SUN IDENTITY MANAGEMENT Innovativ. Integriert. Integrierbar. best OpenSystems Day Spring 2006 31.5.2006 in Unterföhring Dieter Vahle Partner Programs & Operation Sun Microsystems GmbH dieter.vahle@sun.com Seite 1
Agenda Sun eine kurze Vorstellung Identity Management definiert Welchen Nutzen sehen Kunden? Warum Identity Management von Sun? Identity Management in der Anwendung Seite 2
Die konsistente Vision seit 1982 The Network is the Computer Seite 3
Die Strategie von Sun Communities aufbauen, Partizipation und Chancen steigern Lösungen für die dringendsten Kundenprobleme Vorreiterschaft in der Technologie Wahlfreiheit und Innovation Seite 4
Die Mission von Sun Entwicklung der Technologien für Communities und das Zeitalter der Partizipation Seite 5
Web 2.0 Information war gestern Das Zeitalter der Partizipation Unternehmen Entwickler Java, Open Source, Industriestandards Gremien Branchen-Netzwerke Outsourcing / Offshoring Neue Geschäftsmodelle Identität Konsumenten Behörden Blogs, Chat Personalisierte Inhalte Soziale und berufliche Netzwerke Online Spiele Koordinierung Gesundheitswesen Internationale Gremien Sicherheit u. Strafverfolgung Seite 6
Anforderungen balancieren Time to Market Sicherheit Umsatzsteigerung Transparenz Servicequalität Kostensenkung Seite 7
Sicherheit & Transparenz Time to Market Sicherheit Umsatzsteigerung Transparenz Servicequalität Kostensenkung Corporate Governance > Cobit, BSI IT GSHB, BS 7799-2 (ISO 17799:2005) Innere Risiken > Operative Risiken, Industriespionage, inaktive Konten Äußere Bedrohungen > Hacker, Phishing, Identitätsdiebstahl Gesetzliche Vorschriften > KonTraG, GOBS, Sarbanes Oxley, Basel II, BDSG, HIPAA, TDSG, CPR 11 Seite 8
Einsparungspotentiale Time to Market Sicherheit Umsatzsteigerung Transparenz Servicequalität Kostensenkung Zentrale Anmeldung (Single Sign-On) für WebAnwendungen: > Bessere Datenverwaltung: 280 / Jahr und Nutzer > Weniger Anpassungen der Benutzerverwaltung: > Einfacherer Support: 10.000 / Anwendung 56.000 / Jahr > > > > Effizientere IT: Audit Einsparungen: Weniger Helpdeskkosten: Schnellerer Zugriff auf Anwendungen: > Zentraler Zugriff für Mitarbeiter, um Identitätsdaten zu pflegen: > Einfachere Suche nach Nutzerdaten: > Einfachere Pflege von Nutzerdaten: > Einfachere Verwaltung von Verteilern: 56.000 / 1000 verwaltete Nutzer 3200 pro Sicherheitsaudit 60 / Nutzer und Jahr 800 /neuer Mitarbeiter, 280 / bestehender Mitarbeiter 80 / Nutzer und Jahr 800 / Nutzer und Jahr 150 / Nutzer und Jahr 650 / E-Mail Verteiler Seite 9 Quelle: Giga Research, 2003 Provisioning für Benutzer und Systeme, auf die sie zugreifen:
Weitere Kundenbeispiele Time to Market Sicherheit Umsatzsteigerung Transparenz Servicequalität Kostensenkung Eine Investmentbank > Entdeckte und deaktivierte mit der Sun Identity Manager Auto Discovery Funktion 17.000 verwaiste Accounts ehemaliger Mitarbeiter Ein Transportunternehmen > Setzte innerhalb von 45 Tagen ein komplettes Identity Management für 45.000 Nutzer in hunderten Niederlassungen auf und senkte durch delegierte Administration die IT-Kosten um 30%. Eine Kapitalanlagegesellschaft > Verwaltet 14 verschiedene Anwendungen für derzeit 160.000 verwaltete Nutzer. Senkte drastisch die laufenden Kosten durch Nutzung flexibler, mehrstufiger Freigabe-Workflows. Ein Fertigungsunternehmen > Beschleunigte die Kontenbereitstellung für neue Nutzer von 15 Tagen nach auf 2 Tage vor Antritt der neuen Rolle, durch agentenlose Integration von HR- und Supportanwendungen. Seite 10
Was ist eine digitale Identität? Die Nutzersicht Für jedes Individuum (Nutzer, App, etc.) Name, Nummer, sonstiges Kundenprofile Eindeutig in bestimmtem Bereich Persistent, langlebig Kann Pseudonym oder Klarname sein App, Site, oder Partner Profile App, Site, oder Partner Profile Gemeinsames Profil Ausweis Eine ID Kennwort Adresse, etc. Mehrere Kennwörter / Ausweise Verschiedene Stärke nach Anwendung Häufiger Wechsel Attribute, Berechtigungen, Richtlinien Flüchtige, sich ändernde Information Mitarbeiterprofil Anwendungs- oder site-spezifisch Quelle: Burton Group Telebriefing, Enterprise Identity Mgmt, The Strategic Infrastructure Imperative, Oct 2002 Seite 11
Identität: Die Sicht der IT NT Exchange RACF AD SecurID Oracle Jberry Esiegel Jrowland Mfriedel Sbenson Thanks Jwayne Tcarrol Sharris Bwhite Ddailey Eheiden Lball Hwiggins Cjohnson Cwillis gersch Mthomas Browland Mprehn Ggoodnow Slake Bblake Fjohnson Galonso Slippes salger Bbanks Lsulley Lbitmore Ltimble Aboyle Bcoldwel Dparis Clriot Etear Smackay Mturner Mmclain Mcpasch Jpasch gerds2 Tdean Jtorville Cdean Nreagan Rnixon Gbush Jvance Jcarpent Mstewart Lchristia Jbenley jmackay A49320 A39943 A49454 A93934 A39485 A49382 A48382 A49382 A39485 A29483 A49583 A49382 A49302 A42845 A20184 A49284 A49248 A50824 A42948 A49274 A37520 A49294 A03749 A49274 A33993 A38288 A48228 Cooperl Tinleyj Harrisd schaefer2 Rowlandr Bensons Quinleys Harminb Travolta Francek Lipperd Skatee Marinoe Flamingo Russiak Crowd Pazzaz Daoudc Louf Peizerat Anissina Ferrisb Lupers Lobach Frenchj Navratol dellm Skeeti Frenetc Smileys Entrald Novacho Alvarag Narlersh Woodst Nicklausj Hoganb Palmera Dimarcoc Perryk Beards gs33 Fusar Poli Margaglio Lithowan Vanagas Lightes Naugano Footman Figureas Lupesh Arganish Delegant Sequensh Welchj Pettyr Robertsj Julianr Nantpre Enaget Jhancock Johnh Hanwayv Composi Clayton Initalialy Woo gsch Stickler Bourne Fusar Margoliao Navka Koskoma Hackinsa Newjers Shara Alexander Sasha Reuben Struedl tangor ralnc493 ralnc493 ralnc493 ralnc493 ralnc493 ralnc493 Identity Management Konten finden Konten zuordnen Konten erstellen Konten Leichen finden Konten deaktivieren / entfernen Lösungsanforderungen Zentraler Audit Trail Sichere Delegationsmechanismen Genehmigungen automatisieren Richtlinien forcieren Standardbasiserte Interfaces Gerhard Schäfer NT gersch Exchange gerds2 RACF A49382 AD schaefer2 SecurID gs33 Oracle gsch Seite 12
