Arquitectura & Componentes OIG & OAM Suite

1
Arquitectura & componentes OIG & OAM Suite

Capitulo I – Oracle Identity Governance Suite (OIG)
Argentina-México-Perú
Objetivos
• Después de completar este capitulo, estará en la capacidad de:
– Entender los productos que conforman OIG
– Describir las modalidades de despliegue de OIG
– Entender la arquitectura técnica de OIG
– Describir las funciones de integración de OIG e IAM
– Describir las funcionalidades de OIG y sus principales funcionalidades
– Describir Oracle Privileged Account Manageer (OPAM)
– Discutir los beneficios de utilizar OPAM
– Discutir Identity Connector Framework (ICF)
– Explicar la seguridad en OPAM
– Examinar como implementar la seguridad en OPAM
Agenda
• Productos Oracle Identity Governance (OIG) Suite
• Oracle Identity Governance (OIG)
– Configuraciones OIG
– OIG e Integración con Aplicaciones & Sistemas
– OIG e Integración con IAM
– Herramientas OIG
– Arquitectura Técnica OIG
– Nuevas Características
• Oracle Privileged Account Management (OPAM)
– Beneficios de usar OPAM
– Funcionalidades
– Arquitectura
– Integración OPAM-OIM
Oracle Identity Governance Suite (OIG)
Características
• OIG, brinda funcionalidades de auto-servicios, cumplimiento, aprovisionamiento y gestión de contraseña para

aplicaciones que residen on-premise o en Cloud.
 Cuentas privilegiadas y no-privilegiadas
 Flujos de Trabajo de aprobacion
sofisticados
 Certificación de Accesos de Usuarios
 Requerimientos de Acceso “Shopping
Cart”
 Interfazes de administración flexibles
Oracle Identity Governance Suite (OIG)
Productos de la Suite
• OIG, brinda funcionalidades de auto-servicios, cumplimiento, aprovisionamiento y gestión de contraseña para

aplicaciones que residen on-premise o en Cloud.
ORACLE IDENTY MANAGEMENT ORACLE PRIVILEGED ACCOUNT MANAGAMENT
• Solución de Gobierno que permite gestionar identidades y privilegios • Solución de Gestión de Contraseñas segura para generar, provisionar y
de accesos a clientes, socios de negocio y empleados en una sola gestionar accesos a contraseñas para cuentas privilegiadas.
PLATAFORMA.
• Para cuentas de ‘root’ Linux/Unix o ‘sys’ de base de datos.
• Automatiza los procesos de creación, actualización y eliminación de
cuentas de usuarios, aprovisionamiento de contraseñas y • Permite auditar y establecer el control para usuarios con credenciales
revocación/otorgamiento de permisos sobre aplicaciones. de cuentas privilegiadas.
• Permite la certificación de accesos de usuarios, a través de un proceso

conocido como certificación de identidad (remediación closed-loop).
• Permite definir políticas de auditoria para especificar el tipo de

accesos que un usuario puede o puede tener (SoD).
• Con sus capacidades de reporte es posible tener información de los

requerimientos y aprovisionamientos, certificaciones de identidad y
auditoria de identidad.
Oracle Identity Governance (OIG)
Principales Componentes
Oracle Identity Governance
Identity Governance Services

Privileged Account
Reports
Management
Segregation of Role Lifecycle

Certification
Duties Management
Manage Identities
Requests Workflows Authorization Sistemas
Provisioning & Delegated

Connectors
Reconciliation Administration
Configuraciones OIG
• OIG, puede ser desplegado en dos modalidades
OIM en Modalidad de Base de Datos OIM con el modo activo de Auditor de Identidad
• Capaz de administrar millones de identidades de diferentes tipos y • OIM en este modo permite la funcionalidad de ejecutar campañas de
cientos de aplicaciones almacenadas en una Base de Datos. certificación, gestionar y crear políticas de auditoria.
• Modo que es utilizado para administración de identidad, • Capacidades de minería de roles para detectar políticas de roles y sus
requerimientos de accesos, cuentas y aprovisionamiento de permisos agrupaciones.
y con SSO con soluciones como OAM (Oracle Access Manager) o
similares. • Se puede utilizar Gestión de Ciclo de Vida (LCM) de roles, Segregación
de Derechos (Auditoria de Identidad) y Certificación de Accesos.
• Estas funcionalidades deben ser LICENCIADAS.
En Configuración de Sistema de OIG, ubicar la propiedad

del sistema:
Identity Auditor Feature Set Availability, y asignar el valor TRUE a la
variable
OIG.IsIdentityAuditorEnabled
Hay que reiniciar OIG para que el cambio tenga lugar.
OIG e Integración con Aplicaciones & Sistemas
Aplicaciones & Son conocidos como Recursos de TI
Sistemas de TI Los recursos de TI exponen objetos gestionados por OIM
Son llamados Objetos de Recursos

Objetos de los Recursos Objetos Representan Cuentas = Instancias de Aplicación
de TI Objetos Representan Accesos = Autorizaciones o Derechos (ENTITLEMENTS)
Lotus Notes /
Exchange
Conector AD Connector Active Directory

Server
OIM
Conector SAP
Success Factor SAP Success Factor
Servidor OIM
Oracle WebLogic Application Server - OWL
OIG e Integración con IAM
• La integración es a través de estándares como Servicios Web o APIs.
• Olvido de contraseña de usuario, preguntas y respuestas retos, gestión de políticas de

OIM Integrado con contraseña, bloqueo y desbloqueo de cuenta, auto registración,
OAM • OAM brinda SSO a OIM, y destrucción de sesión en tiempo r real si es usuario de bloquea o
desbloquea.
• OIM, requiere el uso de la característica de sincronización

LDAP para:
– Almacenar usuarios, contraseña de usuario y cambios en sus atributos,
grupos y membrecía de grupos al directorio LDAP.
• OIM reconcilia los cambios realizados desde el directorio
LDAP incluyendo el bloqueo de cuentas.
Herramientas de OIG
Usuario Final & Administradores de Identidades Administradores de OIG
• Interfaz de Auto-Servicio, utilizada por usuarios finales y • Interface de Administrador del Sistema, para realizar tareas de
administradores. administración de OIG.
• Gestiona perfil de usuarios, contraseña, preguntas reto y contraseñas • Definir políticas de flujos de trabajo, políticas de organizaciones y
de cuentas. capacidades de usuario.
• Visualizar requerimientos, aprobar accesos para otros y si mismo, • Gestionar esquemas de entidades del sistema, el de usuario, rol y
certificar usuarios y procesos de violación de políticas, así como tareas organización.
de aprovisionamiento manual.
• Gestionar puntos de aprovisionamiento y el esquema soportado de los
• Autorizar usuarios a roles, crear y ejecutar campañas de certificación, objetos.
configurar reglas de Segregación de Derechos (SoD) y políticas y crear
y ejecutar escaneo de cumplimientos. • Importar/Exportar configuración de objetos OIM.
• Instalar, desinstalar y actualizar conectores.
Herramientas de OIG
Otras Herramientas Disponibles
• OIM ofrece APIs REST para poder realizar operaciones de auto-

servicio, que pueden ser invocados desde aplicaciones que puedan
construir clientes REST.
• JDeveloper es utilizado para el desarrollo de flujos de trabajo

personalizados utilizando BPEL y SCA.
• La consola de diseño OIM, para personalizar formularios.
• BIP, como herramienta de reportes para la creación de reportes

personalizados y el acceso a los reportes ofrecidos por OIG.
Arquitectura Técnica OIG…
• OIG es una aplicación WEB J2EE, la v12c (12.2.1) requiere JDK 1.8 y el servidor de aplicaciones OWL 12.2.1.3. Tiene la
misma funcionalidad que OIM 11PS3.
• T3, es el protocolo en que se comunican los componentes internos de OIG con OWL para realizar las operaciones de
administración de los componentes desplegados sobre OWL.
t3/s Protocolos Nativos

Interfaz de
Recurso
Usuario Final
HTTP/S
Servidor SPML XSD Recurso

Servidor
HTTP Oracle JDBC Oracle
Identity RDBMS
REST
Governance
Interfaz de TCP Connector

Recurso
Administración Server
de Usuario
Servidor
BPEL
OWL Application Server
…Arquitectura Técnica OIG
• Oracle Traffic Direct (OTD) es una solución que tiene funcionalidades de Servidor Web, Proxy, Filtro de SQL Injection y
reemplazaría a OHS en las próximas versiones.
• La base de datos contiene información de meta-data y de Usuario final (Identidades, recursos, flujos, requerimientos)
OIM Auto- t3/s Protocolos Nativos

Servicio BD Clientes Externos
ADF
HTTP/S
OHS aprovisionar SAP RRHH

OTD JDBC
OIG Servidor MDS
12c USER
API REST USER
TCP Connector
OIM Active Directory
Server
Administración
Servidor
BPEL
OWL Application Server 12c
Preguntas Relacionadas P
• ¿Qué es la certificación closed-loop?
a. El aprovisionamiento de derechos a aplicaciones.
b. La creación de permisos sobre aplicaciones.
c. El realizar un flujo de aprovisionamiento en OIM.
d. La certificación de acceso a recursos de una identidad.
• La Gestión del Ciclo de vida de Roles es provista por OIG de la
siguiente manera
a. En modalidad OOBOX por OIG.
b. A través de las funciones de auditoria de identidad.
c. Con la Segregación de Funciones provistas por OIG.
d. Configurando OIG.IsIdentityAuditorEnabled en TRUE.
OIG e Integración con IAM
• La integración es a través de estándares como Servicios Web o APIs.
• Olvido de contraseña de usuario, preguntas y respuestas retos, gestión de políticas de

OIM Integrado con contraseña, bloqueo y desbloqueo de cuenta, auto registración,
OAM • OAM brinda SSO a OIM, y destrucción de sesión en tiempo r real si es usuario de bloquea o
desbloquea.
• OIM, requiere el uso de la característica de sincronización

LDAP para:
– Almacenar usuarios, contraseña de usuario y cambios en sus atributos,
grupos y membrecía de grupos al directorio LDAP.
• OIM reconcilia los cambios realizados desde el directorio
LDAP incluyendo el bloqueo de cuentas.
OIG Características
Requerimientos de Negocio Características
Revisión de Accesos y Certificación Certificación
Segregación de Derechos Preventivo y Reactivo Políticas de Auditoria de Identidad
RBAC, Cumplimiento de Propiedad de roles y Análisis de Roles LCM
Roles
Nuevas Características
Configuración Rendimiento
• Políticas de Contraseña • Work Managers

• Autorización de Administración • Mejor rendimiento de GUI ADF
de Roles • Nueva maquina de Auditoria
• Autorización de Auto-Servicio • Gestor de Eventos
• Políticas de Flujo de Trabajo
Acceso Gobierno
Accesos GUI
Requerimientos Identidades
• GUI Cloud- y • Accesos • Aprobación de

móvil Temporales propiedad de
Roles
• Analís de Rol
• Historia de Rol
• SoD
Conceptos de Políticas de Flujos de Trabajo
Operación: Asociar condiciones a Requerimientos
Regla: Es un contenedor Condición: Determinar el Composite

para las condiciones dl WKF SOA para atender la aprobación
Políticas de Flujos de Trabajo OIG
• Una nueva forma de
configurar aprobaciones
en OIM.
Operaciones de Políticas de Flujos de Trabajo
• Por cada REQUEST

1 – Operation for single request
1 – Operation for bulk request
+1 Heterogeneous Request operation
Políticas de Flujos de Trabajo
Ejemplos de Operación
REQUERIMIENTO OPERACION
Requerimiento de Catalogo para Asignar el Entitlement “AD EMEA” al usuario Aprovisionar Entitlement
“CSALADNA”
Requerimiento de Catalogo para Asignar el Entitlement “AD EMEA Administradores” a los Aprovisionamiento por
usuarios “CPOLANCO” y “TMARINERO” Lotes de Entitlement
Requerimiento de Catalogo para Asignar los Entitlements “SAP CuentasxCobrar 250K” y Aprovisionamiento por
“PSOFT Baja de Empleados” al usuario “CSALADNA” Lotes de Entitlement
Requerimiento de Catalogo para Asignar los Application Instances “AD Piura” y “SAP Lima” Requerimiento
al usuario “CSALADNA” Heterogéneo
Administrador reinicia la contraseña al usuario “MSANDOVAL” Modificación Perfil de

