identity management szenarien aus der praxis
TRANSCRIPT
Identity Management Szenarien aus der Praxis
Deutsche ORACLE-Anwendergruppe e.V.
Regionaltreffen Bremen
20. Februar 2012
Identitätsmanagement betrifft alle IT-gestützten Unternehmen
Wie viele verwaiste Konten gibt es in Ihren IT-Systemen?
„42 Prozent der Unternehmen können verwaiste Konten nicht beziffern.“http://www.secgeeks.com/orphaned_accounts_overlooked.html, Stand: 10.02.2012
Kann sich Ihr Service Desk den wesentlichen Aufgaben widmen?
„20 – 30 Prozent der Service Desk Tätigkeiten
entfallen auf das Zurücksetzen von Passwörtern.“ http://www.gartner.com/it/page.jsp?id=1426813, Stand: 10.02.2012
Ab welchem Tag kann Ihr neuer Mitarbeiter produktiv arbeiten?
„Die Erfahrung zeigt, dass Unternehmen durch die rollenbasierte
Berechtigungsverwaltung einen Automatisierungsgrad von mehr als
90 Prozent erreichen können und damit wesentliche Kosten sparen.“http://www.searchsecurity.de/themenbereiche/identity-und-access-management/user-management-und-provisioning/articles/307143/, Stand: 10.02.2012
2IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Identitätsmanagement regeltden Zugriff auf Unternehmensdaten
3IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Mitarbeiter
Kunden
Partner
Authentifizieren Autorisieren
Administrieren
Auditieren
Identitätsmanagement steigertdie Effizienz und die Qualität
4IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
• Kürzere Prozesszeitenim User Management
• Termingesteuerte Rechtevergabe
• Konsistente Benutzerdaten
• Single Sign-On
• Eindeutige Benutzerzuordnung
• Rollenbasierte Berechtigungen
• Funktionstrennung
• Nachweis vonIT-Compliance
Kosten senken Service verbessern Sicherheit erhöhen
• Automatisierte Benutzerverwaltung
• Self-Services- Berechtigungsantrag- Passwort vergessen
• IT-Systemprüfungauf Knopfdruck
Die Bedeutung von Identitätsmanagementwird immer stärker wahrgenommen
5IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Forecast: Security Software Markets, Worldwide, 2010-2015, 2Q11 Update, Gartner Inc., Juni 2011
0,0
2,0
4,0
6,0
8,0
10,0
12,0
14,0
2009 2010 2011(Prognose)
Durchschnittliche j�hrliche Wachstumsrate Durchschnittliche j�hrliche Wachstumsrate Durchschnittliche j�hrliche Wachstumsrate Durchschnittliche j�hrliche Wachstumsrate (in Prozent)(in Prozent)(in Prozent)(in Prozent)von Software von Software von Software von Software Ertr�gen f�r Ertr�gen f�r Ertr�gen f�r Ertr�gen f�r ProvisioningProvisioningProvisioningProvisioning ProdukteProdukteProdukteProdukte
Identity Management Projekte sind keine IT-Projekte
Organisationsprojekt
Identity Management
1. Entwurf einer übergreifenden Identity Management Strategie
2. Planung der schrittweisen, systematischen Umsetzung
3. Einbeziehung aller Stakeholder
4. Betrachtung von Projektrisiken und kritischen Erfolgsfaktoren
5. Definition der User Management Prozesse und Business Rollen
Teilprojekt
IT-Technische Umsetzung
1. Installation der IDM Komponenten
2. Anbindung der nächsten Benutzerverwaltung
3. Attribut-Mapping und Festlegung führender Systeme
4. Abstimmung der Konten und Korrelation zu Identitäten
5. Datenkorrektur und Ergänzung
6. Erweiterung der User Management Workflows
6IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Herausforderungen für Identity Managementliegen in der Ausgangssituation
Organisatorische
Herausforderungen
• Vielzahl unterschiedlicher Verzeichnisse für die Benutzerverwaltung und keine einheitliche Zuständigkeit
• User Management Prozesse sind nicht definiert oder werden nicht strikt eingehalten
• Namenskonventionen sind nicht übergreifend festgelegt
