Avec l’augmentation du nombre de scandales comptables et des restrictions de conformité parmi les holdings publics et privés, l’introduction de solutions informatiques sur le risque, la gouvernance et la conformité a joué un rôle important dans les entreprises. Oracle Identity Analytics est un des produits qui couvre le mieux les principales tâches de gouvernance et de conformité. On retrouve comme besoins principaux pour les entreprises :

• Liste des identités, de leurs accès et autorisations
• Evaluation des accès aux ressources, classés par risque potentiel
• Etablir des rôles types pour faciliter le provisioning
• Analyser et auditer les accès et autorisations des utilisateurs
• Découvrir les rôles en fonction du niveau d’accès des utilisateurs

Les points suivants sont les principaux avantages du produit :

• Permet l’extraction des identités à partir de diverses sources, via des fichiers CSV, XML, ou directement depuis des solutions de provisioning comme OIM.
• Est accompagné d’outils permettant de générer différents type de certifications pour les utilisateurs ; par exemple : utilisateur, administrateur de ressource, fonctionnel, etc.
• Apporte une approche scientifique à la découverte de rôle (approches top-down ou bottom up)
• Fourni des rapports détaillés d’audit d’identité et de certification
• Peut générer les certifications en se basant sur les risques définis pour les ressources, ainsi que leurs attributs ou leurs rôles
• Autorise la synchronisation en temps réel des changements de rôle ou de politique de sécurité avec des solutions de type « Identity Management »
• Fourni des traces d’audit et d’évènement pour chacune des activités

Les sections suivantes mettent en avant les fonctionnalités d’OIA.

Les données issues des différentes sources sont stockées dans un entrepôt de données que l’on appelle « Identity Warehouse ». Les utilisateurs ou identités, les rôles (peuvent être des équivalents de groupes dans OIM), les politiques (d’accès ou de sécurité), les ressources (informatiques) et les applications (utilisant plusieurs ressources) sont des composants de cet entrepôt de données. Alimenter l’entrepôt de données est la première étape à réaliser sur la route vers la gouvernance et la conformité.

Une certification est une vue consolidée de ce que l’utilisateur est capable de faire, et permet de l’autoriser ou non à effectuer certaines actions et d’interdire les activités non voulues. Un manageur peut voir les certifications des utilisateurs et leurs accès aux ressources. Un administrateur de ressource certifie les accès des utilisateurs aux ressources et s’assure qu’ils sont conformes aux exigences. Un administrateur de rôle s’assure que les utilisateurs ont les bonnes autorisations, et que les rôles définis correspondent à ce qui a été provisionné.

Le mining de rôles est semblable au data mining, qui a pour but de découvrir un sens aux données à fin de les catégoriser. Dans OIA, le rôle mining analyse les données des identités et essaie de leur trouver un sens : associer un ou plusieurs rôle à chaque identité, en fonction des fréquences et occurrences. C’est très pratique pour établir les rôles de base dans une organisation quand le volume de données est conséquent.

Note : bien que ce soit un outil fort pratique de OIA, l’interface utilisateur manque encore un peu de maturité, et la documentation du paramétrage est parfois trop légère.

L’audit d’identité est une procédure qui sert à identifier s’il y a des accès non autorisés assignés à certains utilisateurs. Dans OIA, l’audit d’identité est réalisé à partir de règles. Les politiques d’identité peuvent détecter les anomalies dans les données de OIA, et peuvent générer des évènements d’audit et alerter les managers ou auditeurs. Le moteur de règles est robuste et fourni des mots clés pour la recherche et les comparaisons.

Le provisioning basé sur les rôles est l’affectation de ressources à l’utilisateur, basée sur un certain attribut RH définissant un rôle ou service. Par exemple, tous les utilisateurs qui ont un attribut avec pour valeur « Cavalier » se verra affecter un cheval. Ici, le cheval est affecté par une politique d’accès avec comme rôle « Cowboy ». Des règles peuvent être définies pour provisionner les utilisateurs. Dans l’exemple, on peut définir des règles pour que tous les utilisateurs venant de la source RH, et ayant un attribut de valeur « Cavalier », soient provisionnés avec les bons droits d’accès.

