Identity Manager-Data Governance Edition
L’université Radboud améliore la sécurité pour plus de 40 000 utilisateurs à l’aide de la solution One Identity Manager
Contrôlez l’accès aux données sensibles avec la gouvernance des données
Avec l’outil Identity Manager - Data Governance Edition, c’est le chef d’entreprise qui contrôle les accès, et non son équipe informatique. Il peut accorder l’accès aux données sensibles. La fonctionnalité de restriction des accès d’Identity Manager vous permet de définir des stratégies d’accès pour votre entreprise. Vous avez le pouvoir d’analyser, d’approuver et de répondre aux demandes d’accès à des données non structurées de fichiers, dossiers et partages résidant dans des systèmes de fichiers NTFS, sur des appareils NAS et dans SharePoint, ce qui permet de garantir que les données non structurées sensibles sont uniquement accessibles aux utilisateurs approuvés. La solution Identity Manager automatise le workflow de demande et d’approbation, ce qui permet de garantir la sécurité et de réduire la charge de travail de votre équipe informatique.
Fonctionnalités
- Gouvernance du Cloud
Gérez le Cloud et créez des rapports d’accès avec la prise en charge de Microsoft SharePoint Online et OneDrive. - Classification des données
Classifiez manuellement les données gérées. Le chef d’entreprise peut définir la classification sur le portail Web. L’outil fournit une solution prête à l’emploi de stratégies et de calcul des risques en fonction de la tâche et du niveau de classification. - Restriction des accès
L’outil protège les données non structurées sensibles de votre organisation, en vous permettant de définir des stratégies d’accès pour spécifier les utilisateurs approuvés. Il verrouille également les données sensibles comme les fichiers, dossiers et partages résidant sur des périphériques NAS, dans des systèmes de fichiers NTFS et dans SharePoint. - Identification du propriétaire des données
L’outil vous permet d’évaluer les tendances d’utilisation et les accès en lecture et en écriture, de manière à déterminer et à désigner le propriétaire des données pour toutes les demandes d’accès ultérieures. - Simplification des audits
L’outil vous aide à préparer les audits de manière optimale, en vous permettant d’identifier les accès des utilisateurs aux ressources de l’entreprise, comme les fichiers, dossiers et partages résidant sur des périphériques NAS, dans des systèmes de fichiers NTFS et dans SharePoint. - Automatisation des demandes d’accès
L’outil utilise des workflows intégrés pour vous permettre d’envoyer automatiquement les demandes d’accès arrivant sur le portail de demandes au propriétaire de données concerné. Cette opération ne nécessite aucune intervention de la part de votre personnel informatique, puisque les demandes approuvées sont traitées automatiquement et correctement. - Vérification des accès
L’outil vous permet de surveiller l’activité des utilisateurs et des ressources, ainsi que de configurer et de planifier un nouveau processus de certification permettant aux propriétaires des données de vérifier et d’attester l’accès dont disposent les employés, afin de s’assurer que seuls les utilisateurs approuvés ont accès à des ressources spécifiques. - Tableau de bord personnalisé
L’outil vous permet d’afficher les tendances, les activités historiques et actuelles d’accès aux données, ainsi que l’état des attestations dans votre tableau de bord personnalisé, et puis de générer des rapports de conformité à partir de ces données.
Présentation
Spécifications
Configuration système requise
Avant d’installer la solution One Identity Manager, assurez-vous que votre machine présente la configuration système et matérielle minimale suivante.
Le serveur Data Governance désigne le serveur sur lequel le service Data Governance est installé. Ce serveur doit répondre à la configuration système minimale suivante :
| Processeur : |
|
| Mémoire : |
|
| Espace disque disponible : |
|
| Système d’exploitation : | Systèmes d’exploitation Windows 64 bits :
|
| Logiciels : |
|
| Configuration requise | Détails |
| Processeur | 16 cœurs, 2,5 GHz minimum |
| Mémoire |
32 Go de RAM minimum REMARQUE : One Identity Manager requiert une configuration minimale de plus de 16 Go de RAM et Data Governance Edition nécessite 16 Go de RAM supplémentaires. |
| Espace disque disponible | One Identity Manager requiert une configuration de 100 Go de RAM pour le serveur de base de données et Data Governance Edition nécessite 30 Go d’espace de stockage supplémentaires par million de ressources. |
| Système d’exploitation | Systèmes d’exploitation Windows 64 bits :
REMARQUE : La configuration 64 bits pour les dernières versions de Windows Server est spécifique à Data Governance Edition. Systèmes d’exploitation UNIX et Linux :
| Logiciels | SQL Server Les versions suivantes sont prises en charge :
REMARQUE : SQL Server 2016 Enterprise Edition est recommandé pour des questions de performances.
