SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE. Roman Pudil, SOITRON

Transkript

1

2 SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE Roman Pudil, SOITRON

3 Vymezení pojmů Identita = totožnost, shodnost IT identitou může být cokoliv (člověk, místnost, program, ) Trezor identit = úložiště dat Systém správy identit zajišťuje bezpečné uložení dat o identitách Provisioning = poskytnutí, poskytování, propůjčení Systém správy identit zajišťuje on-line kontrolované a řízené poskytování informací o identitě ostatním systémům v jimi požadované formě nebo její reprezentace v koncových systémech Rekonsilace = získání Systém správy identit zajišťuje on-line kontrolované a řízené získávání informací o identitě z autoritativních systémů Self Management = samospráva, samoobsluha Může/nemusí souviset s řešením správy identit Password Synchronization = synchronizace hesla Může/nemusí souviset s řešením správy identit

4 Životní cyklus identity Zaměstnanci, externisti, partneři, zákazníci, certifikáty, tokeny VZNIK Uživatelé SPRÁVA Atributy Profily a práva, audit Přístupy, historie ZÁNIK Hesla Skupiny a role PODPORA Správa hesel a přístupů Řízení procesů -workflow 4 FIM 2010 v NKÚ

5 Příchod nového zaměstnance Řízení procesů -workflow VZNIK ZÁNIK Uživatelé Hesla Jednoznačná identifikace uživatele Jednoznačné označení uživatele SPRÁV generování korporátního login name generování A ové adresy generování certifikátů Atributy Jednoznačné přiřazení účtů identitě generování hesla a jeho propagace a synchronizace Jednoznačné určení role Skupin y přiřazení aplikací uplatnění politik PODPOR A Požadavky a schválení 5 FIM 2010 v NKÚ

6 Pozice a vlastnosti se mění... VZNIK SPRÁVA Uživatelé Atributy Řízení procesů -workflow ZÁNIK Hesla Skupin y a role Změna role změna přiřazených aplikací změna PODPOR nastavení pracovní plochy změna dostupnosti funkcí A Změna pozice Změna firemních/organizačních informací Změna osobních informací Požadavky a schválení 6 FIM 2010 v NKÚ

7 Zaměstnanec chce svoje... VZNIK SPRÁVA Možnost editace svého profilu Možnost žádosti o změnu role Možnost žádosti o aplikaci Uživatelé Možnost žádosti o přístup/změnu Hesla přístupu Možnost žádosti o vydání certifikátu stažení certifikátu Možnost změny/nastavení hesla ZÁNIK Atributy Skupiny a role PODPORA Řízení procesů -workflow Požadavky a schválení 7 FIM 2010 v NKÚ

8 Odchází, ale nezmizí... Kteréúčty (v jakých aplikacích) zrušit Která varování provést Kteréúčty zamknout VZNIK Které informace uvést v reportu Které informace smazat/zachovat Požadavky a schválení Uživatelé SPRÁVA Atributy Řízení procesů -workflow ZÁNIK Hesla Skupiny a role PODPORA 8 FIM 2010 v NKÚ

9 Tak ještě jednou... Zaměstnanci, externisti, partneři, zákazníci, certifikáty, tokeny VZNIK Uživatelé SPRÁVA Atributy Profily a práva, audit Přístupy, historie ZÁNIK Hesla Skupiny a role PODPORA Správa hesel a přístupů Řízení procesů -workflow 9 FIM 2010 v NKÚ

10 Bezpečnostní kontext zaměstnance Personální informační systém Firewall/Proxy/Gateway Router/switch/modem/!!!!! Server Operační systém??!!!!!! Pracovní stanice Operační systém!!!!?????? Aplikace 1 Aplikace 2 Aplikace n Aplikace a služby

11 Stav v organizacích Uživatel Soubor/Tisk HR/Appl/db Pošta/Skup.p lánování Adresář WebServer Proxy/FireWall Správa desktop/uživatel/sw

12 Příklad IT systému s implementací IDM

13 Komponenty IDM Správa identit (Management of Identities) Provisioning/deprovisioning účtů Automatizace řízení procesů (Workflow automation) Delegovaná správa (Delegated administration) Synchronizace hesel (Password synchronization) Samoobsluha (Self Service) Řízení přístupu (Access Control) Správa přístupů (Access Management) zahrnuje správu dat o identitě uživatele autentikaci uživatele Řízení přístupu pomocí politik (Policy based access control) Přístup jediným přihlášením (Enterprise/Legacy Single Sign On - SSO and Single Signout) Přístup k web aplikacím jediným přihlášením (Web Single Sign On)

14 Komponenty IDM Adresářové služby (Directory Services) Bezpečné úložiště identit - správu účtů a jejich atributů Replikace/synchronizace LDAP, X.500 IBM/Tivoli, Microsoft, Novell, Oracle ID, Sun/iPlanet Jiné související kategorie Audit (kdo-kam-kdy-jako kdo- ) Řízení přístupů na základě rolí (Role-based Access Control) Řízení přístupů na základě pravidel (Rule-based Access Control) Federace přístupů

15 DĚKUJI 15 názov prezentácie