Do 7.2 January 21-25, 2008, Munich, Germany ICM - International Congress Centre Munich Identity as a Service" Reale Kundenanforderungen oder Hersteller Optimismus? Peter Heintzen Jens Pälmer
<Insert Picture Here> Vom Trend in die gelebte Realität nur Herstelleroptimismus oder unverzichtbare Geschäftsanforderung Peter Heintzen Sen. Manager IAM Sales Consulting - Western Continental Europe Jens Pälmer Director Business Unit Identity Management D,I,CH Agenda 1. Vom Directory Ansatz zum Prozess Ansatz SOA und IDM Integration 2. Compliance & Role Mgmt. Corporate Role Management 3. IDM ganzheitlicher Ansatz Persistenz, Workflows, Anwendungen Embedded IDM in Oracle Lösungen 4. Ausblick Oracle morgen IDM as a Service 2 1
Agenda 1. Vom Directory Ansatz zum Prozess Ansatz SOA und IDM Integration 2. Compliance & Role Mgmt. Corporate Role Management 3. IDM ganzheitlicher Ansatz Persistenz, Workflows, Anwendungen Embedded IDM in Oracle Lösungen 4. Ausblick Oracle morgen IDM as a Service 3 Identity & Access Management Identity Management Evolution seit 2000: Die erste Generation von Projekten wurde initiiert, um hauptsächlich Zugangs- Kontrollsoftware für Web-basierte Applikationen zu nutzen Die nächste Welle von Projekten fokussierte sich auf die Implementierung von Benutzer Verwaltung und Verzeichnisdiensten als eine Erweiterung der Zugangskontrollsoftware Die aktuellen Projekte, getrieben durch z.b. SOX, haben primär das Ziel Benutzer Provisionierung zu gewährleisten und im gleichen Masse Kontrolle und Einblicke zu den Identitäten und Rechtehistorien zu geben Durch diese Provisionierungsprojekte ermitteln Kunden die Differenz von Access Mgmt. und Provisionierungslösung - Rollen (Role Based Access Control) 4 2
Fallstudie TESCO AUSGANGSSITUATION Oracle e-business Suite, RETEK, Fusion Middleware, PeopleSoft, und 60 weitere Legacy Systeme im Einsatz Internationaler Retailer, Mitarbeiter : 353.000 HERAUSFORDERUNG DES KUNDEN Tesco hat eine stark heterogene Applikationslandschaft mit vielen Geschäftsprozessen. Hauptanforderung war der Aufbau einer Einkaufsplattform für ihren wachsenden Geschäftsbereich NON FOOD Dies unter Einbeziehung von Geschäftsmodulen aus unterschiedlichsten Applikationen ORACLE LÖSUNGSANSATZ Der ganzheitliche Ansatz der Fusion Architecture (SOA, IAM, WebService Security etc.) hat Oracle vom gesamten Wettbewerb unterschieden und zusätzlich dem Kunden eine langfristige Investitionssicherheit aufgezeigt. ERGEBNIS Integriert, End-to-End Security Konsolidierung unterschiedlicher heterogener Benutzerverwaltungen Security über die gesamte Wertschöpfungskette 5 Identity Management und SOA SOA erfordert ein konzernweites und konzernübergreifendes Identity Management Identitätsmanagement über den gesamten Prozeß integriert Konzern Lieferant Kunde Prozesse Services Anwendungen Process Orchestration SAP CRM SCM Billing 6 Kuppinger Cole + Partner 2007 3
Fallstudie BAMF AUSGANGSSITUATION Kunde hatte in FY06 bereits für Oracle BPEL und WebService Manager entschieden MS Active Directory ist führendes Benutzerverzeichnis HERAUSFORDERUNG DES KUNDEN Komplexe IT Umgebung mit vielen Datenspeichern Bedarf nach Delegated Administration und Gruppenverwaltung für Ihre Anwendungen Bedarf nach Passwort Sync von Active Directory zu mehreren Oracle Internet Directories ORACLE LÖSUNGSANSATZ Oracle Access Manager und Identity Manager wurden ausgewählt für 10.000 externe & 2000 interne Benutzer Identity Manager löst folgende Kundenprobleme: Delegated Mgmt. von Identitäten Passwort-Sync (z.b. mit MS AD) Überwachung der Einh. Gesetzesvorgaben ERGEBNIS Geringere Adminkosten und vereinfachtes Passwortmanagement Effiziente Account Erstellung und Löschung Passwort-Sync zwischen OID, AD (als führendes System) und Oracle DB Web Single Sign-On mit Application Express - und J2EE Anwendungen 7 Warum SOA Security? Überprüfung der Unversehrtheit (Integrität) einer empfangenen Nachricht Vertraulichkeit einer Nachricht muss beibehalten werden Identitätsbestimmung des Senders Ist der Sender autorisiert auf die Operation zuzugreifen die in der Nachricht angegeben ist 8 4
Securityaspekte einer SOA Sicherheitsaspekte von Anfang an in allen Projektphasen einbeziehen Vermeidung dass Security nachträglich aufgesetzt wird Vermeidung einer Designänderung Sicherheitsfunktionen selbst als Services zur Verfügung stellen zwecks Widerverwendung Die Aufgaben der SOA-Security zerfallen in die drei Bereiche Securitymanagement, Security-Regelinfrastruktur sowie Securityservices 9 Aufgaben einer SOA Security Securitymanagement beinhaltet Tools und Schnittstellen zur Bereitstellung und Verwaltung einer sicheren und stabilen Laufzeitumgebung Policyinfrastruktur ist verantwortlich für Definition regelbasierender Entscheidungen auf Basis geschäftlicher Vorgaben Administration der Sicherheitsregeln Verteilung an die Laufzeitumgebung (Policy Enforcement Point) Securityservices für z.b. Identitätsverwaltung, Authentication, Authorization/Privacy, Data/Message Schutz und Auditing 10 5
Überschneidung Identity Management und SOA Identity Mgt Oracle Internet Directory Oracle Access Manager Oracle Fraud Detection Oracle Federation Server OWSM SOA OC4J / UDDI Registry / OLite Oracle BPEL Process Mgr Oracle Ent. Service Bus Third-Party Umgebungen - Identity Management Infrastrukturen - LDAP Verzeichnisse - UDDI registries - XML acceleration 11 Identity Mgmt. im Domänenkonzept Appl. C.1 Appl. A.1 Appl. A.2 SLAs SAML SOAP Appl. C.2 Appl. A.3 Federation SLAs SAML SOAP Federation Übergreifendes Virtual Directory SLAs SAML SOAP Appl. B.1 Appl. D.1 Appl. B.2 SLAs SAML SOAP Appl. D.2 Appl. D.3 12 6
Agenda 1. Vom Directory Ansatz zum Prozess Ansatz SOA und IDM Integration 2. Compliance & Role Mgmt. Corporate Role Management 3. IDM ganzheitlicher Ansatz Persistenz, Workflows, Anwendungen Embedded IDM in Oracle Lösungen 4. Ausblick Oracle morgen IDM as a Service 13 CFO/CIO Herausforderung: Compliant zu werden, ist nicht das wichtigste Ziel, sondern compliant zu bleiben. 14 7
Was ist Compliance? Compliance ist die Einhaltung der anwendbaren Rechtsvorschriften und gesellschaftlichen Integritätsvorstellungen zur Verhinderung von unternehmenswertgefährdenden oder -schädigenden Vorfällen hat auch eine pragmatische Bedeutung: Sie soll das Unternehmen präventiv vor Fehlverhalten bewahren, die auf Unwissenheit, Fahrlässigkeit oder sogar Vorsatz beruhen, und zu Imageschäden sowie dem Verfehlen von Unternehmenszielen führen können. Ziel der Compliance ist Risikominimierung, Effizienzund Effektivitätssteigerung. Leer Quelle: Compliance Institut 15 Was treibt Compliance? Die Notwendigkeit ausreichend und umfassende interne Kontrollen zu etablieren um: den sicheren Betrieb des Kerngeschäfts zu gewährleisten Gesetzeskonformität nachzuweisen Sicherheit im Rahmen der Finanzdaten (reports) Die Fähigkeit/Gewähr global zu agieren Anforderungen von lokalen, regionalen Gesetzen und Direktiven zu gewährleisten und zu dokumentieren 07/05 Bernard Ebbers is serving 25 year prison sentence and paid US $50 Million in fines 11/07/06 Ex-CA Boss gets 12 years and $US 8 Million fine "In three days, companies traded on the Tokyo exchange have shed roughly $300 billion in shareholder value -- more than the gross domestic product of Norway. Livedoor alone has lost $1.8 billion in market capitalization." 16 8
Top 10 IT Audit/Compliance Defizite 70% der dokumentierten Defizite hängen direkt mit unzureichenden und nicht vorhandenen Identity and Access Management Erfahrungen zusammen Ernst &Young LLP Vielfältige Rechte und Zugänge auf Produktivsysteme Unzureichende Account Abgleiche und Beseitigungsprozesse Entwickler-Zugang zu Produktivsystemen Unidentifizierte oder unzureichende Aufgabentrennung Ungesicherte globale Applikationsbereitstellung Ungesicherte Programme, Tabellen und Schnittstellen Nicht existente oder undokumentierte Prozesse System Dokumentation nicht vorhanden unzureichend gesicherte Datenbanken laufen unter Finanz Applikation unzureichend gesicherte Betriebssysteme laufen unter Finanz Applikationen und Portalen 17 18 9
