Nasazení jednotné správy identit a řízení přístupu na Masarykově univerzitě s využitím systému Perun. Slávek Licehammer

Podobné dokumenty
Perun. Identity and Access Management System (IAM) Michal Procházka, Slávek Licehammer

Představení konceptu a praktické poznatky z nasazení proxy IdP v prostředí e-infrastrutury CESNET

JSEM ELEKTRONICKÁ IDENTITA. VĚŘÍTE MI? Jiří Bořík CESNET Olomouc

Perun na VŠUP. Jan Burian VŠUP v Praze

STORK Secure Identity Across Borders Linked

Perun. provoz v Meta, novinky, plány na Slávek Licehammer. 18. b ezna MetaCentrum

SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE. Roman Pudil, SOITRON

Novell Identity Management. Jaromír Látal Datron, a.s.

Využití identity managementu v prostředí veřejné správy

DIGITÁLNÍ IDENTITY. Jiří Bořík CESNET. konference e-infrastruktury CESNET 2019 Praha

IT podpora optimalizace provozu technologií rozsáhlého areálu

Zkušenosti s nasazováním Identity Managementu na VŠB-TUO

1. Integrační koncept

DIGITÁLNÍ IDENTITY. Jiří Bořík CESNET. CESNET Day České Budějovice

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

MĚSTSKÝ ROK INFORMATIKY KLADNO

Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ. a SINGLE SIGN-ON. DPDC Identity. pro Vaši bezpečnost

Cesta k základním registrům

2012 (červen) Microsoft Sharepoint Portal Server. Microsoft Live Communications Server 2003 Řešení pro online komunikaci. Microsoft Exchange

MetaCentrum a e-infrastruktura CESNET

Identity Management centralizovaná správa uživatelů

Bezpečnost sítí

Federativní přístup k autentizaci

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

15 let federace eduroam. Jiří Bořík CESNET konference e-infrastruktury CESNET

M e m b e r o f N E W P S G r o u p

Federativní autentizace v portálu Knihovny.cz, mojeid, IdP sociálních služeb, požadované atributy u Knihovny.cz

Integrace ORCID se systémem identit VŠB-TUO

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

Korporátní identita - nejcennější aktivum

Microsoft SharePoint Portal Server Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR

Konsolidace rezortních registrů. 4. dubna 2011

Datová úložiště CESNET

Praktické zkušenosti s nasazením. na KÚ Vysočina v oblasti ehealth. Libor Neumann, ANECT a.s. Petr Pavlinec, KÚ Vysočina. Pojednání o PEIGu 1

AIS MČ Praha 3 x Základní registry AIS MČ Praha 3 x Základní registry

Z internetu do nemocnice bezpečně a snadno

Správa dokumentů rady a zastupitelstva. Ladislav Kraus ladislav.kraus@karvina.cz

Práce s identitami na portálu knihovny.cz. Petr Žabička Moravská zemská knihovna v Brně

Koncept řešení EOS EVIDENCE ORGANIZAČNÍ STRUKTURY

<Insert Picture Here> Oracle Identity Management a jeho použití v praxi. Aleš Novák, Oracle

NOVÉ SLUŽBY CESNET PRO eidas. Jiří Bořík CESNET. konference e-infrastruktury CESNET 2019 Praha

eidentita 2019 NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ PRAHA 24. DUBNA 2019

nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná Ing.

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

ISZR. Brána k základním registrům. Plzeň, Zdeněk Dutý Jan Matuš Libor Kalenský

Rozvoj IdM Správa uživatelských oprávnění. Bronislava Palíková Univerzita Jana Evangelisty Purkyně v Ústí nad Labem projekt Fondu rozvoje CESNET

IdM v prostředí ZČU v Plzni

Centrální portál knihoven a knihovní systémy. Petr Žabička, Moravská zemská knihovna v Brně

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

Rozvoj projektu PROXIO v roce 2009

Koncepce rozvoje knihoven ČR na léta Priorita 2: Trvalé uchování digitálních dokumentů

GORDIC + CA = vaše cesta ke zvýšení kvality a efektivity služeb

Archivace Elektronických Dokumentů

Výměnný formát XML DTM DMVS PK

eidas - zkušenosti s implementací řízení přístupu a federací identit ISSS 2016 Hradec Králové

Národní elektronický nástroj. Import profilu zadavatele do NEN

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ ROK INFORMATIKY SLAVKOV U BRNA 6. ČERVNA 2019

Informace k ICT projektům Ministerstva kultury

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Jak být online a ušetřit? Ing. Ondřej Helar

Jak na GDPR? Petr Mayer, duben 2017

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Adobe Inteligentní elektronické dokumenty a jejich uplatnění v práci úřadu

Využití inteligentních formulářů na MMK

SPRÁVA ZÁKLADNÍCH REGISTRŮ ČESKÉ REPUBLIKY. Základní registry a eidas

SMB Roadshow Seminář. Interní systémy

Univerzitní informační systém

TECHNICKÁ SPECIFIKACE 1. FORMULÁŘOVÉ ŘEŠENÍ PRO OBĚH ELEKTRONICKÝCH DOKUMENTŮ ÚŘADU

Centrální portál knihoven

Přístupy k řešení a zavádění spisové služby

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí:

Windows Server 2003 Active Directory

erecept a lékový záznam Mgr. Filip Vrubel náměstek ministra

Sdílení uživatelských identit. Petr Žabička, Moravská zemská knihovna v Brně

E-Government Moravskoslezského kraje (II. VI. část výzvy) Vnitřní integrace úřadu a integrace s ISVS

Seznámení s přípravou platformy pro zajištění služeb dodávaní dokumentů včetně MVS: ZÍSKEJ

CESNET - Datová úložiště

Úložiště certifikátů pro vzdálené podepisování

Zpětná vazba od čtenářů 11 Dotazy 11 Zdrojové kódy ke knize 11 Errata 11 Typografické konvence použité v knize 12

Centrální správa PC na MU. Pavel Tuček

Garant karty projektového okruhu:

VÚB: Centrální registr smluv

Úvod 17 ČÁST 1. Kapitola 1: Principy návrhu doménové struktury služby Active Directory 21

Systém pro evidenci a vyhodnocování hovorů

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.

Řešení problematiky základních registrů

Zhodnocení průběžného plnění Informační strategie hl. m. Prahy do roku 2010 (Cesta k e-praze) Duben 2009

Univerzální vyhledávací portál jako integrační řešení pro digitální knihovny

RDF DSPS ROZVOJ PORTÁLU

PŘÍLOHA C Požadavky na Dokumentaci

KATALOG SLUŽEB NÁSLEDNÉ PODPORY

Výpočetní zdroje v MetaCentru a jejich využití

Zakázka Vnitřní integrace úřadu v rámci PROJEKTU Rozvoj služeb egovernmentu ve správním obvodu ORP Rosice

Identity a Access Manager řešení jednotné správy uživatelů a uživatelských oprávnění pro heterogenní prostředí

Důvěryhodná výpočetní základna -DVZ

Příloha č. 1, část 6 Požadavky na systémové rozhraní elektronického systému spisové služby (dále též ESSS ) Požadavky na rozhraní ESSS

ISVS a sdílené služby v roce Petr Kuchař, hlavní architekt eg MV Michal Pešek, ředitel SZR

Transkript:

Nasazení jednotné správy identit a řízení přístupu na Masarykově univerzitě s využitím systému Perun Slávek Licehammer 16. 5. 2016

IdM na MU Na MU právě vzniká nová koncepce správy identit a řízení přístupu na služby Motivací jsou stále náročnější požadavky na autentizační a autorizační infrastrukturu Cílem je revize a vylepšení existujících systémů a postupů od základů 2

Identity Existující zdroje identit na MU IS - studijní agenda INET - zaměstnanecká agenda Guest manager - správa externích uživatelů Částečně vzájemně synchronizovány Překryvy ve funkcionalitě 3

Skupiny Existující zdroje skupin IS INET nástroj ACL Active Directory Plněno vybranými existujícími skupinami Správa skupin není plně v rukou uživatelů Problém: členové skupin jsou omezeni systémem, ve kterém je skupina spravována 4

Řízení přístupu na služby Využívané systémy IS Active directory Account Manager Account manager Propojení existujících systému a generování změn v ACL pro služby Změny detekovány 2x denně 5

Koncepční problémy Minimální evidence služeb Oprávnění uživatelé Požadované atributy uživatelů Správa externistů externí zaměstnanci, návštěvníci knihoven, účastnící konferencí, komerční partneři Jednotná správa přístupu na služby Podpora life-cycle uživatele Autorizace navázána na existenci a typ účtu 6

Koncept řešení Centralizovaná správa identit, skupin a přístupu na služby Delegace oprávnění Správce služby administrativní správce Implicitní a explicitní skupiny uživatelů Jasně definovaný životní cyklus uživatele Využití existujících identit uživatelů eduid.cz, sociální identity, edugain Podpora správcům služeb 7

Návaznost na existující stav Nutnost zachovat existující systémy Změna by byla příliš nákladná Import dat do centrálního řešení Umožňuje propojit data za všech systémů Mechanismus přechodu na nové řešení Postupná migrace jednotlivých služeb Nejprve služby které nevystačí se současným řešením 8

IAM - Identity and access management system Vyvíjen společně MU a CESNETem Kompletní řešení správa identit, skupin, registrací správa služeb a přístupů správa atributů Navržen pro integraci do existujících prostředí 9

Role Peruna na MU 10

Podmínky pro realizaci Podpora vedení univerzity Spolupráce správců současných IdM řešení Spolupráce správců služeb Čas - na MU nižší jednotky roků Personální zajištění 11

Překážky Zmapování aktuálního stavu Odstranění výjimek v přístupech na služby Úprava služeb aby dokázaly pracovat se všemi typy identit Pomalá implementace Potřeba správců služeb mít funkční řešení co nejdříve Vzájemné pochopení ze strany některých správců služeb 12

Co se osvědčilo Spolupráce s vedením Jasná vize finálního řešení Agilní metodiky Inkrementální přístup Začít tam, kde jsou slabiny současného systému Poskytování dostatku informací všem zájemcům o tuto problematiku 13

Shrnutí IAM na MU Dlouhodobý plán nasazování nového řešení Použití Peruna Konsolidace existujících identit a skupin umožnění jejich kombinací Centrální evidence služeb a přístupů Delegace oprávnění na administrativní správce 14

Identity and access management system

IAM systém Nástroj pro centrální správu Uživatelů a jejich identit Skupin Zdrojů Přístupů na služby Registrací Atributů Identity and Access Management (IAM) systém 16

Správa identit Podpora různých druhů identit eduid.cz, sociální identity, X.509, Perun zná pouze identifikátory, nikoliv hesla Konsolidace identit Prováděná uživateli Identity využívány na službách podle potřeb konkrétní služby 17

Správa identit 18

Správa služeb Není nutné modifikovat služby Perun připravuje autorizační data per služba Data jsou nachystána v požadovaném formátu Transport autorizačních informací je zvolen podle možností služby Podpora standardních protokolů SAML atributová autorita, LDAP, VOOT 19

Integrace s externími systémy Importy uživatelů a skupin umožňuje integraci dalších systémů import z SQL, XML, LDAP, VOMS, CSV podpora dynamického mapování možnost pravidelné synchronizace monitoring úspěšnosti synchronizace notifikace 20

Správa atributů Atributy vznikají podle požadavků služeb Kontroly syntaxe i sémantiky hodnot včetně vzájemných závislostí Automatické generování hodnot např. login z příjmení Napojení na služby a jejich propagace U každé změny v atributu víme, které služby ovlivní 21

Propagace dat na služby Push mechanismus Autorizační data jsou aktivně tlačena na koncové služby Minimalizace single point of failure a odolnost proti síťovým výpadkům Deprovisioning Aktivní suspendování/expirace uživatelů 22

Push mechanismus 23

Registrace Různé flow pro přihlášky E-mailové pozvánky pro uživatele Self-service Schvalování uživatelů Automatické schvalování po splnění podmínek Přihlášky do skupin Periodické prodlužování členství Podpora přesměrování po vyplnění příhlášky 24

Klíčové vlastnosti Jednotný uživatelský profil Správa záznamů na jednom místě pro všechny služby Centrální správa skupin Jedna skupina použitá pro více služeb Možnost synchronizace z externího systému Delegování práv Pro správu VO, skupin a služeb 25

O Perunovi Vyvíjený CESNETem a MU Open-source https://github.com/cesnet/perun/ Poskytovaný as a service případně jako virtual appliance Nasazení CESNET, MU, EGI, ELIXIR, VŠUP další malé instance 27

Děkuji za pozornost http://perun.cesnet.cz perun@cesnet.cz Slávek Licehammer slavek@ics.muni.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář