Vnitřní integrace úřadu - Správa identit a bezpečnosti
Cíle vnitřní integrace -Sjednocení identit - Jeden člověk = jedna identita - Univerzální systém - Propojení se všemi spravovanými aplikacemi - Personalizaci práv uživatelů dle rolí 2
Cíle vnitřní integrace - Schvalovací workflow procesy (žádost uživatelů o přístup do dalšího systému) - Publikace identit vůči centrálnímu adresáři - Publikace všech změn v reálném čase - Auditovatelnost 3
Správa identit a bezpečnosti sjednocení pojmů ů Identita = totožnost, úplná shodnost IT identitou může být cokoliv (zaměstnanec, externista, obchodní partner, zákazník, certifikát, token, místnost, program...) Informace o identitách jsou uložené v Trezoru identit (tzv. Identity Vault ) Provisioning = poskytnutí, propůjčení, zabezpečení Systém správy identit zajišťuje on-line řízené a kontrolované - poskytování informací o identitě ostatním systémům v jimi požadované formě - provedení požadovaných operací které se dotýkají identity 4
Správa identit a bezpečnosti sjednocení pojmů ů Single Sign-On = jediné navázání, jediné označení, jediný podpis p Uživatelé mohou přistupovat k tisícům aplikací, webových stránek a terminálových emulátorů prostřednictvím jednoho přihlášovacího jména a hesla Self Management = samospráva, samoobsluha Operace, které snadno zvládne běžný uživatel není nutné řešit s asistencí helpdesku (např. reset hesla) 5
O čem správa identit a bezpečnosti je Zaměstnanci, externisti, partneři, zákazníci, certifikáty, tokeny VZNIK Uživatelé SPRÁVA Atributy Profily a práva, audit Přístupy, historie hit i ZÁNIK Hesla Skupiny a role PODPORA Správa hesel a přístupů Řízení procesů - workflow 6
Architektura řešení
Centrální úložiště identit trezor Trezor identit řeší problémy s izolovanými identitami centrální úložiště místo pro centralizovanou správu identit celá řada aplikací sdílí o identitě tytéž údaje autentizace a autorizace je funkčně sjednocena poskytuje základ pro centralizované řízení přístupu umožňuje perzonalizaci založenou na rolích a jejich prostřednictvím přidělovaných právech 8
Metaadresářové služby metadirectory (metaadresáře) tuto techniku používáme k agregaci dat souvisejících s identitou do centrálního úložiště dovoluje na základě dat příslušejícím jednotlivým subsystémům založit jedinou, bohatou identitu pro každého uživatele, při zachování původních dat umožňuje dále distribuované vlastnictví částí takto vzniklé identity...po založení jednotné, centralizované identity může tato být sdílena mnoha systémy y 9
Trezor identit LDAP adresář Atributy objektu Role Autorizovaný důvěryhodný zdroj Role Aplikace a přístupy Role Role Role Personální informační systém Asociace Uplatněné role podle definovaných politik Propojení identity s objektem či jinou reprezentací uživatele v cílové provozní aplikaci, evidence LOGIN_NAME 10
Správa identit a bezpečnosti umožňuje Jednoduché a rychlé poskytování a správu uživatelských účtů ů (automatické) zajistí všem uživatelům přístup k aplikacím a službám v síti, které potřebují ke své práci Samoobsluhu v oblasti správy hesel např. změna hesla Snadný návrh politik a pravidel možnost kompletního náhledu a odzkoušení systému řízení identit před jeho implementací do sítě Sjednocení identit Jakákoliv změna v identitě je automaticky propagována do všech souvisejících systémů 11
Zpraxe
IDM pohled administrátora Plně vybavená webová administrační konzola. Monitorovací, tiskové a auditovací funkce Integrována do společného administračního portálu imanager (jednotná platforma CIM) Odděleno od nástrojů pro architekty /konzultanty 13
IDM atraktivní a flexibilní uživatelské prostředí Webová aplikace zdědila funkce z Novell SOA technologie. Robustní vybavení; přátelské pro správce Předefinované vzhledy; plně přizpůsobitelné. Respektuje standardy pro interoperabilitu 14
IDM z pohledu manažera - Integrovaný schvalovací proces 15 Uživatelská aplikace ukazuje schvalovací úkoly v jediném okně. Zahrnuje plně vybavené workflow, zahrnující: Definice rolí, skupinových nebo individuálních přiřazení Možnost delegace pravomoci a role důvěrníka Nastavení expirace a eskalačních politik Samoobsluha při zakládání účtů, žádostí o přístupy Netřeba znát programování (Java, script, XML, atd.)
IDM 2x z pohledu uživatele Aplikace pro práci s identitami - vyhledávač Pokročilá webová aplikace používá sjednocená data. Přehledné org. schéma a seznamy Samoobsluha správy hesel Delegovaná administrace až na úroveň vedoucích jednotlivých pracovních týmů. 16
IDM pohled na výpis z vyhledávače osob Pokročilá webová aplikace používá sjednocená data. Přehledné org. schéma a seznamy Samoobsluha správy hesel Delegovaná administrace až na úroveň vedoucích jednotlivých pracovních týmů. 17
IDM z pohledu administrátora, a, Designer e Snadný návrh politik a pravidel - možnost kompletního náhledu a odzkoušení systému řízení identit před jeho implementací do sítě 18
Sentinel nástroj pro Compliance monitoring 19
Licencování
Licencování Novell Identity Manager Licence na uživatele Maintenance je povinná první rok Core engine - obsahuje základní konektory edirectory, Nt domain, AD, GroupWise, Exchange, Lotus Notes Volitelné konektory - Database (JDBC), Tools (text), ERP (SAP...), Linux-UNIX, Midrange, Mainframe, PBX, Provisioning Module (wokflow) 21
Konkurenční výhody řešení Novell Specifické, na míru upravené pracovní prostředí pro všechny typy uživatelů: Manažeři a vlastníci zdrojů (aplikací). Schvalovací proces - workflow, delegovaná správa Koncoví uživatelé. Samoobsluha v oblasti požadavků na přístupy, samospráva identity, organizační č nástroje. Správci/auditoři. Monitoring, reporting, správa procesů, nástroje pro řešení problémů, propracovaná webová administrační konzola. Systémoví architekti. vizuální design, simulace procesů, nástroje na automatické vytváření projektové dokumentace Prvotřídní, í integrovaná architektura Práce v reálném čase, bezprostřední odezva na události Správná vyváženost mezi automatickými akcemi podle def. pravidel a na člověku závislými i rozhodnutími Flexibilita nasazení, platformově nezávislé řešení Nízké náklady na implementaci i 22
Podpora češtiny Částečná, ale pro většinu případů postačující imanager je lokalizovaný umožňuje tvorbu rozhraní v češtině Designér lokalizovaný není 23
Co má splňovat systém vnitřní integrace!!! - Sjednocení identit jeden člověk/jedna identita - Systém který bude univerzální platformou pro personalizaci práv uživatelů založený na jejich j rolích - Publikace identit vůči centrálnímu adresáři - Změna identit v reálném čase 24
Co má splňovat systém vnitřní integrace!!! - Propojení se všemi spravovanými aplikacemi - Automatizovat schvalovací workflow procesy (žádost uživatelů o přístup do dalšího systému) - Možnost auditu 25
Děkuji za pozornost. RNovak@novell.com 26
Unpublished Work of Novell, Inc. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator p to criminal and civil liability. General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. Novell, Inc. makes no representations ti or warranties with respect to the contents t of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for Novell products remains at the sole discretion of Novell. Further, Novell, Inc. reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.