Identity Grid Audit Dienste Richtlinien forcieren Konformität dokumentieren Abweichungen korrigieren Verknüpfungen prüfen Administrationsdienste Konten bereit stellen Kennwörter verwalten Nutzer verwalten Profile synchronisieren Richtlinien verwalten Verknüpfte Konten bereit stellen IT Administratoren Mitarbeiter Transaktionsdienste Daten sicher transportieren Nutzer anmelden Nutzer sutorisieren Extranet Single Sign-On Konten verknüpfen Partner Datenspeicher Verzeichnisse Datenbanken Dateien Kunden Seite 13
Der traditionelle Ansatz für MetaDirectory Technische Probleme > Agentenwartung, Versionierung Operative Probleme > Redundanz, Datensynchronisierung, Sicherheit Anwendung Politische Probleme > Änderung sensibler Attribute Datenbank Provisioning Audit Portal Hoher Aufwand, Hohes Risiko, Hohe Kosten Verzeichnis Agenten Seite 14
Die Lösung von Sun Zentral verwalten, lokal forcieren Virtual Identity Manager Schnellere Inbetriebnahme Eliminiert operative Probleme Verwaltung der virtuellen Identität Verzeichnis Betriebssysteme Datenbank Identity Manager Konten verwalten Identität synchronisieren Profile verwalten Kennwörter verwalten Anwendung Host Virtual Identity Manager App Server Datenbank Anwendung Seite 15
Die Lösung von Sun Ermitteln, wer worauf Zugriff hat Account Auto-Discovery Logische Verwaltung verteilter Identitäten Reduziertes Risiko verwaister Konten gerhards Exchange Identity IdentityManager Manager Identity Manager Identität Konten Identity Provisioningsynchronisieren verwalten Identity Synchronization Synchronization Profile Kennwörter Profile Password verwalten verwalten Management Profile Password Management Management Management Schaefer2 Anwendung D8504GS Gerhard Schäfer Verzeichnis Virtuelle Identität Seite 16
Die Lösung von Sun Implementieren, wer worauf Zugriff hat Vermeiden von Agenten Verzeichnis Minimale Eingriffe Keine Agentenverwaltung Schneller produktiv Identity Manager Konten verwalten Identität synchronisieren Profile verwalten Kennwörter verwalten Betriebssysteme Datenbank Anwendung Host Native Protokolle wie: SSA, SSH, SSL etc. App Server Datenbank Anwendung Gateway NT/Active Directory Resource Adapter Wizard Eigenentwicklung Seite 17
Die Lösung von Sun Delegieren, wer worauf Zugriff hat Selbstverwaltung und Delegation Provisioning Profilverwaltung Kennwortverwaltung Datensynchronisierung Verzeichnisse Betriebs- Administrator Delegierter Administrator Identity Manager Konten verwalten Identität synchronisieren Profile verwalten Kennwörter verwalten Datenbanken systeme Geschäftskritische Host Anwendungen Datenbanken Nutzer Selbstverwaltung Geschäftskritische Anwendungen Seite 18
Die Lösung von Sun Nachweisen, wer worauf Zugriff hat Identity Auditor Seite 19
Marktführer Identity Management Forrester Wave: User Account Provisioning 2006 Die funktional umfassendste Lösung Führend nach: > Marktanteilen > KonnektorenFunktionalität > Richtlinienverwaltung > Audit > Architektur Seite 20
und Identity Audit Burton Group Identity Audit Report: 2005 to date, no solution meets the full set of requirements. Sun s Identity Auditor product comes closest Seite 21
Unsere Identity Management Strategie Integriert. Vollständige Suite abgestimmter best-of-breed Produkte > Produkte und Support aus einer Hand > Integrierte und getestete Komponenten > Einheitliche Audits und Berichte in der gesamten Suite > Weniger Integrationspunkte und -komplexität Integrierbar. Kompatibilität mit Drittprodukten, Plattformen und Standards > Schutz für bestehende Investitionen > Maximale Flexibilität Innovativ. Produkte und Funktionen adressieren neue Problemfelder > Identity Auditor > Identity Manager SPE > Federation Manager Seite 22
Integrierbares Identity Management Weitestgehende Plattformunabhängigkeit > Schutz für bestehende Investitionen > Maximale Flexibilität Industriestandards an JEDER Schnittstelle des Portfolios Integriert und Integrierbar Seite 23
