Anmeldung und Benutzerverwaltung mit der Cloud und als Cloud ORACLE Deutschland B.V. & Co. KG Security Principal
[email protected]
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Agenda Status Quo Nutzermanagement OnPremise und in der Cloud
Oracle Ansatz: Hybrides Modell Fazit
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Status Quo bezüglich der Benutzerverwaltung Ziel: Abschaffung der Silos (Aufwand, Inkonsistenz) und besseres, sicheres Benutzererlebnis (SSO) a. Management • Zentralisieren der Accounts und Berechtigungen in möglichst wenige Benutzerspeicher (z.B. AD, LDAP) • Verwaltung der Acccounts über ein Ticketing System und/oder Provisioning und/oder Helpdesk • Kür: Externalisieren der Berechtigungen in ein Berechtigungssystem (XACML) b. Anmeldung • Single Sign On mittels eines Passworts • SSO über vorhandene Mechanismen wie Kerberos oder Zertifikate • Kür: Federation Standards wie SAML C. Audit Manuelles aggregieren von Berechtigungsdaten und Access Logs, gesamtheitlicher Überblick schwierig Kür: Rezertifizierung, SoD
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Herausforderung durch Cloud und Co • Cloudbasierte Systeme werden nicht mehr selektiv und selten genutzt sondern von über 60% der deutschen Unternehmen • Anwendungen für Mobile Apps setzen auf "neue" Standards • Benutzer sind weniger geneigt, um Services zu nutzen, eine volle Registrierung zu durchlaufen. Kunden soll ein möglichst sanfter Einstieg in die Nutzung von Online Angeboten - ob webbasiert oder als App - ermöglicht werden. Die Authentifizierung passt sich an die Sensitivität der Aktionen und Daten an. • Schneller neue Applikationen und Onboarding • Cloudbasierte Anwendungen, die in das unternehmensweite Identity Managmenent integriert werden sollen müssen hinsichtlich des Identity Life Cycle für Mitarbeiter und Partnerunternehmen integriert werden • Mitarbeitern soll ein schrittweiser Übergang ins Firmennetz ermöglicht werden, der dabei den "Kontext" berücksichtigt, beispielsweise ob das Gerät bekannt ist, von welchem Ort der Aufruf erfolgt etc. • Rechtliche Vorgaben und Unternehmenscompliancevorgaben müssen berücksichtigt werden können (z.B. BDSG, EUDPR) Damit wird es noch anspruchsvoller (ggf neue Silos)
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Benutzerverwaltung OnPremise oder Cloud: Einzelne Silos App Embedded Identities
SSO, Adaptive Access & Provisioning
MAM, MDM Management
Mobile Applications (OAuth…)
Federated Cloud Apps
•
Monolithische und fragmentierte Lösungen
•
Proprietäre und evtl. Inkonsistente Zugriffsregeln
•
Benutzer sieht sich verschiedenen und ggf. mehrmaligen Anmeldeverfahren ausgesetzt
•
Compliance ist aufwendig da sie dezentral durchgesetzt werden muss
•
Für Übersichten müssen Daten aus verschiedenen Systemen aggregiert werden
SSO User Mgt Federation
Nutzer, Daten
Nutzer, Daten
Silo
Nutzer, Daten
Nutzer, Daten
Silo
Silo
Silo
Nutzer, Daten
Silo
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oracle Security Ansatz: zentrale Sicherheitsarchitektur (logisch oder physisch)
App Embedded Identities
Basic SSO & Provisioning
SSO
SSO
User Mgt
User Mgt
Access Certification
Federated Cloud Apps
Mobile Apps
•
Übergreifende Verwaltung von Accounts und Rechten
•
Automatisierung bei Provisionierung, Zertifizierung und Audit
•
OnPremise, Cloud und hybride Umgebungen werden unterstützt
•
Management privilegierter Accounts
•
Oracle unterstützt ein zentralistisches Modell dass auch dezentrale Komponeten integrieren kann
SSO User Mgt
Access Cert Federation
Nutzer, Daten
Nutzer, Daten
Nutzer, Daten
Unified Security
Custom Integrations
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Agenda Status Quo Nutzermanagement OnPremise und in der Cloud
Oracle Ansatz: Hybrides Modell Fazit
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Benutzermanagement OnPremise und in der Cloud Mechnismen OnPremise und Cloud sind “gleich”, eine Cloud bietet typischerweise: Single Sign On zwischen cloudbasierten Systemen und OnPremise mit SAML oder OAuth Standard
Provisionierung (Benutzerverwaltung) in cloudbasierten Systemen mit Connectoren (Standard SCIM/SPML oder API) Eine Stelle (wahlfrei, meist OnPremise wenn es holistisch sein soll) für IT Governance: Antragswesen, Genehmigungen, Nachweise, Reports, Rezertifizierung
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Übergreifendes Benutzermanagement DEPLOYMENT holistischCHOICE
Gleiche Policies
Same Mechnismen Standards Gleiche Same Products Holistische Sicht und Unified Management
Steuerung CLOUD IhrPRIVATE Rechenzentrum
PUBLIC CLOUD Ihre Cloud (private oder public)
• Benutzer in beiden Welten vorhanden • Berechtigungsmanagment in beiden Welten möglich, Zusammenführung über (partielles) Reconcile • Verwaltung von Benutzerstämmen kann auch separiert werden (z.B. Kunde vs Mitarbeiter)
• Holistische Sicht für Rezertifizierung und Auditoren
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Benutzermanagememt im übergreifenden Modell Bimodales / hybrides Modell
OnPrem IAM
Cloud IAM
• Ein Ansatz für OnPremise und cloudbasiere Modelle • Nutzermanagement enthält SSO, Governance, PAM, User Administration, Certifications, etc. • Gemeinsames Policy Management & Reporting Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
11
Zusammenfassung “übergreifendes Benutzermgmt” Integration unabh. vom Betriebsmodell: OnPremise, Private Cloud, Public Cloud Verknüpfung über SingleSignOn Nutzer/Accountmanagement über Governance S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
Verknüpfung Services über WS* oder OAuth Security
S E C U R I T Y
Verknüpfung Datenzugriff über sichere Verbindungen https/SQLNet Verknüpfung beim nativen Zugriff über SSH Verbindung, RBAC Modell
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
Ihr Rechenzentrum
S E C U R I T Y
Freiheiten beim Benutzermanagements In der Cloud, OnPremise, OnPremise triggert Cloud Cloud triggert OnPremise
S E C U R I T Y
S E C U R I T Y
Ihre Cloud (private oder public)
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
12
Agenda Status Quo Nutzermanagement OnPremise und in der Cloud
Oracle Ansatz: Hybrides Modell Fazit
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
OnPremise Benutzerverwaltung: Oracle Identity Governance
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
14
Oberflächen des OnPremise Systems • Persona basierter Ansatz • Wizards zur Unterstützung des Benutzers • Unterstützung verschiedener Anzeigegeräte, z.B. Tablets (Responsive UI) • Möglichkeiten für Offline Funktionen oder zugeschnittene Aktionen (z.B. Approval)
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
OnPremise beantragt Cloud (hier SaaS)
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
16
Rezertifizierungen (für beide Welten) • Art der Rezertifizierung wählbar: User, Role, App-Instance, Recht Closed Loop Remediation
• Steuerbar nach Zeit (z.B. alle 3 monate) oder Ereignis (z.B. Abteilungswechsel) • Sofortige Aktionsmöglichkeiten (z.B. Rechteentzug)
Offline Mode
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Benutzerverwaltung aus der Cloud: Identity Cloud Service • Mandantenfähiger Oracle Cloud Service • Funktionsumfang: So ware as a Service
3rd Party Cloud Services
Pla orm as a Service
Identity Cloud Service Infrastructure as a Service
– Manage Users • Manuelle oder synchroniserte Pflege von Identitäten, Bereitstellung von SSO/Federation für angeschlossene Systeme
– Manage Applications • “Kauf” Applikationen und Eigenentwicklungen können integriert werden
On-premises IAM
– Manage Policies • Access Control Policies für Zugriffe
On-Premises Applikationen Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
18
Identity Cloud Service: Verwaltungskonsole
http://docs.oracle.com/cloud/latest/identity-cloud/identity-cloud-tutorials.htm Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Hybrid Identity: Cloud & OnPremise
• Security (AuthN und AuthZ) für Cloud und OnPremise Applikationen
• Access Certification, Audit und Compliance durch die OnPremise Komponenten • Flexibilität um Applikationen gegen lokales IAM oder cloudbasiertes IAM laufen zu lassen Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
20
Flexibilität bei der Verwaltung der Benutzer • Synchronisation der Benutzer zwischen OnPremise und cloudbasiertem IAM System – Identity Bridge für Active Directory – OIM Connector für IDCS – User Account Upload mit CSV
Oracle Identity Cloud Service
• Federation mit externem Identity Provider (IDP) – SAML 2.0 compliant Identity Bridge IDCS Connector OIM
IDP
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
21
Benutzer, Gruppen und Applikationen über die Cloud
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
22
Beispiel Self-Service Endbenutzerzugang für Self-service Password Resets/Changes, Email Address Changes für die benutzer für die die Cloud das führnede System ist Rest APIs erlauben die Erstellung eigener Oberflächen oder Integration
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
23
Beispiel Integration Eigenentwicklung
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
24
Beispiel Integration bestehendes Cloudangebot
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
25
Beispiel Anpassung UI und Konfiguration (OTP*)
*) noch nicht produktiv verfügbar Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
26
Genauso nutzbar für Eigenentwicklungen Manage Users and Groups using standard SCIM Interfaces
Protect your custom application APIs using IDCS OAuth 2
Integrate with external trust providers using Secure Token Exchange Service
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Simple management of application lifecycle
27
Security Cloud Services als Ergänzung Was macht der Benutzer? Identity Cloud Service
API Platform Cloud Service*
Security Monitoring & Analytics Cloud Service*
Compliance Cloud Service*
Security Broker Cloud Service (Palerra)
Hybrid Data Security Protection: Database Security
*) geplantCopyright Copyright ©© 2016, 2016, Oracle Oracle and/or and/or its its affiliates. affiliates. AllAll rights rights reserved. reserved. | Oracle | Public
28
Security Broker Cloud Service Discover Aufspüren der Nutzung von (un-) erlaubterSaaS, PaaS und Eigenentwicklungen auf IaaS, z.B. Dropbox, AWS, Office365. Auch der “Shadow IT” in der Cloud
Secure Einstellbare Controls für Benutzer, Daten, Applikationen und Konfigurationen
Monitor Continuous Monitoring der Benutzeraktivitäten und Konfigruationseinstellungen hinsichtlich Compliance und definierter Risiken
Respond Automatisierung über Incident Management und Remediaten Copyright Copyright ©© 2016, 2016, Oracle Oracle and/or and/or its its affiliates. affiliates. AllAll rights rights reserved. reserved. | Oracle | Public
29
Agenda Status Quo Nutzermanagement OnPremise und in der Cloud
Oracle Ansatz: Hybrides Modell Fazit
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Fazit Benutzerverwaltung als Cloudservice und übergeordnete Verwaltung von Cloudservices funktioniert heute schon Gleiche Mechnismen OnPremise wie Oracle Cloud oder Cloud Machine Risikominimierung durch eine durchgängige Plattform: • Mit zentralisierter Sicht • Einer Stelle für Policies (Definition und Durchsetzung) • unterstützt alle Kanäle (Web, Mobile, API, …) • und Benutzergruppen und Verteilung nach Bedarf (Interne, Externe, Kunden) Nutzerzufriedenheit durch Transparenz mit SSO, ein Antragssystem und ein Passwortmgmt Flexibilität Betrieb: OnPremise, Cloud, Hybrid Lift&Shift Mechanismen Flexibilität Kosten: keine langfristigen Engagements für Cloudmodelle Erweiterungsmöglichkeiten zur Kontrolle der Cloudnutzung Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
32