1. Diseña una solución de gobernanza de identidades que aproveche las estadísticas de identidad
  2. Diseña una solución de gobernanza de identidades que aproveche las estadísticas de identidad

Diseña una solución de gobernanza de identidades que aproveche las estadísticas de identidad

Identity Access Management (IAM) no es solo una publicidad, ni es un fenómeno nuevo. Las aplicaciones de control de acceso han estado en uso durante varias décadas y están integradas en la infraestructura de muchas organizaciones, pero cada vez son más difíciles de gestionar.

A veces, los clientes gestionan cientos de miles de usuarios, que pueden tener acceso a varias aplicaciones, lo que significa que hay potencialmente cientos de miles de autorizaciones posibles. Autorizaciones como derechos de acceso y permisos dentro de una aplicación, que requieren mantenimiento. Esto lleva a cuestionar quién tiene acceso a qué información bajo qué contexto/condiciones y cómo.

Arquitectura

Esta arquitectura de referencia aprovecha los siguientes servicios.

  • Oracle Identity Governance (OIG)
  • Oracle Identity Role Intelligence (OIRI)
  • Oracle Access Governance (AG)
  • Oracle Access Management (OAM)
  • Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)

Esta arquitectura se puede implantar en Oracle Cloud Infrastructure (OCI), centros de datos de clientes o nubes de terceros. Algunas de las ventajas de aprovechar esta arquitectura son:

  • Reduce los costos de operación para el aprovisionamiento de acceso de usuario al eliminar procesos manuales redundantes y que consumen mucho tiempo.
  • Consigue un rendimiento razonable de la inversión invirtiendo en nuevas tecnologías, como contenedores y microservicios
  • Minimiza los riesgos de seguridad mediante el despliegue de controles eficaces y la eliminación de errores humanos
  • Consolida los datos de acceso en una sola vista para proporcionar información sobre quién tiene acceso a qué áreas y qué tan arriesgado es el acceso a la organización. Esta vista proporciona visibilidad total de los propietarios de seguridad y los mánager sobre los patrones de acceso de los usuarios.
  • Aumenta la productividad y la satisfacción del usuario final aprovechando un panel de control intuitivo listo para usar.
  • Automatiza los informes de conformidad regulados.

Arquitectura Lógica

En el siguiente diagrama se ilustra la arquitectura de referencia de IAM de destino.


Descripción de identity-governance-logical-architecture.png
Descripción de la ilustración identity-governance-logical-architecture.png

identity-governance-logical-architecture.zip

A continuación, se muestran las capacidades de cada componente implantado por la plataforma de Oracle.

Oracle Identity Governance (OIG), Oracle Identity Role Intelligence (OIRI) y OIG Connectors proporcionan lo siguiente.

  • Administración

    Funciones de autoservicio y delegación de funciones administrativas para la gestión de la identidad de usuario, incluidas las cuentas de usuario y con privilegios.

  • Aprovisionamiento

    Flujo externo de información de usuario desde un punto de administración central hasta un sistema de destino. Realice un seguimiento de todas las acciones (como la creación, las actualizaciones y la supresión) de cuentas, roles y derechos en todos los recursos gestionados.

  • Conciliación

    Flujo interno de información de usuario desde un sistema de confianza o un sistema de destino. La información del usuario suele incluir todas las acciones (como la creación, las actualizaciones y la supresión) de cuentas, roles y derechos a la plataforma de administración central.

  • Gestión de flujos de trabajo

    La capacidad de automatizar los procesos empresariales y de TI para permitir el aprovisionamiento y el modelado automatizados basados en políticas de los procesos de aprobación para gestionar las solicitudes de acceso a recursos.

  • Gestión de Contraseñas

    Compatibilidad con políticas de contraseñas y administración de autoservicio para restablecimientos de contraseñas y cambios de contraseña.

  • Notifications

    Enrutamiento de información perteneciente a todo tipo de eventos manejados por la plataforma hacia el usuario final y hacia la gestión de unidades relevantes, así como de sistemas, seguridad y administradores delegados.

  • Conectores

    Capacidad de integración de tres niveles en varios sistemas de TI heterogéneos conscientes de la identidad. Esta capacidad de tres niveles refleja el objetivo de minimizar el desarrollo personalizado, maximizar la reutilización del código y reducir el tiempo de despliegue.

