Identity Management / Identity 2.0

Transkript

1 / Identity 2.0 Innovation in IT Structures 6 Simplify your IT Infrastructure Hendrik Eggers 28. November 2007

2 Agenda Einstieg Der Weg zum IdM-System Lösungsansätze Randbemerkungen 2

3 Einstieg

4 Buzzword Bingo Identität User, Kunde Account, Login, Kennung, Benutzer-ID, UID, UUID Challenge & Response Affilliation Dienstleistung (DL) Portal, web service Genehmigungsworkflow (Approval) (Geschäfts-) Prozess X.500, LDAP, DSML, SAML Schema (Mapping) Shibboleth, (Web-) SSO Provisioning Matching Ziele User Account Life Cycle CRUD Create, Read, Update, Delete RASCI Responsible, Accountable, Supportive, Consulted, Informed RBAC, role mining Policy Konnektor CSV, SQL, JDBC RFC SSHA, MD5 Layer 8 Problem 4

5 Szenarien Wie kommt ein Mitarbeiter an alle benötigten Konten? Wie erfolgt der Wechsel einer Mitarbeiterin von einer Organisationseinheit (OE) in eine andere? Was passiert beim Ausscheiden von Mitarbeitern? Wie erhalten Praktikanten die wöchentlich die Abteilungen wechseln die benötigten Konten oder Zugriffsrechte? Welche Zugriffsrechte erhalten Mitarbeiter die in einem OEübergreifenden Projekt arbeiten? Wie können externe Auftragnehmer ausschließlich Zugriff auf für sie relevante Systeme erhalten? Wie werden Konten selektiv und vorübergehend gesperrt? Wie können Veränderungen an Konten revisionssicher protokolliert werden? 5

6 Probleme klassischer Benutzerverwaltung Hoher Arbeitsaufwand (=Kosten) durch mehrfache Pflege von Benutzerdaten Geringe Datenqualität durch manuelle Bearbeitung / hohe Zahl an potentiellen Fehlerquellen Fortbestehende Konten und falsche Zugriffsrechte als Sicherheitsrisiko Hohe Diversifikation bei Gruppen und Zugriffsrechten Prozess- und Leerlauf-Kosten durch zeitversetzte Bearbeitung von Benutzeranträgen Hoher Beratungsaufwand durch Trivialprobleme Ich habe mein Passwort vergessen. Welches Passwort nehme ich denn für die Anwendung WXYZ 6

7 Benutzerverwaltung ist kein einmaliger Vorgang Provisionierung Eintritt in Organisation Aufgabenwechsel Allgemeine Administration Umzug Statuswechsel Lebenszyklus Neues Projekt Password vergessen De-Provisionierung Austritt aus Organisation Password abgelaufen Password Management Novell, 2006

8 Einige Fragen an IDM-Projekte Welches ist die gemeinsame Basis von der aus sich heterogene Systeme mit Benutzerinformationen versorgen lassen? Wie erfolgt die Synchronisation von Passworten ohne die Übermittlung im Klartext bei heterogenen Systemen? Was sind die Anforderungen an ein Passwort? Wer soll welche Dienstleistungen erhalten? Wer soll welche Zugriffsrechte erhalten? Welche Rolle spielt das System für die gesamte Infrastruktur bei einem Ausfall? Welches sind die Prozesse zur Benutzerverwaltung und wie sehen diese im Details aus? Wie können die Benutzerverwaltungsprozesse zeitnah realisiert werden? Wo gibt es Toleranzbereiche und Echtzeitanforderungen? Welches System hat die Hoheit für welches Attribut? 8

9 AAA (triple A) + A Authentifizierung (Authentication) eindeutige Identifikation einer natürlichen Person Autorisierung (Authorization) positive Bestätigung der Zugriffsrechte auf eine angeforderte Ressource Accounting Protokollierung der Ressourcennutzung in einer für spätere Abrechnungszwecke verwendbaren Form Auditierung (Auditing) Protokollierung aller Änderungen mit Zeitpunkt und BenutzerID zur Nachverfolgung von Eingriffen in das (IT-) System 9

10 Das Gebäude Hochschule Forschung Lehre & Studium IT getriebener Organisationswandel Verwaltung BibEIT-DienstlioLearleistungen thek ning Identity-Management IT-Infrastruktur 10

11 Organisationsentwicklung Ausgangspunkt: IT-Strategie als taktische Umsetzung des Leitbildes der Universität Ziel: konsequente Umsetzung Erlangung der Zukunftsfähigkeit Maßnahmen: Untersuchung und Bewertung ALLER Geschäftsprozesse Überdenken des Handelns ohne Denkverbote Optimierung der Geschäftsprozesse als erwünschte Nebenwirkung 11

