Identity a Access Manager řešení jednotné správy uživatelů a uživatelských oprávnění pro heterogenní prostředí

Podobné dokumenty
Využití identity managementu v prostředí veřejné správy

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ. a SINGLE SIGN-ON. DPDC Identity. pro Vaši bezpečnost

Identity a Access Management

SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE. Roman Pudil, SOITRON

Korporátní identita - nejcennější aktivum

Novell Identity Management. Jaromír Látal Datron, a.s.

1. Integrační koncept

2012 (červen) Microsoft Sharepoint Portal Server. Microsoft Live Communications Server 2003 Řešení pro online komunikaci. Microsoft Exchange

Nasazení jednotné správy identit a řízení přístupu na Masarykově univerzitě s využitím systému Perun. Slávek Licehammer

Identity Management centralizovaná správa uživatelů

Jak efektivně ochránit Informix?

Identity Manager 4. Poskytujte okamžitý přístup ke zdrojům v rámci celého podniku

MĚSTSKÝ ROK INFORMATIKY KLADNO

Místo plastu lidská dlaň

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Bezpečná autentizace přístupu do firemní sítě

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

Workshop SAP GRC AC Představení SAP GRC Access Control Josef Piňos, CONSIT s.r.o.

Zabezpečení platformy SOA. Michal Opatřil Corinex Group

Správa stanic a uživatelského desktopu

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

PORTÁL STÁTNÍ ROSTLINOLÉKAŘSKÉ SPRÁVY VE SLUŽBÁCH

Workshop SAP GRC AC Představení SAP GRC Access Control Josef Piňos, CONSIT s.r.o.

Řešení Quest pro správu Windows Martin Malý, ředitel divize Solutio

Jednotná správa identit, oprávnění, certifikátů a přístupů v heterogenním prostředí organizace Nemocnice Pardubického kraje a.s.

Tabulka Nabídková cena za předmět plnění *uchazeč vyplní cenu za celý kurz nebo cenu za 1 účastníka dle zadávací dokumentace a nabídky uchazeče

Praktické zkušenosti s nasazením. na KÚ Vysočina v oblasti ehealth. Libor Neumann, ANECT a.s. Petr Pavlinec, KÚ Vysočina. Pojednání o PEIGu 1

Extrémně silné zabezpečení mobilního přístupu do sítě.

Identity a Access Management pro veřejný ejný sektor Nejlepší administraci

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.

Petr Vlk KPCS CZ. WUG Days října 2016

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Ing. Tomáš Řemelka. KAAS/JIP. Informace pro vývojáře agendových informačních systémů

Microsoft Windows Server System

AleFIT MAB Keeper & Office Locator

Komunikace mezi doménami s různou bezpečnostní klasifikací

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Úvod. Klíčové vlastnosti. Jednoduchá obsluha

GINIS na KrÚ Středočeského kraje

Agenda A121 - Zivnostensky rejstrik

Z internetu do nemocnice bezpečně a snadno

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Úvod 17 ČÁST 1. Kapitola 1: Principy návrhu doménové struktury služby Active Directory 21

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Vnitřní integrace úřadu Středočeského kraje

Jakým otázkám dnes čelí CIO? Otakar Školoud Chief Information Officer, ALTRON GROUP

ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE

Microsoft Day Dačice - Rok informatiky

Sísyfos Systém evidence činností

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Bezpečnost sítí

Zajištění komplexních sluţeb pro provoz systémové infrastruktury OSMS ZADÁVACÍ DOKUMENTACE

Systémy jednotného přihlášení Single Sign On (SSO)

PRODEJ Prodej je pochopitelně základní funkcí pokladního systému. Systému MERCATOR umožňuje prodej realizovat ve 3 režimech:

<Insert Picture Here> Oracle Identity Management a jeho použití v praxi. Aleš Novák, Oracle

Správa dokumentů rady a zastupitelstva. Ladislav Kraus ladislav.kraus@karvina.cz

Nástroje IT manažera

Katalog služeb a procesů města Sokolov A. Popis současné praxe práce s procesy B. Vytvoření a implementace Katalogu služeb a procesů města Sokolov

DOCUMENT MANAGEMENT TOOLKIT

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

Trask solutions Jan Koudela Životopis

APS 400 nadministrator

Centrální přístupový bod k informačním zdrojům resortu Ministerstva zemědělství Portál MZe a Portál eagri

SOA a Cloud Computing

Řízení správy rolí v rozsáhlých organizacích. Michal Opatřil Corinex Group

Koncept centrálního monitoringu a IP správy sítě

ZPŘÍSTUPNĚNÍ RESORTNÍCH REGISTRŮ VEŘEJNOSTI. Webový Portál farmáře byl vytvořen pro Ministerstvo zemědělství České republiky (MZe).

