Secure communication solutions · Secure communication solutions Identity und Access Management ZKI...
Transcript of Secure communication solutions · Secure communication solutions Identity und Access Management ZKI...
Securecommunication
solutions
Securecommunication
solutions
Identity und Access ManagementZKI Arbeitstreffen, Köln, 04./05.Oktober 2005
Jens Bußjäger, Principal Security
© Siemens Com ESY SEC PM 3 Okt-05 2
eLearning PlattformVerwaltung Digitaler IdentitätenMedienintegration über das Internet abrufbar
Multimedia
Mobilität
Sicherheit
Funk-basiertes Campus-NetzInternationale Teilnahme an Hochschul-VeranstaltungenDesk SharingGeschützte Zutrittsbereiche
Schutz Hochschul-interner RessourcenSichere elektronische ProzesseSichere Digitale Identitäten (Digitaler Ausweis)
Vision der „Hochschule 2010“
... die Konkurrenzfähigkeit einer Gesellschaft wesentlich von dem aus Wissenschaft und Forschung resultierenden Innovationsgrad der auf den Märkten angebotenen Produkte und Verfahren abhängt.
(Zitat aus Hochschulpakt, 09.02.2004)
DirXidentityManagement
© Siemens Com ESY SEC PM 3 Okt-05 3
Identity und Access Management
- Mitarbeiter- Lehrbeauftragte- Student- Partner
Metadirectory
Wer benötigt welche Rechte?
IdentitätenOrganisationenApplikationen
IT-SystemeRessourcen...
Benutzerprofile Rollen & BerechtigungenGeschäftsprozesse
Wer erhält welche Zugriffrechte?RegelnVorschriftenBedingungen
Wer benötigt Zugriff worauf?
Provisioning
Access Management
Iden
tity
Man
agem
ent
Acc
ess
Man
agem
ent
Verwaltung
Fachbereich
IT-Systeme
Campus
© Siemens Com ESY SEC PM 3 Okt-05 4
Funktionen desIdentity und Access Managements
Identity-Pflege Berechtigungs- undRichtlinienverwaltung
Benutzer- undZugriffsverwaltung
Identity Management
Verwaltung von Berech-tigungen: Rollen, Rechte, GruppenzugehörigkeitAutomatische Zuordnung der Berechtigungen: Regel-und richtlinien-basiert
Provisionierung von Benutzern und Zugriffsrechten zu UnternehmensressourcenPasswort-ManagementZielsystem-Validierung
Access Management
Authentifizierung Autorisierung Audit
Identifizierung und Validierung von BenutzernSingle sign-onUnterstützung von Geschäftspartnern
Prüfung von Zugriffsanfor-derungen auf RessourcenZugriffsentscheidungen basieren auf zentral verwalteten Richtlinien
Aufzeichnung der Zugriffs-anforderungen und -entscheidungenAnalyse der Auf-zeichnungen und Erzeugung von Berichten
Identity-Import aus maßgeblichen Quellen z. B. HR, CRM, ERP, SCM usw.Vereinheitlichung und Zusammenführung der importierten Identities zu einer eindeutigen Identitypro Benutzer
© Siemens Com ESY SEC PM 3 Okt-05 5
Produkte
Access ManagementDirX Access
Funktionalität
DirXIntegrierte Produktfamilie für Identity und Access Management
Identity ManagementDirXidentityDirXmetaRoleDirXmetahub
Authentication Federation
Web Access Management
Web Single Sign-on
Web Services Security
Self-Service
UserManagement Workflow
Password Management
Metadirectory Provisioning
Directory
Directory ServerDirXDirX Extranet EditionAudit
© Siemens Com ESY SEC PM 3 Okt-05 6
DirX IdentityFunktionen
Zielsysteme
ActiveDirectory
LDAPDirectory
Database
Notes &Exchange
WindowsNT
SAP R/3
SAPPortal
XMLLDIF
RACF
HiPath
EAILegacy
WebSSO
SOAP & SPMLServer
Rechte-verwaltung
(Rollen, Berechtigungen,
Gruppen, Accounts)
Age
nten
und
Kon
nekt
oren
…
Verwaltung der Richtlinien
Metadirectory(Zusammen-führung von Daten und
Synchronisation)
System-übergreifendes
ProvisioningBenutzer-
Verwaltung
Benutzer Self-Service
Passwort-Management
DelegierteAdministration
Verwaltung der Mandanten und
Zielsysteme
© Siemens Com ESY SEC PM 3 Okt-05 7
Aufbau eines zentralen und systemübergreifenden Modelles für die Verwaltung von Zugriffsrechten
Pflegen eines zentralen Benutzerverzeichnisses mit aktuellen und konsistenten Daten und Zuweisen
von Rechten an Benutzer
Administratoren pflegen zentrale Passwortricht-linien und setzen Passwörter zurück / Benutzer ver-
wenden ein einziges Passwort für alle Anwendungen
Ausgewählte delegierte Administratoren verwalten bestimmte Gruppen von Benutzern / Unterstützung
von Delegation über mehrere Ebenen
Benutzer pflegen eigene Daten und Passwörter, beantragen Rechte, überwachen den Antragsstatus
und delegieren Zugriffsrechte an Stellvertreter
DirX IdentityFunktionen und Aufgaben
7
BenutzerSelf-Service
Delegierte Administration
Passwort-Management
Rechte-verwaltung
Benutzer-verwaltung
© Siemens Com ESY SEC PM 3 Okt-05 8
Pflege von Mandanten und spezifische Anpassung
Aufzeichnen aller administrativen Änderungen und Erzeugen von Berichten über
Benutzer und ihre Zugriffsrechte
Konsolidierte und konsistente Daten aufbauen durch Integrieren und Synchronisieren von Directories,
Benutzerdatenbanken und anderen Datenbeständen
Auflösen von Rechtezuweisungen in systemspezifi-sche Zugriffsrechte und Versorgen der Anwendun-gen mit Benutzerdaten und Zugriffsberechtigungen
Pflegen von Sicherheits- und administrativen Richt-linien, z.B. Provisioning-Richtlinien für die auto-matische Vergabe oder den Entzug von Rechten
DirX IdentityFunktionen und Aufgaben
8
Verwaltung der Richtlinien
Provisioning
Metadirectory
Verwaltung der Mandanten
Audit & Berichte
© Siemens Com ESY SEC PM 3 Okt-05 9
SPML, LDAP, SOAP, Message Queues
DirX IdentityArchitektur
IdentityManager
Agentenund
KonnektorenIdentityStore
Ziel-system
Ziel-system
IdentityServer
IdentityServices
Event-gesteuerte &Zeit-gesteuerteProvisioningWorkflows
Policy-AusführungPrivilegien-Auflösung
Genehmigungs-Workflows
Scheduling
Wiederanlauf &Wiederholung
Benachrichtigung
Messaging
Audit, Logging& Statistiken
…
Integration Framework
Konnektor Integr.Framework
Agent IntegrationFramework
Identity Web API
Identity Web Center
© Siemens Com ESY SEC PM 3 Okt-05 10
DirX Identity ManagerProvisioning
© Siemens Com ESY SEC PM 3 Okt-05 11
DirX Identity ManagerKonnektivität
© Siemens Com ESY SEC PM 3 Okt-05 12
DirX Identity Web CenterBenutzerverwaltung
© Siemens Com ESY SEC PM 3 Okt-05 13
DirX Identity Web CenterPasswort-Management
© Siemens Com ESY SEC PM 3 Okt-05 14
Alle Menschen haben Bedarf an sicherersichererInformation und Kommunikation
Vielen DankVielen Dank
© Siemens Com ESY SEC PM 3 Okt-05 15
DirX IdentityFeatures
DirX Identity stellt eine umfassende Identity Management Lösung für Unternehmen und Organisationen zur Verfügung. DirX Identity enthält
Web-basierte Benutzer-Self-Service-Funktionen und delegierte AdministrationPasswort-Management and -SynchronisationBenutzerverwaltungPrivilegienverwaltung mit Rollen, Berechtigungen und Gruppen
Basieren auf dem NIST RBAC Modell mit RollenhierarchienRollen- und Berechtigungsparameter
Manuelle oder automatische, Regel-basierte Zuweisung von Privilegien an BenutzerGenehmigungs-Workflows für Zuweisungen von PrivilegienSystem-übergreifendes Provisioning von Benutzer/Accounts, Gruppen, und Benutzer-Gruppen-Beziehungen
Initiales Laden, Zeit-gesteuerte Synchronisation, Validierung und AbgleichZielsystemverwaltungMandantenfähigkeitFunktionen zur Überwachung des Systems, für Audit-Zwecke und Report-ErstellungMetadirectoryUmfangreiche grafische Administrations- und Benutzer-Schnittstellen
© Siemens Com ESY SEC PM 3 Okt-05 16
DirX IdentityPasswort-Management
DirX Identity Passwort-Management stellt eine konsistente und einfache Anmeldung für die unterstützten Zielsysteme bereit:
Identische Passwörter in allen Zielsystemen durch sofortige Passwort-SynchronisationWeb Center unterstützt
Benutzer-Self-Service zum Ändern und Rücksetzen von PasswörternAdministratives Zurücksetzen von Passwörtern
Benachrichtigung über bevorstehende erforderliche Passwort-Änderungenauf Grund von Passwort-PoliciesPassword Listener für Windows zum Erkennen von Passwort-Änderungen, die über den Windows Desktop durchgeführt werdenSichere Speicherung und sicherer Transport von PasswörternVerwaltung von Passwort-Policies
