Novell Identity Manager Kormány Zoltán konzultáns zkormany@novell.com
Hozzáférés- és személyazonosság-kezelés funkciók Személyazonosság adminisztrációja Hozzáférés-kezelés Adattárolás (vault) Hitelesítés Integráció és szinkron Üzleti folyamatok kezelése Delegált adminisztráció Engedélyezés Hitelesítés Általános Erős hitelesítés Személyre szabott Egypontos bejelentkezés Saját adminisztráció Federated IM Szerepkörök kezelése Audit 2 Adminisztrációs események Hozzáférési események Riportok
Hozzáférés- és személyazonosság-kezelés funkciók Személyazonosság adminisztrációja Hozzáférés-kezelés Hitelesítés Adattárolás (vault) Integráció és szinkron Engedélyezés Hitelesítés Általános Üzleti folyamatok kezelése Erős hitelesítés Személyre szabott Delegált adminisztráció SecureLogin Egypontos bejelentkezés Access Saját Governance adminisztráció Suite Federated IM Identity Manager Provisioning Module Audit 3 NMAS Adminisztrációs Sentinel, Novell Identity Audit Hozzáférési események események Access Manager Riportok
Személyazonosság adminisztrációja Dolgozó belép a céghez Kapcsolat kezdete Igénylés munkafolyamattal Szerep alapú erőforráskiosztás Jóváhagyás Új projekt Előléptetés Access Management Hozzáférés az erőforrásokhoz Másik telephely Single Sign-on Elfelejtett jelszó Kapcsolat vége Dolgozó elhagyja a céget 4 Lejárt jelszó Jelszókezelés
Novell Identity Manager 3.6.1 - Felhasználói információk szinkronizációja, aggregációja, megosztása (metacímtár) - Szerepkör alapú jogosultságkezelés - Munkafolyamat alapú jogosultságkezelés - Felhasználói információs portál (telefonkönyv, szervezeti ábra stb.) - Integrált a Novell Identity, Access and Security keretrendszerével 5
Szabály alapú erőforrás-kiosztás 1) Egy új felhasználói bejegyzés készül a cég HR rendszerében (Vagy valamely más hiteles adatforrásban) Adatbázis HR rendszer HR Manager Gipsz Jakab Pénzügyi rendszer Gipsz_Jakab 2) Identity Manager észleli az új felhasználó létrejöttét 3) A vállalat üzleti szabályai alapján lefektetett irányelveknek megfelelően létrehozza a szükséges erőforrásokat a csatolt rendszerekben. 6 Linux Lotus Notes Identity Manager jgipsz@mycompany.hu Fizikai eszközök nyilvántartása 30-334-443
Munkafolyamat alapú erőforrás-kiosztás Felettes 1) Felhasználónk új jogosultságokat igényel az IDM rendszerben Adatbázis Gipsz Jakab jgipsz Gipsz Pénzügyi rendszer Gipsz_Jakab 2) Felettes jóváhagyja az igényt 3) A felhasználó bejegyzése létrejön az adatbázisban és a Linux rendszerben, a jogosultságok beállításra kerülnek 7 Linux Lotus Notes Identity Manager jgipsz@mycompany.hu Fizikai eszközök nyilvántartása 30-334-443
Identity Manager funkciói A felhasználó szemszögéből Egypontos A vezető szemszögéből erőforrás igénylés / kapcsolat az IT-val Elektronikus Gyors Szabályozott és hatékony kiosztás Követhető Egypontos folyamatok jelszó kezelés rendszer felhasználó és jogosultság tár Riportok adminisztráció / metrikák Szerepkörök működés Jóváhagyott Automatizált 8 erőforrás igénylési elhatárolása
Felhasználói portál funkciói A felhasználó szemszögéből Webes felhasználói portál Kibővített JAVA/J2EE tecnológiájú portál telefonkönyv és keresési funkciók Teljesen HTML/AJAX alapú felügyelet Továbbfejlesztett Egyszerű továbbfejleszthetőség Jelszó szervezeti ábra visszaállítási lehetőségek Könnyen kezelhető adatmódosító oldalak 9 Az adminisztrátor szemszögéből Fejlett Előre riporting képességek konfigurált riportok
Munkafolyamat-támogató modul főbb funkciói A felhasználó szemszögéből Munkafolyamat alapú erőforráskiosztás Designer Távollét beállítható (nem áll rendelkezésre) Workflow Delegálhatóak Lehetőségek az egyes feladatok Email értesítése Inbox a várakozó feladatoknak Proxy üzemmód Csapatok (team) alakíthatóak ki, amelyeknél a team leader végzi az adminisztrációt 10 Az adminisztrátor szemszögéből segítségével konfigurálható felület minták segítenek a munkafolyamatok tervezésénél széles tárháza: eszkaláció, timeout, riasztás, dinamikus jóváhagyói listák stb...