|
| Niveau de compatibilité pour les bases de données |
|
| Collation par défaut |
REMARQUE : La collation « SQL_Latin1_General_CP1_CI_AS » est attendue sur l’installation du schéma One Identity Manager et appliquée à la base de données si nécessaire. |
Configuration système supplémentaire pour l’implémentation d’une base de données Oracle :
| Configuration requise | Détails |
| Logiciels | Base de données Oracle : Les versions suivantes sont prises en charge :
|
| Configuration requise | Détails |
| Processeur : | Plus de 500 MHz |
| Mémoire : |
|
| Espace disque disponible : |
20 Go REMARQUE : L’agent utilisera le processeur, la mémoire et l’espace disque requis pour procéder aux analyses, synchronisations de données, requêtes et création de rapports d’activité. Un comportement inattendu se produira si l’une de ces ressources est épuisée. |
| Systèmes d’exploitation : | Systèmes d’exploitation Windows :
REMARQUE : Les nouvelles fonctionnalités de contrôle d’accès dynamique (DAC) ne sont pas prises en charge. REMARQUE : En cas d’installation d’un agent sous Windows Server 2012/2012 R2, désactivez la stratégie locale suivante : « User Account Control: run all Administrators in Admin Approval Mode » (Contrôle de compte d’utilisateur (UAC) : exécuter les comptes d’administrateurs en mode d’approbation d’administrateur). REMARQUE : Le certificat suivant doit être installé en tant qu’Autorité de certification racine fiable sur l’ordinateur hôte de l’agent cible : VeriSign Class 3 Public Primary Certification Authority - G5.cer. (Autorité de certification primaire publique Classe 3 VeriSign - Certification G5). |
| Logiciels : | .NET Framework 4.5 ou version ultérieure .NET Framework 3.5.1 (agents SharePoint 2010) REMARQUE : Les agents SharePoint 2010 nécessitent .NET Framework 3.5.1 ; tous les autres serveurs Windows et batteries de serveurs SharePoint 2013 hébergeant un agent requièrent .NET Framework 4.5 ou version ultérieure. |
One Identity Manager prend en charge les systèmes de base de données suivants :
| Configuration requise | Détails |
| Processeur : | Processeur quatre cœurs |
| Mémoire : | 16 Go de RAM |
| Espace disque disponible : | 100 Go |
One Identity Manager prend en charge les systèmes de base de données suivants :
| Cible | Version | Remarques supplémentaires |
| Windows Server |
Les versions suivantes de Windows Server sont prises en charge pour l’analyse (hôtes gérés localement ou à distance) :
REMARQUE : L’espace requis varie en fonction de la configuration, du nombre de fichiers, de dossiers et de partages analysés avec des autorisations explicites, et du volume d’activité traité. | La collecte de l’activité des ressources n’est pas prise en charge pour les hôtes Windows Server gérés à distance. |
| Cluster Windows |
Les clusters de basculement suivants sont pris en charge pour l’analyse (hôtes gérés à distance) :
REMARQUE : L’espace requis varie en fonction de la configuration, du nombre de fichiers, de dossiers et de partages analysés avec des autorisations explicites, et du volume d’activité traité. | La collecte de l’activité des ressources n’est pas prise en charge pour les clusters Windows. |
| Appareils NetApp avec protocole CIFS |
Les versions suivantes de filers NetApp (avec protocole de système de fichiers CIFS activé) sont prises en charge pour l’analyse (hôtes gérés à distance) :
REMARQUE : Les configurations NetApp 7-Mode et Cluster Mode sont prises en charge. REMARQUE : L’espace requis varie en fonction de la configuration, du nombre de fichiers, de dossiers et de partages analysés avec des autorisations explicites, et du volume d’activité traité. | Les mises à jour de sécurité en temps réel et la collecte de l’activité des ressources ne sont pas prises en charge sur les filers NetApp ONTAP antérieurs à la version 7.3.
