identity management azonoss gkezel s n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Identity management (~Azonosságkezelés) PowerPoint Presentation
Download Presentation
Identity management (~Azonosságkezelés)

Loading in 2 Seconds...

play fullscreen
1 / 35

Identity management (~Azonosságkezelés) - PowerPoint PPT Presentation


  • 70 Views
  • Uploaded on

Intelligens rendszerfelügyelet. Identity management (~Azonosságkezelés). Gönczy László gonczy@mit.bme.hu. Tartalom. Hozzáférés szabályozás általános kérdései Topológiák Főbb feladatok Technológiák Részletes technológiai példa (ITIM) Demo. „Üzleti ”motivációk.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Identity management (~Azonosságkezelés)' - sebastian-ramirez


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
tartalom
Tartalom

Hozzáférés szabályozás általános kérdései

Topológiák

Főbb feladatok

Technológiák

Részletes technológiai példa (ITIM)

Demo

zleti motiv ci k
„Üzleti ”motivációk
  • Kisebb üzemeltetési költség
  • Kevesebb kockázat
  • Könnyebb bővíthetőség
  • Szervezeti változások követése
  • Alkalmazási területtől függő előírások
    • Felhasználókezelést, életciklus kezelést, jelentéskészítést írnak elő
    • Szabályozó szervezetek/szabványok („compliance”)
    • Sarbanes-Oxley - Amerikai tőzsdén jelenlévő vállalatokra
    • BASEL II, European Central Bank: Európai pénzügyi szereplők
    • HIPAA: egészségügyi rendszerek (USA)
    • PSZÁF, Magyar pénzügyi szereplők
elrettent s
Elrettentés
  • Saját IT példa…
feladatok p ld k
Feladatok (példák)
  • Értesíteni a felhasználókat a jelszavak lejárásáról
  • Inaktív azonosítók kiszűrése
    • Pl. 30 nap után
  • Új, de nem használt azonosítók szűrése
    • Pl. nem lépett be 10 napig a létrehozás után
  • Csoport tagságok módosítása
  • Lejárt szerződésű felhasználók törlése
  • Időzített/triggerelt események
  • …mindezt a fenti infrastruktúrán
logikai megval s t sok
Logikai megvalósítások
  • Egy címtár
    • Pl. egy központi LDAP

+ minden egy helyen karbantartva

- mindent egy címtárhoz integrálni

  • Több címtár
    • IT infrastruktúra evolúció…
    • Pl. LDAP + AD1 +AD2

+ Flexibilis, kevés tervezést igényel

- Nehezen karbantartható

- Nehéz házirendeket definiálni

- Árva felhasználók

Nem kéne szerepelniük a rendszerben, de van jogosultságuk

logikai megval s t sok1
Logikai megvalósítások
  • Metacímtár
    • Másolat az összes adatról
    • Virtuális ~: nem jön létre tényleges másolat

+ egységes kép a rendszerről

- Többszöri adminisztrációs belépési pontok

- Teljesítménykorlát

- Komplex szabályrendszer kezelése szükséges

  • Saját adminisztrációs eszközök
    • Adott gyártó alkalmazásait összefogja
    • Pl. SAP NetWeaver
logikai megval s t sok2
Logikai megvalósítások
  • Azonosságkezelő eszközök (identity management)
    • Mint egy virtuális metacímtár
    • Szolgáltatások

saját házirend/munkafolyamat definiálás

    • Tipikusan webes felület
    • Elosztott (Liberty Alliance) / központosított (ITIM)
    • Sokféle erőforrás csatolható (címtár, OS, adatbázis…)

+ Rugalmas

+ Könnyen ellenőrizhető

- Adapterek szükségesek az erőforrásokhoz

- További rendszerkomponens

(karbantartás, támadhatóság…)

k zpontos tott azonoss gkezel s el nyei
Központosított azonosságkezelés előnyei
  • Rendszermérnök határozza meg a hozzáférést!
    • Ne az egyedi rendszergazdák
  • Felhasználók életciklusának kezelése
    • Azonosító igénylése
    • Erőforrásokhoz történő hozzáférés szabályozása
    • Azonosítók automatikus kezelése