D’autres informations seront apportées sur OIA dans de futurs articles. Pour conclure brièvement, on peut dire qu’avec des tests rapides de conformité, OIA aide les entreprises à atteindre le niveau de réussite optimum de gouvernance et conformité.With the alarming occurrences of accounting scandals and growing restrictions of compliance amongst the public and private holdings, the introduction of IT solutions on Risk, Governance and Compliance have taken an important role in the organizations. Oracle Identity Analytics is one of the products that covers almost all of the principal tasks of governance and compliance. The demanding tasks that the organisations like to quickly go through are

• Quick assessment of identities , their access and authorisation
• Evaluate the access over the resources, categorized according to their potential risk
• Establish standard roles to simplify the access provisioning
• Analyse and audit the access and authorizations of the organisational user
• Discover roles based on the access level of users

The following are the plus points about this product:

• Provides easy utilities to pull the identity data from different sources, either via CVS or XML file import or by directly integrating into other provisioning solutions like OIM
• Provides utility to generate different type of certifications for the enterprise users, the type of certifications can be by the business users, resource administrators or the functional role analysts.
• Provides a scientific approach to discover roles on analysing identities either in a top down or bottom up approach.
• Provides rich dashboard reports for certification and identity audits
• Provides utility to generate the certification based on the risk defined for resources, resources attributes and roles
• Provides real-time synchronisation any role and policy changes from OIA to the Identity Management solution if integrated.
• Provides audit and event logging for each of the activities

The following few sections will highlight the capabilities of OIA.

The population of data from different sources is called building Identity Warehouse. The enterprise users or identities in the OIA terminology, roles (can be groups equivalent to OIM), policies (access policies), resources (IT resources) and the applications (applications using multiple resources) are the components of the identity warehouse.  Populating identity data is the first and foremost thing to achieve other goals towards governance and compliance.

A certification is a way to view what user is capable of doing what job and whether to allow him continuing to do so or stopping him/her to have some unintended activities. A manager can have a certification of the users and their access on the resources. A resources Administrator can certify the resources and their users to ensure correct positioning and a Role Administrator can check that a user is properly aligned to the correct authorizations or not while verifying the roles defined correspond to the appropriate access provisioning.

Role mining sounds like data mining to discover the frequency of the data and get a meaning of the data to categorize them.  In OIA, role mining analyses identity data and tries to group them to derive a meaning or name as per their frequency of occurrence with the user. This can be useful to establish a basic role structure in a big organisation when the volume of data is enormous.

Note: Though it is a very useful utility in OIA, it should have more maturity in terms of usage of this utility. Being a scientific formula implemented for the normal IT professionals, it should be more user friendly and well documented about the parameters of configuration of Role Mining.

Identity audit is a procedure to identify if there is some unauthorized access granted to some users by means of human error. In OIA, the identity audit is driven by defining rules. The identity policy when run, can detect the anomalies of the data in OIA, helps generating an audit event and report for the managers or IT auditors. The rule engine is quite robust and provides different search and comparison key words.

Role based provisioning is to provision the user in various resources, based on a specific HR attribute defining a service or a functional role. For example, all the users having an attribute Title with a value “Horse Rider” will have a horse assigned to him/her.  So in this example, the resource horse can be assigned by an access policy in OIA with a role called “Cow Boy”.  Rules can be defined to provision any user coming from HR with the attribute value “Horse Rider” will have all their needs and access levels provisioned.

More details on OIA can be discussed in other articles. To conclude quickly, it can be said that for a quicker compliance check, OIA helps the organisation for an optimum achievement of basic governance and compliance.