CA Identity Lifecycle Management. Jak na to

CA Identity Lifecycle Management Jak na to...

June 2012

Agenda

> Úvod  Co je Identity Lifecycle Management (ILM)  Proč zavádět ILM v organizaci  Výhody po zavedení ILM

> Identity Lifecycle Management  ILM základní charakteristika  Produktové portfólio

> Jak na to...  Sběr, analýza a čistění dat  Definice procesů, výjimky,definice SOD  Definice rolí, procesů správy RBAC modelu...

 Komplexní řešení správy identit

> Proč právě řešení od CA? CA Identity Lifecycle Management Copyright © 2012 CA

Úvod

Identity Lifecycle Management (ILM) > Automatizace procesů nástupu/odchodu zaměstnance

> Přidelování přístupů na základě rolí > Centralizovaná a správa přístupových oprávnění > Zavedení jednotných procesů správy oprávnění > Auditování procesů > Zavedení neslučitelnosti oprávnění/pozic > Uţivatelská samobsluha > Delegace správy

CA Identity Lifecycle Management Copyright © 2012 CA

Úvod

Proč řešit ILM > Zvýšení efektivity, sníţení nákladů na správu  Automatizace procesů, uţivatelská samoobsluha, sníţení zátěţe na helpdesk

> Zvýšení spokojenosti uţivatelů  Rychlejší a jednodušší přístup k aplikacím

> Zvýšení bezpečnosti, sníţení bezpečnostních rizika  Přehled nad uţivatelskými účty a přidělených oprávněních  Zjednodušení procesů pro dosaţení shody, audit a reporting

> Efektivnější zavedení nových business poţadavků napříč celou organizací prostřednictvím ILM CA Identity Lifecycle Management Copyright © 2012 CA

Úvod – Výhody zavedení ILM Výhody v kaţdodenní operativě > Vytvoření pořádku místo chaosu 

Efektivní vytváření uţivatelských účtů



Zavedení správy prostřednictvým rolí (RBAC model)

> Pruţně reagovat na business poţadavky 

Jednoducha a rychlá propagace přístupových oprávnění



Rychlá změnu business pravidel a procesů



Unifikace procesu pro zavedení nových systémů



Analýza RBAC modelu a potřeby změn řádově ve dnech



Efektivnější zavádění organizačních změn

> Zlepšení fungování IT sluţeb 

Místo papíru, uţivatelská samoobsluha



Poskytování pravidelných reportů pro business vlastníky aplikací


Úvod – Výhody zavedení ILM

Výhody v oblasti bezpečnosti > Ţádné papírování, vše elektronicky 

Jaké oprávnění mají ve skutečnosti uţivatele?



Sníţení počtu pouţívaných oprávnění



Přehled nad nepouţívanými oprávnění,duplicitními oprávněními



Přehled nad nepouţívanými uţivatelskými účty, účty bez vlastníka...

> Zvýšení bezpečnosti, sníţení náklady při auditu 

Nečekejte na auditory, sami předcházejte rizikům



Rychlá a jednoduchá příprava reportů



Analýza dopadů při hromadných změnách oprávnění

> Business uţivatele sami rozhodují o svých přístupech 

Uţivatelská samoobsluha, jednotný schvalovací proces



Sjednocení politiky pro vytváření uţivatelského jména, sjednocení politiky hesel



Certifikace přístupů rychle a efektivně


Řešení:

CA Identity Lifecycle Management

Identity Lifecycle Management Zvýšení flexibility, bezpečnosti a shody (compliance) zavedením automatizace procesů správy uţivatelské identity prostřednictvím: • CA IdentityMinder (CA Identity Manager) • CA GovernanceMinder(CA Role & Compliance Manager)

Role Management •

Správa modelu oprávnění (rolí), definice vlastníků, schvalovatelů rolí, schvalování a certifikace modelu

User Provisioning •

Automatizace HR procesů (nástup/odchod zaměstnance)

•

Vytváření/modifikace účtu, nastavení příslušného oprávnění přímo v systému

•

Okamţité zrušení přístupu při odchodu zamestnance, sníţení bezpečnostních rizik


Identity Compliance •

Vytvoření centrálního úloţiště identit

•

Audit, definice a kontrola nastavených politik, certifikace a remediace oprávnění

•

Reporty a dashboard

Service Request Management •

Zavedení jednotného procesu pro ţádosti o přístupová, včetně schvalovacího procesu aţ po samotné vytvoření na systému

•

Uţivatelská samoobsluha

•

Správa hesel

Identity Compliance – klíčové vlastnosti

Remediace Vynucení stavu, v případě integrace s IdM řešením

Certifikace oprávnění Kontrola uţivatelských oprávnění, rolí a aplikací

Dodorţování shody Kontrola dodrţování nastavených výjimek (SOD) a ostatních pravidel

Reporty Kontrola dodrţování shody napříč systémy


Identity Compliance Integrace Pŕíma integrace se systémy v organizaci

Provisioning – klíčové vlastnosti

Nástup/Odchod zaměstnance Včasné vytváření a deaktivace přístupů Procesy Zajištění jednotného schvalovacího procesu Centralizovaná správa Autoritativní zdroje dat pro všechny aplikace


Integrace Webové aplikace, Mainfraime...

Provisioning

Audit a Reporty Audit aktivit spojených se správou oprávnění Bezpečnostní pravidla Striktní dodrţování bezpečnostnách pravidel

Service Request Management – klíčové vlastnosti

Změna hesla Sníţení náporu na helpdesk, zvýšení spokojenosti uţivatelů Uţivatelská samoobsluha Automatizace schvalovacího procesu

Katalog rolí Katalog business oprávnění místo katalogu elementárních oprávnění


Správa vlastních přístupů Webové rozhraní pro správu vlastních prístupů Service Request Management

Proaktivní kontrola pravidel Striktní dodrţování nastavených pravidel (např. SoD) Integrace provisioningu Automatická propagace oprávnění

Role Management – klíčové vlastnosti

Čistění dat a narovnání do poţadovaného stavu Identifikace uţivatelů „vybočujících“ s nastavených pravidel

Audit/Analýza dat systému Rychlé a posouzení a reporting výjimek Automatizovaný návrh rolí Metodiky pro definici RBAC modelu (top-down, bottom-up) Adaptace RBAC modelu Kontrola, certifikace , reporting, moţmnosti ntegrace s IdM systémy CA Identity Lifecycle Management Copyright © 2012 CA

Role Management

Reporty Optimalizace RBAC modelu Rychlá a jednoduchá identifikace změn a výjimek

Produkty pokrývající oblast Identity Lifecycle Managementu

> CA GovernanceMinder (CA Role & Compliance Manager) 

Jaké oprávnění jsou přidělené



Pripojení k Identity Manageru + cílové aplikaci, neprovádí změny v cílových systémech

> CA IdentityMinder (CA Identity Manager) 

Jak bylo přístupové oprávnění přiděleno



Pripojení k cílovému systému, automatická propagace změn přímo do systému


RACF UNIX

CA Governance Minder

CA Identity Minder SAP HR

JAK

CO

Shrnutí – Výhody zavedení ILM řešení

> Zefektivnění procesů pro dosaţení shody (compliance)

> Sniţování bezpečnostních opatření



Automatizace certifikačního procesu – uţ ţádné papírování



Prokazatelnost schvalovacího procesu



Reporting účtů



Proaktivní kontrola dodrţování bezpečnostních pravidel (SOD)



Rychlý přehled kdo a kam má přístup

> Sníţení administrativních nákladů 

Samoobsluha pro změnu hesla



Zakládání nových uţivatelských účtů



Synchronizace dat


> Zvýšení spokojenosti koncových uţivatelů 

Uţivatele okamţitě vyuţívají přidělené přístupy



Samostatné řešení problému uţivateli



Rychlé, přehledné vyřizování přístupů

CA Produkty

CA IdentityMinder

CA IdentityMinder

Základní charakteristika > Smart Provisioning 

Zefektivnění procesu přidělování přístupových oprávnění



Řízení přístupových oprávnění prostřednictvím rolí, mechanizmy pro kontrolu dodrţování nastavených pravidel.

