Embed Size (px)
Citation preview
«Централизованная система управления учетными записями на базе программного
обеспечения Oracle Identity Manager»
Начальник отдела мониторинга и сопровождения
Службы информационной безопасности
Афонин Евгений
Oracle Day
27 октября 2010 г.
Слайд 2
О Промсвязьбанке…
Промсвязьбанк – российский частный банк, входящий в число 15 ведущих банков
России и 500 крупнейших мировых банков. Банку присвоены высокие рейтинги
ведущими мировыми рейтинговыми агентствами. В ноябре 2006 года в состав
акционеров вошла дочерняя компания Commerzbank AG - Commerzbank
Auslandsbanken Holding AG. В феврале 2010 года акционером Промсвязьбанка
стал Европейский банк реконструкции и развития.
Промсвязьбанк – универсальный банк, предоставляющий полный комплекс
банковских услуг физическим и юридическим лицам. Его клиентами уже стали
более 80 000 российских предприятий, на сегодняшний день количество
вкладчиков и заемщиков банка превышает 370 тыс. человек, а число держателей
банковских карт составляет более 750 тыс. Региональная сеть банка – это 47
филиалов и около 180 точек продаж в крупных городах России, филиал на Кипре,
представительства в Индии, Китае и на Украине.
После присоединения к ОАО «Промсвязьбанк» ОАО АКБ «Волгопромбанк» и
ОАО ГБ «Нижний Новгород» в мае 2010 года в Банковскую группу Промсвязьбанк
входит ОАО «Промсвязьбанк» (головная кредитная организация) и ОАО
«ЯРСОЦБАНК».
Проект создания централизованной Системы управления учетными записями
Предпосылки и цели создания Системы:
автоматизация процедур управления учетными записями в информационных
системах Банка
формализация бизнес-процессов управления учетными записями
создание единого центра управления учетными записями пользователей
оптимизация процедур управления доступом
решение проблемы «мертвых душ» раз и навсегда ….
Слайд 3
Решаемые Системой задачи
централизованное управление учѐтными данными пользователей во
всех информационных системах на основе данных кадровой системы
синхронизация изменений пользовательских данных в
информационных системах
управление учетными записями пользователей, основанное на
ролях, группах и организационной структуре предприятия
отказ от типовых паролей при предоставлении доступа (PCI DSS
8.5.3)
автоматическое предоставление некоторых видов доступа,
актуализация групп
Слайд 5
Используемые технологии
СУБД Oracle Database 10G Release 2
JBoss Application Server
Oracle Identity Manager коннектор к системе SAP HR
коннектор к системе Microsoft Active Directory
коннектор к системе IBM Lotus Notes
Слайд 6
Принцип управления учетными записями пользователей
Принцип управления учетными записями и привилегиями
пользователей, реализованный в продукте Oracle Identity Mananger
состоит в следующем:
ведение центрального репозитария идентификационных данных и
распространение их в различные информационные системы (целевые
системы) компании
для взаимодействия с целевыми системами в Oracle Identity Manager
используются специальные коннекторы
существует возможность использовать как стандартные коннекторы
Oracle, так и разрабатывать собственные коннекторы с учетом
требуемой функциональности
Слайд 7
Централизованное управление правами и учетными данными пользователей
Слайд 8
Администраторы
Идентификационные данныепользователей
Приложение Приложение Приложение Приложение
Общая архитектура
Система в качестве источника идентификационных данных использует HR-модуль системы
SAP Enterprise Applications и автоматизирует процессы управления учетными записями в
информационных системах Microsoft Active Directory и IBM Lotus Notes.
Слайд 9
Реализованы и автоматизированы бизнес-процессы
По результатам первой очереди проекта были автоматизированы
следующие бизнес-процессы по управлению учетными записями:
создание\удаление учетных записей
изменение атрибутов\переименование\перевод по организационной структуре
блокирование\разблокирование учетных записей
включение\исключение из групп
для необходимых бизнес-процессов реализован механизм автоматических почтовых
оповещений
а также бизнес-процессы, связанные с организационной
структурой:
создание\переименование\перемещение организационных единиц в системе OIM и
Microsoft Active Directory на основании данных из SAP HR
использование иерархии организационной структуры для динамического
формирования атрибутов пользователя
Слайд 10
Особенности реализованной функциональности
Разработан и внедрен расширенный коннектор к HR-модулю системы
SAP
Наиболее значимой функциональностью расширенного коннектора является
возможность обеспечения бизнес-процессов:
перевод через увольнение
отсрочка удаления
выгрузка менеджеров подразделений, справочника должностей сотрудников
выгрузка данных об «отсутствиях» сотрудника
более быстрая выгрузка (реконциляция) данных о сотрудниках\организационной
структуре
неограниченные возможности по расширению атрибутного состава выгружаемых
объектов
Слайд 11
Особенности реализованной функциональности
Доработаны стандартные коннекторы к системам Microsoft Active
Directory, IBM Lotus Notes в части добавления необходимой
функциональности:
реализована возможность заполнения нестандартных атрибутов учетных записей
пользователей в целевых системах Microsoft Active Directory и IBM Lotus Notes
реализовано формирование атрибутов учетных записей на основании положения
сотрудника в организационной структуре (email, информация о руководителе)
реализован механизм автоматического перемещения учетных записей пользователя
по организационной структуре (актуализация атрибутов УЗ, членства в OU и
группах)
обеспечение уникальности атрибутов учетных записей в системе IBM Lotus Notes
(адресная книга)
для большинства бизнес-процессов реализован механизм автоматических почтовых
оповещений сотрудников Банка
Слайд 12
Итог. Что получили?
На текущий момент средствами системы Oracle Identity Manager
производится управление учетных записями пользователей Банка:
автоматизировано управление учетными записями для Головного
офиса в системе IBM Lotus Notes
автоматизировано управление учетными записями для филиалов
Банка в системе Microsoft Active Directory
значительно улучшена ситуация с выполнением требований
стандартов информационной безопасности
процедура управления учетными записями стала более прозрачной
и понятной всем участникам процесса
подготовлен серьезный задел для дальнейшего развития системы
Слайд 13
Планы на будущее: 2-я очередь работ
Объединенная команда специалистов ФОРС и Промсвязьбанка
приступила к работе над второй очередью работ в части развития
Системы управления учетными записями, в рамках которой
планируется:
осуществление сопровождения Системы
реализация необходимых доработок с учетом практики
использования системы
дальнейшая интеграция с информационными банковскими
системами, такими как PSB-Retail и «АБС Новая Афина»
а также многое другое
Слайд 14
Спасибо за внимание!
Начальник отдела мониторинга и сопровождения
Службы информационной безопасности
ОАО «Промсвязьбанк»
Афонин Евгений
www.psbank.ru
Слайд 15
