAM-OIM
Argentina-México-Perú
Oracle Identity Governance Suite (OIG)
Características
sofisticados
Cart”
Argentina-México-Perú
Oracle Identity Governance Suite (OIG)
Productos de la Suite
• Solución de Gobierno que permite gestionar identidades y privilegios • Solución de Gestión de Contraseñas segura para generar, provisionar y
de accesos a clientes, socios de negocio y empleados en una sola gestionar accesos a contraseñas para cuentas privilegiadas.
PLATAFORMA.
• Para cuentas de ‘root’ Linux/Unix o ‘sys’ de base de datos.
• Automatiza los procesos de creación, actualización y eliminación de
cuentas de usuarios, aprovisionamiento de contraseñas y • Permite auditar y establecer el control para usuarios con credenciales
revocación/otorgamiento de permisos sobre aplicaciones. de cuentas privilegiadas.
Argentina-México-Perú
Oracle Identity Governance (OIG)
Principales Componentes
Manage Identities
Argentina-México-Perú
Configuraciones OIG
• OIG, puede ser desplegado en dos modalidades
OIM en Modalidad de Base de Datos OIM con el modo activo de Auditor de Identidad
• Capaz de administrar millones de identidades de diferentes tipos y • OIM en este modo permite la funcionalidad de ejecutar campañas de
cientos de aplicaciones almacenadas en una Base de Datos. certificación, gestionar y crear políticas de auditoria.
• Modo que es utilizado para administración de identidad, • Capacidades de minería de roles para detectar políticas de roles y sus
requerimientos de accesos, cuentas y aprovisionamiento de permisos agrupaciones.
y con SSO con soluciones como OAM (Oracle Access Manager) o
similares. • Se puede utilizar Gestión de Ciclo de Vida (LCM) de roles, Segregación
de Derechos (Auditoria de Identidad) y Certificación de Accesos.
Argentina-México-Perú
OIG e Integración con Aplicaciones & Sistemas
Aplicaciones & Son conocidos como Recursos de TI
Sistemas de TI Los recursos de TI exponen objetos gestionados por OIM
Lotus Notes /
Exchange
Servidor OIM
Argentina-México-Perú
OIG e Integración con IAM
• La integración es a través de estándares como Servicios Web o APIs.
Argentina-México-Perú
Herramientas de OIG
Usuario Final & Administradores de Identidades Administradores de OIG
• Interfaz de Auto-Servicio, utilizada por usuarios finales y • Interface de Administrador del Sistema, para realizar tareas de
administradores. administración de OIG.
• Gestiona perfil de usuarios, contraseña, preguntas reto y contraseñas • Definir políticas de flujos de trabajo, políticas de organizaciones y
de cuentas. capacidades de usuario.
• Visualizar requerimientos, aprobar accesos para otros y si mismo, • Gestionar esquemas de entidades del sistema, el de usuario, rol y
certificar usuarios y procesos de violación de políticas, así como tareas organización.
de aprovisionamiento manual.
• Gestionar puntos de aprovisionamiento y el esquema soportado de los
• Autorizar usuarios a roles, crear y ejecutar campañas de certificación, objetos.
configurar reglas de Segregación de Derechos (SoD) y políticas y crear
y ejecutar escaneo de cumplimientos. • Importar/Exportar configuración de objetos OIM.
Argentina-México-Perú
Herramientas de OIG
Otras Herramientas Disponibles
Argentina-México-Perú
Arquitectura Técnica OIG…
• OIG es una aplicación WEB J2EE, la v12c (12.2.1) requiere JDK 1.8 y el servidor de aplicaciones OWL 12.2.1.3. Tiene la
misma funcionalidad que OIM 11PS3.
• T3, es el protocolo en que se comunican los componentes internos de OIG con OWL para realizar las operaciones de
administración de los componentes desplegados sobre OWL.
Servidor
BPEL
OWL Application Server
Argentina-México-Perú
…Arquitectura Técnica OIG
• Oracle Traffic Direct (OTD) es una solución que tiene funcionalidades de Servidor Web, Proxy, Filtro de SQL Injection y
reemplazaría a OHS en las próximas versiones.
