Nagyvállalati azonosítás-kezelés. Dell Software Dell One Identity Manager ( D1IM ) Kovács Gábor Ker-Soft Kft

Nagyvállalati azonosítás-kezelés Dell Software Dell One Identity Manager ( D1IM )

Kovács Gábor Ker-Soft Kft.

Dell D1IM Mi az azonosítás és hozzáférés kezelés? • • • • • • • •

Hitelesítés? Meghatalmazás? Hozzáférés? Jelszó kezelés? Egy ablakos belépés? Auditálás és megfelelés vizsgálat? Jelszó szinkronizálás? Időben mindig aktuális?

• • • • • •

Megfelelő személynek! Megfelelő jogot! Megfelelő erőforrást! Megfelelő időben! Egyszerű módon! Nyomon követhetően!

Ez mind és még több! 2

Azonosítás és hozzáférés menedzsment feladatai • Csak az azonosított személy léphessen be

• Csak ahhoz férjen hozzá amihez kell - se többhöz - se kevesebbhez

• A hozzáférés életciklusának az Terv készítés irányítása, a Leltár & mérlegelés kezdetektől a Adat kihelyezés kilépésig SharePoint migrálás Tartalom konszolidáció • Külső és belső előírásoknak megfelelően és elszámolhatóan hozzáférés ellenőrzés

3

Dell D1IM - IDM terület kihívásai • Túl sok azonosítás és túl sok könyvtár • Túl sok login • Túl sok jelszó • Authentikálás nem elég erős • Jelszó komplexitás nem elégséges • Hozzáférések adminisztratív ellenőrzése (root etc.) • Mobil és távoli hozzáférés ellenőrzése • Ne legyen túlzó hozzáférés

• Azonosítás / fiók létrehozása, módosítása, megszüntetése • Felhasználók csoportosítása • Napi hozzáférésfelügyeletben az IT részvétel túlzó • Hozzáférési szabályzat kezelése • “Bizonyítottan” megfelel • Azonosítási környezet és tevékenység auditálása • Hozzáférés kialakítása • Jogosultságok lehatárolása 4

Dell D1IM Egy vállalkozás általános képe

Unix

Terv készítés Applications LeltárUnix & mérlegelés Adat kihelyezés SharePoint migrálás Tartalom konszolidáció Unix

Windows/AD

Applications

Unix

Mainframe

5

Dell D1IM …. ebből….

Terv készítés Leltár & mérlegelés Adat kihelyezés SharePoint migrálás Tartalom konszolidáció

6

Dell D1IM – Mi a jelenlegi helyzet? Üzleti helyzetkép • Üzletnek kevés lehetősége van látni, ki milyen jogokkal fér a Terv készítés rendszerhez. Leltár & mérlegelés • A felhasználóknak több alkalmazáshoz kell a hozzáférni Adat kihelyezés SharePoint migrálás Tartalom konszolidáció

IT oldal • Kevés üzleti folyamat ismeret az IT oldalon • Nehezen kivitelezhető a rendszerek feletti információ szolgáltatás • Sok IT csapat dolgozik kis területet lefedve

7

Dell D1IM

… ebből … ez lesz !

Terv készítés Leltár & mérlegelés Adat kihelyezés SharePoint migrálás Tartalom konszolidáció

8

Dell D1IM – Miben segít az IDM? •

Jogosultság igénylés, jóváhagyás, beállítás, auditálás, jelentések

•

Megjelenik két szerepkör a jóváhagyásokban: üzleti döntéshozó és Terv készítés adatgazda Leltár & mérlegelés Érzékeny adatok védelméről szabályok születnek Adat kihelyezés SharePoint migrálás További előnyök: • Napi rutin feladatokat automatizálja Tartalom konszolidáció

• •

• • • • • •

Azonnal felfüggesztés lehetősége Helyettesítés idejére a jogok kiosztása, visszavétele Idő és projekt alapú jogok kiosztása Végfelhasználói felület a jogok kérésére Megakadályozza, ill. jóváhagyást kér a nem összeférhető jogok kiadására Az eddig ki nem kényszeríthető IT elvárások bevezetésre kerülhetnek

