Novell Identity Management
Jaromír Látal Datron, a.s.
19.4.2012
1
Identity management – základní vlastnosti • Jednoduché a rychlé poskytování uživatelských účtů • Samoobslužné funkce pro uživatele • Snadný návrh politik a pravidel • Široká kompatibilita • Sjednocení identit
19.4.2012
2
Co vlastně prezentovat • Obchodní informace – Předají obchodníci – Internet
• Technické řešení – Unikátní řešení pro každou firmu – Nutnost řešit dodavatelskou firmou
• Technické možnosti – „téměř neomezené“
• Způsob implementace – Možné způsoby nasazení IDM
19.4.2012
3
Ukázka podporovaných systémů
19.4.2012
4
Scénáře implementace IDM • Prostá synchronizace identit mezi systémy • Řízená synchronizace s připojeným HR systémem • Řízená synchronizace s HR systémem a se zavedením životního cyklu identit • Centrální evidence identit pro audit • Komplexní správa identit včetně zavedení katalogu rolí a workflow procesů
• Kombinace výše uvedených scénářů
19.4.2012
5
Prostá synchronizace identit • Jednoduchá implementace • Nenáročná analýza • U dvou systémů možné bez centrálního úložiště – Novell eDir – MS AD
• Možnost instalovat s „Centrálním úložištěm“ – Možnost budoucího rozvoje
Přínosy: • Zjednodušená administrace • Jednotné informace o účtech v daných systémech
Nevýhody • Náročnější budoucí rozvoj systému • Zodpovědnost za správnost dat zůstává na IT 19.4.2012
6
Řízená synchronizace s připojeným HR systémem • Zdrojem identit je HR systém • Náročnější implementace – nutná součinnost s dodavateli HR systému – (view, tabulky, webové služby, apod. pro připojení IDM)
• Nutná instalace centrálního úložiště identit • Nutná spolupráce s personalisty – Většinou nutná změna interních procesů • Zavádění lidí do systému HR • Změna organizační struktury • apod.
• Základ systému pro budoucí komplexní řízení identit • Nutnost zavedení jednoduchých workflow procesů pro doplnění atributů, které nejsou k dispozici v HR
19.4.2012
7
Řízená synchronizace s připojeným HR systémem Přínosy: • • • • • • • •
Zjednodušená administrace Jednotné informace o účtech v daných systémech Základ pro kompletní řízení identit Možnost dalšího rozšiřování Tzv. „Vyčištění dat“ Zavedení procesů správy identity Vytváření účtů pro aplikace dle definovaných pravidel Zodpovědnost za správnost dat se přenáší na Personalisty
Nevýhody • • • • • 19.4.2012
Náročnější implementace Nutná součinnost dodavatelské firmy HR systém Nutná součinnost personalistů Většinou zásah do HR systému Změna procesů 8
Zavedení životního cyklu identit Definuje koloběh identity od nástupu uživatel po archivaci. Životní cyklus je vždy upraven pro požadavky firmy. Přínosy: • Přesně definované stavy identity • Kontrola – audit • Možnost zavedení změn stavů dle předem definovaných parametrů Nevýhody: • Nutná přesná definice změny stavů identity • Náročnost na interní procesy 19.4.2012
9
Archiv Vytvoření - nástup
Centrální evidence pro audit • • • •
Vytvořeno centrální úložiště Integrace dat z hlavních aplikací Zdroj dat pro audit Lotus Notes Workflow pro řešení auditu – – – – – –
Generování reportů z IDM Hierarchie zaměstnanců převzata z IDM Souhrnný report práv uživatele Audit práv uživatele jeho nadřízeným Evidence výsledků auditu Provedené opravy
HR
Aplikace Centrální úložiště IDM
eDir
• Možnost využití pro výstup zaměstnance
19.4.2012
10
MS AD
Komplexní správa identit • Předpoklad Autoritativní zdroj identit – HR systém Zavedení katalogu rolí Možnost až 3 úrovní – Pozice – Role – Funkce - zdroj
Zavedení životního cyklu Zavedení schvalovacích procesů pro správu identit – „IDM Portal“ Integrace většiny systémů – nutná součinnost s dodavateli uvedených systémů Úprava interních procesů
19.4.2012
11
Komplexní správa identit
• • • • • •
Webový portál Zpracování workflow definovaných v rámci IDM Přímé napojení na Centrální úložiště identit – IDM driver Možnost zprávy rolí i zdrojů apod. Reporting Audit všech operací 19.4.2012
12
Typická implementace – nekonečný příběh
Analýza
Implementace
Identitní zdroj
Instalace IDM
Jmenný standard
Připojení HR
Připojené aplikace
Připojení aplikací
Zavedení životního cyklu
Připojení dalších aplikací
Implementace workflow
Řízení vybraných aplikací
19.4.2012
13
Prezentační vrstva – portál
A tak dále
Netradiční realizované příklady využití IDM • Zdroj dat pro komplexní audit identit v IT • Dynamicky generovaný inteligentní „telefonní seznam“ • Automatické vytváření profilů, podpisů pro MS Exchange a další GroupWare • „Malý personální systém“ • Osobní karta zaměstnance • Využití systému pro bezpečnost práce a vzdělávání • Dynamicky generovaná organizační struktura do firemních portálů • Universální spouštění workflow procesů 3. stran pomocí objektů s definovanou strukturou REQ
19.4.2012
-
ACK
14
HelpDesk – změna příjmení
ACK
REQ
Změna příjmení Požadovaná operace Vytvořeno Uživatel Nové příjmení Nový login Platnost od Aktualní řešitel Nadřízený Integrační klíč
Typ_oper.KOD Datum_cas_01 Uzivatel_IDM.Komentar Text_64_03 Text_64_02 Plati_od Aktualni_resitel.Komentar id_Obec_vazba_1 Komentar
string CSU CTIME DN string Nováková string novakovad CTIME DN DN string
Typ operace Datum vzniku v LDAP HD bude mít synchronizováno DN u uživatele??? Návrh nového příjmení Návrh CN Datum realizace Osoba ke schválení/posunutí Nadřízený uživatele Identifikátor požadavku
Uživatel Nový login Platnost od Aktualní řešitel Integrační klíč
Uzivatel_IDM.Komentar Text_64_02 Plati_od Aktualni_resitel.Komentar Komentar
DN string novakovad CTIME DN string
Pro potvrzení že se jedná o tohoto uživatele Schválené CN Upravené datum realizace Osoba, která schválila (jestli IDM potřebuje) Identifikátor požadavku pro spárování s REQ
19.4.2012
15
Nástroje IDM •
Analyzer 4.0.1 – Kontrola dat, atributů, analýza propojení atd
•
Designer 4.0.1 – Komplexní nástroj pro návrh a implementaci IDM – Online i Offline provoz
•
iManager – – – –
•
Základní nástroj na administraci IDM Vypínání a zapínání konektorů Kontrola stavů Online pohled
IDM portál (User Application) – Uživatelská správa identit – Workflow procesy
•
Identity Reporting Modul – Komplexní systém pro reporting IDM
•
Event Auditing Service – Komplexní systém pro audit všech operací
19.4.2012
16
Jak IDM vlastně pracuje – část 1. • Metadirectory Engine – Zpracovává události - stavy • Interně • Na konektorech
– Provádí akce • Dle události • Dle času
– Kontrolní joby – Cache pro všechny operace
• Identity management driver – Zajišťuje propojení s aplikací – Využití parametrů – Definuje pravidla a politiky pro komunikaci – XML konfigurace i komunikace – Cache pro všechny operace 19.4.2012
17
Jak IDM vlastně pracuje – část 2. • User Application – – – – –
Zpracovává systém identit Definice rolí Workflow procesy Přiřazování zdrojů User management
• Auditing – Zajišťuje audit všech operací
• Reporting – Reporty • Předefinované • Vlastní
19.4.2012
18
Jak vlastně IDM pracuje – část 3. MS AD konektor
19.4.2012
19
Podporované platformy
19.4.2012
20
Podporované platformy Windows Server 2003 SP2 (32-bit) Windows Server 2008 R2 (64-bit) Windows Server 2008 or later support packs (32-bit and 64-bit) Red Hat 5.4 or later support packs (32-bit and 64-bit) Red Hat 6.0 or later support packs (32-bit and 64-bit) SUSE Linux Enterprise Server 10 or later support packs (32-bit and 64-bit) SUSE Linux Enterprise Server 11 or later support packs (32-bit and 64-bit) Solaris 10 (64-bit)
19.4.2012
21
Novell Identity Management
Dotazy k prezentaci ? Bližší informace:
19.4.2012
Datron, a.s.
Jaromír Látal
Vachkova 3008
[email protected]
47001 Česká Lípa
tel. 483030402
www.datron.cz
mob. 602411503
22
