Identity Management Szenarien aus der Praxis

Identity Management Szenarien aus der Praxis

Deutsche ORACLE-Anwendergruppe e.V.

Regionaltreffen Bremen

20. Februar 2012

Identitätsmanagement betrifft alle IT-gestützten Unternehmen

Wie viele verwaiste Konten gibt es in Ihren IT-Systemen?

„42 Prozent der Unternehmen können verwaiste Konten nicht beziffern.“http://www.secgeeks.com/orphaned_accounts_overlooked.html, Stand: 10.02.2012

Kann sich Ihr Service Desk den wesentlichen Aufgaben widmen?

„20 – 30 Prozent der Service Desk Tätigkeiten

entfallen auf das Zurücksetzen von Passwörtern.“ http://www.gartner.com/it/page.jsp?id=1426813, Stand: 10.02.2012

Ab welchem Tag kann Ihr neuer Mitarbeiter produktiv arbeiten?

„Die Erfahrung zeigt, dass Unternehmen durch die rollenbasierte

Berechtigungsverwaltung einen Automatisierungsgrad von mehr als

90 Prozent erreichen können und damit wesentliche Kosten sparen.“http://www.searchsecurity.de/themenbereiche/identity-und-access-management/user-management-und-provisioning/articles/307143/, Stand: 10.02.2012

2IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012

Identitätsmanagement regeltden Zugriff auf Unternehmensdaten


Mitarbeiter

Kunden

Partner

Authentifizieren Autorisieren

Administrieren

Auditieren

Identitätsmanagement steigertdie Effizienz und die Qualität


• Kürzere Prozesszeitenim User Management

• Termingesteuerte Rechtevergabe

• Konsistente Benutzerdaten

• Single Sign-On

• Eindeutige Benutzerzuordnung

• Rollenbasierte Berechtigungen

• Funktionstrennung

• Nachweis vonIT-Compliance

Kosten senken Service verbessern Sicherheit erhöhen

• Automatisierte Benutzerverwaltung

• Self-Services- Berechtigungsantrag- Passwort vergessen

• IT-Systemprüfungauf Knopfdruck

Die Bedeutung von Identitätsmanagementwird immer stärker wahrgenommen


Forecast: Security Software Markets, Worldwide, 2010-2015, 2Q11 Update, Gartner Inc., Juni 2011

0,0

2,0

4,0

6,0

8,0

10,0

12,0

14,0

2009 2010 2011(Prognose)

Durchschnittliche j�hrliche Wachstumsrate Durchschnittliche j�hrliche Wachstumsrate Durchschnittliche j�hrliche Wachstumsrate Durchschnittliche j�hrliche Wachstumsrate (in Prozent)(in Prozent)(in Prozent)(in Prozent)von Software von Software von Software von Software Ertr�gen f�r Ertr�gen f�r Ertr�gen f�r Ertr�gen f�r ProvisioningProvisioningProvisioningProvisioning ProdukteProdukteProdukteProdukte

Identity Management Projekte sind keine IT-Projekte

Organisationsprojekt

Identity Management

1. Entwurf einer übergreifenden Identity Management Strategie

2. Planung der schrittweisen, systematischen Umsetzung

3. Einbeziehung aller Stakeholder

4. Betrachtung von Projektrisiken und kritischen Erfolgsfaktoren

5. Definition der User Management Prozesse und Business Rollen

Teilprojekt

IT-Technische Umsetzung

1. Installation der IDM Komponenten

2. Anbindung der nächsten Benutzerverwaltung

3. Attribut-Mapping und Festlegung führender Systeme

4. Abstimmung der Konten und Korrelation zu Identitäten

5. Datenkorrektur und Ergänzung

6. Erweiterung der User Management Workflows


Herausforderungen für Identity Managementliegen in der Ausgangssituation

Organisatorische

Herausforderungen

• Vielzahl unterschiedlicher Verzeichnisse für die Benutzerverwaltung und keine einheitliche Zuständigkeit

• User Management Prozesse sind nicht definiert oder werden nicht strikt eingehalten