  • Motor de reglas

    Permite definir criterios de evaluación para la ejecución de procesos relacionados con usuarios, roles, derechos, cuentas y gestión de organización.

  • Segregación de Derechos

    Uso de la auditoría de identidad (de IDA) para definir y detectar violaciones. El mecanismo de detección de IDA supervisa el acceso real de los usuarios a los recursos y captura cualquier violación de forma continua. IDA tiene dos modos: detective y preventivo.

  • Rol Delegado y Gestión de Acceso

    Agrupación lógica de usuarios a los que puede asignar derechos de acceso, aprovisionar recursos automáticamente o utilizar en tareas comunes, como la aprobación y la certificación de acceso.

  • Datos analíticos de riesgo

    Capacidad integral de gestión de riesgos para todas las funcionalidades críticas que pueden asignar directamente niveles de alto, medio y bajo riesgo a roles, cuentas y derechos.

  • Inteligencia de roles y minería (OIRI)

    Detección de patrones de derechos entre grupos de iguales, con soporte para un enfoque descendente para la minería de roles basado en atributos de usuario. Un enfoque ascendente que filtra los datos en función de las aplicaciones y los derechos, o un enfoque híbrido descendente ascendente.

    Comparación de roles de candidato con un rol existente para evitar la explosión de roles. Capacidad para ajustar los roles de candidato en función de la afinidad de usuario y la afinidad de rol. Publicación automatizada de roles en OIG para disparar un flujo de trabajo para la adopción de roles. Capacidad para fusionar datos de diferentes orígenes, como la base de datos de OIG y los archivos planos, y proporcionar análisis de posibilidades antes de mover los roles candidatos a producción.

Los agentes de Access Governance (AG) y AG proporcionan lo siguiente.

  • Ejecución de campañas de certificación con una experiencia de usuario intuitiva, para garantizar revisiones de acceso adecuadas y oportunas. El flujo de trabajo inteligente guía a los usuarios y hace sugerencias sencillas para ayudar a cumplir con los objetivos normativos y de cumplimiento más rápido.
  • La información basada en el aprendizaje automático permite la puntuación de riesgos y el análisis avanzado con recomendaciones prescriptivas para mejorar el conocimiento del riesgo, reducir los esfuerzos de certificación manual y automatizar el control/aprovisionamiento de acceso.
  • Consolidación de datos de acceso de grupo en una vista que detalla quién tiene acceso a qué y qué riesgo tiene ese acceso para la organización.
  • Orquestación de datos de identidad para extraer datos de derechos directamente de Oracle Identity Governance y disparar la solución.

Oracle Access Manager (con este documento OAM) y OAM WebGate proporcionan lo siguiente.

  • Autorización que implica la aplicación y las decisiones de políticas de acceso en tiempo real (en función de identidades, atributos, roles, reglas y derechos para las interfaces de solución).
  • Autenticación mediante verificación en tiempo real en repositorios de usuario de Active Directory/Azure Active Directory de identidades reclamadas para las interfaces de solución.
  • Conexión única federada, en el rol de proveedor de identidad con OCI IAM, en el rol de proveedor de servicios para las interfaces de solución.
OCI IAM proporciona lo siguiente.
  • SSO federada con OAM, como proveedor de servicios con OAM actuando como proveedor de identidad.

Aplicación de destino

Entre las aplicaciones de destino de integración que se van a implantar se incluyen algunas de las siguientes.

  • Conciliación de identidades: Peoplesoft, SAP HRMS, Oracle e-Business Suite HRMS
  • Aprovisionamiento y conciliación de destinos: SAP, Siebel, Salesforce, ServiceNow, Oracle e-Business Suite, Microsoft Office 365, Azure Active Directory, Amazon Web Services.

Topología física

En el siguiente diagrama se ilustra la arquitectura de referencia de un cluster de Kubernetes en una región de Oracle Cloud Infrastructure que contiene varios dominios de disponibilidad. Se recomienda una estrategia de recuperación ante desastres en la misma región para aprovechar los distintos dominios de disponibilidad (centros de datos) y minimizar la latencia y la degradación del rendimiento. La topología propuesta utiliza dos de los tres dominios de disponibilidad, debido a la recomendación de que todos los pods se ejecuten en nodos de trabajadores del mismo dominio de disponibilidad. A continuación, se proporcionan más detalles sobre la estrategia de recuperación ante desastres.


