Identity Management. Technische Aspekte und Erfolgsfaktoren. Hamburg,

Größe: px

Ab Seite anzeigen:

Download "Identity Management. Technische Aspekte und Erfolgsfaktoren. Hamburg, 27.03.2009"

Nicole Schuler
vor 1 Jahren
Abrufe

Transkript

1 Identity Management Technische Aspekte und Erfolgsfaktoren Hamburg,

2 Der Vortragende Rolf Burleson Geschäftsführer qp42 DATA GmbH Düppelstr Kiel Tel.: +49 (431) Internet:

3 Agenda Firmenvorstellung qp42 DATA GmbH Lösungsansatz Identity Management Hintergrund-Informationen Darstellung eines Datenflussmodells für IDM Beeinflussende Faktoren Konzeptionelle Schwerpunkte Technische Aspekte

Darstellung eines Datenflussmodells für IDM

4 Das Unternehmen Die qp42 DATA GmbH ist ein in 2006 gegründetes, spezialisiertes Unternehmen, welches in erster Linie IT-Dienstleistungen und Beratung sowie Softwareentwicklungen bereitstellt. Der Schwerpunkt der qp42 DATA GmbH liegt in der Entwicklung eines eigenen Produktes zum Thema Identity Management, dem Identity Rights Management System (IRMS), das hauptsächlich für den Einsatz in mittelständischen oder großen Unternehmen gedacht ist. Weitere Themenfelder: Projektmanagement Netzwerkmanagement IT-Sicherheit Schulungen

Der Schwerpunkt der qp42 DATA GmbH liegt in der Entwicklung eines eigenen Produktes zum Thema Identity Management, dem Identity

5 Definition Identity Management Identität ist die Summe derjenigen Merkmale, anhand derer ein Individuum oder eine andere im Netzwerk agierende Entität eindeutig von anderen unterschieden werden kann. Identity Management ist die Summe aller Maßnahmen, die notwendig sind, um Identitäten und Benutzer in IT-Systemen eindeutig zu erkennen sowie ihnen genau jene Zugriffe zu ermöglichen, die sie aktuell im Rahmen ihrer Tätigkeit benötigen und nicht benötigte Berechtigungen zu entfernen. Dabei sind alle Maßnahmen aufgrund von gesetzlichen und weiteren Vorgaben (Rating, Compliance, Zertifizierungsanforderungen) im Rahmen von standardisierten und nachvollziehbaren Prozessen durchzuführen.

Identity Management ist die Summe aller Maßnahmen, die notwendig sind, um Identitäten und Benutzer in IT-Systemen eindeutig zu erkennen sowie ihnen genau jene Zugriffe zu

6 Der Lösungsansatz Identity Management Ziele des Identity Managements aus Sicht der Unternehmen: Einhaltung der Compliance Vorgaben durch User-Management-Reporting sowie User-Management-Kontrollen Risikominimierung durch Kontrollen darüber, wer Zugriff auf welche Informationen hat Verbesserung und Automatisierung von Prozessen insbesondere bei Wechsel von Funktionen oder bei Ausscheiden von internen und externen Mitarbeitern Kostenminimierung durch Reduzierung des administrativen Overheads und durch Verringerung von Lizenzkosten

Informationen hat Verbesserung und Automatisierung von Prozessen insbesondere bei Wechsel von Funktionen oder bei Ausscheiden von

7 Der Hintergrund Zielsystemübergreifende Berechtigungsauswertung Anwender haben in unterschiedlichen Systemen unterschiedliche User-IDs Zusammenführung der IDs in einem System Vergabe einer virtuellen Identität Enthält alle Informationen aus den Systemen

User-IDs Zusammenführung der IDs in einem System Vergabe einer

8 Der Hintergrund Prozessoptimierung durch Workflow-Steuerung Werkzeuge der Prozessoptimierung: Automatisierung von Prozessen im User-Life-Cycle Einrichtung Änderung Löschung Beantragung von Berechtigungen durch elektronischen Workflow Festlegung der berechtigten Personen zur Initiierung eines Workflow Definition von Genehmigungsstufen und Freigebern

Änderung Löschung Beantragung von Berechtigungen durch elektronischen Workflow

9 Der Hintergrund Berechtigungsvergabe durch Rollen Rollen fassen Einzelberechtigungen systemübergreifend zusammen In Abhängigkeit zur: Organisation, Abteilung, Aufgabe Nach Möglichkeit keine Vergabe von Einzelberechtigungen Ausschluss der Vergabe von kritischen Berechtigungskombinationen Bildquelle: Wikipedia, Benutzerrolle

Organisation, Abteilung, Aufgabe Nach Möglichkeit keine Vergabe von

10 Datenflussmodell

11 Beeinflussende Faktoren Einführung eines neuen Systems, das abteilungsübergreifend und systemübergreifend im gesamten Unternehmen Auswirkungen hat Klare Verantwortlichkeiten Bereitschaft zur Veränderung/Einführung von Prozessen Umfangreiche Konzeptionierung und frühzeitige Abstimmung mit allen betroffenen Bereichen Freigabe für den direkten Zugriff auf anzubindende Systeme durch das Projekt Falls vorhanden: frühzeitige Einbindung des Outsourcing-Partners Personal Vertragliche Vereinbarungen

Konzeptionierung und frühzeitige Abstimmung mit allen betroffenen Bereichen Freigabe für den direkten Zugriff auf

12 Konzeptionelle Schwerpunkte Definition von Schlüsselbegriffen Exakte Definition der Ziele für die Einführung Festlegung der Organisationsstruktur für das IDM Festlegung von Verantwortlichkeiten für die IDM-Aufgaben Beauftragung Genehmigung Einrichtung (Administration) Rollenbau Überprüfung (Revision, Audits, Security)

Festlegung von Verantwortlichkeiten für die IDM-Aufgaben Beauftragung

13 Konzeptionelle Schwerpunkte Festlegung von Prozessen für das IDM / Anpassung bestehender Prozesse Definition der anzubindenden Systeme inklusive der Datenanbindung Zugriff auf die Systeme (manuelle oder automatische Einrichtung) Priorisierung der Systeme für die Reihenfolge der Anbindung Verantwortlichkeiten bei der Einrichtung (Outsourcing!) Unterstützung des Projektes durch Systemadministration (Wissen / Datenbereinigung) Definition der grundsätzlichen Verwendung von Rollen Aufbau der Rollen (Top-Down, Bottom-Up oder hybrider Ansatz) Periodische Überprüfung der bestehenden Rollen

Verantwortlichkeiten bei der Einrichtung (Outsourcing!

14 Technische Aspekte Übersicht der folgenden Themen: Technische Gegebenheiten Stammdaten / Personalabteilung Anbindung von Anwendungen Namenskonvention Umgang mit verschiedenen Kontenarten Datenanalyse / Datenbereinigung Accounting Berechtigungsstruktur innerhalb der Anwendung Spezialfälle Organisatorische Aspekte werden im weiteren Verlauf nicht eingehend betrachtet. Es ist dabei zu bedenken, dass je nach Ausprägung der bestehenden Prozesse beimkunden der Anteil der organisatorischen Arbeitspakete 50-70% des Projektes ausmachen können.

Anwendung Spezialfälle Organisatorische Aspekte werden im weiteren Verlauf nicht eingehend betrachtet.

15 Technische Gegebenheiten User-IDs mit weiteren steuernden Funktionen in der Anwendung Verfügbarkeit von Attributen (Namensfelder, Länge von User-Ids) Einschränkungen bei der Größe von Gruppen / Rollen (Anzahl der Mitglieder) Anzahl und Art der Berechtigungsvergabemöglichkeiten Zusammengesetzte Berechtigungen Frei definierbare Zahlen als Berechtigung Administrative Vorgaben AD nested Groups für Ordnerbrowsing bzw. GPO-Zuweisung AD Nutzung des SAM Account Name anstelle des Logon - Namens SAP Nutzung von statischen Profilen Mailsysteme keine Veränderung der Mailadresse

Zusammengesetzte Berechtigungen Frei definierbare Zahlen als Berechtigung Administrative Vorgaben AD nested Groups für Ordnerbrowsing bzw.

16 Stammdaten / Personalabteilung Grundsatz: Stammdaten werden von einem IDM nicht verändert Arten von Stammdaten und Quellendefinition Personal (Interne Mitarbeiter) Externe Mitarbeiter Kunden mit Zugriffsbedarf auf das Netzwerk Maschinen Steuernde Funktion der Personalabteilung Freigabe für Informationen Namen Abteilung Status (Übersetzungstabelle) Änderungsdatum Vertrauensstufe Sicherstellung der Verfügbarkeit einer neuen Identität zur Berechtigungsvergabe

Maschinen Steuernde Funktion der Personalabteilung Freigabe für Informationen Namen Abteilung Status

17 Anbindung von Anwendungen Externes System oder System im direkten Zugriff Manuelle oder automatische Einrichtung Konnektoren Schreibend / lesend API / Protokoll (z.b.: LDAP) Datenbank über Sichten Flatfile Spezieller Konnektor Standort der Anwendung Internes Netz DMZ Providernetz Heterogene Netze und Datentransfer Windows / Unix Kein direkter Datenzugriff aufgrund von Netzwerksegmentierung

18 Namenskonvention Zusammenführung von Namensanteilen Erkennung von Kontenarten durch User-ID (unterschiedliche Präfixe) Zusätze im Namen Eigenes Attribut, sofern technisch möglich Benennung von Berechtigungen Gruppenname (administrativ bedingt) Beschreibung (sprechend für Anwender) Workaround: Eigenes Attribut zur Pflege im IDM Erkennung der Berechtigungsfunktion Zusätze im Gruppennamen Zusätze in der Beschreibung Workaround: Markierung der Berechtigung im IDM

(administrativ bedingt) Beschreibung (sprechend für Anwender) Workaround: Eigenes Attribut zur Pflege im IDM

19 Umgang mit verschiedenen Kontenarten Personalisierte Konten Ein Konto für genau einen Mitarbeiter Funktionsuser Ein Konto zur Verwendung durch mehrere Mitarbeiter Dienstkonto Ein Konto für automatische Jobs oder Dienste auf Maschinen Personalisierte Konten: Zwingende Zuordnung zu einer Identität aus den Stammdaten Es sind mehrere User-IDs aus einem System möglich Funktionsuser : Grundsatz: Es soll keine Konten ohne Verantwortlichen geben Personalisierung (Testkonten, Validierungskonten, Azubikonten, Aushilfekonten) Zuordnung zu einem Verantwortlichen (Schulungskonten, Projektkonten) Dienstkonten Markierung als Dienstkonto (automatische Zuordnung zur Anwendungsadministration) Zuordnung zu einer Maschinenidentität aus den Stammdaten

Funktionsuser : Grundsatz: Es soll keine Konten ohne Verantwortlichen geben Personalisierung (Testkonten, Validierungskonten, Azubikonten, Aushilfekonten) Zuordnung zu einem

20 Datenanalyse / Datenbereinigung Accounting Namensauflösung für den Initial Load Datenbanken: Meist keine Namensinformationen Manuelle Bereinigung vor Initial Load (Reduzierung der zu beachtenden Konten) Bereinigung nach Initial Load (Verwendung der IDM-Tools) Berechtigungsstruktur Keine Berechtigungsverschachtelung: Notwendigkeit der vergebenen Berechtigungen Berechtigungsverschachtelung: Verschachtelungstiefe Werden die Verschachtelungen administrativ verwendet? (User nur in der obersten Berechtigungsgruppe) Werden nested Groups ohne User verwendet? (Browsing, GPO-Filter) Müssen Verschachtelungen aufgelöst werden, weil sie unterhalb des IDM Berechtigungen vermischen oder Berechtigungen für User mehrfach vergeben? (User in der obersten und in untergeordneten Berechtigungsgruppen)

Verschachtelungstiefe Werden die Verschachtelungen administrativ verwendet? (User nur in der obersten Berechtigungsgruppe) Werden nested Groups ohne User verwendet?

21 Spezialfälle Ringbildung von Nested Groups im ADS Vermischung von Ordnerberechtigungen und GPO- oder Benutzerrechten Zuweisung der Berechtigungen durch mehrere Gruppen Hinzufügen von User-IDs zu lokalen Gruppen auf einzelnen Servern Direktzuweisung von Berechtigungen auf der Ressource unter Umgehung von Gruppen Versteckte Admin-Notfallkonten Personalisierte Konten für ein Projekt, die als Dienstkonten weiterleben Hohe Kreativität bei der Namensvergabe von Konten

22 Fazit Tiefgreifende Konzeptionierung Erstellung / Anpassung der Namenskonvention Klare Definition der Kontenarten Definition der Anbindungsart gemäß der technischen Möglichkeiten Erfolgte Datenbereinigung (Accounting und Berechtigungsstruktur)

23 Vielen Dank für Ihr Interesse!

Ähnliche Dokumente

Identity Rights Management System Produktübersicht Version 1.2

Identity Rights Management System Produktübersicht Version 1.2 Die Angaben in dieser Präsentation sind unverbindlich und stellen weder Garantien noch Beschaffenheitszusagen oder -vereinbarungen dar. Ansprüche