Securecommunication

solutions

Securecommunication

solutions

Identity und Access ManagementZKI Arbeitstreffen, Köln, 04./05.Oktober 2005

Jens Bußjäger, Principal Security

Jens.bussjaeger@siemens.com

© Siemens Com ESY SEC PM 3 Okt-05 2

eLearning PlattformVerwaltung Digitaler IdentitätenMedienintegration über das Internet abrufbar

Multimedia

Mobilität

Sicherheit

Funk-basiertes Campus-NetzInternationale Teilnahme an Hochschul-VeranstaltungenDesk SharingGeschützte Zutrittsbereiche

Schutz Hochschul-interner RessourcenSichere elektronische ProzesseSichere Digitale Identitäten (Digitaler Ausweis)

Vision der „Hochschule 2010“

... die Konkurrenzfähigkeit einer Gesellschaft wesentlich von dem aus Wissenschaft und Forschung resultierenden Innovationsgrad der auf den Märkten angebotenen Produkte und Verfahren abhängt.

(Zitat aus Hochschulpakt, 09.02.2004)

DirXidentityManagement

© Siemens Com ESY SEC PM 3 Okt-05 3

Identity und Access Management

- Mitarbeiter- Lehrbeauftragte- Student- Partner

Metadirectory

Wer benötigt welche Rechte?

IdentitätenOrganisationenApplikationen

IT-SystemeRessourcen...

Benutzerprofile Rollen & BerechtigungenGeschäftsprozesse

Wer erhält welche Zugriffrechte?RegelnVorschriftenBedingungen

Wer benötigt Zugriff worauf?

Provisioning

Access Management

Iden

tity

Man

agem

ent

Acc

ess

Man

agem

ent

Verwaltung

Fachbereich

IT-Systeme

Campus

© Siemens Com ESY SEC PM 3 Okt-05 4

Funktionen desIdentity und Access Managements

Identity-Pflege Berechtigungs- undRichtlinienverwaltung

Benutzer- undZugriffsverwaltung

Identity Management

Verwaltung von Berech-tigungen: Rollen, Rechte, GruppenzugehörigkeitAutomatische Zuordnung der Berechtigungen: Regel-und richtlinien-basiert

Provisionierung von Benutzern und Zugriffsrechten zu UnternehmensressourcenPasswort-ManagementZielsystem-Validierung

Access Management

Authentifizierung Autorisierung Audit

Identifizierung und Validierung von BenutzernSingle sign-onUnterstützung von Geschäftspartnern

Prüfung von Zugriffsanfor-derungen auf RessourcenZugriffsentscheidungen basieren auf zentral verwalteten Richtlinien

Aufzeichnung der Zugriffs-anforderungen und -entscheidungenAnalyse der Auf-zeichnungen und Erzeugung von Berichten

Identity-Import aus maßgeblichen Quellen z. B. HR, CRM, ERP, SCM usw.Vereinheitlichung und Zusammenführung der importierten Identities zu einer eindeutigen Identitypro Benutzer

© Siemens Com ESY SEC PM 3 Okt-05 5

Produkte

Access ManagementDirX Access

Funktionalität

DirXIntegrierte Produktfamilie für Identity und Access Management

Identity ManagementDirXidentityDirXmetaRoleDirXmetahub

Authentication Federation

Web Access Management

Web Single Sign-on

Web Services Security

Self-Service

UserManagement Workflow

Password Management

Metadirectory Provisioning

Directory

Directory ServerDirXDirX Extranet EditionAudit

© Siemens Com ESY SEC PM 3 Okt-05 6

DirX IdentityFunktionen

Zielsysteme

ActiveDirectory

LDAPDirectory

Database

Notes &Exchange

WindowsNT

SAP R/3

SAPPortal

XMLLDIF

RACF

HiPath

EAILegacy

WebSSO

SOAP & SPMLServer

Rechte-verwaltung

(Rollen, Berechtigungen,

Gruppen, Accounts)

Age

nten

und

Kon

nekt

oren

…

Verwaltung der Richtlinien

Metadirectory(Zusammen-führung von Daten und

Synchronisation)

System-übergreifendes

ProvisioningBenutzer-

Verwaltung

Benutzer Self-Service

Passwort-Management

DelegierteAdministration

Verwaltung der Mandanten und

Zielsysteme

© Siemens Com ESY SEC PM 3 Okt-05 7

Aufbau eines zentralen und systemübergreifenden Modelles für die Verwaltung von Zugriffsrechten