> Uţivatelská samoobsluha 

Prostřednictvím uţivatelské samoobsluhy mohou uţivatele ţádat o změnu svých přístupových oprávnění, změnu hesla…

> Administrace účtů 

Centralizace dat, kontrola dodrţování nastavených pravidel napříč organizací



Přenesení rozhodování na vlastníky aplikací

> Rychlá integrace 

Sada OOB konektorů pro rychlou integraci



Web service rozhraní s podporou veškerých operací pro správu identit

> Rekoncilace systému


CA GovernanceM inder

Jak to funguje…

1

CA GovernanceMind er

2

3

4


Žádost o změnu oprávnění/hesla je iniciován automaticky, na základě změny v personálním systému nebo prostřednictvím uţivatelské samoobsluhy buďto přímo uţivatelem nebo delegovaným administrátorem. V CA IdentityMinder-u je iniciován schvalovací proces, kde v rámci toho jsou vyhodnoceny změny propagující se do daného systému. Poţadované změny jsou zapsané do cílového systému Veškeré operace jsou auditované a kontrolované auditory.

Architektura produktu

> System interaction layer

CA IdentityMinder

System Interaction Layer Web UI

Web Services



Utilities

Uţivatelské rozhraní, web services, Programátorské rozhraní, utility

> Business services layer

Business Services Layer

Provisioning Server



Business role, admin role, pravidla, workflow, audit, ţivotní cyklus poţadavků, emailová notifikace

> Provisioning server 

Connector Framework

Virtualizace, synchronizace, vynucení změn do systému,

> Connector framework and connectors  NOS

eMail

ERP

Other


Správa jiţ konkrétních objektů v systému, vyhledávání, správa hesel

CA Produkty

CA GovernanceMinder

CA GovernanceMinder Základní charakteristika > Kontrola bezpečnostních pravidel 

Identifikace výjimek a nekonzistentností nad jednotlivými uţivateli

> Správa a modelování pravidel 

Definice business pravidel (např. SOD), kontrola konzistence a dodrţování těchto pravidel



Modelování změn, vyhodnocování dopadů změn

> Správa a modelování rolí 

Správa RBAC modelu, náhled nad plánovanými změnami, optimalizace RBAC modelu…



Modelování, revize a schvalování změn v RBAC modelu.

> Certifikace oprávnění, reporty 

Transparentnější certifikační proces



Předdefinovaná sada reportů

> Integrace s CA IdentityMinder 

Během automatizovaných procesů s uţivatelskými účty vyuţívá CA IdentityMinder pravidel v RCM


Architektura produktu

Identity Warehouse

CA GovernanceMinder


Jak na to…

Definice projektu Analýza dat

Nastavení oprávnění a modelování rolí Sběr dat

Analýza dat

Self-Service Request

Audit oprávnění a čistění dat

Modelování rolí

Compliance Management

Identity Lifecycle Management


Self-Service Requests

Identity Management

Compliance Management

Identity Management

Privilege & Role Quality Management

Analýza dat Klíčové oblasti analýzy dat 1. Příprava dat z klíčových systémů v potřebném formátu 2. Kontrola kvality dat, pokrytí oprávnění, korelace uţivatelů účet <>HR identita 3. Kontrola dodrţování bezpečnostích pravidel a doporučení IT Security

4. Čistění dat v systému 5. Příprava doporučení pro návrh RBAC modelu (Business/IT role) 6. Definice business case


Personální systém Přístupová oprávnění

CA GovernanceMinder • Čistění dat • Analýza nastavených pravidel

• Modelování rolí • Analýza

Sběr dat Vytvoření skladu identit > Jaké data potřebujeme? 

Uţivatelské účty, HR Data, –



korelační pravidlo

Skupiny, role , elementární oprávnění –

Definujte vazby mezi oprávněními

–

Defuinujte nadřazené objekty

> Kde je vezmeme?




Personální systém



CA IdentityMinder



Přímé napojení daného systému na RCM

Příprava systému, čistění oprávnění

> Korelační pravidlo 

Vazba přes userId, osobní číslo nebo emailovou adresu

> Definice pravidel a výjimek 

Systémová omezení



Organizační omezení



Bezpečnostní omezení

> Čistění dat:




Účty bez vlastníka



Nepouţívané skupiny



Přebytečná nebo duplicitní oprávnění



Duplicitní uţivatele



Nesoulad v personálnách datech

Definujte pravidla, stanovte způsob kontroly

> Koho zapojit při definování pravidel? 