Les appareils de stockage NetApp nécessitent une configuration supplémentaire. |
| Appareils NetApp avec protocole NFS | Les versions suivantes de filers NetApp (avec protocole de système de fichiers NFS activé) sont prises en charge pour l’analyse (hôtes gérés à distance) :
REMARQUE : Les configurations NetApp 7-Mode et Cluster Mode sont prises en charge. REMARQUE : L’espace requis varie en fonction de la configuration, du nombre de fichiers, de dossiers et de partages analysés avec des autorisations explicites, et du volume d’activité traité. | Les hôtes gérés NFS requièrent l’installation du module UNIX pendant le processus d’installation et de configuration de One Identity Manager. Pour les hôtes gérés NetApp 7-Mode, les mises à jour de sécurité en temps réel et la collecte de l’activité des ressources exigent FPolicy ; et pour pouvoir utiliser FPolicy, le protocole CIFS doit être installé et en cours d’exécution. Les appareils de stockage NetApp nécessitent une configuration supplémentaire. |
| Appareils EMC avec protocole CIFS | Les appareils EMC suivants sont pris en charge pour l’analyse (hôtes gérés à distance) :
Les versions d’EMC Framework suivantes (avec protocole de système de fichiers CIFS activé) sont prises en charge :
REMARQUE : L’espace requis varie en fonction de la configuration, du nombre de fichiers, de dossiers et de partages analysés avec des autorisations explicites, et du volume d’activité traité. | VNXe n’est pas pris en charge. Étant donné que VNXe ne prend actuellement pas en charge CEPA, vous ne pourrez pas exécuter Data Governance Edition dans les environnements VNXe. Les appareils de stockage EMC nécessitent une configuration supplémentaire. |
| Appareils EMC Isilon avec protocole CIFS | Les appareils EMC Isilon suivants (avec protocole de système de fichiers NFS activé) sont pris en charge pour l’analyse (hôtes gérés à distance) :
REMARQUE : L’espace requis varie en fonction de la configuration, du nombre de fichiers, de dossiers et de partages analysés avec des autorisations explicites, et du volume d’activité traité. | Les hôtes gérés NFS requièrent l’installation du module UNIX pendant le processus d’installation et de configuration de One Identity Manager. La collecte de l’activité des ressources n’est pas prise en charge pour les hôtes gérés EMC Isilon avec protocole NFS. Les appareils de stockage EMC nécessitent une configuration supplémentaire. |
| SharePoint | Les versions suivantes de SharePoint sont prises en charge pour l’analyse (hôtes gérés à distance) :
Prévoir 100 Go d’espace disque sur l’ordinateur de l’agent SharePoint pour le stockage des données et les opérations de post-traitement des analyses. REMARQUE : L’espace requis dépend du nombre de sites, de listes et de bibliothèques de documents, ainsi que du nombre d’autorisations spécifiques recueillies à partir de la batterie. 8 Go de RAM pour l’ordinateur de l’agent SharePoint. | L’agent est installé à l’emplacement où le service One Identity Manager (serveur de tâches) s’exécute pour la batterie de serveurs SharePoint. Nous recommandons d’installer le service One Identity Manager sur un serveur d’applications SharePoint 2010/2013 dédié dans la batterie et non sur un serveur Web frontal, qui empêche le traitement de charge supplémentaire sur ce serveur. Les batteries de serveurs autonomes ne sont pas prises en charge. Les batteries de serveurs configurées uniquement avec des utilisateurs et groupes locaux ne sont pas prises en charge. |
| Cloud | Les fournisseurs de services Cloud suivants qui s’exécutent sur Office 365 sont pris en charge pour l’analyse (hôtes gérés à distance) :
| La collecte de l’activité des ressources n’est pas prise en charge pour les hôtes gérés dans le Cloud. La prise en charge de OneDrive Entreprise est limitée au dossier Documents du compte d’administrateur. C’est pourquoi tous les chemins gérés sont sélectionnés dans la limite du dossier Documents de l’administrateur. |
| DFS Root | Windows 2008 Active Directory DFS et version ultérieure | |
Le tableau suivant contient les autorisations requises pour déployer correctement Data Governance Edition.