Plattformen Laufzeitumgebungen und Zielsysteme Identity Manager/Identity Auditor > Supported Platforms: IBM AIX, HP-UX, Windows, Solaris, Red Hat Linux, BEA WebLogic, IBM Websphere, Sun Application Server > Resource Adapters: LDAP 3, Microsoft Active Directory, Novell edirectory, Novell NDS, Oracle Internet Directory, Sun Java System Directory Server, IBM DB2, IBM Informix, Microsoft SQL Server, MySQL, Oracle DB, Sybase, Oracle11i E-Business Suite, PeopleSoft, SAP R/3, Siebel CRM,Remedy Help Desk, Lotus Notes, Microsoft Exchange, Novell GroupWise, HP OpenVMS, HP-UX, IBM AIX, IBM OS/400, Microsoft Windows 2000, 2003, NT, Redhat Linux, Sun Solaris, CAACF2, CA-Top Secret, Entrust Authority Security Manager IBM RACF, RSA SecurID, Entrust GetAccess, IBM Tivoli Access Manager, CA (Netegrity) Siteminder, Oblix NetPoint, DirectorySmart, RSA ClearTrust, Sun Java System Access Manager Access Manager > Supported Platforms: Red Hat Linux, Sun Solaris, Microsoft Windows, HP-UX > Containers: Sun Java System Application Server,IBM Websphere, BEA WebLlogic > Policy Agents: Apache, BEA WebLogic, IBM WebSphere, IBM HTTP Server, Lotus Domino, Microsoft IIS, Oracle Application Server, Sun Java System Web Server, Sun Java System Application Server, Tomcat Application Server, Oracle, PeopleSoft, SAP, Siebel Directory Server Enterprise Edition > Supported Platforms: Microsoft Windows, HP-UX IBM AIX, Solaris, Red Hat Linux Seite 24
Umfassendes Identity Management Innovativ. Integriert. Integrierbar. Wertschöpfungskette Federation Manager Directory Server Enterprise Edition Identity Manager SPE Access Manager OpenSSO Identity Auditor Alle Module zur Verwaltung von Nutzern im Unternehmen und der Wertschöpfungskette vollständig integrierbar in dynamische, heterogene IT Umgebungen. Identity Manager Unternehmen Mehr als 100 Millionen verwaltete Identitäten Seite 25
Sun Java System Identity Manager Erste kombinierte Lösung für Provisioning und Meta-Directory Vorteile: Funktionen: NEW GRAPHIC Profile und Berechtigungen sicher verwalten über den gesamten Lebenszyklus Höhere Sicherheit Geringere Betriebskosten Höhere Produktivität Automatisierte Nutzerverwaltung Sichere, automatisierte Kennwortverwaltung Selbstverwaltung und delegierte Administration Automatisierte Profilsychronisation Flexible Architektur Aussagekräftige Berichte Seite 26
Identity Manager Alleinstellungsmerkmale > Erste kombinierte Lösung für Provisioning und Meta-Directory > Schnellste Inbetriebnahme (45000 Nutzer in 90 Tagen) > Maktführer nach Marktanteil, Vision & Reputation nach MetaGroup* > Umfassendste Abdeckung von Zielsystemen Host, WebAnwendungen und Eigenentwicklungen > Feingranulares Modell für delegierte Administration * Quelle: META Group Spectrum Provisioning, Januar 2005 Seite 27
Unbestrittener Marktführer Forrester Wave: User Account Provisioning 2006 Die funktional umfassendste Lösung Führend nach: > Marktanteilen > KonnektorenFunktionalität > Richtlinienverwaltung > Audit > Architektur Seite 28
Identity Manager Funktionen Funktionen Beschreibung Virtual Identity Manager Agentless Adapters ActiveSync Vermeidet zusätzliches Verzeichnis von Nutzerdaten oder das Erzeugen und Synchronisieren von Duplikaten aus nativen Verzeichnissen Erhöht operative Effizienz durch leichtere Anbindung von Ressourcen Einheitliche Kommunikationsschicht für Provisioning und Synchronisation Erhöht operative Effizienz und Sicherheit durch automatisierte Verbreitung von Änderungen Dynamic Workflow Senkt Supportkosten und erhöht operative Effizienz durch Automatisierung von Verwaltungsaufgaben Rules Engine Auto Discovery Smart Forms Directory Genesis Zentralisierte Verwaltung für Kennwortrichtlinien Erhöht operative Effizienz und Sicherheit durch Automatisierung Erleichtert Konsolidierung virtueller Identität aus heterogenen Quellen Steigern operative Effizienz durch Nutzung vorhandener Authentisierungsmechanismen Reduziert manuelle Eingriffe beim Erstellen neuer Verzeichnisse Steigert Sicherheit durch zentrale Forcierung der Kennwortrichtlinien Seite 29
Sun Java System Identity Auditor Erste präventive, virtuelle, automatische Lösung für Audit von Identitätsdaten Vorteile: NEW GRAPHIC Funktionen: Erleichtert Revisionssicherheit, senkt Risiken und beschleunigt Audits Erleichtert gesetzliche Konformität Senkt Kosten für laufende Audits Minimiert Sicherheitsrisiken Präventive, automatische Auswertung von Identitätskontrollen Wiederholbare, nachhaltige Revisionssicherheit bei schnelleren Audits Integrierte vorhandene Identity Management Lösung Seite 30
Identity Auditor Alleinstellungsmerkmale > Prüft Identitäten übergreifend über Systeme und Anwendungen > Beschleunigt Konformität durch fertige Richtlinienvorlagen für verschiedene Regulierungen > Sichert nachhaltige Einhaltung der Richtlinien Verstöße werden kontinuierlich identifiziert > Automatische Scans erfassen und bereinigen Verstöße und reduzieren damit manuellen Aufwand Seite 31
Wichtigste Funktionen Funktion Beschreibung Audit Policies Fertige Audits für die gebräuchlichsten Regulierungen Anpassbare Auditrichtlinien Erfassung der wichtigsten Daten zur Effektivitätsbewertung der IT-Kontrollen Audit Scan Planmäßige und ad hoc Prüfungen auf Richtlinienverstöße Automatische Erfassung, Benachrichtigung und Korrektur von Abweichungen Überblick über heterogene Anwendungsumgebung Automatische Testate Automatisiert den Testierungs-Prozess für Berechtigungen und Richtlinienverstöße Erfasst ein vollständiges Protokoll aller Verstöße und der Korrekturen Compliance Überblick Kritische Metriken für Konformität und Sicherheit auf einen Blick Flexible Ansichten für den Status nach Richtlinien, Zielsystem, Organisation oder Nutzer Berichtswesen Fertige Berichte, wie sie von gesetzlichen Vorgaben verlangt werden Anpassbare Berichte zu Verstößen, Korrekturen und Ausnahmen Identity Service für SEM Integrierter Regelkreis mit Security Event Management Systemen Identitätsdaten können mit anderen SEM Quellen korreliert werden. Integriert Provisioning, Zugangskontrolle Initiiert Korrekturen wie Deaktivierung von Konten oder Sitzungen Integriert Sun Identity Manager (SPML) und Access Manager Seite 32