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí:

epasy - cestovní doklady nově s otisky prstů Projekt CDBP

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

Nasazení EIS JASU CS na Českém úřadu zeměměřickém a katastrálním vč. podřízených organizací

Instalace Active Directory

Extrémně silné zabezpečení mobilního přístupu do sítě

Autor. Potřeba aplikací sdílet a udržovat informace o službách, uživatelích nebo jiných objektech

Služba vzdáleného pečetění I.CA RemoteSeal. Ing. Roman Kučera První certifikační autorita, a.s

O2 ENTERPRISE SECURITY. Vít Jergl, Vladimír Kajš

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 4

Řízení uživatelských identit a oprávnění

Nástroje IT manažera

M e m b e r o f N E W P S G r o u p

Správa přístupu PS3-1

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

Snadný a efektivní přístup k informacím

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Windows Server 2003 Active Directory

Organizační opatření, řízení přístupu k informacím

Digitální identita Moderní přístup k identifikaci klienta. Pavel Šiška, Štěpán Húsek, Deloitte Digital - Technology Services

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Důvěryhodná výpočetní základna -DVZ

IT Bezpečnostní technologie pro systémy integrované bezpečnosti

Technická specifikace předmětu plnění:

NÁCHOD JIHOČESKÝ KRAJ ING. PETR VOBEJDA

Využití inteligentních formulářů na MMK

OPATŘENÍ ŘEDITELE ODBORU FINANČNÍHO č.j.: /2012-OF. Provozní řád informačního sytému SAP. (platnost od )

Petr Vlk KPCS CZ. WUG Days října 2016

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

Alcatel-Lucent VitalQIP DNS/DHCP & IP Management Software

Koncept řešení EOS EVIDENCE ORGANIZAČNÍ STRUKTURY

Transkript:

Identity a Access Manager řešení jednotné správy uživatelů a uživatelských oprávnění pro heterogenní prostředí Marta Vohnoutová Siemens IT Solutions and Services, s.r.o. Evropská 33a, 160 00 Praha 6 marta.vohnoutova@siemens.com Abstrakt Každá platforma, databáze, skupina aplikací apod. má svou vlastní správu, vlastní seznam uživatelů a uživatelských oprávnění, vlastní bezpečnostní politiku atd.. Správa je náročná, ovládání aplikací a přístup k datům klade nároky jak na správce systémů, tak na vlastníky dat i běžné uživatele. Ani pro celkovou bezpečnostní politiku organizace není tento stav vhodný. Proto se implementuje Identity a Access Management. Příspěvek pojenává o implementaci Identity a Access Managementu v rozsáhlém heterogenním prostředí intranetu státní správy. Abstract Every platform, database, group of applications etc.has its own administration, own list of users and user access rights, own security policy etc. The result of it is that the administration is demanding, management of applications and data access is difficult and demanding both for administrators, data owners and even for common users. This situation is not suitable even for the security policy of such organization. That is why the Identity and Access Management is implemented. This ammendment describes the implementation of the Identity and Access Management in heterogenous environment of an intranet of n important state institution. Klíčová slova Identita, Autentizace, Autorizace, Audit, Workflow, Řízení identity (Identity Management IM), Řízení přístupových práv (Access Management - AM), Adresářové služby DAP (ightweight Directory Access Protocol), AD (Active Directory), Role a pravidla, SSO (SingleSignOn), Autentizační API, AAA přístupový portál Keywords Identity Authentication, Authorization, Audit, Workflow, Identity Management IM, Access Management - AM, ightweight Directory Access Protocol, AD (Active Directory), Roles and Rulesa, SSO (SingleSignOn), Authentization API, AAA access portal 1 Problémy s údržbou heterogenního prostředí Ve většině větších firem a organizací existuje heterogenní prostředí. Používají zde různé aplikace na různých operačních systémech, různých databázích, centralizované, decentralizované i lokální, s přístupy přes terminál, klient-, webové rozhraní. Každá platforma, případně i skupina operačních systémů apod., databáze, skupina aplikací má svou vlastní správu, vlastní seznam uživatelů a uživatelských oprávnění, vlastní bezpečnostní politiku atd. SYSTEMS INTEGRATION 2007 301

MARTA VOHNOUTOVÁ Správa je náročná, ovládání aplikací a přístup k datům klade nároky jak na správce systémů, tak také na vlastníky dat i běžné uživatele. Ani pro celkovou bezpečnostní politiku organizace není tento stav vhodný. Podívejme se, jak vypadá například putování nového zaměstnance po organizaci. Obrázek 1: Povinné kolečko nového zaměstnance po organizaci Odborně můžeme říci, že takové nedůstojné kolečko musí nový zaměstnanec absolvovat po organizaci, která nemá implementovánu správu identit tzv. Identity manager. 2 Identity Manager Jestliže organizace implementuje Identity Manager pak stačí, aby zaměstnanec navštívil pouze personální oddělení. To mu vydá zaměstnaneckou průkazku a čipovou kartu s instalovanými certifikáty, umožňující mu pohyb po budově i kontrolovaný přístup k aplikacím a datům. Zakládání účtů a distribuci dat po jednotlivých systémech se děje automaticky a to je právě úkol Identity Managera. Podívejme se na následující obrázek: 302 SYSTEMS INTEGRATION 2007

