IBM Software Group Napredno UPRAVLJANJE Z UPORABNIKI informacijskih sistemov Upravljanje uporabniških računov in dostopov Andrej Zimšek S&T Slovenija Andrej.Zimsek@snt.si
Agenda Nekaj Pa še nekaj In nazadnje... VPRAŠANJA in MNENJA 2
Najprej malce teorije 3
4
Upravljanje z identitetami Upravljanje z identitetami je skupek poslovnih procesov in podporne infrastrukture za kreiranje, vzdrževanje in uporabo elektronskih identitet! The Burton Group 5
Upravljanje z identitetami Sinhronizacija vseh gesel na različnih sistemih Administracija vseh uporabnikov iz enega mesta Pregled vseh uporabnikov Enostavno dodajanje novih uporabnikov Hiter izbris oz. preprečitev dostopa uporabniku na vseh informacijskih sistemih Avtomatizacija postopkov Dodeljevanje pravic Odvzem pravic 6
Zaščita virov IPS Firewall Protivirusna zaščita, SPAM Hackerji Virusi SPAM Informacije podatki Znotraj organizacije NI zaščite Uporabniki Nedovoljen prenos 7
Upravljanje z identitetami 8
Zakaj uvajati upravljanje z identitetami Zakonske in regulativne zahteve Zmanjševanje tveganj Optimizacija postopkov in stroškov Hiter pregled stanja Avtomatizacija postopkov 9
Opravičilo za uvedbo Nadzor dostopov Dodeljevanje pravic Formalizacija postopkov Ločevanje nezdružljivih nalog Poročila o stanju Skladnost s predpisi Temelj za nadaljnjo avtomatizacijo postopkov 10
Stroški IBM Security Solutions 11
Tveganja Osiroteli računi Pregled nad pravicami uporabnikov Izvajanje postopkov Skladnost s pravili poslovnih procesov Zagotavljanje primernih pravic Upravljanje z gesli Veliko informacijskih sistemov Enotna prijava 12
Osiroteli računi 1 30% ali več računov je osirotelih Gartner Group Autoritativni vir (Kadrovska služba, etc.) Identity management podatkovna baza 2 Uporabniški računi jan0895 jnovak03 Suzana_s4 4 Janez Novak nbody Aplikacije Zahteva za recertifikacijo Suzanin šef 3 ackerh05 5 Dostop evaluiran in zabeležen Suzana Kovač novakj kovacs17 Cisco Secure ACS 13
Predpisi Upravljanje z varnostjo Upravljanje s podatki Okrevalni načrti Upravljanje z incidenti Upravljanje z identitetami Dodeljevanje Upravljanje z IT pravic dostopi SREDSTVA Nadzor sprememb Hranjenje podatkov Nadzor / revizije Upravljanje s konfiguracijami Upravljanje z dostopi in identitetami Upravljanje z dokumenti Fizična varnost 14
Postopki... Dodajanje uporabnika nov uporabnik zahteva za dostop skrbniki kreirajo uporabniška imena in dodelijo ustrezna pooblastila uporabnik ima uporabniško ime (čas?) določitev vlog in politik nalog za izvedbo potrditev 15
Življenjski cikel Novi uporabnik / samostojna registracija Račun Začasen dostop za Začasne sodelavce Opis procesa Ustvari Dodaj Obvestila Politika Recertificiranje, če je dostop še potreben Proženje Proženje postopkov: postopkov: Datum Datum Pretečen Pretečen čas čas Menjava Menjava atributa atributa Kombinacija Kombinacija Postopki Odstrani Spremeni Vloga Uporabnik Zunanji sistemi 16
Dodeljevanje pravic Delo za administratorje Ročno Izobraženi uporabniki Računalništvo Hibridni pristop Mešano okolje Bančništvo, podjetja,... Izdelava politike in postopkov Avtomatizirano Homogena okolja UPS, globalne organizacije Odobritev za posebne dostope Revizija posebnih pravic, pregled in periodično brisanje 17
Ročni postopki Obvladovanje pravic pri ročnih postopkih je vprašljivo... Pravice Čas zaposlitve Primeren dostop? Zaposlitev Prekinitev zaposlitve 18 Čas
Avtomatski postopki Zagotovljena primernost dostopa v celotnem življenskem ciklu uporabnika Čas zaposlitve Zaposlitev Prekinitev zaposlitve 19 Čas
Izdelava poročil Centraliziran pregled vseh računov in pravic Sledenje dostopnih pravic po uporabnikih Sledenje dostopnih pravic po inf. virih Izdelava poljubnih poročil Povezava z drugimi sistemi (izvoz poročil,...) 20
Tehnologija Beleženje vseh akcij Avtomatizira upravljanje z identitetami Avtorizacije Nastavljanje uporabniških pravic glede na odobritve odgovornih oseb Revizija Avtomatizacija postopkov Upravljanje z gesli Povezave Samo- Administracija Sprememba gesel Osebne informacije Prošnja za dodelitev pravic Sinhronizacija gesel Single Sign-On SDKs 21
Lastnosti Dostopne pravice se avtomatično spremenijo, če se spremenijo odgovornosti zaposlenega so dodeljene Identities Identitete Zaklepanje potencialnega dostopa nepooblaščenim uporabnikom ali skupinam Povečanje poslovne nadgradljivosti in zmanjšanje administrativnega presežka Avtomatična ukinitev dostopa po zapustitvi delovnega mesta ali premestitvi se nanaša Roles Vloge manager developer Policies Politike new novo employee zaposlen požene se nanaša posestvuje Accounts Računi root Administrator Services Servisi unix windows Delovni Workflows proces priprava 22
Pristop k uvedbi top down Pokritje posameznih virov z vsemi funkc. IDM Vključevanje dodatnih virov in uporabnikov Taktično, omejeno pokritje Pozna povrnitev naložbe (ROI) Manjši vpliv na organizacijo Višji stroški uvedbe 23
Pristop k uvedbi bottom up Postopno vpeljevanje storitev na posamezne sisteme Manj načrtovanja v prvi fazi, sprotno pri vpeljevanju Hitra implementacija v prvih fazah Hitra vrnitev naložbe (ROI) 24
Proti cilju... 25
Primer izvedbe projekta 26
Pristop projektu 27
Pristop projektu 28
Cilji/zahteve projekta Izboljšanje uporabniške izkušnje Hitreje do uporabniškega računa s centralizacijo informacijskih virov Avtomatična menjava gesla povezava ITIM 1 in ESSO 2 Izboljšanje nivoja varnosti Avtomatična menjava gesla, uporaba močnih gesel ITIM kreiranje gesel in sinhronizacija z ESSO Sledenje upravljanja z računi revizijske sledi Odstranitev osirotelih računov pri prvi sinhronizaciji avtomatično povezovanje obstoječih uporabniških računov z realnim stanjem zaposlenih oseb 1 IBM Tivoli Identity Manager 2 Enterprise Single Sign-on 29
Cilji/zahteve projekta Regulativne zahteve Pregledi nad dostopnimi pravicami, poenotene politike pravic zaposlenih in definirane vloge dostopov Izboljšanje učinkovitosti upravljanja uporabniških računov Decentralizacija dela z uporabniki -vsaka zaključena enota ima pregled in možnost upravljanja Hitrejše in lažje upravljanje, enoten vmesnik, avtomatizacija postopkov Izboljšanje pregleda nad uporabniškimi računi Izdelava poročil Centraliziran pregled uporabniških računov in identitet 30
Cilji projekta Dostop do vseh virov preko enotne prijave Prijava v Windows sistem s pomočjo pametne kartice omogoča dostop do vseh ostalih virov Brez sprememb v obstoječih aplikacijah 31
Cilji projekta Poenostavljena prijava za uporabnika Preizkus rešitve s pilotno postavitvijo 32
Trenutno stanje upravljanja Velika frekvenca sprememb, ukinitev in kreiranja uporabnikov 3-4 zaposleni samo za upravljanje uporabnikov Otežen nadzor nad pravicami in uporabniki Zapleteni tehnični procesi (skripte,...) Prijava uporabnikov za vsako aplikacijo (veliko število uporabniških imen in gesel) 33
Trenutno stanje upravljanja 34
Novo stanje Zmanjšanje obremenitve sistemskih administratorjev z rutinskimi opravili Vsaka organizacijska enota upravlja s svojimi uporabniki Avtomatizacija postopkov Odstranitev osirotelih računov Izdelava poročil 35
Sistemska arhitektura Zaposleni Sinhronizacija Partnerji Začasno zaposleni IBM Tivoli Identity Manger Detekcija osirotelih računov Drugi PROCESI, POSLOVNO OKOLJE UPORABNIKI PROCESI POSLOVNO OKOLJE 36
Izvedba bottom up 37
Enotna prijava 38
Uresničitev ciljev Podatki o prijavah so v šifrirani obliki v Microsoft AD ali datoteki Podprte aplikacije Vsi znani sistemi Spletne aplikacije Pametne tipkovnice, smart card 39
Uresničitev ciljev - povezava sistemov in znanj Upravljanje z identitetami Sistem za enotno prijavo Uporaba pametnih kartic Avtomatsko posredovanje uporabniških informacij potrebnih za prijavo v posamezne aplikacije 40
Prikaz rešitve 41
Zaključek Zmanjševanje stroškov Poenostavitev postopkov Nadzor nad pravicami Zmanjševanje tveganja Skladnost s predpisi 42
VPRAŠANJA IN KOMETARJI Korean Thai Russian Arabic Grazie Italian Hvala Slovenian Simplified Chinese Gracias Danke German Spanish Obrigado Brazilian Portuguese Merci French Traditional Chinese Thankyou English Tamil Japanese 43