350 likes | 460 Views
Intelligens rendszerfelügyelet. Identity management (~Azonosságkezelés). Gönczy László gonczy@mit.bme.hu. Tartalom. Hozzáférés szabályozás általános kérdései Topológiák Főbb feladatok Technológiák Részletes technológiai példa (ITIM) Demo. „Üzleti ”motivációk.
E N D
Intelligens rendszerfelügyelet Identity management(~Azonosságkezelés) Gönczy László gonczy@mit.bme.hu
Tartalom Hozzáférés szabályozás általános kérdései Topológiák Főbb feladatok Technológiák Részletes technológiai példa (ITIM) Demo
„Üzleti ”motivációk • Kisebb üzemeltetési költség • Kevesebb kockázat • Könnyebb bővíthetőség • Szervezeti változások követése • Alkalmazási területtől függő előírások • Felhasználókezelést, életciklus kezelést, jelentéskészítést írnak elő • Szabályozó szervezetek/szabványok („compliance”) • Sarbanes-Oxley - Amerikai tőzsdén jelenlévő vállalatokra • BASEL II, European Central Bank: Európai pénzügyi szereplők • HIPAA: egészségügyi rendszerek (USA) • PSZÁF, Magyar pénzügyi szereplők
Elrettentés • Saját IT példa…
Feladatok (példák) • Értesíteni a felhasználókat a jelszavak lejárásáról • Inaktív azonosítók kiszűrése • Pl. 30 nap után • Új, de nem használt azonosítók szűrése • Pl. nem lépett be 10 napig a létrehozás után • Csoport tagságok módosítása • Lejárt szerződésű felhasználók törlése • Időzített/triggerelt események • …mindezt a fenti infrastruktúrán
Logikai megvalósítások • Egy címtár • Pl. egy központi LDAP + minden egy helyen karbantartva - mindent egy címtárhoz integrálni • Több címtár • IT infrastruktúra evolúció… • Pl. LDAP + AD1 +AD2 + Flexibilis, kevés tervezést igényel - Nehezen karbantartható - Nehéz házirendeket definiálni - Árva felhasználók Nem kéne szerepelniük a rendszerben, de van jogosultságuk
Logikai megvalósítások • Metacímtár • Másolat az összes adatról • Virtuális ~: nem jön létre tényleges másolat + egységes kép a rendszerről - Többszöri adminisztrációs belépési pontok - Teljesítménykorlát - Komplex szabályrendszer kezelése szükséges • Saját adminisztrációs eszközök • Adott gyártó alkalmazásait összefogja • Pl. SAP NetWeaver
Logikai megvalósítások • Azonosságkezelő eszközök (identity management) • Mint egy virtuális metacímtár • Szolgáltatások saját házirend/munkafolyamat definiálás • Tipikusan webes felület • Elosztott (Liberty Alliance) / központosított (ITIM) • Sokféle erőforrás csatolható (címtár, OS, adatbázis…) + Rugalmas + Könnyen ellenőrizhető - Adapterek szükségesek az erőforrásokhoz - További rendszerkomponens (karbantartás, támadhatóság…)
Központosított azonosságkezelés előnyei • Rendszermérnök határozza meg a hozzáférést! • Ne az egyedi rendszergazdák • Felhasználók életciklusának kezelése • Azonosító igénylése • Erőforrásokhoz történő hozzáférés szabályozása • Azonosítók automatikus kezelése (felfüggesztés/törlés/meghosszabbítás…) • Központosított kockázatkezelés • Pl. elbocsátás esetén… • Egyszerű interfész a felhasználói adatok kezelésére • Központi házirend kezelés • Pl. gyenge jelszavak elutasítása
Központosított azonosságkezelés előnyei • Csoporttagságok központi kezelése • Szervezeti változások követése • Helpdesk terheltség csökkentése • Felhasználótárak és IT erőforrások egységes kezelése • LDAP, AD, HR rendszerek, saját rendszerek… • Operációs rendszerek, hálózati eszközök, access management eszközök, adatbázisok, irodai rendszerek…. • Felhasználók számára • Egységes jelszókezelés (nem Single Sign-On!) • Kérelmek egységes intézése (Self-Service) „Szeretnék hozzáférni a … SVN-hez” „Szeretném látni a tavalyi X adatbázist”
Központosított azonosságkezelés előnyei • Jelentések generálása • Üzletmenet/szabályozás előírhatja • Egyéni felhasználókról • Hozzáférésekről • Szolgáltatásokról • Folyamatokról, … nagy létszámú szervezetnél nehéz kezelni
Hátrányok • Csak jól karbantartott infrastruktúrán működik • Erőforrások hozzáférésvédelme RBAC séma alapján • Plusz technológia, karbantartás • Bevezetés költsége (+ ellenállás) • Szervezeti felépítés vs. IM adminisztráció követése • Pl projekt menedzser != IM admin • Munkafolyamat definiálás szükséges • „Hamis biztonságérzet” • Rosszul beállított házirendek esetén megkerülhető • Ellentmondásos/hiányos házirendek beállíthatóak
Házirendek • Általános szabályok • Szerep vagy csoport alapúak • Kezelik a felhasználói fiókokat • Életciklus szabályok • Fiók adatok • Jelszavak • Csoporttagságok • Engedélyek • Prioritás, ütközések feloldása • Pl. házirendek betartásának különböző szintjei • Tipikusan a központi rendszerben és a menedzselt erőforrásokon is vannak • Logikai szinkronizáció szükséges
Munkafolyamatok használata • Egyszerű munkafolyamatok • Elemi lépések + feltételkiértékelés • Kérelmek elbírálása (~munkadarabok) • Fiókok létrehozása/módosítása • Jogok módosítása • Kritikus erőforráshoz hozzáférő személyek újrahitelesítése • Tipikusan webes felületen indítható • Feladatlistába bekerül • Értesítés emailküldéssel • Egyedi vagy csoportnak szóló • Időzített/eseményvezérelt lépések • Eszkaláció • Határidő lejárta után értesítés • Példa a technikai résznél (ITIM)
Központosított azonosságkezelés megvalósítás • Szervezeti felépítés definiálása • Csoportok, szerepek • IT erőforrások azonosítása • Típusok/példányok azonosítása • Felelősök • Csoportok, szerepek • IT előírások azonosítása • Szervezeti/IT szerepkörök összerendelése • Implementáció • Jóváhagyási/delegációs jogkörök • Technikai implementáció („összekötés”) • Ütemezés (pl. szinkronizáció) • Házirendek definiálása
Központosított azonosságkezelő rendszerek • Gartner felmérés
Technológiai bemutató: ITIM • IBM Tivoli Identity Manager • Legújabb verzió: 5.0 • DEMO: 4.6.1 • IBM WebSphere Application Server felett futó Java alapú webalkalmazás • Mérés során felhasznált eszköz • Információs technológiák laboratórium 2 (VIMIA315) • Felhasználói identitás menedzsment mérés
ITIM logikai architektúra • Hozzáférés böngészőből • űrlapok megjelenítése, • munkakörnyezet megjelenítése, • szervezeti struktúra (organization) ill. folyamatok (workflow) megjelenítése, • interfész biztosítása az alkalmazás mag felé.
ITIM logikai architektúra • Saját felhasználótár • saját, központi felhasználókezelés • (a DB2 LDAP szolgáltatását használva) • itt tárolja a szervezeti egység(ek) teljes állapotát • (felhasználók, szervezeti csoportok, házirendek, folyamatok )
ITIM logikai architektúra • Saját adatbázis • épp végrehajtott tranzakciók állapota • ütemezési, statisztikai, jelentéskészítési információk
ITIM logikai architektúra • Alkalmazásréteg • házirendek, felhasználók, folyamatok, stb. definiálása • elérhető Webes vagy JAVA interfészen keresztül
Adapterek • Operációs rendszerhez illesztett adapterek: • AIX (IBM UNIX)/Linux/HP-UX/OS400/Solaris • Címtár rendszerekhez illesztett adapterek: • Windows Active Directory/LDAP/Novell Netware • Adatbáziskezelőkhöz illesztett adapterek: • DB2/Oracle/Sybase • Alkalmazásokhoz illesztett adapterek: • Lotus Notes (kezelhet Domino Directory címtárat is) • Tivoli Access Manager for Single Sign-On (integrált IBM security megoldás)
Adapterek felépítése • JAR file a központi ITIM szerverre • Megadja az értelmezhető műveleteket, paramétereket • Adapter a menedzselt szerverre • Függ az adott környezettől • Pl. root jogú shell belépés • Pl. helyi API használata • Pl. Domino Administrator • Saját adapter definíció • XML adatcsomagok SSL felett • IBM DAML • Szabvány DSML (ehhez szükséges Tivoli Directory integrator)
Házirendek típusai • Provisioning policy • Milyen jogokat kapjon egy felhasználó • Milyen felhasználói fiókkal rendelkezzen • Egyéb beállítások (pl. mailbox beállítások) • Itt szükséges lehet más eszköz használata is az erőforrás oldali beállításokhoz (pl. IBM Tivoli Access Manager) • Service selection policy • Melyiket válasszuk azonos típusú erőforrások közül • Pl. szervezeti egység alapján konkrét LDAP példány • Identity policy • Felhasználói azonosító leképzése • Pl. AIX-on vezetéknév+keresztnév első 8 betűje • Password policy • Hosszúság, karakterosztályok, lejárat • Globális, erőforrás típus, példány
Házirendek jellemzői • Egyszerű webes beállítás / JavaScript definíció • Szolgáltatás (IT erőforrás) szinten megadható a kikényszerítés szintje • Opcionális • Kötelező • Figyelmeztetést ad az adminisztrátornak • Felderíthetőek/törölhetőek a nem megfelelő fiókok • Ellentmondás lehetséges! (Pl. több primary user group) • Szerep/szervezeti egység alapúak • „Az összes projektmanager” • „Az összes budapesti alkalmazott” • Nincs automatikus validálás!
Workflow definíció • Életciklus kezelése (operation) • Entitásra vagy entitás típusra definiálva • Pl. AD account létrehozására • Jogok kezelése (entitlement) • Fiók hozzáadása vagy módosítása triggerelheti • Definíció GUI + szkript használatával • Java osztályok felhasználhatóak • Példa: jelszóváltoztatás Forrás: „Implementation of Complex ITIM Workflows”
Összetett workflow példa • Kérelem elfogadása Forrás: „Implementation of Complex ITIM Workflows”
Szinkronizáció az erőforrásokkal • Reconciliation (szinkronizáció) • Az erőforrásokon és a központi rendszeren találtható fiókok összevetése • Összevetési szabályok alapján Pl. új fiókok „adoptálása” • Házirendek kikényszerítése • Ütemezett (teljesítmény vs. biztonság…) • Árva felhasználók • A legutóbbi szinkronizációkor nem volt központi megfelelőjük • Lehetnek beépített fiókok/szerepek is!
Felhasználókezelés • Honnan lesznek felhasználóink? • IBM Tivoli Directory Integrator • Felhasználói adatforrásként működik • Képes különböző címtár jellegű rendszereket kezelni AD, LDAP, JNDI • Képes különböző adatforrásokat kezelni DSML, JDBC, JMS, MQ, SNMP, Filerendszer, … • Egyszerűbb „batch” műveletek Pl. fiókok transzformálása • Felhasználható ITIM adatforrásként ill. adapterek vissza is írhatnak ezen keresztül • Nem csak felhasználói adatok transzformálására jó • Segíti az ITIM működését • Nagyvállalati környezet: sok adatforrás…
Felhasználók importálása • Provisioning policy létrehozása • Felhasználó törlése • Árva felhasználók törlése • Jelszóváltás
Összefoglalás Felhasználókezelés heterogén infrastruktúrában Költséges Kockázatos Nehezen átlátható/menedzselhető Központosított azonosságkezelés megoldást jelenthet… „Virtuális meta-címtár” Adapterek erőforrásokhoz Házirendek Munkafolyamatok Konkrét technológia: ITIM
Források, további információ Identity Management Design Guide with IBM Tivoli Identity Manager (ábrák forrása) http://www.redbooks.ibm.com/abstracts/SG246996.html?Open Tivoli Software Information Center http://publib.boulder.ibm.com/tividd/td/IdentityManager4.6.html Gartner: Magic Quadrant of User Provisioning Gartner RAS Core Research Note G00159740, Earl Perkins, Perry Carpenter, 15 August 2008 IBM Tivoli Directory Integrator áttekintő http://www-01.ibm.com/software/tivoli/products/directory-integrator/ Fred Santos. Implementation of Complex ITIM Workflows http://www.slideshare.net/51lecture/techimplementation-of-complex-itim-workflows A Liberty Alliance project http://www.projectliberty.org Identity management wikipedia oldal (némileg más megközelítés) http://en.wikipedia.org/wiki/Identity_management NAC Cisco http://www.cisco.com/en/US/netsol/ns466/networking_solutions_package.html