GenericIAM Neues zu generischen IdM-Prozessen Die bottom-up Modellierung vs. Top-down Ansatz Version...
-
Upload
ilma-hellmers -
Category
Documents
-
view
104 -
download
0
Transcript of GenericIAM Neues zu generischen IdM-Prozessen Die bottom-up Modellierung vs. Top-down Ansatz Version...
GenericIAMNeues zu generischen IdM-ProzessenDie bottom-up Modellierung vs. Top-down Ansatz
Version 1.1
2007-09-27, Dr. Horst Walther
Digital ID World 2007, Frankfurt / OberurselDonnerstag, 27.9.2007, 11.15 - 11.55
Track B: Technology, Raum Höhenflug
2007-05-13 www.GenericIAM.org 2
Fragen, die wir heute beantworten …
Warum? - Motivation für GenericIAM.
Wohin? - Das Ziel der Initiative.
Wer? - Die Mitwirkenden und ihre Erfahrungen.
Wie? - Unsere Arbeitsweise.
Was? - die erzielten Ergebnisse.
Wann? – Historie, Gegenwart und Planung.
2007-05-13 www.GenericIAM.org 3
Agenda
Warum? - Motivation für GenericIAM.
Wohin? - Das Ziel der Initiative.
Wer? - Die Mitwirkenden und ihre Erfahrungen.
Wie? - Unsere Arbeitsweise.
Was? - die erzielten Ergebnisse.
Wann? – Historie, Gegenwart und Planung.
2007-05-13 www.GenericIAM.org 4
Unsere MotivationGesucht: ein Baukasten für Standardprozesse des IAM
Prozesse verursachen den meisten Aufwand.
so gehen bei PKI-Projekten 2/3 des Aufwandes in die Prozesse.
Warum mit einem weißen Blatt Papier beginnen?
Warum, das Rad immer wieder neu erfinden?
Gibt es nicht auffällige fachliche Ähnlichkeiten?
Sollten wir uns nicht lieber auf die Unterschiede konzentrieren?
... Und das Gemeinsame „von der Stange“ verwenden?Die Idee hinter
GenericIAM
2007-05-13 www.GenericIAM.org 5
KontextDie Industrialisierung der Dienstleistung
Wir glauben, Teil einer größeren Bewegung zu sein
ITIL, SOA, Compliance Frameworks sind Details eines größeren Bildes
Compliance erzwingt die Verwendung von Infrastruktur Standards
ITIL ist erst der Anfang – CoBIT, ValIT und andere werden folgen.
SOA bietet ein technisches Framework für die Implementierung.
Die Marktkräfte zwingen zu einer Konzentration auf Kernkompetenzen.
Nicht-wettbewerbsrelevante Aktivitäten werden standardisiert.
Sie werden zu niedrigen preisen weltweit beschafft,
… oder ausgelagert / von Drittanbietern bezogen.
Organisatorische Referenzmodelle beschleunigen diese Entwicklung.
GenericIAM als “open org” will wie „open source“ eine Rolle spielen.
2007-05-13 www.GenericIAM.org 6
Agenda
Warum? - Motivation für GenericIAM.
Wohin? - Das Ziel der Initiative.
Wer? - Die Mitwirkenden und ihre Erfahrungen.
Wie? - Unsere Arbeitsweise.
Was? - die erzielten Ergebnisse.
Wann? – Historie, Gegenwart und Planung.
2007-05-13 www.GenericIAM.org 7
elemente
MissionWelchen Auftrag haben wir uns gegeben?
ZielgruppeFür wen ist GenericIAM interessant?
Nutzen …generische IAM-Prozesse nützen allen Marktteilnehmern
… NutzenAnwenderunternehmen werden den größten Nutzen haben
AusrichtungErst national starten und dann international wirken
2007-05-13 www.GenericIAM.org 8
MissionWelchen Auftrag haben wir uns gegeben?
Wir haben das Ziel, für das Identity- und Access Managements (IAM) ein allgemein verwendbares (generisches) Prozessmodell zu entwickeln.
Es soll als Vorlage für unternehmensspezifische Prozesse dienen.
Es soll in manchen Fällen auch unmittelbar implementiert werden können.
Diese Prozesse sollen eine definierte, hohe und angemessene Qualität aufweisen.
Sie sollen zu den gängigen regulatorischen Anforderungen "compliant" sein.
Q
2007-05-13 www.GenericIAM.org 9
ZielgruppeFür wen ist GenericIAM interessant?
Die Initiative GenericIAM ist für jedes Unternehmen und jede Einzelperson interessant, die sich mit Identity- & Access Management befassen.
Vorrangig richten wir uns an Unternehmen an, die Prozesse und Techniken des Identity und Access Management anwenden.
Zusammen mit, Herstellern, Beratern, Analysten und Integratoren repräsentieren sie den Markt.
diese gesunde Mischung ist für eine hohe Akzeptanz unserer Ergebnisse bedeutsam.
Mitglieder dieser Zielgruppe sind zur Mitwirkung in diesem Arbeitskreis eingeladen.
Von jedem Teilnehmer wird ein inhaltlicher, organisatorischer oder finanzieller Beitrag zur Erreichung der gemeinsamen Zielsetzung erwartet.
2007-05-13 www.GenericIAM.org 10
Nutzen …generische IAM-Prozesse nützen allen Marktteilnehmern
Anwenderunternehmen …mit eingeführten IAM-Prozessen werden den größten Nutzen von einer Mitwirkung in dieser Initiative haben. Sie haben überwiegend nur Teile der notwendigen Prozesse definiert und eingeführt.
Integratoren und Systemanbieter …können bereits umfangreiche und wirklichkeitsnahe Musterprozesse mitliefern. Damit ermöglichen sie ihren Kunden, die hohen Modellierungskosten vor der Implementierung stark zu senken und gleichzeitig den Einführungszeitraum zu kürzen.
Freiberufliche Projektleiter und Berater mit Schwerpunkt Prozessmodellierung …können bereits mit vorgefertigten Baumustern antreten, sofern der Systemanbieter sie nicht bereits implementiert mitliefert.
Insgesamt tragen wir …durch das Bereitstellen eines allgemein anerkannten und verwendeten Referenzmodells wesentlich zur Professionalisierung der Disziplin des Identity & Access Management bei.Damit senken wir in vielen Unternehmen die Schwelle zur Einführung von Policies, Prozessen und nicht zuletzt Systemen des IAM.
Auch die unmittelbar Mitwirkenden …Können vom Erfolg des generischen Prozessmodells profitieren, indem sie sich dadurch als ausgewiesene Experten für IAM-Prozesse profilieren und eine gewisse Fachöffentlichkeit erreichen können.
2007-05-13 www.GenericIAM.org 12
AusrichtungErst national starten und dann international wirken
Die Initiative GenericIAM ist in Deutschland an gestartet.
Um schnell zu inhaltlichen Ergebnissen zu kommen, haben wir zunächst bewusst darauf verzichtet, uns international zu etablieren
In Deutschland haben wir uns als Kompetenzzentrum "Identity Management" unter dem Dach des NIFIS e.V. organisiert.
Natürlich darf unser Bemühen, zu einem Standard-Modell für die Prozesse des Identity & Access Management zu kommen, nicht auf Deutschland beschränkt bleiben.
Wir haben uns daher bereits international mit „The OpenGroup“ und auf Europäischer Ebene mit der ensia abgestimmt..
Im Frühjahr 2007 haben wir, it den ersten substantiellen Ergebnissen in der Hand, die Internationalisierung gestartet.
2007-05-13 www.GenericIAM.org 13
Agenda
Warum? - Motivation für GenericIAM.
Wohin? - Das Ziel der Initiative.
Wer? - Die Mitwirkenden und ihre Erfahrungen.
Wie? - Unsere Arbeitsweise.
Was? - die erzielten Ergebnisse.
Wann? – Historie, Gegenwart und Planung.
2007-05-13 www.GenericIAM.org 14
elemente
Wir …Wer sind die Personen in und um GenericIAM?
Aktuelle MitgliederAnwender, Analysten, Berater, Hersteller und Integratoren
GenericIAM und die NIFISKompetenzzentrum „Identity Management“ der NIFIS
2007-05-13 www.GenericIAM.org 15
Wir …Wer sind die Personen in und um GenericIAM?
Wir sind …
eine Gruppe von Freiwilligen mit dem gemeinsamen Ziel, ein möglichst vollständiges generisches Modell der Prozesse des Identity- & Access Management zu entwickeln.
Wir kommen …
aus kleinen und großen Anwenderunternehmen,
von Beratungsunternehmen,
Analystenhäusern,
Produktherstellern,
Systemintegratoren und
universitären Einrichtungen.
Mit unserer Initiative wollen wir …
die Disziplin Identity Management insgesamt voran bringen und
damit auch für uns, die sich mit diesem Thema professionell befassen, Nutzen erzielen.
2007-05-13 www.GenericIAM.org 16
Aktuelle MitgliederAnwender, Analysten, Berater, Hersteller und Integratoren
as of 2007-05-13:
2007-05-13 www.GenericIAM.org 17
GenericIAM und die NIFISKompetenzzentrum „Identity Management“ der NIFIS
Das an der Nahtstelle zwischen fachlich / organisatorischen und technischen Aufgaben gelegene Identity & Access Management ist eine der Schlüsseldisziplinen einer unternehmensweiten Sicherheitsarchitektur.
Die "Nationale Initiative für Internet-Sicherheit" (NIFIS e.V.) ist die Selbsthilfeorganisation der Wirtschaft im Kampf gegen die wachsenden Gefahren aus dem Internet.
Sie ist grundsätzlich für alle sicherheitsrelevanten Themen im Umfeld der Internet-Sicherheit offen und dient als Anlaufstelle bei Fragen und Problemen.
Die Initiative GenericIAM passt von ihrem Wesen her hervorragend zu dem Selbsthilfecharakter dieser Organisation bei gleichzeitig großer inhaltlicher Überdeckung.
Seit dem 01.12.2006 haben wir uns daher als Kompetenz-zentrum Identity Management in die NIFIS eingegliedert.
Kontakt zu Nifis:Nifis e.V.KompetenzzentrumIdentity ManagementWeismüllerstraße 2160314 Frankfurt Fon: +49 69 40809370
Fax: +49 69 40147159
Kontakt zu Nifis:Nifis e.V.KompetenzzentrumIdentity ManagementWeismüllerstraße 2160314 Frankfurt Fon: +49 69 40809370
Fax: +49 69 40147159
2007-05-13 www.GenericIAM.org 18
Agenda
Warum? - Motivation für GenericIAM.
Wohin? - Das Ziel der Initiative.
Wer? - Die Mitwirkenden und ihre Erfahrungen.
Wie? - Unsere Arbeitsweise.
Was? - die erzielten Ergebnisse.
Wann? – Historie, Gegenwart und Planung.
2007-05-13 www.GenericIAM.org 19
elemente
Ebenenstruktur der ProzesseWie fügen sich die generischen IAM-Prozesse in ein Gesamtmodell?
Unsere Arbeitsweisevon der unternehmensspezifischen Lösung zum Standardmodell
Sicherung der ErgebnisqualitätQS-Schritte sind integraler Bestandteil der Ergebniserstellung.
MeetingsEinmal im Quartal treffen wir uns zu einem ganztägigen Meeting
LizenzmodellDie Ergebnisse werden wir unter einer offenen Lizenz (creative commons) publizieren.
2007-05-13 www.GenericIAM.org 20
custom processes adapted & extended
custom processes adapted & extended
Modelling approachbottom-up- and top-down-approach lead to one generic model
generic processesgeneric processes
elementaryactions
elementaryactions
objects&
subjects
botto
m-u
p ap
proa
chTop-dow
n approach
2007-05-13 www.GenericIAM.org 21
auswählenauswählen
Unsere Arbeitsweisevon der unternehmensspezifischen Lösung zum Standardmodell
Das Unternehmen bringt Prozesse es in die Standardisierung ein. Diese sind im Regelfall nicht wettbewerbsrelevant. Ihnen wird eine gewisse Allgemeingültigkeit zugetraut.
Übergabe kleiner Modelle als komprimierter e-Mail-Anhang. Größere Modelle per FTP-Download oder auf CD oder DVD an die NIFIS.ggf übernimmt ein NIFIS-Vertreter die Ergebnisse persönlich. In zwei Formaten:
1. dem ursprünglichen Modellierungsformat und
2. einer vollständig in ein pdf-Dokument umgewandelten Form.
Herausfaktorisieren generischer Bestandteile aus den unternehmensspezifischen Modellen. Diese Sachverhalte kennt nur einem kleines Modellierungsteam. Anonymisieren, generalisieren, standardisieren.(Erst danach) Prüfen durch erweiterten Reviewerkreis.
Modellierte Prozesse werden offiziell für GenericIAM freigegeben. Reviewer von GenericIAM und bei Bedarf auch externen ExpertenSie geben mängelfreie Exemplare freiSchwere Mängel führen zur ZurückweisungLeichte Mängel führen zu Nachbesserungsauflagen.
Die Modelle werden einmal jährlich publiziert. GenericIAM-Mitglieder sie kostenfreie. Interessenten beziehen sie zu einem nicht-diskriminierenden Entgelt.
modellierenmodellieren
übernehmenübernehmen
prüfenprüfen
publizierenpublizieren
2007-05-13 www.GenericIAM.org 22
Sicherung der ErgebnisqualitätQS-Schritte sind integraler Bestandteil der Ergebniserstellung.
Bei der Planung die Zeiten für QS berücksichtigen!
Verfahren festlegen,
Q-Kriterien als Checkliste bereitstellen,
Ergebnis erarbeiten,
Ergebnis im Review prüfen,
Das Ergebnis entweder
freigeben
mit Auflagen freigeben oder
zurückweisen
Planen
Vorbereiten
Erarbeiten
Prüfen
ErgebnisplanErgebnisplan
QS-VerfahrenQS-Verfahren
ChecklisteCheckliste
ErgebnisErgebnis
Review-ProtokollReview-Protokoll
2007-05-13 www.GenericIAM.org 23
MeetingsEinmal im Quartal treffen wir uns zu einem ganztägigen Meeting
Einmal im Quartal treffen wir uns zu einem ganztägigen Meeting.
in der Regel bei einem unserer Mitgliedsunternehmen.
Dort werden erarbeitete Ergebnisse diskutiert und freigegeben.
Neue Aufgaben vergeben und die Weichen für die weiteren Arbeiten gestellt.
Die Ergebnisse der Quartalsmeetings werden protokolliert.
Die bisherigen Meetings waren ...
2006-04-25, Frankfurt, Gastgeber: Kuppinger, Cole + Partner
2006-06-20, München, Gastgeber: Kuppinger, Cole + Partner
2006-09-27, Wiesbaden, Gastgeber: Digital ID-World
2006-12-01, München, Gastgeber: ORACLE
2007-03-02, Düsseldorf, Gastgeber: WestLB AG .
2007-06-29, München, Gastgeber: CSC
Das nächste Meeting:
2007-10-12, Frankfurt, in den Räumen der NIFIS
2007-05-13 www.GenericIAM.org 24
Agenda
Warum? - Motivation für GenericIAM.
Wohin? - Das Ziel der Initiative.
Wer? - Die Mitwirkenden und ihre Erfahrungen.
Wie? - Unsere Arbeitsweise.
Was? - die erzielten Ergebnisse.
Wann? – Historie, Gegenwart und Planung.
2007-05-13 www.GenericIAM.org 26
Input-Beispielnicht-generischer Prozess “Hire employee”
Wenn eine Mitarbeiter keiner Organisationseinheit angehört:
Zentrale Verwaltung benachrichtigen.
Wenn erforderliche Nutzerattribute unbekannt:
Identifizieren und informieren des Zuständigen.Fehlende Attribute einfügen.
Wenn erforderliche Systemattribute nicht bekannt sind:
Informieren des System-OwnersFehlende Attribute einfügen.
Basisrechte über Basisrollen automatisch zuweisen.
Logon-Namen nach Bildungsregel automatisch zuweisen
Zugriffsrechte in den Systemen automatisch anlegen (Provisioning) oder Mail an System Administrator senden.
Technische Überwachung der Konnektoren.
Informiere Manager über Mitarbeiterrechte.
* Modeled by ism – Institute for System Management
*
Aufnahme eines neuen Mitarbeiters über ZIC-UV,
User-Manager oder User-IC
Info-Mail an den Leiter zum MA-Eintritt wird
verschickt
Konseq
Ende
Basis-Berechtigungen werden vom Prozess-
Manager zugeteilt.
Info-Mail an den Leiter über Abschluß der Berechtigungsvergabe incl. UID und Passwort
der zugeteilten Systeme
GPMMA-Einrtitt
Überwachung der automatischen SST
(z.B. w2k)Bestätigung der
Berechtigungsvergabe für Aktion 7 Systeme (z.B. Notes) durch System-
Admins
Info-Mail zu Aufträgen für Aktion 7 an die zuständigen
System-Admins
Prüfung auf OE-Zuordnung
Ja
Info-Mail an zentrale Admninistration
Nein
Eingabe der fehlenden OE-Zuordnung
1
Prüfung auf Systemzwangsattribute
für Rechtevergabe
Eingabe der fehlenden Attributwerte über ZIC-
Maske
Info-Mail zu fehlenden Attributwerten für
Rechtevergabe an den Leiter
Prüfung auf Zwangsattribute
Info-Mail an den zuständigen Sachbearbeiter
Eingabe der fehlenden Zwangsattribute zum User
über Web-Maske
Vorhanden? Nein
Ja
2
3
4
5
7
8
9
10
6
2007-05-13 www.GenericIAM.org 27
Prozess Listebottom-up Prozesse - anonymisiert, standardisiert noch nicht generisch
IM10 Mitarbeitereintritt
IM11 Stammdatenerfassung
IM12 Basiszugang einrichten
IM13 Erweiterte Zugänge einrichten
WM10 Antragsverfahren Nutzerkonto
WM20 Antragsverfahren Rollen
WM30 Antragsverfahren Gruppen
2007-05-13 www.GenericIAM.org 28
Prozess Liste Ibottom-up Prozesse - anonymisiert, standardisiert noch nicht generisch
2007-05-13 www.GenericIAM.org 29
Prozess Liste IIbottom-up Prozesse - anonymisiert, standardisiert noch nicht generisch
2007-05-13 www.GenericIAM.org 30
The modelling cyclefinding the essence removes implementation artefacts
essential target model
essential target model
physicalcurrent model
physicalcurrent model
essentialcurrent model
essentialcurrent model
physicaltarget model
physicaltarget model
the enterpriseModelling cycle
[abstraction]
essentiallayer
physicallayer
today future[time]
classicsystems analysis
technological development
“forbidden"transition
enterprise strategy
Implementation
• value chain• object model• process model• state model
• value chain• object model• process model• state model
abstractionprojection
Enterprise modelsEnterprise models
Evolution
2007-05-13 www.GenericIAM.org 32
Attributes
The Identityand its “less rich” sibling the digital identity
Identity is the fundamental concept of identity management
In philosophy Identity is the sameness of two things.
In object-oriented programming Identity is a property of objects that allows the objects to be distinguished from each other.
But in Identity Management …
“We usually speak of identity in the singular, but in fact subjects have multiple identities.”
“These multiple identities or personas, as they are sometimes called, …”.
The sum of all these Personas makes up the identity.
In turn personas are to be understood as its projection to the space of information demand in a specific context.
Biometrics ties the digital identity to the real world physical identity.
ID
2007-05-13 www.GenericIAM.org 34
The User: Identity uses a Resource
Identities are often tied to resources
They „use“ resources
They do so by performing operations
This relations may carry attributes
It turns to a derived object: the user.
Account is a synonym for user.
The “user” is the identity's relationship to the resource.
identity resourceuse
user
2007-05-13 www.GenericIAM.org 35
The Operation: user operates on the Resource
users perform different operations on resources
They „operate“ on resources
They do so by performing operations
This relations may carry attributes
It turns to a derived object: the user.
user resourceoperates
operation
2007-05-13 www.GenericIAM.org 37
The Identity belongs to an organisation
The Identity has a relationship to an organisation
It typically has an owner in this organisation
There might be more than one relationship
There are many specialisations to this relationship
This relationship may carry attributes
It turns to a derived object: the individual role.
The role type is a predefined class of relationships of an identity to an organisation.
When the role type is assigned to an identity parameters are set to form the individual role.
identity organisationbelong
role
2007-05-13 www.GenericIAM.org 38
To each object policies can be applied
Policies are sets of rules
The rules are generally applied on an objects state change
Applying rules to objects needs to be expressed as an abject of its own.
Policies can be attached to all objects
Most obvious are SoD- (separation of duties) policies
A SoD policy applies to roles
A SoD policy contains several SoD rules
Only static SoD is considered here
Dynamic SoD requires the introduction of the object ‘session’
organisation objectapply rule
policy
rolerole
object policy
rule
applies to
contains
2007-05-13 www.GenericIAM.org 43
Relationships are expressed in contracts
An Identity performs operations on the organisation’s resources through several intermediate organisational constructs:
The relationship's fine structure:
a contract defines the total relationship
the role represents the entitlements and the planned behaviour.
the role hence is a fraction of the contract.
the contract may contain several roles.
The actual (contract, role) defines incarnation details of the type (contract type, role type).
rolerole
identity organisation
operation
user
Role
ressource
contractcontract
type
roletype
specifies
contains
specifies
contains
operation
user
Role
ressource
operation
user
ressource
role
2007-05-13 www.GenericIAM.org 44
Subjects are acting on objects
In workflows subjects (actors) act on objects
Subject may be owners or a clerk
Owners are responsible
Custodians act on behalf of owners
Owners delegate to custodians
Subjects act or react
Their action triggers an event
Reactions often are approvals
Time may act as a (virtual) subject
subject objectact
action
owner
custodian
may beor
time
or
2007-05-13 www.GenericIAM.org 45
Request & approval
The request is a transient object.
It is the central workflow object
It can be understood as the instantiation of a process type.
The request is created by an event.
when a subject requests access to an object.
when time has come to re-validate a role / privilege.
when the defined response period has been passed without an action (escalation)
Subject Objectrequests
request
request #4
Process type:approve request
request #3
request #2
request #1
instantiation
2007-05-13 www.GenericIAM.org 47
Subjects decide on requests
In workflows subjects (actors) act on objects
Subject may be owners or a clerk
Owners are responsible
Clerks act on behalf of owners
Owners delegate to clerks
Subject act or react
Their action triggers an event
Reactions often are approvals
subject requestdecides
decision
approval
rejection
may beor
escalation
or
2007-05-13 www.GenericIAM.org 48
Every object has an owner
Each object as one owner
The owner is responsible for the object
The owner may delegate object management to a custodian.
The owner may temporarily transfer ownership (full responsibility) to delegate.
Owners differ considerably from one organisation to another
This apparent complexity is a result of customising a simple model
object
owner
own
identity
individualSuperior
own
resource
resourceowner
own
organisation
org. dept.Superior
own
contracttype
HRPuchasingLine Mgr.
Sales,…
own
roletype
role-Manager
own
operation
process-ManagerLine-Mgr.
own
2007-05-13 www.GenericIAM.org 51
Elementary actions – changes on objects
The Identities role in an organisation performs operations on resources
The Processes consist of >= 1activities.
They are triggered by an event.
They lead to a meaningful result to a subject.
Process types (the class or definition) and process instantiations (incarnation, actual).
Operational processes and managerial processes.
Operational processes: identification, authentication and authorisation.
The managerial:
administrative processes,
audit processes and
change processes.
The administrative processes represent the “lions share” of all IAM processes.
Its most prominent representative is the “request & approval process”.
defines the relationship
a role defines incarnation details
“the contract is expressed by several roles”
assignoperations
rolerole
identity organisation
operation
user
Role
ressource
contractcontract
type
roletype
specifies
contains
specifies
contains
operation
user
Role
ressource
operation
user
ressource
role
maintainIdentity
maintainorganisation
maintainrole typs
deriveroles
maintainresources
maintain operations
Maintainrole
maintainuser
2007-05-13 www.GenericIAM.org 52
Deriving elementary actions is an obvious process
Each object in the big picture needs a maintanance process
Maintenance covers CRUD (create, read update, delete) and assignment
object process class level event resultowner maintain owner administrative essential new owner, oor change mantained ownerrule maintain rule administrative essential new or chaned policy maintained ruleuser activate / deactivate user administrative essential role change (de-) activated useroperation report operations on object for owned identities audit essential request reportpolicy maintain authentication policy change essential new or changed authenticationpolicymaintained authenticationpolicypolicy maintain federation policy change essential new or changed federationpolicymaintained federationpolicyrole maintain role change essential request maintaned rolerole type maintain role type change essential request, new system, new policy, new rulemaintained role typesystem maintain system assigments change essential system change, policy changemaintained system assigmentssystem maintain system change essential new or changed system maintained systemidentity autenticate identity operational essential request autenticated, rejected identityidentity maintain role to identity assignment operational essential request, contract change maintained role typeidentity notify identity on request status operational essential request fulfilled / rejected subject notifiedidentity maintain identity operational essential new or changed identity maintained identityoperation maintain operation on object operational essential new or changed object, operationmaintained operation on objectoperation reconciliate operations on objects audit physical request, time exception reportidentity federate identities operational essential new or changed identity federated identittiessystem login to system operational physical login request user logged insystem (de-) provision operation on objects operational physical request fulfilled / rejected (de-) provisioned operation on objects
2007-05-13 www.GenericIAM.org 55
requesting
(mutliple)distributing
andprocessing
requestcreated
requestrejected
approving
rejecting
<role inst.>;<owner>
requestapproved
escalatingrequest
escalatedterminating
requestdenied
requestapproved
requestpartially
approved, rejected, denied
request completely
rejected, denied
{n}
{m}
<role inst.>;<owner>
<role inst.>;<owner>
<role inst.>;<owner>
<role inst.>;<owner>
<pre-conditions>
<pre-conditions>
<pre-conditions>
<pre-conditions>
<pre-conditions>
request
request
requestrequest
requestrequest
request
request
Approve requestgeneric process example using petri nets
Result of the conclave workshop 2007-06-27 - 28
2007-05-13 www.GenericIAM.org 56
Agenda
Warum? - Motivation für GenericIAM.
Wohin? - Das Ziel der Initiative.
Wer? - Die Mitwirkenden und ihre Erfahrungen.
Wie? - Unsere Arbeitsweise.
Was? - die erzielten Ergebnisse.
Wann? – Historie, Gegenwart und Planung.
2007-05-13 www.GenericIAM.org 58
Wann?Gestern, heute und morgen
Wir kamen erstmalig im Q1/2006 zusammen – anche inem aufruf von Kuppinger, Cole + Partner.
Seither treffen wir uns einmal pro Quartal.
Die ersten Ergebnisse wollen wir noch in 2007 publizieren.
Meeting #12006-04-25Frankfurt
Meeting #22006-06-20München
Meeting #32006-09-27Wiesbaden
Meeting #42006-12-01München
Meeting #52007-03-02Düsseldorf
Meeting #6 Meeting #7
kickoff meeting
booth EIC 2007
GenericIAM2007
organize, acquire
model
2007-05-13 www.GenericIAM.org 59
Fragen – Kommentare - Beiträge?
2007-05-13 www.GenericIAM.org 60
The end ...
Vielen Dankefür Ihre
Aufwerksamkeit!
sollten Sie noch Fragen haben: [email protected],skype: HoWa01
VoIP: +40 40 414314453
2007-05-13 www.GenericIAM.org 61
Achtung
Backup Folien
2007-05-13 www.GenericIAM.org 67
Identity and Access Management Terminology
Access management. Processes and technologies for controlling and monitoring access to resources consistent with governing policies. Includes authentication, authorization, trust, and security auditing.
Authentication. A process that checks the credentials of a security principal against values in an identity store. Authentication protocols such as Kerberos version 5, Secure Sockets Layer (SSL), NTLM, and digest authentication protect the authentication process and prevent the interception of credentials.
Authorization. The process of resolving a user's entitlements with the permissions configured on a resource in order to control access. Authorization in the Windows operating system involves access control lists (ACLs) on files, folders, shares, and directory objects. Applications such as SQL Server, SharePoint® Portal Server, and Exchange Server implement access control mechanisms on resources they manage. Application developers can implement role-based access control using Windows Authorization Manager or ASP.NET roles.
Credential. Typically a piece of information related to or derived from a secret that a digital identity possesses, although secrets are not involved in all cases. Examples of credentials include passwords, X.509 certificates, and biometric information.
Digital identity. The unique identifier and descriptive attributes of a person, group, device, or service. Examples include user or computer accounts in Active Directory, e-mail accounts in Microsoft Exchange Server 2003, user entries in a database table, and logon credentials for a custom application.
Entitlement. A set of attributes that specify the access rights and privileges of an authenticated security principal. For example, Windows security groups and access rights are entitlements.
Federation. A special kind of trust relationship between distinct organizations established beyond internal network boundaries.
Identity integration services. Services that aggregate, synchronize, and enable central provisioning and deprovisioning of identity information across multiple connected identity stores. MIIS 2003 SP1 and the Identity Integration Feature Pack 1a (IIFP) for Active Directory provide identity integration services.
Identity life-cycle management. The processes and technologies that keep digital identities current and consistent with governing policies. Identity life-cycle management includes identity synchronization, provisioning, deprovisioning, and the ongoing management of user attributes, credentials, and entitlements.
