Download
1 / 22
220 likes | 321 Views
Identitetskrise?. edgemo summit CPH maj 2014. Kort intro. Søren Egtved Lassen Infrastructure specialist Arbejder med System Center, FIM og lidt andet… sla@edgemo.com. 45 minutter om…. Identitetskrise? Forefront Identity Manager: Provisionering og synkronisering Self-Service
E N D
Identitetskrise? edgemo summit CPH maj 2014
Kort intro Søren Egtved Lassen Infrastructure specialist Arbejder med System Center, FIM og lidt andet… sla@edgemo.com
45 minutter om… Identitetskrise? Forefront Identity Manager: • Provisionering og synkronisering • Self-Service • Password synkronisering • Andet Opsummering
Identitetskrise? Mange systemer med brugeradministration Afhængigheder mellem systemer Typiske udfordringer: • Brugere oprettes sent • Brugeres akkreditiver kommer senere, dvs. aldrig • ”Lignende" bruges som skabelon • Mange inaktive brugere • Meget manuel håndtering • ”Tilsanding” • Revisionsanmærkninger
Hvorfor lave identitetsstyring? • Håndtering af livscyklus • Automatisere processer • Spare tid på manuelle administrationsopgaver • Højne kvalitet • Kontrol • Stamdata • Adgang til systemer • Roller • Funktionsadskillelse – SoD • Skabe servicearkitektur – identitetsservice
Forefront Identity Manager - FIM Løsning for håndtering af identitetslivscyklus mv. Out-of-the-box funktionalitet, og platform for udbygning Tilstandsbaseret Synkronisering Portal Self-service Add-ons Fleksibel løsning Tidligere kendt som MIIS og ILM
Single-Sign-On (SSO) vs. Identity Management (IdM) • Begreberne bliver tit blandet sammen – med rette • En IdM-strategi vil ofte indeholde SSO • SSO kan være ”claimsbased” – fx ADFS • Grov generalisering: SSO = teknik for håndtering af autentificering IdM = teknik(ker) og processer • FIM = Identitetsstyring i den rigtige (uperfekte) verden
Byggesten Logik Portal Service Manager Data Warehouse Active Directory Metaverse Database HR Applikation ERP Synchronization Service Infrastruktur
Eksempel Fiktiv virksomhed med: • HR-system (Lassen-HR) • Active Directory • Fil-server til hjemmebiblioteker • Applikation (brugere i LDS) • DMZ-domæne Ønsker: • Automatisk oprettelse/vedligehold af brugere • Automatisk oprettelse/vedligehold af organisationer • Dynamisk OU-struktur i AD • Livscyklus indeholdende nedlægning/deprovisionering Lassen HR Active Directory DMZ AD App Fil Server
Eksempel Logik Lassen HR Portal Service Manager Data Warehouse Active Directory MA: AD DS App MA: LDS MA:SQL Server Metaverse MA: ECMA - egen MA:SQL Server Synchronization Service MA: AD DS DMZ AD Fil Server
DEMO • Løsningselementer • Håndtering: • Ny medarbejder • Flytning til anden afdeling • Medarbejderophør • Flow-ændringer • Rapportering
Understøttede platforme ”I kassen” Non-Microsoft (eksempler) RACF Dynamics Google Apps Unix/Linux IBM Tivoli Salesforce iSeries/AS400 CICS MySQL RSA Cisco M.fl. • SQL Server • Oracle DB • IBM DB2 • SAP (ERP connector) • Oracle IDM • Novell eDir • Lotus Notes • IBM Directory Server • DSML • LDIF • Forskellige tekst formater • Web Services Connector • ECMA
Hvad med ”skyen”? • FIM er en vital del af Microsofts cloud-strategi • Erstatter og erstattes ikke federations, men komplementerer • Dele heraf indgår i: • DirSync / Office 365 • SharePoint • FIM AD Azure Connector – forbind en verden udenfor • Essentielt element i Microsofts fremtidige cloud-strategi • Næste version: (Microsoft) Identity Manager
Self-service Portal • Funktioner (OOB): • Vedligehold af egne info • Gruppe administration • Forespørgsler • Password Reset registrering • Styret via brugerens rolle i FIM • SharePoint-baseret • Kan tilpasses • Sprog
Gruppeadministration • Løsning for self-service på distributionslister • Brugere kan: • Definere egne grupper • Tilmelde andre til egne grupper • Fjerne andre fra egne grupper • Rekvirere egen adgang til gruppe • Rekvirere egen udmelding fra gruppe • Outlook Add-on eller via FIM-portalen • OOB-løsning, lignende løsninger kan laves til andre opgaver
Password Reset Self-Service • Selvbetjening i forhold til ”glemte kodeord” • Baseret på ”gates”, fx QA, SMS eller email • Web-baseret • Kan integreres i Windows logon (add-on installeres) • Active Directory kræves • Basal proces: 1. FIM-administrator definerer kriterier 2. Bruger registrerer sine informationer 3. Bruger kan herefter lave password reset
DEMO • Portal • Vedligeholdelse af egne informationer • Gruppeadministration • Outlook-integration • Password self-service • Registrering • Anvendelse
Password-synkronisering Active Directory • Brug samme kodeord i flere systemer • Ingen opbevaring – ren synkronisering • Active Directory som kilde • Destinationssystemer = MA’er i FIM • Password Change Notification Service • I FIM Synchronization Service defineres sammenhænge mellem systemer • Virker sammen med Password Reset Self-Service App Synchronization Service DMZ AD
DEMO Password synkronisering
Avanceret rollestyring - BHOLD • Add-on til FIM for (mere) avanceret rollestyring • Funktionsområder: • Avanceret RBAC-model • Organisationsstruktur • Rollestyring • Adgange/Applikationer • Separation of Duties • Attestation
Certificate Management • Håndtering af certifikat-livscyklus igennem FIM • Web Portal • Rolle-/request-styret model • Smartcard-understøttelse • Skjuler teknisk kompleksitet i PKI
Opsummering • Datakilder, tilstande og regler • Sikkerhed, bedre (self-)service og tidsbesparelse • Reduktion af supportkald • Tænk identiteter som en service, hjemme eller i skyen • Hybrid Cloud– FIM er en byggesten sammen med ADFS • 10+ år på markedet og en lovende fremtid
