HP OpenView Select Access

Transkript

1 U. Könenberg, F. Waibel, C. Ziegler Veranstaltung, SS05 Prof. Dr. Martin Leischner 1 Gliederung 1. Einordnung Select Access 2. Funktionen von Select Access 3. Systemarchitektur 4. Administration 5. Ablauf der Authentifizierung 6. Zusammenfassung 7. Quellenangaben 2

2 1. Einordnung Select Access HP OpenView Identity Management solution Identitätsmanagementlösung von HP Zweig des HP OpenView Portfolios Modularer Aufbau Bestandteile: Select Access (Webservices) Select Identity (User Provisioning) Select Federation (Corporate Identity Management) Ziele: Verringerung des Administrationsaufwands, Kostensenkung, Erhöhung der Sicherheit, Standardkonformität, Effizienzsteigerung 3 4 Quelle: Hewlett Packard Company: Concepts guide, URL: Cupertino 2005

3 2. Funktionen von Select Access Zentrale Erfassung und Verwaltung von Webressourcen Integration bestehender Systeme (Web-/Applikationsserver) Anbindung an Verzeichnisdienst(e) Definition / Zuweisung von Zugriffsregeln (Policies) und Rollen (Roles) an Benutzer Ermöglichung von Single sign-on Überwachung und Protokollierung von Zugriffen (Audit) Möglichkeit der delegierten Verwaltung 5 3. Systemarchitektur Kernkomponenten (Select Access): Administration Server Enforcer-Plugins Policy Builder Policy Validator Secure Audit Server SAML-Server Weitere Komponenten (Drittanbieter): Directory Server, Applikationsserver, Webserver 6

4 Administration Server Koordiniert die Konfiguration der SA-Komponenten Sammelt gemeinsame Parameter Regelt den Zugriff auf die Konfigurationsdaten der Komponenten Enforcer-Plugins Fungieren als Agents für SA auf Seite der Ressourcen Sind als Plugins realisiert Verfügbar für gängige Web-/Applikationsserver (Apache, IIS, BEA, IBM) Verhindern direkten Zugriff auf die Ressource Policy Builder Frontend zu Select Access Java-basiert Verwaltung von Identitäten, Ressourcen, Policies 7 Policy Validator Nimmt Anfragen von Enforcern entgegen Wertet Anfragen aus und gibt Ergebnis an Enforcer zurück Secure Audit Server Protokolliert beliebige Aktionen von Select Access mit Frei konfigurierbar zur exakten Bedarfsanpassung Ermöglicht Nachverfolgung jeglicher Systemaktivitäten SAML-Server (Security Assertion Markup Language) Kommunikation zwischen IMS 8

5 Directory Server LDAP-v3 fähiger Verzeichnisdienst Repository für Policies, Benutzer- und Ressourcendaten MS Active Directory, Novell NDS edirectory, OpenLDAP, Applikationsserver WSE, Axis, Servlet, Webserver Apache, IIS, Sun, Netscape, 9 ADMINISTRATOR Informationstorage 1 - Useraccounts - Resources - Policies Informationstorage n - Useraccounts HTTPS USER POLICY BUILDER ADMIN. SERVER SSL / LDAP ENFORCER PLUGIN SSL / XML POLICY VALIDATOR SSL / LDAP SAML SERVER DIRECTORY SERVERS SAML RESSOURCE SELECT ACCESS SERVER 10 OTHER IMS

6 4. Administration durch Einsatz des Policy Builder s: - grafisches Frontend - plattformunabhängig durch Java - Definition von Policies, Rollen, etc. durch Point-and- Click - Verwaltung über Policy-Matrix 11 Ressourcen Zugriff verboten Zugriffsregel Zugriff erlaubt Benutzer Rule-Builder Demonstration im Netzlabor 12

7 5. Ablauf der Authentifizierung Ohne Einsatz von Select Access: 1. User greift auf eine Ressource zu 2. Ressource bearbeitet die Anfrage Bewertung: Authentifizierung müsste durch die Ressource erfolgen Erforderlich: lokaler Benutzer/Policyspeicher oder Anbindung an einen Directory-Server oder Auth.-Server Verteilte Speicherung von Informationen (problematisch) 13 Mit Einsatz von Select Access: 1. User greift auf eine Ressource zu 2. Enforcer-Plugin fängt die Anfrage ab 3. Enforcer sendet Anfrage an Policy Validator 4. Policy Validator prüft und gibt Ergebnis zurück 5. Abhängig vom Ergebnis wird Zugriff auf die Ressource verweigert oder gestattet Bewertung: Authentifizierungsaufgabe entkoppelt von der Ressource Zentrale Speicherung von Informationen zur Authent. Einfache und einheitliche Integration von Ressourcen 14

8 6. Zusammenfassung Select Access bietet die Möglichkeit Webressourcen zentral zu verwalten Vorhandene Systeme werden über Plugins integriert Ressourcen, Benutzer und Policies werden auf Directory Server(n) abgelegt Vorteile: Weniger Administrationsaufwand, Erhöhte Sicherheit, Standardkonformität, Single sign-on, Zugriffsprotokollierung, Kostenersparnis Quellenangaben Christiansen, C.A.: Identity Management: A Growing Player in the Regulatory Compliance Challenge, URL: VV83/images/HP_IDM_WP.pdf, Framingham 2005 Hewlett Packard Company: HP OpenView Identity Management solution Business blueprint, URL: Cupertino 2004 Rubin, J.H.; Budhiraja, R.: I manage, therefore IAM, URL: Manhasset

9 Hewlett Packard Company: Concepts guide, URL: Cupertino 2005 Hewlett Packard Company: Installation guide, URL: Cupertino 2005 Hewlett Packard Company: Network integration guide, URL: Cupertino 2005 Hewlett Packard Company: Policy builder user s guide, URL: Cupertino 2005 Alle Links am auf Funktionalität geprüft 17