Oracle idm что это

Обновлено: 04.07.2024

Унификация механизма управления учетными записями (Oracle Identity Manager (OIM))

Oracle Identity Manager (OIM) – это система управления учетными записями и привилегиями пользователей информационных ресурсов предприятия. Являясь частью семейства продуктов Oracle Identity and Access Management, эта система обеспечивает управление учетными записями и привилегиями пользователей в течение всего их жизненного цикла, от создания до удаления, предоставляя возможность адаптировать бизнес-процессы работы с учетными данными к постоянно меняющимся бизнес-требованиям предприятия.

Внедрение системы рекомендуется для средних или крупных компаний. Инфраструктура таких компаний, как правило, представляет собой множество разнородных систем при большом количестве пользователей (внешних и внутренних), которым необходим доступ к системам и приложениям компании.

Использование OIM позволяет сократить расходы на ведение учетных записей в корпоративных системах, т.к. создание/изменение/удаление учетных записей проводится один раз в центральном репозитарии и далее эта информация передается в целевые системы автоматически. Архитектура центрального репозитария OIM в сочетании с аппаратом согласования позволяет иметь одно представление пользователя в различных системах и избежать повторного ввода, связанных с ним ошибок и рассогласования учетных записей в корпоративных системах.

Основные качественные показатели решения:

  • Увеличение уровня информационной безопасности предприятия;
  • Устраняются учетные записи уволенных сотрудников;
  • Исключается возможность получения несанкционированного доступа;
  • Внедрение единой парольной политики;
  • Управление доступом на основе ролевой модели (RBAC);
  • Реализация единой точки входа SSO;
  • Реализация Password Management и управления персональной информацией сотрудника;
  • Возможность автоматизации прохождения проверки на соответствие международным стандартам безопасности (SOX, HIPAA);
  • Реализация центрального доверяемого хранилища идентификационной информации.

2010: Oracle Identity Management 11g

В июле 2010 года компания Oracle объявила о выпуске новой версии пакета Oracle Identity Management 11g для управления цифровыми удостоверениями пользователей с поддержкой «облачных» вычислений и сервисно-ориентированной архитектуры. Система Oracle Identity Management 11g отличается глубокой интеграцией с современными бизнес-приложениями и промежуточным ПО семейства Oracle Fusion Middleware 11g.

Технология контроля цифровых удостоверений личности Oracle Identity Management 11g обеспечивает самое тщательное управление правами и привилегиями каждого пользователя, а также автоматическое соблюдение нормативных требований по защите информации. Сервисно-ориентированная архитектура, реализованная в технологии, позволяет создать единую точку контроля для всех приложений – локальных и предоставляемых внешними поставщиками.

Компонент Oracle Identity Manager 11g представляет собой полнофункциональный инструмент для администрирования прав пользователей и выделения им соответствующих полномочий. Кроме того, поддерживается механизм универсального делегирования администраторских функций (Universal Delegated Administration), основанный на политиках авторизации и инструментах самообслуживания пользователей.

Компонент Oracle Access Manager 11g реализует единую регистрацию для доступа ко всем корпоративным web-приложениям (SSO – Single Sign-On), а также предлагает контроль пользовательских сеансов без обращения к жестким дискам на основе технологии Oracle Coherence (это обеспечивает высокую скорость обработки). Технология зон безопасности для единой регистрации SSO Security Zones помогает создать защитный периметр для приложений.

Модуль Oracle Identity Analytics 11g обеспечивает соблюдение законодательных нормативов по защите информации при организации комплексного хранилища цифровых удостоверений Identity Warehouse. В состав этого модуля включена технология Cert360, которая обеспечивает исчерпывающий анализ состояния систем безопасности и контроля доступа к информации.

Модули Oracle OpenSSO Fedlet и OpenSSO STS 11g обеспечивают полную интеграцию технологии Sun Fedlet для быстрого подключения партнерских систем к внутренним системам заказчика, а распространение цифровых удостоверений обеспечивается с использованием технологии защищенных жетонов Sun Open SSO STS (Secure Token Service).