(felfüggesztés/törlés/meghosszabbítás…)

  • Központosított kockázatkezelés
    • Pl. elbocsátás esetén…
  • Egyszerű interfész a felhasználói adatok kezelésére
  • Központi házirend kezelés
    • Pl. gyenge jelszavak elutasítása
k zpontos tott azonoss gkezel s el nyei1
Központosított azonosságkezelés előnyei
  • Csoporttagságok központi kezelése
    • Szervezeti változások követése
  • Helpdesk terheltség csökkentése
  • Felhasználótárak és IT erőforrások egységes kezelése
    • LDAP, AD, HR rendszerek, saját rendszerek…
    • Operációs rendszerek, hálózati eszközök, access management eszközök, adatbázisok, irodai rendszerek….
  • Felhasználók számára
    • Egységes jelszókezelés (nem Single Sign-On!)
    • Kérelmek egységes intézése (Self-Service)

„Szeretnék hozzáférni a … SVN-hez”

„Szeretném látni a tavalyi X adatbázist”

k zpontos tott azonoss gkezel s el nyei2
Központosított azonosságkezelés előnyei
  • Jelentések generálása
    • Üzletmenet/szabályozás előírhatja
    • Egyéni felhasználókról
    • Hozzáférésekről
    • Szolgáltatásokról
    • Folyamatokról, …

 nagy létszámú szervezetnél nehéz kezelni

h tr nyok
Hátrányok
  • Csak jól karbantartott infrastruktúrán működik
    • Erőforrások hozzáférésvédelme RBAC séma alapján
  • Plusz technológia, karbantartás
  • Bevezetés költsége (+ ellenállás)
  • Szervezeti felépítés vs. IM adminisztráció követése
    • Pl projekt menedzser != IM admin
    • Munkafolyamat definiálás szükséges
  • „Hamis biztonságérzet”
    • Rosszul beállított házirendek esetén megkerülhető
    • Ellentmondásos/hiányos házirendek beállíthatóak
h zirendek
Házirendek
  • Általános szabályok
    • Szerep vagy csoport alapúak
  • Kezelik a felhasználói fiókokat
    • Életciklus szabályok
    • Fiók adatok
    • Jelszavak
    • Csoporttagságok
    • Engedélyek
  • Prioritás, ütközések feloldása
    • Pl. házirendek betartásának különböző szintjei
  • Tipikusan a központi rendszerben és a menedzselt erőforrásokon is vannak
    • Logikai szinkronizáció szükséges
munkafolyamatok haszn lata
Munkafolyamatok használata
  • Egyszerű munkafolyamatok
    • Elemi lépések + feltételkiértékelés
  • Kérelmek elbírálása (~munkadarabok)
    • Fiókok létrehozása/módosítása
    • Jogok módosítása
    • Kritikus erőforráshoz hozzáférő személyek újrahitelesítése
  • Tipikusan webes felületen indítható
    • Feladatlistába bekerül
  • Értesítés emailküldéssel
    • Egyedi vagy csoportnak szóló
  • Időzített/eseményvezérelt lépések
  • Eszkaláció
    • Határidő lejárta után értesítés
  • Példa a technikai résznél (ITIM)
k zpontos tott azonoss gkezel s megval s t s
Központosított azonosságkezelés megvalósítás
  • Szervezeti felépítés definiálása
    • Csoportok, szerepek
  • IT erőforrások azonosítása
    • Típusok/példányok azonosítása
    • Felelősök
    • Csoportok, szerepek
  • IT előírások azonosítása
    • Szervezeti/IT szerepkörök összerendelése
  • Implementáció
    • Jóváhagyási/delegációs jogkörök
    • Technikai implementáció („összekötés”)
    • Ütemezés (pl. szinkronizáció)
    • Házirendek definiálása
technol giai bemutat itim
Technológiai bemutató: ITIM
  • IBM Tivoli Identity Manager
    • Legújabb verzió: 5.0
    • DEMO: 4.6.1
    • IBM WebSphere Application Server felett futó Java alapú webalkalmazás
    • Mérés során felhasznált eszköz
      • Információs technológiák laboratórium 2 (VIMIA315)
      • Felhasználói identitás menedzsment mérés
itim logikai architekt ra1
ITIM logikai architektúra
  • Hozzáférés böngészőből
  • űrlapok megjelenítése,
  • munkakörnyezet megjelenítése,
  • szervezeti struktúra (organization) ill. folyamatok (workflow) megjelenítése,
  • interfész biztosítása az alkalmazás mag felé.
itim logikai architekt ra2
ITIM logikai architektúra
  • Saját felhasználótár
  • saját, központi felhasználókezelés
  • (a DB2 LDAP szolgáltatását használva)
  • itt tárolja a szervezeti egység(ek) teljes állapotát
  • (felhasználók, szervezeti csoportok, házirendek, folyamatok )
itim logikai architekt ra3
ITIM logikai architektúra
  • Saját adatbázis
  • épp végrehajtott tranzakciók állapota
  • ütemezési, statisztikai, jelentéskészítési információk
itim logikai architekt ra4
ITIM logikai architektúra
  • Alkalmazásréteg
  • házirendek, felhasználók, folyamatok, stb. definiálása
  • elérhető Webes vagy JAVA interfészen keresztül
adapterek
Adapterek
  • Operációs rendszerhez illesztett adapterek:
    • AIX (IBM UNIX)/Linux/HP-UX/OS400/Solaris
  • Címtár rendszerekhez illesztett adapterek:
    • Windows Active Directory/LDAP/Novell Netware
  • Adatbáziskezelőkhöz illesztett adapterek:
    • DB2/Oracle/Sybase
  • Alkalmazásokhoz illesztett adapterek:
    • Lotus Notes

(kezelhet Domino Directory címtárat is)

    • Tivoli Access Manager for Single Sign-On

(integrált IBM security megoldás)

adapterek fel p t se
Adapterek felépítése
  • JAR file a központi ITIM szerverre
    • Megadja az értelmezhető műveleteket, paramétereket
  • Adapter a menedzselt szerverre
    • Függ az adott környezettől
    • Pl. root jogú shell belépés
    • Pl. helyi API használata
    • Pl. Domino Administrator
  • Saját adapter definíció
    • XML adatcsomagok SSL felett
    • IBM DAML
    • Szabvány DSML (ehhez szükséges Tivoli Directory integrator)
h zirendek t pusai
Házirendek típusai
  • Provisioning policy
    • Milyen jogokat kapjon egy felhasználó
    • Milyen felhasználói fiókkal rendelkezzen
    • Egyéb beállítások (pl. mailbox beállítások)
    • Itt szükséges lehet más eszköz használata is az erőforrás oldali beállításokhoz (pl. IBM Tivoli Access Manager)
  • Service selection policy
    • Melyiket válasszuk azonos típusú erőforrások közül
    • Pl. szervezeti egység alapján konkrét LDAP példány
  • Identity policy
    • Felhasználói azonosító leképzése
    • Pl. AIX-on vezetéknév+keresztnév első 8 betűje
  • Password policy
    • Hosszúság, karakterosztályok, lejárat
    • Globális, erőforrás típus, példány
h zirendek jellemz i
Házirendek jellemzői
  • Egyszerű webes beállítás / JavaScript definíció
  • Szolgáltatás (IT erőforrás) szinten megadható a kikényszerítés szintje
    • Opcionális
    • Kötelező
    • Figyelmeztetést ad az adminisztrátornak
    • Felderíthetőek/törölhetőek a nem megfelelő fiókok
    • Ellentmondás lehetséges!

(Pl. több primary user group)

  • Szerep/szervezeti egység alapúak
    • „Az összes projektmanager”
    • „Az összes budapesti alkalmazott”
  • Nincs automatikus validálás!
workflow defin ci
Workflow definíció
  • Életciklus kezelése (operation)
    • Entitásra vagy entitás típusra definiálva
    • Pl. AD account létrehozására
  • Jogok kezelése (entitlement)
    • Fiók hozzáadása vagy módosítása triggerelheti
  • Definíció GUI + szkript használatával
  • Java osztályok felhasználhatóak
  • Példa: jelszóváltoztatás

Forrás: „Implementation of Complex ITIM Workflows”

sszetett workflow p lda
Összetett workflow példa
  • Kérelem elfogadása

Forrás: „Implementation of Complex ITIM Workflows”

szinkroniz ci az er forr sokkal
Szinkronizáció az erőforrásokkal
  • Reconciliation (szinkronizáció)
    • Az erőforrásokon és a központi rendszeren találtható fiókok összevetése
    • Összevetési szabályok alapján

Pl. új fiókok „adoptálása”

    • Házirendek kikényszerítése
    • Ütemezett (teljesítmény vs. biztonság…)
  • Árva felhasználók
    • A legutóbbi szinkronizációkor nem volt központi megfelelőjük
    • Lehetnek beépített fiókok/szerepek is!
felhaszn l kezel s
Felhasználókezelés
  • Honnan lesznek felhasználóink?
  • IBM Tivoli Directory Integrator
    • Felhasználói adatforrásként működik
    • Képes különböző címtár jellegű rendszereket kezelni

AD, LDAP, JNDI

    • Képes különböző adatforrásokat kezelni

DSML, JDBC, JMS, MQ, SNMP, Filerendszer, …

    • Egyszerűbb „batch” műveletek

Pl. fiókok transzformálása

  • Felhasználható ITIM adatforrásként ill. adapterek vissza is írhatnak ezen keresztül
  • Nem csak felhasználói adatok transzformálására jó
  • Segíti az ITIM működését
    • Nagyvállalati környezet: sok adatforrás…
slide33

Felhasználók importálása

  • Provisioning policy létrehozása
  • Felhasználó törlése
  • Árva felhasználók törlése
  • Jelszóváltás
sszefoglal s
Összefoglalás

Felhasználókezelés heterogén infrastruktúrában

Költséges

Kockázatos

Nehezen átlátható/menedzselhető

Központosított azonosságkezelés megoldást jelenthet…

„Virtuális meta-címtár”

Adapterek erőforrásokhoz

Házirendek

Munkafolyamatok

Konkrét technológia: ITIM

forr sok tov bbi inform ci
Források, további információ

Identity Management Design Guide with IBM Tivoli Identity Manager (ábrák forrása)

http://www.redbooks.ibm.com/abstracts/SG246996.html?Open

Tivoli Software Information Center

http://publib.boulder.ibm.com/tividd/td/IdentityManager4.6.html

Gartner: Magic Quadrant of User Provisioning

Gartner RAS Core Research Note G00159740, Earl Perkins, Perry Carpenter, 15 August 2008

IBM Tivoli Directory Integrator áttekintő

http://www-01.ibm.com/software/tivoli/products/directory-integrator/

Fred Santos. Implementation of Complex ITIM Workflows

http://www.slideshare.net/51lecture/techimplementation-of-complex-itim-workflows

A Liberty Alliance project

http://www.projectliberty.org

Identity management wikipedia oldal (némileg más megközelítés)

http://en.wikipedia.org/wiki/Identity_management

NAC Cisco http://www.cisco.com/en/US/netsol/ns466/networking_solutions_package.html