|
A Sun acrescenta a gestão de identidades líder na indústria a um desenvolvimento Oracle para toda empresa
 Olá novamente caros leitores do Inner Circle Sun — quem está com vocês é Bob Worrall,CIO da Sun. Como já escrevi há algum tempo, meu escritório foi recentemente cenário para longos planejamentos e sessões de estratégias pois a Sun está realizando um amplo projeto em toda a empresa para reduzir custos e complexidade por meio de alterações em processos de negócios e consolidação das aplicações de TI.
Durante todo o projeto, denominado Integrated Business Information Solution (IBIS), mais de 500 aplicações legadas serão substituídas por um conjunto mais enxuto de mais de 70 módulos do Oracle E-Business Suite. O novo software será a base para quase todas as aplicações de negócios e rede da Sun, usadas por qualquer linha de negócios da empresa.
Escolhemos o Oracle pois a sua suite de aplicações corresponde às principais necessidades empresariais da Sun. Também precisamos resolver questões de certificação e controle, criticamente importantes em um projeto de alcance tão grande como o IBIS. Meus colegas e eu concluímos que, para lidar com esses desafios, a Sun precisou vincular as capacidades operacionais do Oracle com as ferramentas de gestão de identidade best-in-class.
E não temos que procurar muito, pois a Sun oferece uma das melhores soluções de gestão de identidade — soluções que cumprem o comprometimento mais amplamente do que as aplicações empresariais. O Gartner, por exemplo, colocou o gerenciamento de identidades do sistema Java da Sun e o gerenciamento de acesso do sistema Java, na posição de liderança do Magic Quadrant de ferramentas de gerenciamento de identidade.
A união de tecnologias best-in-class é uma concepção facilmente compreendida. Mesmo assim, muitas pessoas na indústria parecem surpresas quando eu lhes digo que a Sun utiliza as suas próprias ferramentas de gestão de identidade em cima das aplicações Oracle.
Para explicar como a Sun adicionou o seu porfólio de gerenciamento de identidade à suite e-business Oracle, gostaria de apresentar a minha colega Yvonne Wilson, diretora de segurança e estratégia de aplicação da Sun TI. Felizmente a Yvonne concordou em dar ao Inner Circle um comentáriosobre como as ferramentas do gerenciador de identidades da Sun dão suporte às capacidades de comprometimento com os regulamentos do projeto de consolidação da TI da Sun.
Portanto, sem mais delongas passo para você, Yvonne.
 Processo de registro único ilumina o controle de registro
Obrigada por me convidar a contribuir com a sua coluna, Bob. A habilidade em cumprir as normas financeiras e comerciais é parte integrante do projeto de consolidação IBIS, da Sun. Para colocar esse desafio em perspectiva, os seus leitores deverão considerar que a garantia de comprometimento envolve a administração segura de identidades de mais de 50.000 usuários. Essas identidades deverão ser administradas ativamente para cumprir inúmeros regulamentos financeiros e de informação que governam as operações da Sun no mundo inteiro.
Como a maioria dos gerentes de TI sabem a incapacidade conseguir rapidamente desprovisionar contas, incorre em um risco elevado de segurança e comprometimento.
Como muitas grandes organizações, a Sun usava antigamente scripts comum e processos manuais para a gestão de identidades. Essa abordagem aumentou o risco tanto de erros humanos, como de não-comprometimento com as regulamentações. Na Sun e em outras organizações, funcionários precisam acessar numerosas aplicações internas e externas e isso, via de regra, aumenta o número de senhas e identidades que são previstas e administradas pelas organizações TI.
O acréscimo de mais identidades e informações auditáveis de usuários tornam-se mais difíceis de encontrar. Se as contas dos usuários não forem administradas e distribuídas em numerosas aplicações, será quase impossível desprovisionar as contas atempo. E como a maioria dos gerentes de TI sabem, se você não conseguir rapidamente desprovisionar contas, você está correndo um risco elevado de segurança e comprometimento.
O processo de registro único, ou SSO, é agora um bloco de construção chave da gestão de identidade na Sun. Para os usuários, SSO significa menos senhas para se lembrar. E com menos processos de registro para administrar, a TI tem um local único para provisionar e desprovisionar usuários, assim como um único ponto centralizado para implementar um mecanismo de autenticação novo e mais forte.
No entanto, para se ganhar capacidades SSO para aplicações IBIS, assim como outras aplicações realizadas por vendedores externos, a equipe de TI da Sun precisou de mais capacidades de gestão de identidade do que a suíte e-business Oracle pode oferecer. Evidenciou-se que a suite e-business Oracle foi projetada para trabalhar somente com o antigo módulo servidor de aplicação Oracle 10g SSO, que não pode ser usado para autenticar usuários para outras aplicações de web empresariais.
A vinculação de identidades e o fornecimento do SSP aos usuários foi direta: A equipe de TI simplesmente instalou um policy agent no administrador de acesso do sistema Java da Sun em um componente Oracle Application Server 10g SSO e, depois, configurou o policy agent para apontar usuários do administrador de acessos para o acesso SSO.
Hoje, os usuários que acessam aplicações do Oracle são redirecionados ao administrador de acesso do login SSO, assim como os usuários que fizerem login em outras aplicações da web. Essa ampla conexão de identidades proporciona controle de registro de qualquer atividade associada com o uso da aplicação.
Automação do acesso incrementa as capacidades de comprometimento
Enquanto o administrador de acesso resolveu uma parte do problema de gestão de identidade, os desafios de provisionamento de aplicação e a administração de acesso permanecem. O administrador de identidades do sistema Java da Sun mostrou-se ideal para o desafio.
A equipe de TI implementou o administrador de identidade do sistema Java para autenticar e protocolar todas as consultas e autorizações de acesso às aplicações suite e-business Oracle. Uma vez que as solicitações de acesso forem aprovadas, o administrador de identidades automatiza o provisionamento de direitos de acesso, na forma de papéis e responsabilidades para o armazenamento de dados do suite e-business Oracle.
Enquanto isso, o painel de certificação do administrador de identidade atua como proteção contra acesso de aplicação inadequado. Esses relatórios fornecem uma visão superficial do fluxo de trabalho e verificações de auditoria aos colaboradores de TI da Sun com visibilidade centralizada e controle sobre as atividades de acesso, incluindo a separação de controles de tarefas. Se forem constatadas violações de política, o administrador de identidade pode sugerir remediação ou suspender imediatamente a conta ou as contas em questão, dependendo da severidade da violação.
Para implementar tanto SSO como administração de acesso, a equipe de TI analisou as capacidades de cada modulo de aplicação Oracle e, adicionou metodicamente o provisionamento de fluxos de trabalho e controles adequados da política para cada situação e aplicação. A combinação entre contas de provisionamento e acesso com o administrador de identidade e autenticação SSO com o administrador de acesso acarretou o provisionamento mais rápido e de melhor verificação — aumentando a conveniência para o usuário final.
Como em qualquer grande realização ERP, a integração de novas aplicações com as demais aplicações foi o principal desafio. Nós simplificamos muito desse trabalho usando a Sun Java Composite Application Platform Suite (Java CAPS) como único ponto de integração back-end para o desenvolvimento do IBIS.
Para uma maior simplificação, a equipe de TI da Sun implementou uma interface única entre o IBIS e o Java CAPS, de forma que o Java CAPS também age como o único ponto de conexão gráfica para interfaces, para numerosas aplicações antecessoras. E como JCAPS administra toda a gestão de mensagens, os dados são passados diretamente tanto pelo Oracle como pelas aplicações antecessoras.
Uma gestão de identidades completa reduz custos
Visando a consolidação de identidades, a Sun realizou economias líquidas de US$400.000,00 no primeiro ano de operação, contando ainda com uma maior economia no progresso do processo IBIS. Substituindo scripts comuns e processos manuais por aplicações configuradas de provisionamento de fluxos de trabalho, a equipe de TI tem menos identidades para administrar. As atividades como a inclusão e desligamento de usuários também necessita de muito menos tempo.
Com maior importância, a velocidade com a qual as questões de identidades são administradas automaticamente ajuda a melhorar o comprometimento. Por exemplo, alguns empregados podem ter a autorização de submeter consultas de despesas visto que o administrador de identidade reconhecerá as contas adequadas aptas a fazer estas consultas. O uso do administrador de identidade também tem o significado de que as consultas de acesso e os processos são visíveis, autenticados e registrados enquanto os relatórios de comprometimento e a verificação da separação de deveres são automatizados.
Simplificando o administrador de identidade no IBIS e muitas aplicações antecessoras, a SUN poderá reunir identidades mais facilmente em todo o ecosistema de TI. O sucesso da gestão de identidades também permitiu novos projetos, como a autenticação por smartcard, a avançarem mais rapidamente do que no passado.
Gostaria de mencionar ainda um outro elemento de habilidades do gerenciamento de identidade bem sucedido: sabendo ou não, os usuários das aplicações IBIS também fazem parte de um comprometimento mais amplo. O login em sistemas e aplicações demora menos, pois há menos senhas. Não é de se surpreender que os usuários considerem isso conveniente — e, se as coisas forem convenientes, os usuários tendem mais a concordar com as exigências dos novos ambientes de TI.
Bob Worrall
CIO, Sun Microsystems
| 