• Namenskonventionen sind nicht übergreifend festgelegt

Technische

Herausforderungen

• Keine einheitliche Sichtund keine durchgängige Verwaltung

• Keine Eindeutigkeit von Benutzern und zugehörigen Informationen

• Schlechte Datenqualität durch Medienbrüche und fehlende Synchronisation

• Migration produktiver Systeme

• Integration von „Alt“-Systemen


Es gibt keine absoluten Kennzahlen, ab wann Identity Management wirtschaftlich ist

Kriterien für Identity Management

• Hohe Anzahl von IT-Benutzern

• Komplexe IT-Landschaft

• Häufiges Zurücksetzen von Passwörtern

• Unüberschaubare Anzahl von Einzelberechtigungen

• Existenz verwaister Konten

• Inakzeptable Laufzeit von User Management Prozessen

• Risikoanalyse, z.B. nach IT-Grundschutz des Bundesamt für Sicherheit in der Informationstechnik (Zertifizierung von Systemen nach ISO 27001)


Risiko-Nutzen-Analyse

Geringes Risiko

• unvollständige Abdeckung der System-Landschaft

Hohes Risiko

• Rollenmodell kann sehr komplex werden

• Role-Mining (Bottom-Up) kann erfolglos sein

• Master-Administration des IdM-Systems (sicherheitskritisch)

Kurzfristiger Nutzen

• Sinkende Kosten

• Bessere Übersicht & Kontrolle der Berechtigungen

• Mitarbeiter erhalten schneller Berechtigungen

Langfristiger Nutzen

• Erfüllung von Compliance

• Erhöhung der Sicherheit und sinkende Kosten


IDM Funktionen werden in Bezug auf Sicherheit, Kosten und Service unterschiedlich bewertet


Identity ManagementFunktionalität

Sicherheiterhöhen

Kostensenken

Serviceverbessern

Automatisierte Provisionierung

Konsistente Benutzerdaten

Zeitgesteuerte Provisionierung

Eindeutige Benutzerzuordnung

Self-Services

Rollenbasierte Berechtigungen

IT-Systemprüfung unterstützen

Single Sign-On

keine Auswirkung starke Auswirkung

Die Komponente Provisionierung ist zentraler Bestandteil vom Identity Lifecycle Management


ProvisionierungIdentityAuditing

IdentityLifecycle

Management

Identitätsmanagement unterstützt das Identity Lifecycle Management

Präventive Compliance

• Automatisierte Provisionierung

• Genehmigungs-Workflows

• Synchronisierung

• Passwort Management

• Delegierte Administration

• Ereignis- und termingesteuerte Berechtigungsverwaltung

• Kontrolle der Funktionstrennung(Segregation of Duties)


Austritt

Einstellung

Wechsel,Bef�rderung

Worauf ein Benutzer Zugriff haben sollte "

Identity Auditing ergänzt dasIdentity Lifecycle Management

Nachträglich aufdeckende

Compliance

• Komplette IT Überprüfung durch Auslesen aller Benutzer und Berechtigungen

• Automatische Bereinigung von Verstößen

• Abgleich von Rollenund Richtlinien

• Periodische Überprüfung der Richtlinienkonformität

13

Verst�$efeststellen

IT Kontrolle

Bereinigung, Benachrichtigung

Worauf ein Benutzer Zugriff hat "

IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012

Im Konzerntelefonbuch erscheinen konsolidierte Benutzerdaten

• Mitarbeiter mit mehreren Benutzerkonten im Konzernerscheinen nur einmal

• Die Informationen des Hauptbenutzerkontos werden angezeigt

• Die Selbstpflege persönlicherBenutzerdaten ist möglich(auch bei Anmeldung mit Nebenbenutzerkonto)

• Je nach Konzerngesellschafterfolgt zusätzlich eine Synchronisation geänderter Daten in andere Systeme


Rollenmanagement bildet die Grundlage für rollenbasierte Berechtigungsvergabe


RollenbasierteBerechtigungsvergabe

TechnischeRollenBusiness

Rollen

Rollenmanagement vereinfacht die Verwaltung von Berechtigungen

Business Rollen

• Zusammenfassung der Aufgaben im Geschäftsprozess

• Analyse (Role Mining) und Design im Identity Management System

• Mehrstufige Hierarchie möglich

Technische Rollen

• Repräsentation von IT-Funktionen

• Import aus und Pflege in den angeschlossenen Zielsystemen

Zugriffsrechte

• Feingranulare systemspezifische Berechtigungen



Business Rollen verbinden die Geschäftsprozesse mit den notwendigen Zugriffsrechten

Generierung der Rollen (oft iterativ)

• Definition einer Business Rollen

• Auslesen der technischen Rollen

• Zuweisung von technischen Rollen und oder Business Rollen

Provisionierung

• Workflow-basierend

• Zuweisung oder Entzug von Rollen

− Ereignisgesteuert

− Termingesteuert

− Manuell

LoginLoginLoginLogin EEEE−−−−MailMailMailMail

Business RollenManagerManagerManagerManager

BuchhalterBuchhalterBuchhalterBuchhalter

MitarbeiterMitarbeiterMitarbeiterMitarbeiter

StandardStandardStandardStandard−−−−BenutzerBenutzerBenutzerBenutzer

AbrechnungAbrechnungAbrechnungAbrechnung PersonalPersonalPersonalPersonal−−−−ManagerManagerManagerManager

ActiveActiveActiveActiveActiveActiveActiveActiveDirectoryDirectoryDirectoryDirectory

MicrosoftMicrosoftMicrosoftMicrosoftMicrosoftMicrosoftMicrosoftMicrosoftExchangeExchangeExchangeExchange

SAPSAPSAPSAPPortalPortalPortalPortal

SAPSAPSAPSAPFI/COFI/COFI/COFI/CO

SAPSAPSAPSAPHCMHCMHCMHCM

Technische Rollen

Konzerndienste unterstützen die Zusammenarbeit in verteilten Konzernstrukturen

• Mandantenfähiges, zentrales Identity Management System für die Konzerngesellschaften mit weiterhin autarken Benutzerverwaltungen

• Anbindung verschiedener AD Domänenund Domino als führende Systeme

• Aufbau eines zentrales Konzernverzeichnisses

• Konsolidierung der Benutzerkonten zu eindeutigen Identitäten

• Berechtigungssteuerung für Konzerndienste über Organisationsrollen

• Mandantenspezifische Anbindung an einSLcM System (syscovery Savvy Suite) zum automatisierten Fulfillment


Ziel sind konsistente Benutzerdaten


Benutzerdaten

Konsolidierung

Synchronisation

Synchronisation von Benutzerdaten bewirkt Konsistenz


ID: backhaus

PW: geheim

MAIL: [email protected]

TEL: 0441 / 3612 2936

…

ID: root

UID: 774

HOME: /mnt

…

ID: stbackha

PW: secret

NR: 774

TEL: 0441 / 3612 0

REF: backhaus

…

Redundante Benutzerdaten werden durch Konsolidierung abgebaut

• Meta Directories

• Virtuelle Verzeichnisse


ID: root

PW: x!k0Cq4$

UID: 774

HOME: /mnt

…

ID: backhaus

PW: geheim


TEL: 0441 / 3612 2936

…

ID: stbackha


TEL: +49 (0) 441 3612 2936

HOME: /mnt

ID: stbackha

PW: secret

NR: 774

TEL: 0441 / 3612 0

REF: backhaus

…

• Zusammenführung der bislang getrennten Daten- und Sprachnetze,sowie der Bereiche Festnetz und Mobilfunk

• 75.000 “Managed Ports“ an 2.500 Standorten, hinzu kommen 12.000 Mobilfunkkarten

• Bereitstellung derDaten für TK-Dienste

• Rückschreibung bzw. Rückmeldungder vergebenen Rufnummern

Das Service Portal eines TK-Unternehmens benötigt die Benutzerdaten seines Kunden


Nach einmaliger Anmeldung erlaubt Single Sign-On vielfältigen Zugriff


Single Sign−On

Web SSO Enterprise SSO

Single Sign-On unterteilt sich in Web und Enterprise Single Sign-On

Web Single Sign-On

• Web-basierte Anwendungen

• Integration in Portalen

• Verwendung von digitalen Zertifikaten zur Authentifizierung

• Föderation möglich

Enterprise Single Sign-On

• Beliebige Anwendungen

• Aufzeichnen der Anmeldung („Screen Scraping“)

• Speicherung der Anmelde-informationen


Kundenportal bietet Self Servicesund Single Sign-On

• Hochverfügbare Authentifizierungs-und Autorisierungskomponente

• Self-Services zur Registrierung,Aktivierung und Passwortpflege

• Verifizierung der Kundendatenper WebService gegen dasBackend SAP System

• Verifizierung der E-Mail durchVersendung eines Aktivierungs-codes (Double Opt-In)

• Integration weiterer Kunden-portale in das Single Sign-Onin Planung

IDM Szenarien aus der Praxis, Stephan Backhaus, 20.02.2012 25


Verschiedene Hersteller bietenIdentity Management Produkte

IdentityManagementProdukte

Identity, Access GovernanceUser

Administration/ Provisioning


Oracle Identity Manager 11g ist führend in User Administration / Provisioning

Magic Quadrant for User Administration/Provisioning, Gartner Inc., Dezember 2011

Oracle Identity Analytics 11g ist führend in Identity & Access Governance


Magic Quadrant for Identity and Access Governance, Gartner Inc., Dezember 2011


Oracle Access Manager ist führend in Web Access Management

Magic Quadrant for Web Access Management, Gartner Inc., November 2009

BTC hat starke Partner –auch im Identitätsmanagement


Partnerschaften bildendas Netzwerk f2r den Erfolg

Zu guter Letzt …


Diskussion

Fragen

+

=

Hauptsitz:

Escherweg 526121 OldenburgFon: + 49 441 3612-0Fax: + 49 441 3612-3999E-Mail: [email protected]

Kurfürstendamm 3310719 BerlinFon: + 49 30 88096-5Fax: + 49 30 88096-777E-Mail: [email protected]

Weser TowerAm Weser-Terminal 128217 BremenFon: +49 421 33039-0Fax: +49 421 33039-399E-Mail: [email protected]

Wittekindstraße 3244139 DortmundFon: +49 231 981288-0Fax: +49 231 981288-12E-Mail: [email protected]

Bartholomäusweg 3233334 GüterslohFon: +49 5241 9463-0Fax: +49 5241 9463-55E-Mail: [email protected]

Kehrwieder 920457 HamburgFon: +49 40 210098-0Fax: +49 40 210098-76E-Mail: [email protected]

Çayiryolu 1, Partaş Center Kat: 11-12Içerenköy, 34752 IstanbulTürkei Fon: +90 (216) 5754590Fax: +90 (216) 5754595E-Mail: [email protected]

ul. Małe Garbary 961-756 PoznańPolenFon: +48 (0) 61 8560970Fax: +48 (0) 61 8501870E-Mail: [email protected]

Hasebe Build.11F, 4-22-3 Sendagi, Bunkyo-Ku,113-0022 TokyoJapanFon: +81 (3) 5832 7020Fax: +81 (3) 5832 7021Email: [email protected]

Bäulerstraße 20CH-8152 GlattbruggSchweizFon: +41 (0) 44 874 3000Fax: +41 (0) 44 874 3010E-Mail: [email protected]

Klostergasse 504109 LeipzigFon: +49 341 350558-0Fax: +49 341 350558-59E-Mail: [email protected]

Wilh.-Th.-Römheld-Str. 2455130 MainzFon: + 49 6131 88087-0Fax: + 49 6131 88087-99E-Mail: [email protected]

Türkenstraße 55 80799 MünchenFon: +49 89 3603539-0Fax: +49 89 3603539-59E-Mail: [email protected]

An der Alten Ziegelei 148157 MünsterFon: +49 251 14132-0Fax: +49 251 14132-11E-Mail: [email protected]

Konrad-Zuse-Straße 374172 NeckarsulmFon: +49 (7132 380-0Fax: +49 7132 380-29E-Mail: [email protected]

Die Standorte der BTC AG


BTC Business Technology Consulting AGEscherweg 526121 OldenburgTel. 0441 / 36 12-0www.btc-ag.com

Vielen Dank für Ihre Aufmerksamkeit.

Identity Management Szenarien aus der Praxis

Documents

Transcript of Identity Management Szenarien aus der Praxis