Identitetskrise?
-
Upload
jeanette-brown -
Category
Documents
-
view
28 -
download
0
description
Transcript of Identitetskrise?
Identitetskrise?
edgemo summit CPHmaj 2014
Kort intro
Søren Egtved LassenInfrastructure specialist
Arbejder med System Center, FIM og lidt andet…
45 minutter om…
Identitetskrise?
Forefront Identity Manager:A. Provisionering og synkroniseringB. Self-ServiceC. Password synkroniseringD. Andet
Opsummering
Identitetskrise?
Mange systemer med brugeradministrationAfhængigheder mellem systemerTypiske udfordringer:• Brugere oprettes sent
• Brugeres akkreditiver kommer senere, dvs. aldrig
• ”Lignende" bruges som skabelon
• Mange inaktive brugere
• Meget manuel håndtering
• ”Tilsanding”
• Revisionsanmærkninger
T i d0
10
20
30
40
50
60
70
80
90
100
Datakvalitet
Hvorfor lave identitetsstyring?
• Håndtering af livscyklus• Automatisere processer
– Spare tid på manuelle administrationsopgaver– Højne kvalitet
• Kontrol– Stamdata– Adgang til systemer– Roller– Funktionsadskillelse – SoD
• Skabe servicearkitektur – identitetsservice
Forefront Identity Manager - FIMLøsning for håndtering af identitetslivscyklus mv.Out-of-the-box funktionalitet, og platform for udbygningTilstandsbaseretSynkroniseringPortalSelf-serviceAdd-onsFleksibel løsningTidligere kendt som MIIS og ILM
Single-Sign-On (SSO) vs. Identity Management (IdM) • Begreberne bliver tit blandet sammen – med rette • En IdM-strategi vil ofte indeholde SSO• SSO kan være ”claims based” – fx ADFS
• Grov generalisering:SSO = teknik for håndtering af autentificeringIdM = teknik(ker) og processer
• FIM = Identitetsstyring i den rigtige (uperfekte) verden
Identity Management
SSO
Metaverse
Active Directory
Portal
Service Manager Data WarehouseLogik
Database
Infrastruktur
HR Applikation
ERP
Synchronization Service
Byggesten
Eksempel
Fiktiv virksomhed med:• HR-system (Lassen-HR)• Active Directory• Fil-server til hjemmebiblioteker• Applikation (brugere i LDS)• DMZ-domæne
Ønsker:• Automatisk oprettelse/vedligehold af brugere• Automatisk oprettelse/vedligehold af organisationer• Dynamisk OU-struktur i AD• Livscyklus indeholdende nedlægning/deprovisionering
Lassen HR
Active Directory
App
Fil Server DMZ AD
Metaverse
Portal
Service Manager Data WarehouseLogik
Synchronization Service
Lassen HR
Active Directory
App
Fil Server
DMZ AD
MA:SQL Server
MA: AD DS
MA: LDS
MA: ECMA - egen
MA: AD DS
MA:SQL Server
Eksempel
DEMO
• Løsningselementer• Håndtering:
– Ny medarbejder– Flytning til anden afdeling– Medarbejderophør
• Flow-ændringer• Rapportering
”I kassen”• SQL Server• Oracle DB• IBM DB2• SAP (ERP
connector)• Oracle IDM• Novell eDir• Lotus Notes• IBM Directory
Server
• DSML• LDIF• Forskellige tekst
formater• Web Services
Connector• ECMA
Non-Microsoft (eksempler)• RACF
• Dynamics
• Google Apps
• Unix/Linux
• IBM Tivoli
• Salesforce
• iSeries/AS400
• CICS
• MySQL
• RSA
• Cisco
• M.fl.
Understøttede platforme
Hvad med ”skyen”?
• FIM er en vital del af Microsofts cloud-strategi• Erstatter og erstattes ikke federations, men komplementerer• Dele heraf indgår i:• DirSync / Office 365• SharePoint
• FIM AD Azure Connector – forbind en verden udenfor• Essentielt element i Microsofts fremtidige cloud-strategi• Næste version: (Microsoft) Identity Manager
Self-service Portal
• Funktioner (OOB):– Vedligehold af egne info– Gruppe administration– Forespørgsler– Password Reset registrering
• Styret via brugerens rolle i FIM• SharePoint-baseret• Kan tilpasses• Sprog
Gruppeadministration
• Løsning for self-service på distributionslister• Brugere kan:
– Definere egne grupper– Tilmelde andre til egne grupper– Fjerne andre fra egne grupper– Rekvirere egen adgang til gruppe– Rekvirere egen udmelding fra gruppe
• Outlook Add-on eller via FIM-portalen• OOB-løsning, lignende løsninger kan laves til andre opgaver
Password Reset Self-Service
• Selvbetjening i forhold til ”glemte kodeord”• Baseret på ”gates”, fx QA, SMS eller email• Web-baseret• Kan integreres i Windows logon (add-on installeres)• Active Directory kræves• Basal proces:
1. FIM-administrator definerer kriterier2. Bruger registrerer sine informationer3. Bruger kan herefter lave password reset
DEMO
• Portal– Vedligeholdelse af egne informationer– Gruppeadministration
• Outlook-integration• Password self-service
– Registrering– Anvendelse
Password-synkronisering
• Brug samme kodeord i flere systemer• Ingen opbevaring – ren synkronisering• Active Directory som kilde• Destinationssystemer = MA’er i FIM• Password Change Notification Service• I FIM Synchronization Service defineres
sammenhænge mellem systemer• Virker sammen med Password Reset Self-
Service
Active Directory
AppDMZ AD
Synchronization Service
DEMO
Password synkronisering
Avanceret rollestyring - BHOLD
• Add-on til FIM for (mere) avanceret rollestyring• Funktionsområder:• Avanceret RBAC-model• Organisationsstruktur• Rollestyring• Adgange/Applikationer• Separation of Duties• Attestation
Certificate Management
• Håndtering af certifikat-livscyklus igennem FIM• Web Portal• Rolle-/request-styret model• Smartcard-understøttelse• Skjuler teknisk kompleksitet i PKI
Opsummering
• Datakilder, tilstande og regler• Sikkerhed, bedre (self-)service og tidsbesparelse• Reduktion af supportkald• Tænk identiteter som en service, hjemme eller i skyen• Hybrid Cloud – FIM er en byggesten sammen med ADFS• 10+ år på markedet og en lovende fremtid