Technische
Herausforderungen
• Keine einheitliche Sichtund keine durchgängige Verwaltung
• Keine Eindeutigkeit von Benutzern und zugehörigen Informationen
• Schlechte Datenqualität durch Medienbrüche und fehlende Synchronisation
• Migration produktiver Systeme
• Integration von „Alt“-Systemen
7IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Es gibt keine absoluten Kennzahlen, ab wann Identity Management wirtschaftlich ist
Kriterien für Identity Management
• Hohe Anzahl von IT-Benutzern
• Komplexe IT-Landschaft
• Häufiges Zurücksetzen von Passwörtern
• Unüberschaubare Anzahl von Einzelberechtigungen
• Existenz verwaister Konten
• Inakzeptable Laufzeit von User Management Prozessen
• Risikoanalyse, z.B. nach IT-Grundschutz des Bundesamt für Sicherheit in der Informationstechnik (Zertifizierung von Systemen nach ISO 27001)
8IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Risiko-Nutzen-Analyse
Geringes Risiko
• unvollständige Abdeckung der System-Landschaft
Hohes Risiko
• Rollenmodell kann sehr komplex werden
• Role-Mining (Bottom-Up) kann erfolglos sein
• Master-Administration des IdM-Systems (sicherheitskritisch)
Kurzfristiger Nutzen
• Sinkende Kosten
• Bessere Übersicht & Kontrolle der Berechtigungen
• Mitarbeiter erhalten schneller Berechtigungen
Langfristiger Nutzen
• Erfüllung von Compliance
• Erhöhung der Sicherheit und sinkende Kosten
9IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
IDM Funktionen werden in Bezug auf Sicherheit, Kosten und Service unterschiedlich bewertet
10IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Identity ManagementFunktionalität
Sicherheiterhöhen
Kostensenken
Serviceverbessern
Automatisierte Provisionierung
Konsistente Benutzerdaten
Zeitgesteuerte Provisionierung
Eindeutige Benutzerzuordnung
Self-Services
Rollenbasierte Berechtigungen
IT-Systemprüfung unterstützen
Single Sign-On
keine Auswirkung starke Auswirkung
Die Komponente Provisionierung ist zentraler Bestandteil vom Identity Lifecycle Management
11IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
ProvisionierungIdentityAuditing
IdentityLifecycle
Management
Identitätsmanagement unterstützt das Identity Lifecycle Management
Präventive Compliance
• Automatisierte Provisionierung
• Genehmigungs-Workflows
• Synchronisierung
• Passwort Management
• Delegierte Administration
• Ereignis- und termingesteuerte Berechtigungsverwaltung
• Kontrolle der Funktionstrennung(Segregation of Duties)
12IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Austritt
Einstellung
Wechsel,Bef�rderung
Worauf ein Benutzer Zugriff haben sollte "
Identity Auditing ergänzt dasIdentity Lifecycle Management
Nachträglich aufdeckende
Compliance
• Komplette IT Überprüfung durch Auslesen aller Benutzer und Berechtigungen
• Automatische Bereinigung von Verstößen
• Abgleich von Rollenund Richtlinien
• Periodische Überprüfung der Richtlinienkonformität
13
Verst�$efeststellen
IT Kontrolle
Bereinigung, Benachrichtigung
Worauf ein Benutzer Zugriff hat "
IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Im Konzerntelefonbuch erscheinen konsolidierte Benutzerdaten
• Mitarbeiter mit mehreren Benutzerkonten im Konzernerscheinen nur einmal
• Die Informationen des Hauptbenutzerkontos werden angezeigt
• Die Selbstpflege persönlicherBenutzerdaten ist möglich(auch bei Anmeldung mit Nebenbenutzerkonto)
• Je nach Konzerngesellschafterfolgt zusätzlich eine Synchronisation geänderter Daten in andere Systeme
14IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Rollenmanagement bildet die Grundlage für rollenbasierte Berechtigungsvergabe
15IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
