Identity Management. Agenda. Torsten Gerbig E-Business. Was ist Identity Management? Warum Identity Management? Identity Management im Portal der GDB

Transkript

1 Identity Management Torsten Gerbig E-Business Agenda Was ist Identity Management? Warum Identity Management? Identity Management im Portal der GDB SUN Identity Manager Access Control Management 1

2 Identity Management "Identity management, user provisioning and single sign on are the top three priorities of IT spending in Fortune 1000 companies." The April 2004 Heat Index," Information Security magazine "Digital identity is one of the fundamental building blocks for the next generation of information systems." Tony Scott, CTO of General Motors "The increasingly distributed nature of corporate networks, the proliferation of Webbased applications, increased security awareness, and government regulations such as Sarbanes-Oxley & HIPAA have contributed to making Identity Management a necessity for virtually every business." Roberta Witty, Research Director, Gartner, Inc. Quelle: HP Security Handbook Identity Management 2 Identity Management - Begriffe Identity management is the set of processes, tools, and social contracts surrounding the creation, main-tenance, and use of digital identities for people, systems, and services. It enables secure access to a set of systems and applications. Its components include data repositories, security, life cycle management, consumables, and management policies. Quelle: HP Security Handbook Identity Management Identity Management (IM) is an integrated system of business processes, policies and technologies that enable organizations to facilitate and control their users' access to critical online applications and resources while protecting confidential personal and business information from unauthorized users. It represents a category of interrelated solutions that are employed to administer user authentication, access rights, access restrictions, account profiles, passwords, and other attributes supportive of users' roles/profiles on one or more applications or systems. Quelle: Wikipedia, 3

3 Identity Management - Begriffe Der kontrollierte Einsatz von digitalen Identitäten und Berechtigungen sowie deren Erzeugung, Pflege, Nutzung und ggf. Löschung mit dem Ziel, vertrauenswürdige Prozesse plattformübergreifend und standardisiert nutzbar zu machen. Quelle: TeleTrusT Deutschland e.v. 4 Identity Management - Bestandteile Password Management Synchronisation User Administration & Provisioning Audit & Compliance Management Access Management 5

4 Identity Management - Begriffe Identity Identity = Digital Identity Ein Set an Informationen, die über eine Person bekannt sind Profildaten, Identifizierungsdaten, Authentisierungs- und Autorisierungsdaten Quelle: HP Security Handbook Identity Management 6 Identity Management - Begriffe Provisioning Prozeduren und Werkzeuge zum Verwalten des Lebenszyklus eines Userobjektes User Objekte Erzeugen Ändern Löschen Zuordnen von ID Authentication Provider Attributen Privilegien 7

5 Lebenszyklus einer Identität Neue Nutzer Nutzer registriert sich oder wird in HR angelegt Konten in Systemen, Anwendungen und Verzeichnissen angelegt Nichtdigitale Ressourcen zugeteilt bzw. beantragt Status in HR aktualisiert Änderungen an Partnerkontakten Kunde schließt Konto Zugriff deaktiviert oder entzogen Nichtdigitale Ressourcen eingezogen bzw. storniert Ausscheiden Änderungen & neue Services Änderungen Funktion / Rolle / Status Passwort Änderungen und Resets Profiländerungen Zusätzliche Konten oder Ressourcen beantragt 8 Identity Management - Begriffe Access Control: Authentication Wer möchte zugreifen? Geprüft über ID und Passwort, Zertifikat oder sonstiges Credential Authorization Darf der Aufrufer auf einer gewählte Ressource eine bestimmte Aktion ausführen? Auditing Verfolgung der Erstellung, Änderung und Benutzung von Userdaten 9

6 Warum Identity Management? 10 Identity Management vs Identity Anarchy Identity Anarchy: Kein zentrales Repository der Userdaten (unterschiedliche Lokationen, Plattformen, Formate) Keine einzelne Autorisierungsinstanz, die Zugriffsberechtigungen und Profile der User vorhält Die Informationen über User werden nicht synchronisiert Applikationen sollen Userinformationen untereinander teilen und dabei die Datensicherheit und schutz sicherstellen, aber kein Masterplan Verhindert Effektivität und Effizienz 11