IDM architektúra 11 Novell, Inc. All rights reserved.
Alkalmazáscsatolók - Eseményvezérelt, kétirányú szinkronizáció - Nincs szükség az alkalmazás módosítására - Jelszó szinkronizáció - Agentless kapcsolat, remote loaderrel titkosítható - Hibatűrő (cache) - Két csatorna külön konfigurálható - Irányelvekkel szabályozható az adatáramlás - Grafikus paraméterezhetőség 12 Novell, Inc. All rights reserved. - Az adatok XML-formában áramlanak - Teljes körűen auditált, naplózott - Enterprise megoldás: failover, monitoring
Jelszó menedzsment Kétirányú jelszó-szinkronizáció Az IDM képes a felhasználói jelszavak kétirányú szinkronizációjára annak érdekében, hogy csak egy jelszót kelljen fejben tartani. Erős, vállalati szintű jelszóirányelvek Kialakítható olyan vállalati szintű jelszóirányelv, amely minden csatolt rendszerben kikényszeríti annak megfelelő jelszavak használatát Példák - A karakterek min./max. száma, kis- és nagybetűk száma, numerikus karakterek száma, hány jelszót jegyezzen meg a használtak közül a rendszer, kizárt jelszavak listája Jelszó visszaállítása Webes felületen a felhasználók visszaállíthatják saját elfelejtett jelszavaikat. A felhasználók a rendszerek natív interfészén keresztül válthatnak jelszót a továbbiakban is. 13
Alkalmazáscsatoló asszociációk képzése 14 Novell, Inc. All rights reserved.
Alkalmazáscsatoló hiteles adatforrások 15 Novell, Inc. All rights reserved.
Integrálható rendszerek alkalmazásspecifikus csatolók: AD, SAP... szabványos interfészeket használó csatolók: SOAP, JDBC... -> http://www.novell.com/products/identitymanager/drivers/ 16 IDM SDK egyedi konnektorok fejlesztéséhez (hazai tapasztalatok: Cisco routerek, Ericsson PBX) Scripting konnektor: Shell, Perl, Python, VB Script és Windows Powershell Novell, Inc. All rights reserved.
Csatolható rendszerek adatbázisok IBM DB2 Informix Microsoft SQL Server MySQL Oracle Sybase JDBC címtárak Critical Path InJoin Directory IBM Directory Server (SecureWay) iplanet Directory Server Microsoft Active Directory Microsoft Windows NT Domains Netscape Directory Server NIS NIS + Novell NDS Novell edirectory Oracle Internet Directory Sun ONE Directory Server LDAP levelezőrendszerek Microsoft Exchange 2000, 2003 Microsoft Exchange 5.5 Novell GroupWise Lotus Notes 17 üzleti alkalmazások Baan J.D.Edwards Lawson Oracle Peoplesoft SAP HR SAP R/3 4.6 and SAP Enterprise Systems (BASIS) SAP Web Application Server (Web AS) 6.20 Siebel adatbuszok BEA IBM Websphere MQ Open JMS Oracle JBOSS Sun TIBCO mainframe rendszerek RACF ACF2 Top Secret midrange rendszerek OS/400 (AS/400) operációs rendszerek Microsoft Windows NT 4.0 Microsoft Windows 2000, 2003 SUSE LINUX Debian Linux FreeBSD Red Hat AS and ES Red Hat Linux HP-UX IBM AIX Solaris UNIX Files - /etc/passwd egyéb Delimited Text Remedy (for Help Desk) SOAP DSML SPML Schools Interoperability Framework (SIF) pbx rendszerek Avaya PBX
IDM architektúra 18 Novell, Inc. All rights reserved.
Provisioning Module A következő komponensekből áll: Workflow Címtár absztrakciós réteg Workflow Igénylő 19 tervező (Designer) és jóváhagyói felületek (felhasználói portál) imanager SOAP motor adminisztrációs beépülő modulok interfész
Workflow lehetőségek 20 automatizált jóváhagyásos munkafolyamatok visszaellenőrzés (CVR, email, wf indítás) szerepkörök, rendszerszintű profilok, elemi jogok kezelése összeférhetetlen jogosultságok (SOD) összefüggő jogosultságok delegáció, proxy feladat eszkaláció, emlékeztető üzenetek felhasználói self-service folyamatok, önregisztráció címtárra épülő alkalmazások: telefonkönyv, szervezeti ábra, stb. törzsadatok karbantartása jelszó-visszaállítás többnyelvűség
Workflow lehetőségek II. 21 riportok folyamatok nyomon követése akár évekre visszamenően is tömeges elbírálás saját folyamatok visszavonása email értesítések a folyamatok státuszáról alfolyamatok jelszó-szinkronizáció ellenőrzése tanúsítványok bekérése jóváhagyási pontokon
Workflow portál 22 Novell portál szolgáltatások (Extend portal services) termékből született JBoss, WebSphere vagy WebLogic alkalmazásszerveren fut saját fejlesztésű portletek integrálhatóak alaptelepítés több mint 40 beépített portletet tartalmaz (pl. Outlook Webaccess ügynök, RSS stb.) erőforrás-megosztásos clusterben is képes működni megjelenése az adminisztrátori felületen testre szabható
IDM rendszer adminisztrációja 23 Novell, Inc. All rights reserved.
Designer 24
Designer funkciók - a teljes IDM rendszer modellezése, tervezésének, fejlesztésének támogatása - az IDM rendszer konfigurációja és adminisztrációja - biztosítja a projektek verziókövetését (Subversion server) - teljes körű irányelvszerkesztővel rendelkezik - lehetőség van az adatok, a hibák kielemzésére és az IDM folyamatok szimulációjára az élesbe állítás előtt. A szimuláció során a kliensen kipróbálható egy adott alkalmazáscsatoló működése anélkül, hogy az éles metacímtár folyamatokat módosítani kellene. - a projekt dokumentációja automatikusan összeállítható, ezzel hihetetlen mennyiségű időt takarítva meg 25
imanager 26
imanager - nem a fejlesztés, hanem az adminisztráció eszköze - webes alkalmazás - az IDM-el kapcsolatos feladatok mellett a címtár valamennyi komponense elérhető és módosítható - az IDM adminisztrációja egy beépülő modul segítségével biztosított - az adminisztrációs feladatok delegálhatóak: mindenki csak a saját menüpontjait érheti el - munkafolyamatok státusza nyomon követhető - a csatolók leállítása, elindítása, naplóállományok ellenőrzése itt valósítható meg 27
IDM implementációs lépések 1. Felmérés 2. Üzleti folyamatok rögzítése 3. Adatok analizálása és tisztítása 4. Alkalmazások modellezése 5. Bevezetés ütemezése 6. Irányelvek fejlesztése 7. Tesztelés 8. Éles indítás 9. Projekt dokumentálása 10. Üzemeltetés 28
Rossz adatból származó problémák Adathibák Hibás adat Rossz döntések Rosszul formázott adat Folyamatok Hiányos adat Biztonsági hibás definiálása rések Duplikátumok Megfelelőség Hiányzó Nem Nem adat egyező adat Séma nem tisztázott Ősfeltöltési nehézségek Asszociációk 29 Problémák felépítése hiánya gazdaságos megoldás Magas erőforrásigény Információvesztés
Analyzer/Enforcer 30
Funkciók Adatok online és offline begyűjtése Az adatok állapotának meghatározása mintaillesztéssel, statisztikai m. Adatok tisztítása (manuális, tömeges, automatikus, script alapú) Egyediség vizsgálat Adatforrások összegzése Tisztított adatok visszatöltése Az adatok folyamatos monitorozása (pl. reconciliation) REPORT 31 MONITOR
Analyzer biztosítja az adatok integritását 32
Analyzer kimutatások 33
Unpublished Work of Novell, Inc. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability. General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. Novell, Inc. makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for Novell products remains at the sole discretion of Novell. Further, Novell, Inc. reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.