Business vlastníky systémů



Správci systémů



Auditoři

> Typy pravidel 

Definice neslučitelnost oprávnění, neslučitelnost funkcí



Korporátní restrikce, např mezi HR atributy a oprávněním

> Na co se zaměřit 

Zahrnout systémy řízené prostřednictvým IdM



Zahrnout i oprávnění které nejsou řízené prostřednictvým IdM

> Stanovení ‘Risk score’ 

Kontrola nastavených pravidel, reporting kde jsou tyto pravidla porušena.


Certifikace, Procesy pro správu rolí

> Certifikace přístupových oprávnění  Certifikace oprávnění nadřízeným, vlastníkem oprávnění nebo vlastníkem systému  Kontrola nastavených pravidel, schválení výjimek  Certifikujte všechny připojené systémy/všechny typy oprávnění  Automatická emailová notifikace

> Procesy pro správu oprávnění  Zaveďte procesy pro definici nové role / nového oprávnění  Zaveďte procesy pro modifikaci stávající role

> Kontrola a schvalování  Uţivatelská samoobsluha  Definujte pravidla pro změny v RBAC modelu


Modelování rolí Business a IT Role > Cíle 

Pokrytí cca 80% oprávnění prostřednictvím Business rolí

> Modelování rolí 

Top-down / Bottom-up



Prostřednictvím RCM mechanizmů (rule discovery)

> Výsledek 

Zajištění pokrytí všech typů oprávnění prostřednictvým IT a Business rolí.


Self-Service Request Processes > Poţadavky na změnu oprávnění  Uţivatelské poţadavky – –

Ţádosti o přidání / změnu přístupových oprávnění Propagace nastavení do cílového systému

> Poţadavky na změnu hesel  Uţivatelské poţadavky – –

Funkce zapomenutého hesla / userId Změna hesla

> Politika hesel  Nastavení pravidel a omezení –

Expirace hesla, minimální/maximální počet znaků ….

> Synchronizace hesel  Jednosměrná / obousměrná synchronizace hesel


Proč právě řešení od CA?

Proč právě řešení od CA? > Preference velkými zákazníky: 

CA ILM vyuţívá více neţ 600 společností



Efektivní správa prostředí (od stovek do milionu uţivatelů)

> Přináší přehlednost do procesů správy, čímţ umoţňuje: 

Transformace elementárních oprávnění na Business role



Moţnost řízení přístupových oprávnění na základě pracovní pozice



Jednoduché a efektivní zavedení bezpečnostních pravidel



Jednotné procesy správy uţivatelských účtů

> Vedoucí pozice v oblasti ILM : 

Gartner MQ Leader’s Quadrant for User Provisioning, 2011



Burton Group Short List for Provisioning, 2012



Forrester Wave Leader for IAM & User Provisioning, 2011



SC Magazine’s Award for Best Identity Management Solution, 2011



Gartner MQ Leader's Quadrant for Identity and Access Governance, 2011


Identity Lifecycle Management

> Sníţení nákladů 

Automatizace HR procesů (nástup/odchod zaměstnance)



Sníţení nákladů spojených se změnou hesla, odblokování uţivatelů apod.

> Zvýšení Business efektivity 

Vazba rolí na na pracovní pozice zaměstnance



Transparentnost procesů



Vyšší spokojenost uţivatelů

> Sníţení bezpečnostních rizik 

Uţivatele mají pouze oprávnění potřebná k výkonu své pracovní pozice



Striktní dodrţování nastavených pravidel, audit, okamţitá náprava stavu při nedodrţení těchto pravidel


Shrnutí

Technologie

Komplexní řešení

Škálovatelnost řešení

Výsledky

Krok č.1: Analýza! CA Identity Lifecycle Management Copyright © 2012 CA

Děkuji za pozornost

CA Identity Lifecycle Management. Jak na to

Recommend Documents