12 Der Weg zum IdM-System

13 Ziele Strategisch Operativ Langfristig Generell, abstrakt Vorgabe von oben Taktisch Kurzfristig Detailliert Umsetzung im Tagesgeschäft Mittelfristig Integrativ In Kommunikation zu entwickeln

14 Strategische Ziele Ermöglichung zukünftiger Anforderungen Erleichterung der Administration Verbesserung der Datenqualität Sicherstellung der Datensicherheit Datenschutz Einführung IT-Controlling (Accounting) 14

15 Beschaffung Notwendige Unterlagen: Leistungskatalog Vergleichs- und Bewertungsmatrix Deutschlandweite Ausschreibung Europaweite Ausschreibung freihändige Vergabe: einziger, rechtlich zulässiger Grund: technische Ausschließlichkeit (SEHR guter Begründungstext notwendig) Vorbedingung: intensive Marktrecherche nach dokumentiertem, methodischem Vorgehen gut zu haben: Gutachten einer unabhängigen Wirtschaftsprüfungsgesellschaft 15

16 Open Source vs. kommerzielle Software ١٠٠% ٨٠% ٦٠% ٤٠% ٢٠% ٠% OSS KS Wartung ١٠ ٢٠ Personal ٣٠ ١٠ Customizing ٤٠ ٣٠ Lizenzkosten ٠ ٢٠ ٢٠ ٢٠ Hardware Langfristige Personalmittel für Betrieb vs. Kurzfristige Projektmittel für Anschaffung und Customizing 16

17 Taktische Ziele Verwendung offener Standards Business Process Reengineering Beachtung der Mitbestimmung Berücksichtigung der Stakeholder Beteiligung der Schnittstellen Kontinuierlicher Entwicklungsprozess vs. Einführungsprojekt 17

18 Stakeholder / Schnittstellen Stakeholder: alle Anspruchs- und Interessengruppen (Rahmen, Vorgaben und andere wesentliche Interessen) Schnittstellen: diejenigen Institutionen / Funktionen, mit denen direkt und für eine gewisse Dauer Prozesse geteilt werden. notwendige Vorarbeit zur Kundensegmentierung, dies Vorbedingung Dienstleistungsportfolio 18

19 Operative Entscheidungen Priorisierung der anzubindenden Systeme Definition des Dienstleistungsportfolios Konzeption zu Dokumentation transformieren Bereitstellung von exemplarischen Serverkonfigurationen für dezentrale Einrichtungen Realisierung Single-Sign-On Shibboleth und / oder Central Authentication System (CAS) 19

20 Beispiel: Zielarchitektur Kontaktperson WLAN VPN Dial-in HIS SOS DIAPERS Service-Theke IDM-Service-Portal Benutzer IDM Engine Radius Pflege der Org.-Struktur Orga-Pflege OpenLDAP MD Identity Provider OpenLDAP Telefonbuch UNIX RRZE NDS ADS RRZE UNIX Rechnungswesen dezentral Zeiterfassung RRZE SIPORT Stamdatenbank 20

21 Ressourcenbedarf Personal: ProjektleiterIn (mindestens operativ) / OrganisationsentwicklerIn zwei TechnikerInnen (nicht notwendigerweise Informatiker) studentische Hilfskräfte für Programmier- und Hilfsarbeiten Zeichnen von Grafiken Programmierung von Hilfsskripten Technik: Dual-Prozessor-Server aktueller Bauart Festplattenplatz > 200 GB VMware Server Lizenzen der benötigten Software Entwickler-Notebooks mit aktuellem Dual-Core Prozessor und mindestens 2 GB RAM 21

22 Projektablauf Zieldefinition Strategie Produktauswahl Implementierung Kickoff Fachkonzept Teststellung Schulung Umwandlung Konzeption => Dokumentation Feinkonzept Roll-out Dauerhafter Betrieb 22

23 Projektablauf Zieldefinition Strategie Produktauswahl Roll-out Kickoff Teststellung Schulung Fachkonzept Feinkonzept, Implementierung, Umwandlung Konzeption => Dokumentation Dauerhafter Betrieb 23

24 Initialer Zeitplan IV/06 I/07 II/07 III/07 IV/07 I/08 II/08 III/08 Projektleitung Projektleitung Fachkonzept Release Release11 Support Produktion Wartungsrelease 1.1 Release 2 Projektbegleitung Novell Kickoff Produktivnahme R1 Systemupdate Produktivnahme R2 24

25 Korrigierter Zeitplan IV/06 I/07 II/07 III/07 IV/07 I/08 II/08 III/08 Projektleitung Projektleitung Fachkonzept Release Release 1 1 Support Produktion Wartungsrelease 1.1 Release 2 Projektbegleitung Novell Systemupdate Kickoff Produktivnahme R1 Produktivnahme R2 25

26 Projektplan (Beispiel) Zeit: Zieldefinition / Strategie muss bekannt sein Einarbeitung / Kickoff 2 Wochen Fachkonzept: 3 Monate Produktauswahl (teilw. parallel zu Fachkonzept) 3 Monate Teststellung / Schulungen 2 Monate Feinkonzept Basis: 2 Monate Programmierung / Test: 4 Monate Dokumentation: 2 Monate Roll-out: 2 Wochen PUFFER (!!!): 1 Monat Urlaub (!!!) 2 Monate SUMME (bei optimistischer Planung) ~ 18 Monate enthaltener Umfang: zentrales System Anbindung der absolut notwendigen Quell- und Zielsysteme 26

27 Planung IdM (langfristig) Startprojekt (IdM Phase 1) flächendeckende Ausbreitung und Angebot Web-SSO (Phase 2) eventuell Ausbau weiterer Teilprojekte Übergabe in den Regelbetrieb Personal (!!!) 27

28 Projektaufbauorganisation (Beispiel IDMone) IDMone Projektverantwortlicher Thomas A. H. Schöck IDMone Lenkungsausschuss Dr. Gerhard Hergenröder, Dr. Stefan Turowski, Hendrik Eggers, Alexander Adam (Novell), ohne Stimmrecht : Dr. Peter Rygus, Daniel de West, Dr. Peter Holleczek Peter Rygus Projektleiter Consultant(s) Novell Lösungsarchitekt Christoph Singer Systemadministrator HiWis Lösungsentwickler Gert Büttner Experte bestehende Systeme Krasimir Zhelev Lösungsentwickler Frank Tröger Lösungsentwickler Patricia Meyer-Seidt Lösungsentwicklerin 28

29 Notwendige Regelungen Bildungsregeln für UID Eindeutigkeit den Benutzernamens Semantikfreiheit (bei Namensänderungen!) für -Adressen Passwortrichtlinie Zusammensetzung (Buchstaben, Ziffern, Sonderzeichen, Anordnung) Länge Wortlisten Komplexitätsgrad Änderungszwang / Gültigkeitsdauer Wiederverwendungszyklus Benutzerrichtlinien / Betriebsvereinbarungen Zustimmung digital oder per Unterschrift 29

30 Single-Sign-On Einmal Passwort eingeben (sich authentifizieren) und im folgenden alle Anwendungen für die Berechtigungen bestehen nutzen können. Dient rein der Nutzungserleichterung und ist KEINE Kernfunktion des. Webbasiert Quasi-Standard in Hochschulen: shibboleth Erfordert zentralen Identity Provider mit IDM-Anbindung und ServiceProvider bei jeder shibbolethisierten Anwendung Client-Implementierung in mehreren Sprachen vorhanden Desktop Kerberos Es existieren mehrere konkurrierende und inkompatible Implementierungen. Inzwischen auf allen Betriebssystemen verfügbar. Nur Anwendungsintegration läßt zu wünschen übrig. 30

31 Lösungsansätze

32 Basis-Methoden zur Authentifizierung Wissen Passwort, Personal Identification Number (PIN) Besitz Smart Card, Token, Digitales Zertifikat Biometrie Fingerabdruck, Augeniris, Stimmenanalyse oder einer Kombination der vorgenannten Bedrohung durch Erraten, Verlust, Systemversagen (false-positive, false-negative) 32

33 System-Architektur-Vergleich 33

34 System-Architektur-Vergleich 34

35 System-Architektur-Vergleich c c 35

36 System-Architektur-Vergleich 36

37 System-Architektur-Vergleich MetaDirectory 37

38 Wege zu IDM Föderation Lose Koppelung bestehender Verzeichnisdienste durch Aufbau von Vertrauensbeziehungen Authentifizierung erfolgt am jeweils zuständigen Verzeichnisdienst Synchronisation Abgleich von Teildaten auf Teilbaum oder Attributebene Hub and Spoke vs. Point to Point Konsolidierung n n ١ ٢ Aufbau eines zentralen Systems 38

39 System-Architektur-Vergleich 39

40 Gibt es das richtige Schema? eduperson ist nicht ausreichend Arbeit an EUeduPerson ist eingeschlafen Es gibt einer Vielzahl lokaler Schemata thueduperson itumschema HIS-LDAP möglichst Verwendung von Standardsschemata Ergänzung lokal notwendiger Attribute Bitte beachten: Datensparsamkeit Diskussion um DIT-Struktur und Schemata nicht abgeschlossen!!! viele Attribute vs. viele Objekt Reference Schema 40

41 1 Admin Resource 3 Person= x123 scopedaffiliation= HiWi@456 Start= End= newbie x123 Person= x123 Descriptor res= UserApp Start= End= Account= hemy PW= x97rjki Quota=10GB... Proxy-Objekt 6 4 Person= x123 res= hpc Start= End= Account= hemy PW= x97rjki Quota=10GB Account= hemy PW= x97rjki Start= End= Quota=10GB... Account= hemy PW= x97rjki Start= End= Quota=10GB...

42 Szenario: Provisionierung eines neuen Beschäftigten 1) Ein neuer Beschäftigter wird in der Personalabteilung angelegt ArchivSystem Personalverwaltung Sachbearbeiter Hans Muster hmuster hamu Bibliothek Hans_Muster An g zu esch rb eis loss pie ene lha S fte yste ni llus me n tra ur Linux tio n -System Identity Manager 2) Identity Manager erkennt die Neuanlage 3) Identity Manager erzeugt einen Zugang zu jedem angeschlossenen System und synchronisiert die erforderlichen Informationen gemäß vorab definierter Regeln hans.muster@rrze.unierlangen.de Telefon Novell, 2006

43 Beispiel: Prozess Diagramm Neuanlage

44 Rechtevergabe - direkt Ressourcen Benutzer 44

45 Rechtevergabe Gruppen / Rollen Ressourcen Benutzer 45

46 Rechtevergabe - real Ressourcen Benutzer 46

47 Dynamische vs. Statische Gruppen Dynamische Gruppen Benötigen Auswahlkriterien Kodifizierte Suchausdrücke Hoch flexibel z. B. Für Zielgruppengerichtete Kommunikation vs. Statische Gruppen Unterliegen manueller Bearbeitung Ablaufdatum nicht in allen Systemen unterstützt Bedingen Aufräumarbeiten Verwendung bei ungeregelten Vorgängen role mining das reverse engineering des IDM 47

48 Randbemerkungen

49 Stolpersteine Ist-Analyse Organisationsstruktur keine einheitliche Sicht Zuständigkeit außerhalb RZ Prozesse undefiniert Keine Standardanwendung (außer SAP ORG) vorhanden UUID-Diskussion Schema-Diskussion Beschaffung Königreiche Mitbestimmung Rechtliche Rahmenbedingungen Grund- und IT-Ordnung Datenschutz Überzeugung potentieller Kunden Dienstleistungskatalog erst im Aufbau begriffen IdM-Software hoch komplex und damit erhebliche Lernaufwand Hohe Ansprüche an technische Funktionalität des Systems 49

50 Good Practice Project Management Ideensammlung via Mindmap Projektplanung (GanttProject) veröffentlichen Beteiligte in Arbeitsgemeinschaft versammeln Protokolle als Nachweis von Absprachen Bilder als Einigungs- und Kommunikationsgegenstand Berichtswesen: Projekt-Log-Buch = Weblog (Blog) Wochen- / Quartalsberichte WordPress Wiki für Dokumentation MediaWiki Wichtigste Seite Glossar!!! Dokumentenverwaltung mit Autoversionierung subversion Risikomanagement Bugzilla PRINCE2 als PM-Standard 50

51 Definition(-sversuch) ist mehr als Benutzerverwaltung basiert auf und implementiert Prozessdefinitionen zur Benutzerverwaltung beinhaltet eine Grundsystematik der Zugriffsrechtevergabe implementiert alle Prozesse rund um die Verarbeitung von Benutzern in IT-Systemen bietet eine Schnittstelle für (auch dezentrale) Administratorinnen für Benutzer mit Selbstadministrationsfunktionen bedeutet Automatisierung beinhaltet die Möglichkeit Dienstleistungen selektiv zu beantragen, zu genehmigen, zu sperren, zurückzugeben und zu entziehen... 51

52 IdM Literatur Linux Magazin Mai 2005 die Artikel des Titelthema Benantar, Messaoud: Access Control Systems, Springer, Berlin, 2005, ISBN Carter, G: LDAP System Administration, O Reilly, Sebastopol, 2003, ISBN Ferraiolo, D. A.; Kuhn, D. R.; Chandramouli, R.: Role-Based Access Control, Artech House, Boston, 2003, ISBN Howes, T. A.; Smith, M. C.; Good, G. S.: Understanding and Deploying LDAP Directory Services, 2nd edition, Addison-Wesley, Boston, 2003, ISBN Richter, Michael:, VDM Verlag, 2007, ISBN Todorov, Dobromir: Mechanics of User Identification and Authentication, Auerbach Publishers, Boca Raton, London, 2007, ISBN

53 Links Schemata: eduperson EUeduPerson - thueduperson itumschema HIS-LDAP Programme: VMware Server - shibboleth - freemind - GanttProject - WordPress - Mediawiki - subversion - Bugzilla - Visual Paradigm Agilian

54 Links 2 ZKI Arbeitskreis Verzeichnisdienste IDMone Webseite IDMone Blog Reference Schema PRINCE2 BPMN WS-BPEL Extension for People Connexitor Blog 54

55

56 Fragen oder Anmerkungen? Danke für Ihre Aufmerksamkeit!

57 57