Ein IAM Grossprojekt aus der Perspektive des Enterprise Architekten

Transkript

1 Ein IAM Grossprojekt aus der Perspektive des Enterprise Architekten Erfahrungen aus der Schweizer Bundesverwaltung Dr. Philipp Hoernes, Integrationsarchitekt im Programm IAM Bund Informatik Steuerungsorgan des Bundes (ISB)

2 Zusammenfassung Im Programm IAM Bund geht es um die Weiterentwicklung der Capability IAM Die Schweizer Bundesverwaltung ist ein komplexes, heterogenes Umfeld ohne zentrale IT-Autorität Einsatz von Mitteln der Enterprise Architektur für: (Iterativer) Prozess der Architektur- und Lösungsentwicklung Entwicklung Architekturinhalte Kommunikation 2

3 Dr. Philipp Hoernes Integrationsarchitekt, ISB (Schweizer Bundesverwaltung) zuvor IT-Architekt; Partner, ipt AG (Zug, CH) seit 1997 Consultant (IT und Business) Themen: IT und Information Security, IAM Enterprise Architecture Business meets IT Integration, EAI, SOA Projektarbeit, Consulting 3

4 Die Schweizer Bundesverwaltung 4

5 E-Government in der Schweiz Eine Erfolgsstory? Studie 2009: Schweiz auf Platz 32 von 32 Ländern seitdem kontinuierliche Verbesserung EU-Benchmark 2012: Schweiz auf Platz 15 Entwicklungspotenzial bei den technischen Voraussetzungen (Key Enablers) 5

6 Informatiksteuerungsorgan des Bundes ISB Das ISB sorgt für die Umsetzung der IKT-Strategie ISB erlässt Vorgaben für die Bundesverwaltung Zusammenarbeit mit Standardisierung-Gremium ech Zentrale Führung der IKT-Standarddienste, z. B. Büroautomation Identity & Access Management Ausserdem: ISB koordiniert die Zusammenarbeit von Bund, Kantonen und Gemeinden im Bereich E-Government Führt die Melde- und Analysestelle Informationssicherung MELANI 6

7 Das Programm IAM Bund Weiterentwicklung des Systems IAM Bund Programm IAM Bund : Erheben Anforderungen der Bundeskanzlei, der Departemente und der Kantone Analyse der gegenwärtig ausserhalb der Standarddienste V1 vorhandenen Leistungen Definition Leistungsumfang Marktmodell V2 Definition architektonische und konzeptionelle Grundlagen bezüglich Technik, Recht und Governance Umsetzungsvorhaben ab 2017: Umsetzung Standarddienst IAM V2 Migration von Systemen und Anwendungen System IAM Bund Standarddienst IAM V2 Standarddienst IAM V1 7

8 Was tut IAM? 9 Haus Blau Haus Grün

9 Elemente von IAM Bund 2 Eigenschaften, welche eine digitale Identität beschreiben (z.b. Name, Geb. Datum, Rolle) 1 Digitales Abbild einer Person in Form eines Datensatzes 5 Digitale Identität prüfen Attribute Digitale Identität 4 8 Definiert, welche digitale Identität auf welche Daten Zugriff erhält Vertrauen / Vertrag zwischen verschiedenen IAM Systemen Berechtigungen Authentifizierung/ Autorisierung Föderation Steuerung Identitäts nachweis Berechtigen Element, welches die Identität bestätigt (z.b. Passwort, Fingerabdruck, Smartcard) 9 Übergreifende Steuerung 10

10 Herausforderung: Heterogenes Umfeld Unterschiedliches Business und Anforderungen Unterschiedliche Reifegrade Silo : Verwaltung von Identitäten / Berechtigungen in Fachanwendungen Migration auf IAM Standarddienst(e) Regelmässiger produktiver Einsatz IAM Standarddienst(e) Fortgeschrittene IAM-Lösungen 11

11 Herausforderung: IAM als Basis für egovernment Fachgemeinschaften: Einheitliche Rechtsgrundlagen & Geschäftsprozesse Zoll Import / Export Steuern & Finanzen Transit & Verkehr Innere Sicherheit Lebensmittelkette Verbrauchssteuern 12

12 Herausforderung: IAM in der Bundesverwaltung Identitäten Mitarbeiter durch HR-Systeme bekannt nicht überall genutzt Wunsch nach Automatisierung von IAM- Prozessen z.b.: Provisionierung, Deprovisionierung Kontrolle / Übersicht: Wer hat(te) wann welche Berechtigungen inne? Kosteneffizienz, benutzerfreundliche Prozesse, Integration mobiler Anwendungen,... 13

13 Herausforderung: Mobile, Multi- Channel, Vielfalt der Provider Mobiles Arbeiten Schwerpunkt der IKT-Strategie Bund Alle Anwendungsmodelle werden verwendet: Host, Stand-Alone, Client / Server ( fat client ), Webapplikation, mobile Webapplikation; Mobile App Verschiedene Identitätsprovier (IdP), z.b. SuisseID, in Zukunft eid; Lösungen der Kantone und von Unternehmen Sehr unterschiedliche Anforderungen an Sicherheit und Datenschutz je nach Kontext 14

14 Herausforderung: Trust Worauf basiert Vertrauen? Qualität von Prozessen / Technologie Transparenz bzw. Überprüfbarkeit Überprüfung 15

15 Schwieriges Umfeld für Architekten Rechtfertigung für Architektur nicht immer gegeben Verständnis, was (Unternehmens-)Architektur ist, divergierend oder schwach ausgeprägt Föderales Umfeld, keine Top-Down Weisungsbefugnis Nachweis des Nutzens Akzeptanz Architektur Capability im ISB im Aufbau 16

16 Methodische Herausforderungen Anforderungsmanagement: viele Stakeholder, heterogenes Umfeld Nutzen in Bezug auf Anforderungen - nachweisen Tracebility von Anforderungen zu Features Architekturentwicklung im Brown Field (existierende Landschaft wird weiterentwickelt!) 17

17 Die Werkzeugkiste des Enterprise Architekten TOGAF ArchiMate SABSA Modellieren Projektführung nach HERMES 18

18 HERMES & TOGAF ADM als Vorgehensweise Hier passt TOGAF sehr gut Capability Development HERMES: Definiert Projekt- bzw. Programmvorgehen HERMES Phase Vor Start Kernprojekt Initialisierung Konzept Realisierung Einführung TOGAF ADM Iteration Preliminary A, E B,C,D,E,F F, G, H (B,C,D,E) bei Bedarf G, H Regelbetrieb Requirements- Management G, H (B,C,D,E) bei Bedarf (A,B,C,D,E,F) bei major changes Kontinuierlich Passt nicht auf HERMES; Releases nötig 19

19 Vorgehen Anforderungsmanagement Ausgangsmaterial (Dokumente) Normalisierung, Modellierung in ArchiMate 2.0 Ergebnis exportiert aus Repository (versioniert) Interview, Sitzung Protokolle Nachricht Aussagen Repository Bilder Tabellen V 1... V n Report Template Report Report V 1... V n (Word) Lesbar lesbar für für Fach Fach (LB) (LB) IST Aufnahme Bericht noch nicht verarbeitet Changemanagement Versionen Journal Template offene Punkte, Fragen V 1... V n 20

20 Requirement-Management mit SABSA und ArchiMate Stakeholder- und Requirement Management SABSA Business-Attributes SABSA is a proven methodology for developing business-driven, risk and opportunity focused Security Architectures Hier Fokus auf Business Requirements Engineering Framework (known as Attributes Profiling) Erfassung der Anforderungen mit Hilfe von ArchiMate in einem Modellierungstool Generierung von Reports (MDA-Ansatz) 21

21 SABSA Business Attribute Heatmap 22

22 Modellierung in ArchiMate Stakeholder Driver Hier SABSA Attribut Goal = Systemziel High-Level Anforderung Assessment Aussage, Bewertung aus der Anforderung folgt 23

23 SABSA-Attribute nicht frei von Ambivalenz Aber mit Modell-Unterstützung werden diese transparent! 24

24 High-Level Hypothesenbildung mit Domänenmodellen Kann der Scope veranschaulicht werden? Lässt sich das Problem in kleinere Einheiten aufteilen? Gibt es Hierarchien? 25

25 Ansatz IAM Domänenmodell 26

26 Architektur-Modellierung mit ArchiMate ArchiMate OpenGroup Standard Korrespondiert mit TOGAF Klares Meta-Modell Gut geeignet für Enterprise-Level BizzDesigner als Tool Schnell, einfache Bedienung Multi-User Repository In ISB / EFD vorhanden, verfügbar, supported Skriptsprache Report-Generator (schwach, aber per Skript viele Möglichkeiten) 27

27 Ergebnis: Funktions-Landkarte 28

28 Ergebnis: Funktionale Architektur 29

29 Ergebnis: Informationssystem- Architektur 30

30 Reality Check Ist-Situation: Reality Check Schaffung einer Baseline für Migrationen Einfacher Erkenntnisgewinn Speziell für externe Mitarbeiter im Programm! Ist-Analysen Interview Dokumentation (traditionell: Fragebogen, Prosa) Ableitung von Anforderungen Modellierung in ArchiMate 31

31 Ergebnis: IS-Architektur Access für eine bestehende egov-anwendung 32

32 Begründete Architektur Forderung nach Traceability : Was passiert auf Basis welcher Anforderungen? Gründe für Architekturentscheide? Können Business-Anforderungen mit Elementen der Architektur verknüpft werden? Architekturprinzipien als intermediäre Ebene 33

33 Architektur-Prinzipien als Netzwerk 34

34 Ein Beispiel für die Verknüpfung von Prinzipien und Anforderungen 35

35 Roadmap (Wunschvorstellung!) Von der Ist- zur Soll-Architektur Wunsch: Modellierung der Roadmap-Planung Auch hier könnte ArchiMate genutzt werden Heute: Baseline / Plateaus Bald: Capability-based Planning 36

36 Nutzen durch Enterprise Architektur Ansätze Architektur als Mittel zur Kommunikation Architektur ist Knowledge-Management Repository statt grosser Dokumente Ermöglicht Architekturentwicklung im Team Requirement-Engineering auf einem übergreifenden Niveau Nachvollziehbarkeit und Transparenz der Analysen Zielgruppen-spezifische Reports Trace zwischen Anforderungen, Prinzipien und Architekturelementen Ermöglicht iterativen Ansatz (TOGAF!) 37

37 Zusammenfassung Im Programm IAM Bund geht es um die Weiterentwicklung der Capability IAM Die Schweizer Bundesverwaltung ist ein komplexes, heterogenes Umfeld ohne zentrale IT-Autorität Einsatz von Mitteln der Enterprise Architektur für: (Iterativer) Prozess der Architektur- und Lösungsentwicklung Entwicklung Architekturinhalte Kommunikation Vorname Nachname, xx.yy