Oracle Privileged Account Manager, aka OPAM

Après quelques heures de travail fastidieux, j’ai terminé la configuration d’Oracle Privileged Account Manager, le nouveau module d’Oracle Identity Governance 11g Release 2. Cette fois, ce n’était pas exactement facile ! Pourtant avec de la rigueur et la documentation, vous y arriverez sans aucun doute…

Le principe d’utilisation est, quant à lui, très simple : OPAM est une plateforme self-service qui vous permet de vous connecter temporairement à des comptes génériques tels que root sur un serveur Unix ou SYS sur une base de données Oracle mais aussi MySQL, SQL*Server ou DB2. Elle s’appuie sur les connecteurs ICF d’Oracle Identity Management et vous pouvez donc facilement l’étendre.

Intégré à votre annuaire d’Enterprise, OPAM permet de suivre, à coup sûr, qui se connecte et où ! Il assure que les mots de passe restent complexes et ne risquent pas de se perdent dans la nature. Vous trouverez ci-dessous une illustration simple de son fonctionnement.

Paramétrage des cibles, comptes et accès

Le paramétrage est typiquement réalisé par les équipes de sécurité de l’entreprise. Il consiste à créer des cibles et des comptes associés, comme ci-dessous : (1) la cible est le serveur « blue » et (2) le compte est le compte utilisateur « apache ».

Une fois les comptes définis, vous pouvez les affectez à vos utilisateurs qui sont référencés dans votre annuaire d’Enterprise, en les ajoutant aux « grantees » du compte :

L’ensemble de ces opérations peut, par ailleurs être réalisée à travers une API REST/JSON ou en mode ligne de commande comme dans l’exemple ci-dessous :

./opam.sh -url https://blue:18102/opam -u weblogic -x displayalltargets
Enter password:
Using OPAM Server URL: https://blue:18102/opam
[
{"target": {
"uri": "https://blue:18102/opam/target/f5bdc5b2397c401399524cb14f37a2fe",
"type": "unix",
"name": "blue",
"host": "blue",
"domain": "easyteam.fr"
}},
{"target": {
"uri": "https://blue:18102/opam/target/fbbe1a816a944e288b60603bf295662f",
"type": "database",
"name": "WHITE",
"host": "blue",
"domain": "easyteam.fr"
}}
]

Utilisateurs d’Oracle Privileged Account Manager

Les utilisateurs d’OPAM sont typiquement des administrateurs de base de données, système ou pourquoi pas des administrateurs d’applications. Ils accèdent eux aussi à la console OPAM mais pour réclamer, via la commande check-out, l’accès à un compte. Dans la mesure où les équipes de sécurité leur ont donné ce droit, un nouveau mot de passe pour ce compte est généré et les utilisateurs peuvent désormais y accèder :

Comme pour les autres fonctions, les utilisateurs peuvent également faire leur demande en mode ligne de commande ou via l’API REST. Une fois l’opération terminée, ils peuvent libérer le compte technique en faisant un « check-in », ce qui modifie encore le mot de passe du compte et interdit de fait, tout accès non autorisé :

Note:
Vous pouvez définir un temps maximum pour le check-out forçant ainsi un check-in automatique après, par exemple 24H. De cette manière les mots de passe expirent systématiquement.

Audit et rapports

Oracle Privileged Account Manager offre également et logiquement des fonctions d’audit et des outils de reporting. Cela permet aux responsables de sécurité de savoir qui a accédé à une plateforme et pourquoi :

Quelques réflexions supplémentaires

Avec un peu de recul, il parait évident qu’Oracle Privileged Account Manager complète assez intelligemment l’intégration des bases de données Oracle à votre annuaire d’entreprise via Enterprise Security Users et les Proxy Users ainsi que l’intégration de l’authentification et de la délégation de comptes (SUDO) dans ce même annuaire. Les intérêts indéniables sont :

  • sa plus-value pour contrôler les accès et éviter la propagation des mots de passe parmi les prestataires ou anciens colaborateurs ;
  • le fait qu’il supporte un nombre de cible très important out-of-the-box, y compris Oracle Standard Edition et Standard Edition One, ce qui n’est malheureusement pas le cas d’EUS ; OPAM supporte, par exemple, MySQL, SQL*Server, DB2, Sybase ASE ou tout ce que vous voulez (…) ;
  • sa simplicité d’utilisation et son ouverture pour l’intégrer dans des applications et des processus d’entreprise.

D’un autre côté, si son intégration avec Oracle Identity Manager et Oracle Identity Analytics dans la Suite Identity Governance permet de valoriser cette plateforme (connecteurs ICF, ou au reporting, …), elle n’est pas anodine ! D’un côté, il y aura les entreprises privilégiées qui pourront, parce qu’elles utilisent OIM, bénéficier dans le package d’OPAM. Pour les autres, le cout d’acquisition de la solution risque d’être important. Vous me direz, ça se travaille !