Также в пакет включен набор вспомогательных инструментов управления Oracle Enterprise Manager Grid Control Management Pack for Identity Management 11g, содержащий средства для расширенного мониторинга, диагностики и контроля работоспособности всех компонентов платформы Oracle Identity Management 11g.

2012: Oracle Identity Management 11g Release 2

Oracle Identity Management 11g Release 2 предоставляет полное, открытое и интегрированное решение для управления идентификационными данными с расширенной функциональностью, которое дает клиентам возможность эффективно соблюдать новые законодательные требования, обеспечивать защиту критически важных приложений и уязвимых данных, оптимизировать управление паролями для учетных записей, подверженных повышенному риску, а также сокращать операционные расходы.

«Мы разработали Oracle Identity Management 11g Release 2, чтобы помочь нашим клиентам в решении новых задач, возникающих в результате стремительного распространения современных цифровых технологий. Мы хотим помочь им лучше защитить существующие инфраструктуры и увеличить покупательскую аудиторию, — заявил Амит Джасуйа (Amit Jasuja), вице-президент Oracle по разработке продуктов Security and Identity Management. — С помощью Oracle Identity Management 11g Release 2 организации смогут улучшить и упростить управление жизненным циклом идентификационных данных в масштабе всего предприятия и, в то же время, обеспечить соблюдение жестких законодательных норм и требований регуляторов».

Решение Oracle Identity Management 11g Release 2, являясь ключевым компонентом комплекса Oracle Fusion Middleware, построено на платформе Oracle и открытых стандартах. Таким образом, организации могут использовать готовые технологии совместно с Oracle Fusion Middleware, а также с бизнес-приложениями и связующим ПО других поставщиков.

Новый релиз Oracle Identity Management 11g консолидирует все предложения Oracle по управлению идентификационными данными, чтобы помочь клиентам в достижении оптимального баланса между производительностью и операционными требованиями. Портфолио решений Identity Management разделено на три основные категории — Oracle Identity Governance, Oracle Access Management и Oracle Directory Services.

Так, администрирование и оптимизация идентификационных данных Oracle Identity Governance поддерживает обработку запросов на доступ, управление идентификаторами и периодическое подтверждение ИТ-привилегий с использованием простого стандартного пользовательского функционала, построенного на единой платформе с широкими аналитическими возможностями.

Среди новых функций: решение Oracle Privileged Account Manager — через дружественный для бизнес-пользователей интерфейс, наподобие «корзины для виртуальных покупок», позволяет сотрудникам запрашивать доступ к приложениям; персонализация интерфейса с помощью единственного браузера; управление идентификаторами при развертывании приложений в облачной среде; расширенная поддержка отчетности по соблюдению законодательных норм с многоуровневым подтверждением права доступа.

В свою очередь, управление доступом Oracle Access Management предлагает комплексную информационную защиту с использованием средств авторизации и аутентификации пользователей для всех корпоративных данных, приложений и веб-сервисов.

Среди новых функций можно отметить: встроенную мобильную безопасность и механизм однократной аутентификации (Single Sign-On); поддержку механизма аутентификации Social Sign-on (для соцсетей Facebook, Google, Yahoo, Twitter, LinkedIn) и интерфейса прикладного программирования REST API для разработки специализированных и мобильных приложений; поддержку нескольких хранилищ идентификационных данных и конфигураций с несколькими центрами обработки данных; расширенную интеграцию с решениями других поставщиков; и улучшенный функционал для выявления случаев мошенничества.

