Novell Identity Manager Kormány Zoltán konzultáns
[email protected]
Hozzáférés- és személyazonosság-kezelés funkciók Személyazonosság adminisztrációja
Hozzáférés-kezelés
Adattárolás (vault)
Hitelesítés
Integráció és szinkron Üzleti folyamatok kezelése Delegált adminisztráció
Engedélyezés
Hitelesítés
Általános
Erős hitelesítés
Személyre szabott
Egypontos bejelentkezés
Saját adminisztráció
Federated IM
Szerepkörök kezelése
Audit
2
Adminisztrációs események
© Novell Inc. All rights reserved
Hozzáférési események
Riportok
Hozzáférés- és személyazonosság-kezelés funkciók Személyazonosság adminisztrációja
Hozzáférés-kezelés
Hitelesítés
Adattárolás (vault) Integráció és szinkron
Engedélyezés
Hitelesítés
Általános
Üzleti folyamatok kezelése
Erős hitelesítés
Személyre szabott
Delegált adminisztráció
SecureLogin Egypontos bejelentkezés
Access Saját Governance adminisztráció Suite
Federated IM
Identity Manager Provisioning Module
Audit
3
NMAS
Adminisztrációs Sentinel, Novell Identity Audit Hozzáférési események
© Novell Inc. All rights reserved
események
Access Manager
Riportok
Személyazonosság adminisztrációja Dolgozó belép a céghez Kapcsolat kezdete Igénylés munkafolyamattal Szerep alapú erőforráskiosztás
Jóváhagyás Új projekt Előléptetés
Access Management Hozzáférés az erőforrásokhoz Másik telephely Single Sign-on
Elfelejtett jelszó
Kapcsolat vége Dolgozó elhagyja a céget 4
© Novell Inc. All rights reserved
Lejárt jelszó Jelszókezelés
Novell Identity Manager 3.6.1 - Felhasználói információk szinkronizációja, aggregációja, megosztása (metacímtár) - Szerepkör alapú jogosultságkezelés - Munkafolyamat alapú jogosultságkezelés - Felhasználói információs portál (telefonkönyv, szervezeti ábra stb.) - Integrált a Novell Identity, Access and Security keretrendszerével 5
© Novell Inc. All rights reserved
Szabály alapú erőforrás-kiosztás 1) Egy új felhasználói bejegyzés készül a cég HR rendszerében (Vagy valamely más hiteles adatforrásban)
Adatbázis
HR rendszer
HR Manager Gipsz Jakab
Pénzügyi rendszer
Gipsz_Jakab
2) Identity Manager észleli az új felhasználó létrejöttét 3) A vállalat üzleti szabályai alapján lefektetett irányelveknek megfelelően létrehozza a szükséges erőforrásokat a csatolt rendszerekben. 6
© Novell Inc. All rights reserved
Linux
Lotus Notes
Identity Manager
[email protected] Fizikai eszközök nyilvántartása
30-334-443
Munkafolyamat alapú erőforrás-kiosztás Felettes
1) Felhasználónk új jogosultságokat igényel az IDM rendszerben
Adatbázis
Gipsz Jakab
jgipsz
Gipsz
Pénzügyi rendszer
Gipsz_Jakab
2) Felettes jóváhagyja az igényt 3) A felhasználó bejegyzése létrejön az adatbázisban és a Linux rendszerben, a jogosultságok beállításra kerülnek 7
© Novell Inc. All rights reserved
Linux
Lotus Notes
Identity Manager
[email protected] Fizikai eszközök nyilvántartása
30-334-443
Identity Manager funkciói A felhasználó szemszögéből •Egypontos
A vezető szemszögéből
erőforrás igénylés / kapcsolat az IT-val
•Elektronikus
•Gyors
•Szabályozott
és hatékony kiosztás
•Követhető •Egypontos
folyamatok jelszó kezelés
rendszer felhasználó és jogosultság tár •Riportok
adminisztráció
/ metrikák
•Szerepkörök
© Novell Inc. All rights reserved
működés
•Jóváhagyott
•Automatizált
8
erőforrás igénylési
elhatárolása
Felhasználói portál funkciói A felhasználó szemszögéből •Webes
felhasználói portál
•Kibővített
•JAVA/J2EE
tecnológiájú portál
telefonkönyv és keresési funkciók
•
Teljesen HTML/AJAX alapú felügyelet
•Továbbfejlesztett
•
Egyszerű továbbfejleszthetőség
•Jelszó
szervezeti ábra
visszaállítási lehetőségek
•Könnyen
kezelhető adatmódosító
oldalak
9
Az adminisztrátor szemszögéből
© Novell Inc. All rights reserved
•Fejlett •Előre
riporting képességek
konfigurált riportok
Munkafolyamat-támogató modul főbb funkciói A felhasználó szemszögéből •Munkafolyamat
alapú erőforráskiosztás
•Designer
•Távollét
beállítható (nem áll rendelkezésre)
•Workflow
•Delegálhatóak
•Lehetőségek
az egyes feladatok
•Email
értesítése
•Inbox
a várakozó feladatoknak
•Proxy
üzemmód
•Csapatok
(team) alakíthatóak ki, amelyeknél a team leader végzi az adminisztrációt
10
Az adminisztrátor szemszögéből
© Novell Inc. All rights reserved
segítségével konfigurálható felület minták segítenek a munkafolyamatok tervezésénél széles tárháza: eszkaláció, timeout, riasztás, dinamikus jóváhagyói listák stb...
IDM architektúra
11
© Novell, Inc. All rights reserved.
Alkalmazáscsatolók
- Eseményvezérelt, kétirányú szinkronizáció
- Nincs szükség az alkalmazás módosítására
- Jelszó szinkronizáció
- Agentless kapcsolat, remote loaderrel titkosítható
- Hibatűrő (cache) - Két csatorna külön konfigurálható - Irányelvekkel szabályozható az adatáramlás - Grafikus paraméterezhetőség 12
© Novell, Inc. All rights reserved.
- Az adatok XML-formában áramlanak - Teljes körűen auditált, naplózott - Enterprise megoldás: failover, monitoring
Jelszó menedzsment Kétirányú jelszó-szinkronizáció –Az IDM képes a felhasználói jelszavak kétirányú szinkronizációjára annak érdekében, hogy csak egy jelszót kelljen fejben tartani.
Erős, vállalati szintű jelszóirányelvek –Kialakítható olyan vállalati szintű jelszóirányelv, amely minden csatolt rendszerben kikényszeríti annak megfelelő jelszavak használatát –Példák - A karakterek min./max. száma, kis- és nagybetűk száma, numerikus karakterek száma, hány jelszót jegyezzen meg a használtak közül a rendszer, kizárt jelszavak listája
Jelszó visszaállítása –Webes felületen a felhasználók visszaállíthatják saját elfelejtett jelszavaikat. –A felhasználók a rendszerek natív interfészén keresztül válthatnak jelszót a továbbiakban is.
13
© Novell Inc. All rights reserved
Alkalmazáscsatoló – asszociációk képzése
14
© Novell, Inc. All rights reserved.
Alkalmazáscsatoló – hiteles adatforrások
15
© Novell, Inc. All rights reserved.
Integrálható rendszerek –
alkalmazásspecifikus csatolók: AD, SAP...
–
szabványos interfészeket használó csatolók: SOAP, JDBC...
-> http://www.novell.com/products/identitymanager/drivers/
16
–
IDM SDK egyedi konnektorok fejlesztéséhez (hazai tapasztalatok: Cisco routerek, Ericsson PBX)
–
Scripting konnektor: Shell, Perl, Python, VB Script és Windows Powershell
© Novell, Inc. All rights reserved.
Csatolható rendszerek adatbázisok • • • • • • •
IBM DB2 Informix Microsoft SQL Server MySQL Oracle Sybase JDBC
címtárak • • • • • • • • • • • • •
Critical Path InJoin Directory IBM Directory Server (SecureWay) iPlanet Directory Server Microsoft Active Directory Microsoft Windows NT Domains Netscape Directory Server NIS NIS + Novell NDS Novell eDirectory Oracle Internet Directory Sun ONE Directory Server LDAP
levelezőrendszerek • • • •
Microsoft Exchange 2000, 2003 Microsoft Exchange 5.5 Novell GroupWise Lotus Notes
17
© Novell Inc. All rights reserved
üzleti alkalmazások • • • • • • • • •
Baan J.D.Edwards Lawson Oracle Peoplesoft SAP HR SAP R/3 4.6 and SAP Enterprise Systems (BASIS) SAP Web Application Server (Web AS) 6.20 Siebel
adatbuszok • • • • • • •
BEA IBM Websphere MQ Open JMS Oracle JBOSS Sun TIBCO
mainframe rendszerek • • •
RACF ACF2 Top Secret
midrange rendszerek •
OS/400 (AS/400)
operációs rendszerek • • • • • • • • • • •
Microsoft Windows NT 4.0 Microsoft Windows 2000, 2003 SUSE LINUX Debian Linux FreeBSD Red Hat AS and ES Red Hat Linux HP-UX IBM AIX Solaris UNIX Files - /etc/passwd
egyéb • • • • • •
Delimited Text Remedy (for Help Desk) SOAP DSML SPML Schools Interoperability Framework (SIF)
pbx rendszerek •
Avaya PBX
IDM architektúra
18
© Novell, Inc. All rights reserved.
Provisioning Module A következő komponensekből áll: –Workflow –Címtár
absztrakciós réteg
–Workflow –Igénylő
19
tervező (Designer)
és jóváhagyói felületek (felhasználói portál)
–iManager –SOAP
motor
adminisztrációs beépülő modulok
interfész
© Novell Inc. All rights reserved
Workflow lehetőségek
20
–
automatizált jóváhagyásos munkafolyamatok
–
visszaellenőrzés (CVR, email, wf indítás)
–
szerepkörök, rendszerszintű profilok, elemi jogok kezelése
–
összeférhetetlen jogosultságok (SOD)
–
összefüggő jogosultságok
–
delegáció, proxy
–
feladat eszkaláció, emlékeztető üzenetek
–
felhasználói self-service folyamatok, önregisztráció
–
címtárra épülő alkalmazások: telefonkönyv, szervezeti ábra, stb.
–
törzsadatok karbantartása
–
jelszó-visszaállítás
–
többnyelvűség
© Novell Inc. All rights reserved
Workflow lehetőségek II.
21
–
riportok
–
folyamatok nyomon követése akár évekre visszamenően is
–
tömeges elbírálás
–
saját folyamatok visszavonása
–
email értesítések a folyamatok státuszáról
–
alfolyamatok
–
jelszó-szinkronizáció ellenőrzése
–
tanúsítványok bekérése jóváhagyási pontokon
© Novell Inc. All rights reserved
Workflow portál
22
–
Novell portál szolgáltatások (Extend portal services) termékből született
–
JBoss, WebSphere vagy WebLogic alkalmazásszerveren fut
–
saját fejlesztésű portletek integrálhatóak
–
alaptelepítés több mint 40 beépített portletet tartalmaz (pl. Outlook Webaccess ügynök, RSS stb.)
–
erőforrás-megosztásos clusterben is képes működni
–
megjelenése az adminisztrátori felületen testre szabható
© Novell Inc. All rights reserved
IDM rendszer adminisztrációja
23
© Novell, Inc. All rights reserved.
Designer
24
© Novell Inc. All rights reserved
Designer funkciók - a teljes IDM rendszer modellezése, tervezésének, fejlesztésének támogatása - az IDM rendszer konfigurációja és adminisztrációja - biztosítja a projektek verziókövetését (Subversion server) - teljes körű irányelvszerkesztővel rendelkezik - lehetőség van az adatok, a hibák kielemzésére és az IDM folyamatok szimulációjára az élesbe állítás előtt. A szimuláció során a kliensen kipróbálható egy adott alkalmazáscsatoló működése anélkül, hogy az éles metacímtár folyamatokat módosítani kellene. - a projekt dokumentációja automatikusan összeállítható, ezzel hihetetlen mennyiségű időt takarítva meg
25
© Novell Inc. All rights reserved
iManager
26
© Novell Inc. All rights reserved
iManager - nem a fejlesztés, hanem az adminisztráció eszköze - webes alkalmazás - az IDM-el kapcsolatos feladatok mellett a címtár valamennyi komponense elérhető és módosítható - az IDM adminisztrációja egy beépülő modul segítségével biztosított - az adminisztrációs feladatok delegálhatóak: mindenki csak a saját menüpontjait érheti el - munkafolyamatok státusza nyomon követhető - a csatolók leállítása, elindítása, naplóállományok ellenőrzése itt valósítható meg
27
© Novell Inc. All rights reserved
IDM implementációs lépések 1. Felmérés 2. Üzleti folyamatok rögzítése 3. Adatok analizálása és tisztítása 4. Alkalmazások modellezése 5. Bevezetés ütemezése 6. Irányelvek fejlesztése 7. Tesztelés 8. Éles indítás 9. Projekt dokumentálása 10. Üzemeltetés
28
© Novell Inc. All rights reserved
Rossz adatból származó problémák Adathibák –Hibás
adat
–Rossz
döntések
–Rosszul
formázott adat
–Folyamatok
–Hiányos
adat
–Biztonsági
hibás definiálása
rések
–Duplikátumok
–Megfelelőség
–Hiányzó
–Nem
–Nem
adat
egyező adat
–Séma
nem tisztázott
–Ősfeltöltési
nehézségek
–Asszociációk 29
Problémák
felépítése
© Novell Inc. All rights reserved
hiánya
gazdaságos megoldás
–Magas
erőforrásigény
–Információvesztés
Analyzer/Enforcer
30
© Novell Inc. All rights reserved
Funkciók Adatok online és offline begyűjtése Az adatok állapotának meghatározása mintaillesztéssel, statisztikai m. Adatok tisztítása (manuális, tömeges, automatikus, script alapú) Egyediség vizsgálat Adatforrások összegzése Tisztított adatok visszatöltése
Az adatok folyamatos monitorozása (pl. reconciliation) REPORT
31
© Novell Inc. All rights reserved
MONITOR
Analyzer biztosítja az adatok integritását
32
© Novell Inc. All rights reserved
Analyzer kimutatások
33
© Novell Inc. All rights reserved
Unpublished Work of Novell, Inc. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability.
General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. Novell, Inc. makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for Novell products remains at the sole discretion of Novell. Further, Novell, Inc. reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.