7 Warum Identity Management? Extranets Portale Corporate Governance Innere Risiken Web Services Dynamische Nutzer Basis Laufender Betrieb Service optimieren Help Desk Kosten reduzieren Entwicklung Sicherheit garantieren Integration Äußere Bedrohungen Gesetzliche Vorschriften 12 Warum Identity Management? Interne Standards, Security Policies, Best Practices COBIT, BSI Grundschutzhandbuch, NIST, ISO 17799, externe Gesetze EU Richtlinien, Basel II, Sarbanes-Oxley, Bafin, GoBS, FDA) 13

8 Warum Identity Management? Ausgangslage: Ablösung des existierenden Status Quo ( User Admin Tool ) Ziele: Integration Rollen-/Rechtemodell Implementierung von Synchronisations-Szenarien und Regeln Password Management (zentral/dezentral) Rollenbasierte dezentrale Pflege von Userdaten (Self Service) Definition und Implementierung von Audit-Reports Applikationen unterschiedlicher Technologien in heterogenen Systemlandschaften kommunizieren sicherer und effektiver Zugriffsberechtigungen für interne und externe User werden sicherer, effizienter verwaltet und kontrolliert 14 Der Business Case für Identity Management Motiv Weniger Risiken Ansatz mit Identity Management Rollen- und regelbasiertes Provisioning forciert Richtlinien Dynamischer Workflow mit klar umrissenen Freigaben Automatische Deaktivierung (de-provisioning) Umfassender Audit und Berichte zu Profildaten, Änderungshistorie und Privilegien Aktive Suche nach verwaisten Konten Einheitliche Paßwortrichtlinien für alle Datenquellen Besserer Service Self-Service automatisiert Provisioning, Registrierung, Paßwort- und Profilmanagement Automatische Synchronisation von Identitätsdaten zwischen heterogenen Quellen Granulare delegierte Administration Unterstützung für SPML Standard, inklusive Toolkit Weniger Kosten Self-Service automatisiert Provisioning, Registrierung, Paßwort- und Profilmanagement Automatische Deaktivierung von Konten und nichtdigitalen Ressourcen senkt Kosten Automatische Synchronisation von Identitätsdaten zwischen heterogenen Quellen Granulare delegierte Administration Migration der Identitätsdaten zu zentraler Verzeichnisinfrastruktur 15

9 Compliance mit Sarbanes Oxley Sarbanes Oxley Forderung Finanzverlautbarungen müssen verifizierbar und auditierbar sein. Die IT muß sicherstellen, daß geschäftskrititische Anwendungen nicht ausfallen durch Bedienfehler, Personalfluktuation oder unautorisierten Zugriff/Sabotage. Zugriffsrechte in verteilten und vernetzten Umgebungen müssen effektiv kontrolliert und verwaltet werden. Ansatz mit Identity Management Sicherheitsrichtlinien forcieren Aktive Suche nach Risiken durch verwaiste Konten Automatische Aktivierung und Deaktivierung Rollen- und regelbasiertes Provisioning Granular delegierte Administration Auskunft in Echtzeit Zugriffsrechte und Privilegien müssen periodisch überprüft werden Firmen müssen nachweisen können, daß nur autorisierte Nutzer Zugriff auf sensible Systeme und Informationen haben Nachprüfbarkeit interner Kontrollstrukturen und Prozesse Durchsetzung der Richtlinien und Prozesse dokumentieren Kontrolle muß über die üblichen Finanzsysteme hinausgehen. Kontrolle über Zugriff auf Multi-User Informationssysteme muß etabliert werden u.a. kann eine Person nicht mehrere IDs oder Konten haben Die Zuteilung der Paßwörter muß verwaltet werden. Paßwortsicherheit muß durch Richtlinien forciert werden. Aufgabenteilung Zugriffsberichte in Echtzeit; nach Nutzer und Ressourcengruppe Audithistorie liefert historische wer hatte Zugriff Berichte Auditdaten beliebig lange speicherbar Regel Engine forciert Regeln durch automatische Zuordnung von Privilegien nach Unternehmensrichtlinien Dynamische Workflow verhindern Umgehen von Prozessen Fertige Ressourcenadapter für eine große Zahl von Anwendungen, Betriebssysteme, Datenbanken und Verzeichnisse Virtual Identity Manager (VIM) Auto-Discovery Zentrale Definition und kontinuierliche Forcierung von Richtlinien für starke Paßwörter: Richtlinien für Paßwortgüte Richtlinien für Ausschluß früher benutzter und geläufiger Paßwörter Richtlinien für Ablaufen von Paßwörtern Forcierung von Challenge/Response Authentisierungsprotokollen Automatisiertes Nutzerprovisioning Führende Systeme Regel Engine 16 Synchronisation Ausgangslage: Problem mit Identitäts und Kundendaten Mangelnde Aktualität Keine Möglichkeit Daten z.b. im self-service zu pflegen Lösungsmöglichkeit über Synchronisation: Daten können aus unterschiedlichsten vorhanden Systemen (z.b. Datenbanken) über den Identity Manager synchronisiert werden Vorteile: Verteilte Datenbestände werden konsistent gehalten Applikationsänderungen sind nicht notwendig 17

10 Identity Management im Portal der GDB 18 Identity Management im Portal der GDB Ist-Architektur Ziel-Architektur 19

11 SUN Identity Manager 20 SUN Identity Manager Delegierte Admin Sichten Einheitliche Identity Console Verwaltung Rollen & Regeln Self-Service Interfaces Audit Berichte Automatisches Nutzer Provisioning Passwort Management Identity Synchronisation Auto- Discovery Identity Plattformdienste Virtual Identity Manager Rules Engine Dynamischer Workflow Adapter ohne lokale Agenten SPML Toolkit Verzeichnisse Datenbanken Mainframes Betriebssysteme SAP R/3 u.a. Eigene Anwendungen Nichtdigitale Geräte 21

12 Provisionierungs-Szenario heute: fragmentiert, ineffizient und unsicher Partner Mitarbeiter Kunden Ehemalige Mitarbeiter Wer hat worauf Zugriff? Wer sollte Zugriff haben? Was ist unser Risiko? Welche Anlagen nutzen wir? Was kostet Personaldatenbank uns das? Call Center Help Desk Anlagen / Beschaffung Exchange und Active Directory SAP R/3 Andere Backendsysteme Kostenpflichtige Geräte Mobiltelefon Conference Call Konto Kreditkarte / Tankkarte Andere Anlagen Büro Telefon Laptop 22 Provisionierung mit Identity Management Partner Kunden Weniger Risiko Zentrale Sicht auf Nutzeridentität Effizienter, automatisierter Betrieb Freigabe durch Manager Exchange und Active Directory SAP R/3 Andere Zielsysteme Kostenpflichtige Geräte Mobiltelefon Conference Call Konto Kreditkarte / Tankkarte Andere Anlagen Büro Telefon Laptop 23

13 Password Management alt : teuer, arbeitsintensiv und monoton Nutzer z.b. Extranet Partner Mitarbeiter Kunden Prozesse Help Desk Teure manuelle Prozesse Typische Reset-Peaks Nutzer an Arbeitszeit des Helpdesks gebunden Nutzer müssen Help sich Desk diverse Passwörter merken Zielsysteme Exchange und Active Directory Siebel CRM Unix SAP HR Oracle Financials RACF Perosnalverwaltung 24 Passwort Management neu mit Identity Management: effizient, schnell und komfortabel Nutzer z.b. Extranet Partner Mitarbeiter Kunden Prozesse Automatisiert Jederzeit verfügbar Nutzer brauchen nur ein Paßwort Zielsysteme Exchange und Active Directory Siebel CRM Unix SAP HR Perosnalverwaltung Oracle Financials RACF 25

14 Access Control Management 26 Role-based Access Control Diverse Access Control Models vorhanden Sehr große Verbreitung: Role-based Access Control Model (RBAC) RBAC: Rollen werden basierend auf Funktionen gebildet (Zugriffs-) Berechtigungen werden anhand dieser Rollen vergeben User werden den verschiedenen Rollen zugeordnet 27

15 Butterfly Model Von Norcom entwickeltes Model Basierend auf RBAC Erweiterung des RBAC Konzepts um Benutzergruppen Ressourcenmodellierung 28 ERM des Butterfly Models 29

16 Vielen Dank für Ihre Aufmerksamkeit! 30