9

Dell D1IM – A termékcsalád komponensei Dell One Identity Manager kiadások: • Dell One Identity Manager • Dell One Identity Manager - Active Directory • Dell One Identity Manager - Data Governance Edition

Dell One Identity Manager Suite részei: • • • • •

Access manager Password manager Directory Manager (AD) Single-sign on Privilige account manager (UX)

10

Dell D1IM - Funkciók • A D1IM rendelkezik saját belső címtárral, ebben tárolja • Felhasználók, csoportok, szervezeti egységek, • Felhasználói fiók attribútumok Terv készítés • Beállított jogosultságok Leltár & mérlegelés • Szervezeti struktúrák (Osztály, Hely, Költséghely ) Adat kihelyezés SharePoint migrálás Tartalom konszolidáció • Szerepkör alapú jogosultság kiosztást tesz lehetővé • Application Role: a Dell IDM alkalmazásban engedélyezett tevékenységek, és az tevékenységhez szükséges felhasználói felületet szabályozza • Business Role: a menedzselt rendszeri erőforrások (csoport, fájlmegosztás,…) csoportosítása. A D1IM-ben a Osztály, Hely, Költséghely is egy teljes értékű Business Role.

13

Dell D1IM - Business Role

Terv készítés Leltár & mérlegelés Adat kihelyezés SharePoint migrálás Tartalom konszolidáció

16

Dell D1IM Role/szerepkör kiosztási lehetőségei

User - Role összerendelés:

• • •

•

Közvetlen Közvetett (ORG, DEP, COST) Dinamikus (szabály alapján kapja meg a személy) Igénylés alapon (IT Shop)

Terv készítés Leltár & mérlegelés Adat kihelyezés SharePoint migrálás Tartalom konszolidáció

17

Audit és megfelelőség – folyamat működése

18

Audit és megfelelőség – szabályok, cégszabályzat Szabály • Monitorozza a kiosztott jogokat (SOX, KonTraG, SOX for EU, FDA) • Webes IT boltban igényléskor vagy időzítetten értékelődhet ki • Paraméterek: Approver, Exception Approver, Attestor • Kockázat index – csoport tagság nem igényelhető a Webes IT boltban

Terv készítés Leltár & mérlegelés Adat kihelyezés SharePoint migrálás Tartalom konszolidáció

Cégszabályzat • Szabályozza a cég belső előírásait az erőforrásokon • Néhány felhasználó nem lehet egy AD csoport tagja. • Nem olvashat akárki az érzékeny adatokat tartalmazó SharePoint mappát. • Paraméterek: Objektum típus, Kivétel jóváhagyó, Hitelesítő (Attestor) 19

Audit és megfelelőség – Attestation Procedure • Az attestation folyamat kapcsolható • egy az IT Shop-ból indított új igényhez • Vagy/és a rendszeres jogosultság felülvizsgálat folymatához is (Recertification). Terv készítés • Ki végzi, milyen gyakran, milyne objekumon, jelzi ha Leltár & mérlegelés dönteni kell Adat kihelyezés • Approver policy, Approver WF SharePoint migrálás • WF előre definiált elemek Tartalom konszolidáció • 27 db előre definiált jóváhagyó keresés • Minden lépés, döntés naplózásra kerül • Előre definiált WF elem típusok: Escalating, Automatic approval, Grant/Deny, Notify, Delegate, Abort,Schedule, Reject, Custom, Attest by Email,… • Tartalmaz számos előre definiált ki-be kapcsolható Attestation folyamatot a termék 20

Dell D1IM – IT Shop Funkciók •

•

Dashboard • Személyes adatok lekérdezése,módosítása • Jogok igénylése (olyan jogot kérek min YX-nak van) • Jogosultság delegálás • Jelszó módosítás Terv készítés Riportok Leltár & mérlegelés • Jogosultsági állapot lekérdezése, Indíthatók detektív vizsgálatok • Audit lehetőség Adat kihelyezés

