Durchgängiges Identity Management

Transkript

1 Durchgängiges Identity Management << >> Ute Kotzte Christian Patrascu Sales Consultant TSBU Middleware

2 Vorbetrachtung Datenbezogene Sicherheit Datenverschlüsselung bei der Speicherung Anwendungsunabhängige Mandantenfähigkeit Anwenderzentrierte Sicherheit Benutzerverwaltung Zugriffverwaltung Prozeßbezogene Sicherheit Sicherung der Anwendung zu Anwendung bzw. Anwender zu Anwendung Kommunikation Verschlüsselung von Kommunikationswegen Zertifikatsprüfungen

3 Geschäftsprozesse sind nicht identitätslos Systemwechsel verursacht Beispiel: Antrag auf Gewerbeanmeldung Kunden-/ Bürger- Portal Formular Server Kassensystem Genehmigung durch Sachbearbeiter Bescheid Zustellung Vertrag/ Urkunde Wer darf was im Geschäftsprozess und wer regelt den Zugriff? ZIEL: Vollständige und Übergreifende IT Sicherheit

4 Diagnose 1/2: Gesicherte Status- und Inhalts- Weitergabe über Systemgrenzen erforderlich Verschlüsselung Identität, Status, Dokumente etc. Zugriffsprotokoll

5 Identity Management Lösungsinseln Federation Provisioning Identity Management Web Services Manager PKI Single Sign On Access Management Directory Services Virtual Directory

6 Agenda heute Federation Provisioning Identity Management Web Services Manager PKI Single Sign On Access Management 11:00 Directory Services Virtual Directory

7 Agenda heute Federation Provisioning Identity Management Web Services Manager PKI Single Sign On Access Management Directory Services Virtual Directory

8 Agenda heute Federation Provisioning Identity Management Web Services Manager PKI Single Sign On Access Management Directory Services Virtual Directory

9 Agenda heute Federation Provisioning Identity Management Web Services Manager PKI Single Sign On Access Management Directory Services Virtual Directory

10 Agenda heute Federation Provisioning Identity Management Web Services Manager PKI Single Sign On Access Management Directory Services Virtual Directory

11 Agenda heute Federation Provisioning Identity Management Web Services Manager PKI Single Sign On Access Management Directory Services Virtual Directory

12 Agenda heute Federation Provisioning Identity Management Web Services Manager PKI Single Sign On Access Management 16:00 Directory Services Virtual Directory

13 Agenda heute Federation Provisioning Identity Management Web Services Manager PKI Single Sign On Access Management Directory Services Virtual Directory

14 COREid Überblick COREid Identity Benutzermanagement Gruppenmanagement Organisationsmanagement Self -service Delegierte Administration Workflow & Provisioning Passwortmanagement IdentityXML COREid Access Sicherheitsadministation Authentifizierung Authorisierung Auditing Web Single Sign On Personalisierung

15 COREid Access System COREid Access Security administration Authentication Authorization Auditing Web Single Sign- On Personalization enablement Web Server http Web Gate NAP Ist die URL geschützt? Ist der Benutzer authentifiziert? Ist der Benutzer autorisiert? COREid Access Server LDAP LDAP over SSL

16 COREid Access: Overview Web Server WebGate COREid Access Security administration Authentication Authorization Auditing Web Single Sign- On Personalization enablement Applikationen HTTP(s) Single Sign-On HTTP(s) Web Server WebGate Benutzer (Angestellte, Partner, Kunden, Lieferanten, etc) Secure Protocol over SSL COREid Access Server z.b. Oracle Forms, SAP, Webfrontends LDAP over SSL LDAP Benutzerid s für Authentifizierung und Autorisierung Security Policies für Authentifizierung und Autorisierung Firewall DMZ Firewall

17 Policy Domain s und Policies COREid Access Security administration Authentication Authorization Auditing Web Single Sign- On Personalization enablement Web Inhalt Web Server ( Access Manager Policy Domain: Partners URL prefix: /Partners Docs Cgi-bin Partners HolyOake Ace index.html index.html Authorization Rules: Allow Group1 Allow Group2 Default Rules: Authentication Rule: Basic Authorization Exp: Allow Group Audit Rule: authz_failure Policies: HTTP Get on URL pattern /Ace/ /* Authentication Policy: Cert Authorization Exp : Allow Admin Audit Policy : authz_success Administrators: Guy Admin Policy Domain Info gespeichert im Directory

18 Demo Ace Car Sales Sales Service Support Holyaoke Auto Hilltop Automotive Ken's Mile of Cars Seramonte Dealerships Alice Jung SALES Zandu Yen SERVICE

19 Single Sign-On: Sicherheit COREid Access Security administration Authentication Authorization Auditing Web Single Sign- On Personalization enablement Einmaliges Anmelden des Anwenders Reduzierung auf ein Passwort

20 Single Sign On COREid Access Security administration Authentication Authorization Auditing Web Single Sign- On Personalization enablement COREid SSO SSO SSO Portal Wireless BI Forms Reports OIDdas MSFT SAP IBM / Websphere

21 Heterogenität COREid Access Security administration Authentication Authorization Auditing Web Single Sign- On Personalization enablement Portale WebGate HTTP(s) Web Server Single Sign-on E-Business Applikationen Application Servers COREid Access Server LDAP Mainframe Systeme COREid Mainframe Security Connector for OS/390: RACF, ACF-2, TSS

22 COREid CeBIT Demoarchtiktur Web Server WebGate COREid Access HTTP(s) COREid Identity SAP EP 6.0 Benutzer auf der CeBIT HTTP(s) Web Server WebGate MSAD HeaderVar Test euw cebit2006.oracle COREid Access COREid Identity MSAD WWM Portal localhost

23 COREid Access - Stärken Zentrale Web Single Sign-On Lösung für heterogene Anwendungslandschaften Out-of-the-Box Integrationen für alle wichtigen Infrastrukturanwendungen Umfassende und flexible Erstellung, Durchsetzung und Verwaltung von Zugangsrichtlinien (Policies) über alle Anwendungen SDK, um auch selbstgeschriebene Anwendungen zu schützen 3-tier Architektur für Ausfallsicherheit & Skalierbarkeit

24 Agenda heute Federation Provisioning Identity Management Web Services Manager PKI Single Sign On Access Management Directory Services Virtual Directory

25 COREid Überblick COREid Identity User management Group management Organization management Self -service Delegated Administration Workflow & Provisioning Password Management IdentityXML COREid Access Security administration Authentication Authorization Auditing Web Single Sign On- Personalization enablement

26 Gruppen Management Statische Gruppen Jsmith Bthomas Lwilson Ksingh Fadams Beinhalten andere Gruppen Verschachtelte Gruppen 5. Group subscription Mit Approval Ohne Approval interest groups Dynamische Gruppen falls dept=sales und title=manager Bestehen aus: Statischen G. Dynamischen G. Verschachtelten G. Hybride Gruppen

27 Reporting

28 COREid Identity Komponenten 1 Browseranfrage DMZ 2 Anfrage wird weitergeleitet 3 Identity Server fragt Directory an (LDAP) Identity Server Web Server NIP LDAP End User WebPass Application Logic 6 Ergebnis dem Browser zur Verfügung gestellt 5 Identity Server antwortet dem WebPass 4 Directory anwortet dem Identity Server

29 Password-Management Password Policies Unternehmensweite Passwortregeln Bereich- / Abteilungsweite Passwortregeln Granulare Passwortregeln Lost Password Features

30 Unternehmensweite Passwort-Regeln

31 Demo Demo Ace Car Sales Sales Service Support Holyaoke Auto Hilltop Automotive Ken's Mile of Cars Seramonte Dealerships Alice Jung SALES Zandu Yen SERVICE

32 Kundensituation Benutzerverwaltung Kundensituation Für die verschiedensten heterogenen Anwendungen müssen die entsprechenden Benutzer verwaltet werden Für eine Vielzahl von Web Anwendungen & Portal wird ein Single Sign-On gewünscht Herausforderungen der Kunden Die Anwender müssen für verschiedene Anwendungen verschiedene Benutzernamen und Paßworte kennen Es existieren keine/selten Standardbenutzernamen Benutzer, Rollen & Gruppen sollen für alle Anwendungen zentral verwaltet werden Ímplementierung zentraler Paßwort Policies Lösung Oracle COREid Identity & Access Bietet zentrale Benutzer-, Rollen- und Gruppenverwaltung für heterogene Anwendungslandschaft DIE Web Single Sign-On Lösung für heterogene Anwendungslandschaften (IBM, BEA, MS, SAP, ) Zentrale Paßwort Policies

33 COREid Identity - Stärken Zentrales Benutzer-, Gruppen-, Rollen- und Org.Management Zentrales Passwort Management Selbstverwaltungsdienste und Selbst-Registrierung Flexibler integrierter Workflow für Genehmigungsprozesse Unbegrenzte Delegierbarkeit von administrativen Aufgaben an dezentrale Administratoren

34 Agenda heute Federation Provisioning Identity Management Web Services Manager PKI Single Sign On Access Management Directory Services Virtual Directory

35 Non-Federated Sign-On etrade Employer Portal Retirement Identifier: Principal 123 Password: XXXX Identifier: Password: XXXX Principal ABC Sign On Identifier: Principal XYZ Password: XXXX Sign On Sign On

36 Federated SSO Scenario etrade Employer Portal Retirement Federated SSO Federated SSO Identifier: Principal ABC Password: XXXX

37 Federation Key Concepts Principal Person oder Benutzer eine Identität die authentifiziert oder autorisiert werden kann. Identity Provider (IdP) Domäne wo die Principals gespeichert werden Service Provider (SP) Domäne die Ressource oder Dienst bereitstellt Federation Herstellung einer Beziehung zwischen IdP und SP. Definition von Informationen welche Attribute diese Beziehung charakterisieren.

38 Federation Key Concepts Single Sign-On (SSO) Anmeldung an einem System und weitergabe dieser Infos an andere Dienste. Bei Anwenden dieser Dienste erfolgt keine weitere Anmeldung mehr. Circle of Trust Eine Gruppe von Service Provideren und Identity Provideren welche Federation als Basis von Prozessen einsetzen. Dabei können Benutzer in einer sicheren und übergangslosen Umgebung agieren über Domänen hinweg.

39 Federation Key Concepts SAML (sprich "säml" oder auch "saml") - steht für Security Assertion Markup Language - XML - Beschreibungsformat für sicherheitsbezogene Informationen - Anwendung: - Single Sign On - Verteilte Transaktionen - Autorisierungsdienste

40 Ohne Identity Federation B: Ressourcen / App. Provider A: Identitätsprovider

41 Identity Federation vereinfacht B: Ressourcen / App. Provider XML A benuzt SAML um ein trusted ticket zu B zu schicken A: Identitätsprovider B akzeptiert das Ticket und gewährt Zugriff auf das angefragte Dokument. A s Benutzer Meldet sich am A-portal an

42 Identity Federation vereinfacht Firmenübergreifende Zugriffsverwaltung auf Resourcen Partnerunternehmen (Identitätsprovider) erhalten Zugriff auf Benutzerdaten anderer Unternehmen (Service Provider) Authentifizierung einmalig beim Identitätsprovider einmalige Speicherung und Pflege der Benutzerdaten Abmachung zwischen Identitäts- und Serviceprovider bezogen auf Daten die einen Benutzer beschreiben (z.b. , Personal ID, Rolle, etc.) Autorisierung meistens beim Service Provider Standardisierte Ansätze für FIM SAML (Security Assertion Markup Language) Liberty Alliance WS Federation

43 COREid Federation Architektur Source (Identity Provider) Destination (Resource Provider) IdMBridge IdMBridge Authentication COREid Federation Server COREid Federation Server Authorization User repository interface Local authentication Authenticate Build assertion Send assertion Manage domains Manage certificates Receive assertion Verify assertion Set the session cookie Redirect to requested resource Manage domains Manage certificates Map the assertion into a local user Check if user is authorized to access target resource Die IdMBridge stellt einen Link zwischen COREid Federation und verschiedenen Benutzerepositories her (ie LDAP or RDMBS) zum Authentifizieren oder Autorisieren (COREid Access or CA SiteMinder)

44 Leading Standards Initiatives Org. OASIS Standard SAML Security Assertion Markup Language Description An XML based standard for exchanging authentication and authorization information between systems Liberty Alliance W3C Liberty Phase 2 IDFF 1.2 / WSF 1.2 WS-Security WS-Federation Extends SAML based on the recommendations of end-users of identity systems and a broad coalition of vendors WS-Federation is a standard built upon WS-Security for the implementation of federated identity using SOAP web services

45 Oracle s Differentiation

46 Supported Platforms and Components COREid Federation Server and Proxy Platforms Microsoft Windows 2000 Microsoft Windows Server 2003 Red Hat Linux AS 3.0 Solaris 9 Installs as a service LDAP IdMBridge (source only) Oracle OID Siemens DirX Microsoft AD Microsoft ADAM Sun ONE 5.2 RDBMS IdMBridge (source only) Oracle 9 Microsoft SQL Server COREid IdMBridge (source or destination) COREid SiteMinder IdMBridge (source or destination) CA SiteMinder 5.5

47 Source to COREid Destination: POST 1. Company A employee logs into employer s corporate portal. 2. Portal authenticates and authorizes user. Company A (Source Site) LDAP or RDBMS IdMBridge COREid Federation Server B R O W S E R 3. Employee clicks on a link to access protected resource at Company B (transfer request). Portal sets a header variable that identifies the user. 5. Browser posts SAML assertion to Domain B SAML receiver service. 4. Request transfer to Company A COREid Federation server, which uses the header variable to identify the user and creates a signed SAML assertion with attributes from the user s LDAP or RDBMS profile. Company B (Destination Site) COREid IdMBridge 6. Company B SHAREid server verifies signature, maps assertion to local user entry and creates an SSO session for user. 7. Company B uses the SSO cookie to determine authorization to requested resource. COREid Federation Server COREid Access Server 8. If authorized, browser redirects to target URL, and sets Company B ObSSOCookie on user s browser. 9. User can now go directly to any protected resource at Company B until the SSO session expires. Enterprise Resource

48 Configuring Secure Connections

49 COREid Federation Features Administration GUI Setup Configuration Partner Management Enable/Disable Protocol Protocol Processing Assertion Profiles Assertion Mapping Certificates

50 Source COREid Federation Portal LDAP or RDBMS Site Configurations Destination Source COREid Federation COREid Access and Identity COREid Federation Source COREid Access and Identity Destination SAML Compliant Source COREid Federation CA SiteMinder Destination COREid Federation CA SiteMinder SAML Compliant

51 Aerospace Beispiel By deploying COREid for Web SSO reduced number of passwords per employee from 7 to 1, saving $3.9 million per month Saving $1.2 million per month by providing single- sign-on to employees Industry leading SAML implementation reduced costs for managing mechanic profile information in aircraft suppliers directory

52 Nutzen - MA der Vertriebspartner muss nicht von FIRMA XYZ administriert werden - MA der Unternehmen der Vertriebspartner verlassen hat, hat keinen Zugang mehr - Administrationsaufwand für Vertriebspartner und FIRMA XYZ - Komfortabel fuer den Benutzer -..

53 DEMO Developer Days Company A: Dealernet Trust Company B: WWM 1 User authenticates at SQL Server Table 4 Destination site authorizes user using COREid and redirects to resource Authentication Microsoft SQL Server Northwind:Employees Oracle COREid Federation Server (3101) Secure Pipe Oblix SHAREid Server (5101) Authorization../delernet/apps/parts /partsorder.html 2 <saml:subject> <saml:nameidentifier...> jsmith@example.com </saml:nameidentifier> </saml:subject> SHAREid Server builds a SAML assertion: This is * * from Dealernet, with Role *Title* 3 SHAREid Server at destination site verifies assertion and maps Role to a local user

54 DEMO Heute 1 Company A (identity provider) User authenticates at LDAP Server Trust 4 Company B (resource provider) Destination site authorizes user using COREid and redirects to resource ldap://wednesday. wwm.oblix.com:389 Authentication Oracle COREid Federation Server (5101) Secure Pipe Oracle COREid Federation Server (8101) Authorization../delernet/apps/parts /partsorder.html 2 <saml:subject> <saml:nameidentifier...> suser@example.com </saml:nameidentifier> </saml:subject> suser SHAREid Server builds a SAML assertion: This is * * from Dealernet, with Assertion Attribute *Company 3 SHAREid Server at destination site verifies assertion and maps Company to a Title zyen