Наконец, службы каталогов Oracle Directory Services представляют собой всеобъемлющее и проверенное решение для службы каталогов. Новые функции включают: механизм поиска, основанный на схожести поисковых критериев, и виртуальные атрибуты — позволяет осуществлять частые обновления каталогов с помощью отслеживающих положение клиента сервисов для поддержки мобильных и социальных приложений; «оптимизированное решение для единой службы каталогов» Optimized Solution for Oracle Unified Directory — обеспечивает масштабирование и надежность операторского класса, что позволяет достичь высокой производительности для облачных, мобильных и социальных экосистем; функционал, реализованный по принципу «все в одном» (All-in-One) — объединяет возможности хранения данных, прокси-модуля, служб синхронизации и виртуализации для достижения большей гибкости при осуществлении крупномасштабных развертываний на компактном оборудовании, что позволяет упростить процесс установки и управления и обеспечить функциональную совместимость с широким спектром аппаратных средств и операционных систем.

2014: Усовершенствования Oracle Identity Management 11g Release 2

15 апреля 2014 года корпорация Oracle объявила об усовершенствованиях в Oracle Identity Management 11g Release 2.


Новые возможности помогут выводить согласованные политики и средства контроля доступа за пределы корпоративных бизнес-приложений и систем, распространяя их на облачные среды и мобильные устройства. Обеспечивая согласованное управление идентификационной информацией для всех этих сред, Oracle содействует организациям в сокращении затрат на управление, укрепление безопасности и снижение операционных рисков.

Защита корпоративных, облачных и мобильных сред

Новые функции и возможности Oracle Identity Management 11g R2:

  • Oracle Mobile Security Suite: Защищает корпоративные бизнес-приложения и данные на персональных устройствах, используемых для выполнения рабочих задач (в рамках концепции BYOD) и обеспечивает единообразие пользовательской среды для любых каналов доступа, реализуя сервисы управления идентификационной информацией, такие как выявление мошеннических действий, регистрация пользователей, запросы на получение доступа, самостоятельное управление паролями и управление авторизацией - в среде цифрового взаимодействия клиентов и сотрудников. Помогает организациям в защите мобильных приложений, распространяемых через популярные магазины приложений.
  • CloudAccessPortal: Выводит применение корпоративных средств однократной регистрации (Enterprise Single Sign-On, eSSO) за пределы настольных систем под управлением Windows, предоставляя пользователям возможность получать доступ к SaaS-приложениям из простой, персонализированной панели запуска, доступной на любом устройстве, планшете или рабочей станции, в том числе к приложениям, требующим ввода имени пользователя и пароля. В результате пользователям не нужно помнить сложные пароли для множества систем SaaS, а предприятия могут ограничить доступ к облачным приложениям сотрудникам, находящимся за пределами предприятия.
  • OracleMobileAuthenticator: Представляет собой мобильное приложение, которое упрощает процедуру строгой аутентификации, заменяя выпускаемые предприятиями аппаратные ключи-идентификаторы и обеспечивая тем самым значительное сокращение затрат. Приложение Oracle Mobile Authenticator доступно для iOS и Android.
  • Расширенная поддержка протокола OAuth: Реализована поддержка 2- и 3-шаговой авторизации по протоколу OAuth и более сложных сценариев, предусматривающих получение согласия пользователя, перед тем как стороннее приложение сможет получить доступ к информации на сайте приложений поставщика услуг. Это позволяет организациям создавать более мощные, чем было возможно прежде, приложения, подключенные к облачным средам, и налаживать новые экономические и деловые взаимоотношения, для которых прежде требовались фирменные технологии.
  • ContentManagementSecurity: Обеспечивает детальный контроль доступа к документам, управляемым Oracle WebCenter Suite и Microsoft SharePoint, с использованием модели предоставления доступа на базе политик. В результате упрощается управление неструктурированными данными и повышается безопасность на основе эффективного использования таких атрибутов, как роль, местонахождение и уровень допуска.
  • Улучшенное управление учетными записями: Предлагаются новые средства управления сеансами привилегированных пользователей и регистрации их действий, чтобы предоставить аудиторам возможность узнавать, «кто что сделал», и проводить расследование в случае инцидентов информационной безопасности. Кроме того, внесен ряд усовершенствований, позволяющих упростить процессы подачи корпоративными пользователями запросов на доступ к системам, а также процессы периодической проверки менеджерами пользовательских привилегий.
  • Повышение производительности: Дополнительные возможности и средства повышения производительности в Oracle Access Management: в новой версии повышена производительность на 20%, по сравнению с предыдущей версией.

Решение Oracle Access Management теперь сертифицировано для работы на программно-аппаратном комплексе Oracle Exalogic Elastic Cloud, обеспечивающим эластичное масштабирование.

Значительное количество успешных атак на корпоративные информационные ресурсы связаны с несовершенством процессов управления идентификационными/учётными данными пользователей и избыточностью их прав/привилегий доступа к информационным системам.

Как правило корпоративные информационные системы имеют как собственные хранилища учётных данных пользователей, так и используют внешние хранилища, например, службу Microsoft Active Directory или LDAP-каталог. При этом для осуществления сотрудниками своих функций администраторам прикладных ИС приходится управлять учётными записями для каждой из систем в отдельности, а служба информационной безопасности компании не имеет возможности полностью контролировать эти процессы. Такая ситуация приводит к тому, что значительное количество сотрудников использует учётные записи с правами, значительно превышающими необходимый для исполнения служебных обязанностей уровень. Также в ИС могут оставаться учётные записи уволенных или переведенных на другую работу сотрудников, что дает возможность несанкционированного доступа к критичной информации, её хищениям. Кроме того, компании часто несут необоснованные финансовые потери в связи с неконтролируемым ростом количества требуемых лицензий в прикладных информационных системах.

Поэтому задача эффективного управления доступом пользователей и их привилегиями становится особенно актуальной: пользователю должны быть оперативно предоставлены необходимые учётные записи и привилегии, а служба ИБ должна полностью контролировать этот процесс.

Компания ЭЛВИС-ПЛЮС предлагает решение проблемы управления идентификационными данными пользователей на основе продуктов одного из производителей — мирового лидера в этой области (по оценке Gartner) Oracle Identity Manager и лидера российского рынка решений IDM сертифицированного программного комплекса Avanpost.

Ключевые возможности
  • Управление всеми учётными записями пользователей филиалов и центрального аппарата организации в гетерогенной среде из единого центра.
  • Формализация и автоматизация бизнес-процессов управления учётными записями.
  • Автоматизация процессов аудита и соответствия политикам безопасности.
  • Автоматизация процессов управления паролями пользователей.
  • Самообслуживание пользователей для самостоятельного запроса привилегий доступа к информационным системам.
Архитектура и основные функции системы на примере Oracle IDM

Схема системы управления идентификационными данными пользователей IDM

Уровень коннекторов Identity Connector Framework (ICF). Oracle IDM интегрируется с любыми прикладными информационными системами посредством гибко настраиваемой технологии безагентных интерфейсов. Имеются разработанные Oracle готовые коннекторы более чем к 30 системам. Технология ICF позволяет организациям создавать собственные коннекторы к прикладным информационным системам, которые не поддерживаются Oracle.

Уровень ядра Oracle IDM. Сервер приложений с развернутым ПО Oracle Identity Manager является ядром системы и обеспечивает выполнение всего комплекса задач, реализующих функционирование процессов IDM, в том числе сопровождение бизнес-процессов согласования заявок на предоставление доступа и реализацию интерфейсов управления. База данных Системы обеспечивает хранение информации об учетных записях пользователей, ролей, политик доступа.

Уровень управления. Предусматривает использование веб-интерфейсов Oracle IDM на рабочих станциях пользователей, их руководителей, сотрудников подразделений информационной безопасности, администраторов прикладных ИС.

Архитектура ПК Avanpost


Модуль Avanpost IDM решает следующие задачи:

  • Автоматизация процесса управления идентификационными данными пользователей.
  • Централизованное хранение учётных данных.
  • Учёт всех кадровых событий (приём, перевод, увольнение) в режиме реального времени.
  • Регулярный автоматизированный аудит прав доступа всех сотрудников и оперативное выявление несанкционированных отклонений.
  • Создание автоматической системы первичного формирования и последующей ресертификации ролей в рамках ролевой модели доступа.
  • Удобство согласования дополнительных прав доступа с помощью процесса Workflow.