Sun hat die beste Identity Audit Lösung Burton Group Identity Audit Report: 2005 to date, no solution meets the full set of requirements. Sun s Identity Auditor product comes closest Seite 33
Sun Java System Access Manager Sichere, leistungsstarke Zugriffskontrolle Vorteile: Höhere Sicherheit Bessere Nutzererfahrung Zusätzliche Umsatzchancen Weniger administrative Kosten Funktionen: Single Sign-on (SSO) Rollen/regelbasierte Autorisierung und zentrale Forcierung von Richtlinien Kontenverknüpfung ermöglicht Partnervernetzung Nachgewiesene Leistung für große Installationen im Service Provider Umfeld Ad hoc Kontrollen kritischer Informationen zu Zugriffen NEW GRAPHIC Single sign-on, Zugriffskontrolle und Kontenverknüpfung in Intranets und Extranets Seite 34
Access Manager Alleinstellungsmerkmale > Single Sign-on für Web und J2EE Ressourcen > Zentrale Authentisierung und Autorisierung auf Basis von Richtlinien > Erlaubt verteilte Richtlinienforcierung > Erfasst alle Anmeldeversuche für ad hoc Audits > Nachgewiesene Skalierbarkeit für 80 Millionen Nutzer Seite 35
Wichtigste Funktionen Funktion Beschreibung Single Sign-on Nutzer melden sich einmal an und haben danach Zugang zu allen Web und Java Anwendungen Centralized Policy Engine Zentrale Kontrolle für Anwendungen. Zugriffsrechte auf Basis von Berechtigungsregeln Distributed Policy enforcement Feingranulare Richtlinienauswertung am Zugriffspunkt durch Policy Agenten und Reverse Proxy Funktionen Centralized Authentication Nutzung vorhandener Anmeldemechanismen über eine flexible, modulare Authentisierungsarchitektur Distributed Authentication Flexibler, erweiterbarer Anmeldemechanismus in der DMZ oder hinter der Firewall Federation Services Standardisierter Austausch von Sicherheitszertifikaten zwischen Partnern über SAML, Liberty, und Web Services Flexible, open architecture Einheitliche, J2EE-basierte Architektur nutzt transparent vorhandene Container Data store independence Nutzung LDAPv3 konformer Verzeichnisse oder Dateien durch einzigartige, modulare Speicherstruktur für Identitätdaten Modular solution Ermöglicht SSO und Autorisierungen für sehr große Nutzerzahlen Seite 36
Sun Java System Directory Server Enterprise Edition De-facto Standard LDAP Server Vorteile: Höhere Sicherheit Kostensenkungen und Investitionsschutz Weniger Komplexität Funktionen: Automatische Abwehr von DoS Angriffen, Zugriffskontrolle unterbindet unberechtigte Zugriffe Marktführer in Leistung und Durchsatz Multi-Master Replikation und Failover gewähren Ausfallsicherheit Web-basierte Adminoberfläche Kennwortabgleich mit Active Directory NEW GRAPHIC Sicherer, hochverfügbarer, leistungsstarker und wartungsfreundlicher Verzeichnisdienst Seite 37
Directory Server Enterprise Edition Alleinstellungsmerkmale > > > > > > > > > > > Skalierbarste Lösung, bewiesen durch viele PoCs Einzige Verzeichnislösung mit transparenter Active-Directory Integration Mit mehr als 2 Mrd. verkaufter Lizenzen ist der Directory Server der am weitesten verbreitete LDAP Directory Server Leader im Gartner Magic Quadrant für Directory Servers in 3 aufeinanderfolgenden Jahren (2001-2003) Leader im Burton Group Marktanteil-Chart (Oct. 2003) Leader bei Giga Research Dominates in extranet/internet environments (Apr. 2003) Leader im Radicati Directory Services Marktbericht (2004-2008) Im Einsatz bei den Top 10 Finanzdienstleistern weltweit 8 der Top 10 Telekommunikationsunternehmen 7 der Top 10 Mobilfunkunternehmen 7 der Top 10 Pharmaunternehmen Seite 38
Wichtigste Funktionen Funktion Beschreibung Speicher für Profile, Informationen zu Anwendungen und Ressourcen Directory Proxy Services Unkomplizierte Synchroniserung von MS-AD Erhöht Sicherheit und Effizienz, senkt Komplexität und Kosten Maximiert Verfügbarkeit und erlaubt flexible Wartung am laufenden System Erleichtert Nutzung in heterogenen Umgebungen und verbessert die Nutzererfahrung (gleiches Kennwort) 4-fach Multi-Master Replikation 64-Bit Support auf HP und SPARC bei linearer Skalierbarkeit Lastverteilung Failover/Failback Web-basierte AdminOberfläche Directory Server Resource Kit Sichert Verfügbarkeit und schnelle Antwortzeiten in verteilten Installationen Schützt Investitionen und senkt Kosten durch Nutzung großer Mehrprozessorsysteme Erhöht Effizienz und sichert Verfügbarkeit aktueller, korrekter Daten Erhöht Elastizität und Flexibilität für Wartung und Migration oder Upgrades Erleichtert die Administration durch intuitive Oberfläche für die wichtigsten Aufgaben Erhöht Effizienz und Administratorproduktivität Seite 39
Sun Java System Identity Manager Service Provider Edition Leistungsstarke Nutzerverwaltung in Extranets Vorteile: NEW GRAPHIC Funktionen: Provisioning und Synchronisierung Kontrollen und Berichte Delegierte Administration Selbstverwaltung für Kennwörter und Profile Neue Dienste schneller und kosteneffizienter an den Markt bringen Unterstützung für Millionen Nutzer Integration bestehender Lösungen Schnellere Time-to-market für Service-Portale Seite 40