Descripción de identity-governance-topology.png
Descripción de la ilustración identity-governance-topology.png

gobernanza-identidad-topology.zip

La arquitectura tiene los siguientes componentes:

  • Red y subredes virtuales en la nube (VCN)

    Una VCN es una red personalizable y definida por software que puede configurar en una región de Oracle Cloud Infrastructure. Al igual que las redes de los centros de datos tradicionales, las redes virtuales le proporcionan el control de su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

  • Región

    Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes entre sí y puede haber grandes distancias que las separen (entre países e incluso continentes).

  • Gateway de Internet

    El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.

  • Web Application Firewall (WAF)

    Oracle Cloud Infrastructure Web Application Firewall (WAF) es un servicio compatible con la industria de tarjetas de pago (PCI), basado en la región y de aplicación de perímetro que se asocia a un punto de aplicación, como un equilibrador de carga o un nombre de dominio de aplicación web. WAF protege las aplicaciones frente al tráfico de Internet no deseado y malicioso. WAF puede proteger cualquier punto final orientado a Internet, lo que proporciona un cumplimiento de reglas consistente en todas las aplicaciones de clientes.

  • Gateway de enrutamiento dinámico (DRG)

    El DRG es un enrutador virtual que proporciona una ruta para el tráfico de red privada entre las redes virtuales en la misma región, entre una VCN y una red fuera de la región, como una VCN en otra región de Oracle Cloud Infrastructure, una red local o una red en otro proveedor en la nube.

  • Gateway de servicio

    El gateway de servicios proporciona acceso desde una VCN a otros servicios, como Oracle Cloud Infrastructure Object Storage. El tráfico de la VCN al servicio Oracle viaja por el tejido de red de Oracle y no atraviesa Internet.

  • Gateway de traducción de direcciones de red (NAT)

    Un gateway de NAT permite que los recursos privados de una VCN accedan a hosts en Internet, sin exponer dichos recursos a conexiones de Internet entrantes.

  • Subredes
    La VCN de esta arquitectura consta de 10 subredes que emparejan entornos de producción y recuperación ante desastres. Todas las subredes son específicas de dominios de disponibilidad, lo que significa que están limitadas a un centro de datos para minimizar la latencia y la degradación del rendimiento. La recuperación ante desastres desplegada en la misma VCN y región también protege frente a fallos del dominio de disponibilidad.
    • Hay dos subredes públicas para la capa web.
    • Dos subredes privadas para el equilibrador de carga privado.
    • Dos subredes privadas son para hosts de administración que contienen las herramientas necesarias para gestionar el cluster de Kubernetes y los nodos del cluster de Kubernetes.
    • Hay dos subredes privadas para los puntos finales de API de cluster de Kubernetes.
    • Dos subredes privadas son para el acceso de punto final privado de Autonomous Database para permitir solo conexiones desde la red privada especificada (VCN).
  • Nodos del equilibrador de carga
    • Un nodo público regional del equilibrador de carga intercepta y distribuye el tráfico a las instancias informáticas que ejecutan el nivel web de la solución en entornos de producción y recuperación ante desastres.
    • Un nodo de equilibrador de carga privado específico del dominio de disponibilidad, por entorno, intercepta y distribuye el tráfico a los nodos de Kubernetes que ejecutan la capa media de aplicaciones en contenedores.
  • Nodos de trabajo de Kubernetes

    Los nodos de trabajador de Kubernetes son las instancias informáticas en las que se despliegan las aplicaciones en contenedores. Todos los nodos de trabajador de esta arquitectura de referencia están en un único pool de nodos y asociados a una subred privada. Si es necesario, se pueden crear varios pools de nodos.

    No se puede acceder a los nodos de trabajador de esta arquitectura de referencia directamente desde la red pública de Internet. Los usuarios de las aplicaciones en contenedores pueden acceder a ellas a través del equilibrador de carga. Los administradores pueden acceder a los nodos de trabajador mediante el servicio bastión. Los nodos maestros de Kubernetes se ejecutan en el arrendamiento de Oracle y no se muestran.

