identity management (~azonosságkezelés)
DESCRIPTION
Intelligens rendszerfelügyelet. Identity management (~Azonosságkezelés). Gönczy László [email protected]. Tartalom. Hozzáférés szabályozás általános kérdései Topológiák Főbb feladatok Technológiák Részletes technológiai példa (ITIM) Demo. „Üzleti ”motivációk. - PowerPoint PPT PresentationTRANSCRIPT
Budapesti Műszaki és Gazdaságtudományi EgyetemMéréstechnika és Információs Rendszerek Tanszék
Identity management(~Azonosságkezelés)
Gönczy László[email protected]
Intelligens rendszerfelügyelet
Tartalom Hozzáférés szabályozás általános kérdései Topológiák Főbb feladatok Technológiák Részletes technológiai példa (ITIM) Demo
„Üzleti ”motivációk Kisebb üzemeltetési költség Kevesebb kockázat Könnyebb bővíthetőség Szervezeti változások követése Alkalmazási területtől függő előírások
o Felhasználókezelést, életciklus kezelést, jelentéskészítést írnak elő
o Szabályozó szervezetek/szabványok („compliance”)o Sarbanes-Oxley - Amerikai tőzsdén jelenlévő vállalatokrao BASEL II, European Central Bank: Európai pénzügyi szereplőko HIPAA: egészségügyi rendszerek (USA)o PSZÁF, Magyar pénzügyi szereplők
Elrettentés Saját IT példa…
Feladatok (példák) Értesíteni a felhasználókat a jelszavak lejárásáról Inaktív azonosítók kiszűrése
o Pl. 30 nap után Új, de nem használt azonosítók szűrése
o Pl. nem lépett be 10 napig a létrehozás után Csoport tagságok módosítása Lejárt szerződésű felhasználók törlése Időzített/triggerelt események …mindezt a fenti infrastruktúrán
Logikai megvalósítások Egy címtár
o Pl. egy központi LDAP+ minden egy helyen karbantartva- mindent egy címtárhoz integrálni
Több címtáro IT infrastruktúra evolúció…o Pl. LDAP + AD1 +AD2+ Flexibilis, kevés tervezést igényel- Nehezen karbantartható- Nehéz házirendeket definiálni- Árva felhasználók
Nem kéne szerepelniük a rendszerben, de van jogosultságuk
Logikai megvalósítások Metacímtár
o Másolat az összes adatrólo Virtuális ~: nem jön létre tényleges másolat+ egységes kép a rendszerről- Többszöri adminisztrációs belépési pontok- Teljesítménykorlát- Komplex szabályrendszer kezelése szükséges
Saját adminisztrációs eszközöko Adott gyártó alkalmazásait összefogjao Pl. SAP NetWeaver
Logikai megvalósítások Azonosságkezelő eszközök (identity management)
o Mint egy virtuális metacímtáro Szolgáltatások
saját házirend/munkafolyamat definiáláso Tipikusan webes felületo Elosztott (Liberty Alliance) / központosított (ITIM)o Sokféle erőforrás csatolható (címtár, OS, adatbázis…)+ Rugalmas+ Könnyen ellenőrizhető- Adapterek szükségesek az erőforrásokhoz- További rendszerkomponens
(karbantartás, támadhatóság…)
Központosított azonosságkezelés előnyei Rendszermérnök határozza meg a hozzáférést!