19 IDM - Compliance Referenz Modell Richtlinien & Prozess Definition Provisioning Richtlinie Zugangsrichtlinie SoD Richtlinien (Ausgliederung von Aufgaben) Genehmigung & Bewilligung Remediation workflows (Förderungen) Kontroll Bestätigungen Compliance Dashboard Beglaubigungen von Richtlinien & Prozessen Change Management von Richtlinien Risiko Analysen Ausnahmen Authentication & Authorization Fehler Audit Daten aktuelle Daten Präventive Kontrolle Einstellung, Transfer & Ausstieg Anpassung von Richtlinien und Entzug von Berechtigungen Einfache und starke Authentifizierung Web access & SSO Directory Vereinigung erkennende&korrigierende Kontrolle falsche Account Ermittlung Account Profile Ausnahmen Beglaubigung von Berechtigungen und Ausnahmen aktuelle & historische Reports 20 10
Corporate Role Management HR Oracle Role Manager Role Administration Role Mining Org. Structure Oracle Identity Manager Workflows Policies CUA ERP CRM FI Mail Herausforderungen: Rollenverwaltung ist eingebettet in einzelne SAP Systeme, d.h. es gibt kein übergreifendes System Individuelle Rollen auf Userebene pro System Mapping und Konsolidierung individueller Rollen auf Geschäftsrollen Restrukturierung und Integration von Organisationen Automatisierung und Monitoring von Compliance- Anforderung 21 Agenda 1. Vom Directory Ansatz zum Prozess Ansatz SOA und IDM Integration 2. Compliance & Role Mgmt. Corporate Role Management 3. IDM ganzheitlicher Ansatz Persistenz, Workflows, Anwendungen Embedded IDM in Oracle Lösungen 4. Ausblick Oracle morgen IDM as a Service 22 11
Oracle Software zum managen des Risikos, und sichern der Compliance GRC Manager LogicalApps Database Vault Audit Vault Identity Management Suite Content Management Suite 23 Oracle Enterprise Security Persistenz, Workflows, Anwendungen Application Security Identity And Access Management User Management Directory Management Access Management Platform Security Identity Audit Data Security Multi-level Access Control Information Rights Encryption DBA Security Monitoring & Alert Operating System Security Authentication Service User Management Governance Risk Compliance Policy & Process Management Enterprise Control Compliance Analysis & Reporting Audit Automation 24 12
Fusion Identity Management Embedded Identity Mgmt. Fusion Access Management Authentication Authorization Federation & Trust Risk Determination Fusion Identity Administration Fusion Fin. Fusion HCM Fusion GRC Fusion Retail Account / User Management Entitlement Management Role Management Organization Management Self Service Identity Audit & Compliance Identity Repository & Virtualization Fusion Security Privilege Management Transaction Level Control Enterprise Directory, Other Applications, Other IdM Systems 25 Identity & Access Management Access Control Authentication & Authorization Single Sign-On Federation Web Services Security Fraud Detection Identity Administration Identity Lifecycle Administration Role Management Provisioning & Reconciliation Compliance Automation Audit & Compliance Directory Services Virtualization Synchronization Storage Audit Data Attestation Segregation of Duties Controls Management Service Levels Configuration Performance Automation 26 13
Agenda 1. Vom Directory Ansatz zum Prozess Ansatz SOA und IDM Integration 2. Compliance & Role Mgmt. Corporate Role Management 3. IDM ganzheitlicher Ansatz Persistenz, Workflows, Anwendungen Embedded IDM in Oracle Lösungen 4. Ausblick Oracle morgen IDM as a Service 27 schauen wir in die Zukunft IT Sicherheit als nativer Service Built-In Verfahrenssicherheit durchgängiges Policy Mgmt. Shared Services Authentication Granular Authorization Password Management Federation / Token Service Policy Management Workflow/Business Process Identity Virtualization User/Role Management Identity Provisioning Auditing/ Reporting Nativer Rollout Zentrales und sicheres Auditing 28 14
Identity Management Kunden Finanzwesen Retail & Service Herstellung, Logistik und Versorger Technologie & Kommunikation Behörden & öffentliche Auftraggeber Health Oracle Confidential 29 Ihre Fragen 30 15