Identity Manager SPE Alleinstellungsmerkmale > Provisioning und Synchronisierung verknüpfter Konten für massive Nutzerzahlen in Extranetumgebungen (Millionen Nutzer) > Administrationsdienste (Registrierung, Selbstverwaltung, Delegierung, Sync) als hochverfügbare, leicht wiederverwendbare Dienste > Integriert vorhandene Lösungen für Identity Management und Access Management Seite 41
Wichtigste Funktionen Funktion Beschreibung Identity Services für Registrierung Web Service Interface zur direkten Bereitstellung von Nutzerkonten in Verzeichnissen, Datenbanken, Access Management Lösungen und anderen Systemen Identity Services für Selbstverwaltung Web Service Interface zur schnellen Erstellung von Selbstverwaltungsmasken für Kennwortoperationen und Profilpflege in Portalen und Anwendungen Identity Services für Delegierte Administration Anpassbare Masken zur Pflege von Partnerorganisationen und zur Verwaltung von Partnernutzern durch Partneradministratoren Identity Services für Federated Provisioning Verwaltung von Nutzerkonten übergreifend über Anwendungen und Domänen für den gesamten Lebenszyklus der Identität Identity Services für Synchroniserung Hochskalierbare Synchronisation zwischen mehreren internen Kundendatenbanken und dem externen Verzeichnisdienst Audits und Berichtswesen Umfassende, gesicherte Protokolle aller Portalregistrierungen und verknüpften Provisionierungsvorgänge Sicheres, modulares Audit Log Protokolle und einzelne Vorgänge können digital signiert werden. Integriert auch vorhandene Log-Formate und Verzeichnisse Integrierbar Integriert Unternehmensverzeichnisse, Datenbanken und Anwendungen sowie Sun-fremde Identity Management oder Access Management Produkte Massiv skalierbar Transaktionsintegrität, Failover, und horizontale Skalierbarkeit wurden für Umgebungen mit über 10 Mio Nutzern auf für SPs typische quality of service (QoS) Metriken getestet. Seite 42
Sun Java System Federation Manager Einfach zu realisierende Lösung zur Verknüpfung von Partner Sites Vorteile: Einfach zu implementieren Transparent und sicher Schnelles Verknüpfen Funktionen: NEW GRAPHIC Unterstützt multilaterale Verknüpfungen Extranet Single Sign-on Zentrale Providerverwaltung Automatische Suche Ermöglicht sichere, kosteneffiziente Anbindung von Partnern für große Nutzergruppen Seite 43
Federation Manager Alleinstellungsmerkmale > Unterstützt den Betrieb von Verknüpfungen zwischen mehr als 2 Parteien > Leichtgewichtige, einfach zu implementierende Lösung, einfach bei Service Providern auszurollen > Breiteste Standardunterstützung sichert Lauffähigkeit in heterogenen Umgebungen > Beschleunigt die Verknüpfung von Portalen und Anwendungen Seite 44
Wichtigste Funktionen Funktion Beschreibung Extranet Single Sign-on Nutzt etablierte Verzeichnisse um Nutzer zu authentisieren und ihre Berechtigungen festzustellen Automatisierte Identitätsverknüpfung Verknüpft Nutzerkonten in verschiedenen Sicherheitsdomänen. Erzeugt transparente, sichere Nutzerinteraktionen Verwaltung verknüpfter Sitzungen Verwaltet Sitzungen und Abmeldungen. Kontrolle basiert auf Sensibilität der Anwendung und erforderlicher Authentisierungsqualität Massenverknüpfung Nutzerfreundlicher Mechanismus zum Datenaustausch mit etablierten Geschäftspartnern Automatische Verknüpfung Meldet Nutzer automatisch beim SP an, bereichert die Nutzererfahrung und vereinfacht die Benutzung 1-Click-Metadaten-Austausch Schnelle Datenverteilung für Verknüpfung, reduziert die Implementationszeit und sichert Datenkonsistenz zwischen Partner-Sites Verwaltung von Providern und Trusted Domains Identifiziert Provider und verwaltet ihre Interaktionen in Trusted Domains, vereinfacht damit die Kontrolle von circles of trust SAML Assertion Austausch Standardisierter Mechanismus zum Austausch von Sicherheitszertifikaten zwischen Partnern zur Sicherung gemeinsamer Dienste Web Services Development Framework Schnellere Entwicklung, Registrierung und Inbetriebnahme von Web Services für Anwendungen und Portale Seite 45
Sun Identity Management Produkte Richtlinienkontrolle Automatische Testierung SEM Integration Nutzerverwaltung Kennwortverwaltung Synchronisierung Identity Auditor Identity Manager Zugangskontrolle Single sign-on Verknüpfung Nutzerverwaltung/ Synchronisierung Verknüpfte Provisionierung Carrier Skalierbarkeit Identity Manager SPE Access Manager Verzeichnisdienste Sicherheit/Verfügbarkeit AD Synchronisation Directory Server Enterprise Edition Partner Single Sign-on Kontenverknüpfung Global Logout Federation Manager Seite 46
Sun Enterprise Identity Management Administratoren Identity Auditor Mitarbeiter Identity Manager Partner Access Manager Kunden Directory Server Enterprise Edition Seite 47
Erfahrungswerte für erfolgreiche Identity Management Projekte 1. 2. 3. 4. 5. Greifen Sie nach tief hängenden Trauben Glauben Sie nicht bunten Anbieterfolien Definieren Sie vorab klare Erfolgskriterien Schränken Sie den Zeitplan ein Begrenzen Sie die Ressourcen Seite 48
Praxis Fallstricke in der Realität Technologie ist nur die Spitze des Eisberges Datenqualität Alte Sünden rächen sich. Normen fehlen. Unsere Daten sind sauber. Enthusiasmus Wichtige Anwendungen unbedingt sofort anbinden. Ganze Organisation gerade ziehen. Abteilungen Verlust der Datenhoheit. Gewöhnen an neue Prozesse Berechtigungen Geerbte Befugnisse. Gekaperte oder verwaiste Konten Poolressourcen statt sauberer Rollen. Genehmigungen Hey Joe: Mal eben freigeben statt stringenter Prozesse. Usability Die Masken gefallen mir nicht Der Button links muß grün sein Seite 49
Warum Sun Identity Management im Fokus > Strategische Initiative für Sun > Komplettanbieter Bewährte Technologie > > > > Flexible Architektur beschleunigt Nutzeffekte Sichere Funktionsfähigkeit in jeder Umgebung Leistung, Skalierung und Verfügbarkeit für jeden Anspruch Offene, standardbasierte Lösungen Starke Kundenbasis > Über 2000 produktive Kunden weltweit Exzellente Partner > Vertikaler und regionaler Fokus Seite 50
KUNDENBEISPIELE
Kundenliste (Auszug) Weltweit mehr als 2000 Kunden, u.a. Seite 52
Henkel KGaA Problem Strikte Kontrolle über Anmeldungen und Berechtigungen Übergreifendes Identity Management für SAP R/3, Lotus Notes, Microsoft Active Directory und Novell edirectory Ablösung einer Host-Administration Time to Market Sicherheit Umsatzsteigerung Transparenz Servicequalität Kostensenkung Lösung End-to-End Identity Management Nutzen Schnelle Implementation: Mannmonate statt Mannjahren Einfach: Eine Console für mehrere Anwendungen Zentrale Kontrolle und Verwaltung. Lokale Administration über Workflows und Self Service Reduzierte Verwaltungskosten Alle Anforderungen erfüllt Sun Java System Identity Manager Cost-effectively Running the Extended Enterprise Globales Identity Management für 50,000 Nutzer Sun Proprietary/Confidential: Internal Use Only
DaimlerChrysler Problem Zu viele isolierte anwendungsspezifische Verzeichnisse Datensilos Abbildung verschiedenster Datenschutzanforderungen Leistungsfähiges zentrales Verzeichnis Lösung Sun Java System Directory Server, Enterprise Edition Hochverfügbar und skalierbar dank Multi-Master Architektur Hochperformante Replikation zwischen den Mastern Zentrales Verzeichnis für alle Anwendungen vereinheitlicht Identity Management Unternehmensverzeichnis liefert jetzt einen Standardbaustein in der Anwendungs-Architektur bei DaimlerChrysler Nutzen Globales Verzeichnis für 500.000 Nutzer Seite 54
General Motors Problem Verwaltung veralteter, inkonsistenter isolierter Verzeichnisse vereinheitlichen Abhängigkeiten von proprietären Ansätzen für Identity Management eliminieren Redundante Anmeldungen für sicheren Anwendungszugriff reduzieren Lösung Sicheres und hochverfügbares Portal mit intuitiver Nutzererfahrung stützen GM, Partner und Kunden können schnell Daten austauschen, auch über die üblichen Grenzen hinweg Neue Identitäts-Infrastruktur basiert auf offenen Standards für jetzige und künftige Anforderungen Schnellere und sichere Collaboration mit neuen und bestehenden Partnern verbessert gleichzeitig Servicequalität für Mitarbeiter, Kunden und Partner Reduzierte Administrationskosten Nutzen Zugang zu Informationen öffnen und sichern Seite 55
T-Mobile Problem Sicherer Zugang zu Multimediadiensten für Kunden über t-zones (T-Mobile Portal) Time to Market Sicherheit Umsatzsteigerung Transparenz Servicequalität Kostensenkung Lösung Stützt die Dienste von T-Mobile für seine fast 20 Millionen Kunden in den USA Verwaltet mehr als 10 Millionen Kundendateien, und mehr als 1000 Servicedefinitionen für Lieferanten Nutzen Besserer Kundenservice Ausrollen neuer, umsatzträchtiger Services Reduzierte administrative Kosten Besserer Service mehr Leistung, weniger Kosten Seite 56
BHF Bank Problem Massiver regulatorischer Druck durch Basel II, KonTraG, MaH und MaRisk bedingt stringente neue Sicherheitsrichtlinien Intransparente Nutzerverwaltung an mehr als 20 Stellen ein Hindernis, keine einheitliche Beantragung Kein zentraler Rechtebericht möglich bzw. zu aufwändig Time to Market Sicherheit Umsatzsteigerung Transparenz Servicequalität Kostensenkung Lösung Sun Identity Manager Zentrale Nutzeradministration für Mitarbeiter, technische Nutzer, Kunden und externe Mitarbeiter, Umsetzung nach BS7799, ISO/IEC 27001:2005 Übernahme der Stammdaten aus Peoplesoft, Pflege der Daten in allen angeschlossenen Systemen (RACF, AS400, AD, LDAP, NDS) Flexible Plattform für interne und externe Projekte Nutzen Zentraler Rechtebericht mindert Risiken, erleichtert Audit und steigert Transparenz für Nutzer Flexible Workflows ermöglichen sukzessive Abbildung aller Berchtigungsanträge über eine zentrale Verwaltung Mehr Effektivität, weniger Risiken Seite 57
COMPLIANCE
RevisionsSicherheit für wen? Im globalen Wettbewerb brauchen Organisationen > Offene und dabei sichere Infrastrukturen > Mehr Sicherheit mit weniger Budget und Ressourcen > Flexibilität bei der Beachtung von gesetzlichen und Revisionsauflagen Seite 59
Sicherheitsrisiken Bedrohungen durch inaktive, korrupte oder verwaiste Konten IT-Systeme offen für externe Mitarbeiter, Partner und Lieferanten Fehlende Kontrolle und Transparenz der Gesamt-IT Höhere Risiken schmälern Alleinstellung und Umsatzchancen Seite 60
Anforderungen der Revision Zunehmende Revisionsanforderungen belasten IT-Ressourcen Fehlgeschlagene Audits durch Prüfer ziehen Strafen und Imageverlust nach sich Einhaltung der Vorschriften ist nicht immer zwingend. Der Gewinn durch ihre Einhaltung kann nicht in jedem Fall quantifiziert werden Seite 61
Was hat SOX mit Identity Management zu tun? SOX Top 10 Abweichungen bei Audit* # 1 Rollen nicht klar verteilt oder Zuständige nicht identifiziert # 2 Betriebssystem (z.b. Unix) Zugangskontrollen zu Applikation oder Portal unsicher Datenbank (z.b. Oracle) Zugangskontrollen zu Anwendungen (SAP, Peoplesoft) unsicher # 3 # 4 Entwickler können Transaktionen in Produktionsumgebung auslösen # 5 # 6 Viele Benutzer haben Zugriff auf Administrator -Transaktionen in Produktion Ausgeschiedene Mitarbeiter oder Berater haben immer noch Zugriff # 7 Berichtszeiträume in Berichtsanwendung nicht klar abgegrenzt # 8 Programmanpassungen, Tabellen und Schnittstellen sind nicht sicher # 9 Prozeduren für manuelle Prozesse sind nicht dokumentiert oder fehlen ganz Systemdokumentation und tatsächliche Prozesse divergieren #10 Identity Management anwendbar *Quelle: Ken Vander Wal, Partner, E&Y, ISACA Sarbanes Conference, April 2004 Seite 62
Nutzen von Identity Management Wie hilft es bei der Eindämmung operativer Risiken? Operative Risiken eindämmen > Weniger Betrugsvorfälle > Automatisierte Benutzerverwaltung: Nur qualifizierte und berechtigte Nutzer erhalten Zugriff auf relevante Systeme. Keine manuelle Manipulation von Daten, weniger Bedienfehler > Transparenz von Nutzern, ihren Rollen und Rechten > Permanente Protokollierung aller Zugangsversuche und Aktionen > Weniger Image-Schaden > Bei einem Sicherheitsvorfall werden Löcher schneller geschlossen Seite 63
Treiber Nutzen von Identity Management Wie hilft es bei der Eindämmung operativer Risiken? Hilfe bei Audit und Risikomanagement > Audit > Protokolle aller nutzerbezogenen Informationen: Wer was wann getan hat, kann jederzeit automatisch dokumentiert werden. Neue Prozeduren können ohne Auswirkungen auf die auditierten Systeme hinzugefügt werden > Risikomanagement > Erfassung von Änderungshistorien: Prophylaktische Protokolle für den Fall des Falles > Berichte zu allen Bereichen der Infrastruktur: Qualitätskontrolle für verteilte Nutzerdaten Seite 64
BEISPIEL USE CASES
Use Case Beispiel 3 Kennwort zurücksetzen - vorher Der bestehende Prozeß zum Rücksetzen eines Kennworts benötigt eine Vielzahl manueller Eingriffe und kostet wertvolle Arbeitszeit. PROBLEM: Zu viele Anfragen im zentralen Helpdesk zum Rücksetzen von Kennwörtern Zu viele manuelle Eingriffe und Produktivitätsverluste der Systemadministratoren, die Kennwörter manuell über native Nutzeroberflächen der Anwendungen zurücksetzen Help Desk B A Active Directory G Nutzer Service Desk SAP Admin Security E B. Der Helpdesk-Mitarbeiter meldet sich in einer angepassten Active Directory MMC an, um das Kennwort zurückzusetzen. C. Der Helpdesk Mitarbeiter kann das Kennwort nicht zurücksetzen und eröffnet ein Service Ticket im Service Center D. Der Nutzer eröffnet ein Service Ticket um ein neues Kennwort zu bekommen. E. Das Service Center beauftragt die Arbeitsgruppe Informationssicherheit (Security) per E-Mail. F. Die Security leitet das Ticket an die Bearbeitungsqueues der jeweiligen Systemadministratoren weiter. G. Der Sysadmin setzt das Kennwort über die native Nutzeroberfläche zurück und schließt das Service Center Ticket. G SAP F Unix Admin App Admin Der Nutzer kontaktiert den Helpdesk wegen eines vergessenen Kennworts. Der Helpdesk verifiziert die Identität des Nutzers durch eine Reihe von Kontrollfragen. CTS Admin C D A. G G Unix Anwendungen Rot: Manueller Prozess Grün: Automatisierung Seite 66
Use Case Beispiel 3 Kennwort zurücksetzen - nachher Identity Manager bietet dem Endnutzer eine Oberfläche, von der aus er sein Kennwort zurücksetzen und wählen kann, wohin dieses neue Kennwort propagiert werden soll. 1) Der Nutzer validiert seine Identität durch Antworten auf festgelegte Kontrollfragen. Danach meldet sich der Nutzer bei der Identity Manager s Self-Service Oberfläche an und setzt sein Kennwort zurück. VORTEILE: Weniger Anfragen beim Helpdesk (ca. 33%) Bessere Nutzererfahrung durch einheitliche Oberfläche Weniger Aufwand für Security im Erfassen und Weiterleiten von Anfragen Weniger Aufwand für die Systemadministratoren bei der Kennwortänderung 2) Die Nutzerdaten werden an den Identity Manager übermittelt. 3) Die neuen Anmeldedaten werden zu den vom Nutzer angegebenen Systemen propagiert. Active Directory Nutzer Self-Service Oberfläche 1 Identity Manager 2 SAP 3 Unix Anwendungen Rot: Manueller Prozess Grün: Automatisierung Seite 67
Use Case Beispiel Neuer Mitarbeiter - vorher Der bestehende Prozeß zum Anlegen eines neuen Mitarbeiters benötigt eine Vielzahl manueller Eingriffe und kostet wertvolle Arbeitszeit. PROBLEM: Ein Supervisor muß mehrere Systeme durchlaufen, um einen neuen Nutzer anzulegen. Der Nutzer wartet auf mehrere manuelle Prozesse zwischen Security, Fachbereichsleiter und Sysadmins, bevor er Zugang zu den Systemen erhält. Die Aktivitäten sind der bestehenden Kommunikation anhand einer Reihe von E-mails schwer nachzuvollziehen. Die Berechtigung der Zugangsanfragen läßt sich im Nachhinein schwer überprüfen. 1) 2) 3) 4) 5) 6) SAP Admin 12 Fachbereich Unix Admin 6 Service Center Supervisor 7 12 9) 12 8 Anwendungen CTS Admin 11 1 HRPR Admin 2 Active Directory 3 10) 11) 12) 9 Identity Manager SAP-HR 7) 8) Unix Apps Admin Security 5 4 SAP 10 Supervisor benachrichtigt HR HR Admin gibt Daten in SAP HR ein Nutzerdaten werden an Identity Manager propagiert Supervisor öffnet Service Center Ticket für Anwendungszugriff Service Center sendet Anfrage per Email weiter an Security Security e-mailt Freigabeanfragen an Manager im Fachbereich Manager e-mailen Freigabe an Security Security vermerkt Freigabe im Ticket und gibt Anfrage frei. Das Ticket geht in die Queue im Service Center zurück CTS Admin erzeugt Active Directory Konto via Identity Manager Identity Manager propagiert Nutzerdaten nach Active Directory CTS Admin bearbeitet Nutzerprofil im Active Directory & schließt Ticket Sysadmin erzeugt Nutzerkonto und schließt Service Ticket Rot: Manueller Prozess Grün: Automatisierung Seite 68
Use Case Beispiel Neuer Mitarbeiter - nachher Die IAM Lösung beschleunigt die Nutzererstellung und erleichtert Kontrollen der Zugriffe und Freigabeprozesse. VORTEILE: Bessere Nutzererfahrung: Supervisor muß nur auf ein System zugreifen Effizienterer Freigabeprozess beschleunigt Abarbeitung von Tickets Workflow verbleibt im Service Center und ist damit einfacher kontrollierbar Welche Person hat auf welche Anwendungen Zugriff erhalten Identity Manager verfügt über die komplette Liste aller individuellen Berechtigungen Fachbereiche 3 Supervisor Service Center Nutzeroberfläche 1 Active Directory 4 SAP Service Center 2 Unix Identity Manager 5 Anwendungen 8 1) Supervisor meldet sich beim Service Center an & beantragt Nutzererstellung für erforderliche Systeme 2) Anfrage erreicht Service Center System 3) Service Center sendet Fachbereichen Anfrage per E-Mail 4) Verantwortliche melden sich beim Service Center an & genehmigen Zugriff 5) Service Center sendet Genehmigungsinformation an Identity Manager 6) Identity Manager sendet E-Mail an System Admin, erbittet Bereitstellung des Zugangs 7) System Admin meldet sich bei Identity Manager an & initiiert Bereitstellungsprozess 8) Identity Manager propagiert Nutzererzeugung an Zielsystem HRPR 6 CTS Admin Apps Admin 7 SAP Admin Unix Admin HR Admin Rot: Manueller Prozess Grün: Automatisierung Seite 69
Use Case Beispiel Mitarbeiter Ausscheiden - vorher Der bestehende Deaktivierungsprozess ist intransparent, da vorhandene Berechtigungen schwer nachzuvollziehen sind. 1) Supervisor sendet Formular an HR 2) HR Admin setzt Mitarbeiterstatus auf inaktiv in HR. Dieser Prozeß kann bis zum Ende des laufenden Gehaltszahlungszyklus andauern. 3) Die Statusänderung wird im IMS reflektiert und der Nutzer dort deaktiviert 4) Supervisor erzeugt ein Serviceticket um den Zugriff auf Anwendungen zu entziehen 5) Service Center benachrichtigt Security 6) Security informiert zuständige Personen per EMail 7) Fachbereiche genehmigen Deaktivierung Anwendungen 8) Security vermerkt Genehmigungen und gibt Anfrage zur Ausführung frei. Das Ticket wandert in die Bearbeitungsqueue des Service Center Active Directory 9) System Admin entfernen Nutzerzugriff auf ihre Systeme PROBLEM: Supervisor muß zur Deaktivierung mehrere Systeme durchlaufen. Nutzerdeaktivierung dauert zu lange, weil zwischen Security, Fachabteilung und Sysadmins mehrere Manuelle Prozesse ablaufen müssen. Tatsächliche Berechtigungen des Nutzers sind nicht einsehbar. Da der Supervisor für jede Deaktivierung explizit ein Ticket eröffnen muß, werden wahrscheinlich nicht alle Rechte entzogen SAP Admin 9 Fachbereiche Unix Admin 6 Service Center Supervisor 7 9 Unix Apps Admin Security 9 8 5 4 SAP CTS Admin 9 1 HRPR Admin Identity Manager HRPR 2 3 Rot: Manueller Prozess Grün: Automatisierung Seite 70
Use Case Beispiel Mitarbeiter Ausscheiden - nachher Die IAM Lösung beschleunigt die Nutzerdeaktivierung und den nachvollziehbaren Entzug der Zugriffsrechte. 1) Supervisor meldet sich beim Service Center an und beantragt Deaktivierung 2) Anfrage wird an Service Center System gesendet 3) Service Center erbittet Genehmigung der Fachabteilungen per E-Mail 4) Fachbereiche genehmigen Deaktivierung über Self Service Active Directory 5) Service Center sendet Genehmigungsinformationen an Identity Manager SAP 6) Identity Manager sendet E-Mails an System Admins und erbittet Deaktivierung zu starten 7) System Admin meldet sich bei Identity Manager an & initiiert Deaktivierung 8) Identity Manager deaktiviert Nutzerzugriff auf Zielsystem VORTEILE: Bessere Nutzererfahrung: Supervisor muß nur auf ein System zugreifen Effizienterer Genehmigungsprozess beschleunigt Abarbeitung von Tickets Workflow verbleibt im Service Center und ist damit einfacher kontrollierbar Welcher Person wurde der Zugriff auf welche Anwendung entzogen Identity Manager verfügt über die komplette Liste aller individuellen Berechtigungen Fachbereiche 3 Service Center User Interface Supervisor 1 4 Service Center 2 Unix Identity Manager 5 8 Anwendungen HRPR 6 CTS Admin Apps Admin 7 SAP Admin Unix Admin HR Admin Rot: Manueller Prozess Grün: Automatisierung Seite 71
SUN NETWORK SERVICES FÜR SAP
Woher nimmt Sun das Know-How? Sun lieferte die Web Services Infrastruktur für 9 der ersten 15 SAP EP 6 Kunden... Beispiele: > > > > > Lufthansa Philips Dow Corning Norsk Hydro Wacker Chemie Seite 73
SAP Enterprise Portal Zentraler Zugang zu SAP NetWeaver-Enabled Services Rollenbasiert Personalisiert Vertrieb Fachbereich Entwicklung Authentisiert SAP Enterprise Portal Zentralisiert Abgesichert Integrierte Funktionen (SAP & Dritte) Seite 74