1. Concevoir une solution de gouvernance des identités exploitant les informations d'identité
  2. Concevoir une solution de gouvernance des identités exploitant les informations d'identité

Concevoir une solution de gouvernance des identités exploitant les informations d'identité

Identity Access Management (IAM) n'est pas seulement un battage médiatique, il n'est pas non plus un phénomène nouveau. Les applications de contrôle d'accès sont utilisées depuis plusieurs décennies et sont intégrées dans l'infrastructure de nombreuses entreprises, mais elles deviennent de plus en plus difficiles à gérer.

Les clients gèrent parfois des centaines de milliers d'utilisateurs, qui peuvent avoir accès à plusieurs applications, ce qui signifie qu'il existe potentiellement des centaines de milliers d'autorisations possibles. Autorisations, telles que les droits d'accès et les autorisations au sein d'une application, qui nécessitent toutes une maintenance. Cela conduit à se demander qui a accès à quelles informations sous quel contexte / conditions et comment.

Architecture

Cette architecture de référence tire parti des services suivants.

  • Oracle Identity Governance (OIG)
  • Oracle Identity Role Intelligence (OIRI)
  • Oracle Access Governance (AG)
  • Oracle Access Management (OAM)
  • Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)

Cette architecture peut être implémentée dans Oracle Cloud Infrastructure (OCI), les data centers client ou les clouds tiers. Cette architecture présente les avantages suivants :

  • Réduit les coûts d'exploitation pour le provisionnement de l'accès utilisateur en éliminant les processus manuels redondants et chronophages.
  • Réalise un retour sur investissement raisonnable en investissant dans de nouvelles technologies telles que les conteneurs et les microservices
  • Réduit les risques de sécurité en déployant des contrôles efficaces et en éliminant les erreurs humaines
  • Consolide les données d'accès dans une vue unique pour fournir des informations sur les personnes ayant accès aux domaines et sur les risques liés à cet accès pour l'organisation. Cette vue offre aux responsables et aux responsables de la sécurité une visibilité totale sur les modèles d'accès utilisateur.
  • Augmente la productivité et la satisfaction des utilisateurs finaux en tirant parti d'un tableau de bord intuitif prêt à l'emploi.
  • Automatise le reporting de conformité réglementé.

Architecture logique

Le diagramme suivant illustre l'architecture de référence IAM cible.


Description de l'identité-gouvernance-logical-architecture.png
Description de l'illustration identity-governance-logical-architecture.png

identity-gouvernance-logique-architecture.zip

Les fonctionnalités de chaque composant implémenté par la plate-forme Oracle suivent.

Oracle Identity Governance (OIG), Oracle Identity Role Intelligence (OIRI) et Connecteurs OIG fournissent les informations suivantes.

  • Administration

    Fonctionnalités en libre-service et délégation de fonctions administratives pour la gestion de l'identité des utilisateurs, y compris les comptes utilisateur et privilégiés.

  • Provisionnement

    Flux sortant d'informations utilisateur d'un point d'administration central vers un système cible. Suivre toutes les actions (telles que la création, les mises à jour et la suppression) des comptes, des rôles et des habilitations sur toutes les ressources gérées.

  • Réconciliation

    Flux entrant d'informations utilisateur à partir d'un système sécurisé ou d'un système cible. Les informations utilisateur incluent généralement toutes les actions (telles que la création, les mises à jour et la suppression) des comptes, des rôles et des droits sur la plate-forme d'administration centrale.

  • Gestion des workflows

    Possibilité d'automatiser les processus métier et informatiques afin de permettre le provisionnement automatisé basé sur des stratégies et la modélisation des processus d'approbation pour la gestion des demandes d'accès aux ressources.

  • Gestion des mots de passe

    Prise en charge des stratégies de mot de passe et administration en libre-service pour les réinitialisations de mot de passe et les modifications de mot de passe.

  • Notifications

    Acheminement des informations relatives à tous les types d'événements gérés par la plate-forme vers l'utilisateur final et la gestion des unités concernées, ainsi que le système, la sécurité et les administrateurs délégués.

  • Connecteurs

    Capacité d'intégration à trois niveaux pour divers systèmes informatiques hétérogènes tenant compte des identités. Cette fonctionnalité à trois niveaux reflète l'objectif de minimiser le développement personnalisé, d'optimiser la réutilisation du code et de réduire le temps de déploiement.

  • Moteur de règles

    Définit les critères d'évaluation pour l'exécution des traitements liés aux utilisateurs, aux rôles, aux habilitations, aux comptes et à la gestion des organisations.

  • Séparation des obligations

    Utilisation de l'audit des identités (IDA) pour définir et détecter les violations. Le mécanisme de détection de l'IDA surveille l'accès réel des utilisateurs aux ressources et capture les violations en continu. L'IDA dispose de deux modes : détective et préventif.

  • Gestion déléguée des rôles et des accès

    Regroupement logique d'utilisateurs auxquels vous pouvez affecter des droits d'accès, provisionner des ressources automatiquement ou les utiliser dans des tâches courantes telles que l'approbation et la certification des accès.

  • Analyse des risques

    Fonctionnalité complète de gestion des risques pour toutes les fonctionnalités critiques pouvant affecter directement des niveaux de risque élevés, moyens et faibles aux rôles, comptes et droits.

  • Rôle Intelligence et exploitation minière (OIRI)

    Repérage des modèles d'habilitation dans les groupes de pairs, avec prise en charge d'une approche descendante pour l'exploration des rôles en fonction des attributs utilisateur. Une approche de bas en haut qui filtre les données en fonction des applications et des droits, ou une approche hybride de haut en bas.

    Comparaison des rôles candidats avec un rôle existant pour éviter l'explosion des rôles. Possibilité d'affiner les rôles candidats en fonction de l'affinité des utilisateurs et des rôles. Publication automatisée des rôles dans OIG pour déclencher un workflow d'adoption des rôles. Possibilité de fusionner des données provenant de différentes sources, telles que la base de données OIG et les fichiers plats, et de fournir une analyse de simulation avant de déplacer les rôles candidats vers la production.

Access Governance (AG) et agent AG fournissent les informations suivantes.

  • Exécution de campagnes de certification avec une expérience utilisateur intuitive, afin de garantir des révisions d'accès appropriées et opportunes. Le workflow intelligent guide les utilisateurs et fait des suggestions simples pour aider à atteindre plus rapidement les objectifs de conformité et de réglementation.
  • Notation des risques basée sur le machine learning et analyses avancées avec des recommandations prescriptives pour améliorer la sensibilisation aux risques, réduire les efforts de certification manuelle et automatiser le contrôle d'accès/provisionnement.
  • Consolidation des données d'accès de groupe dans une vue qui détaille qui a accès à quoi et à quel point cet accès est risqué pour l'organisation.
  • Orchestration des données d'identité pour extraire les données d'habilitation directement à partir d'Oracle Identity Governance et déclencher la résolution.

Oracle Access Manager (avec OAM) et OAM WebGate fournissent les informations suivantes.

  • Autorisation impliquant des décisions et une application de stratégie d'accès en temps réel (en fonction des identités, des attributs, des rôles, des règles et des habilitations pour les interfaces de solution).
  • Authentification à l'aide d'une vérification en temps réel par rapport aux référentiels utilisateur Active Directory/Azure Active Directory des identités revendiquées pour les interfaces de solution.
  • SSO fédéré, dans le rôle de fournisseur d'identités avec OCI IAM dans le rôle de fournisseur de services pour les interfaces de solution.
OCI IAM fournit les éléments suivants.
  • SSO fédéré avec OAM, en tant que fournisseur de services avec OAM agissant en tant que fournisseur d'identités.

Applications cible

Les applications cible d'intégration à implémenter incluent certains des éléments suivants.

  • Rapprochement des identités : Peoplesoft, SAP HRMS, Oracle e-Business Suite HRMS
  • Provisionnement et rapprochement des cibles : SAP, Siebel, Salesforce, ServiceNow, Oracle e-Business Suite, Microsoft Office 365, Azure Active Directory, Amazon Web Services.

Topologie physique

Le diagramme suivant illustre l'architecture de référence d'un cluster Kubernetes dans une région Oracle Cloud Infrastructure qui contient plusieurs domaines de disponibilité. Une stratégie de récupération après sinistre dans la même région est recommandée pour tirer parti de plusieurs domaines de disponibilité (centres de données) tout en minimisant la latence et la dégradation des performances. La topologie proposée utilise deux des trois domaines de disponibilité, en raison de la recommandation selon laquelle tous les pods doivent être exécutés sur les noeuds de processus actif du même domaine de disponibilité. Vous trouverez plus de détails sur le programme de reprise après sinistre ci-dessous.


Description de l'identité-gouvernance-topology.png
Description de l'illustration identity-governance-topology.png

identity-gouvernance-topology.zip

L'architecture comprend les composants suivants :

  • Réseau cloud virtuel (VCN) et sous-réseaux

    Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux de centre de données traditionnels, les réseaux cloud virtuels vous donnent le contrôle sur l'environnement réseau. Un réseau cloud virtuel peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après l'avoir créé. Vous pouvez segmenter un réseau cloud virtuel en plusieurs sous-réseaux ciblant une région ou un domaine de disponibilité. Chaque sous-réseau est composé d'une plage contiguë d'adresses qui ne chevauchent pas celles des autres sous-réseaux du réseau cloud virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

  • Région

    Une région Oracle Cloud Infrastructure est une zone géographique précise, incluant un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres et de grandes distances peuvent les séparer (entre pays, voire continents).

  • Passerelle Internet

    La passerelle Internet autorise le trafic entre les sous-réseaux publics d'un VCN et le réseau Internet public.

  • Web Application Firewall (WAF)

    Oracle Cloud Infrastructure Web Application Firewall (WAF) est un service de mise en application en périphérie basé sur les régions et compatible avec le secteur des cartes de paiement qui est attaché à un point de mise en application, tel qu'un équilibreur de charge ou un nom de domaine d'application Web. WAF protège les applications du trafic Internet malveillant et indésirable. WAF peut protéger toutes les adresses Internet, en assurant l'exécution cohérente des règles sur les différentes applications d'un client.

  • Passerelle de routage dynamique

    Le DRG est un routeur virtuel qui fournit un chemin pour le trafic de réseau privé entre les réseaux cloud virtuels de la même région, entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région Oracle Cloud Infrastructure, un réseau sur site ou un réseau dans un autre fournisseur cloud.

  • Passerelle de service

    La passerelle de service fournit un accès à partir d'un VCN à d'autres services, tels qu'Oracle Cloud Infrastructure Object Storage. Le trafic entre le VCN et le service Oracle passe par la structure du réseau Oracle et ne traverse pas Internet.

  • Passerelle NAT (Network Address Translation)

    Une passerelle NAT permet aux ressources privées d'un VCN d'accéder aux hôtes sur Internet, sans les exposer aux connexions Internet entrantes.

  • Sous-réseaux
    Le VCN dans cette architecture se compose de 10 sous-réseaux couplant des environnements de production et de récupération après sinistre. Tous les sous-réseaux sont propres au domaine de disponibilité, ce qui signifie qu'ils sont limités au sein d'un même centre de données afin de minimiser la latence et la dégradation des performances. La récupération après sinistre déployée dans le même VCN et la même région protège également contre la défaillance du domaine de disponibilité.
    • Deux sous-réseaux publics sont destinés au niveau Web.
    • Deux sous-réseau privés pour l'équilibreur de charge privé.
    • Deux sous-réseaux privés sont destinés aux hôtes administrateurs qui contiennent les outils nécessaires à la gestion du cluster Kubernetes et des noeuds du cluster Kubernetes.
    • Deux sous-réseaux privés sont destinés aux adresses d'API de cluster Kubernetes.
    • Deux sous-réseaux privés sont destinés à l'accès à l'adresse privée Autonomous Database afin d'autoriser uniquement les connexions à partir du réseau privé (VCN) indiqué.
  • Noeuds d'équilibreur de charge
    • Un noeud d'équilibreur de charge public régional intercepte et distribue le trafic vers les instances de calcul exécutant le niveau Web de la solution dans les environnements de production et de récupération après sinistre.
    • Un noeud d'équilibreur de charge privé propre au domaine de disponibilité, par environnement, intercepte et distribue le trafic vers les noeuds Kubernetes exécutant le niveau intermédiaire des applications en conteneur.
  • Noeuds de processus actif Kubernetes

    Les noeuds de processus actif Kubernetes sont les instances de calcul sur lesquelles les applications en conteneur sont déployées. Tous les noeuds de processus actif de cette architecture de référence se trouvent dans un pool de noeuds unique et sont attachés à un sous-réseau privé. Plusieurs pools de noeuds peuvent être créés si nécessaire.

    Les noeuds de processus actif de cette architecture de référence ne sont pas accessibles directement à partir du réseau Internet public. Les utilisateurs des applications en conteneur peuvent y accéder via l'équilibreur de charge. Les administrateurs peuvent accéder aux noeuds de processus actif via le service de bastion. Les noeuds maître Kubernetes sont exécutés dans la location d'Oracle et ne sont pas affichés.

  • Adresse d'API Kubernetes

    L'adresse d'API Kubernetes, sur le panneau de contrôle de cluster hébergé dans un sous-réseau dédié, permet aux utilisateurs finaux d'interroger et de manipuler les ressources Kubernetes ( pods, espaces de noms, correspondances de configuration et événements, par exemple).

  • Réseau superposé de pods/services

    Le modèle de fonctions de réseau Kubernetes suppose que les pods disposent d'adresses IP uniques et routables au sein d'un cluster. Dans le modèle de réseau Kubernetes, les pods utilisent ces adresses IP pour communiquer entre eux. Avec les noeuds de plan de contrôle du cluster avec des pods sur d'autres clusters, avec d'autres services (tels que des services de stockage) et avec Internet.

  • Base de données autonome avec adresse privée

    Améliore la sécurité en définissant une propriété de base de données afin que toutes les connexions sortantes à un hôte cible soient soumises et limitées aux règles sortantes de l'adresse privée. Les règles sortantes sont définies dans la liste de sécurité VCN ou dans le groupe de sécurité réseau associé à l'adresse privée de l'instance Autonomous Database.

  • Service Bastion

    Oracle Cloud Infrastructure (OCI) Bastion fournit un accès sécurisé limité et limité dans le temps aux ressources qui n'ont pas d'adresses publiques et qui nécessitent des contrôles stricts d'accès aux ressources, tels que Bare Metal et machines virtuelles, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE), ainsi que toute autre ressource autorisant l'accès SSH (Secure Shell Protocol). Avec le service OCI Bastion, vous pouvez activer l'accès aux hôtes privés sans déployer et gérer un hôte de saut. En outre, vous bénéficiez d'une meilleure posture de sécurité avec des droits d'accès basés sur l'identité et une session SSH centralisée, auditée et limitée dans le temps. OCI Bastion élimine la nécessité d'une adresse IP publique pour l'accès au bastion, éliminant ainsi les tracas et la surface d'attaque potentielle lors de la fourniture d'un accès à distance.

  • Réplication de stockage persistant

    Rsync sur NFS fournit une méthode de réplication de stockage persistant qui réplique la configuration du domaine, avec un minimum de maintenance et de configuration.

  • Autonomous Data Guard (réplication Data Guard)

    Lorsque vous activez Autonomous Data Guard avec une base de données de secours dans la région en cours, Autonomous Database surveille la base de données principale et, en cas de panne de celle-ci, l'instance de secours endosse automatiquement le rôle de l'instance principale. Lorsqu'Autonomous Data Guard est activé avec une base de données de secours locale, Autonomous Database met à disposition une base de données de secours identique qui permet d'effectuer ce qui suit, en fonction de l'état de la base de données principale .

    En cas de panne de votre base de données principale, Autonomous Data Guard convertit la base de données de secours en base de données principale avec une interruption minimale. Une fois le basculement en cas d'incident terminé, Autonomous Data Guard crée une base de données de secours pour vous.

    Vous pouvez effectuer une opération de permutation, où la base de données principale devient la base de données de secours, et la base de données de secours devient la base de données principale.

Points à prendre en compte

Lorsque vous concevez votre solution de gouvernance des identités, tenez compte des points suivants.

Récupération après sinistre

La solution de récupération après sinistre sur OCI est un modèle actif-passif.

Il existe un système principal composé d'un domaine Oracle WebLogic (WLS), d'Oracle Identity and Access Management (OIG & OAM) sur Oracle Cloud Infrastructure Kubernetes Engine, d'un équilibreur de charge, d'un fournisseur de services Oracle Autonomous Transaction Processing (ATP) et de deux serveurs Oracle HTTP (OHS) dans un domaine de disponibilité.

Le système secondaire est constitué des mêmes composants d'architecture, mais dans un domaine de disponibilité différent. Le domaine de disponibilité, le centre de données et les sites sont physiquement suffisamment éloignés du domaine de disponibilité principal pour protéger les composants en cas de sinistre.

En savoir plus

En savoir plus sur la conception d'une solution de gouvernance des identités.

Consultez les ressources supplémentaires suivantes :

Accusés de réception

Auteur : Katerina Kalimeri

Contributeurs : Andreas Theodoridis, Ioannis Episkopakis, Kostantinos Pateras

Modifier le journal

Ce journal répertorie les modifications importantes :