Pflegen eines zentralen Benutzerverzeichnisses mit aktuellen und konsistenten Daten und Zuweisen

von Rechten an Benutzer

Administratoren pflegen zentrale Passwortricht-linien und setzen Passwörter zurück / Benutzer ver-

wenden ein einziges Passwort für alle Anwendungen

Ausgewählte delegierte Administratoren verwalten bestimmte Gruppen von Benutzern / Unterstützung

von Delegation über mehrere Ebenen

Benutzer pflegen eigene Daten und Passwörter, beantragen Rechte, überwachen den Antragsstatus

und delegieren Zugriffsrechte an Stellvertreter

DirX IdentityFunktionen und Aufgaben

7

BenutzerSelf-Service

Delegierte Administration

Passwort-Management

Rechte-verwaltung

Benutzer-verwaltung

© Siemens Com ESY SEC PM 3 Okt-05 8

Pflege von Mandanten und spezifische Anpassung

Aufzeichnen aller administrativen Änderungen und Erzeugen von Berichten über

Benutzer und ihre Zugriffsrechte

Konsolidierte und konsistente Daten aufbauen durch Integrieren und Synchronisieren von Directories,

Benutzerdatenbanken und anderen Datenbeständen

Auflösen von Rechtezuweisungen in systemspezifi-sche Zugriffsrechte und Versorgen der Anwendun-gen mit Benutzerdaten und Zugriffsberechtigungen

Pflegen von Sicherheits- und administrativen Richt-linien, z.B. Provisioning-Richtlinien für die auto-matische Vergabe oder den Entzug von Rechten

DirX IdentityFunktionen und Aufgaben

8

Verwaltung der Richtlinien

Provisioning

Metadirectory

Verwaltung der Mandanten

Audit & Berichte

© Siemens Com ESY SEC PM 3 Okt-05 9

SPML, LDAP, SOAP, Message Queues

DirX IdentityArchitektur

IdentityManager

Agentenund

KonnektorenIdentityStore

Ziel-system

Ziel-system

IdentityServer

IdentityServices

Event-gesteuerte &Zeit-gesteuerteProvisioningWorkflows

Policy-AusführungPrivilegien-Auflösung

Genehmigungs-Workflows

Scheduling

Wiederanlauf &Wiederholung

Benachrichtigung

Messaging

Audit, Logging& Statistiken

…

Integration Framework

Konnektor Integr.Framework

Agent IntegrationFramework

Identity Web API

Identity Web Center

© Siemens Com ESY SEC PM 3 Okt-05 10

DirX Identity ManagerProvisioning

© Siemens Com ESY SEC PM 3 Okt-05 11

DirX Identity ManagerKonnektivität

© Siemens Com ESY SEC PM 3 Okt-05 12

DirX Identity Web CenterBenutzerverwaltung

© Siemens Com ESY SEC PM 3 Okt-05 13

DirX Identity Web CenterPasswort-Management

© Siemens Com ESY SEC PM 3 Okt-05 14

Alle Menschen haben Bedarf an sicherersichererInformation und Kommunikation

Vielen DankVielen Dank

© Siemens Com ESY SEC PM 3 Okt-05 15

DirX IdentityFeatures

DirX Identity stellt eine umfassende Identity Management Lösung für Unternehmen und Organisationen zur Verfügung. DirX Identity enthält

Web-basierte Benutzer-Self-Service-Funktionen und delegierte AdministrationPasswort-Management and -SynchronisationBenutzerverwaltungPrivilegienverwaltung mit Rollen, Berechtigungen und Gruppen

Basieren auf dem NIST RBAC Modell mit RollenhierarchienRollen- und Berechtigungsparameter

Manuelle oder automatische, Regel-basierte Zuweisung von Privilegien an BenutzerGenehmigungs-Workflows für Zuweisungen von PrivilegienSystem-übergreifendes Provisioning von Benutzer/Accounts, Gruppen, und Benutzer-Gruppen-Beziehungen

Initiales Laden, Zeit-gesteuerte Synchronisation, Validierung und AbgleichZielsystemverwaltungMandantenfähigkeitFunktionen zur Überwachung des Systems, für Audit-Zwecke und Report-ErstellungMetadirectoryUmfangreiche grafische Administrations- und Benutzer-Schnittstellen

© Siemens Com ESY SEC PM 3 Okt-05 16

DirX IdentityPasswort-Management

DirX Identity Passwort-Management stellt eine konsistente und einfache Anmeldung für die unterstützten Zielsysteme bereit:

Identische Passwörter in allen Zielsystemen durch sofortige Passwort-SynchronisationWeb Center unterstützt

Benutzer-Self-Service zum Ändern und Rücksetzen von PasswörternAdministratives Zurücksetzen von Passwörtern

Benachrichtigung über bevorstehende erforderliche Passwort-Änderungenauf Grund von Passwort-PoliciesPassword Listener für Windows zum Erkennen von Passwort-Änderungen, die über den Windows Desktop durchgeführt werdenSichere Speicherung und sicherer Transport von PasswörternVerwaltung von Passwort-Policies

