Identity & Access Management in Extranet Portal Projekten

Ähnliche Dokumente
Cloud Control, Single Sign On in Active Directory Umfeld

über mehrere Geräte hinweg...

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

Windows Azure für Java Architekten. Holger Sirtl Microsoft Deutschland GmbH

i-net HelpDesk Erste Schritte

Authentication as a Service (AaaS)

Wer bin ich? Senior Consultant Enterprise Mobility. MVP Cloud and Datacenter Management

AZURE ACTIVE DIRECTORY

Identity for Everything

Single Sign-On Step 1

Identity & Access Management in der Cloud

DAS IDENTITY MANAGEMENT DER ZUKUNFT

Dezentrales Identity Management für Web- und Desktop-Anwendungen

Identity Management. Puzzle mit vielen Teilen. Identity Management Forum München 10. Februar 2004

Veröffentlichung und Absicherung von SharePoint Extranets

Single Sign-On für SaaS-Dienste auf Basis von Open Source Software. Prof. Dr. René Peinl

Jens Pälmer; ; Senior Sales Manager Identity Management Oracle D,I,CH

Enterprise Web-SSO mit CAS und OpenSSO

Linux-Workstations nativ in das Active Directory einbinden

Single-Sign-On für Web-Anwendungen. Dr. Günter Unbescheid Database Consult GmbH

FirstWare IDM Portal FreeEdition Quick Start Guide. Version

Single Sign-On mit Tivoli Access Manager for enterprise Single Sign-On

Identity Propagation in Oracle Fusion Middleware

Einführung IGA bei der Firma Centris AG. 25. Juni 2015

agate.ch - Plattform für Applikationsintegration Yannick Beaud Fachgruppenleiter Architektur und Strategie, ISCeco EVD Reto Kohlas IT Architect, [ipt]

Einführung SSO bei Hero. Marc Wagener, Hero / Carsten Olt, SECUDE June 12, 2013

IT-Symposium. 2E04 Synchronisation Active Directory und AD/AM. Heino Ruddat

Überblick über die Windows Azure Platform

Frankfurt,

Handy-Synchronisation Inhalt

SUN IDENTITY MANAGEMENT

RSA INTELLIGENCE DRIVEN SECURITY IN ACTION

FirstWare FreeEdition Quick Start Guide. Version 1.3

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover,

Demo: Sicherheitsmechanismen von Collaboration- und Community-Diensten

Agenda Azure Active Directory mehr als nur Benutzer und Gruppen

SharePoint Security Einführung in das SharePoint Sicherheitssystem. Fabian Moritz MVP Office SharePoint Server

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE

HP OpenView Select Access

<Insert Picture Here> Investitionsschutz und Innovationsdruck: Wie muss eine zukunftssichere Plattform aussehen?

ArcGIS for Server : Sicherung von Diensten und Anwendungen Erfahrung von Kanton Freiburg

Web Space Anbieter im Internet:

Microsoft Azure für Java Entwickler

Der Styx im Schwerlastverkehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Sichere Authentifizierung SSO, Password Management, Biometrie Dr. Horst Walther, KCP

TRIAS-AMOS Handbuch Band 3 Benutzerverwaltung Seite: 1

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH

Federated Identity Management

<Insert Picture Here> Kerberos Geheimnisse in der Oracle Datenbank Welt

Projektbericht. Daniel Löffler Tel.:

Asset & Configuration Mgmt sowie Identity & Access Mgmt Basis für die Integration von IT in das IT-SysBw

Oracle 10g Integration mit Microsoft Active Directory

B E N U T Z E R D O K U M E N TA T I O N ( A L E P H I N O

my.green.ch... 2 Domänenübersicht... 4

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R2: Administration I

VMware Horizon Workspace

Office 365 & Windows Server Ein Blick über den Tellerrand. René M. Rimbach Raphael Köllner

FirstWare FreeEdition Quick Start Guide. Version 2.1

Secure Authentication for System & Network Administration

Identity Management: Der Schlüssel zur effektiven Datensicherheit

Iden%ty & Access Management: Das Rückgrat der Hochschul- IuK- Infrastruktur

Inhaltsverzeichnis Vorwort Konzepte des Active Directory

Rechenzentrum Ausblick und Planung des RRZE für die nächsten Jahre

Netzwerksicherheit. Teil 10: Authentifikation und Autorisierung. Martin Mauve, Björn Scheuermann und Philipp Hagemeister