IDENTITY A ACCESS MANAGER - ŘEŠENÍ JEDNOTNÉ SPRÁVY UŽIVATEŮ A UŽIVATESKÝCH OPRÁVNĚNÍ Obrázek 2: Po implementaci Identity Manageru stačí, aby nový zaměstnanec zašel pouze na personální oddělení. Nastoupí nový zaměstnanec, jeho cesta vede na personální oddělení (1), kde ho zaregistrují do svého HR systému. Tím se především rozumí, že pracovníkovi je přiděleno originální zaměstnanecké číslo a je zařazen do organizační struktury. Celý další proces je automatizován. Aktivace (provisioning) zjistí nový záznam (2) v HR systému a předá ho do Identity Manageru k nastavení účtů zaměstnance a uživatelských atributů (3). Identity Manager poté inicializuje tzv. workflow se žádostí o schválení pro odpovědné osoby (4) a po schválení (5) aktivuje účty uživatele v operačních systémech, databázích, aplikacích, el.poště apod. (6). Celý proces je auditován (7). 2.1 Co je Identity Management Identity Management je strategie zahrnující různé postupy, procesy a informace sloužící k identifikaci identity během jejího životního cyklu. Touto identitou je jedinec, jeho identita je specifikována množinou příslušných atributů (oprávnění). K vyřešení Identity Managementu slouží nástroj tzv. Identity Manager. Identity Management produktů (dále IM) je na trhu celá řada a jejich kvalita je různá. Hlavními komponentami Identity Managera obvykle jsou: Adresářové služby Správa elektronických identit Registrace Aktivace (provisioning) Schvalovací workflow Delegování pravomocí Self-service vybraných činností uživatel si např. smí sám změnit heslo apod. Synchronizace údajů SYSTEMS INTEGRATION 2007 303

MARTA VOHNOUTOVÁ Identity Management centralizuje všechny potřebné údaje o uživatelích (neboli identitách) do jednoho místa. Pomocí Identity Managera lze uživatelské účty snadno vytvořit a/nebo zrušit, čímž přestanou v systémech existovat tzv. mrtvé duše, které tam zůstaly po dřívějších zaměstnancích nebo po různém testování apod. 2.2 Co je workflow? Kvalitní Identity Manager obsahuje propracovaný systém tzv. workflow, který je srdcem systému. Česky bychom jej nazvali nejspíše schvalovací proces. Obrázek.3: Příklad workflow Nastavení workflow není jednoduché, ale jeho správná funkce má za následek, že povolování rolí a přístupových oprávnění provádějí opravdu ti, kdo mají, tedy nadřízení, správci dat apod. a nikoliv ti, kdo rozumí IT technologiím, jak tomu bylo doposud. Workflow oprávněným osobám totiž data ke schválení přihraje takovým způsobem a v takovém tvaru, že IT technologiím opravdu rozumět nepotřebují. Workflow může také poskytovat data pro informaci, vyjadřovat se k nim apod. 2.3 Integrace aplikací do Identity Manageru Aby mohl Identity Manager s jednotlivými aplikacemi, databázemi a operačními systémy komunikovat, musí být do Identity Manageru nejprve integrovány. Je rozdíl, jestli je integrovaná aplikace celosvětově rozšířená nebo proprietální. Aplikace celosvětově rozšířené nebo založené na standardech Tyto aplikace jsou integrovány pomocí předefinovaných konektorů (adaptérů), které jsou součástí dodávky Identity Manageru. Příkladem aplikací a systémů, ke kterým jsou dodávány již hotové konektory, jsou: Operační systémy např. RedHat inux, Solaris apod. Databáze např. Oracle, MS SQ apod. Webové y např. WebSphere, MS IIS, apod. Rozšířené aplikace např. SAP 304 SYSTEMS INTEGRATION 2007

IDENTITY A ACCESS MANAGER - ŘEŠENÍ JEDNOTNÉ SPRÁVY UŽIVATEŮ A UŽIVATESKÝCH OPRÁVNĚNÍ Aplikace proprietální Proprietální aplikace jsou integrovány pomocí konektorů, které je potřeba nejprve naprogramovat detailně popsané API je také součástí dodávky Identity Manageru. Příkladem může být např. již zmiňovaný HR systém apod. Centralizované údaje o uživatelích a jednotnou správu uživatelských účtů tedy máme. Zákonitě nás však napadne, že by bylo vhodné stejným způsobem spravovat i přístupová práva k jednotlivým aplikacím. K tomu slouží další produkt Access Manager. 3 Access Manager Proces přidělování a správy uživatelských oprávnění je nyní ve většině organizací decentralizován. Je tedy velmi obtížné zjistit, jaká přístupová oprávnění má který uživatel nastavena. Příklad takového stavu je na následujícím obrázku: Obrázek 4: Správa přístupových oprávnění před implementací Access Manageru Některé aplikace využívají jako zdroj informací o uživatelských oprávněních Active Directory, jiné databáze, různé tabulky či textové soubory. Po implementaci Access Manageru budeme mít buď pouze jeden zdroj informací o uživatelských oprávněních nebo pokud to nebude proveditelné, vytvoříme navzájem provázanou hierarchii. Obrázek 5: Správa přístupových oprávnění po implementaci Access Manageru SYSTEMS INTEGRATION 2007 305

MARTA VOHNOUTOVÁ 3.1 Způsob předávání autorizačních dat aplikacím Způsob předávání autorizačních oprávnění autentizovaného uživatele aplikaci musí být vždy podroben analýze. Autorizační oprávnění mohou být pak předávány např. ve formě elektronicky podepsané datové struktury, která bude obsahovat seznam oprávnění a rolí uživatele ve vztahu k dané aplikaci. Většina Access Managerů má také dobře propracované webové prostředí, hodí se proto nejen pro intranety, ale také pro propojení extranetů nebo klientů připojujících se přes Internet. Pokud uvažujete o nasazení např. portálu státní správy, obchodního portálu, portálu pro komunikaci s veřejností nebo obchodními partnery, implementace Access Manageru vám vyřeší většinu problémů s bezpečnou autentizací a autorizací přistupujících klientů. 4 SingleSignOn Aby byl celý systém úplný, nesmíme zapomínat sjednotit ani autentizaci uživatele. Vhodné je zavést jednotný způsob autentizace tzv.singlesignon. Access Managery obecně podporují větší množství různých typů autnetizace. Pokud implementujeme Access Management v prostředí intranetu, je možné (i vhodné) zvolit jednotný způsob založený např. na jednotné autentizaci uživatelů do prostředí Windows, nejlépe certifikátem uloženým na čipové kartě. Aplikace pak musíme naučit tuto autentizaci využívat. Pokud implementujeme Access Manager pro přístup z Internetu či extranetů budeme pravděpodobně využívat širší nabídku autentizačních mechanismů. Na obrázku je znázorněn Access Manager a příklad autentizačích mechanismů: levá strana je strana přistupujících klientů (např Internet) pravá strana představuje aplikační y Pravá i levá strana podporuje jiné autentizační mechanismy, jedna z úloh Access Manageru je pak převádět jeden způsob autentizace na druhý. 306 SYSTEMS INTEGRATION 2007

IDENTITY A ACCESS MANAGER - ŘEŠENÍ JEDNOTNÉ SPRÁVY UŽIVATEŮ A UŽIVATESKÝCH OPRÁVNĚNÍ 5 Příklad implementace síťové řešení okalita 1 okalita 2 Active Directory - uživatelé Management zóna Management zóna WE proxy WE proxy Záložní TIM/TAM MASTER IM/AM MASTER IM FW WEproxy WEproxy WEproxy WEproxy FW IM záloha AM záloha AM Databáze Databáze Na obrázku je uveden zjednodušený příklad síťového řešení. Jedná se o řešení na intranetu, protože se jedná o mission critical řešení, jsou jednotlivé prvky znásobeny a řešení je rozloženo do více lokalit. 6 Náročnost implementace Zisk organizace ze správné implementace Identity a Access Manageru bude jistě nemalá. Také auditní kontrola to určitě uvítá. Na druhé straně je však nutné si uvědomit, že implementace je náročná a velmi záleží na kvalitě provedených analýz a na následné disciplíně organizace. Implementace Identity a Access Manageru přinese totiž do fungování organizace nemalé změny, které bude třeba dodržovat. Uvádí se, že asi 80% celkové práce na těchto projektech jsou právě analytické práce. Těsná spolupráce pracovníků organizace a především jejího managementu je nutností. 7 Kdy uvažovat o implementaci? Identity a Access Manager jsou produkty poměrně drahé a jejich implementace je pracná. Jsou proto vhodné pro větší organizace s heterogenním prostředím vyžadujícím značnou energii na správu. Také organizace spravující důležitá a citlivá data, kde je potřeba mít přístup k těmto datům pod neustálou přísnou kontrolou, jsou vhodnými kandidáty pro implementaci Identity a Access Manageru. Vypracování celkové bezpečnostní politiky organizace tyto produkty velmi usnadní. 8 iteratura IM Redooks Oracle a Microsoft web page SYSTEMS INTEGRATION 2007 307

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář