Identitetskrise?

edgemo summit CPHmaj 2014

Kort intro

Søren Egtved LassenInfrastructure specialist

Arbejder med System Center, FIM og lidt andet…

sla@edgemo.com

45 minutter om…

Identitetskrise?

Forefront Identity Manager:A. Provisionering og synkroniseringB. Self-ServiceC. Password synkroniseringD. Andet

Opsummering

Identitetskrise?

Mange systemer med brugeradministrationAfhængigheder mellem systemerTypiske udfordringer:• Brugere oprettes sent

• Brugeres akkreditiver kommer senere, dvs. aldrig

• ”Lignende" bruges som skabelon

• Mange inaktive brugere

• Meget manuel håndtering

• ”Tilsanding”

• Revisionsanmærkninger

T i d0

10

20

30

40

50

60

70

80

90

100

Datakvalitet

Hvorfor lave identitetsstyring?

• Håndtering af livscyklus• Automatisere processer

– Spare tid på manuelle administrationsopgaver– Højne kvalitet

• Kontrol– Stamdata– Adgang til systemer– Roller– Funktionsadskillelse – SoD

• Skabe servicearkitektur – identitetsservice

Forefront Identity Manager - FIMLøsning for håndtering af identitetslivscyklus mv.Out-of-the-box funktionalitet, og platform for udbygningTilstandsbaseretSynkroniseringPortalSelf-serviceAdd-onsFleksibel løsningTidligere kendt som MIIS og ILM

Single-Sign-On (SSO) vs. Identity Management (IdM) • Begreberne bliver tit blandet sammen – med rette • En IdM-strategi vil ofte indeholde SSO• SSO kan være ”claims based” – fx ADFS

• Grov generalisering:SSO = teknik for håndtering af autentificeringIdM = teknik(ker) og processer

• FIM = Identitetsstyring i den rigtige (uperfekte) verden

Identity Management

SSO

Metaverse

Active Directory

Portal

Service Manager Data WarehouseLogik

Database

Infrastruktur

HR Applikation

ERP

Synchronization Service

Byggesten

Eksempel

Fiktiv virksomhed med:• HR-system (Lassen-HR)• Active Directory• Fil-server til hjemmebiblioteker• Applikation (brugere i LDS)• DMZ-domæne

Ønsker:• Automatisk oprettelse/vedligehold af brugere• Automatisk oprettelse/vedligehold af organisationer• Dynamisk OU-struktur i AD• Livscyklus indeholdende nedlægning/deprovisionering

Lassen HR

Active Directory

App

Fil Server DMZ AD

Metaverse

Portal

Service Manager Data WarehouseLogik

Synchronization Service

Lassen HR

Active Directory

App

Fil Server

DMZ AD

MA:SQL Server

MA: AD DS

MA: LDS

MA: ECMA - egen

MA: AD DS

MA:SQL Server

Eksempel

DEMO

• Løsningselementer• Håndtering:

– Ny medarbejder– Flytning til anden afdeling– Medarbejderophør

• Flow-ændringer• Rapportering

”I kassen”• SQL Server• Oracle DB• IBM DB2• SAP (ERP

connector)• Oracle IDM• Novell eDir• Lotus Notes• IBM Directory

Server

• DSML• LDIF• Forskellige tekst

formater• Web Services

Connector• ECMA

Non-Microsoft (eksempler)• RACF

• Dynamics

• Google Apps

• Unix/Linux

• IBM Tivoli

• Salesforce

• iSeries/AS400

• CICS

• MySQL

• RSA

• Cisco

• M.fl.

Understøttede platforme

Hvad med ”skyen”?

• FIM er en vital del af Microsofts cloud-strategi• Erstatter og erstattes ikke federations, men komplementerer• Dele heraf indgår i:• DirSync / Office 365• SharePoint

• FIM AD Azure Connector – forbind en verden udenfor• Essentielt element i Microsofts fremtidige cloud-strategi• Næste version: (Microsoft) Identity Manager

Self-service Portal

• Funktioner (OOB):– Vedligehold af egne info– Gruppe administration– Forespørgsler– Password Reset registrering

• Styret via brugerens rolle i FIM• SharePoint-baseret• Kan tilpasses• Sprog

Gruppeadministration

• Løsning for self-service på distributionslister• Brugere kan:

– Definere egne grupper– Tilmelde andre til egne grupper– Fjerne andre fra egne grupper– Rekvirere egen adgang til gruppe– Rekvirere egen udmelding fra gruppe

• Outlook Add-on eller via FIM-portalen• OOB-løsning, lignende løsninger kan laves til andre opgaver

Password Reset Self-Service

• Selvbetjening i forhold til ”glemte kodeord”• Baseret på ”gates”, fx QA, SMS eller email• Web-baseret• Kan integreres i Windows logon (add-on installeres)• Active Directory kræves• Basal proces:

1. FIM-administrator definerer kriterier2. Bruger registrerer sine informationer3. Bruger kan herefter lave password reset

DEMO

• Portal– Vedligeholdelse af egne informationer– Gruppeadministration

• Outlook-integration• Password self-service

– Registrering– Anvendelse

Password-synkronisering

• Brug samme kodeord i flere systemer• Ingen opbevaring – ren synkronisering• Active Directory som kilde• Destinationssystemer = MA’er i FIM• Password Change Notification Service• I FIM Synchronization Service defineres

sammenhænge mellem systemer• Virker sammen med Password Reset Self-

Service

Active Directory

AppDMZ AD

Synchronization Service

DEMO

Password synkronisering

Avanceret rollestyring - BHOLD

• Add-on til FIM for (mere) avanceret rollestyring• Funktionsområder:• Avanceret RBAC-model• Organisationsstruktur• Rollestyring• Adgange/Applikationer• Separation of Duties• Attestation

Certificate Management

• Håndtering af certifikat-livscyklus igennem FIM• Web Portal• Rolle-/request-styret model• Smartcard-understøttelse• Skjuler teknisk kompleksitet i PKI

Opsummering

• Datakilder, tilstande og regler• Sikkerhed, bedre (self-)service og tidsbesparelse• Reduktion af supportkald• Tænk identiteter som en service, hjemme eller i skyen• Hybrid Cloud – FIM er en byggesten sammen med ADFS• 10+ år på markedet og en lovende fremtid