Usuario
“PMALDONADO” reinicia su contraseña Auto Servicio de

Actualización de Perfil
• ¿Cuándo un gestor realiza un requerimiento de una instancia de
aplicación para un usuario, que operación es evaluada para
aprobación?
a. Requerimiento Heterogéneo.
b. Aprovisionamiento Bulk de Instancias de Aplicación.
c. Aprovisionamiento de Instancia de Aplicación.
d. Aprovisionamiento Masivos de Entitlements.
e. Aprovisionamiento de Entitlements.
f. Modificación de Usuarios Masivos.
g. Asignación de Roles.
Modelo de Autorización OIG
Gestiona lo que los usuarios pueden hacer
por otros
• Administración de
Roles.
• Capacidades de
Auto Servicio.
Gestiona lo que los usuarios

pueden hacer por si mismos
• Una nueva forma de autorizaciones en OIM.
Conceptos de Autorización OIG
• La autorización controla que operaciones de OIG puede un individuo realizar para si
mismo y para otros usuarios.
Roles de Define que acciones de OIG los usuarios pueden realizar para
Administración otros usuarios
Reglas de Capacidad de Define que acciones de OIG los usuarios pueden realizar para si mismos
Auto Servicio
Administración de Roles
2 1
• Define que acciones OIG puede realizar el usuario para otros usuarios.
Capacidades de Auto Servicio
Employee Type = • Modify profile

Full-Time • Request for roles
Employee Type =
• View Profile
Contractor
Usuario
Reglas Capacidades
• Define que acciones OIG puede realizar el usuario para si mismo.
Capacidades de Auto Servicio
• Las capacidades son accedidas desde OIG auto-servicio, configuradas

utilizando reglas.
• Cuando un usuario accede a la consola de auto-servicio, OIG evalúa el
usuario de acuerdo a las reglas en el orden que aparece.
• La regla por DEFECTO de auto servicio tiene baja prioridad.
Reglas de Capacidades de Auto Servicio
Si el Usuario es Contratado
…el puede ser capaz de:

Modificar su contraseña
Cambiar su perfil, excepto su
Teléfono de Casa, e-mail y
Numero de Teléfono
• La regla por defecto de capacidad de Auto Servicio tiene alta
prioridad
a. Verdad.
b. Falso.
c. De cuando en cuando.
• ¿Cuáles son cuentas privilegiadas?
a. Cuentas de OIM Auto-servicio.
b. Cuentas compartidas y cuentas de usuario con privilegios elevados.
c. Cuentas de acceso a correo electrónico.
d. Todas las anteriores.
Segregación de Responsabilidades (SoD)
• Un principio de gobierno de identidad.

• Procesos críticos tiene mas de un participante.
Infracción de Segregación de Responsabilidades
(SoD)
• Un usuario con ambos privilegios de Administrador y usuario de Pago de

cuentas puede realizar tareas por si mismo y para si mismo.
Segregación de Responsabilidades (SoD) en OIG
BENEFICIOS
• Promover SoD combinando sistemas
Access Review heterogéneos e Información de identidad.
JDOE Accounts Payable user
• Monitorear y detectar infracciones SoD
JDOE Accounts Payable admin • Prevenir infracciones SoD
• Promover SoD con reglas y políticas.

• Detectar y actuar ante infracciones SoD.
Tipos de Auditoria de Identidad (IDA)
Preventive Detective
Cualquier acceso que es requerido o modificado Se monitorea el almacén de datos de

en tiempo real puede ser detectado identidad completo para identificar
automáticamente como una infracción SoD y
puede realizarse acciones preventivas anomalías o combinaciones toxicas de
derechos de accesos.
• Una política de auditoria esta compuesta de reglas de auditoria y cada regla detecta una
causa de infracción. Las cuentas de usuario y organizaciones son evaluadas para detectar
políticas de accesos que transgredan una política de auditoria de identidad.
Conceptos de Auditoria de Identidad (IDA)
Consisten en condiciones, si Es una colección de reglas
una regla de la condiciones que juntas se aplican a
evalúa a TRUE durante un políticas de SoD.
escaneo de políticas, la regla Por defecto una política
se dispara, porque constituye reporta una infracción si
una infracción SoD. alguna de las reglas evalúan a
TRUE.
Rules Policies
Es la acción de ejecutar una Un escaneo puede ser

