Sistemi za upravljanje z Sistemi za upravljanje z identitetami

Bojan Pirc

U lj j id tit tUpravljanje identitet

U lj j id tit t j ži l ihUpravljanje identitet je množica poslovnihprocesov in podporne infrastrukture za izdelavo,vzdrževanje in uporabo digitalnih identitet.

The Burton Group

IdM sistem je zbirka tehnologij, poslovnihprocesov in temeljnih pravil, ki sistemom vomrežju omogočajo opredelitev kdo ima dostopomrežju omogočajo opredelitev, kdo ima dostopdo njih ter kdo in kdaj ima pravice do katerihvirov, medtem pa je zagotovljena zasebnost

ik i t ih d tkposameznikov in varnost zaupnih podatkov.

J. Cooper, M. Bergman

K j j (di it l ) id tit t ?Kaj je (digitalna) identiteta?

Di it l id tit t b j d tk ki Digitalna identiteta vsebuje podatke, ki enolično opisujejo osebo ali stvar, imenovano tudi subjekt ali entiteta, in prav e o a o tud subje t a e t teta, p atako vsebuje informacije o povezavah subjekta do drugih entitet.

P. Windley

Primeri: uporabniški račun ali računalnik v Active Directory, poštni predal v Microsoft Exchange uporabniški zapis v podatkovni Exchange, uporabniški zapis v podatkovni bazi ali dostop do lastne aplikacije

I i i lj j id tit tIzzivi upravljanja identitet

Kd i d k t i i f ij • Kdo ima do katerega vira informacij dostop?

• Ali se uporabniku ukine vse dostope, ko se upo ab u u e se dostope, ozapusti podjetje? Ali so res vsi dostopi ukinjeni?

• Ali veste kdo v procesu dodeljevanja oz • Ali veste, kdo v procesu dodeljevanja oz. ukinjanja pravic mora kdaj kaj narediti?

• Ali lahko nadzorujete in sledite dostope zaposlenih?

• Ali za vzpostavitev uporabniškega računa in vseh potrebnih pooblastil potrebujete in vseh potrebnih pooblastil potrebujete več kot en dan? Koliko takšnih primerov imate na dan ali na teden?

K ti IdM i tKoncepti IdM sistemov

Entitete:• Identiteta• Vloga• Vloga• Sistem• Dodelitev vlogeg

Vsebinske povezave:Sk b ik id i• Skrbnik identitete

• Lastnik vloge• Skrbnik sistema• Skrbnik sistema

P i i tit tPrimeri entitet

Id tit t V t l Si t D d lit Identiteta Vrsta vloge Sistem Dodelitev oz. izvedba vloge

Bojan Pirc (oseba)

Uporabniški račun Microsoft Active Directory

Uporabniški račun za osebo Bojan Pirc( ) y j

Bojan Pirc (oseba)

Pravica za branje mape Dokumenti

Datotečni sistem

Uporabnik Bojan ima pravico branja v mapi Dokumenti

NB-bojan (prenosni računalnik)

Programska oprema Microsoft Office

Microsoft SMS Nameščen Microsoft Office na prenosnem računalniku NB-bojan

Bojan Pirc Poštni predal Microsoft Poštni predal Bojan Pirc (oseba)

Poštni predal Microsoft Exchange

Poštni predal bojan.pirc

Bojan Pirc (oseba)

Varnostna ali distribucijska k i

Microsoft Active Directory

Članstvo v varnostni ali distribucijski k i iskupina skupini.

Bojan Pirc(oseba)

Dostop do sejnesobe

Sistem za nadzor dostopa

Bojan Pirc ima dostopdo sejne sobe

A hit kt IdM i tArhitektura IdM sistemov

Spletni portal (IdM sistem)

Sinhronizacijska storitev (metaimenik)

MicrosoftActive

DirectoryMicrosoft

SharePointSAP Podatkovne

zbirke

Kadrovski sistem

Klj č f k i l tiKljučne funkcionalnosti

IdM sistem

Upravljanje identitet, dostopov in pravic

Poslovni in varnostni procesi

Nadzor

dostopa naSamo-

postrežba

dostopa na

podlagi

vloge v

podjetju

Ločevanje

nalog

Poročila

skladnosti

Revizija

dostopaEskalacija Delegacija

P l i i t i iPoslovni in varnostni procesi

š č• Vpeljava in izboljšava obstoječih varnostnih pravil

• Implementacija obstoječih poslovnih procesov p

• Avtomatizacija postopkov:I d l b išk i id tit t• Izdelava uporabniškega imena identitete

• Izdelava e-poštnega predala• Izdelava novih AD grup

• Samopostrežba

Primer procesaPrimer procesapotrjevanja

S t žbSamopostrežba

D l i j lj j k č i • Delegiranje upravljanja končnim uporabnikom

• Razbremenitev administratorjev in centra a b e e te ad st ato je ce t aza pomoč uporabnikom

• Časovno neodvisna izvedba zahteve• Ukinitev papirnih zahtevkov in odobritev• Ukinitev papirnih zahtevkov in odobritev

• Tipični samopostrežni procesi• Zahteva za dostop• Zahteva za novo vlogo• Upravljanje lastnih podatkov

Z h i l• Zahteva za ponastavitev gesla• Upravljanje z zunanjimi sodelavci

P i ht d tPrimer procesa zahteve za dostop

P i ht d tPrimer procesa zahteve za dostop

ž1. Zaposleni preko samopostrežnega portala zahteva vlogo za vnos faktur v sistem SAPsistem SAP

2. Vodja zaposlenega dobi zahtevo in jo odobri

3. Lastnik vloge dobi zahtevo in jo odobri4. Sinhronizacija vlog identitete v sistem

SSAP5. Zaposleni dobi obvestilo in zahtevano

vlogovlogo

Nadzor dostopa na podlagi vloge v Nadzor dostopa na podlagi vloge v podjetju (RBAC)

š č• Zelo široko področje

• Avtomatizirano upravljanje dostopa • Avtomatizirano upravljanje dostopa identitetam

• Uporaba obstoječih struktur v podjetju:• Organizacijska struktura• Delovna mesta• Delovna mesta• Stroškovna mesta• Projekti

Primer nadzora dostopa na podlagi vloge v Primer nadzora dostopa na podlagi vloge v podjetju

L č j lLočevanje nalog

č• Razdelitev opravil in pravic med različne vloge v podjetju

• Preprečevanje prevelike avtoritete

• Zaznavanje konfliktov

š j k flik• Razreševanje konfliktov

P i l č j lPrimer ločevanja nalog

P čil kl d tiPoročila skladnosti

• Celovit pregled nad identitetami in njihovimi dostopi

• Preverjanje skladnosti z varnostno politiko in regulativamip g

• Zgodovinski pregled

P i čil kl d tiPrimer poročila skladnosti

R i ij d tRevizija dostopa

č• Periodičen proces• Revizija dostopov identitet• Potrjevanje vlog za identitete• Potrjevanje vlog za identitete• Avtomatično ali ročno• Odstranjevanje kršitev oz. neskladijj j j• Končno poročilo

lj č š j• Ključna vprašanja:• Kaj se pregleduje?• Kdo pregleduje?p g j• Kdaj in kako pogosto?

P i i ij d tPrimer revizije dostopa

U db i t dj tjUvedba sistema v podjetje

č b č b k• Preučitev obstoječega stanja in potreb stranke• Predlog rešitve, opredelitev ciljev in faz projekta• Priprava specifikacijep p j• Postavitev in konfiguracija celotne infrastrukture• Izvedba integracij z ostalimi sistemi• Implementacija poslovnih in varnostnih • Implementacija poslovnih in varnostnih

procesov• Inicialni uvoz in čiščenje podatkov

P t ti j• Prevzemno testiranje• Izvedba delavnic za uporabo sistemov za

upravljanje z identitetamip j j• Podpora v času produkcijskega delovanja

U db i t dj tjUvedba sistema v podjetje

…

EDMS

SAPzaposleni

IdMsistem

dostopipooblastilaSpletni

portalizunanji

sodelavci

poslovni partnerji

lastne rešitve

partnerji

HRM

A tiActive directory

P i ih d lPrimer prihoda novega zaposlenega

V b k d ki i t• Vnos osebe v kadrovski sistem• Sinhronizacija podatkov• Izdelava digitalne identitetede a a d g ta e de t tete• Dodelitev osnovnih dostopov (RBAC)

• Vsak zaposleni ima uporabniški račun in poštni predal -> nov uporabniški račun in poštni predal > nov uporabniški račun in poštni predal

• Vsi zaposleni v oddelku za zagotavljanje kakovosti imajo naslednje pravicej j p

• Potrjevanje zahtevkov na portalu• Potrjevanje dokumentov v dokumentnem sistemu

• Sinhronizacija identitete in dostopov v šk l d kimeniško storitev, portal in dokumentni

sistem

P id bitPridobitve

d d lj j • nadzor nad upravljanjem z dostopi/pooblastili

• višji nivo varnosti

• nižji stroški• nižji stroški

• zmanjšanje količine napak

• standardizacija poslovnih in varnostnih pravilpravil

H l tHvala za pozornost