CA Identity Lifecycle Management Jak na to... June 2012
Agenda > Úvod Co je Identity Lifecycle Management (ILM) Proč zavádět ILM v organizaci Výhody po zavedení ILM > Identity Lifecycle Management ILM základní charakteristika Produktové portfólio > Jak na to... Sběr, analýza a čistění dat Definice procesů, výjimky,definice SOD Definice rolí, procesů správy RBAC modelu... Komplexní řešení správy identit > Proč právě řešení od CA?
Úvod Identity Lifecycle Management (ILM) > Automatizace procesů nástupu/odchodu zaměstnance > Přidelování přístupů na základě rolí > Centralizovaná a správa přístupových oprávnění > Zavedení jednotných procesů správy oprávnění > Auditování procesů > Zavedení neslučitelnosti oprávnění/pozic > Uţivatelská samobsluha > Delegace správy
Úvod Proč řešit ILM > Zvýšení efektivity, sníţení nákladů na správu Automatizace procesů, uţivatelská samoobsluha, sníţení zátěţe na helpdesk > Zvýšení spokojenosti uţivatelů Rychlejší a jednodušší přístup k aplikacím > Zvýšení bezpečnosti, sníţení bezpečnostních rizika Přehled nad uţivatelskými účty a přidělených oprávněních Zjednodušení procesů pro dosaţení shody, audit a reporting > Efektivnější zavedení nových business poţadavků napříč celou organizací prostřednictvím ILM
Úvod Výhody zavedení ILM Výhody v kaţdodenní operativě > Vytvoření pořádku místo chaosu Efektivní vytváření uţivatelských účtů Zavedení správy prostřednictvým rolí (RBAC model) > Pruţně reagovat na business poţadavky Jednoducha a rychlá propagace přístupových oprávnění Rychlá změnu business pravidel a procesů Unifikace procesu pro zavedení nových systémů Analýza RBAC modelu a potřeby změn řádově ve dnech Efektivnější zavádění organizačních změn > Zlepšení fungování IT sluţeb Místo papíru, uţivatelská samoobsluha Poskytování pravidelných reportů pro business vlastníky aplikací
Úvod Výhody zavedení ILM Výhody v oblasti bezpečnosti > Ţádné papírování, vše elektronicky Jaké oprávnění mají ve skutečnosti uţivatele? Sníţení počtu pouţívaných oprávnění Přehled nad nepouţívanými oprávnění,duplicitními oprávněními Přehled nad nepouţívanými uţivatelskými účty, účty bez vlastníka... > Zvýšení bezpečnosti, sníţení náklady při auditu Nečekejte na auditory, sami předcházejte rizikům Rychlá a jednoduchá příprava reportů Analýza dopadů při hromadných změnách oprávnění > Business uţivatele sami rozhodují o svých přístupech Uţivatelská samoobsluha, jednotný schvalovací proces Sjednocení politiky pro vytváření uţivatelského jména, sjednocení politiky hesel Certifikace přístupů rychle a efektivně
Řešení: CA Identity Lifecycle Management
Identity Lifecycle Management Zvýšení flexibility, bezpečnosti a shody (compliance) zavedením automatizace procesů správy uţivatelské identity prostřednictvím: CA IdentityMinder (CA Identity Manager) CA GovernanceMinder(CA Role & Compliance Manager) Role Management Správa modelu oprávnění (rolí), definice vlastníků, schvalovatelů rolí, schvalování a certifikace modelu Identity Compliance Vytvoření centrálního úloţiště identit Audit, definice a kontrola nastavených politik, certifikace a remediace oprávnění Reporty a dashboard User Provisioning Automatizace HR procesů (nástup/odchod zaměstnance) Vytváření/modifikace účtu, nastavení příslušného oprávnění přímo v systému Okamţité zrušení přístupu při odchodu zamestnance, sníţení bezpečnostních rizik Service Request Management Zavedení jednotného procesu pro ţádosti o přístupová, včetně schvalovacího procesu aţ po samotné vytvoření na systému Uţivatelská samoobsluha Správa hesel
Identity Compliance klíčové vlastnosti Certifikace oprávnění Kontrola uţivatelských oprávnění, rolí a aplikací Remediace Vynucení stavu, v případě integrace s IdM řešením Dodorţování shody Kontrola dodrţování nastavených výjimek (SOD) a ostatních pravidel Identity Compliance Integrace Pŕíma integrace se systémy v organizaci Reporty Kontrola dodrţování shody napříč systémy
Provisioning klíčové vlastnosti Nástup/Odchod zaměstnance Včasné vytváření a deaktivace přístupů Procesy Zajištění jednotného schvalovacího procesu Centralizovaná správa Autoritativní zdroje dat pro všechny aplikace Provisioning Integrace Webové aplikace, Mainfraime... Audit a Reporty Audit aktivit spojených se správou oprávnění Bezpečnostní pravidla Striktní dodrţování bezpečnostnách pravidel
Service Request Management klíčové vlastnosti Změna hesla Sníţení náporu na helpdesk, zvýšení spokojenosti uţivatelů Uţivatelská samoobsluha Automatizace schvalovacího procesu Service Request Management Správa vlastních přístupů Webové rozhraní pro správu vlastních prístupů Proaktivní kontrola pravidel Striktní dodrţování nastavených pravidel (např. SoD) Katalog rolí Katalog business oprávnění místo katalogu elementárních oprávnění Integrace provisioningu Automatická propagace oprávnění
Role Management klíčové vlastnosti Audit/Analýza dat systému Rychlé a posouzení a reporting výjimek Automatizovaný návrh rolí Metodiky pro definici RBAC modelu (top-down, bottom-up) Adaptace RBAC modelu Kontrola, certifikace, reporting, moţmnosti ntegrace s IdM systémy Role Management Čistění dat a narovnání do poţadovaného stavu Identifikace uţivatelů vybočujících s nastavených pravidel Reporty Optimalizace RBAC modelu Rychlá a jednoduchá identifikace změn a výjimek
Produkty pokrývající oblast Identity Lifecycle Managementu > CA GovernanceMinder (CA Role & Compliance Manager) Jaké oprávnění jsou přidělené Pripojení k Identity Manageru + cílové aplikaci, neprovádí změny v cílových systémech > CA IdentityMinder (CA Identity Manager) Jak bylo přístupové oprávnění přiděleno Pripojení k cílovému systému, automatická propagace změn přímo do systému JAK CA Identity Minder RACF UNIX SAP HR CA Governance Minder CO
Shrnutí Výhody zavedení ILM řešení > Zefektivnění procesů pro dosaţení shody (compliance) Automatizace certifikačního procesu uţ ţádné papírování Reporting účtů > Sníţení administrativních nákladů Samoobsluha pro změnu hesla Zakládání nových uţivatelských účtů Synchronizace dat > Sniţování bezpečnostních opatření Prokazatelnost schvalovacího procesu Proaktivní kontrola dodrţování bezpečnostních pravidel (SOD) Rychlý přehled kdo a kam má přístup > Zvýšení spokojenosti koncových uţivatelů Uţivatele okamţitě vyuţívají přidělené přístupy Samostatné řešení problému uţivateli Rychlé, přehledné vyřizování přístupů
CA Produkty CA IdentityMinder
CA IdentityMinder Základní charakteristika > Smart Provisioning Zefektivnění procesu přidělování přístupových oprávnění Řízení přístupových oprávnění prostřednictvím rolí, mechanizmy pro kontrolu dodrţování nastavených pravidel. > Uţivatelská samoobsluha Prostřednictvím uţivatelské samoobsluhy mohou uţivatele ţádat o změnu svých přístupových oprávnění, změnu hesla > Administrace účtů Centralizace dat, kontrola dodrţování nastavených pravidel napříč organizací Přenesení rozhodování na vlastníky aplikací > Rychlá integrace Sada OOB konektorů pro rychlou integraci Web service rozhraní s podporou veškerých operací pro správu identit > Rekoncilace systému CA GovernanceM inder
Jak to funguje CA GovernanceMind er 1 2 3 4 Žádost o změnu oprávnění/hesla je iniciován automaticky, na základě změny v personálním systému nebo prostřednictvím uţivatelské samoobsluhy buďto přímo uţivatelem nebo delegovaným administrátorem. V CA IdentityMinder-u je iniciován schvalovací proces, kde v rámci toho jsou vyhodnoceny změny propagující se do daného systému. Poţadované změny jsou zapsané do cílového systému Veškeré operace jsou auditované a kontrolované auditory.
Architektura produktu CA IdentityMinder System Interaction Layer Web UI Web Services Business Services Layer Provisioning Server Connector Framework Utilities NOS email ERP Other > System interaction layer Uţivatelské rozhraní, web services, Programátorské rozhraní, utility > Business services layer Business role, admin role, pravidla, workflow, audit, ţivotní cyklus poţadavků, emailová notifikace > Provisioning server Virtualizace, synchronizace, vynucení změn do systému, > Connector framework and connectors Správa jiţ konkrétních objektů v systému, vyhledávání, správa hesel
CA Produkty CA GovernanceMinder
CA GovernanceMinder Základní charakteristika > Kontrola bezpečnostních pravidel Identifikace výjimek a nekonzistentností nad jednotlivými uţivateli > Správa a modelování pravidel Definice business pravidel (např. SOD), kontrola konzistence a dodrţování těchto pravidel Modelování změn, vyhodnocování dopadů změn > Správa a modelování rolí Správa RBAC modelu, náhled nad plánovanými změnami, optimalizace RBAC modelu Modelování, revize a schvalování změn v RBAC modelu. > Certifikace oprávnění, reporty Transparentnější certifikační proces Předdefinovaná sada reportů > Integrace s CA IdentityMinder Během automatizovaných procesů s uţivatelskými účty vyuţívá CA IdentityMinder pravidel v RCM
Architektura produktu Identity Warehouse CA GovernanceMinder
Jak na to
Definice projektu Nastavení oprávnění a modelování rolí Analýza dat Sběr dat Analýza dat Audit oprávnění a čistění dat Modelování rolí Self-Service Request Compliance Management Identity Management Identity Lifecycle Management Self-Service Requests Compliance Management Identity Management Privilege & Role Quality Management
Analýza dat Klíčové oblasti analýzy dat 1. Příprava dat z klíčových systémů v potřebném formátu 2. Kontrola kvality dat, pokrytí oprávnění, korelace uţivatelů účet <>HR identita Přístupová oprávnění CA GovernanceMinder Personální systém 3. Kontrola dodrţování bezpečnostích pravidel a doporučení IT Security Čistění dat Analýza nastavených pravidel Modelování rolí Analýza 4. Čistění dat v systému 5. Příprava doporučení pro návrh RBAC modelu (Business/IT role) 6. Definice business case
Sběr dat Vytvoření skladu identit > Jaké data potřebujeme? Uţivatelské účty, HR Data, korelační pravidlo Skupiny, role, elementární oprávnění Definujte vazby mezi oprávněními Defuinujte nadřazené objekty > Kde je vezmeme? Personální systém CA IdentityMinder Přímé napojení daného systému na RCM
Příprava systému, čistění oprávnění > Korelační pravidlo Vazba přes userid, osobní číslo nebo emailovou adresu > Definice pravidel a výjimek Systémová omezení Organizační omezení Bezpečnostní omezení > Čistění dat: Účty bez vlastníka Nepouţívané skupiny Přebytečná nebo duplicitní oprávnění Duplicitní uţivatele Nesoulad v personálnách datech
Definujte pravidla, stanovte způsob kontroly > Koho zapojit při definování pravidel? Business vlastníky systémů Správci systémů Auditoři > Typy pravidel Definice neslučitelnost oprávnění, neslučitelnost funkcí Korporátní restrikce, např mezi HR atributy a oprávněním > Na co se zaměřit Zahrnout systémy řízené prostřednictvým IdM Zahrnout i oprávnění které nejsou řízené prostřednictvým IdM > Stanovení Risk score Kontrola nastavených pravidel, reporting kde jsou tyto pravidla porušena.
Certifikace, Procesy pro správu rolí > Certifikace přístupových oprávnění Certifikace oprávnění nadřízeným, vlastníkem oprávnění nebo vlastníkem systému Kontrola nastavených pravidel, schválení výjimek Certifikujte všechny připojené systémy/všechny typy oprávnění Automatická emailová notifikace > Procesy pro správu oprávnění Zaveďte procesy pro definici nové role / nového oprávnění Zaveďte procesy pro modifikaci stávající role > Kontrola a schvalování Uţivatelská samoobsluha Definujte pravidla pro změny v RBAC modelu
Modelování rolí Business a IT Role > Cíle Pokrytí cca 80% oprávnění prostřednictvím Business rolí > Modelování rolí Top-down / Bottom-up Prostřednictvím RCM mechanizmů (rule discovery) > Výsledek Zajištění pokrytí všech typů oprávnění prostřednictvým IT a Business rolí.
Self-Service Request Processes > Poţadavky na změnu oprávnění Uţivatelské poţadavky Ţádosti o přidání / změnu přístupových oprávnění Propagace nastavení do cílového systému > Poţadavky na změnu hesel Uţivatelské poţadavky Funkce zapomenutého hesla / userid Změna hesla > Politika hesel Nastavení pravidel a omezení Expirace hesla, minimální/maximální počet znaků. > Synchronizace hesel Jednosměrná / obousměrná synchronizace hesel
Proč právě řešení od CA?
Proč právě řešení od CA? > Preference velkými zákazníky: CA ILM vyuţívá více neţ 600 společností Efektivní správa prostředí (od stovek do milionu uţivatelů) > Přináší přehlednost do procesů správy, čímţ umoţňuje: Transformace elementárních oprávnění na Business role Moţnost řízení přístupových oprávnění na základě pracovní pozice Jednoduché a efektivní zavedení bezpečnostních pravidel Jednotné procesy správy uţivatelských účtů > Vedoucí pozice v oblasti ILM : Gartner MQ Leader s Quadrant for User Provisioning, 2011 Burton Group Short List for Provisioning, 2012 Forrester Wave Leader for IAM & User Provisioning, 2011 SC Magazine s Award for Best Identity Management Solution, 2011 Gartner MQ Leader's Quadrant for Identity and Access Governance, 2011
Identity Lifecycle Management > Sníţení nákladů Automatizace HR procesů (nástup/odchod zaměstnance) Sníţení nákladů spojených se změnou hesla, odblokování uţivatelů apod. > Zvýšení Business efektivity Vazba rolí na na pracovní pozice zaměstnance Transparentnost procesů Vyšší spokojenost uţivatelů > Sníţení bezpečnostních rizik Uţivatele mají pouze oprávnění potřebná k výkonu své pracovní pozice Striktní dodrţování nastavených pravidel, audit, okamţitá náprava stavu při nedodrţení těchto pravidel
Shrnutí Technologie Komplexní řešení Škálovatelnost řešení Výsledky Krok č.1: Analýza!
Děkuji za pozornost