  • Punto final de API de Kubernetes

    El punto final de la API de Kubernetes, en el panel de control del cluster alojado en una subred dedicada, permite a los usuarios finales consultar y manipular recursos de Kubernetes (como pods, espacios de nombre, mapas de configuración y eventos).

  • Redes de superposición de pods/servicios

    El modelo de red de Kubernetes asume que los pods tienen direcciones IP únicas y enrutables dentro de un cluster. En el modelo de red de Kubernetes, los pods utilizan esas direcciones IP para comunicarse entre sí. Con los nodos de plano de control del cluster con pods en otros clusters, con otros servicios (como servicios de almacenamiento) e Internet.

  • Autonomous Database con punto final privado

    Proporciona seguridad mejorada definiendo una propiedad de base de datos para aplicar que todas las conexiones salientes a un host de destino estén sujetas y limitadas por las reglas de salida del punto final privado. Las reglas de salida se definen en la lista de seguridad de VCN o en el grupo de seguridad de red (NSG) asociado al punto final privado de la instancia de Autonomous Database.

  • Servicio de bastión

    Oracle Cloud Infrastructure (OCI) Bastion proporciona acceso seguro restringido y limitado en el tiempo a recursos que no tienen puntos finales públicos y que requieren estrictos controles de acceso a recursos, como hardware dedicado y máquinas virtuales, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) y cualquier otro recurso que permita el acceso al protocolo de shell seguro (SSH). Con el servicio OCI Bastion, puede permitir el acceso a hosts privados sin desplegar y mantener un host de salto. Además, obtiene una estrategia de seguridad mejorada con permisos basados en identidad y una sesión SSH centralizada, auditada y con límite de tiempo. OCI Bastion elimina la necesidad de una IP pública para el acceso al bastión, eliminando la molestia y la posible superficie de ataque al proporcionar acceso remoto.

  • Replicación de almacenamiento persistente

    Rsync en NFS proporciona un método de replicación de almacenamiento persistente que replica la configuración de dominio, con un mantenimiento y una configuración mínimos.

  • Autonomous Data Guard (replicación de Data Guard)

    Cuando se activa Autonomous Data Guard con una base de datos en espera en la región actual, Autonomous Database supervisa la base de datos principal y, si la base de datos principal deja de estar activa, la instancia en espera asume automáticamente el rol de la instancia principal. Con Autonomous Data Guard activado con una base de datos en espera local, Autonomous Database proporciona una base de datos en espera idéntica que permite lo siguiente, según el estado de la base de datos principal.

    Si la base de datos principal deja de estar activa, Autonomous Data Guard convierte la base de datos en espera en la base de datos principal con una interrupción mínima. Una vez finalizado el failover, Autonomous Data Guard crea una nueva base de datos en espera.

    Puede realizar una operación de switchover, en la que la base de datos principal se convierte en la base de datos en espera y la base de datos en espera se convierte en la base de datos principal.

Consideraciones

Al diseñar la solución de gobernanza de identidades, tenga en cuenta lo siguiente.

Recuperación ante desastres

La solución de recuperación ante desastres en OCI es un modelo activo-pasivo.

Hay un sistema principal que consta de un dominio de Oracle WebLogic (WLS), Oracle Identity and Access Management (OIG y OAM) en Oracle Cloud Infrastructure Kubernetes Engine, un equilibrador de carga, un Oracle Autonomous Transaction Processing (ATP) y dos servidores HTTP de Oracle (OHS) en un dominio de disponibilidad (AD).

El sistema secundario consta de los mismos componentes de arquitectura, pero en un dominio de disponibilidad diferente. El dominio de disponibilidad, el centro de datos y los sitios están físicamente lo suficientemente alejados del dominio de disponibilidad principal como para proteger los componentes en caso de que se produzca un desastre.

Explorar más

Obtenga más información sobre el diseño de una solución de gobernanza de identidades.

Revise estos recursos adicionales:

Confirmaciones

Autor: Katerina Kalimeri

Colaboradores: Andreas Theodoridis, Ioannis Episkopakis, Kostantinos Pateras

Log de Cambios

Este log muestra los cambios significativos: