Sun Identity Management megoldások Vértes Miklós Sun Microsystems
Miről lesz szó? • • • •
Identity Management általában Sun portfólió áttekintése Kitekintés a jövőbe Q&A
Napjaink CIO-jának dilemmája Hogyan nyithatja meg a vállalat a rendszereit a belső és külső felhasználók számára anélkül, hogy a kritikus és bizalmas adatok veszélybe kerüljenek?
Identity Management? Mindazon üzleti folyamatok és az azokat támogató informatikai infrastruktúra összesége, melynek célja digitális azonosságaink életciklusának kezelése.
Ilyen rendszer megléte nélkül NEM beszélhetünk biztonságos, költséghatékony, a törvényeknek megfelelő informatikai rendszerről
Identity “Grid” koncepció Client-Server Interface
IT Adminisztrátorok
“Szolgáltatás” rétegek • Provisioning • Jelszó Management • Felhasználók adminisztrálása • Policy Management • Identity szinkronizáció • Authentikáció
Portal Interface
Alkalmazottak
• Authorizáció • Tranzakciókezelés • SSO
• Címtárak
Partnerek Application Interface
Ügyfeleink
• Adatbázisok • File-ok eCommerce
CRM HR
ERP SCM
Tipikus mai vállalat Identity rendszere
Partnerek
Dolgozók
Ügyfelek
Korábbi dolgozók
Identity Anarchia HR rendszer
ExchangeActive Directory
Pénzügyi rendszer
Call Center
Üzemeltetés/ beszerzés
Help Desk
CRM
Chargeable Assets ● ● ●
Mobile phone/service Conference call account Credit card
Other Assets ● ● ●
Office space Phone Laptop
Problémák • Szigetrendszerek: minden vagy sok alkalmazás saját felhasználó adatbázissal és managementtel rendelkezik > Nincs szinkronizáció a szigetrendszerek között > Hogyan automatizáljuk az egyes rendszereken a felhasználó accountjának managementjét > Adminisztrációs terhek növekedése > Hogyan vezessünk be egy új szolgáltatást? • Az alkalmazásokhoz történő hozzáférés (access management) nem szabályozott > A felhasználók számára áttekinthetetlen > Nehézkes jogosultságkiosztás > Nincs egyszeres beléptetés > A hozzáférési módok számának növekedésével nő a biztonsági kockázat • Egyéb: Szerepkörök kezelése,auditálás, loggolás, megfelelés a törvényi szabályozásoknak, előírásoknak
Ideális vállalati Identity rendszer
HR Manager Partnerek
Dolgozók
Ügyfelek
Korábbi dolgozók
Felügyelet, reporting, auditing
Exchange and Active Directory
Felhasználói adatbázisok
Pénzügyi rendszer
CRM
Chargeable Assets ● ● ●
Mobile phone/service Conference call account Credit card
Other Assets ● ● ●
Office space Phone Laptop
Identity Management előnyei: Üzleti
előnyök*
• Felhasználói élmény növelése • Költségcsökkentés • Biztonsági életciklus management • Biztonsági politikák érvényre juttatása • Versenyelőny * Building the Business Case for Identity Management: Gerry Gebel, Burton Group, 2004 Aug 11
Üzleti előnyök: felhasználói élmény növelése • Egyszeres beléptetés (single signon) bevezetése: > 5-10 jelszó helyett 1 is elég
• Önkiszolgáló jelszókezelés: > A sokszor időtrabló helpdesk hívás helyett...
• Accountok,hozzáférési jogosultságok gyors és automatizált létrehozása > “Már egy hete elküldtük a faxot és még mindíg nincs
vállalati email címem”- új kollega panasza
Üzleti előnyök: felhasználói élmény növelése • Delegált adminisztráció: > Hatékonyabb management:a túlterhelt IT
szakemberek helyett esetleg az asszisztens is megoldhatja az adott problémát
• Federáció: üzleti szövetségesek rendszerei közötti egyszeres be és kilépés • Portálok létrehozása: > portál mint egyszeres belépési és aggregációs felület
Üzleti előnyök: Költségcsökkentés • Help desk hívások csökkenése: > 30-90% közötti csökkenés érhető el önkiszolgáló
jelszókezelés ill szinkronizáció bevezetésével
• Munkatársak termelékenységének növelése: > password beállítás 17 perc helyett 2 percre
redukálódik > Napi 15 perc helyett csak 3-percet vesz igénybe a különböző alkalmazásokba történő belépés
Üzleti előnyök: Költségcsökkentés > Automatizált provisioning használatával kb 40 óra kiesés
takarítható meg alkalmazottanként
• Újrafelhasználhatóság: > A már létező autentikációs infrastruktúrára történő
illesztésse új alkalmazások fejlesztését 10-15%-al gyorsítja.
