1

Zarządzanie toŜsamością w

organizacji rozproszonejZbigniew Szmigiero, Software Sales

Technical Specialist - Tivoli Security , IBM

Każdy wie …

• Czym jest zarządzanie tożsamością?

– Kto ma dostęp do czego i dlaczego?

• Kto się liczy na rynku?

• ……………………………

• Wdrożenie nie jest łatwe

2

… ale boi się zapytać o to …

• Jak wdrożyć Zarządzanie Tożsamością? – czyli

kolejny sukces vs. w poszukiwaniu pracy

• Jakie „wyzwania” stoją przed organizacją?

• Co muszę wiedzieć zanim kupię?

• Co muszę wiedzieć zanim podpiszę protokół

odbioru?

3

Dlaczego Ja?

� 2000-2002 Kredyt Bank (wdrożenie, PM)

� 2002-2004 Polkomtel (wdrożenie, PM)

� 2003-2005 Raiffeisen Bank (wdrożenie, PM)

� 2005 Fortis (wsparcie zespołu wdrożeniowego)

� 2007 ING (wsparcie zespołu wdrożeniowego)

� 2008-2011 TPSA (wsparcie zespołu wdrożeniowego)

� 2010-2011 Ciech (wsparcie zespołu wdrożeniowego)

4

Prawdy ogólne (1)

• 70% projektu to komunikacja pomiędzy

ludźmi, 30% technologia!!!

5

Prawdy ogólne (2)

• Wdrożenie IM to budowa procesu

zarządczego zmieniającego się wraz z firmą a

nie rozwiązanie pod klucz

– System MUSI być utrzymywany i rozwijany przez

wykwalifikowanych administratorów

– System MUSI być łatwo dostosowywalny

6

„Wyzwania” na starcie (1)

• Potrzeba szybkiej implementacji

• Brak istniejącej strategii zarządzania

tożsamością

• Brak odpowiedzialności organizacyjnej za

uprawnienia, właścicieli biznesowych

• Brak katalogu ról a nawet katalogu usług i

procesów biznesowych

7

„Wyzwania” na starcie (2)

• Niespójne, zmienne i nie połączone domeny

zarządcze, uwierzytelniające i autoryzujące

• Nierealistyczny zakres planowanego projektu i

oczekiwania

• Koszty TCA i TCO oszacowane błędnie

(niedoszacowane ☺ jak zawsze)

8

„Wyzwania” organizacyjne

• Brak wsparcia na poziomie Cxx (CEO, CFO,

CIO)

• Brak sponsora/właściciela biznesowego

• Szukanie rozwiązań mapujących istniejący

stan zamiast upraszczania->porządkowania

• Brak analizy dla „osób trzecich” w

definiowaniu projektu

• Brak wiedzy na temat wdrażania IAM

• Brak priorytetów wdrożenia9

Prawdy ogólne (3)

• Brak wizji rozwoju IAM na kolejne 2-4 lata

10

„Wyzwania” Katalog Tożsamości

(1)

• Kim zarządzamy?

• Kto zarządza?

• Gdzie znajduje się opis zarządzanych i

zarządzających?

11

„Wyzwania” Katalog Tożsamości

(2)

• Jakie informacje są konieczne do zarządzania?– Atrybuty do jednoznacznej identyfikacji użytkownika

– Atrybuty do opisu jego przynależności organizacyjnej

– Struktura czy struktury organizacyjne?

– Atrybuty identyfikujące sposób traktowania tożsamości w przypadku

uczestnictwa w wielu strukturach

– Atrybuty definiujące wszystkie wartości kont

– Atrybuty pozwalające na określenie konta w przypadku posiadania

wielu kont

– Właściciel roli, polityki

– Parametry SoD zależne od tożsamości

– Atrybuty konieczne do raportowania

12

„Wyzwania” Katalog Tożsamości

(3)

• Zarządzanie rozdzielne czy wspólne w ramach

różnych organizacji?

– Czy jedna tożsamość?

– Jak często synchronizować źródła? Okno

synchronizacji a podejmowanie decyzji!

– Czy istnieją źródła danych przestarzałe lub

nieutrzymywane z użyciem nowoczesnych

technologii? Przenosić do IAM czy nie?

13

„Wyzwania” Katalog Tożsamości

(4)

• Czy katalog tożsamości będzie źródłem dla

innych systemów?

– Service Desk, CCM, SRM, CMDB …

– Jakie interfejsy?

14

„Wyzwania” Provisioning (1)

• Rozwiązania out-of-the-box

• Ile systemów? - Czas, pieniądze, potrzeba

• Jakie systemy?

– Core (system bankowy, bilingowy, CRM, …)

– Ogólnie wykorzystywane (AD, poczta, …)

• Jakie funkcje chcemy zapewnić i jakie są

dostępne out-of-the-box?

15

„Wyzwania” Provisioning (2)

• Budowa adapterów dla aplikacji

– Jakie funkcje?

– Jaki system zarządzania uprawnieniami

• Płaski

• Macierzowy

– Jakie API? Czy API czy rekonfiguracja?

– Jakie wsparcie Dostawcy?

– Jakie nakłady czasowe?

• Po stronie dostawcy, po stronie odbiorcy

16

„Wyzwania” Provisioning (3)

• Zmiana adaptera wraz ze zmianą systemu

• Agent lokalny czy zdalny?

• Rekoncyliacja, działanie online

• Mapowanie kont do tożsamości

– Wiele kont na jednym systemie

– Konta techniczne, administracyjne, współdzielone

– Jednolity identyfikator

17

„Wyzwania” Role (1)

18

user user user

perm

issio

n

perm

issio

n

perm

issio

n

Istniejące uprawnienia w systemach Uprawnienia po analizie

i usunięciu błędów

Wyczyszczone

uprawnienia

Modelowanie i zarządzanie rolami

Role miningRole mining Zarządzanie

cyklem Ŝycia

Zarządzanie

cyklem ŜyciaModelowanie i

symulacja

Modelowanie i

symulacja

„Wyzwania” Role (2)

19

Dostęp do internetu

Czas realizacji

HRkonto w

domenie

konto w

LDAP, firewall

aktywacja

tokenu

instalacja IE

Pracownik

Klient

Kontraktor

„Wyzwania” Role (3)

20

Help

DeskBanking

MS

Service

Desk

MS

Baza

Wiedzy

MS

CRM

MS

Banking

System

MS

Reports

Pracownik

Klient

Kontraktor

„Wyzwania” Role (4)

21

Pracownik

Klient

Kontraktor

Macierz uprawnień

Katalog toŜsamości

Baza audytowa

Zmiana danych

Polityka

Przypisanie roli

Rola

„Wyzwania” Role (5)

• Jak zwirtualizować uprawnienia istniejące?

– Metoda małych kroków

• Role podstawowe->Budowa ról na żądanie

– Metoda równoległa

• Role podstawowe i „opis słowno muzyczny”->Przegląd

wniosków->Aktualizacja ról

– Metoda rewolucyjna (niewdrażalna)

• Role Mining->Role

• Jak raportować?

22

„Wyzwania” WorkFlow (1)

• Jakie procesy?

– Zatrudnienie

– Rejestracja osoby trzeciej

– Zwolnienie

– Wniosek o dostęp

• Dla pracownika

• Dla osoby trzeciej

– Zmiana jednostki organizacyjnej

– Zmiana danych o tożsamości (często self-service)

23

„Wyzwania” WorkFlow (2)

24

Zarządzany

system/aplikacja

Pracownik

Klient

Kontraktor

Systemy zautomatyzowane

Systemy bez automatyki

25

Pracownik

Klient

Kontraktor

Systemy bez automatyki

Notyfikacja administratora

Akceptacja wykonania operacji

Kontrola polityk na podstawie

informacji dostarczanej offline

Generowanie akcji naprawczych

poprzez notyfikację administratorów

Macierz uprawnień

Ręczna modyfikacja

uprawnień

Aktualizacja offline o

istniejących uprawnieniach

„Wyzwania” WorkFlow (4)

• Kto wnioskuje?

– Pracownik czy Przełożony

• Kto akceptuje?

– Właściciel procesu, roli

– Delegacja uprawnień

– Eskalacja wniosków nieprzetworzonych

• Wnioski grupowe

• Mapowanie istniejących procesów?

26

Aby projekt zakończył się

Sukcesem– Zatrudnij właściwego PM

– Zdefiniuj ramy projektu (systemy, procesy, itp.)

– Zdefiniuj oczekiwania na minimum 2 kolejne lata

– Wybierz technologię (Możliwości i Cena)

– Wybierz Partnera (Doświadczenie, Zespół,

Wsparcie Dostawcy)

– Wykonaj analizę i zbuduj Projekt Wdrożenia

– Bądź gotowy na ZMIANY!!!

27

Pytania?

Jak zwykle zabrakło mi czasu - PRZEPRASZAM

- zapraszam do dyskusji w kuluarach

28