Személyazonosság-kezelési (IDM) projektek tipikus célkitűzései és azok elérése
Hargitai Zsolt üzletfejlesztési vezető Novell Magyarország
[email protected]
Miről lesz ma szó? Célok és azok elérése Személyazonosság-kezelés célkitűzései és azok elérésének lehetősége
Tipikus problémák Bevezetés során elkövetett tipizálható problémák és azok kivédése
Szerepkörök és adattisztítás Szerepkörök kialakításának fontossága, kialakításának módszerei
Jelentések, PSZÁF elvárások Jelentések készítése, törvényi- és PSZÁF-megfelelőség elérése
2
© Novell, Inc. All rights reserved.
Komplex kihívások Hogyan lehet a felhasználókat és azok jogosultságait egyszerűen, mégis dinamikusan nyilvántartani? Hogyan lehet az IT működését és a végfelhasználók munkáját hatékonyabbá tenni? Hogyan lehet a jelszavakkal kapcsolatos problémákat csökkenteni? Hogyan lehet kialakítani egy olyan környezetet, ahol mindenki csak a munkájához szükséges minimális jogosultságokkal rendelkezik? Hogyan lehet hatékonyan kezelni a rendszerhez kapcsolódó külső felhasználókat és partnereket? Hogyan lehet a folyamatosan változó vonatkozó szabályoknak és előírásoknak precízen megfelelni?
3
© Novell, Inc. All rights reserved.
Identity és Access Management megoldások Felhasználók adminisztrációja
IT
Egyszerű, biztonságos hozzáférés
Felh.
Vezetők
Szerepkörök kezelése
4
© Novell, Inc. All rights reserved.
Miben segít egy IDM rendszer? Biztonság •
Jogosultságok visszavonása percek és nem napok alatt
•
Jelszavak központosított kezelése
•
Alkalmazottak csak ahhoz kapnak hozzáférést amihez feltétlenül szükségük van
•
Megszünteti a duplikált nyilvántartásokat
Költségek •
Nagyban csökkenti a helpdesk hívások számát
•
Munkafolyamatok elektronikus útra való terelése
•
Új alkalmazások bevezetésének egyszerűsítése
•
Gyors és költséghatékony implementáció
Megfelelőség •
5
Egyértelmű nyilvántartás arról, hogy ki mihez fér hozzá és a hozzáférést ki hagyta jóvá
•
Historikus riportok
•
Ütköző jogosultságok kimutatása
•
Céges irányelvek egyszerű leképezése
•
Azonnali dokumentációkészítés auditoroknak
© Novell, Inc. All rights reserved.
Rugalmasság •
Új folyamatok napok alatt bevezethetőek
•
A munkatárs felvételét követően a szükséges jogosultságok azonnal rendelkezésre állnak
•
A felhasználók saját maguk igényelhetnek erőforrásokat
•
Az üzleti döntések alakíthatják ki az IT szabályokat és nem fordítva
Tipikus IDM architektúra logikai nézete Portál/
Munka-
Mobil
web service
állomás
Vezetők
CISO
Compliance/ Alkalmazottak Auditor
Külsősök, partnerek
Fejlesztők és konzultánsok
Főbb funkciók Telefonkönyv/ Self-Service/ Pwd Mgmt
Erőforrás igénylés
Jóváhagyásos munkafolyamat
Szerepkör alapú jogosultságkezelés
Riportok és metrikák
Szerepkörök összerendelése
Projekt dokumentálása
Nyílt API-k
Fejlesztői és mgmt. eszközök
Főbb komponensek Rekonsziláció
RBAC jogosultsági modell
Work-flow rendszer
Központi nyilvántartás
Naplózás és historikus riportok
Alkalmazáscsatolók
Alkalmazások
Címtárak Help Desk Operációs rendszerek és fájlrendszerek
6
© Novell, Inc. All rights reserved.
Adatbázisok Telefonközpontok, beléptető rendszerek
Egypontos Cloud and
beléptető
SaaS
rendszerek
Identity Manager működés közben Alapjogosultságok kiosztása
Alkalmazott, külsős, partner, technikai f.
Előléptetés
Szerepkörök változása
Regisztráció
Szervezeti vándorlás Vezető, adatgazda, alkalmazásgazda
Riportok és felügyelet
Auditor, biztonsági vezető
Új projekt
Kilépés
Jogosultságok megszüntetése
x
Elfejlejtett jelszó Lejárt jelszó
7
© Novell, Inc. All rights reserved.
?
Igénylés és jóváhagyás
Jelszavak kezelése
IDM rendszer működés közben Alapjogosultságok kiosztása
Alkalmazott, külsős, partner, technikai f.
Előléptetés
Szerepkörök változása
Regisztráció
Szervezeti vándorlás
Riportok és felügyelet
Auditor, biztonsági vezető
Új projekt
Kilépés
Jogosultságok megszüntetése
x
© Novell, Inc. All rights reserved.
Igénylés és jóváhagyás
Elfejlejtett jelszó Lejárt jelszó
8
?
Vezető, adatgazd a, alkalmaz ás-gazda
Jelszavak kezelése
IDM projektek tipikus problémái •
Scope hibás meghatározása
Szerepkörösítés megvalósítása, helyes módszer és a szerepkörösítés mértékének kijelölése •
9
•
Adattisztítás
•
Éles indítás lépései
•
Üzemeltetési szerepek meghatározása
© Novell, Inc. All rights reserved.
A projekt scope-ja Olyan scope-ot kell meghatározni: Maximum 6-8 hónap alatt megvalósítható és a felhasználók széles rétege számára kézzelfogható eredményeket hoz •
Az architektúra és üzleti logika szempontjából lehetőség szerint teljes körű •
10
•
Az auditorok számára már elfogadható megoldást jelent
•
Fenntartható és könnyen továbbfejleszthető környezetet alakít ki
•
A legfontosabb IT rendszerekre koncentrál
© Novell, Inc. All rights reserved.
A projekt scope-ja Mivel lehet a scope-ot ésszerűen csökkenteni? A legfontosabb alkalmazásokat és rendszereket on-line csatoljuk, a többit off-line rendszerként hagyjuk meg. •
Off-line rendszereknél automatikus ütemezett jogosultságvisszaellenőrzést valósítunk meg. •
A szerepkörök fogadásához szükséges struktúrákat felépítjük, de csak a szerepkörök legfelső szintjét töltjük fel tartalommal. •
Azon riportokat és kimutatásokat készítjük el amelyek feltétlenül szükségesek (pl. PSZÁF szempontból) •
•
11
Teljes körű adattisztítást csak az on-line rendszerekre végzünk.
© Novell, Inc. All rights reserved.
Szerepkörösítés Mi az a szerepkör? A jogosultságok olyan csoportja, amely a tipikus felhasználó tevékenységek mentén szervezett. A szerepkör lehet alkalmazáson belüli és alkalmazásokon átívelő. •
Előnyei:
12
•
Jogosultságok nagy részének beállítása automatikus.
•
Tömegesen lehet jogosultságokat változtatni.
•
Munkafolyamatok száma nagymértékben csökken.
•
Felesleges jogosultságok könnyebben kiszűrhetőek.
© Novell, Inc. All rights reserved.
Optimális helyzet Szerepkör alapú modell Magas bevezetési és fenntartási költségek
Hatékony működési modell
13
© Novell, Inc. All rights reserved.
Szabály alapú modell
Igénylés alapú modell
Nehéz lefedni a szervezetet
Nagy terhelés a szervezeten
Szerepkörök kialakításának módszerei Top Down – felhasználók oldaláról indított A szerepköröket a felhasználók attribútumai alapján próbáljuk meg kialakítani. Különböző szerepkörök csoportokat kaphatunk különböző attribútumok alapján vizsgálódva. Top Down – jogosultságok oldaláról indított A felhasználókat keressük meg a jogosultsági csoportokhoz. Ez a módszer azt feltételezi, hogy jól ismert a jogosultságok kiosztásának rendje. Bottom Up Mintákat keresünk a kiosztott jogosultságokban. Akkor alkalmazandó, ha sem a felhasználói csoportokat, sem a jogosultságok kiosztásának módját nem ismerjük. Kis létszámú szervezeteknél alkalmazható. Interjúk A szakmai területekkel egyeztetve találjuk meg a minimálisan szükséges jogosultsági csoportokat. 14
© Novell, Inc. All rights reserved.
Tipikus szerepkör kezelés
1
2
3
Az IDM rendszer ősfeltöltése a lehetséges szerepkörökkel Szerepkör bányászat Kigyűjti, hogy milyen jogosultságokkal rendelkeznek a felhasználók.
Szerepkör modellezés A gyűjtött adatok alapján tervezi, modellezi a szerepköröket
Hozzáférés ellenőrzés A vezetők ellenőrizhetik, hogy kinek, milyen joga van
A hozzáférés ellenőrzés eredményeképpen változó környezet újratervezést vonhat maga után 15
© Novell, Inc. All rights reserved.
Tipikus szerepkör kezelés
1
2
3
Jogosultságok beállítása automatikusan a kiosztott szerepkörök alapján Szerepkörök felhasználása Az IDM rendszer felhasználja a szerepköröket alapadatként.
16
© Novell, Inc. All rights reserved.
Automatikus beállítás A jogosultságok beállítása automatikus, ezzel csökken a hibák száma és emelkedik a biztonság szintje.
Tipikus szerepkör kezelés
1
2
3
A felhasználói tevékenységek folyamatos ellenőrzése: SIEM rendszer Vizsgálat
Elhárítás
A jogosultságok használatának ellenőrzése.
Kiosztott jogosultságok módosítása az IDM-ben ha szükséges.
Újratervezés A szerepkörök újratervezése, hogy minél kevesebb felesleges jog legyen kiosztva.
Ez a folyamat folytonos, nem csak egy auditot követően történik meg
17
© Novell, Inc. All rights reserved.
Adattisztítás fontossága Adathibák –
Hibás adat
–
Rossz döntések
–
Rosszul formázott adat
–
–
Hiányos adat
Folyamatok hibás definiálása
–
Duplikátumok
–
Biztonsági rések
–
Megfelelőség hiánya
–
Nem gazdaságos megoldás
–
Magas erőforrásigény
–
Információvesztés
– – –
18
Problémák
Hiányzó adat Nem egyező adat Séma nem tisztázott
–
Ősfeltöltési nehézségek
–
Asszociációk felépítése
© Novell, Inc. All rights reserved.
Adattisztítási folyamat Adatok online és offline begyűjtése Az adatok állapotának meghatározása mintaillesztéssel, statisztikai módszerekkel Adatok tisztítása (manuális, tömeges, automatikus, szkript alapú) Egyediség vizsgálat Adatforrások összegzése Tisztított adatok visszatöltése Az adatok folyamatos monitorozása (pl. reconciliation) REPORT
19
© Novell, Inc. All rights reserved.
MONITOR
IDM rendszer élesbe állítása Fontos lépések a rendszer éles indulásának időszakában:
20
•
Kulcsfelhasználók oktatása
•
On-line tananyag létrehozása
•
Üzemeltetők és HelpDesk oktatása
•
Szabályzatok módosítása
•
Hagyományos jogosultságigénylő folyamatok blokkolása
•
Mentés, monitorozás beállítása
•
Éles indulást követő kiemelt támogatás biztosítása
•
Üzemeltetési szerepek meghatározása
© Novell, Inc. All rights reserved.
Üzemeltetési szerepek
21
•
Hagyományos (OS, címtár, adatbázis, mentések stb.)
•
Szerepkörök és SOD szabályok folyamatos ellenőrzése
•
Munkafolyamatok módosítása, a változó környezethez igazítása
•
Jóváhagyói csoportok, kiemelt IDM szerepek adminisztrációja
© Novell, Inc. All rights reserved.
Riportok, kimutatások PSZÁF elvárások:
22
•
kinek milyen jogosultsága van, illetve volt
•
adott jogosultsággal ki rendelkezik, illetve rendelkezett
•
ki hagyta jóvá az adott jogosultságot
•
technikai felhasználók jogosultságai
•
SOD mátrix
•
ütköző jogosultságok
© Novell, Inc. All rights reserved.
További tipikus riportkövetelmények
23
•
Előkészített riportok, amelyek bővíthetőek, testre szabhatóak
•
Compliance (megfelelőségi) riportok
•
Attestation (újra hitelesítési) riportok
•
Segregation of Duties (összeférhetetlenségi) riportok
•
Hisztorikus adatkezelés adatelem szinten
•
Csomóponti és átfutási idő statisztikák
•
Munkafolyamatokkal kapcsolatos egyéb riportok
© Novell, Inc. All rights reserved.
Kérdések?
Unpublished Work of Novell, Inc. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability.
General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. Novell, Inc. makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for Novell products remains at the sole discretion of Novell. Further, Novell, Inc. reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.