o Ne az egyedi rendszergazdák Felhasználók életciklusának kezelése
o Azonosító igényléseo Erőforrásokhoz történő hozzáférés szabályozásao Azonosítók automatikus kezelése
(felfüggesztés/törlés/meghosszabbítás…) Központosított kockázatkezelés
o Pl. elbocsátás esetén… Egyszerű interfész a felhasználói adatok kezelésére Központi házirend kezelés
o Pl. gyenge jelszavak elutasítása
Központosított azonosságkezelés előnyei Csoporttagságok központi kezelése
o Szervezeti változások követése Helpdesk terheltség csökkentése Felhasználótárak és IT erőforrások egységes kezelése
o LDAP, AD, HR rendszerek, saját rendszerek…o Operációs rendszerek, hálózati eszközök, access management
eszközök, adatbázisok, irodai rendszerek…. Felhasználók számára
o Egységes jelszókezelés (nem Single Sign-On!)o Kérelmek egységes intézése (Self-Service) „Szeretnék hozzáférni a … SVN-hez”
„Szeretném látni a tavalyi X adatbázist”
Központosított azonosságkezelés előnyei Jelentések generálása
o Üzletmenet/szabályozás előírhatjao Egyéni felhasználókrólo Hozzáférésekrőlo Szolgáltatásokrólo Folyamatokról, …
nagy létszámú szervezetnél nehéz kezelni
Hátrányok Csak jól karbantartott infrastruktúrán működik
o Erőforrások hozzáférésvédelme RBAC séma alapján Plusz technológia, karbantartás Bevezetés költsége (+ ellenállás) Szervezeti felépítés vs. IM adminisztráció követése
o Pl projekt menedzser != IM adminoMunkafolyamat definiálás szükséges
„Hamis biztonságérzet”o Rosszul beállított házirendek esetén megkerülhetőo Ellentmondásos/hiányos házirendek beállíthatóak
Funkciók vs technológiák
Házirendek Általános szabályok
o Szerep vagy csoport alapúak Kezelik a felhasználói fiókokat
o Életciklus szabályoko Fiók adatoko Jelszavako Csoporttagságoko Engedélyek
Prioritás, ütközések feloldásao Pl. házirendek betartásának különböző szintjei
Tipikusan a központi rendszerben és a menedzselt erőforrásokon is vannako Logikai szinkronizáció szükséges
Munkafolyamatok használata Egyszerű munkafolyamatok
o Elemi lépések + feltételkiértékelés Kérelmek elbírálása (~munkadarabok)
o Fiókok létrehozása/módosításao Jogok módosításao Kritikus erőforráshoz hozzáférő személyek újrahitelesítése
Tipikusan webes felületen indíthatóo Feladatlistába bekerül
Értesítés emailküldésselo Egyedi vagy csoportnak szóló
Időzített/eseményvezérelt lépések Eszkaláció
o Határidő lejárta után értesítés Példa a technikai résznél (ITIM)
Központosított azonosságkezelés megvalósítás Szervezeti felépítés definiálása
o Csoportok, szerepek IT erőforrások azonosítása
o Típusok/példányok azonosításao Felelősöko Csoportok, szerepek
IT előírások azonosításao Szervezeti/IT szerepkörök összerendelése
Implementációo Jóváhagyási/delegációs jogköröko Technikai implementáció („összekötés”)o Ütemezés (pl. szinkronizáció)o Házirendek definiálása
Központosított azonosságkezelő rendszerek
Gartner felmérés
Technológiai bemutató: ITIM IBM Tivoli Identity Manager
o Legújabb verzió: 5.0o DEMO: 4.6.1o IBM WebSphere Application Server felett futó Java
alapú webalkalmazás oMérés során felhasznált eszköz
• Információs technológiák laboratórium 2 (VIMIA315)• Felhasználói identitás menedzsment mérés
ITIM logikai architektúra
ITIM logikai architektúra
Hozzáférés böngészőből• űrlapok megjelenítése,• munkakörnyezet megjelenítése,• szervezeti struktúra (organization) ill. folyamatok (workflow) megjelenítése,• interfész biztosítása az alkalmazás mag felé.
Hozzáférés böngészőből• űrlapok megjelenítése,• munkakörnyezet megjelenítése,• szervezeti struktúra (organization) ill. folyamatok (workflow) megjelenítése,• interfész biztosítása az alkalmazás mag felé.
ITIM logikai architektúra
Saját felhasználótár• saját, központi felhasználókezelés (a DB2 LDAP szolgáltatását használva)• itt tárolja a szervezeti egység(ek) teljes állapotát (felhasználók, szervezeti csoportok, házirendek, folyamatok )
Saját felhasználótár• saját, központi felhasználókezelés (a DB2 LDAP szolgáltatását használva)• itt tárolja a szervezeti egység(ek) teljes állapotát (felhasználók, szervezeti csoportok, házirendek, folyamatok )
ITIM logikai architektúra
Saját adatbázis• épp végrehajtott tranzakciók állapota• ütemezési, statisztikai, jelentéskészítési információk
Saját adatbázis• épp végrehajtott tranzakciók állapota• ütemezési, statisztikai, jelentéskészítési információk
ITIM logikai architektúra
Alkalmazásréteg• házirendek, felhasználók, folyamatok, stb. definiálása• elérhető Webes vagy JAVA interfészen keresztül
Alkalmazásréteg• házirendek, felhasználók, folyamatok, stb. definiálása• elérhető Webes vagy JAVA interfészen keresztül
Adapterek Operációs rendszerhez illesztett adapterek:
o AIX (IBM UNIX)/Linux/HP-UX/OS400/Solaris
Címtár rendszerekhez illesztett adapterek:o Windows Active Directory/LDAP/Novell Netware
Adatbáziskezelőkhöz illesztett adapterek:o DB2/Oracle/Sybase
Alkalmazásokhoz illesztett adapterek:o Lotus Notes
(kezelhet Domino Directory címtárat is)o Tivoli Access Manager for Single Sign-On
(integrált IBM security megoldás)
Adapterek felépítése JAR file a központi ITIM szerverre
o Megadja az értelmezhető műveleteket, paramétereket Adapter a menedzselt szerverre
o Függ az adott környezettőlo Pl. root jogú shell belépéso Pl. helyi API használatao Pl. Domino Administrator
Saját adapter definícióo XML adatcsomagok SSL feletto IBM DAMLo Szabvány DSML (ehhez szükséges Tivoli Directory integrator)
Házirendek típusai Provisioning policy
o Milyen jogokat kapjon egy felhasználóo Milyen felhasználói fiókkal rendelkezzeno Egyéb beállítások (pl. mailbox beállítások)o Itt szükséges lehet más eszköz használata is az erőforrás oldali
beállításokhoz (pl. IBM Tivoli Access Manager) Service selection policy
o Melyiket válasszuk azonos típusú erőforrások közülo Pl. szervezeti egység alapján konkrét LDAP példány
Identity policyo Felhasználói azonosító leképzéseo Pl. AIX-on vezetéknév+keresztnév első 8 betűje
Password policyo Hosszúság, karakterosztályok, lejárato Globális, erőforrás típus, példány
Házirendek jellemzői Egyszerű webes beállítás / JavaScript definíció Szolgáltatás (IT erőforrás) szinten megadható a
kikényszerítés szintjeo Opcionáliso Kötelezőo Figyelmeztetést ad az adminisztrátornako Felderíthetőek/törölhetőek a nem megfelelő fiókoko Ellentmondás lehetséges!(Pl. több primary user group)
Szerep/szervezeti egység alapúako „Az összes projektmanager”o „Az összes budapesti alkalmazott”
Nincs automatikus validálás!
Workflow definíció Életciklus kezelése (operation)
o Entitásra vagy entitás típusra definiálvao Pl. AD account létrehozására
Jogok kezelése (entitlement)o Fiók hozzáadása vagy módosítása triggerelheti
Definíció GUI + szkript használatával Java osztályok felhasználhatóak Példa: jelszóváltoztatás
Forrás: „Implementation of Complex ITIM Workflows”
Összetett workflow példa Kérelem elfogadása
Forrás: „Implementation of Complex ITIM Workflows”
Szinkronizáció az erőforrásokkal Reconciliation (szinkronizáció)
o Az erőforrásokon és a központi rendszeren találtható fiókok összevetése
o Összevetési szabályok alapjánPl. új fiókok „adoptálása”o Házirendek kikényszerítéseo Ütemezett (teljesítmény vs. biztonság…)
Árva felhasználóko A legutóbbi szinkronizációkor nem volt központi
megfelelőjüko Lehetnek beépített fiókok/szerepek is!
Felhasználókezelés Honnan lesznek felhasználóink? IBM Tivoli Directory Integrator
o Felhasználói adatforrásként működiko Képes különböző címtár jellegű rendszereket kezelniAD, LDAP, JNDIo Képes különböző adatforrásokat kezelniDSML, JDBC, JMS, MQ, SNMP, Filerendszer, …o Egyszerűbb „batch” műveletekPl. fiókok transzformálása
Felhasználható ITIM adatforrásként ill. adapterek vissza is írhatnak ezen keresztül
Nem csak felhasználói adatok transzformálására jó Segíti az ITIM működését
o Nagyvállalati környezet: sok adatforrás…
Példa: Egységes felhasználókezelés
DEMO
Felhasználók importálása Provisioning policy létrehozása Felhasználó törlése Árva felhasználók törlése Jelszóváltás
Összefoglalás Felhasználókezelés heterogén infrastruktúrában
o Költségeso Kockázatoso Nehezen átlátható/menedzselhető
Központosított azonosságkezelés megoldást jelenthet…o „Virtuális meta-címtár”o Adapterek erőforrásokhozo HázirendekoMunkafolyamatok
Konkrét technológia: ITIM
Források, további információ Identity Management Design Guide with IBM Tivoli Identity Manager (ábrák forrása)
http://www.redbooks.ibm.com/abstracts/SG246996.html?Open Tivoli Software Information Center
http://publib.boulder.ibm.com/tividd/td/IdentityManager4.6.html Gartner: Magic Quadrant of User Provisioning
Gartner RAS Core Research Note G00159740, Earl Perkins, Perry Carpenter, 15 August 2008
IBM Tivoli Directory Integrator áttekintőhttp://www-01.ibm.com/software/tivoli/products/directory-integrator/
Fred Santos. Implementation of Complex ITIM Workflowshttp://www.slideshare.net/51lecture/techimplementation-of-complex-itim-workflows
A Liberty Alliance projecthttp://www.projectliberty.org
Identity management wikipedia oldal (némileg más megközelítés)http://en.wikipedia.org/wiki/Identity_management
NAC Cisco http://www.cisco.com/en/US/netsol/ns466/networking_solutions_package.html