Identity store. A repository that contains digital identities. Identity stores are usually some form of directory or database managed and accessed through a provider such as Active Directory or Microsoft SQL Server. Identity stores can be centralized, for example on a mainframe computer, or distributed; Active Directory is an example of a distributed identity store. They generally have well-defined schemas for what information can be stored and in what form it can be recorded. They usually incorporate some form of encryption or hashing algorithm to protect both the store and components of the digital identity, such as credentials. Older and custom identity stores may not have such strict security mechanisms and may store passwords in plaintext (with no encryption).
Identity synchronization. The process of ensuring that multiple identity stores contain consistent data for a given digital identity. This process can be achieved using programmatic methods such as scripts or through a dedicated product such as MIIS 2003 SP1.
Provisioning. The process of adding identities to an identity store and establishing initial credentials and entitlements for them. Deprovisioning works in the opposite manner, resulting in the deletion or deactivation of an identity. Provisioning and deprovisioning typically work with identity integration services to propagate additions, deletions, and deactivations to connected identity stores.
Security auditing. A process that logs and summarizes significant authentication and authorization events and changes to identity objects. Organizations will differ in their definition of significant events. Security audit records can be written to the Windows Security Event Log.
Security principal. A digital identity with one or more credentials that can be authenticated and authorized to interact with the network.
Trust. A state that describes the agreements between different parties and systems for sharing identity information. A trust is typically used to extend access to resources in a controlled manner while eliminating the administration that would otherwise be incurred to manage the security principals of the other party. Trust mechanisms include cross-forest trusts in Windows Server 2003 and trusts between realms using the Kerberos version 5 authentication protocol.
2007-05-13 www.GenericIAM.org 68
Roles, tasks, and operationsaccording to Microsoft
A role …is a set of permissions that a user must have to do a job.
Well-designed roles should correspond to a job category or responsibility (for example, receptionist, hiring manager, or archivist) and be named accordingly.
A task …is a collection of operations, and sometimes other tasks.
Well-designed tasks are inclusive enough to represent work items that are recognizable (for example, "change password" or "submit expense").
An operation …is a set of permissions that you associate with system-level or API-level security procedures like WriteAttributes or ReadAttributes.
You use operations as building blocks for tasks.
Role definitionsThe role definitions that are appropriate depends on the structure and goals of your organization. Roles support inheritance from other roles. To define a role, you specify a non-arbitrary name, a friendly description, and some lower-level tasks, roles, and operations that are part of it. This provides a mechanism for role inheritance. For example, a Helpdesk role might include a Product Support role.
Role assignmentsA role assignment is a virtual container for application groups whose members are authorized for the role. A role assignment is based on a single role definition, and a single role definition can be the basis of many role assignments.
Task definitionsA task definition is smaller than a role definition and can be used to define roles and other tasks.You associate tasks with roles in an intuitive way. For example, the Recruiter role might include the Interview task. Tasks, like roles, are defined in a way that is appropriate to the organization. To define a task, you specify a name, a friendly description, and some lower-level tasks and operations that are part of it.
Operation definitionsOperations are small computer-level actions that are used to define tasks and are not relevant to an administrator. You define operations only in developer mode.
2007-05-13 www.GenericIAM.org 69
How Does XPDL Compare to BPEL?
BPEL and XPDL are entirely different yet complimentary standards.
BPEL is an "execution language" designed to provide a definition of web services orchestration, specifically the underlying sequence of interactions, the flow of data from point-to-point.
For this reason, it is best suited for straight-through processing or data-flows vis-a-vis application integration.
The goal of XPDL is to store and exchange the process diagram, to allow one tool to model a process diagram, and another to read the diagram and edit, another to "run" the process model on an XPDL-compliant BPM engine, and so on.
For this reason, XPDL is not an executable programming language like BPEL, but rather a process design format that literally represents the "drawing" of the process definition.
Specifically, it has ‘XY' or vector coordinates, including lines and points that define process flows.
This allows an XPDL to store a one-to-one representation of a BPMN process diagram.
For this reason, XPDL is effectively the file format or "serialization" of BPMN, as well as any non-BPMN design method or process model which use in their underlying definition the XPDL meta-model (there are presently about 70 tools which use XPDL for storing process models.)