almacenado como una tarea
política junto con las reglas programada y puede ser
asociadas a determinada programada por un administrador
población de las entidades, en un tiempo determinado.
como roles, usuarios o Pueden existir muchos trabajos de
escaneo múltiples, permitiendo
instancias de aplicación. escaneos de forma individual y
Pueden ser preventivas o pueden ejecutar de forma
detective. concurrente.
Scan Definitions Scan Jobs
Conceptos de Auditoria de Identidad (IDA)
Ocurre si una o más reglas Como se actúa ante una
asociadas con una política de infracción.
infracción es disparada por una Compromete un conjunto de
cuenta de usuario (incluido atributos incluyendo el origen de la
entitlements dentro de la cuneta), infracción destino, la política
un atributo del usuario o un rol de transgredida, la cuenta junto con
unas causas de la infracción.
usuario.
Las condiciones de la regla que
las producen y se asignan a Remediation
Policy Violation remediadores.
Cuando una política detecta Para ofrecer información acerca de

una infracción durante un las infracciones. Algunos reportes
son:
escaneo, se asigna a un
remediador la resolución de la • Política de auditoria.
infracción. • Definición de escaneo
• Remediadores
Un remediador puede ser un • Usuarios que tienen una cuenta,
rol o mas de un usuario con el atributo, rol que transgrede la
rol de remediador. política de auditoria.
El remediado toma acciones • Gestor de usuarios
Remediators para resolver las infracciones. Reports
• Un Usuario tiene dos role asignados: El de cuadre de caja del
banco y el de gestor de agencia, y esto constituye una infracción
SoD. El usuario es responsable de actuar y resolver el conflicto.
a. VERDAD.
b. FALSO.
IDA vs. Certificaciones
IDA Certificación
Propósito Detectar combinación de Revisar Privilegios.
privilegios no-autorizados
Casos de Uso para Gobierno Segregación de Acumulación de Atestiguaciones
Responsabilidades (SoD) de Responsabilidades
Preventiva SI NO
LISTENERS de Eventos
Detective SI SI
Programada por Definiciones de SCAN JOBS programados
JOBS de SCAN LISTENERS de Eventos
Generados a través de Infracciones de Políticas para Objetos de Certificación para
Remediación revisión
Artefactos de Configuración Reglas Definición de Certificación
Políticas LISTENERS de Eventos
Definiciones de SCAN JOBS
Auditor de Identidad & Gestión CV Roles
• IDA es nativo a OIG 12c. Se despliegan nuevas opciones relacionadas a

auditoria de identidades. El control LCM de roles se habilita.
Auditor de Identidad : Interfaces de Usuario
Nuevas Opciones
Sobre la Página de Página de
Auto Servicio Cumplimiento
Gestión de Ciclo de Vida de Roles
• Controla y brinda información para actividades relacionadas al ciclo de vida
del rol, como:
• Crear roles.
• Modificación atributos de rol.
• Modificar miembros de rol.
• Eliminar roles.
• Se aplica la gestión de ciclo de vida de roles por:
– Requiere aprobaciones para cualquier activación del ciclo de vida del rol.
– Brinda información de soporte acerca del rol por administradores:
• Información analítica sobre una operación de gestión que un usuario está por
realizar o aprobar.
• Información histórica acerca del rol, simplificando auditoria.
• Propietario de Rol • Administrador del Sistema

– Responsable por el rol y sus miembros. – Participante en los requerimientos
– Pueden ser responsables de las de membrecía de roles
discrepancias de roles • Si es así, deben aprobar
• Si es así, deben aprobar cualquier cambios en la membrecía de
actividad en la asignación de roles .
roles.
Análisis de Role
• Brinda análisis de impacto antes de que los usuarios realicen o aprueben

una operación en el rol en la consola de Auto-Servicio.
Oracle Privileged Account Manager (OPAM)
Revisión
• OPAM gestiona cuentas privilegiadas, las cuales incluyen:

