wer bin ich? und wenn ja wo überall und wieviele - doag.org · pdf file(hcm, cx, daas,...
TRANSCRIPT
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Wer bin ich? Und wenn ja wo überall und wieviele
ORACLE Deutschland B.V. & Co. KG Security Principal [email protected]
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Agenda
Benutzeraccounts….
Verantwortung aus Firmensicht
Beispiel Integration Identity Cloud Service (inkl. Demo)
Fazit
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Benutzeraccounts
Jeder Service benötigt einen Account privat wie wie google/ googlemail, amazon, facebook im Beschäftigungsverhältnis wie am zentralen Anmeldesystem, Emailkonto, Fachanwendungen
Bestreben war firmenseitig diese Accounts zu einer Identität zusammenzuführen ein SSO Benutzererlebnis zu ermöglichen
Heute: • Durch die Cloudnutzung und Nutzung Mobiler Apps ergeben sich weitere neue Accounts on-the-fly • Mangels Lösungen werden Accounts auf Zettl oder in Passwortspeicher geschrieben • Persona based bringt die gleichzeitige Vewendung von mehreren Accounts bzgl. eines Systems
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
…damit als Wunsch aus Unternehmenssicht:
• Eine übergeordnete Stelle für Accounts und Berechtigungen
• Für den Benutzer Self Servcies, ein Antragswesen und SSO
• Für Verantwortliche einfache Approvals, flexible Rezertifizierungen , SoD mit Remediation, (Audit-) reports
• Management von standard und privilegierten User Accounts
• Hybrid Identity Management (OnPremise & Cloud)
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Bimodales / hybrides Modell Benutzermanagememt im übergreifenden Modell
OnPrem IAM
Cloud IAM
• Ein Ansatz für OnPremise und cloudbasiere Modelle • Nutzermanagement enthält SSO, Governance, PAM,
User Administration, Certifications, etc. • Gemeinsames Policy Management & Reporting
6
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 7
OnPremise Benutzerverwaltung: Oracle Identity Governance
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Benutzerverwaltung aus der Cloud: Identity Cloud Service
8
Identity Cloud Service
So wareasaService
InfrastructureasaService
Pla ormasaService
3rd Party Cloud Services
• Cloud native
• Mandantenfähiger Oracle Cloud Service
• Funktionsumfang:
– Manage Users
• Manuelle oder synchroniserte Pflege von Identitäten, Bereitstellung von SSO/Federation für angeschlossene Systeme
– Manage Applications
• “Kauf” Applikationen und Eigenentwicklungen können integriert werden
– Manage Policies
• Access Control Policies für Zugriffe On-Premises Applikationen
On-premises IAM
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Oberflächen des OnPremise Systems
• Persona basierter Ansatz
• Wizards zur Unterstützung des Benutzers
• Unterstützung verschiedener Anzeigegeräte, z.B. Tablets (Responsive UI)
• Möglichkeiten für Offline Funktionen oder zugeschnittene Aktionen (z.B. Approval)
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
http://docs.oracle.com/cloud/latest/identity-cloud/identity-cloud-tutorials.htm
Identity Cloud Service: Verwaltungskonsole
• Persona basierter Ansatz
• Wizards zur Unterstützung des Benutzers
• Unterstützung verschiedener Anzeigegeräte, z.B. Tablets (Responsive UI)
• Stand-alone oder im hybrid Betrieb
• Integrationsmöglichkeit vorbereiteter Applikationen (coming) oder Eigenentwicklungen (Oauth / SAML)
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 11
Beide Welten OnPremise beantragt Cloud (hier SaaS)
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Beide Welten: Rezertifizierungen
• Art der Rezertifizierung wählbar: User, Role, App-Instance, Recht
• Steuerbar nach Zeit (z.B. alle 3 monate) oder Ereignis (z.B. Abteilungswechsel)
• Sofortige Aktionsmöglichkeiten (z.B. Rechteentzug)
Closed Loop Remediation
Offline Mode
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Flexibilität bei der Verwaltung der Benutzer
13
Oracle Identity Cloud Service
Identity Bridge
• Synchronisation der Benutzer zwischen OnPremise und cloudbasiertem IAM System
– Identity Bridge für Active Directory
– OIM Connector für IDCS
– User Account Upload mit CSV
• Federation mit externem Identity Provider (IDP)
– SAML 2.0 compliant
IDCS Connector
OIM IDP
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 14
Beispiel Enduser Endbenutzerzugang für Self-
service Password Resets/Changes, Email Address Changes für die Benutzer für die die Cloud das führende System ist
Meine Apps
Funktionen z.T. noch nicht verfügbar
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Cloud SSO
Confidential – Oracle Internal/Restricted/Highly Restricted 15
Configure AD Bridge
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Integration SaaS and PaaS Integration
SaaS Cloud (HCM, CX, DaaS, ERP..)
PaaS Cloud (JCS, Compute, DBaaS, MCS..)
SAML
SAML
SAML
OAuth
OAuth
OAuth
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Cloud SSO
17
Configure OAM (or ADFS) as Identity Provider
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Cloud SSO
18
Configure OAM as Identity Provider
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Cloud SSO – OnBoard App App Catalog
Funktionen z.T. noch nicht verfügbar
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Cloud SSO – OnBoard App App Onboarding
Funktionen z.T. noch nicht verfügbar
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Cloud SSO – OnBoard App
App Onboarding
Funktionen z.T. noch nicht verfügbar
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Cloud SSO App Onboarding
Funktionen z.T. noch nicht verfügbar
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 23
OnBoard Oauth App
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
OnBoard Oauth App App Registration
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 25
Login Options
Confidential – Oracle Internal/Restricted/Highly Restricted
IDCS SaaS Apps
Partners Customers
OR
External Login/ Invitation/ Self-Registration
OpenID / SAML
Just-in-time Provisioning Account Claiming
REST APIs
User Policies
Identity Providers
Authentication Factors
Funktionen z.T. noch nicht verfügbar
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 26
Beispiel Anpassung UI und Konfiguration (OTP*)
*) noch nicht produktiv verfügbar
Funktionen z.T. noch nicht verfügbar
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
Fazit
Flexibilität Kosten: keine langfristigen Engagements für Cloudmodelle
Nutzerzufriedenheit durch Transparenz mit SSO, ein Antragssystem und ein Passwortmgmt
Erweiterungsmöglichkeiten zur Kontrolle der Cloudnutzung
Benutzerverwaltung als Cloudservice und übergeordnete Verwaltung von Cloudservices
funktioniert heute schon
Ich bin nur Einer, wenn man es will
Firmen können lokale und Cloud Accounts unter einen Hut bringen
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
http://blogs.oracle.com/dbacommunity_deutsch
http://tinyurl.com/oratech-monthly Nächste Ausgabe 07. Dezember
@oraclebudb
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. |
DOAG 2017 Datenbank 30.-31. Mai 2017 in Düsseldorf
30