Budapesti Műszaki és Gazdaságtudományi EgyetemMéréstechnika és Információs Rendszerek Tanszék

Identity management(~Azonosságkezelés)

Gönczy Lászlógonczy@mit.bme.hu

Intelligens rendszerfelügyelet

Tartalom Hozzáférés szabályozás általános kérdései Topológiák Főbb feladatok Technológiák Részletes technológiai példa (ITIM) Demo

„Üzleti ”motivációk Kisebb üzemeltetési költség Kevesebb kockázat Könnyebb bővíthetőség Szervezeti változások követése Alkalmazási területtől függő előírások

o Felhasználókezelést, életciklus kezelést, jelentéskészítést írnak elő

o Szabályozó szervezetek/szabványok („compliance”)o Sarbanes-Oxley - Amerikai tőzsdén jelenlévő vállalatokrao BASEL II, European Central Bank: Európai pénzügyi szereplőko HIPAA: egészségügyi rendszerek (USA)o PSZÁF, Magyar pénzügyi szereplők

Elrettentés Saját IT példa…

Feladatok (példák) Értesíteni a felhasználókat a jelszavak lejárásáról Inaktív azonosítók kiszűrése

o Pl. 30 nap után Új, de nem használt azonosítók szűrése

o Pl. nem lépett be 10 napig a létrehozás után Csoport tagságok módosítása Lejárt szerződésű felhasználók törlése Időzített/triggerelt események …mindezt a fenti infrastruktúrán

Logikai megvalósítások Egy címtár

o Pl. egy központi LDAP+ minden egy helyen karbantartva- mindent egy címtárhoz integrálni

Több címtáro IT infrastruktúra evolúció…o Pl. LDAP + AD1 +AD2+ Flexibilis, kevés tervezést igényel- Nehezen karbantartható- Nehéz házirendeket definiálni- Árva felhasználók

Nem kéne szerepelniük a rendszerben, de van jogosultságuk

Logikai megvalósítások Metacímtár

o Másolat az összes adatrólo Virtuális ~: nem jön létre tényleges másolat+ egységes kép a rendszerről- Többszöri adminisztrációs belépési pontok- Teljesítménykorlát- Komplex szabályrendszer kezelése szükséges

Saját adminisztrációs eszközöko Adott gyártó alkalmazásait összefogjao Pl. SAP NetWeaver

Logikai megvalósítások Azonosságkezelő eszközök (identity management)

o Mint egy virtuális metacímtáro Szolgáltatások

saját házirend/munkafolyamat definiáláso Tipikusan webes felületo Elosztott (Liberty Alliance) / központosított (ITIM)o Sokféle erőforrás csatolható (címtár, OS, adatbázis…)+ Rugalmas+ Könnyen ellenőrizhető- Adapterek szükségesek az erőforrásokhoz- További rendszerkomponens

(karbantartás, támadhatóság…)

Központosított azonosságkezelés előnyei Rendszermérnök határozza meg a hozzáférést!

o Ne az egyedi rendszergazdák Felhasználók életciklusának kezelése

o Azonosító igényléseo Erőforrásokhoz történő hozzáférés szabályozásao Azonosítók automatikus kezelése

(felfüggesztés/törlés/meghosszabbítás…) Központosított kockázatkezelés

o Pl. elbocsátás esetén… Egyszerű interfész a felhasználói adatok kezelésére Központi házirend kezelés

o Pl. gyenge jelszavak elutasítása

Központosított azonosságkezelés előnyei Csoporttagságok központi kezelése

o Szervezeti változások követése Helpdesk terheltség csökkentése Felhasználótárak és IT erőforrások egységes kezelése

o LDAP, AD, HR rendszerek, saját rendszerek…o Operációs rendszerek, hálózati eszközök, access management

eszközök, adatbázisok, irodai rendszerek…. Felhasználók számára

o Egységes jelszókezelés (nem Single Sign-On!)o Kérelmek egységes intézése (Self-Service) „Szeretnék hozzáférni a … SVN-hez”

„Szeretném látni a tavalyi X adatbázist”

Központosított azonosságkezelés előnyei Jelentések generálása

o Üzletmenet/szabályozás előírhatjao Egyéni felhasználókrólo Hozzáférésekrőlo Szolgáltatásokrólo Folyamatokról, …

nagy létszámú szervezetnél nehéz kezelni

Hátrányok Csak jól karbantartott infrastruktúrán működik

o Erőforrások hozzáférésvédelme RBAC séma alapján Plusz technológia, karbantartás Bevezetés költsége (+ ellenállás) Szervezeti felépítés vs. IM adminisztráció követése

o Pl projekt menedzser != IM adminoMunkafolyamat definiálás szükséges

„Hamis biztonságérzet”o Rosszul beállított házirendek esetén megkerülhetőo Ellentmondásos/hiányos házirendek beállíthatóak

Funkciók vs technológiák

Házirendek Általános szabályok

o Szerep vagy csoport alapúak Kezelik a felhasználói fiókokat

o Életciklus szabályoko Fiók adatoko Jelszavako Csoporttagságoko Engedélyek

Prioritás, ütközések feloldásao Pl. házirendek betartásának különböző szintjei

Tipikusan a központi rendszerben és a menedzselt erőforrásokon is vannako Logikai szinkronizáció szükséges

Munkafolyamatok használata Egyszerű munkafolyamatok

o Elemi lépések + feltételkiértékelés Kérelmek elbírálása (~munkadarabok)

o Fiókok létrehozása/módosításao Jogok módosításao Kritikus erőforráshoz hozzáférő személyek újrahitelesítése

Tipikusan webes felületen indíthatóo Feladatlistába bekerül

Értesítés emailküldésselo Egyedi vagy csoportnak szóló

Időzített/eseményvezérelt lépések Eszkaláció

o Határidő lejárta után értesítés Példa a technikai résznél (ITIM)

Központosított azonosságkezelés megvalósítás Szervezeti felépítés definiálása

o Csoportok, szerepek IT erőforrások azonosítása

o Típusok/példányok azonosításao Felelősöko Csoportok, szerepek

IT előírások azonosításao Szervezeti/IT szerepkörök összerendelése

Implementációo Jóváhagyási/delegációs jogköröko Technikai implementáció („összekötés”)o Ütemezés (pl. szinkronizáció)o Házirendek definiálása

Központosított azonosságkezelő rendszerek

Gartner felmérés

Technológiai bemutató: ITIM IBM Tivoli Identity Manager

o Legújabb verzió: 5.0o DEMO: 4.6.1o IBM WebSphere Application Server felett futó Java

alapú webalkalmazás oMérés során felhasznált eszköz

• Információs technológiák laboratórium 2 (VIMIA315)• Felhasználói identitás menedzsment mérés

ITIM logikai architektúra

ITIM logikai architektúra

Hozzáférés böngészőből• űrlapok megjelenítése,• munkakörnyezet megjelenítése,• szervezeti struktúra (organization) ill. folyamatok (workflow) megjelenítése,• interfész biztosítása az alkalmazás mag felé.

Hozzáférés böngészőből• űrlapok megjelenítése,• munkakörnyezet megjelenítése,• szervezeti struktúra (organization) ill. folyamatok (workflow) megjelenítése,• interfész biztosítása az alkalmazás mag felé.

ITIM logikai architektúra

Saját felhasználótár• saját, központi felhasználókezelés (a DB2 LDAP szolgáltatását használva)• itt tárolja a szervezeti egység(ek) teljes állapotát (felhasználók, szervezeti csoportok, házirendek, folyamatok )

Saját felhasználótár• saját, központi felhasználókezelés (a DB2 LDAP szolgáltatását használva)• itt tárolja a szervezeti egység(ek) teljes állapotát (felhasználók, szervezeti csoportok, házirendek, folyamatok )

ITIM logikai architektúra

Saját adatbázis• épp végrehajtott tranzakciók állapota• ütemezési, statisztikai, jelentéskészítési információk

Saját adatbázis• épp végrehajtott tranzakciók állapota• ütemezési, statisztikai, jelentéskészítési információk

ITIM logikai architektúra

Alkalmazásréteg• házirendek, felhasználók, folyamatok, stb. definiálása• elérhető Webes vagy JAVA interfészen keresztül

Alkalmazásréteg• házirendek, felhasználók, folyamatok, stb. definiálása• elérhető Webes vagy JAVA interfészen keresztül

Adapterek Operációs rendszerhez illesztett adapterek:

o AIX (IBM UNIX)/Linux/HP-UX/OS400/Solaris

Címtár rendszerekhez illesztett adapterek:o Windows Active Directory/LDAP/Novell Netware

Adatbáziskezelőkhöz illesztett adapterek:o DB2/Oracle/Sybase

Alkalmazásokhoz illesztett adapterek:o Lotus Notes

(kezelhet Domino Directory címtárat is)o Tivoli Access Manager for Single Sign-On

(integrált IBM security megoldás)

Adapterek felépítése JAR file a központi ITIM szerverre

o Megadja az értelmezhető műveleteket, paramétereket Adapter a menedzselt szerverre

o Függ az adott környezettőlo Pl. root jogú shell belépéso Pl. helyi API használatao Pl. Domino Administrator

Saját adapter definícióo XML adatcsomagok SSL feletto IBM DAMLo Szabvány DSML (ehhez szükséges Tivoli Directory integrator)

Házirendek típusai Provisioning policy

o Milyen jogokat kapjon egy felhasználóo Milyen felhasználói fiókkal rendelkezzeno Egyéb beállítások (pl. mailbox beállítások)o Itt szükséges lehet más eszköz használata is az erőforrás oldali

beállításokhoz (pl. IBM Tivoli Access Manager) Service selection policy

o Melyiket válasszuk azonos típusú erőforrások közülo Pl. szervezeti egység alapján konkrét LDAP példány

Identity policyo Felhasználói azonosító leképzéseo Pl. AIX-on vezetéknév+keresztnév első 8 betűje

Password policyo Hosszúság, karakterosztályok, lejárato Globális, erőforrás típus, példány

Házirendek jellemzői Egyszerű webes beállítás / JavaScript definíció Szolgáltatás (IT erőforrás) szinten megadható a

kikényszerítés szintjeo Opcionáliso Kötelezőo Figyelmeztetést ad az adminisztrátornako Felderíthetőek/törölhetőek a nem megfelelő fiókoko Ellentmondás lehetséges!(Pl. több primary user group)

Szerep/szervezeti egység alapúako „Az összes projektmanager”o „Az összes budapesti alkalmazott”

Nincs automatikus validálás!

Workflow definíció Életciklus kezelése (operation)

o Entitásra vagy entitás típusra definiálvao Pl. AD account létrehozására

Jogok kezelése (entitlement)o Fiók hozzáadása vagy módosítása triggerelheti

Definíció GUI + szkript használatával Java osztályok felhasználhatóak Példa: jelszóváltoztatás

Forrás: „Implementation of Complex ITIM Workflows”

Összetett workflow példa Kérelem elfogadása

Forrás: „Implementation of Complex ITIM Workflows”

Szinkronizáció az erőforrásokkal Reconciliation (szinkronizáció)

o Az erőforrásokon és a központi rendszeren találtható fiókok összevetése

o Összevetési szabályok alapjánPl. új fiókok „adoptálása”o Házirendek kikényszerítéseo Ütemezett (teljesítmény vs. biztonság…)

Árva felhasználóko A legutóbbi szinkronizációkor nem volt központi

megfelelőjüko Lehetnek beépített fiókok/szerepek is!

Felhasználókezelés Honnan lesznek felhasználóink? IBM Tivoli Directory Integrator

o Felhasználói adatforrásként működiko Képes különböző címtár jellegű rendszereket kezelniAD, LDAP, JNDIo Képes különböző adatforrásokat kezelniDSML, JDBC, JMS, MQ, SNMP, Filerendszer, …o Egyszerűbb „batch” műveletekPl. fiókok transzformálása

Felhasználható ITIM adatforrásként ill. adapterek vissza is írhatnak ezen keresztül

Nem csak felhasználói adatok transzformálására jó Segíti az ITIM működését

o Nagyvállalati környezet: sok adatforrás…

Példa: Egységes felhasználókezelés

DEMO

Felhasználók importálása Provisioning policy létrehozása Felhasználó törlése Árva felhasználók törlése Jelszóváltás

Összefoglalás Felhasználókezelés heterogén infrastruktúrában

o Költségeso Kockázatoso Nehezen átlátható/menedzselhető

Központosított azonosságkezelés megoldást jelenthet…o „Virtuális meta-címtár”o Adapterek erőforrásokhozo HázirendekoMunkafolyamatok

Konkrét technológia: ITIM

Források, további információ Identity Management Design Guide with IBM Tivoli Identity Manager (ábrák forrása)

http://www.redbooks.ibm.com/abstracts/SG246996.html?Open Tivoli Software Information Center

http://publib.boulder.ibm.com/tividd/td/IdentityManager4.6.html Gartner: Magic Quadrant of User Provisioning

Gartner RAS Core Research Note G00159740, Earl Perkins, Perry Carpenter, 15 August 2008

IBM Tivoli Directory Integrator áttekintőhttp://www-01.ibm.com/software/tivoli/products/directory-integrator/

Fred Santos. Implementation of Complex ITIM Workflowshttp://www.slideshare.net/51lecture/techimplementation-of-complex-itim-workflows

A Liberty Alliance projecthttp://www.projectliberty.org

Identity management wikipedia oldal (némileg más megközelítés)http://en.wikipedia.org/wiki/Identity_management

NAC Cisco http://www.cisco.com/en/US/netsol/ns466/networking_solutions_package.html