Identity & Access Management in Extranet Portal Projekten November 2007 Kontakt: Udo Hochstein CGI GROUP INC. All rights reserved _experience the commitment TM
Agenda Einleitung Referenzszenario Referenzarchitektur Authentisierung/Authentifizierung Autorisierung Benutzerverwaltung Fragen 2
Biographie Udo Hochstein Senior Consultant, IAM CGI Information Systems and Management Consultants (Deutschland) GmbH 4 Jahre IAM Projekterfahrung 12 Jahre IT Erfahrung (Administrator, Consultant, Systemarchitekt, Projektmanager) Diplom Mathematiker CGI Einer der größten IT Dienstleister mit weltweit 25.000 Mitarbeitern 3
Referenzszenario
Typisches Extranet Portal Webapplikationen (5-250) Interne Benutzer in einem MS Active Directory Externe Benutzer Single Sign-On Benutzerverwaltung für externe Benutzer Automatisiertes Access Management Provisionierung Zentrales Auditing 5
Referenzarchitektur
Architektur - Produkte Verzeichnisdienst Oracle Internet Directory, Oracle Virtual Directory WAM / WebSSO Oracle Access Manager Identity Management Oracle Identity Manager Andere Komponenten MS Active Directory Oracle DB Webserver 7
Architektur - WebSSO Frontend Apache/IIS Access Server / Identity Server Backend Log DB Cluster AS & IS Cluster Active Directory Cluster LDAP Cluster 8
Authentisierung/Authentifizierung
Typische Herausforderungen Single Sign-On mit Windows Anmeldung Trennung von internen und externen Benutzerkonten Eindeutiges Login Benutzerspezifische Authentisierungsverfahren Two-Factor Authentication Startseite 10
Single Sign-On mit Windows Anmeldung Interne Benutzer sollen ihre AD Logins verwenden, möglichst mit SSO Vereinfachtes Login mit Virtual Directory Integrated Windows Authentication von OAM für echtes SSO IE IIS ggf. Virtual Directory 11
Trennung Extern/Intern Für die Portanmeldung Speichern werden eindeutige von externen Logins Benutzerkonten benötigt, die aber im Active Directory gleichzeitig ist evtl. ein Sicherheitsrisiko benutzerfreundlich sein müssen Verteilte Benutzerkonten erschweren die Überprüfung Windows Login (samaccountname) ist nur innerhalb einer Domäne eindeutig, aber nicht im AD Zusätzlicher Verzeichnisdienst (z.b. Oracle Internet Directory) WAM Tool muss die Verteilung der Benutzerkonten auf 2 Verzeichnisdienste unterstützen Oracle Virtual Directory 12
Eindeutiges Login Für die Portanmeldung werden eindeutige Logins benötigt, die aber gleichzeitig benutzerfreundlich sein müssen Verteilte Benutzerkonten erschweren die Überprüfung Windows Login (samaccountname) ist nur innerhalb einer Domäne eindeutig, aber nicht im AD Benutzer wählen Kontext IWA unterstützt identische Logins in verschiedenen Domänen Custom Code Email Adresse 13
Verschiedene Authentifizierungsverfahren Interne Benutzer melden sich via IWA an Externe Benutzer melden sich via HTTP-Form an -> scheint unvereinbar mit der eindeutigen Zuordnung von Ressource zu Authentifizierungsschema Interne Zugriffe über einen internen Reverse Proxy Externe Zugriffe über einen externen Reverse Proxy SDK 14
Two Factor Authentication Webserver WebGate RSA SecurID HTML Form Standard Plugin HTML Form Access Server CGI Script Unterstützung für PIN Reset Benuzter mit Token SecurID Plugin ACE Client OAM Userstore ACE Server ACE Userstore 15
Portal Startseite Dynamische Startseite (portal.company.com) Interne werden automatisch eingeloggt (IWA) Externe (ohne SSO-Cookie) sehen Anmelde- und Selfservice- Optionen (Ansonsten) identisch Mit OAM Bordmitteln nicht umsetzbar Über JSP/ASP werden Seiteninhalte in Abhängigkeit von der Existenz eines SSO- Cookies angezeigt Startseite ist für Interne geschützt und für Externe ungeschützt 16
Autorisierung
Typische Herausforderungen Speicherung der Autorisierungsdaten Rollen 18
Speicherung der Autorisierungsdaten Üblicherweise speichert man Autorisierungsdaten zusammen mit den Logindaten Mögliche Probleme in Bezug auf AD Performanceeinbußen Unerwünschte Schemaänderung Externe Schreibzugriffe verstoßen gegen Sicherheitsrichtlinien Die Verwendung eines separaten Autorisierungsverzeichnisses stellt zusätzliche Herausforderungen Synchronisation (Identity Manager / Scripte) Accountmapping (SDK) 19
Rollen Der RFP fordert immer RBAC! In der Praxis setzt sich immer DAC durch! 20
Benutzerverwaltung
Typische Herausforderungen Profilverwaltung Access Management 22
Profilverwaltung Web basiert Portal integriert Delegierte Administration (intern/extern) Selbstregistrierung Passwort-Reset Keine benutzerfreundliche GUI in Verzeichnisdiensten Oracle Access Manager (Identity Server) Identity Manager 23
Access Management Web basiert Portal integriert Beantragen und Genehmigen von Zugriffen Delegierte Administration (intern/extern) Integration mit Provisionierung Oracle Access Manager (Identity Server) Identity Manager 24
Lessons Learned Was der Kunde erwartet (und die Portalhersteller teilweise versprechen) Realität Es genügt ein simples LDAP Verzeichnis Komplexe Infrastruktur Anpassungs- /Entwicklungsaufwand 25
Fragen Fragen 26