Benutzerverwaltungskosten. Provisioning senken. Arturo Lopez Senior Consultant

Transkript

1 Benutzerverwaltungskosten mit User Provisioning senken Arturo Lopez Senior Consultant

2 Agenda - Identity Management Grundlagen - Global Directory - User Provisioning - User Self Service und Workflow - Access Management - Lösungen für Directory Synchronisation, Workflow und Self Service (MIIS und OV Select Identity) - Anhaltspunkte für die Kostensenkung - Vorführung MIIS und Select Identity page 2

3 Das Identity Dilemma HR System Netzwerk Betriebssystem System Viele Datenquellen für unterschiedliche Zwecke Eigentümer von Daten sind nicht bekannt Punkt-zu-Punkt Integrationen Enterprise Portal B2B/B2C Portale E-learning Reisekosten Dokumenten- Management Durchschnittlich 68 interne und 12 externe Datenspeicher in großen Unternehmen Informationen über interne Anwender sind durchschnittlich über 22 Datenspeicher verteilt 11% der internen Anwender rufen einmal in Monat den Help Desk wegen Zugriffsproblemen an 45% der Help Desk Anrufe beziehen auf Passwort-Probleme Aus The Value of Identity Management, Meta Group 2002 page 3

4 Identity Management Das Problem Der steigende Aufwand für die Pflege von Anwenderdaten Der steigende Aufwand für die Verwaltung von Applikationen Erhöhte Anforderung an die Sicherheit der kritischen Systeme page 4

5 Die Herausforderung IT Admin Employees Home Office Agents Partners Web Services business need to grow, but with their current manual processes, they can barely compete Customers Komplex und manuelle Arbeit Eine Vielzahl von Werkzeugen Sehr teuer, da Arbeit von hoch qualifizierten Spezialisten durchgeführt wird Sehr fehleranfällig Änderungen können nur schwer rückgängig gemacht werden Benutzer haben viele Passwörter Account-Information ist verteilt und nicht synchron Directories Meta-Directories Virtual Directories Web Web Servers Portal Java App Custom Services Web Services Client Server Mainframes OS SOA Applications Messaging Databases CRM ERP Custom Non Digital Facilities Equipment Entry Control page 5

6 Was ist Identity Management? Ansatz zur konsolidierten Verwaltung von Identitätsinformationen Zur Beschreibung der Identitätsinformationen Zur Definition der Berechtigungen einer Identität Meistens eine Person, unter Umständen jedoch auch Organisationseinheiten, Anwendungen oder Dienste Die Architektur umfasst Globaler Verzeichnisdienst (Enterprise Directory) Verzeichnisbasierte Anwenderadministration Identitätssynchronisation User Provisioning Access Management page 6

7 Global Directory HR Datenbank Enterprise Portal NOS Global Directory B2B/B2C Portale Desktop Management Messaging Extranet Einkauf E-learning Anwendungs- Repository Reisekosten page 7

8 User Provisioning Zentralisierte Verwaltung von Identitätsinformationen Provisioning konzentriert sich auf verschiedene Business Prozesse und Workflows Automatisierung des User Life Cycle Erstellung von accounts in Legacy-Systemen und verschiedenen Betriebssystemen Delegation von Administrationstätigkeiten Employee Self Service Automatisierter Passwort Reset Helpdesk User Provisioning Engine HR DB NOS Global Dir UNIX Account Employees page 8

9 Access Management Zentralisierte Verwaltung des Zugriffs von Identitäten auf Ressourcen Basierend auf Identitätsinformationen und Berechtigungen der Identität Enge Verbindung zwischen Identity Management und Access Management Architektur Authentifizierung & Single Sign-On Zugangskontrolle und Autorisierung Session Management Auditing page 9

10 Global Directory page 10

11 Ziel eines Global Directory Es soll eine unternehmensweite eindeutige Sicht der gesamten Information einer Identität im Unternehmen gewährleisten Es soll die Probleme, welche durch die Verwaltung von Information in unterschiedlichen asynchronen Datenquellen entstehen, lösen page 11

12 Was ist und was leistet ein Global Directory Eine Zusammenfassung der Identitätsinformation aus unterschiedlichen asynchronen Datenquellen Entfernt widersprüchlichen und redundanten Informationen Garantiert eine eindeutige Sicht der gesamten Information einer Identität im Unternehmen Arten von Global Directory Enterprise Directory Meta Directory Virtual Directory page 12

13 MMS Overview User Provisioning page 13

14 User Provisioning Zentralisierte Verwaltung von Identitätsinformationen Provisioning konzentriert sich auf verschiedene Business Prozesse und Workflows Automatisierung des User Life Cycle Erstellung von accounts in Legacy-Systemen und verschiedenen Betriebssystemen Delegation von Administrationstätigkeiten Employee Self Service Automatisierter Passwort Reset Helpdesk User Provisioning Engine HR DB NOS Global Dir UNIX Account Employees page 14

15 MIIS Management Agents for Enterprise Edition Active Directory/ Exchange 2000 Active Directory/ ADAM Sun One Directory Server SQL Oracle Directory Services Markup language (DSML 2.0) LDAP Directory Interchange Format (LDIF) Delimited Text Fixed-Width Text Attribute-Value Pair Microsoft Windows NT 4.0 Exchange 5.5 Lotus Notes Novell edirectory page 15

16 OpenView Select Identity Architektur Administration Graphical User Interface Delegated Admin Self Service Policy & Security Event Manager Directories Select Identity API job 1 Security Layer (Authentication/Authorization/Session) Context Service Bus. Relationship Context Engine Job Processor Group User Resource Context Model Identity BP Services Business Apps Facilities H.R. Mainframe job n job 1 tasks: 1.Create SSO ID 2. Add user1 NT group 3. Add portal account Workflow Policy Reconciliation Audit/Report Forms Tiered Authority Messaging Databases Data Abstraction Data Services Transaction Mgr JCA Connector Bus RDBMS page 16

17 Select Identitiy Standard Connectors Microsoft Windows local host NT 4.0, Windows 2000, Windows XP (w/ change detection MS NT Domain (agent-based, w/ change detection) MS Active Directory (agent-based, w/ change detection) MS Exchange 2000 (based on AD connector) Sun Solaris 8 Sun Solaris 8 SSH Sun Solaris 9 Sun Solaris 9 SSH HP-UX 11i HP-UX 11i SSH RedHat Linux 8.0 RedHat Linux 8.0 SSH IBM AS/400 V5R2 Tandem G 6.18, G 6.22 Safeguard VAX/VMS 7.3, RACF 3270 emulation SAP R3 V4.6 Lotus Notes/Domino V5.0.x, V6.5.1 for MS Windows Lotus Notes/Domino V5.0.x, V6.5.1 for Solaris Oracle RDBMS 9i (Stored Procedure & Multiple Tables) MS SQL Server 2000 (Stored Procedure & Multiple Tables) IBM DB2 8.2 (Stored Procedure & Multiple Tables) Sybase Adaptive Server Enterprise 12.5 (Stored Procedure & Multiple Tables) SunOne Directory 5.0, 5.2, w/ change detection polling utility CA e-trust Directory Oracle Internet Directory v (OID) Netegrity Siteminder v5.5 IBM Tivoli Access Manager v 5. BMC Control-SA page 17

18 Select Identity standard connectors (Geplant) Novell e-directory HP Tru64 Oracle 9i, 10g DBA provisioning Sybase Adaptive Server Enterprise 12.5 DBA provisioning IBM DB2 8.2 DBA provisioning Microsoft SQL Server 2000 DBA provisioning Oracle 10g Stored Procedure & Multiple Tables page 18

19 Simple Password Management Overview of MMS password management Supported Management agents WMI methods Managing Password using Web applications Simple Password Management und Self Service page 19

20 Passwort zurücksetzen mit Select Identity page 20

21 Select Identity User Self Service page 21

22 Workflow mit Select Identity page 22

23 Wie kann man Kosten senken? page 23

24 Identity Management Kostenreduktion (I) Effizienz und Produktivität 15-25% der Aufgaben für Benutzerverwaltung müssen wegen Fehler im Arbeitsprozess mehrfach gemacht werden(intl Security Forum Report) 27% der Firmen brauchen länger als 5 Tage für die Erteilung und Entfernung von Zugriffsrechten (Intl Security Forum Report) Kostenreduktion 40-60% der Help-Desk-Arbeit bezieht sich auf Passwortprobleme (Meta and Intl Security Forum Report) Firma mit 12 Applikationen kann bis 3.5M$ in 3 Jahren sparen und ein ROI von 295% erreichen (14,000 Stunden in Benutzerverwaltung und 6,600 Stunden im help desk) -Gartner page 24

25 Identity Management Kostenreduktion (II) Sicherheit Im besten Fall werden nur 62% der Zugriffsberechtigungen nach Beendigung der Aufgabe entfernt( Meta). Diese Account erhöhen das Sicherheitsrisiko um 23-Fach 81% der Einbrüche sind firmenintern (Computer Security, Issues, & Trends) Ein firmeninterner Einbruch kostet ca. 250K per incident (FBI/CSI Computer Crime and Security Survey) Audit Nur 50% der Firmen führt regelmäßige Audits Bis zu 60% der Zugriffsberechtigungen sind nicht mehr aktuell. In Firmen mit hoher Fluktuation bis zu 80% (IDC) page 25

26 Identity Management Kostenreduktion(III) Effizienz Im Durchschnitt dauert es länger als eine Woche Zugriffsrechte zu erteilen oder zu entfernen Firmeninterne Einbrüche kosten durchschnittlich $250K per Einbruch Kosten Passwort-Reset durch Help Desk kostet 30 Euro IT-Aufwand für ein Benutzerzyklus > 3 Tage Audits für Benutzerberechtigungen kosten mehr als 100K Euro Technisch 50% der Help-Desk-Anrufe beziehen sich auf Passwörter 50% der Firmen überprüfen die Benutzerberechtigungen nicht regelmäßig Zwischen 60% und 80% der Zugriffsberechtigungen sind inkorrekt 80% der Einbrüche werden firmenintern durchgeführt 40% der Mitarbeiter haben weiterhin Berechtigungen nach Beendigung des Arbeitsverhältnisses page 26

27 Provisioning MIIS Provisioning Scenarios Data Flow Key Steps Deprovisioning page 27

28 MIIS Versionen Standard Edition Windows 2003 Enterprise Edition Microsoft SQL Server 2000 Desktop Engine (MSDE) or SQL Server 2000 Enterprise Edition Windows 2003 Enterprise Edition SQL 2000 Enterprise Edition Visual Studio.NET page 28

29 Enterprise Edition Lizenz per CPU Funktionalität Sysnchronisation User Provisioning User Self Service Help Desk Passwort-Reset API über Visual Studio.Net (VB and C#) Viele Management agents page 29

30 OpenView Select Identity page 30

31 HP OpenView Identity Management solution page 31

32 HP OpenView Identity Management Registration/ Creation Propagation Accounts & Policies Termination Maintenance/ Management Select Identity Cross-enterprise user life-cycle management Provisioning Workflow Password management Self Service Delegated administration page 32

33 HP OpenView Identity Management Registration/ Creation Propagation Authentication Authorization Accounts & Policies Single Sign-On Termination Maintenance/ Management Personalization Select Identity Cross-enterprise user life-cycle management Provisioning Workflow Password management Self Service Delegated administration Select Access Authentication Policy-based (centrally set and enforced) Access control Single sign-on Web Services Security &Access Mgmt Personalization page 33

34 HP OpenView Identity Management Registration/ Creation Propagation Authentication Authorization Accounts & Policies Single Sign-On Federation Termination Maintenance/ Management Personalization Select Identity Cross-enterprise user life-cycle management Provisioning Workflow Password management Self Service Delegated administration Select Access Authentication Policy-based Access control Single sign-on Web Services Security &Access Mgmt Personalization Select Federation Open protocol federation Automated interorganizational user activation & provisioning Privacy management Federation auditing & governance page 34

35 HP OpenView Identity Management Registration/ Creation Accounts & Policies Propagation Authentication Authorization Single Sign-On Federation Compliance Privacy New! Termination Maintenance/ Management Personalization Select Identity Cross-enterprise user life-cycle management Provisioning Workflow Password management Self Service Delegated administration Select Access Authentication Policy-based Access control Single sign-on Web Services Security &Access Mgmt Personalization Select Federation Open protocol federation Automated interorganizational user activation & provisioning Privacy management Federation auditing & governance Select Audit Standalone audit server Policy-based auditing Service audits Tamper-resistant Reports/Alerts Segregation of duties page 35

36 Innovation Driver: Business Driven IdM traditional Approach Workflows Administration Forms Audit/Report Password Policy Delegation Self Service Notifications Provisioning Transactions page 36

37 Innovation Driver: Business Driven IdM Workflows Administration Benefits IdM Service Forms Audit/Report Password Policy Delegation Self Service Notifications Provisioning Transactions page 37

38 Innovation Driver: Business Driven IdM Business Service Approach A SERVICE Object Manages: Resources & Entitlements IdM Business Processes Forms Approval Workflows Policies Provisioning Self service N-Tier Delegation Segmented Auditing Notifications Transactional Integrity Benefits Benefits IdM Service BR BR BR BR BR-NEW Business Relationship: Inherits a subset of the Service. BR BR BR BR Provides an implicit security, transaction, delegation and auditing model page 38

39 Business-centric, highly integrated Users User Groups context Classes of Service Services Customer Support Resources Exec Mgr Acct Rep CSR Even more: Services are mapped to existing business processes ensuring alignment between IT and business views of identity and access Services enable process-wide policies, workflows, profile data requirements and forms Delegation is built into the class of service hierarchy Delegation Policies Workflows ID profile data Forms First Name:string,1-32 Last Name:string,1-32 Empl ID: number User ID:string,1-10 Password:string,1-32 Dept:multi-select Cost Center:multi-select Manager:ref to Empl ID page 39

40 MMS Overview Zusammenfassung page 40

41 Zusammenfassung Die Grundlage für User Provisioning ist ein Global Directory Mit User Provisioning können die Benutzerverwaltungskosten gesenkt werden Wir haben MIIS und OpenView Select Identity vorgestellt Man sollte aufgrund der Anforderungen entscheiden, welches Tool das geeignete Tools ist page 41

42 Fragen page 42