Biz Act Admin Making security business-meaningful 2008. április 16.
Quiz: Milyen a jó jelszó? a) b) c) d) e) f) g) min. 11 char hosszú 4 regiszterű (aa1+ nem tartalmaz értelmes szót havonta változik a kockázattal adekvát megjegyezhető password123...fél perc alatt felejtsd el az internetet, samuel-t......vállalatról beszélek, emberekről...ok?! 2
Jogosultság Kié? dolgozóé, aki a jogosultságokkal él feladatot lát el szerepben van a vállalaté, ahol a jogosultságok működnek Mi az alapja? Mire vonatkozik? emberi beavatkozás (szerep) folyamatokban munkaköri leírás, szervezeti tudás, szokás szervezeti döntés szervezeti megbízás, célszerű igényelt és jóváhagyott, érvényes és hatályos 3
Jogosultság értelmezése Honnan származik? (objektív körülmények) üzleti folyamat szervezeti felépítés és hierarchia IT infrastruktúra Körülmények, dimenziók dolgozó viszonya az üzleti folyamat scope-jához (fiók) az üzleti folyamat tárgyaihoz (ügyfél) milyen szerepben van (jóváhagyó, rögzítő) kockázatok érték összejátszás 4
Jogosultság-kezelés Származékos A jogosultság egyéb viszonyokból adódik lásd: üzleti, szervezeti, eszközoldali (IT) megbízás, feladat, felelősség, kompetencia, stb. Szimbolikus Formalizáltan tartjuk nyilván nevek, tipizált jellemzők IT rendszerekben alkalmazzuk 5
I. Tevékenység alapú identity management 6
Identity Management-ben A jogosultság azonosítható mert el lehet mondani, miről van szó mert amihez kell, arra vannak szavak az üzleti folyamatban a szervezeti célok és kockázatok mérlegelése alapján adminisztrálandó kiadható, ellenőrizhető, elutasítható, elvehető, jóváhagyható, beállítható nyilvántartandó auditálandó belső ellenőrzés, külső felügyelet összefüggéseiben és az időszerűsége 7
idm, üzleti tevékenység, nyelv Fogalmak közös valóságot tükröző már létező használt érthető szakmai ellenőrizhető szokványos összefüggő újrahasznosítható követhető 8
idm, viszonyok Alice viszonya a vállalattal, események, státuszok belép a vállalathoz munkaköre bővül munkakört vált, átszervezik elmegy gyesre kilép, stb. Az üzlet, szervezet folyamatai és felépítése a működés és struktúra változik vele együtt a szokványok, szerepek, tevékenységek, feladatok, felelősségek, org.chart... IT szerepe az üzleti folyamatokban változnak az IT rendszerek 9
Identity Management (idm), részei Azonosság kezelés HR duplikáció speciális üzleti tartalom Entitlement provisioning dolgozói életciklus követése jogok igénylése jogosultsági rend, szokványok fenntartása IT környezet leírása rendszerek, jogosultságok, accountok üzemeltetők, gazdák Audit, Compliance, Accounting, Fraud Prev... 10
Hagyományos idm IT identitások GUID= cn= role= 빚 Identity (értsd egy dolgozó) 11 Felhasználók (jogok és accountok)
Tevékenység alapú közelítés Szervezeti identitás IT identitások GUID= cn= role= 빚 A dolgozó 12 Munkaköri leírás (beosztás és feladat) Felhasználók (jogok és accountok)
Feladatok és jogosultságok Természetes identitás Szervezeti identitás + Dolgozó Munkakör/ Beosztás/ Projekt-szerep + + +/ Tevékenység/ Feladat/Felelősség Paraméterek: - időzítés - lokáció (pl. fiók) - limitek - ügyfélkör - feltételek 13 +/ Extra IT jogok IT identitások Felhasználói jogok
Raktáros példa képforrások: en.wikipedia, www.barcoding.com, www.rtoonline.com 14
Szervezeti és IT fogalmak Éjszakai körbejáró raktáros (munkakör) (tevékenység) Éjszakai raktár-kezelés Raktáros Logisztikai alkalmazás, raktáros Kapunyitó rsz., 175_xxx Térfigyelő rsz., kameranéző Körbejárás (feladatkör) Lakat 1 Lakat 2 Lakat 3 Kutyalánclakat 15
Business activity administration (tevékenység alapú aka idm) Indokok Érthető, átlátható és követhető idm Jogosultság és azonosság mint szervezeti ügy Munkaköri leírás alapú ( ki mit csinál ) Vállalható vezetői felelősség Önfenntartó rend hosszú távon Hozzávalók Eszköz Bevezetés módszertana és támogatás Szervezeti beillesztés 16
II. Üzleti funkció alapú access management 17
Access Management (AM) Hozzáférés kezelés, interaktív engedélyezés Access Enforcement Point (AEP = PEP) request: Is User W Granted Permission Y On Resource Z? Access Decision Point (ADP = PDP+PRP) reply: GRANT DENY User W Permission Y on Resource Z! ADP (AM) id db 18 P db? Y/N AEP Apl Z: (Activity)
AM, üzleti funkciós alapmodell Mi a Z? Ki a W? Worker (user) Bank (org) Activity Identity Policy Rules Business model Role Groups Context Context Business Application User Activity Security Server AuthoriZation AutheNtication 19
AM, üzleti funkció, nyelv Hogyan nevezzük a Z-t, mi a resource? Szállítólevél megtekintése, ~ kiállítása, ~ aláírása Dolgozói tevékenység Business language Common name IT business model Application method Security rules Protected resource Business function Ki a W? funkcionális csoport, tipizált Éjszakai körbejáró raktáros 20
AM, üzleti funkcióval, hozzávalók /1 Mi kell hozzá, 1. Adottság strukturálható üzleti folyamatok nem zárt, fejlődő alkalmazás-környezet Módszer alkalmazható, írott módszertan tetten kell érni az üzleti funkciókat, specifikálni egyszerű fejlesztői módszertan >> 21
AM, üzleti funkcióval, hozzávalók /2 Mi kell hozzá, 2. Eszköz pl. egy szimbolikusan nyitott policy server értelmes felület és nyilvántartás alkalmazásintegrációs infrastruktúra megbízhatóság Folyamat alkalmazásfejlesztési koreográfia felelős szakértői support következetes formalizálás adminisztráció, helpdesk üzemeltetés 22
Milyen a várható IAM architektúra? I&AM komponensek egy vázlata: a személy idm a szolgáltatás 1 session server EM authn services wf I-R data services authz service(s) idm, EM... Fontos: korlátozott I-R megosztás elosztottság szabályozottság 23 db Srvc X authz X Sess authn 1 db authn 4 db
Q&A Kontakt: timurx@jmind.eu kép: Rembrandt Harmensz. van Rijn, 1642 The Company of Frans Banning Cocq and Willem van Ruytenburch 24