Три основных модуля системы (IDM, PKI и SSO) работают как единый слаженный комплекс, за счёт чего обеспечивается высокий уровень автоматизации, информационной безопасности и удобства для клиента.

Для интеграции решения Avanpost в инфраструктуру заказчика используются коннекторы. На текущий момент разработано более 100 коннекторов к самым распространенным ИТ-системам в России. Кроме того, коннекторы могут создаваться интегратором или заказчиком при помощи инструментария разработчика SDK.

Преимущества от внедрения Системы
  • Снижение затрат на управление учётными записями пользователей.
  • Ускорение выполнения операций по предоставлению и отзыву привилегий доступа, снижение финансовых потерь, связанных с неконтролируемым и необоснованным ростом количества требуемых лицензий в прикладных информационных системах.
  • Повышение эффективности работы подразделения, ответственного за обеспечение ИБ в компании, снижение вероятности финансовых и имиджевых потерь компании, связанных с управлением идентификационными данными пользователей.

Начиная пользоваться Сайтом, Вы считаетесь принявшими условия Пользовательского Соглашения и соглашаетесь на обработку данных о Вас АО «ЭЛВИС-ПЛЮС», сервисами Яндекс.Метрика и Google Analytics в порядке и целях, указанных в этом Соглашении, и в соответствии с Политикой обработки персональных данных. Если Вы не согласны с этими условиями, покиньте Сайт. Подробнее

Этот сайт использует сервисы веб-аналитики Яндекс.Метрика и Google Analytics. Эти сервисы используют технологию cookie — небольшие текстовые файлы, размещаемые на компьютере пользователей с целью анализа их пользовательской активности.

Собранная сервисами при помощи cookie информация не может идентифицировать Вас, однако может помочь нам улучшить работу нашего сайта. Информация об использовании Вами данного сайта, собранная при помощи cookie, будет передаваться компаниям Яндекс и Google. Собранные данные будут обрабатываться для оценки использования Вами сайта, составления для нас отчетов о деятельности нашего сайта, и предоставления других услуг. Яндекс и Google обрабатывают эту информацию в порядке, установленном в условиях использования этих сервисов (см. Пользовательское Соглашение).

Вы можете отказаться от использования файлов cookie, выбрав соответствующие настройки в браузере. Однако это может повлиять на работу некоторых функций сайта.

Сравнение систем управления доступом (IdM/IAM)

Данная статья — детальное сравнение систем управления доступом (IdM/IAM). В ней мы проанализировали и сопоставили лидирующие на отечественном рынке продукты как российских, так и зарубежных компаний. Результаты сравнения помогут понять, чем принципиально различаются существующие на рынке IdM-системы и на что стоит ориентироваться при их выборе.

Введение

Аббревиатура IdM (Identity Management) переводится как как «система управления учетными или идентификационными данными». Однако под этим термином чаще подразумеваются гораздо более мощные системы, которые способны сами управлять доступом, т. е. системы IAM (Identity and Access Management). Но аббревиатура IdM является более популярной на сегодняшний день, поэтому далее по тексту мы будем использовать именно ее.

Таким образом, главной задачей IdM-систем является централизованное управление идентификационными данными, учетными записями и правами на доступ к информационным ресурсам. В основном решения данного класса предназначены для крупных компаний и направлены на автоматизацию взаимодействия различных подразделений компании (кадровые службы, ИТ-подразделения, ИБ-подразделения и др.).

Сложность IdM-систем, а также закрытость документации значительно усложняют процесс их осознанного выбора для заказчика. Зачастую в открытом доступе можно найти лишь маркетинговую информацию, которая на практике имеет мало общего с реальностью. Мы убедились в этом на собственном опыте.

