Gestionando Perfiles y roles de losusuarios en ambiente heterogéneos
Luis Carlos BarreraIngeniero de Soluciones de Negocio
Consolidar yGobernar IT
Ejecutar &Optimizar IT
Administrar &Entregar
InformaciónIntegrar & Adaptar
Procesos
Potenciar &Conectar Personas
TI Estratégico
© SAP AG 2009. All rights reserved. / Page 3
Ciclo de vida típico del usuario
Desafíos:Mucho tiempo en ser productivos
Costo y esfuerzo elevadoSeguridad comprometida si el
empleado se retira de la empresa
Desafíos:Mucho tiempo en ser productivos
Costo y esfuerzo elevadoSeguridad comprometida si el
empleado se retira de la empresa
Contratación
Disponible:Cuenta
temporal deusuario
Chuck Brownentra a laempresa
3 semanasmas tarde
Disponible :E-MailPortal
InternetPréstamos
Chuck Brownpuede trabajaren Préstamos
1 año mástarde
Disponible :E-MailPortal
InternetPréstamosCRM (west)Marketing
data (west)
Chuck Brownes transferido a
marketing
7 años mástarde
Disponible :E-MailPortal
InternetPréstamos
CRM (global)Marketing
data (global)
Chuck Brownes promovido:
Gerente deVentas
8 años mástarde
Chuck Brownrenuncia
Todas lascuentas
conocidas deChuck son
desactivadas
10 años mástarde
Disponible :PréstamosMarketing
data (global)
Chuck Brownaún tieneacceso asistemas
GRC Access ControlSAP NetWeaver
Identity Management
…
Una completa solución para la gestión deperfiles y seguridad de usuarios
MicrosoftActive
DirectoryMicrosoftExchange
Provisionamiento
Sincronización de Identidades yVirtualización
Gestión de Privilegios paraAplicaciones y Recursos
Análisis de Riesgo
Auditoría y Compliance
Gestión de Privilegios paraTransacciones de Negocio
OtrasFuentesde Ident.
HCMFuentes de
Identidad
Sistemas Técnicos y de Negocio
Single Sign-On Unificado
SAP NetWeaver Identity ManagementPropuesta de valor
Eficiencia Agilidad Flexibilidad
Gestión Central deIdentidades
Bajo costo deadministración
Cumplimiento aregulaciones
Modelo de Gobernabilidadpara gestión de Políticas
Gestión de Identidadesbasada en negocio
Respuesta a cambiosdel negocio
Plataforma basada enestándares
Plataforma basada enSAP NetWeaver
Workflow basado enreglas y procesos de
aprobación
Extensivas capacidades deauditoría, tranzabilidad y
reportes
Integración con SAP GRCAccess Control para
fortalecer el cumplimiento aregulaciones y el control
basado en roles
Integración conaplicaciones de negociobasada en estándares
Los servicios deidentidad habilitan la
alineación y laintegración bajamente
acomplada
SAP NetWeaver Identity Management
e.g. contratación
e.g. Order2Cash
SAP NetWeaverIdentity Management
Gestión deContraseñas
Provisionamiento desistemas
Monitoreo yAuditoría
Asignación de rolesbasada en roles de
negocio
Virtualización de identidad(Servicios)
Workflows deaprobación
Almacén centralde IdentidadesSAP Business Objects
Access Control (GRC)
Chequeo deCompliance con
GRC
Integración con SAPHCM
IDM se dispara por procesos de negociosde identidades o datos
Los procesos de negocios confían en unaapropiada asignación de usuarios y roles
en los sistemas
Roles Técnicos y Roles de Negocio
End user(Portal role)End user(Portal role)
Accounting(ABAP role)
Accounting(ABAP role)
HR manager(ABAP role)
HR manager(ABAP role)