RollenbasierteBerechtigungsvergabe
TechnischeRollenBusiness
Rollen
Rollenmanagement vereinfacht die Verwaltung von Berechtigungen
Business Rollen
• Zusammenfassung der Aufgaben im Geschäftsprozess
• Analyse (Role Mining) und Design im Identity Management System
• Mehrstufige Hierarchie möglich
Technische Rollen
• Repräsentation von IT-Funktionen
• Import aus und Pflege in den angeschlossenen Zielsystemen
Zugriffsrechte
• Feingranulare systemspezifische Berechtigungen
16IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
17IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Business Rollen verbinden die Geschäftsprozesse mit den notwendigen Zugriffsrechten
Generierung der Rollen (oft iterativ)
• Definition einer Business Rollen
• Auslesen der technischen Rollen
• Zuweisung von technischen Rollen und oder Business Rollen
Provisionierung
• Workflow-basierend
• Zuweisung oder Entzug von Rollen
− Ereignisgesteuert
− Termingesteuert
− Manuell
LoginLoginLoginLogin EEEE−−−−MailMailMailMail
Business RollenManagerManagerManagerManager
BuchhalterBuchhalterBuchhalterBuchhalter
MitarbeiterMitarbeiterMitarbeiterMitarbeiter
StandardStandardStandardStandard−−−−BenutzerBenutzerBenutzerBenutzer
AbrechnungAbrechnungAbrechnungAbrechnung PersonalPersonalPersonalPersonal−−−−ManagerManagerManagerManager
ActiveActiveActiveActiveActiveActiveActiveActiveDirectoryDirectoryDirectoryDirectory
MicrosoftMicrosoftMicrosoftMicrosoftMicrosoftMicrosoftMicrosoftMicrosoftExchangeExchangeExchangeExchange
SAPSAPSAPSAPPortalPortalPortalPortal
SAPSAPSAPSAPFI/COFI/COFI/COFI/CO
SAPSAPSAPSAPHCMHCMHCMHCM
Technische Rollen
Konzerndienste unterstützen die Zusammenarbeit in verteilten Konzernstrukturen
• Mandantenfähiges, zentrales Identity Management System für die Konzerngesellschaften mit weiterhin autarken Benutzerverwaltungen
• Anbindung verschiedener AD Domänenund Domino als führende Systeme
• Aufbau eines zentrales Konzernverzeichnisses
• Konsolidierung der Benutzerkonten zu eindeutigen Identitäten
• Berechtigungssteuerung für Konzerndienste über Organisationsrollen
• Mandantenspezifische Anbindung an einSLcM System (syscovery Savvy Suite) zum automatisierten Fulfillment
18IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Ziel sind konsistente Benutzerdaten
19IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Benutzerdaten
Konsolidierung
Synchronisation
Synchronisation von Benutzerdaten bewirkt Konsistenz
20IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
ID: backhaus
PW: geheim
MAIL: [email protected]
TEL: 0441 / 3612 2936
…
ID: root
UID: 774
HOME: /mnt
…
ID: stbackha
PW: secret
NR: 774
TEL: 0441 / 3612 0
REF: backhaus
…
Redundante Benutzerdaten werden durch Konsolidierung abgebaut
• Meta Directories
• Virtuelle Verzeichnisse
21IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
ID: root
PW: x!k0Cq4$
UID: 774
HOME: /mnt
…
ID: backhaus
PW: geheim
MAIL: [email protected]
TEL: 0441 / 3612 2936
…
ID: stbackha
MAIL: [email protected]
TEL: +49 (0) 441 3612 2936
HOME: /mnt
ID: stbackha
PW: secret
NR: 774
TEL: 0441 / 3612 0
REF: backhaus
…
• Zusammenführung der bislang getrennten Daten- und Sprachnetze,sowie der Bereiche Festnetz und Mobilfunk
• 75.000 “Managed Ports“ an 2.500 Standorten, hinzu kommen 12.000 Mobilfunkkarten
• Bereitstellung derDaten für TK-Dienste
• Rückschreibung bzw. Rückmeldungder vergebenen Rufnummern
Das Service Portal eines TK-Unternehmens benötigt die Benutzerdaten seines Kunden
22IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Nach einmaliger Anmeldung erlaubt Single Sign-On vielfältigen Zugriff
23IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Single Sign−On
Web SSO Enterprise SSO
Single Sign-On unterteilt sich in Web und Enterprise Single Sign-On
Web Single Sign-On
• Web-basierte Anwendungen
• Integration in Portalen
• Verwendung von digitalen Zertifikaten zur Authentifizierung
• Föderation möglich
Enterprise Single Sign-On
• Beliebige Anwendungen
• Aufzeichnen der Anmeldung („Screen Scraping“)
• Speicherung der Anmelde-informationen
24IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Kundenportal bietet Self Servicesund Single Sign-On
• Hochverfügbare Authentifizierungs-und Autorisierungskomponente
• Self-Services zur Registrierung,Aktivierung und Passwortpflege
• Verifizierung der Kundendatenper WebService gegen dasBackend SAP System
• Verifizierung der E-Mail durchVersendung eines Aktivierungs-codes (Double Opt-In)
• Integration weiterer Kunden-portale in das Single Sign-Onin Planung
IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012 25
26IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Verschiedene Hersteller bietenIdentity Management Produkte
IdentityManagementProdukte
Identity, Access GovernanceUser
Administration/ Provisioning
27IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Oracle Identity Manager 11g ist führend in User Administration / Provisioning
Magic Quadrant for User Administration/Provisioning, Gartner Inc., Dezember 2011
Oracle Identity Analytics 11g ist führend in Identity & Access Governance
28IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Magic Quadrant for Identity and Access Governance, Gartner Inc., Dezember 2011
29IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Oracle Access Manager ist führend in Web Access Management
Magic Quadrant for Web Access Management, Gartner Inc., November 2009
BTC hat starke Partner –auch im Identitätsmanagement
30IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012
Partnerschaften bildendas Netzwerk f2r den Erfolg
Hauptsitz:
Escherweg 526121 OldenburgFon: + 49 441 3612-0Fax: + 49 441 3612-3999E-Mail: [email protected]
Kurfürstendamm 3310719 BerlinFon: + 49 30 88096-5Fax: + 49 30 88096-777E-Mail: [email protected]
Weser TowerAm Weser-Terminal 128217 BremenFon: +49 421 33039-0Fax: +49 421 33039-399E-Mail: [email protected]
Wittekindstraße 3244139 DortmundFon: +49 231 981288-0Fax: +49 231 981288-12E-Mail: [email protected]
Bartholomäusweg 3233334 GüterslohFon: +49 5241 9463-0Fax: +49 5241 9463-55E-Mail: [email protected]
Kehrwieder 920457 HamburgFon: +49 40 210098-0Fax: +49 40 210098-76E-Mail: [email protected]
Çayiryolu 1, Partaş Center Kat: 11-12Içerenköy, 34752 IstanbulTürkei Fon: +90 (216) 5754590Fax: +90 (216) 5754595E-Mail: [email protected]
ul. Małe Garbary 961-756 PoznańPolenFon: +48 (0) 61 8560970Fax: +48 (0) 61 8501870E-Mail: [email protected]
Hasebe Build.11F, 4-22-3 Sendagi, Bunkyo-Ku,113-0022 TokyoJapanFon: +81 (3) 5832 7020Fax: +81 (3) 5832 7021Email: [email protected]
Bäulerstraße 20CH-8152 GlattbruggSchweizFon: +41 (0) 44 874 3000Fax: +41 (0) 44 874 3010E-Mail: [email protected]
Klostergasse 504109 LeipzigFon: +49 341 350558-0Fax: +49 341 350558-59E-Mail: [email protected]
Wilh.-Th.-Römheld-Str. 2455130 MainzFon: + 49 6131 88087-0Fax: + 49 6131 88087-99E-Mail: [email protected]
Türkenstraße 55 80799 MünchenFon: +49 89 3603539-0Fax: +49 89 3603539-59E-Mail: [email protected]
An der Alten Ziegelei 148157 MünsterFon: +49 251 14132-0Fax: +49 251 14132-11E-Mail: [email protected]
Konrad-Zuse-Straße 374172 NeckarsulmFon: +49 (7132 380-0Fax: +49 7132 380-29E-Mail: [email protected]
Die Standorte der BTC AG
32IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012