При выборе решения неизбежно возникают вопросы. Чем принципиально отличаются между собой решения? На что ориентироваться при выборе IdM-системы? Как выбрать наиболее подходящее решение для вашей компании? К сожалению, универсального решения, подходящего любой компании, сегодня нет. Именно поэтому важно понимать, чем один продукт отличается от другого.

Данное сравнение следует рассматривать как базисное. Во всех тонкостях работы IdM-систем зачастую трудно разобраться даже профессионалам, не говоря уже о потенциальных клиентах. Еще сложнее сравнить возможности решений между собой.

Стоит понимать, что в рамках данного материала мы не сравниваем эффективность или удобство того или иного решения. Для этого необходимо проводить масштабные тесты в условиях, приближенных к «боевым», что требует несоизмеримо больших затрат — как на разработку методик сравнения, так и на их воплощение.

Тем не менее мы не будем останавливаться на достигнутом результате. В дальнейшем мы планируем проводить более глубокие сравнения IdM-систем по их реальной технологической эффективности.

Методология сравнения IdM-систем

Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. Их количество зависит от ряда факторов: глубины исследования, степени различий между системами, которую мы хотим подчеркнуть. В то же время важно не только количество критериев, выбранных в рамках сравнения, но и развернутые ответы по каждому из них, так как сравниваемые системы могут серьезно различаться даже на этом уровне.

Следуя такому принципу, мы отобрали более 100 критериев, сравнение по которым упростит выбор IdM-системы. К некоторым из критериев были добавлены пояснения. Для удобства все сравнительные критерии были разделены на следующие категории:

  1. Общие сведения
  2. Архитектура решения
  3. Системные требования (минимальные значения)
  4. Коннекторы
  5. Разработка коннекторов
  6. Функциональные роли IdM
  7. Общие функциональные возможности
  8. Управление учетными записями
  9. Управление правами доступа
  10. Управление заявками
  11. Отчетность
  12. Аудит учетных записей и прав доступа
  13. Производительность и отказоустойчивость
  14. Дополнительные возможности
  15. Лицензирование

Для участия в сравнении было отобрано пять наиболее известных и популярных в России IdM-систем:

Российские:

  1. Avanpost IDM 4.1
  2. Куб 3.0
  3. Solar inRights 2.0

Зарубежные:

  1. Oracle Identity Manager 11g R2 PS3 (11.1.2.3)
  2. IBM Security Identity Manager 6.0.0.6 и 7.0.1

Все производители перечисленных выше IdM-систем активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации.

В приведенном сравнении IdM-систем мы не делали их итогового ранжирования. Мы надеемся, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из IdM-систем наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.

Сравнение IdM-систем

Общие сведения

Архитектура решения

Системные требования (минимальные значения)

Коннекторы

Разработка коннекторов

Функциональные роли IDM

Общие функциональные возможности

Управление учетными записями

Управление правами доступа

Управление заявками

Отчетность

Общие отчеты (отчет по учетным записям; отчет по подразделениям; отчет по должностям; отчет по пользователям)

Основные отчеты (сотрудники, у которых отзывалась роль; сотрудники, которым назначалась роль; роли, которые отзывались у сотрудника; роли, которые назначались сотруднику; сотрудники, у которых отзывалось право; сотрудники, владевшие правом; роли, назначавшиеся по должности; роли, назначавшиеся по подразделению)

Отчеты по заявкам (заявки за период; заявки на согласовании более х времени; отклоненные заявки за период; заявки по запрашивающему пользователю;
заявки по утверждающему пользователю; количество запросов на роль)

Общие отчеты (отчеты этой группы содержат сведения о заявках, сотрудниках организации и ресурсах подразделений)

Отчеты отдела кадров (отчеты этой группы содержат сведения, необходимые для работы отдела кадров)

Отчеты службы ИБ(эти отчеты содержат сведения о наличии и отсутствии связей объектов системы между собой)

Отчёты об изменениях объектов

Отчеты по аттестации, заявкам и согласованиям

Отчеты по ролям и организационной структуре

Отчеты по паролям

Отчеты по ресурсам и правам доступа

Требования( отчеты, предоставляющие данные процесса рабочего потока, например операции с учетной записью, утверждения и отклонения)