SAP HRSAP HRActiveDirectoryActive
Directory SAP FISAP FIE-MailSystemE-MailSystem
SAPPortalSAP
Portal
E-mailE-mail ADuserADuser
Business Roles
Technical Roles
ManagerManager
EmployeeEmployee
AccountingAccounting
Business RolesSe definen en el Identity CenterRepresentan las tareas de negocios de unempleadoSe definen usualmente como parte de unproceso de negociosPueden ser configurados jerárquicamenteSon una combinación de technical roles y/uotros business rolesSon normalmente asignados a usuariosfinales
Technical RolesRepresentan el acceso a información oautorizaciones técnicas (como ABAPauthorization roles, UME roles, Portal roles,AD groups, …)Son usualmente cargados del sistematargetSon específicos al sistemaSon usualmente representados como“privilegios” en el Identity Center
Definición de Roles y Provisionamiento
End user(Portal role)End user(Portal role)
Accounting(ABAP role)
Accounting(ABAP role)
HR manager(ABAP role)
HR manager(ABAP role)
SAP HRSAP HRActiveDirectoryActive
Directory SAP FISAP FIE-MailSystemE-MailSystem
SAPPortalSAP
Portal
E-mailE-mail ADuserADuser
Business Roles
Technical Roles
ManagerManager
EmployeeEmployee
AccountingAccounting
Definición de Roles (diseño, 1 vez)Lectura de información de acceso asistema (roles, grupos, autorizaciones, …)de los sistemas targetDefinición de una jerarquía de roles denegocios (business roles)Asignación de roles técnicos a roles denegociosDesarrollo de reglas para asignación deroles
Provisionamiento (regularmente)Asignación o remoción de roles desdehacia personas
Manualmente a través del Workflow oautomáticamente, ej: vía HCM
Ajuste automático de datos maestros yasignaciones de autorizaciones técnicas ensistemas target
Workflows
Interacciones manuales a través deun interfaz web
Iniciar tareas de aprovisionamientoAprobar solicitudesMonitorear estatus
Workflows pueden ser iniciadosdesde:
El interfaz WebTareas de eventosCambio en la asignación de privilegiosOperaciones de Meta directorio
Lógica de procesamiento incluye:Operación SecuencialOperación en ParaleloOperación condicionalAprobaciones
IdentityStore
RulesRoles
Aplicaciones
WorkflowEngine
WorkflowEngine
Provisioning EngineProvisioning Engine
BusinessProcessOwnerInformar
Solicitar
Alertar
Aprovar15 2
3
Aplicaciones
4 Provisionar
Usuario
IdentityCenterIdentityCenter
Integración con HCM
Integración con HCM permite el usodirecto de datos del empleado paraIdentity Management
HCM como fuente de información deidentidadesCambios en HCM generan procesos deidentity management
Exportar datos de HCMAlimentar directamente el Identity Center(IC)Vía LDAP exportMapeo de atributos entre HCM e IdentityCenter
Importar de otros sistemas de HCMtambién es posible
Soporte de interfaces estándares
Auditoría y Monitoreo
Basado en la Aplicación o PrivilegioQuién tiene acceso al sistema?
En base a UsuariosQué privilegios tiene este usuario?
Datos de entradaDatos actuales, históricos, Timestamps,Modificados por, Alertas de Auditoría
Datos de aprobaciónQuién aprobó que y cuando?
Quién tenía que privilegio y cuando?Segregación de funcionesTestimonio
Log de audito de tareasQue tarea fue ejecutada en qué usuario, ypor quien?
Log generales
© SAP AG 2009. All rights reserved. / Page 13
Virtualización de Identidades
DSMLv2
Database
DSMLv2 LDAP
LDAP JDBC
ApplicationDirectoryServer
DirectoryServer
Virtual Directory ServerVirtual Directory Server
Virtual Directory Server (VDS) proveeUna vista única y consistente, además de un puntoúnico de entrada para fuentes de datos deidentidad múltiples y distribuidasInformación de identidad como un servicio paraaplicaciones a través de protocolos estándares(LDAP, DSMLv2)Capa de abstracción para otros almacenes dedatos
El Consumidor ve un interfaz estándarTransforma solicitudes entrantes LDAP, y conectadirectamente a los repositorios de datos existentes
Data se mantiene en su ubicación originalCaching eficiente
PropiedadesAcceso en tiempo real a los datosNo es necesario consolidar fuentes de datosNo es necesario un extra data store
Despliegue rápido de LDAPMantenimiento simple y barato
Permite la manipulación de atributosPermite la modificación del Name space
SAP NetWeaver Identity ManagementConectividad
DirectoryServers
AplicacionesSAP Business Suite
SAP BusinessObjectsAccess Control (GRC)Lotus Domino / NotesMicrosoft Exchange
RSA ClearTrustRSA SecurID
AplicacionesSAP Business Suite
SAP BusinessObjectsAccess Control (GRC)Lotus Domino / NotesMicrosoft Exchange
RSA ClearTrustRSA SecurID
OtrosSAP Application ServerMicrosoft Windows NT
Unix/LinuxShell execute
Custom Java connector APIScript-based connector API
OtrosSAP Application ServerMicrosoft Windows NT
Unix/LinuxShell execute
Custom Java connector APIScript-based connector API
Bases de DatosMicrosoft SQL Server
Microsoft AccessOracle databaseIBM UDB (DB2)
MySQLSybase
Bases de DatosMicrosoft SQL Server
Microsoft AccessOracle databaseIBM UDB (DB2)
MySQLSybase
TécnicosSPML (Services Provisioning
Markup Language)LDAP
ODBC / JDBC / OLE-DBRFC
LDIF filesXML filesCSV files
TécnicosSPML (Services Provisioning
Markup Language)LDAP
ODBC / JDBC / OLE-DBRFC
LDIF filesXML filesCSV files
Servidores de DirectorioMicrosoft Active Directory
IBM Tivoli DirectoryNovell eDirectory
SunONE Java Directory
Servidores de DirectorioMicrosoft Active Directory
IBM Tivoli DirectoryNovell eDirectory
SunONE Java Directory
Oracle Internet DirectoryMicrosoft Active Directory Application
Mode (ADAM)Siemens DirXOpenLDAP
eB2Bcom View500 Directory ServerCA eTrust Directory
SAP NetWeaver IDM VirtualDirectory Server
Any LDAP v3 compliant directory server
Connector FrameworkPropósito y Componentes
PropósitoProveer un toolkit de desarrollo para crear nuevos conectores para SAP NetWeaverIdentity Management
ComponentesIdentity Center
Provisionamiento de IdentidadesVirtual Directory Server
Punto único de acceso para actualización de datos en múltiples repositorios
Connector Framework
Identity Center IntegrationA través de Conector Tasks puede
aprovecharse los nuevos conectorescreados para el provisionamiento sobrenuevas aplicaciones
Virtual Directory Server IntegrationSe provee librería JAVA para extender la
funcionalidad de conexión a nuevasaplicaciones
GRC Access ControlSAP NetWeaver
Identity Management
…
Integración SAP NetWeaver Identity Management& SAP GRC Access Control
MicrosoftActive
DirectoryMicrosoftExchange
Provisionamiento
Sincronización de Identidades yVirtualización
Gestión de Privilegios paraAplicaciones y Recursos
Análisis de Riesgo
Auditoría y Compliance
Gestión de Privilegios paraTransacciones de Negocio
OtrasFuentesde Ident.
HCMFuentes de
Identidad
Sistemas Técnicos y de Negocio
Alerts Framework
ReportingRep
ortin
g
Risk Analysis, Remediation and Prevention ServicesGenerando cumplimiento 24/7, en tiempo real al detener violaciones de control o seguridad antes queocurran
Real-time Simulation
Mitigation Management
Remediation Management
Critical Transaction Monitoring
Real-time SoD Risk Analysis
Cross-Application Integration
Ris
k Id
entif
icat
ion
Elim
inat
ion
Prev
entio
n
Mandatory Prevention
Access Risks Services
Cross-Enterprise Rules Architect
Cross-Enterprise Rules Database
Rul
es
Access Risks Library
• Servicios Comunes en todas lascapacidades de SAP GRC Access
Control
“SAP GRC Access Control, con sucomprensivo set de reglas
preconfiguradas, nos entregó unconocimiento profundo en SAP quenos hubiera tomado mucho tiempo
en replicar.”Synopsys Inc.
Risk Analysis and RemediationLimpieza
Reporting
Risk Elimination
RiskIdentification
Prevention
End-to-EndAutomation
Initial Risk Analysis and Remediation
• Facilita la colaboración entre elNegocio y TI para limpiar riesgos de
accesos
“El proceso de limpieza ha traído unalto grado de disciplina a la forma
en que manejamos acceso deusuario y autorizaciones.”
Synopsys Inc.
© SAP 2008 / Page 20
Gracias!
Recommended