| Compte | Autorisation |
| Utilisateur System (compte Active Directory connecté à l’ordinateur) ET utilisateur Manager (compte Active Directory exécutant le Manager) | Doit être associé à un One Identity Manager Employee. L’Employee doit disposer du rôle applicatif Data Governance/Administrator ou Data Governance/Access Manager. REMARQUE : Si les rôles appropriés n’ont pas été attribués à l’utilisateur System, les fonctions Data Governance Edition seront visibles dans le Manager, mais des erreurs surviendront lorsque vous essaierez d’effectuer des tâches associées à Data Governance Edition. Si les rôles appropriés n’ont pas été attribués à l’utilisateur Manager, les fonctions Data Governance Edition ne seront pas visibles dans le Manager. |
| Compte de service attribué à un domaine géré | Ouvrez une session avec des droits d’utilisateur local en tant que service sur le serveur Data Governance. Droits d’administrateur local (Local Administrator) sur les ordinateurs d’agents Data Governance. REMARQUE : Si vous constatez des erreurs après avoir autorisé des droits d’administrateur local, déconnectez-vous et ouvrez une session sur l’ordinateur sur lequel le droit d’administrateur local a été accordé. Si le compte de service n’est pas membre d’un groupe d’utilisateurs de domaine (par exemple, un utilisateur du domaine A est utilisé pour gérer un domaine B fiable), des droits d’accès supplémentaires sont nécessaires. |
| Compte de service SQL pour une connexion avec la base de données d’activité des ressources Data Governance | Un rôle serveur dbcreator est requis pour créer la base de données au cours de la configuration initiale de Data Governance Edition Un rôle db_owner est requis pour fonctionner avec la base de données |
| Compte de service SQL pour une connexion avec la base de données One Identity Manager | Rôle db_owner pour la base de données One Identity Manager |
| Compte de service pour un agent sur les hôtes gérés Windows locaux | L’agent s’exécute sur le compte du système local. Aucun autre droit n’est requis. |
| Compte de service pour un agent gérant les hôtes gérés Windows à distance | Droits d’administrateur local sur l’hôte géré. REMARQUE : Si vous constatez des erreurs après avoir autorisé des droits d’administrateur local, déconnectez-vous et ouvrez une session sur l’ordinateur sur lequel le droit d’administrateur local a été accordé. Ouvrez une session avec des droits d’utilisateur local en tant que service sur l’ordinateur de l’agent. (Ce droit est automatiquement accordé lorsque l’agent est déployé) |
| Compte de service pour un agent gérant les batteries de serveurs SharePoint | Doit être le compte de batterie SharePoint (le même compte doit être utilisateur pour exécuter le service de compteur SharePoint et le service One Identity Manager (serveur de tâches)). Ce compte doit également être membre du groupe d’administrateurs sur le serveur SharePoint. Ouvrez une session avec des droits d’utilisateur local en tant que service sur l’ordinateur de l’agent. (Ce droit est automatiquement accordé lorsque l’agent est déployé) |
| Compte de service pour un agent gérant les filers NetApp | Ouvrez une session avec des droits d’utilisateur local en tant que service sur l’ordinateur de l’agent. (Ce droit est automatiquement accordé lorsque l’agent est déployé) Doit être membre du groupe d’administrateurs locaux sur le filer NetApp pour pouvoir créer FPolicy. Doit disposer des autorisations d’accès aux dossiers en cours d’analyse. |
| Compte de service pour un agent gérant les appareils de stockage EMC Isilon | Ouvrez une session avec des droits d’utilisateur local en tant que service sur l’ordinateur de l’agent. (Ce droit est automatiquement accordé lorsque l’agent est déployé) Doit disposer des autorisations « exécuter en tant qu’utilisateur racine » sur le partage Isilon SMB qui a été sélectionné comme chemin géré. |
| Compte de service One Identity Manager (serveur de tâches) utilisé pour planifier les rapports Data Governance Edition | Doit être associé à un One Identity Manager Employee. L’Employee doit disposer du rôle applicatif Data Governance/Administrator ou Data Governance/Access Manager. |
| Compte Active Directory utilisé par AppServer pour établir la communication entre le serveur Data Governance et Manager | Doit être associé à un One Identity Manager Employee. L’Employee doit disposer des rôles applicatifs Data Governance/Administrator et Data Governance/Access Manager. REMARQUE : Ce compte doit être ajouté en tant qu’identité de pool AppServer pour le Manager IIS (Internet Information Services). Si le pool d’applications AppServer est défini sur l’identité Sécurité réseau par défaut, les rapports Data Governance Edition ne pourront pas être générés. |
| Pour plus d’informations sur l’octroi des autorisations, consultez le guide de déploiement One Identity Manager Data Governance Edition. | |
| Port | Direction | Description |
| 8721 | Entrant | Port TCP(HTTP) ouvert sur l’ordinateur serveur Data Governance. Il s’agit du port de base pour l’API REST Data Governance, qui est utilisé pour la communication avec les services REST du serveur Data Governance, notamment les clients One Identity Manager et Windows PowerShell. |
| 8722 | Entrant | Port TCP (net.tcp) ouvert sur l’ordinateur serveur Data Governance. Utilisé pour la communication avec les agents Data Governance, les clients One Identity Manager, le serveur Web One Identity Manager et PowerShell. REMARQUE : Le port net.tcp est configurable dans l’assistant de configuration Data Governance. Le port HTTP (8721) mentionné ci-dessus doit toujours être inférieur de 1 au port net.tcp. Ces deux premiers ports correspondent aux adresses de base du fichier DataGovernanceEdi-tion.Service.exe.config au sein du service IndexServerHost. Il est recommandé de changer de port uniquement à l’aide de l’assistant de configuration Data Governance afin de s’assurer que le fichier de configuration, la base de données One Identity Manager et les points de connexion au service sont correctement mis à jour. Dans le cas contraire, vous pourriez perdre votre connexion à Manager, au service Data Governance et/ou aux agents Data Governance. IMPORTANT : n’utilisez PAS l’outil de conception pour modifier les paramètres de configuration QAMServer, y compris le paramètre relatif aux ports. |
| 8723 | Entrant | Port HTTP utilisé pour la communication avec le serveur Web One Identity Manager (pages d’accueil et de destination). |
| 18530 - 18630 | Entrant | Plage de ports TCP ouverts sur tous les ordinateurs d’agents. Utilisé pour la communication avec le serveur Data Governance. (Le premier agent sur un hôte d’agent utilisera le port 18530 et chaque agent suivant du même hôte prendra le port disponible suivant, soit 18531, 18532, etc.) De plus, cette plage est utilisée pour ouvrir un écouteur TCP pour les hôtes NetApp en mode Cluster si la collecte d’activité des ressources est activée. |
Ressources
Identity Manager Data Governance Edition
Rationalisez la gestion des identités, la sécurité et les accès basés sur des privilèges
Gartner a nommé One Identity leader dans son Magic Quadrant de février 2018 pour la gouvernance et l’administration des identités.
Gartner a nommé One Identity leader dans son Magic Quadrant de février 2018 pour la gouvernance et l’administration des identités.
Top ten reasons to achieve Data Access Governance
It’s time to let a secure Data Governance strategy protect your sensitive data and reduce risk.
Rationalisez la gouvernance des identités, des accès et des données via l’automatisation et le contrôle des accès
La gamme de solutions Identity Manager vous permet de choisir l’offre qui répond le mieux aux besoins spécifiques de votre entreprise pour la gestion des accès
How to Achieve HIPAA Security Compliance with Identity Governance and Access Management
In this paper, you’ll learn about IT security compliance for the Health Insurance Portability and Accountability Act (HIPAA) from an auditor’s perspective.
Six Steps to Achieving Data Access Governance
Organizations know that controlling access to data is vital: security breaches, mistakes and leaks of sensitive enterprise data can lead to loss of intellectual property (IP), system downtime, frustrated users, lost productivity, fines for failing to comp
Radboud University cuts enrollment time by 50 percent
University is able to quickly respond to changing laws and new technologies while ensuring that users have only the access they need using self-serve options with Identity Manager.
The fundamentals How to surpass Payment Card Industry (PCI) data security standard (DSS) compliance with Identity governance and Access management
In this paper, you’ll learn about IT security compliance for the Payment Card Industry Data Security Standard (PCI DSS) from an auditor’s perspective.
- Plus de ressources
- Communautés
- Rechercher des documents
Passez à l’étape suivante
Articles connexes
Identity Manager
Rationalisez la gestion des identités, la sécurité et les accès basés sur des privilèges
Récompenses et rapports d’analystes
Les analystes de secteur ont évalué les solutions actuelles de gestion des accès et des identités, et une chose est sûre : les solutions One Identity…
Support et services
Assistance produits
Les outils en libre-service vous aident à installer, à configurer et à résoudre les problèmes de votre produit.
Offres de support
Trouvez le niveau de support adapté aux besoins uniques de votre entreprise.
Services professionnels
Effectuez une recherche parmi un large éventail d’offres de services disponibles directement sur site ou à distance, en fonction de vos besoins.
Formation et certification
Cours de formation accessibles en ligne, dispensés sur site ou sous forme de sessions virtuelles encadrées par un instructeur.