Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Sistemi za upravljanje z Sistemi za upravljanje z identitetami
Bojan Pirc
U lj j id tit tUpravljanje identitet
U lj j id tit t j ži l ihUpravljanje identitet je množica poslovnihprocesov in podporne infrastrukture za izdelavo,vzdrževanje in uporabo digitalnih identitet.
The Burton Group
IdM sistem je zbirka tehnologij, poslovnihprocesov in temeljnih pravil, ki sistemom vomrežju omogočajo opredelitev kdo ima dostopomrežju omogočajo opredelitev, kdo ima dostopdo njih ter kdo in kdaj ima pravice do katerihvirov, medtem pa je zagotovljena zasebnost
ik i t ih d tkposameznikov in varnost zaupnih podatkov.
J. Cooper, M. Bergman
K j j (di it l ) id tit t ?Kaj je (digitalna) identiteta?
Di it l id tit t b j d tk ki Digitalna identiteta vsebuje podatke, ki enolično opisujejo osebo ali stvar, imenovano tudi subjekt ali entiteta, in prav e o a o tud subje t a e t teta, p atako vsebuje informacije o povezavah subjekta do drugih entitet.
P. Windley
Primeri: uporabniški račun ali računalnik v Active Directory, poštni predal v Microsoft Exchange uporabniški zapis v podatkovni Exchange, uporabniški zapis v podatkovni bazi ali dostop do lastne aplikacije
I i i lj j id tit tIzzivi upravljanja identitet
Kd i d k t i i f ij • Kdo ima do katerega vira informacij dostop?
• Ali se uporabniku ukine vse dostope, ko se upo ab u u e se dostope, ozapusti podjetje? Ali so res vsi dostopi ukinjeni?
• Ali veste kdo v procesu dodeljevanja oz • Ali veste, kdo v procesu dodeljevanja oz. ukinjanja pravic mora kdaj kaj narediti?
• Ali lahko nadzorujete in sledite dostope zaposlenih?
• Ali za vzpostavitev uporabniškega računa in vseh potrebnih pooblastil potrebujete in vseh potrebnih pooblastil potrebujete več kot en dan? Koliko takšnih primerov imate na dan ali na teden?
K ti IdM i tKoncepti IdM sistemov
Entitete:• Identiteta• Vloga• Vloga• Sistem• Dodelitev vlogeg
Vsebinske povezave:Sk b ik id i• Skrbnik identitete
• Lastnik vloge• Skrbnik sistema• Skrbnik sistema
P i i tit tPrimeri entitet
Id tit t V t l Si t D d lit Identiteta Vrsta vloge Sistem Dodelitev oz. izvedba vloge
Bojan Pirc (oseba)
Uporabniški račun Microsoft Active Directory
Uporabniški račun za osebo Bojan Pirc( ) y j
Bojan Pirc (oseba)
Pravica za branje mape Dokumenti
Datotečni sistem
Uporabnik Bojan ima pravico branja v mapi Dokumenti
NB-bojan (prenosni računalnik)
Programska oprema Microsoft Office
Microsoft SMS Nameščen Microsoft Office na prenosnem računalniku NB-bojan
Bojan Pirc Poštni predal Microsoft Poštni predal Bojan Pirc (oseba)
Poštni predal Microsoft Exchange
Poštni predal bojan.pirc
Bojan Pirc (oseba)
Varnostna ali distribucijska k i
Microsoft Active Directory
Članstvo v varnostni ali distribucijski k i iskupina skupini.
Bojan Pirc(oseba)
Dostop do sejnesobe
Sistem za nadzor dostopa
Bojan Pirc ima dostopdo sejne sobe
A hit kt IdM i tArhitektura IdM sistemov
Spletni portal (IdM sistem)
Sinhronizacijska storitev (metaimenik)
MicrosoftActive
DirectoryMicrosoft
SharePointSAP Podatkovne
zbirke
Kadrovski sistem
Klj č f k i l tiKljučne funkcionalnosti
IdM sistem
Upravljanje identitet, dostopov in pravic
Poslovni in varnostni procesi
Nadzor
dostopa naSamo-
postrežba
dostopa na
podlagi
vloge v
podjetju
Ločevanje
nalog
Poročila
skladnosti
Revizija
dostopaEskalacija Delegacija
P l i i t i iPoslovni in varnostni procesi
š č• Vpeljava in izboljšava obstoječih varnostnih pravil
• Implementacija obstoječih poslovnih procesov p
• Avtomatizacija postopkov:I d l b išk i id tit t• Izdelava uporabniškega imena identitete
• Izdelava e-poštnega predala• Izdelava novih AD grup
• Samopostrežba
Primer procesaPrimer procesapotrjevanja
S t žbSamopostrežba
D l i j lj j k č i • Delegiranje upravljanja končnim uporabnikom
• Razbremenitev administratorjev in centra a b e e te ad st ato je ce t aza pomoč uporabnikom
• Časovno neodvisna izvedba zahteve• Ukinitev papirnih zahtevkov in odobritev• Ukinitev papirnih zahtevkov in odobritev
• Tipični samopostrežni procesi• Zahteva za dostop• Zahteva za novo vlogo• Upravljanje lastnih podatkov
Z h i l• Zahteva za ponastavitev gesla• Upravljanje z zunanjimi sodelavci
P i ht d tPrimer procesa zahteve za dostop
P i ht d tPrimer procesa zahteve za dostop
ž1. Zaposleni preko samopostrežnega portala zahteva vlogo za vnos faktur v sistem SAPsistem SAP
2. Vodja zaposlenega dobi zahtevo in jo odobri
3. Lastnik vloge dobi zahtevo in jo odobri4. Sinhronizacija vlog identitete v sistem
SSAP5. Zaposleni dobi obvestilo in zahtevano
vlogovlogo
Nadzor dostopa na podlagi vloge v Nadzor dostopa na podlagi vloge v podjetju (RBAC)
š č• Zelo široko področje
• Avtomatizirano upravljanje dostopa • Avtomatizirano upravljanje dostopa identitetam
• Uporaba obstoječih struktur v podjetju:• Organizacijska struktura• Delovna mesta• Delovna mesta• Stroškovna mesta• Projekti
Primer nadzora dostopa na podlagi vloge v Primer nadzora dostopa na podlagi vloge v podjetju
L č j lLočevanje nalog
č• Razdelitev opravil in pravic med različne vloge v podjetju
• Preprečevanje prevelike avtoritete
• Zaznavanje konfliktov
š j k flik• Razreševanje konfliktov
P i l č j lPrimer ločevanja nalog
P čil kl d tiPoročila skladnosti
• Celovit pregled nad identitetami in njihovimi dostopi
• Preverjanje skladnosti z varnostno politiko in regulativamip g
• Zgodovinski pregled
P i čil kl d tiPrimer poročila skladnosti
R i ij d tRevizija dostopa
č• Periodičen proces• Revizija dostopov identitet• Potrjevanje vlog za identitete• Potrjevanje vlog za identitete• Avtomatično ali ročno• Odstranjevanje kršitev oz. neskladijj j j• Končno poročilo
lj č š j• Ključna vprašanja:• Kaj se pregleduje?• Kdo pregleduje?p g j• Kdaj in kako pogosto?
P i i ij d tPrimer revizije dostopa
U db i t dj tjUvedba sistema v podjetje
č b č b k• Preučitev obstoječega stanja in potreb stranke• Predlog rešitve, opredelitev ciljev in faz projekta• Priprava specifikacijep p j• Postavitev in konfiguracija celotne infrastrukture• Izvedba integracij z ostalimi sistemi• Implementacija poslovnih in varnostnih • Implementacija poslovnih in varnostnih
procesov• Inicialni uvoz in čiščenje podatkov
P t ti j• Prevzemno testiranje• Izvedba delavnic za uporabo sistemov za
upravljanje z identitetamip j j• Podpora v času produkcijskega delovanja
U db i t dj tjUvedba sistema v podjetje
…
EDMS
SAPzaposleni
IdMsistem
dostopipooblastilaSpletni
portalizunanji
sodelavci
poslovni partnerji
lastne rešitve
partnerji
HRM
A tiActive directory
P i ih d lPrimer prihoda novega zaposlenega
V b k d ki i t• Vnos osebe v kadrovski sistem• Sinhronizacija podatkov• Izdelava digitalne identitetede a a d g ta e de t tete• Dodelitev osnovnih dostopov (RBAC)
• Vsak zaposleni ima uporabniški račun in poštni predal -> nov uporabniški račun in poštni predal > nov uporabniški račun in poštni predal
• Vsi zaposleni v oddelku za zagotavljanje kakovosti imajo naslednje pravicej j p
• Potrjevanje zahtevkov na portalu• Potrjevanje dokumentov v dokumentnem sistemu
• Sinhronizacija identitete in dostopov v šk l d kimeniško storitev, portal in dokumentni
sistem
P id bitPridobitve
d d lj j • nadzor nad upravljanjem z dostopi/pooblastili
• višji nivo varnosti
• nižji stroški• nižji stroški
• zmanjšanje količine napak
• standardizacija poslovnih in varnostnih pravilpravil
H l tHvala za pozornost