• Accesos a datos sensitivos.
• Otorgar accesos a datos sensitivos gestionados por contraseñas.
• Cuentas que no son gestionadas por otros componentes de OIM.
• Es una solución de gestión de contraseñas seguras diseñada para generar, aprovisionar y gestionar el
acceso a contraseñas para cuentas privilegiadas.
Datos
Usuario Cuenta
Datos
Usuario
Oracle Privileged Account Manager
(OPAM)
Revisión
• Ejemplos de cuentas privilegiadas incluyen:
• ROOT de UNIX, administrador de Windows y SYSDBA de base de datos Oracle.
• Cuentas de aplicaciones (administrador de OWL).
• Cuentas de usuario compartidas y de privilegios elevados.
• Los administradores determinan que cuentas son privilegiadas en un despliegue en particular.
• OPAM gestiona contraseñas de cuentas privilegiadas y de cuentas no-privilegiadas.
Cuentas
Privelegiadas
*******
Oracle Privileged
Account Manager
*******
Cuentas no
Privelegiadas
Beneficios de Utilizar OPAM
• Las cuentas privilegiadas tienen más derechos de acceso que las cuentas no-
privilegiadas.
• El cambio de contraseñas para cuentas privilegiadas es difícil de realizar.
• Las cuentas privilegiadas son compartidas por múltiples usuarios.
• Almacenar las contraseñas de cuentas privilegiadas en una localización
centralizada previene el control de accesos a las contraseñas.
• Con OPAM se logra
– Gestión de contraseñas de manera centralizada para cuentas compartidas y privilegiadas.
– Capacidades interactivas de políticas basadas en CHECKOUT & CHECKIN para cuentas
privilegiadas.
– Capacidades de gestión de sesión avanzadas.
Beneficios de Utilizar OPAM
• La funcionalidad de cambio de contraseña para cuentas privilegiadas
automáticamente es utilizando los conectores de Identity Connector
Framewokr (ICF).
• La gestión de usuario, gestión de grupo y capacidades de aprobación

y aprovisionamiento (integrándose con OIM).
Características OPAM
• Acceso desde Múltiples puntos:
– Consola.
– APIs RESTful.
– Herramienta Command-line (CLI).
• Interfaces de múltiples usuario
– Administrador.
– Auto-Servicio.
• Soporte de multiples sistemas destinos
– Sistemas operativos.
– Bases de Datos.
– Directorios LDAP.
– Aplicaciones OFMW.
Características OPAM
• Integración con otras tecnologías:
– Servicio de confianza Oracle Platform Security Service (OPSS).
– Almacén de Datos OPSS.
– Credential Store Framework (CSF).
– Identity Connector Framework (ICF).
• Capacidades de reportes avanzadas
– Compatibilidad con OBIP.
– Crear y gestionar reporte desde diferentes fuentes.
– Generar reportes de auditoria.
– Compartir datos de reporte a OIM.
Funcionalidades OPAM
• Asociar cuentas privilegiadas con • Eliminar cuentas privilegiadas no
destinos y políticas gestionadas (cuentas de caja negra).
• Otorgar y revocar derechos de • Reiniciar contraseña cuando se realiza
accesos a usuarios y roles con un CHECKIN y CHECKOUT.
cuentas privilegiadas. • Gestionar contraseñas sobre destinos
• Brinda un framework plug-in soportados.
extensible. • Realizar operaciones CRUD sobre
• Brinda acceso basado en roles al destinos, cuentas privilegiadas y
mantenimiento de contraseñas en el políticas.
requerimiento de contraseñas de • Monitorear y reportear acceso a
OPAM. cuentas privilegiadas.
• Capacidades de CKECKOUT & • Autorizar acceso a destinos, cuentas
CHECKIN de contraseñas para privilegiadas y políticas.
controlar el acceso a cuentas.
• Capacidades de gestión de sesiones
Arquitectura OPAM
Despliegue OPAM
2
3
3
Identity Connector Framework (ICF)
• Un ICF contiene funcionalidad que OPAM utiliza para acceder y gestionar cuentas
privilegiadas sobre un destino especifico.
Base de Datos Servicio de Directorios S.O. unix/linux Aplicaciones Control Aplicaciones Aplicaciones Gestores de
Accesos Web HelpDesk Empresariales Seguridad
Integración OPAM-OIM
1. Requerimiento Lista Cuentas 2. Tienen acceso usuarios OPAM?
4. Usuarios OPAM no ven las 3. LDAP empresarial retorna

cuentas usuarios OPAM si no están
asociados a roles apropiados
Usuario OPAM OPAM
5. Usuarios OPAM usan OIM

8. Los usuarios OPAM ReRequest Catalog para requerir
User son acceso a las cuentas apropiadas
notificados de
aprobación.
Ahora pueden 7. OIM adiciona el usuario OPAM a los roles LDAP
accede a OAPM.
6. Aprobación del Requereminto

LDAP Empresarial
Oracle Identity Manager
Propietario de Negocio
OIM – Lanzamientos Planeados
2017 2018
IDM 11gR2 PS3

Bundle Patches
IDM 12c PS3 IDM 12c PS4

Releases and Patches Releases and Patches
OIM 12cPS3
• Oracle Identity Governance
• Oracle Access Management
• Oracle Internet Directory
• Oracle Unified Directory

Arquitectura & Componentes OIG & OAM Suite

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Arquitectura & Componentes OIG & OAM Suite

Caricato da

Copyright:

Formati disponibili

1

Arquitectura & componentes OIG & OAM Suite

• OIG, brinda funcionalidades de auto-servicios, cumplimiento, aprovisionamiento y gestión de contraseña para

 Cuentas privilegiadas y no-privilegiadas

 Flujos de Trabajo de aprobacion

 Certificación de Accesos de Usuarios

 Requerimientos de Acceso “Shopping

 Interfazes de administración flexibles

• OIG, brinda funcionalidades de auto-servicios, cumplimiento, aprovisionamiento y gestión de contraseña para

ORACLE IDENTY MANAGEMENT ORACLE PRIVILEGED ACCOUNT MANAGAMENT

• Permite la certificación de accesos de usuarios, a través de un proceso

• Permite definir políticas de auditoria para especificar el tipo de

• Con sus capacidades de reporte es posible tener información de los

Oracle Identity Governance

Identity Governance Services

Segregation of Role Lifecycle

Requests Workflows Authorization Sistemas

Provisioning & Delegated

• Estas funcionalidades deben ser LICENCIADAS.

En Configuración de Sistema de OIG, ubicar la propiedad

Son llamados Objetos de Recursos

Conector AD Connector Active Directory

Oracle WebLogic Application Server - OWL

• Olvido de contraseña de usuario, preguntas y respuestas retos, gestión de políticas de

• OIM, requiere el uso de la característica de sincronización

• Instalar, desinstalar y actualizar conectores.

• OIM ofrece APIs REST para poder realizar operaciones de auto-

• JDeveloper es utilizado para el desarrollo de flujos de trabajo

• La consola de diseño OIM, para personalizar formularios.

• BIP, como herramienta de reportes para la creación de reportes

t3/s Protocolos Nativos

Servidor SPML XSD Recurso

Interfaz de TCP Connector

OIM Auto- t3/s Protocolos Nativos

OHS aprovisionar SAP RRHH

• Olvido de contraseña de usuario, preguntas y respuestas retos, gestión de políticas de

• OIM, requiere el uso de la característica de sincronización

• Políticas de Contraseña • Work Managers

• GUI Cloud- y • Accesos • Aprobación de

Regla: Es un contenedor Condición: Determinar el Composite

• Por cada REQUEST

+1 Heterogeneous Request operation

Administrador reinicia la contraseña al usuario “MSANDOVAL” Modificación Perfil de

“PMALDONADO” reinicia su contraseña Auto Servicio de

Gestiona lo que los usuarios

• Una nueva forma de autorizaciones en OIM.

Employee Type = • Modify profile

• Define que acciones OIG puede realizar el usuario para si mismo.

• Las capacidades son accedidas desde OIG auto-servicio, configuradas

…el puede ser capaz de:

• Un principio de gobierno de identidad.

• Un usuario con ambos privilegios de Administrador y usuario de Pago de

• Promover SoD con reglas y políticas.

Cualquier acceso que es requerido o modificado Se monitorea el almacén de datos de

Es la acción de ejecutar una Un escaneo puede ser

Cuando una política detecta Para ofrecer información acerca de

• IDA es nativo a OIG 12c. Se despliegan nuevas opciones relacionadas a

• Propietario de Rol • Administrador del Sistema

• Brinda análisis de impacto antes de que los usuarios realicen o aprueben

• OPAM gestiona cuentas privilegiadas, las cuales incluyen:

• La gestión de usuario, gestión de grupo y capacidades de aprobación

1. Requerimiento Lista Cuentas 2. Tienen acceso usuarios OPAM?