Oracle Cloud Infrastructure-Dokumentation

Überblick über Identity Orchestration

Identity Orchestration ist ein Oracle Access Governance-Framework, das verschiedene autoritative und verwaltete Systeme zusammenführt, indem Low-Code-Integrationen unterstützt werden. Es erleichtert Datentransformationen und Korrelationsregeln, die Datenkohärenz gewährleisten, extrahiert die erforderlichen Identitätsdaten aus verschiedenen Systemen in Oracle Access Governance und führt das Fulfillment durch Account-Provisioning durch.

Der gesamte Orchestrierungsprozess umfasst:

  • Integration in verschiedene On-Premises- oder Cloud-Systeme durch Low-Code-Integration.
  • Nur die erforderlichen Informationen (Identitätsattribute, Berechtigungszuweisungen und Policys) in Oracle Access Governance extrahieren oder aufnehmen.
  • Transformieren und Korrelieren der aufgenommenen Daten (Identitäts- und Accountattribute), um ein zusammengesetztes Identitätsprofil und Accountinformationen zu erstellen.
  • Verarbeitung der Identitätsdaten und deren Verwendung für Zugriffskontrollen, Zugriffsprüfungen, Workflows usw.
  • Provisioning und Synchronisierung von Daten zwischen den orchestrierten Systemen.

Bedeutung der Identity Orchestration: Warum moderne Identity Orchestration für Ihr Unternehmen unerlässlich ist

Identity Orchestration ist für ein komplexes und dynamisches IT-Ökosystem von entscheidender Bedeutung, das die verteilte Art der IT-Infrastruktur, Bereitstellungen über On-Premises-, Demilitarized Zone-(DMZ-) und Multi-Cloud-Umgebungen sowie IoT-Umgebungen umfassen kann. Ohne diese Probleme stehen Unternehmen vor kritischen Problemen wie einer begrenzten Sichtbarkeit identitätsbezogener Aktivitäten, fragmentierter Zugriffskontrolle, betrieblicher Ineffizienz und einer höheren Wahrscheinlichkeit von Sicherheitsbedrohungen und Complianceproblemen.

Mitglieder in Ihrem Unternehmen können eine Vielzahl von Systemen in ihrer Arbeitsroutine verwenden, wie Oracle HCM für das Ressourcenmanagement, Microsoft Teams als Collaboration Suite, Oracle CRM für das Kundenmanagement, interne Datenbankanwendungen und Legacy-Mainframeanwendungen. Bei einem derart heterogenen Setup spielt die Identity Orchestration eine wichtige Rolle bei der Bereitstellung eines umfassenden und zentralisierten Identitätsmanagement- und Governance-Systems. Es ermöglicht Ihnen, verschiedene Systeme nahtlos zu integrieren, nur die erforderlichen Attribute zu extrahieren und aufzunehmen, ein zusammengesetztes Identitätsprofil mit Datentransformations- und Korrelationsregeln zu erstellen und schließlich das Fulfillment durch Account-Provisioning zu ermöglichen.

Die Verwaltung von Identitäten und deren jeweiligen Zugriffen erfordert eine nahtlose Identitäts- und Zugriffsorchestrierung für effektives Identitätslebenszyklusmanagement, Governance und Compliance. Moderne Identity Governance-Systeme wie Oracle Access Governance bieten ein ganzheitliches Identity Orchestration-System, das Low-Code-Integrationen, Datenkorrelations- und Datentransformationsfunktionen sowie Fulfillment bereitstellt. Dies ermöglicht eine gründliche Zugriffserkennung, umfassende Einblicke in Identitätsprofile und klar angegebene Zugriffskontrollen, Zugriffsprüfungen und Mikrozertifizierungen.

Integrationen in Oracle Access Governance

Oracle Access Governance vereinfacht die Identitätsorchestrierung, indem eine breite Palette spezialisierter und generischer Out-of-the-box-Integrationen angeboten wird, die minimale Konfigurationen erfordern.

  • Specialized Integrations: Integrationen für bestimmte Anwendungen mit anwendungsspezifischen Anwendungsfällen. Beispiel: Integration mit Oracle Human Capital Management (HCM), Microsoft Entra ID, Microsoft Teams usw.
  • Generische Integrationen: Integrationen für eingeschränkte oder sensible Anwendungen oder für Anwendungen mit nicht unterstützten Datenstrukturen. Sie können die Integration mit einer Flat File- oder Generic Rest-API erreichen, die Flexibilität und umfassendere Kompatibilität bietet.

Oracle Access Governance führt Integrationen entweder über eine API (direkte Integration) mit Cloud-Services und -Systemen in öffentlichen Domains oder über einen Agent (ein herunterladbares Docker-Image) für Systeme hinter Firewalls aus. Diese Systeme und Anwendungen können entweder als autoritative Quellen oder als verwaltete Systeme integriert werden.

Funktionsübersicht zur Identitätsorchestrierung


Funktionsübersicht zur Identitätsorchestrierung

Lassen Sie uns die Schritte verstehen:
  1. Identitätsdatensynchronisierung + Korrelationsregeln + eingehende Datentransformation: Im ersten Schritt erfolgt die Synchronisierung von Identitätsdaten aus autoritativen Quellen sowie die Ausführung von Korrelationsregeln und die eingehende Transformation der aufgenommenen Identitätsdaten. Hier werden Oracle Access Governance-Identitäten erstellt.
  2. Identitätsprofil + Identitätsattribute: Im zweiten Schritt wird ein zusammengesetztes Identitätsprofil erstellt, indem Identitätsattribute in Oracle Access Governance angepasst und konfiguriert werden.
  3. Korrelationsregeln + eingehende Datentransformation + Account Reconciliation: Im dritten Schritt werden Korrelationsregeln und eingehende Transformationen für die aufgenommenen Account- und Berechtigungsdaten aus verwalteten Systemen ausgeführt. Während dieses Prozesses werden Ihre Konten mit Identitäten abgeglichen. Hier werden Oracle Access Governance-Accounts erstellt und für Provisioning-Vorgänge verwendet.
  4. Identitätslebenszyklus + Zugriffskontrolle + Zugriffsprüfungen: Im vierten Schritt können Sie übliche Oracle Access Governance-Features ausführen, wie die Verwaltung des Identitätslebenszyklus, die Ausführung von Zugriffsprüfungen, die Einrichtung von Zugriffskontrollen und Genehmigungsworkflows in Oracle Access Governance.
  5. Transformation ausgehender Daten + Account-Provisioning: Oracle Access Governance unterstützt schließlich ausgehende Datentransformationen, die Identitätsattribute verwenden, um Accountattribute für das Provisioning in den verwalteten Systemen zu definieren. Beispiel: Standardwerte auf Nullwerte anwenden oder das Format eines Attributs ändern, um die Kohärenz während des Provisioning-Prozesses aufrechtzuerhalten.

Autoritative und verwaltete Quelle

Je nach Identitäts- und Zugriffsdaten, die aus Systemen oder Anwendungen extrahiert werden, trennt Oracle Access Governance die Systeme in:

  • Autoritative Quelle: Vertrauenswürdige Quelle für Identitätsdaten und Identitätsattribute, die von Oracle Access Governance zum Laden und Verwalten von Identitätsdaten verwendet werden können. Beispiele hierfür sind Oracle Identity Governance, Microsoft Entra ID (früher Azure Active Directory) oder ein beliebiges HR-System zur Verwaltung von Identitätsdaten und zugehörigen Attributen, wie E-Mail-Adresse, Benutzername, Standort oder Abteilung.
  • Verwaltetes System: Anwendungen und Services, die Accounts und entsprechende Zugriffsberechtigungen enthalten, aber nicht als vertrauenswürdige Identitätsquelle in Ihren Unternehmensinformationen dienen, z.B. Oracle Database User Management, Salesforce und Microsoft Teams. Durch die Einrichtung eines orchestrierten Systems verwaltet Oracle Access Governance Benutzerkonten und Zugriffsberechtigungen für diese Anwendungen und nutzt dabei die definierten Zugriffskontrollen (einschließlich Zugriffsanforderung, RBAC, ABAC und PBAC).
  • Autoritative Quelle und verwaltetes System: Systeme und Anwendungen können beide Rollen erfüllen. Sie dienen als autoritative Quelle für Identitätsdaten und fungieren gleichzeitig als verwaltete Systeme für den Zugriff.

Datentransformations- und Korrelationsregeln

Zu den wichtigsten Grundsätzen der nahtlosen Identitätsorchestrierung gehören:
  • Korrelationsregeln: Sie können Korrelations- oder Abgleichsregeln verwenden, um die Identitätsdaten abzugleichen, die aus verschiedenen autoritativen Quellen aufgenommen wurden, und so ein zusammengesetztes Identitätsprofil erstellen. Ebenso können bei der Datenaufnahme aus verwalteten Systemen mehrere Accounts für eine Identität vorhanden sein. Sie können die Kontodaten mit den jeweiligen Identitäten abgleichen, um die aus verwalteten Systemen aufgenommenen Benutzeraccounts mit der Identität zu verknüpfen. Beispiel: Sie können die Benutzeranmeldung aus dem orchestrierten System mit dem in Oracle Access Governance aufgenommenen Mitarbeiterbenutzernamen abgleichen.
  • Eingehende Datentransformationen: Anwendungen, unabhängig davon, ob autoritative Quellen oder verwaltete Systeme, können Daten in verschiedenen Formaten darstellen. Während des Datenaufnahmeprozesses von autoritativen Quellen in Oracle Access Governance können Sie die Identitätsdaten transformieren, um die Identitätsprofilinformationen mit Regeln für die eingehende Transformation zu verbessern. Beispiel: Sie können die Personalnummer mit dem Vornamen verketten, um einen Anzeigenamen in Oracle Access Governance festzulegen. Ebenso können Sie bei der Datenaufnahme aus verwalteten Systemen Kontodaten mit den Regeln für die eingehende Transformation definieren oder anpassen. Beispiel: Beim Rebranding eines Produkts können Sie den Anzeigenamen der Anwendung in einen anderen festen Wert ändern.
  • Ausgehende Datentransformationen: Oracle Access Governance bietet Regeln für ausgehende Transformation, bei denen Sie mit Identitätsattributen Accountattribute für die Accountbereitstellung in den verwalteten Systemen definieren. Beispiel: Sie können eine Organisation mit einem Nullwert auf einen Standardwert setzen.

Zusammenfassend lässt sich sagen, dass Identity Orchestration eine herstellerunabhängige Lösung von Oracle Access Governance für die heutigen heterogenen Umgebungen ist, die mit allen führenden Identitätsprovidern (IDPs) oder Services zur Sicherung Ihrer IT-Infrastruktur arbeitet.