Пользователи и учетные записи (отчеты, которые позволяют получить данные о пользователях и учетных записях, например: права доступа физических лиц, активность учетной записи)

Службы (отчеты, предоставляющие данные о службах, например статистические данные о согласовании, список служб и сводка по учетным записям службы)

Аудит и защита (отчеты, предоставляющие данные об аудите и безопасности, например сведения об управлении доступом, события аудита и учетные записи, не отвечающие требованиям)

Аудит учетных записей и прав доступа

Производительность и отказоустойчивость

Дополнительные возможности

Лицензирование

Алексей Воронцов, IT Security Architect, IBM

Андрей Конусов, Генеральный директор, Аванпост

Валентин Крохин, Директор по маркетингу, Solar Security

Дмитрий Бондарь, Руководитель направления inRights, Solar Security

Олег Губка, Директор по развитию, Аванпост

Роман Павлов, Менеджер продукта, ТрастВерс

Oracle Identity Management

Oracle Identity Manager, как часть Oracle Fusion Middleware, обеспечивает унифицированную и интегрированную платформу безопасности, разработанную для управления идентификационными данными пользователей и обеспечения их средствами безопасного доступа к корпоративным ресурсам, предоставления надежного делового сотрудничества в интерактивном режиме, поддержки и оптимизации ИТ и обеспечения соответствия требованиям законодательства и внутренних политик организации. Решение предоставляет средства защиты информационных систем высоко уровня, позволяет избежать фрагментарности хранилищ учетных данных, средств управления и контроля.

Что такое Identity Management?

Identity Management (IDM) - это система управления учетными записями (персональными данными). Права распределяются на основе кадровых изменений (должностной доступ) и через веб-портал самообслуживания (индивидуальный доступ).

Учетные записи пользователя и их атрибуты (например, группы доступа) - это такая же часть персональной информации, как и почтовые адреса, имена и должности. Потому, логично включать в рамки процесса IDM и управление доступом к информационным системам (Access Management).

Где хранятся персональные данные?

В первую очередь, в кадровой системе. Кроме того, в каталоге Active Directory, в карточках пользователей прикладных систем, в данных почтовых программ, в системах управления клиентами, в биллинговых системах, в системах сервис-деск и так далее. Зачастую, эта информация не согласована. Один и тот же человек может быть прописан во множестве систем одновременно, к тому же, не везде он может быть прописан одинаково и корректно.

Для чего нужен Oracle Identity Management?

Oracle Identity Management позволяет привести в единый общий каталог актуальные и корректные персональные данные пользователей, интегрировать каталог с инфраструктурой компании. Таким образом, компоненты решения позволяют компаниям управлять полным жизненным циклом персональных данных пользователя на ресурсах компании, как внутри периметра защиты, так вне его, независимо от того, какие приложения используются в организации.

Одна из основных задач OIM – создание и управление единым и актуальным каталогом персональной информации. По сути, это решение является конструктором-платформой с возможностью кастомизации под реальные бизнес-процессы. Функционал Oracle Identity Manager позволяет, в том числе, управлять «гранулированными правами», настраивать типовой доступ и т.д. Такой конструктор состоит из набора компонентов, которые могут работать как независимо друг от друга так и как интегрированный набор сервисов.

Oracle Identity Management предлагает множество важных функций - возможность создания и обработки массовых заявок, наличие исторической отчётности, гибкую систему разграничения прав, доставку и согласование учетных данных, контроль доступа к веб-приложениям и веб-сервисам, выявление мошенничеств, управление рисками и аутентификации, аудит и отчеты.

Кроме того, продукт предлагает адаптивную систему согласования заявок: они проходят согласование либо целиком, либо по каждой роли отдельно. В первом случае, если пользователю запросили десять ролей, каждому владельцу роли придёт на согласование вся заявка целиком. Во втором- заявка «распадётся» на отдельные роли, и владельцы, которые отвечают за запрошенные роли, получат заявки отдельно по каждой роли.

Oracle Identity Management

Продукт имеет очень высокую степень гибкости, особенно в части изменения пользовательского интерфейса, самостоятельной разработки коннекторов к нестандартным системам (например, можно настроить согласование заявки из письма), но при этом требует высокого уровня квалификации персонала. И, хотя, интерфейс продукта достаточно понятный, часто компании хотят дорабатывать его под себя. Здесь оказываются полезными широкие возможности настройки. Кроме того, решение включает коннекторы к распространенным приложениям, и обеспечивает работу решения в разнородных средах.

Функционал решения

Управление правами

Управление заявками

Отчетность

Инструменты конфигурирования

Контроль изменений в системе, выполненных в обход IdM

Контроль рисков прав доступа пользователей

Разграничение областей видимости прав/ролей (кто и что может запрашивать)

Разграничение видимости форм интерфейса и их полей

Ручной ввод данных о сотрудниках в IdM

Управление сервисными учетными записями

Ролевое управление доступом

Поддержка иерархии ролей

Разграничение доступа к функциям IdM (настройка функциональных ролей)

Аттестация (пересмотр прав доступа)

Динамическое вычисление значений полей в формах интерфейса

Сброс пароля по контрольным вопросам

Массовое согласование заявок

Делегирование полномочий по согласованию заявок на период отпуска

Уведомления по электронной почте

Назначение заявок на исполнение вручную

Запрос нескольким сотрудникам нескольких ролей в одной заявке

Создание заявок на предоставление дополнительных прав

Запрос прав по преднастроенному шаблону заявки

Отчетность о состоянии прав на конкретную дату

Гистограммы и графики в отчета

Добавление собственных сущностей и форм

Изменение формы карточки сотрудника

Изменение формы заявки

Индивидуальная компоновка интерфейса

Oracle Identity Management ориентирован на обслуживание потребностей приложений. Его использование позволяет заказчикам отделить бизнес-логику от безопасности и управления ресурсами, и, таки образом, повысить скорость разработки и уменьшить стоимость сопровождения. Производитель может предложить полный стек программно-аппаратных решений, что снижает ТСО и упрощает поддержку.

Oracle Identity Governance и Oracle Access Manager могут использоваться в качестве средств информационной защиты систем высокого уровня. Обеспечивать экстернизацию (замену) сервисов безопасности, обычно встроенных в приложения, которые используем заказчик. Таким образом, удается избежать фрагментарности хранилищ учетных данных , средств управления и контроля.

Oracle Identity Management

Где работает OIM?

Крупный банк в Украине успешно провел внедрение Oracle IDM для централизации управления учетными данными. При помощи web-коннекторов OIM был интегрирован с HR системой в головном офисе. Таким образом, система работает с актуальной информацией, на основании которой распределяются права доступа к информационным системам банка. Кроме того была реализована возможность пользователей самостоятельно управлять паролями и синхронизацией с AD.

Лицензирование

Продукт лицензируется по количеству целевых систем, с которыми необходимо взаимодействовать. Независимо от того, будет заказчик использовать готовый коннектор, или планирует разрабатывать его под себя, на коннектор также требуется лицензия. В зависимости от количества пользователей можно выбирать один из двух продуктов для оптимального лицензирования.

Права продаж

Продавать Oracle Identity Manager могут все партнеры со статусом Gold и Platinum. Для распространения продукта реселлеру следует подтвердить права продаж (платные экзамены не требуются). Подтверждение прав продаж продуктов предоставляет партнеру возможность регистрировать проекты.

Следует также упомянуть, что IDМ нельзя назвать «отраслевым» решением. Необходимость регулирования права доступа актуальна для любой организации. В завершение хотим отметить, что опыт использования решения в мире и в Украине большой. Текущие задачи, которые желают решить заказчики при помощи Oracle Identity Management, свидетельствует о востребованности решения на рынке Украины.

Читайте также: