Anmeldung und Benutzerverwaltung mit der Cloud und als Cloud ORACLE Deutschland B.V. & Co. KG Security Principal [email protected]

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Agenda Status Quo Nutzermanagement OnPremise und in der Cloud

Oracle Ansatz: Hybrides Modell Fazit

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Status Quo bezüglich der Benutzerverwaltung Ziel: Abschaffung der Silos (Aufwand, Inkonsistenz) und besseres, sicheres Benutzererlebnis (SSO) a. Management • Zentralisieren der Accounts und Berechtigungen in möglichst wenige Benutzerspeicher (z.B. AD, LDAP) • Verwaltung der Acccounts über ein Ticketing System und/oder Provisioning und/oder Helpdesk • Kür: Externalisieren der Berechtigungen in ein Berechtigungssystem (XACML) b. Anmeldung • Single Sign On mittels eines Passworts • SSO über vorhandene Mechanismen wie Kerberos oder Zertifikate • Kür: Federation Standards wie SAML C. Audit Manuelles aggregieren von Berechtigungsdaten und Access Logs, gesamtheitlicher Überblick schwierig Kür: Rezertifizierung, SoD

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Herausforderung durch Cloud und Co • Cloudbasierte Systeme werden nicht mehr selektiv und selten genutzt sondern von über 60% der deutschen Unternehmen • Anwendungen für Mobile Apps setzen auf "neue" Standards • Benutzer sind weniger geneigt, um Services zu nutzen, eine volle Registrierung zu durchlaufen. Kunden soll ein möglichst sanfter Einstieg in die Nutzung von Online Angeboten - ob webbasiert oder als App - ermöglicht werden. Die Authentifizierung passt sich an die Sensitivität der Aktionen und Daten an. • Schneller neue Applikationen und Onboarding • Cloudbasierte Anwendungen, die in das unternehmensweite Identity Managmenent integriert werden sollen müssen hinsichtlich des Identity Life Cycle für Mitarbeiter und Partnerunternehmen integriert werden • Mitarbeitern soll ein schrittweiser Übergang ins Firmennetz ermöglicht werden, der dabei den "Kontext" berücksichtigt, beispielsweise ob das Gerät bekannt ist, von welchem Ort der Aufruf erfolgt etc. • Rechtliche Vorgaben und Unternehmenscompliancevorgaben müssen berücksichtigt werden können (z.B. BDSG, EUDPR) Damit wird es noch anspruchsvoller (ggf neue Silos)

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Benutzerverwaltung OnPremise oder Cloud: Einzelne Silos App Embedded Identities

SSO, Adaptive Access & Provisioning

MAM, MDM Management

Mobile Applications (OAuth…)

Federated Cloud Apps

•

Monolithische und fragmentierte Lösungen

•

Proprietäre und evtl. Inkonsistente Zugriffsregeln

•

Benutzer sieht sich verschiedenen und ggf. mehrmaligen Anmeldeverfahren ausgesetzt

•

Compliance ist aufwendig da sie dezentral durchgesetzt werden muss

•

Für Übersichten müssen Daten aus verschiedenen Systemen aggregiert werden

SSO User Mgt Federation

Nutzer, Daten

Nutzer, Daten

Silo

Nutzer, Daten

Nutzer, Daten

Silo

Silo

Silo

Nutzer, Daten

Silo

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Oracle Security Ansatz: zentrale Sicherheitsarchitektur (logisch oder physisch)

App Embedded Identities

Basic SSO & Provisioning

SSO

SSO

User Mgt

User Mgt

Access Certification

Federated Cloud Apps

Mobile Apps

•

Übergreifende Verwaltung von Accounts und Rechten

•

Automatisierung bei Provisionierung, Zertifizierung und Audit

•

OnPremise, Cloud und hybride Umgebungen werden unterstützt

•

Management privilegierter Accounts

•

Oracle unterstützt ein zentralistisches Modell dass auch dezentrale Komponeten integrieren kann

SSO User Mgt

Access Cert Federation

Nutzer, Daten

Nutzer, Daten

Nutzer, Daten

Unified Security

Custom Integrations

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Agenda Status Quo Nutzermanagement OnPremise und in der Cloud

Oracle Ansatz: Hybrides Modell Fazit

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Benutzermanagement OnPremise und in der Cloud Mechnismen OnPremise und Cloud sind “gleich”, eine Cloud bietet typischerweise: Single Sign On zwischen cloudbasierten Systemen und OnPremise mit SAML oder OAuth Standard

Provisionierung (Benutzerverwaltung) in cloudbasierten Systemen mit Connectoren (Standard SCIM/SPML oder API) Eine Stelle (wahlfrei, meist OnPremise wenn es holistisch sein soll) für IT Governance: Antragswesen, Genehmigungen, Nachweise, Reports, Rezertifizierung

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Übergreifendes Benutzermanagement DEPLOYMENT holistischCHOICE

Gleiche Policies

Same Mechnismen Standards Gleiche Same Products Holistische Sicht und Unified Management

Steuerung CLOUD IhrPRIVATE Rechenzentrum

PUBLIC CLOUD Ihre Cloud (private oder public)

• Benutzer in beiden Welten vorhanden • Berechtigungsmanagment in beiden Welten möglich, Zusammenführung über (partielles) Reconcile • Verwaltung von Benutzerstämmen kann auch separiert werden (z.B. Kunde vs Mitarbeiter)

• Holistische Sicht für Rezertifizierung und Auditoren

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Benutzermanagememt im übergreifenden Modell Bimodales / hybrides Modell

OnPrem IAM

Cloud IAM

• Ein Ansatz für OnPremise und cloudbasiere Modelle • Nutzermanagement enthält SSO, Governance, PAM, User Administration, Certifications, etc. • Gemeinsames Policy Management & Reporting Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

11

Zusammenfassung “übergreifendes Benutzermgmt” Integration unabh. vom Betriebsmodell: OnPremise, Private Cloud, Public Cloud Verknüpfung über SingleSignOn Nutzer/Accountmanagement über Governance S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

Verknüpfung Services über WS* oder OAuth Security

S E C U R I T Y

Verknüpfung Datenzugriff über sichere Verbindungen https/SQLNet Verknüpfung beim nativen Zugriff über SSH Verbindung, RBAC Modell

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

S E C U R I T Y

Ihr Rechenzentrum

S E C U R I T Y

Freiheiten beim Benutzermanagements In der Cloud, OnPremise, OnPremise triggert Cloud Cloud triggert OnPremise

S E C U R I T Y

S E C U R I T Y

Ihre Cloud (private oder public)

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

12

Agenda Status Quo Nutzermanagement OnPremise und in der Cloud

Oracle Ansatz: Hybrides Modell Fazit

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

OnPremise Benutzerverwaltung: Oracle Identity Governance

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

14

Oberflächen des OnPremise Systems • Persona basierter Ansatz • Wizards zur Unterstützung des Benutzers • Unterstützung verschiedener Anzeigegeräte, z.B. Tablets (Responsive UI) • Möglichkeiten für Offline Funktionen oder zugeschnittene Aktionen (z.B. Approval)

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

OnPremise beantragt Cloud (hier SaaS)

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

16

Rezertifizierungen (für beide Welten) • Art der Rezertifizierung wählbar: User, Role, App-Instance, Recht Closed Loop Remediation

• Steuerbar nach Zeit (z.B. alle 3 monate) oder Ereignis (z.B. Abteilungswechsel) • Sofortige Aktionsmöglichkeiten (z.B. Rechteentzug)

Offline Mode

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Benutzerverwaltung aus der Cloud: Identity Cloud Service • Mandantenfähiger Oracle Cloud Service • Funktionsumfang: So ware as a Service

3rd Party Cloud Services

Pla orm as a Service

Identity Cloud Service Infrastructure as a Service

– Manage Users • Manuelle oder synchroniserte Pflege von Identitäten, Bereitstellung von SSO/Federation für angeschlossene Systeme

– Manage Applications • “Kauf” Applikationen und Eigenentwicklungen können integriert werden

On-premises IAM

– Manage Policies • Access Control Policies für Zugriffe

On-Premises Applikationen Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

18

Identity Cloud Service: Verwaltungskonsole

http://docs.oracle.com/cloud/latest/identity-cloud/identity-cloud-tutorials.htm Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Hybrid Identity: Cloud & OnPremise

• Security (AuthN und AuthZ) für Cloud und OnPremise Applikationen

• Access Certification, Audit und Compliance durch die OnPremise Komponenten • Flexibilität um Applikationen gegen lokales IAM oder cloudbasiertes IAM laufen zu lassen Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

20

Flexibilität bei der Verwaltung der Benutzer • Synchronisation der Benutzer zwischen OnPremise und cloudbasiertem IAM System – Identity Bridge für Active Directory – OIM Connector für IDCS – User Account Upload mit CSV

Oracle Identity Cloud Service

• Federation mit externem Identity Provider (IDP) – SAML 2.0 compliant Identity Bridge IDCS Connector OIM

IDP

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

21

Benutzer, Gruppen und Applikationen über die Cloud

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

22

Beispiel Self-Service Endbenutzerzugang für Self-service Password Resets/Changes, Email Address Changes für die benutzer für die die Cloud das führnede System ist Rest APIs erlauben die Erstellung eigener Oberflächen oder Integration

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

23

Beispiel Integration Eigenentwicklung

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

24

Beispiel Integration bestehendes Cloudangebot

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

25

Beispiel Anpassung UI und Konfiguration (OTP*)

*) noch nicht produktiv verfügbar Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

26

Genauso nutzbar für Eigenentwicklungen Manage Users and Groups using standard SCIM Interfaces

Protect your custom application APIs using IDCS OAuth 2

Integrate with external trust providers using Secure Token Exchange Service

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Simple management of application lifecycle

27

Security Cloud Services als Ergänzung Was macht der Benutzer? Identity Cloud Service

API Platform Cloud Service*

Security Monitoring & Analytics Cloud Service*

Compliance Cloud Service*

Security Broker Cloud Service (Palerra)

Hybrid Data Security Protection: Database Security

*) geplantCopyright Copyright ©© 2016, 2016, Oracle Oracle and/or and/or its its affiliates. affiliates. AllAll rights rights reserved. reserved. | Oracle | Public

28

Security Broker Cloud Service Discover Aufspüren der Nutzung von (un-) erlaubterSaaS, PaaS und Eigenentwicklungen auf IaaS, z.B. Dropbox, AWS, Office365. Auch der “Shadow IT” in der Cloud

Secure Einstellbare Controls für Benutzer, Daten, Applikationen und Konfigurationen

Monitor Continuous Monitoring der Benutzeraktivitäten und Konfigruationseinstellungen hinsichtlich Compliance und definierter Risiken

Respond Automatisierung über Incident Management und Remediaten Copyright Copyright ©© 2016, 2016, Oracle Oracle and/or and/or its its affiliates. affiliates. AllAll rights rights reserved. reserved. | Oracle | Public

29

Agenda Status Quo Nutzermanagement OnPremise und in der Cloud

Oracle Ansatz: Hybrides Modell Fazit

Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

Fazit Benutzerverwaltung als Cloudservice und übergeordnete Verwaltung von Cloudservices funktioniert heute schon Gleiche Mechnismen OnPremise wie Oracle Cloud oder Cloud Machine Risikominimierung durch eine durchgängige Plattform: • Mit zentralisierter Sicht • Einer Stelle für Policies (Definition und Durchsetzung) • unterstützt alle Kanäle (Web, Mobile, API, …) • und Benutzergruppen und Verteilung nach Bedarf (Interne, Externe, Kunden) Nutzerzufriedenheit durch Transparenz mit SSO, ein Antragssystem und ein Passwortmgmt Flexibilität Betrieb: OnPremise, Cloud, Hybrid Lift&Shift Mechanismen Flexibilität Kosten: keine langfristigen Engagements für Cloudmodelle Erweiterungsmöglichkeiten zur Kontrolle der Cloudnutzung Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |

32