1 / 35

Identity management (~Azonosságkezelés)

Intelligens rendszerfelügyelet. Identity management (~Azonosságkezelés). Gönczy László gonczy@mit.bme.hu. Tartalom. Hozzáférés szabályozás általános kérdései Topológiák Főbb feladatok Technológiák Részletes technológiai példa (ITIM) Demo. „Üzleti ”motivációk.

sebastian-ramirez
Download Presentation

Identity management (~Azonosságkezelés)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Intelligens rendszerfelügyelet Identity management(~Azonosságkezelés) Gönczy László gonczy@mit.bme.hu

  2. Tartalom Hozzáférés szabályozás általános kérdései Topológiák Főbb feladatok Technológiák Részletes technológiai példa (ITIM) Demo

  3. „Üzleti ”motivációk • Kisebb üzemeltetési költség • Kevesebb kockázat • Könnyebb bővíthetőség • Szervezeti változások követése • Alkalmazási területtől függő előírások • Felhasználókezelést, életciklus kezelést, jelentéskészítést írnak elő • Szabályozó szervezetek/szabványok („compliance”) • Sarbanes-Oxley - Amerikai tőzsdén jelenlévő vállalatokra • BASEL II, European Central Bank: Európai pénzügyi szereplők • HIPAA: egészségügyi rendszerek (USA) • PSZÁF, Magyar pénzügyi szereplők

  4. Elrettentés • Saját IT példa…

  5. Feladatok (példák) • Értesíteni a felhasználókat a jelszavak lejárásáról • Inaktív azonosítók kiszűrése • Pl. 30 nap után • Új, de nem használt azonosítók szűrése • Pl. nem lépett be 10 napig a létrehozás után • Csoport tagságok módosítása • Lejárt szerződésű felhasználók törlése • Időzített/triggerelt események • …mindezt a fenti infrastruktúrán

  6. Logikai megvalósítások • Egy címtár • Pl. egy központi LDAP + minden egy helyen karbantartva - mindent egy címtárhoz integrálni • Több címtár • IT infrastruktúra evolúció… • Pl. LDAP + AD1 +AD2 + Flexibilis, kevés tervezést igényel - Nehezen karbantartható - Nehéz házirendeket definiálni - Árva felhasználók Nem kéne szerepelniük a rendszerben, de van jogosultságuk

  7. Logikai megvalósítások • Metacímtár • Másolat az összes adatról • Virtuális ~: nem jön létre tényleges másolat + egységes kép a rendszerről - Többszöri adminisztrációs belépési pontok - Teljesítménykorlát - Komplex szabályrendszer kezelése szükséges • Saját adminisztrációs eszközök • Adott gyártó alkalmazásait összefogja • Pl. SAP NetWeaver

  8. Logikai megvalósítások • Azonosságkezelő eszközök (identity management) • Mint egy virtuális metacímtár • Szolgáltatások saját házirend/munkafolyamat definiálás • Tipikusan webes felület • Elosztott (Liberty Alliance) / központosított (ITIM) • Sokféle erőforrás csatolható (címtár, OS, adatbázis…) + Rugalmas + Könnyen ellenőrizhető - Adapterek szükségesek az erőforrásokhoz - További rendszerkomponens (karbantartás, támadhatóság…)

  9. Központosított azonosságkezelés előnyei • Rendszermérnök határozza meg a hozzáférést! • Ne az egyedi rendszergazdák • Felhasználók életciklusának kezelése • Azonosító igénylése • Erőforrásokhoz történő hozzáférés szabályozása • Azonosítók automatikus kezelése (felfüggesztés/törlés/meghosszabbítás…) • Központosított kockázatkezelés • Pl. elbocsátás esetén… • Egyszerű interfész a felhasználói adatok kezelésére • Központi házirend kezelés • Pl. gyenge jelszavak elutasítása

  10. Központosított azonosságkezelés előnyei • Csoporttagságok központi kezelése • Szervezeti változások követése • Helpdesk terheltség csökkentése • Felhasználótárak és IT erőforrások egységes kezelése • LDAP, AD, HR rendszerek, saját rendszerek… • Operációs rendszerek, hálózati eszközök, access management eszközök, adatbázisok, irodai rendszerek…. • Felhasználók számára • Egységes jelszókezelés (nem Single Sign-On!) • Kérelmek egységes intézése (Self-Service) „Szeretnék hozzáférni a … SVN-hez” „Szeretném látni a tavalyi X adatbázist”

  11. Központosított azonosságkezelés előnyei • Jelentések generálása • Üzletmenet/szabályozás előírhatja • Egyéni felhasználókról • Hozzáférésekről • Szolgáltatásokról • Folyamatokról, …  nagy létszámú szervezetnél nehéz kezelni

  12. Hátrányok • Csak jól karbantartott infrastruktúrán működik • Erőforrások hozzáférésvédelme RBAC séma alapján • Plusz technológia, karbantartás • Bevezetés költsége (+ ellenállás) • Szervezeti felépítés vs. IM adminisztráció követése • Pl projekt menedzser != IM admin • Munkafolyamat definiálás szükséges • „Hamis biztonságérzet” • Rosszul beállított házirendek esetén megkerülhető • Ellentmondásos/hiányos házirendek beállíthatóak

  13. Funkciók vs technológiák

  14. Házirendek • Általános szabályok • Szerep vagy csoport alapúak • Kezelik a felhasználói fiókokat • Életciklus szabályok • Fiók adatok • Jelszavak • Csoporttagságok • Engedélyek • Prioritás, ütközések feloldása • Pl. házirendek betartásának különböző szintjei • Tipikusan a központi rendszerben és a menedzselt erőforrásokon is vannak • Logikai szinkronizáció szükséges

  15. Munkafolyamatok használata • Egyszerű munkafolyamatok • Elemi lépések + feltételkiértékelés • Kérelmek elbírálása (~munkadarabok) • Fiókok létrehozása/módosítása • Jogok módosítása • Kritikus erőforráshoz hozzáférő személyek újrahitelesítése • Tipikusan webes felületen indítható • Feladatlistába bekerül • Értesítés emailküldéssel • Egyedi vagy csoportnak szóló • Időzített/eseményvezérelt lépések • Eszkaláció • Határidő lejárta után értesítés • Példa a technikai résznél (ITIM)

  16. Központosított azonosságkezelés megvalósítás • Szervezeti felépítés definiálása • Csoportok, szerepek • IT erőforrások azonosítása • Típusok/példányok azonosítása • Felelősök • Csoportok, szerepek • IT előírások azonosítása • Szervezeti/IT szerepkörök összerendelése • Implementáció • Jóváhagyási/delegációs jogkörök • Technikai implementáció („összekötés”) • Ütemezés (pl. szinkronizáció) • Házirendek definiálása

  17. Központosított azonosságkezelő rendszerek • Gartner felmérés

  18. Technológiai bemutató: ITIM • IBM Tivoli Identity Manager • Legújabb verzió: 5.0 • DEMO: 4.6.1 • IBM WebSphere Application Server felett futó Java alapú webalkalmazás • Mérés során felhasznált eszköz • Információs technológiák laboratórium 2 (VIMIA315) • Felhasználói identitás menedzsment mérés

  19. ITIM logikai architektúra

  20. ITIM logikai architektúra • Hozzáférés böngészőből • űrlapok megjelenítése, • munkakörnyezet megjelenítése, • szervezeti struktúra (organization) ill. folyamatok (workflow) megjelenítése, • interfész biztosítása az alkalmazás mag felé.

  21. ITIM logikai architektúra • Saját felhasználótár • saját, központi felhasználókezelés • (a DB2 LDAP szolgáltatását használva) • itt tárolja a szervezeti egység(ek) teljes állapotát • (felhasználók, szervezeti csoportok, házirendek, folyamatok )

  22. ITIM logikai architektúra • Saját adatbázis • épp végrehajtott tranzakciók állapota • ütemezési, statisztikai, jelentéskészítési információk

  23. ITIM logikai architektúra • Alkalmazásréteg • házirendek, felhasználók, folyamatok, stb. definiálása • elérhető Webes vagy JAVA interfészen keresztül

  24. Adapterek • Operációs rendszerhez illesztett adapterek: • AIX (IBM UNIX)/Linux/HP-UX/OS400/Solaris • Címtár rendszerekhez illesztett adapterek: • Windows Active Directory/LDAP/Novell Netware • Adatbáziskezelőkhöz illesztett adapterek: • DB2/Oracle/Sybase • Alkalmazásokhoz illesztett adapterek: • Lotus Notes (kezelhet Domino Directory címtárat is) • Tivoli Access Manager for Single Sign-On (integrált IBM security megoldás)

  25. Adapterek felépítése • JAR file a központi ITIM szerverre • Megadja az értelmezhető műveleteket, paramétereket • Adapter a menedzselt szerverre • Függ az adott környezettől • Pl. root jogú shell belépés • Pl. helyi API használata • Pl. Domino Administrator • Saját adapter definíció • XML adatcsomagok SSL felett • IBM DAML • Szabvány DSML (ehhez szükséges Tivoli Directory integrator)

  26. Házirendek típusai • Provisioning policy • Milyen jogokat kapjon egy felhasználó • Milyen felhasználói fiókkal rendelkezzen • Egyéb beállítások (pl. mailbox beállítások) • Itt szükséges lehet más eszköz használata is az erőforrás oldali beállításokhoz (pl. IBM Tivoli Access Manager) • Service selection policy • Melyiket válasszuk azonos típusú erőforrások közül • Pl. szervezeti egység alapján konkrét LDAP példány • Identity policy • Felhasználói azonosító leképzése • Pl. AIX-on vezetéknév+keresztnév első 8 betűje • Password policy • Hosszúság, karakterosztályok, lejárat • Globális, erőforrás típus, példány

  27. Házirendek jellemzői • Egyszerű webes beállítás / JavaScript definíció • Szolgáltatás (IT erőforrás) szinten megadható a kikényszerítés szintje • Opcionális • Kötelező • Figyelmeztetést ad az adminisztrátornak • Felderíthetőek/törölhetőek a nem megfelelő fiókok • Ellentmondás lehetséges! (Pl. több primary user group) • Szerep/szervezeti egység alapúak • „Az összes projektmanager” • „Az összes budapesti alkalmazott” • Nincs automatikus validálás!

  28. Workflow definíció • Életciklus kezelése (operation) • Entitásra vagy entitás típusra definiálva • Pl. AD account létrehozására • Jogok kezelése (entitlement) • Fiók hozzáadása vagy módosítása triggerelheti • Definíció GUI + szkript használatával • Java osztályok felhasználhatóak • Példa: jelszóváltoztatás Forrás: „Implementation of Complex ITIM Workflows”

  29. Összetett workflow példa • Kérelem elfogadása Forrás: „Implementation of Complex ITIM Workflows”

  30. Szinkronizáció az erőforrásokkal • Reconciliation (szinkronizáció) • Az erőforrásokon és a központi rendszeren találtható fiókok összevetése • Összevetési szabályok alapján Pl. új fiókok „adoptálása” • Házirendek kikényszerítése • Ütemezett (teljesítmény vs. biztonság…) • Árva felhasználók • A legutóbbi szinkronizációkor nem volt központi megfelelőjük • Lehetnek beépített fiókok/szerepek is!

  31. Felhasználókezelés • Honnan lesznek felhasználóink? • IBM Tivoli Directory Integrator • Felhasználói adatforrásként működik • Képes különböző címtár jellegű rendszereket kezelni AD, LDAP, JNDI • Képes különböző adatforrásokat kezelni DSML, JDBC, JMS, MQ, SNMP, Filerendszer, … • Egyszerűbb „batch” műveletek Pl. fiókok transzformálása • Felhasználható ITIM adatforrásként ill. adapterek vissza is írhatnak ezen keresztül • Nem csak felhasználói adatok transzformálására jó • Segíti az ITIM működését • Nagyvállalati környezet: sok adatforrás…

  32. Példa: Egységes felhasználókezelés

  33. Felhasználók importálása • Provisioning policy létrehozása • Felhasználó törlése • Árva felhasználók törlése • Jelszóváltás

  34. Összefoglalás Felhasználókezelés heterogén infrastruktúrában Költséges Kockázatos Nehezen átlátható/menedzselhető Központosított azonosságkezelés megoldást jelenthet… „Virtuális meta-címtár” Adapterek erőforrásokhoz Házirendek Munkafolyamatok Konkrét technológia: ITIM

  35. Források, további információ Identity Management Design Guide with IBM Tivoli Identity Manager (ábrák forrása) http://www.redbooks.ibm.com/abstracts/SG246996.html?Open Tivoli Software Information Center http://publib.boulder.ibm.com/tividd/td/IdentityManager4.6.html Gartner: Magic Quadrant of User Provisioning Gartner RAS Core Research Note G00159740, Earl Perkins, Perry Carpenter, 15 August 2008 IBM Tivoli Directory Integrator áttekintő http://www-01.ibm.com/software/tivoli/products/directory-integrator/ Fred Santos. Implementation of Complex ITIM Workflows http://www.slideshare.net/51lecture/techimplementation-of-complex-itim-workflows A Liberty Alliance project http://www.projectliberty.org Identity management wikipedia oldal (némileg más megközelítés) http://en.wikipedia.org/wiki/Identity_management NAC Cisco http://www.cisco.com/en/US/netsol/ns466/networking_solutions_package.html

More Related