SharePoint migrálás Tartalom konszolidáció

21

Dell D1IM Connector – Interface 1. Connector • A Dell által készített jól integrált kapcsolat, olvas a célrendszer sémájába azt grafikusan kijelzi. • Grafikus felületen szabályozható a célrendszer és az IDM account attribútumok összerendelése. • Nem testre szabható. • A master/slave modell mondern osztályra egyesével állítható grafikusan. • Kivételkezelés az egyes attribútumokra

Interface • A Dell által biztosított Quick Connect alkalmazással lehet Terv készítés az egyedi igényeket gyorsan Leltár & mérlegelés fejleszteni. kihelyezés •Adat Nagyon flexibilis és SharePoint egyszerűenmigrálás testre szabható Tartalom bármelykonszolidáció célrendszer felé. • Web alapú kapcsolatot biztosít egyedi fejlesztésű vagy nem standard címtárakkal, adatbázisokkal. • Könnyen módosítható, de programozni kell. 22

Dell D1IM Connector – Interface 3. Native Connectors • AD, SharePoint, Exchange, FIM, ILM • SAP R/3 • Lotus • LDAP • ADAM • Novell eDir • CriticalPath • IBM • OpenLDAP • SQL, ORACLE, ODBC, DB2 • XML, csvfájlok, • WEB Services

Quick Connectors • PeopleSoft • Mainframe (RAFC) • Clouds: Google Apps, Postini, • …

24

Dell D1IM - További hasznos funkciók

• Gazdag jelentéskészítési lehetőség a beépített jelentésekkel • Szerepkör bányászó komponens • Kockázatkezelés • Fejlesztőeszközök • Quick Connect

26

Dell D1IM fő előnyei • •

• • • •

Megbízható német termék, a fejlesztőbázis Berlinben található Nagysikerű vizuális interfész, amely 3 kattintással minden entitás kapcsolatát megmutatja: a felhasználó jogait , hozzáféréseit, szerepköreit, hitelesítését az összes vállalati rendszeren keresztül. Kockázatkezelési funkciók biztosítása kritikus rendszerek számára, pl SAP, Siebel stb. – melyeket a gyártók minősítettek. Újratanúsítás és igazolás, vizuális auditálás. Érdekes IT bolt, ami a követelmény kezelés logikáját szolgáltatja: a szerep és funkció bemutatása – ki mihez fér hozzá az IDM-en keresztül Az elemzők kiemelik a robosztus és megbízható, de egyszerű architektúrát, ami rövid bevezetési időt biztosít, ellentétben a többi konkurens nagyvállalati megoldással szemben. Bevezetésnél nincs szükség Java fejlesztések tucatjaira, egyszerű parancsfájlokkal testre szabható 27

Dell D1IM Referenciák • Active Roles Server (D1IM megoldás része) a BKV-nél • Ericsson Worldwide – Dell One Identity Manager AD Edition és teljes kiadás (több mint 23,000 fiók) • Polska Wytwórnia Papierów Wartościowych – Dell One Identity Manager AD Edition (több mint 250 fiók) • Unicredit Romania Dell One Identity Manager, SunOne Identity Managerről migrál • OMV Petrom (legnagyobb olajcég Romániában, 35,000 fiók), Dell One Identity Manager • Raiffeisen Bank Austria, CA IM-ről migrált • Deutsche Bank AG • Több tucat nagyvállalati európai és tengeren túli referencia • IDM for dummies e-book • best practices • linkek: http://software.dell.com/products/identity-manager/ 28

Köszönjük a figyelmet!

www.kersoft.hu H-1119 Budapest, Szombathelyi tér 14. Tel: +36-1 206-2147 Fax: +36-1 206-2148

Kovács Gábor [email protected]

Dell D1IM Solution

30