© Siemens Com ESY SEC PM 3 Okt-05 17

DirX IdentityMetadirectory

Integration von heterogenen Verzeichnissen und Datenbanken in ein LDAP Verzeichnis, z.B. DirX

Einstufige, skriptfähige Join Engine mit dedizierten und generischen AgentenBasiert auf dem Datenintegrations-Paradigma „Extract, Transform, Move, Load“ (ETML) Asynchrone Verarbeitung im HintergrundSteuerung durch Metadaten, Verwaltung über grafische OberflächeBi-direktionale Synchronisation mit vielen, unterschiedlichen Quellen und/oder strukturierten Dateien (XML, LDIF, CSV)

AnwendungsnutzenKonsistenz und DatenintegritätKonsolidierte Directory-DatenInfrastruktur für Provisioning und Identity Management

Wird seit vielen Jahren erfolgreich in Projekten eingesetzt

© Siemens Com ESY SEC PM 3 Okt-05 18

DirX Identity ServerHighlights

Skalierbares, Multi-Thread Framework als Komponenten-Container;gemeinsames Framework für Server und AgentenErmöglicht verteilte Installation von Komponenten und AgentenZeit- und Event-gesteuerte Ausführung von Synchronisations- und Provisioning-WorkflowsStatus-Tracking, Ausnahmebehandlung und WiederanlaufSteuert den Meta Controller (Script-fähige Join Engine)Optionale Verschlüsselung von Attributen (z.B. Passwörter)Läuft mit DirX und Sun LDAP ServernPlattform-unabhängig: Windows 2000/2003/XP, Solaris (Sparc), Linux (Red Hat / SuSE)Identity Integration Framework für Java und CUnterstützt Hochverfügbarkeit (Supervisor, Hardware-Cluster Unterstützung)

© Siemens Com ESY SEC PM 3 Okt-05 19

DirX Identity ManagerFeatures

Einfach zu bedienende Administrationsschnittstellen mit mehreren Views zur Verwaltung der Identitäten und Privilegien (Provisioning)Verwaltung der Synchronisations- und Provisioning-Workflows(Konnektivität)Anzeige des Objektmodells im Identity Store (Data View)

Graphische Repräsentation und Konfiguration der Objekte und Prozeduren„State of the art“ Java Technologie, Plattform-unabhängigLDAP-basierte zentrale Datenhaltung für Konfigurations- und Meta-Daten für die GUI und den AdministrationsprozessÜberwachung (Monitoring) der Synchronisations- und Provisioning-Jobs,Audit und TraceKontext-sensitive Online-HilfeGraphische Modellierung der Synchronisations- und Provisioning-WorkflowsSchema-Erkennung von angeschlossenen Directories

© Siemens Com ESY SEC PM 3 Okt-05 20

DirX Identity V7.0A00Neue Funktionen

Zusammenführung von DirXmetahub und DirXmetaRole mit einer optimierten ProduktstrukturVerfügbarkeit auf zusätzlichen Plattformen: Linux (Red Hat, SuSE)Unterstützung von Sun LDAP-Servern als Datenhaltung für DirX IdentityPasswort-ManagementEvent-basierter Identity ServerIdentity Integration Framework für Java und C++Neue Konnektivität:

System im Gesundheitswesen (Health Enterprise Dashboard)Zugangskontrollsysteme (SiPass)Rollen-basiertes Provisioning für IBM Lotus Notes

Verbesserte Integration zwischen DirX Access und DirX Identity

© Siemens Com ESY SEC PM 3 Okt-05 21

DirX Identity V7.0Business und Pro Suites

XXRechteverwaltung (Rollen und Berechtigungen)

XBasisXAudit / Historie

XXPasswort-Management / Richtlinien / Self-Service

XXDelegierte Administration

XXAntrags- und Genehmigungsworkflow

XXRollenbasiertes Provisioning (RBAC, Rollenhierarchie, Parameter)

XXPasswort-Synchronisation

XXIdentity integration framework für Java und C++

XXGrafische Administration (Identity Manager)

XXWeb Center mit Benutzerselbstverwaltung

XXMetadirectory / Synchronisation

XXRegelbasiertes Provisioning (Benutzer und Gruppen)

Pro Up.

Business

ProFunktionen

© Siemens Com ESY SEC PM 3 Okt-05 22

DirX Identity V7.0Connectivity Packages

StandardLDAP, HiPath SIcurity DirX Access, Files, XMLMicrosoftADS, NT, Exchange, Windows Password ListenerDatenbankenRelationale Datenbanken über ODBC, JDBCHiPathHiPath 4000 Manager, Hicom DMSMedizinische InformationssystemeHealth Enterprise DashboardGebäudezugangSiPassSAPR/3 und mySAP ERP HR, OM, UM/CUA, NetWeaver/Enterprise Portal 6IBMRACF, Lotus Notes