• La base de datos contiene información de meta-data y de Usuario final (Identidades, recursos, flujos, requerimientos)
TCP Connector
OIM Active Directory
Server
Administración
Servidor
BPEL
OWL Application Server 12c
Argentina-México-Perú
Preguntas Relacionadas P
• ¿Qué es la certificación closed-loop?
a. El aprovisionamiento de derechos a aplicaciones.
b. La creación de permisos sobre aplicaciones.
c. El realizar un flujo de aprovisionamiento en OIM.
d. La certificación de acceso a recursos de una identidad.
Argentina-México-Perú
Preguntas Relacionadas P
• La Gestión del Ciclo de vida de Roles es provista por OIG de la
siguiente manera
a. En modalidad OOBOX por OIG.
b. A través de las funciones de auditoria de identidad.
c. Con la Segregación de Funciones provistas por OIG.
d. Configurando OIG.IsIdentityAuditorEnabled en TRUE.
Argentina-México-Perú
OIG e Integración con IAM
• La integración es a través de estándares como Servicios Web o APIs.
Argentina-México-Perú
OIG Características
Requerimientos de Negocio Características
Revisión de Accesos y Certificación Certificación
Segregación de Derechos Preventivo y Reactivo Políticas de Auditoria de Identidad
RBAC, Cumplimiento de Propiedad de roles y Análisis de Roles LCM
Roles
Argentina-México-Perú
Nuevas Características
Configuración Rendimiento
Acceso Gobierno
Accesos GUI
Requerimientos Identidades
Argentina-México-Perú
Políticas de Flujos de Trabajo OIG
• Una nueva forma de
configurar aprobaciones
en OIM.
Argentina-México-Perú
Operaciones de Políticas de Flujos de Trabajo
Argentina-México-Perú
Políticas de Flujos de Trabajo
Ejemplos de Operación
REQUERIMIENTO OPERACION
Requerimiento de Catalogo para Asignar el Entitlement “AD EMEA” al usuario Aprovisionar Entitlement
“CSALADNA”
Requerimiento de Catalogo para Asignar el Entitlement “AD EMEA Administradores” a los Aprovisionamiento por
usuarios “CPOLANCO” y “TMARINERO” Lotes de Entitlement
Requerimiento de Catalogo para Asignar los Entitlements “SAP CuentasxCobrar 250K” y Aprovisionamiento por
“PSOFT Baja de Empleados” al usuario “CSALADNA” Lotes de Entitlement
Requerimiento de Catalogo para Asignar los Application Instances “AD Piura” y “SAP Lima” Requerimiento
al usuario “CSALADNA” Heterogéneo
Argentina-México-Perú
Preguntas Relacionadas P
• ¿Cuándo un gestor realiza un requerimiento de una instancia de
aplicación para un usuario, que operación es evaluada para
aprobación?
a. Requerimiento Heterogéneo.
b. Aprovisionamiento Bulk de Instancias de Aplicación.
c. Aprovisionamiento de Instancia de Aplicación.
d. Aprovisionamiento Masivos de Entitlements.
e. Aprovisionamiento de Entitlements.
f. Modificación de Usuarios Masivos.
g. Asignación de Roles.
Argentina-México-Perú
Modelo de Autorización OIG
Gestiona lo que los usuarios pueden hacer
por otros
• Administración de
Roles.
• Capacidades de
Auto Servicio.
Argentina-México-Perú
Conceptos de Autorización OIG
• La autorización controla que operaciones de OIG puede un individuo realizar para si
mismo y para otros usuarios.
Roles de Define que acciones de OIG los usuarios pueden realizar para
Administración otros usuarios
Reglas de Capacidad de Define que acciones de OIG los usuarios pueden realizar para si mismos
Auto Servicio
Argentina-México-Perú
Administración de Roles
2 1
• Define que acciones OIG puede realizar el usuario para otros usuarios.
Argentina-México-Perú
Capacidades de Auto Servicio
Employee Type =
• View Profile
Contractor
Usuario
Reglas Capacidades
Argentina-México-Perú
Capacidades de Auto Servicio
Argentina-México-Perú
Reglas de Capacidades de Auto Servicio
Si el Usuario es Contratado
Argentina-México-Perú
Preguntas Relacionadas P
• La regla por defecto de capacidad de Auto Servicio tiene alta
prioridad
a. Verdad.
b. Falso.
c. De cuando en cuando.
Argentina-México-Perú
Preguntas Relacionadas P
• ¿Cuáles son cuentas privilegiadas?
a. Cuentas de OIM Auto-servicio.
b. Cuentas compartidas y cuentas de usuario con privilegios elevados.
c. Cuentas de acceso a correo electrónico.
d. Todas las anteriores.
Argentina-México-Perú
Segregación de Responsabilidades (SoD)
Argentina-México-Perú
Infracción de Segregación de Responsabilidades
(SoD)
Argentina-México-Perú
Segregación de Responsabilidades (SoD) en OIG
BENEFICIOS
• Promover SoD combinando sistemas
Access Review heterogéneos e Información de identidad.
JDOE Accounts Payable user
• Monitorear y detectar infracciones SoD
JDOE Accounts Payable admin • Prevenir infracciones SoD
Argentina-México-Perú
Tipos de Auditoria de Identidad (IDA)
Preventive Detective
• Una política de auditoria esta compuesta de reglas de auditoria y cada regla detecta una
causa de infracción. Las cuentas de usuario y organizaciones son evaluadas para detectar
políticas de accesos que transgredan una política de auditoria de identidad.
Argentina-México-Perú
Conceptos de Auditoria de Identidad (IDA)
Consisten en condiciones, si Es una colección de reglas
una regla de la condiciones que juntas se aplican a
evalúa a TRUE durante un políticas de SoD.
escaneo de políticas, la regla Por defecto una política
se dispara, porque constituye reporta una infracción si
una infracción SoD. alguna de las reglas evalúan a
TRUE.
Rules Policies
Argentina-México-Perú
Conceptos de Auditoria de Identidad (IDA)
Ocurre si una o más reglas Como se actúa ante una
asociadas con una política de infracción.
infracción es disparada por una Compromete un conjunto de
cuenta de usuario (incluido atributos incluyendo el origen de la
entitlements dentro de la cuneta), infracción destino, la política
un atributo del usuario o un rol de transgredida, la cuenta junto con
unas causas de la infracción.
usuario.
Las condiciones de la regla que
las producen y se asignan a Remediation
Policy Violation remediadores.
Argentina-México-Perú
Preguntas Relacionadas P
• Un Usuario tiene dos role asignados: El de cuadre de caja del
banco y el de gestor de agencia, y esto constituye una infracción
SoD. El usuario es responsable de actuar y resolver el conflicto.
a. VERDAD.
b. FALSO.
Argentina-México-Perú
IDA vs. Certificaciones
IDA Certificación
Propósito Detectar combinación de Revisar Privilegios.
privilegios no-autorizados
Casos de Uso para Gobierno Segregación de Acumulación de Atestiguaciones
Responsabilidades (SoD) de Responsabilidades
Preventiva SI NO
LISTENERS de Eventos
Detective SI SI
Programada por Definiciones de SCAN JOBS programados
JOBS de SCAN LISTENERS de Eventos
Generados a través de Infracciones de Políticas para Objetos de Certificación para
Remediación revisión
Artefactos de Configuración Reglas Definición de Certificación
Políticas LISTENERS de Eventos
Definiciones de SCAN JOBS
Argentina-México-Perú
Auditor de Identidad & Gestión CV Roles
Nuevas Opciones
Sobre la Página de Página de
Auto Servicio Cumplimiento
Argentina-México-Perú
Gestión de Ciclo de Vida de Roles
• Controla y brinda información para actividades relacionadas al ciclo de vida
del rol, como:
• Crear roles.
• Modificación atributos de rol.
• Modificar miembros de rol.
• Eliminar roles.
• Se aplica la gestión de ciclo de vida de roles por:
– Requiere aprobaciones para cualquier activación del ciclo de vida del rol.
– Brinda información de soporte acerca del rol por administradores:
• Información analítica sobre una operación de gestión que un usuario está por
realizar o aprobar.
• Información histórica acerca del rol, simplificando auditoria.
Argentina-México-Perú
Gestión de Ciclo de Vida de Roles
Argentina-México-Perú
Gestión de Ciclo de Vida de Roles
Análisis de Role
Argentina-México-Perú
Oracle Privileged Account Manager (OPAM)
Revisión
Datos
Usuario Cuenta
Datos
Usuario
Argentina-México-Perú
Oracle Privileged Account Manager
(OPAM)
Revisión
• Ejemplos de cuentas privilegiadas incluyen:
• ROOT de UNIX, administrador de Windows y SYSDBA de base de datos Oracle.
• Cuentas de aplicaciones (administrador de OWL).
• Cuentas de usuario compartidas y de privilegios elevados.
• Los administradores determinan que cuentas son privilegiadas en un despliegue en particular.
• OPAM gestiona contraseñas de cuentas privilegiadas y de cuentas no-privilegiadas.
Cuentas
Privelegiadas
*******
Oracle Privileged
Account Manager
*******
Cuentas no
Privelegiadas
Argentina-México-Perú
Beneficios de Utilizar OPAM
• Las cuentas privilegiadas tienen más derechos de acceso que las cuentas no-
privilegiadas.
• El cambio de contraseñas para cuentas privilegiadas es difícil de realizar.
• Las cuentas privilegiadas son compartidas por múltiples usuarios.
• Almacenar las contraseñas de cuentas privilegiadas en una localización
centralizada previene el control de accesos a las contraseñas.
• Con OPAM se logra
– Gestión de contraseñas de manera centralizada para cuentas compartidas y privilegiadas.
– Capacidades interactivas de políticas basadas en CHECKOUT & CHECKIN para cuentas
privilegiadas.
– Capacidades de gestión de sesión avanzadas.
Argentina-México-Perú
Beneficios de Utilizar OPAM
• La funcionalidad de cambio de contraseña para cuentas privilegiadas
automáticamente es utilizando los conectores de Identity Connector
Framewokr (ICF).
Argentina-México-Perú
Características OPAM
• Acceso desde Múltiples puntos:
– Consola.
– APIs RESTful.
– Herramienta Command-line (CLI).
• Interfaces de múltiples usuario
– Administrador.
– Auto-Servicio.
• Soporte de multiples sistemas destinos
– Sistemas operativos.
– Bases de Datos.
– Directorios LDAP.
– Aplicaciones OFMW.
Argentina-México-Perú
Características OPAM
• Integración con otras tecnologías:
– Servicio de confianza Oracle Platform Security Service (OPSS).
– Almacén de Datos OPSS.
– Credential Store Framework (CSF).
– Identity Connector Framework (ICF).
• Capacidades de reportes avanzadas
– Compatibilidad con OBIP.
– Crear y gestionar reporte desde diferentes fuentes.
– Generar reportes de auditoria.
– Compartir datos de reporte a OIM.
Argentina-México-Perú
Funcionalidades OPAM
• Asociar cuentas privilegiadas con • Eliminar cuentas privilegiadas no
destinos y políticas gestionadas (cuentas de caja negra).
• Otorgar y revocar derechos de • Reiniciar contraseña cuando se realiza
accesos a usuarios y roles con un CHECKIN y CHECKOUT.
cuentas privilegiadas. • Gestionar contraseñas sobre destinos
• Brinda un framework plug-in soportados.
extensible. • Realizar operaciones CRUD sobre
• Brinda acceso basado en roles al destinos, cuentas privilegiadas y
mantenimiento de contraseñas en el políticas.
requerimiento de contraseñas de • Monitorear y reportear acceso a
OPAM. cuentas privilegiadas.
• Capacidades de CKECKOUT & • Autorizar acceso a destinos, cuentas
CHECKIN de contraseñas para privilegiadas y políticas.
controlar el acceso a cuentas.
• Capacidades de gestión de sesiones
Argentina-México-Perú
Arquitectura OPAM
Argentina-México-Perú
Despliegue OPAM
2
3
3
Argentina-México-Perú
Identity Connector Framework (ICF)
• Un ICF contiene funcionalidad que OPAM utiliza para acceder y gestionar cuentas
privilegiadas sobre un destino especifico.
Base de Datos Servicio de Directorios S.O. unix/linux Aplicaciones Control Aplicaciones Aplicaciones Gestores de
Accesos Web HelpDesk Empresariales Seguridad
Argentina-México-Perú
Integración OPAM-OIM
Propietario de Negocio
Argentina-México-Perú
OIM – Lanzamientos Planeados
2017 2018
OIM 12cPS3
• Oracle Identity Governance
• Oracle Access Management
• Oracle Internet Directory
• Oracle Unified Directory
Argentina-México-Perú