IRRISS THE ENTERPRISE

B E N U T Z E R D O K U M E N TA T I O N ( A L E P H I N O

JUNG Facility-Pilot Visualisierungs-Server Version 2.2

Office 365 Einsatzszenarien aus der Praxis. Martina Grom, Office 365 MVP

Inhaltsverzeichnis IBM SOFTWARE PRESS

Version 4.1. licensemanager. What's New

2012 Quest Software Inc. All rights reserved.

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

1. Integration von Liferay & Alfresco 2. Single Sign On mit CAS

tubcloud und DFN-Cloud der TU Berlin Thomas Hildmann tubit IT Dienstleistungszentrum ZKI AKe Web & CM 03/2015

Office 365 Active Directory Federation Services Shibboleth

Portal for ArcGIS - Eine Einführung

SSO mit Forms direkt gegen ein Active Directory. Wolf G. Beckmann TEAM GmbH Paderborn

Identity-Management flexible und sichere Berechtigungsverwaltung

Mobile High Availability, Traveler, Device Management, Mobile Connect, Blackberry.

VISkompakt V2. Internals. Referent. 1M05 Internals von VISkompakt 15:00 Uhr 16:00 Uhr. Entwicklungsleiter von VISkompakt. PDV-Systeme Erfurt

IT-Sicherheit und OFM: Eine Herkulesaufgabe?

Passfaces - eine zusätzliche Möglichkeit zur Authentisierung in Windows-Netzwerken, Internet und Intranet

Identity as a Service

egov aus dem Baukasten

SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP

Bewährt. Sicher.

IT-SECURITY 2006 PARTNER SOLUTION DAYS RSA SECURITY

Digicomp Microsoft Evolution Day ADFS Oliver Ryf. Partner:

OAuth 2.0. Ralf Hoffmann 03 /

Electures-Portal. Vorstellung und Empfehlungen Christoph Hermann - Universität Freiburg - Institut für Informatik 1

Erfolgsgeschichten phion airlock ICAP Module

Private Cloud Management in der Praxis

Echtes Single Sign-On mit APEX DOAG Konferenz Niels de Bruijn Nürnberg,

1 Konfigurationsanleitung Hosted Exchange

manage easy save money work secure Identity Authorization Service for SharePoint 2010 IAS Identity Authorization Service Identity works!

Enterprise Application Integration Erfahrungen aus der Praxis

IDM-Projekt Universität Konstanz Identity Management mit OpenIDM. Andreas Schnell Michael Längle Universität Konstanz

Mobile Security: Sicherer Applikationszugriff für eine mobile Welt. Oracle Mobile and Social Access Management. Heike Jürgensen.

Transkript:

Identity & Access Management in Extranet Portal Projekten November 2007 Kontakt: Udo Hochstein CGI GROUP INC. All rights reserved _experience the commitment TM

Agenda Einleitung Referenzszenario Referenzarchitektur Authentisierung/Authentifizierung Autorisierung Benutzerverwaltung Fragen 2

Biographie Udo Hochstein Senior Consultant, IAM CGI Information Systems and Management Consultants (Deutschland) GmbH 4 Jahre IAM Projekterfahrung 12 Jahre IT Erfahrung (Administrator, Consultant, Systemarchitekt, Projektmanager) Diplom Mathematiker CGI Einer der größten IT Dienstleister mit weltweit 25.000 Mitarbeitern 3

Referenzszenario

Typisches Extranet Portal Webapplikationen (5-250) Interne Benutzer in einem MS Active Directory Externe Benutzer Single Sign-On Benutzerverwaltung für externe Benutzer Automatisiertes Access Management Provisionierung Zentrales Auditing 5

Referenzarchitektur

Architektur - Produkte Verzeichnisdienst Oracle Internet Directory, Oracle Virtual Directory WAM / WebSSO Oracle Access Manager Identity Management Oracle Identity Manager Andere Komponenten MS Active Directory Oracle DB Webserver 7

Architektur - WebSSO Frontend Apache/IIS Access Server / Identity Server Backend Log DB Cluster AS & IS Cluster Active Directory Cluster LDAP Cluster 8

Authentisierung/Authentifizierung

Typische Herausforderungen Single Sign-On mit Windows Anmeldung Trennung von internen und externen Benutzerkonten Eindeutiges Login Benutzerspezifische Authentisierungsverfahren Two-Factor Authentication Startseite 10

Single Sign-On mit Windows Anmeldung Interne Benutzer sollen ihre AD Logins verwenden, möglichst mit SSO Vereinfachtes Login mit Virtual Directory Integrated Windows Authentication von OAM für echtes SSO IE IIS ggf. Virtual Directory 11

Trennung Extern/Intern Für die Portanmeldung Speichern werden eindeutige von externen Logins Benutzerkonten benötigt, die aber im Active Directory gleichzeitig ist evtl. ein Sicherheitsrisiko benutzerfreundlich sein müssen Verteilte Benutzerkonten erschweren die Überprüfung Windows Login (samaccountname) ist nur innerhalb einer Domäne eindeutig, aber nicht im AD Zusätzlicher Verzeichnisdienst (z.b. Oracle Internet Directory) WAM Tool muss die Verteilung der Benutzerkonten auf 2 Verzeichnisdienste unterstützen Oracle Virtual Directory 12

Eindeutiges Login Für die Portanmeldung werden eindeutige Logins benötigt, die aber gleichzeitig benutzerfreundlich sein müssen Verteilte Benutzerkonten erschweren die Überprüfung Windows Login (samaccountname) ist nur innerhalb einer Domäne eindeutig, aber nicht im AD Benutzer wählen Kontext IWA unterstützt identische Logins in verschiedenen Domänen Custom Code Email Adresse 13

Verschiedene Authentifizierungsverfahren Interne Benutzer melden sich via IWA an Externe Benutzer melden sich via HTTP-Form an -> scheint unvereinbar mit der eindeutigen Zuordnung von Ressource zu Authentifizierungsschema Interne Zugriffe über einen internen Reverse Proxy Externe Zugriffe über einen externen Reverse Proxy SDK 14

Two Factor Authentication Webserver WebGate RSA SecurID HTML Form Standard Plugin HTML Form Access Server CGI Script Unterstützung für PIN Reset Benuzter mit Token SecurID Plugin ACE Client OAM Userstore ACE Server ACE Userstore 15

Portal Startseite Dynamische Startseite (portal.company.com) Interne werden automatisch eingeloggt (IWA) Externe (ohne SSO-Cookie) sehen Anmelde- und Selfservice- Optionen (Ansonsten) identisch Mit OAM Bordmitteln nicht umsetzbar Über JSP/ASP werden Seiteninhalte in Abhängigkeit von der Existenz eines SSO- Cookies angezeigt Startseite ist für Interne geschützt und für Externe ungeschützt 16

Autorisierung

Typische Herausforderungen Speicherung der Autorisierungsdaten Rollen 18

Speicherung der Autorisierungsdaten Üblicherweise speichert man Autorisierungsdaten zusammen mit den Logindaten Mögliche Probleme in Bezug auf AD Performanceeinbußen Unerwünschte Schemaänderung Externe Schreibzugriffe verstoßen gegen Sicherheitsrichtlinien Die Verwendung eines separaten Autorisierungsverzeichnisses stellt zusätzliche Herausforderungen Synchronisation (Identity Manager / Scripte) Accountmapping (SDK) 19

Rollen Der RFP fordert immer RBAC! In der Praxis setzt sich immer DAC durch! 20

Benutzerverwaltung

Typische Herausforderungen Profilverwaltung Access Management 22

Profilverwaltung Web basiert Portal integriert Delegierte Administration (intern/extern) Selbstregistrierung Passwort-Reset Keine benutzerfreundliche GUI in Verzeichnisdiensten Oracle Access Manager (Identity Server) Identity Manager 23

Access Management Web basiert Portal integriert Beantragen und Genehmigen von Zugriffen Delegierte Administration (intern/extern) Integration mit Provisionierung Oracle Access Manager (Identity Server) Identity Manager 24

Lessons Learned Was der Kunde erwartet (und die Portalhersteller teilweise versprechen) Realität Es genügt ein simples LDAP Verzeichnis Komplexe Infrastruktur Anpassungs- /Entwicklungsaufwand 25

Fragen Fragen 26

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback