Identity & Access Management (IDA) Axel Ciml Geschäftsführer / Chef Architekt Oxford Computer Group Austria axel.ciml@oxfordcomputergroup.com www.oxfordcomputergroup.at
Oxford Computer Group Der führende Microsoft Partner für IDA Reine Microsoft basierte IDA Lösungen Build / Buy Szenarien Aktuell über 40 Projekte parallel Fokus: Planung, Design, Build, Test bis zur finalen Implementierung von IDA Projekten Enterprise IDA Management Lösungen Single Sign On / Single Log On Szenarien Microsoft IDA Trainingsprogramme Identity Management Support (24x7) Offices: München Oxford Wien Toronto Seattle
Agenda IDA Architekturen IDA Komponenten Identity Store Rollen Management Workflow Audit / Reporting SAP Integration SSO / PW Sync Zusammenfassung
IDA Lösung von MSFT/ V1 Workflow Benutzerantrag / Freigabe Prozess Infopath, Mail WebPart/Website WF Module Role Calc Identity Store Event Centralized management, Role Management Self Services SAP/HR systems Phone system Novell/ Notes Unix/ RACF Management Agents Infrastruktur AD Identity Lifecycle Manager 2007 Audit & Reporting DB Zentrale rollenbasierte Administration Applikations Integration ins Corporate Directory Workflows für automatische Admin prozesse Password Synchronisation über ILM Data Warehouse SAP EP Compliance Reporting / Audit über SRS Plugins
IDA Lösung von MSFT/ V2 OMADA Identity Manager Workflow + Rollenmanagement + AR MIIS User Job Profile 1 Job Profile 2 Role A Role C Role B Centralized management, Role Provisioning Management Self Services SAP/HR systems Phone system Management Agents Identity Lifecycle Manager 2007 Audit & Reporting DB Data Warehouse SAP EP Novell/ Notes Unix/ RACF Infrastruktur AD Zentrale rollenbasierte Administration Applikations Integration ins Corporate Directory Workflows für automatische Admin prozesse Password Synchronisation über ILM Compliance Reporting / Audit über SRS Plugins
Der ADAM als Identity Store flexible & automatisierte Benutzeradministration Flexibles Schema einfach erweiterbar ohne Auswirkungen auf das NOS AD Administration auf der Organisationsstruktur Ebene Vererbung von Eigenschaften von der OU auf die Benutzer Höhere Performance bei LDAP Abfragen Integration von Vendoren / Beteiligungsgesellschaften / Externen möglich Single Point for Authentication für alle Applikationen
ILM as Provisioning System Identity Lifecycle Manager 2007 7
ILM Management Agenten Auswahl der wichtigsten Systemanbindungen: Active Directory supporting Windows 2000/2003, Exchange 2000/2003 Active Directory Application Mode (ADAM) Global Address List (GAL) Synch supporting Exchange 2000 and Exchange 2003 Netscape/iPlanet/Sun ONE Directory IBM DB2 Universal Database (7 or 8.1 on Windows or Linux) IBM Directory Server (4.x/5.x on Windows 2000/2003) SQL Server supporting SQL Server 7 and SQL Server 2000 Oracle Databases supporting version 8i, 9i, 10 Directory Services Markup Language (DSML) supporting DSML version 2.0 LDAP Interchange Format (LDIF) / De-Limited Text, Attribute-Value Pair Text Open-LDAP Windows NT 4.0 Domains and Exchange Server 5.5, Exchange Server 5.5 Bridgehead Lotus Notes supporting versions 4.6, 5.0, >6.x Novell edirectory supporting versions > 8.6.x Host RACF systems Microsoft SAP HR + SAP R3 > V4.6c (not released yet)
Management Agents Additions to Standard Agents (Selection) Highly Scalable SAP MA for HR CUA UM OM, PDORG Workflow integration Host RACF via LDAP Unix systems (VMS, HPUX, SUN, Linux, SCO, other) additional HR systems (e.g. Peoplesoft, Paisy, ) Various telephone systems (Alcatel, HICOM, AVAYA, ) Sharepoint, Biztalk Live ID, Office Live Vintela/Quest/Omada/bHold RSA SecurID Other LDAP Servers e.g. Siemens DirX, CP, Syntegra, CLM
IDA Architektur Workflow Benutzerantrag / Freigabe Prozess LDAP / Web Services Infopath, Mail WebPart/Website WF Modul Role Calc Identity Store Event Centralized management, Role Provisioning Management Self Services SAP/HR systems Phone system Management Agents Identity Lifecycle Manager 2007 Audit & Reporting DB Data Warehouse SAP EP Novell/ Notes Unix/ RACF Infrastructure AD Single Point of Administration Application integration with Corp Directory Workflow / Rules for automatic admin processes Password Synchronization over ILM Role-Based Application Provisioning Compliance Reporting via SRS Plugins
User Management Interface
IDA Architektur Workflow Benutzerantrag / Freigabe Prozess LDAP / Web Services Infopath, Mail WebPart/Website WF Modul Role Calc Identity Store Event Centralized management, Role Provisioning Management Self Services SAP/HR systems Phone system Management Agents Identity Lifecycle Manager 2007 Audit & Reporting DB Data Warehouse SAP EP Novell/ Notes Unix/ RACF Infrastructure AD Single Point of Administration Application integration with Corp Directory Workflow / Rules for automatic admin processes Password Synchronization over ILM Role-Based Application Provisioning Compliance Reporting via SRS Plugins
07#N Enterprise Roles User Lifecycle Mgmt Role Design OU, O, Group Enterprise App Role Task Operation / Action Role User User App Role Task Task Task Operation / Action Operation / Action Operation / Action Task Operation / Action ADAM (Identity- Data Store ) Role Calc
07#N Flexibles Rollen Mapping Rollen können regelbasiert oder direkt zugewiesen werden an: Benutzer Gruppen Organisationen Organisationseinheiten Views Role Objects in ADAM (assigned to group object ) Enterprise Role A Ora Roles (ORA1-activ,Ora2) SAP Roles (SAP1, SAP4, SAP6) Enterprise Role B Ora Roles (ORA5-activ,Ora7) SAP Roles (SAP1, SAP3, SAP9) Enterprise Role C Ora Roles (ORA7-activ,Ora2) SAP Roles (SAP1, SAP8, SAP9) Role Mapping User Object 1 in ADAM EntRoleA EntRoleB OU Object 1 in ADAM EntRoleA EntRoleC (User 2 is assigned to OU 1) Role Calc
07#N Views auf Benutzerdaten Mehrere Sichten gestatten flexible Rechtestrukturen Benutzer können mehreren Organisationseinheiten zugehören Views können automatisch aus Systemen Automatic back linked (z.b. SAP-OM) importiert werden User Object in ADAM ocgorgview ( multivalue ): (managed by Admin Console ) DN Ref to OrganizationUnit 1 DN Ref to Organization 1 DN Ref to Organization / OU... Automatic back linked Organization Object 1 in ADAM ocgorgmember (multivalue ): Organization Unit Object 1 in ADAM ocgorgmember (multivalue ): Role Calc DN Ref to User 1 DN Ref to User... DN Ref to User... DN Ref to User 1 DN Ref to User... DN Ref to User...
IDA Architektur Workflow Benutzerantrag / Freigabe Prozess LDAP / Web Services Infopath, Mail WebPart/Website WF Modul Role Calc Identity Store Event Centralized management, Role Provisioning Management Self Services SAP/HR systems Phone system Management Agents Identity Lifecycle Manager 2007 Audit & Reporting DB Data Warehouse SAP EP Novell/ Notes Unix/ RACF Infrastructure AD Single Point of Administration Application integration with Corp Directory Workflow / Rules for automatic admin processes Password Synchronization over ILM Role-Based Application Provisioning Compliance Reporting over SRS Plugins
07#N Workflow Integration Technische Implementierung Basiert auf WWF Workflow Runtime Status is gespeichert im ADAM (Microsoft Windows Workflow Foundation ) Event basiertes WF Start Kompatibel mit SP2007 WF Designer WF Modul ADAM Persistence DB Keine Lizenzkosten! Komplexität möglich hoch verfügbar! Identity Lifecycle Manager DEMO
IDA Architektur Workflow Benutzerantrag / Freigabe Prozess LDAP / Web Services Infopath, Mail WebPart/Website WF Modul Role Calc Identity Store Event Centralized management, Role Provisioning Management Self Services SAP/HR systems Phone system Management Agents Identity Lifecycle Manager 2007 Audit & Reporting DB Data Warehouse SAP EP Novell/ Notes Unix/ RACF Infrastructure AD Single Point of Administration Application integration with Corp Directory Workflow / Rules for automatic admin processes Password Synchronization over ILM Role-Based Application Provisioning Compliance Reporting via SRS Plugins
ILM Reporting ILM Erweiterungen + SQL Reporting Services Das ILM Reporting Modul erstellt eine eigene ILM Report Datenbank Automatische Konfiguration der Reportingschnittstelle bei Schemaänderungen Mehrere vordefinierte Reports verfügbar für Changelog (wer hat wann was geändert) Management Log (Anzahl der Accounts / Änderungen pro System, Neueinstellungen, ) Wer ist in welcher Rolle (Enterprise Rolle / Applikationsrolle) 1
Reporting IDA Workflow Events
ILM Reporting Examples 2
Reports of Role Membership 2
ILM Reporting / Changelog
IDA Architektur Workflow Benutzerantrag / Freigabe Prozess LDAP / Web Services Infopath, Mail WebPart/Website WF Modul Role Calc Identity Store Event Centralized management, Role Provisioning Management Self Services SAP/HR systems Phone system Management Agents Identity Lifecycle Manager 2007 Audit & Reporting DB Data Warehouse SAP EP Novell/ Notes Unix/ RACF Infrastructure AD Single Point of Administration Application integration with Corp Directory Workflow / Rules for automatic admin processes Password Synchronization over ILM Role-Based Application Provisioning Compliance Reporting via SRS Plugins
SAP Identity Integration ILM/ADAM unterstützte Szenarien User Account Anlage (UM, CUA/ZBV) Reset und Änderung der Passwörter Auslesen von Mitarbeiterdaten aus dem HR System Auslesen von Organisations Strukturen Auslesen von Benutzerrollen Setzen und Löschen von Benutzerrollen Unterstützt das Synchronisieren von > 100 SAP Systemen mit nur einem ILM MA
SAP Integration Management Agent (Version 2.2) ILM Server SQL MA SQL SAP MA BAPI SAP ILM Sync Engine Interface SQL table for import/export Delta if supported SAP BAPI/RFC Functions Can connect multiple (>100) SAP systems/clients with one ILM MA No text files necessary Detailed Error Reporting on object and attribut level Can run on different Servers
IDA Architecture with SAP
IDA Architektur Workflow Benutzerantrag / Freigabe Prozess LDAP / Web Services Infopath, Mail WebPart/Website WF Modul Role Calc Identity Store Event Centralized management, Role Provisioning Management Self Services SAP/HR systems Phone system Management Agents Identity Lifecycle Manager 2007 Audit & Reporting DB Data Warehouse SAP EP Novell/ Notes Unix/ RACF Infrastructure AD Single Point of Administration Application integration with Corp Directory Workflow / Rules for automatic admin processes Password Synchronization over ILM Role-Based Application Provisioning Compliance Reporting over SRS Plugins
Passwort Management / SSO Module: SSO Authorization / Role Mapping Active Directory Application Mode Kerberos Integration (native / VAS) (ADAM ) Provision / Deprovision Users + Sync ^Password Application server Token Wandlung (Proxy) (SAP2KERB, RSA2SAP, ) Employee Data Passwords Source Active Direc tory Infrastructure MIIS Provision / Deprovision Users + Sync Password Provision / Deprovision Users + Sync Password SAP, Unix, RACF Client basiertes SSO (Evidian, ) Target Active Direc tory Infrastructure Passwort Synchronisation PCNS PCNS + Passwort Policy ILM Management Agents Passwort Self Services Passwort Portal (Evidian, Quest, )
Passwort Sync via ILM User changed Password in AD (Ctrl+Alt+Del) Password will be checked for additional Policies (SAP/Unix) Password will be encrypted and send to the ILM Server The ILM Server set the Password of this user in each target system Source Active Direc tory Infrastructure Employee Data Passwords Active Directory Application Mode (ADAM ) Provision / Deprovision Users + Sync ^Password ILM Provision / Deprovision Users + Sync Password Authorization / Role Mapping Provision / Deprovision Users + Sync Password Application server SAP, Unix, RACF Target Active Direc tory Infrastructure
Passwort Sync Varianten Function Prerequisites for Installation Consequences for the Source AD Ability to set additional password policies Configuration of the target ILM system Microsoft PCNS + Add On An Active Directory Trust is required An extension of the AD Schema is performed during installation PCNS No AD trust is required No AD schema extension is required Additional password policies are configurable: Maximum/Minimum PW Len Exclusion wordlists (like SAP ) Exclusion characterlists, to specify prohibited characters (e.g. *, @, #) Include + Exclude Filter for samaccountname The user objects in ILM must be directly joined with both the source AD and the target system. Various search criteria can be configured
05#J EMS Ticket Translation EMTT HTTP S HTTPS F5 Load Balancer 1 2 HTTP 10 HTTP (RSA Cookie SAP Cookie ) HTTP (RSA Cookie SAP Cookie ) HTTP 192.168.5.86 192.168.5.87 RSA ACE Reverse Proxy ( IIS) 3 SecurID 4 HTTP (RSA Cookie ) HTTP ( SAP Cookie ) 9 ISA Server ISA Server SecurID HTTP (RSA Cookie ) RSA ACE Reverse Proxy (IIS ) 5 LDAP 8 HTTP ( SAP Cookie ) HTTP (Header : REMOTE _USER 2 ) 6 11 HTTP (RSA Cookie SAP Cookie ) HTTP (RSA Cookie SAP Cookie ) HTTP ( SAP Cookie ) HTTP ( Header : REMOTE _ USER 2) LDAP ADAM F5 Load Balancer ADAM HTTP HTTP LDAP 7 SAP EP... SAP EP LDAP Demo
EMS Ticket Translation SSO durch einmalige Anmeldung mit RSA Token (Strong Auth) Ticket Umwandlung (RSA2Kerb, RSA2SAPLT) durch Module ADAM Integration für Vendoren / Externe Automatisches Erstellen der RSA Tokens Über SAP2Kerb auch Weiterleitung von SAP Portal auf OWA möglich
05#J EMS Logistic RSA Token Geräteverwaltung XML File RSA Token Benutzer Import Daten Tokenzuweisungen (CSV) 3) Import der Tokenzuweisungen : Zugewiesene TokenId, Kostenstelle des Token RSA Token Benutzer ADAM 8) Export aller Token, die zugewiesen wurden und eine Kostenstelle besitzen 2) Neue Token exportieren 4) Tokenzuweisungen exportieren 7) Export des Token Status ILM 2007 5) Export User + Tokenzuweisung RSA Sync RSA ACE Tabelle 6) Import des Token Status ( New Pin Mode oder nicht ) Benutzer Benutzer RSA Token 1) Import der RSA Token RSA Token RSA Token XML File 1) Import der RSA Token
05#J EMS Logistic ISA/RSA/SAP Portal Integration Abschottung RSA Server durch ISA Server in einem Extrasegment Flexibles Handling durch RSA Ticket Wandler (simple WebSSO) RSA Auth einzig notwendige Authentifizierung ILM/RSA/ externer Shop (SAP EBP) Universelles Interface für Tokenmanagement * Auslagerung Tokenlogistik an externen Dienstleister * Automatischer Import der Tokenzuweisunge Automatische Benutzer (De-) Provisionierung * Rollenbasiert Aktualisierung des RSA Systems ohne manuellen Eingriff * keine Systemleichen (Sicherheit) * Sofortige Arbeitsfähig nach Token Auslieferung Trennung RSA Token Zulieferwege möglich (Mandantenfähigkeit) z.b. für unterschiedliche Mandaten oder interne und externe Benutzer schnellen Massenimport von Benutzern & Tokenzuweisungen Batchschnittstelle Entlastung der Administraton / Reduktion Kosten
Zusammenfassung Assets Flexibles Rollen Management Event Trigger sofortigen Datenabgleich Web basiertes Admin Interface (OUM) PCNS Add On zur Unterstützung von weiteren Passwort Regeln für SAP, RACF, Unix, Kerberos Ticket Proxies für RSA, SAP System Anbindungen z.b. Unix (ssh), RSA ACE, SSO Systeme, Telefonanlagen SAP Integration für Enterprise Umgebungen
IDA Projekt Release Phasen 1. Aufbau / (Migration) Identity Store 2. Anbindung der primären Benutzerverzeichnisse (Init Load/Join) 3. Integration von Workflow Systemen 4. Reporting, Logging 5. Anbindung weiterer Systeme nach Bedarf
Zusammenfassung Benefits ab der 1. Implementierungsphase Aufbau des Identity Stores konsolidierte Sicht auf alle relevanten Benutzerdaten Single Log On durch Passwort Synchronisation Zentrales Reporting (wer hat welche Accounts/Rollen) Erhöhung der Datenqualität in allen angeschlossenen Systemen Geringere Anzahl Help Desk Calls (wegen Passwort Reset) Automatisches User Provisioning Einsparungen in der Benutzerverwaltung!
Zusammenfassung Benefits ab der 2. Implementierungsphase Workflow Integration Elektronische Prozessabbildung im Benutzermanagement Self Registration Szenarios Rollenbasierte Rechtevergabe Einfache Administration durch Benutzung von konsolidierten Enterprise Rollen Rollenzuweisungen in den (angeschlossenen) Applikationen entfällt (Kosteneinsparungen) Zentrales Reporting der Rollen (wer hat wo Zugriff)
Questions and Answers Axel Ciml Geschäftsführer / Chef Architekt Oxford Computer Group Austria axel.ciml@oxfordcomputergroup.com www.oxfordcomputergroup.at Winterlestraße 10b 85435 Erding