© Siemens Com ESY SEC PM 3 Okt-05 17
DirX IdentityMetadirectory
Integration von heterogenen Verzeichnissen und Datenbanken in ein LDAP Verzeichnis, z.B. DirX
Einstufige, skriptfähige Join Engine mit dedizierten und generischen AgentenBasiert auf dem Datenintegrations-Paradigma „Extract, Transform, Move, Load“ (ETML) Asynchrone Verarbeitung im HintergrundSteuerung durch Metadaten, Verwaltung über grafische OberflächeBi-direktionale Synchronisation mit vielen, unterschiedlichen Quellen und/oder strukturierten Dateien (XML, LDIF, CSV)
AnwendungsnutzenKonsistenz und DatenintegritätKonsolidierte Directory-DatenInfrastruktur für Provisioning und Identity Management
Wird seit vielen Jahren erfolgreich in Projekten eingesetzt
© Siemens Com ESY SEC PM 3 Okt-05 18
DirX Identity ServerHighlights
Skalierbares, Multi-Thread Framework als Komponenten-Container;gemeinsames Framework für Server und AgentenErmöglicht verteilte Installation von Komponenten und AgentenZeit- und Event-gesteuerte Ausführung von Synchronisations- und Provisioning-WorkflowsStatus-Tracking, Ausnahmebehandlung und WiederanlaufSteuert den Meta Controller (Script-fähige Join Engine)Optionale Verschlüsselung von Attributen (z.B. Passwörter)Läuft mit DirX und Sun LDAP ServernPlattform-unabhängig: Windows 2000/2003/XP, Solaris (Sparc), Linux (Red Hat / SuSE)Identity Integration Framework für Java und CUnterstützt Hochverfügbarkeit (Supervisor, Hardware-Cluster Unterstützung)
© Siemens Com ESY SEC PM 3 Okt-05 19
DirX Identity ManagerFeatures
Einfach zu bedienende Administrationsschnittstellen mit mehreren Views zur Verwaltung der Identitäten und Privilegien (Provisioning)Verwaltung der Synchronisations- und Provisioning-Workflows(Konnektivität)Anzeige des Objektmodells im Identity Store (Data View)
Graphische Repräsentation und Konfiguration der Objekte und Prozeduren„State of the art“ Java Technologie, Plattform-unabhängigLDAP-basierte zentrale Datenhaltung für Konfigurations- und Meta-Daten für die GUI und den AdministrationsprozessÜberwachung (Monitoring) der Synchronisations- und Provisioning-Jobs,Audit und TraceKontext-sensitive Online-HilfeGraphische Modellierung der Synchronisations- und Provisioning-WorkflowsSchema-Erkennung von angeschlossenen Directories
© Siemens Com ESY SEC PM 3 Okt-05 20
DirX Identity V7.0A00Neue Funktionen
Zusammenführung von DirXmetahub und DirXmetaRole mit einer optimierten ProduktstrukturVerfügbarkeit auf zusätzlichen Plattformen: Linux (Red Hat, SuSE)Unterstützung von Sun LDAP-Servern als Datenhaltung für DirX IdentityPasswort-ManagementEvent-basierter Identity ServerIdentity Integration Framework für Java und C++Neue Konnektivität:
System im Gesundheitswesen (Health Enterprise Dashboard)Zugangskontrollsysteme (SiPass)Rollen-basiertes Provisioning für IBM Lotus Notes
Verbesserte Integration zwischen DirX Access und DirX Identity
© Siemens Com ESY SEC PM 3 Okt-05 21
DirX Identity V7.0Business und Pro Suites
XXRechteverwaltung (Rollen und Berechtigungen)
XBasisXAudit / Historie
XXPasswort-Management / Richtlinien / Self-Service
XXDelegierte Administration
XXAntrags- und Genehmigungsworkflow
XXRollenbasiertes Provisioning (RBAC, Rollenhierarchie, Parameter)
XXPasswort-Synchronisation
XXIdentity integration framework für Java und C++
XXGrafische Administration (Identity Manager)
XXWeb Center mit Benutzerselbstverwaltung
XXMetadirectory / Synchronisation
XXRegelbasiertes Provisioning (Benutzer und Gruppen)
Pro Up.
Business
ProFunktionen
© Siemens Com ESY SEC PM 3 Okt-05 22
DirX Identity V7.0Connectivity Packages
StandardLDAP, HiPath SIcurity DirX Access, Files, XMLMicrosoftADS, NT, Exchange, Windows Password ListenerDatenbankenRelationale Datenbanken über ODBC, JDBCHiPathHiPath 4000 Manager, Hicom DMSMedizinische InformationssystemeHealth Enterprise DashboardGebäudezugangSiPassSAPR/3 und mySAP ERP HR, OM, UM/CUA, NetWeaver/Enterprise Portal 6IBMRACF, Lotus Notes