• Eszközök (mobiltelefon, PDA, telefonkártya) nyomonkövetése,letiltása az identity management rendszerrel
Üzleti előnyök: Identity adatok megbízhatóbb adminisztrálása • Naplózás és audit lehetséges • Redundanciák és hibák sokkal jobban kiküszöbölhetőek • A delegált és önadminisztráció segít a gyorsabb és hatékonyabb adminisztrációban
Üzleti előnyök: Biztonsági politikák érvényesítése • Csökkenő biztonsági kockázat • Törvényi előírások betartása lehetségessé válik
Üzleti előnyök: Versenyelőny • Új szolgáltatások gyorsabb bevezetése:gyorsabb reakció a piaci változásokra • Könnyebb vonzóbb szolgáltatásokat létrehozni (önadminisztráció) • A vállalat nyílt de mégis biztonságos
Identity Management előnyei:
Megfelelés a törvényi előírásoknak Sok országban törvényi előírások miatt is szükséges identity management rendszer bevezetése/felülvizsgálata
Identity megoldások komponensei Felhasználói adatok tárolása
Hozzáférés biztosítása
Felhasználói adatok létrehozása, kezelése
Szempontok: Integrált Szabványos, nyílt Megbízható Skálázható Platform független
A Sun Identity megoldása Sun Java System Directory Server Enterprise Edition
Skálázható LDAP címtár, Multimaster replika Integrált Active Directory szinkronizáció Integrált biztosági funkciók
Sun Java System Identity Manager
Provisioning
Sun Java System Access Manager
SSO Autentikáció,autorizáció Delegált-self adminisztráció Liberty/SAML
Sun Java System Identity Auditor
Integrált workflow Agentless. Non invasive technológia
Auditing Scan Automation Compliance
Identity Management Components
Web-Based Administration Identity
Access Manager
Directory Server EE
Manager
Access Control
User Provisioning
Directory Services
Single Sign-On
Password Management
Security/Failover
Federation
Synchronization Services
AD Synch Services
Reporting
Identity Auditor Audit Policy Scans Automated Certification SEM Identity Services
Provisioning: Identity életciklus managelése Új dolgozó belép
• Információi bekerülnek a HR rendszerbe • Létrejönnek a számára szükséges accountok
Delegáció Workflow • HR rendszerbe bekerül a változás • Az accountok kikapcsolódnak és törlődnek
A dolgozó kilép
Policy
• Munka/szerepkör változás
Jelentések Audit
Változások
• Jelszó változások • Profil változások • További hozzáféréskérések
Directory Server ●
Cél: > A felhasználói adatok biztonságos tárolása > A felhasználói adatokhoz történő folyamatos > > > >
hozzáférés biztosítása Kimagasló teljesítmény folyamatos biztosítása Szabványok teljes körű implementálása Adminisztrációs (management, reporting, auditing) felület biztosítása Integráció egyéb (nem Sun) rendszerekkel
Sun Java System Identity Manager Teljeskörű megoldás az Identity profile kezelésére annak teljes élettartama alatt. ● ● ●
Biztonság növelése Költségek csökkentése Hatékonyság növelése
●
●
●
●
Add
Delete
●
●
Change
Automatikus felhasználó provisioning Biztonságos, automatizált jelszó szinkronizálás és kezelés Felhasználók adminisztrálásának delegálása (delegated and self administration) Felhasználói adatok automatikus szinkronizálása Flexibilis, a kapcsolt rendszereket szinte nem befolyásoló architektúra Teljes körű riportáló és auditáló funkciók
Miről szól az access management? • Alkalmazásokhoz történő felhasználói hozzáférés kezelése • 3 fő funkció > Single Sign-On – a végfelhasználók rendszerekhez
történő egyszerűsített hozzáférése > Access Control – a végfelhasználók különböző resource-okhoz történő biztonságos hozzáférésvezérlése > Federation – vállalatok, szervezetek közötti szabványos identity szolgáltatás megvalósítása
Access Manager funkciója Session-Single Signon kezelés ● ● ● ●
egyszeres belépés érvényesítése Domainek közötti egyszeres belépés Kliens detekció (mobil eszközök) Java és C API integrációra
Naplózás ● Centralizált naplózás, log aláírás Adminisztráció ● Felhasználó management, többszintű delegált adminisztráció, web és cli felület ● Felhasználók, csoportok, szerepkörök,szervezetek managementje
Kitekintés
100%
80%
60%
40%
20%
0%
2005
2006
2007
2008
Kérdések
Sun Identity Management megoldások http://www.sun.com/software Vértes Miklós
[email protected]