Zarządzanie tożsamo samością technologie Microsoft a sprawa Oracle Tomasz Onyszko Consultant II Microsoft Services Warszawa, 31 maj 2006
Agenda Zarządzanie tożsamo samością i dostępem technologie Microsoft MIIS 2003 platforma budowy rozwiąza zań IdM MIIS 2003 a sprawa Oracle przykłady użyciau
Zarządzanie tożsamo samością Co to jest? Usługi Katalogowe Repozytoria przechowujące ce informacje o tożsamo samościach i uwierzytelnienia oraz uprawnienia Access Management Identity Lifecycle Management Zestaw technologii i procedur Procesy weryfikacji uwierzytelnień,, kontroli dostępu do zasobów w (w tym przyznawania i odbierania dostępu) zgodnie z uprawnieniami stosownymi do roli umożliwiający efektywne zarządzanie cyklem życia tożsamości Procesy tworzenia, usuwania, modyfikacji ustawień kont, zarządzania zmianami stanu i informacji o tożsamo samości oraz uprawnieniami.
Cykl życia elektronicznej tożsamości Usunięcie - Kasowanie/Blokada Kont - Usunięcie/Blokada Praw Synchronizacja - Wszelkie czynności wykonywane w wielu repozytoriach informacji/systemach Raportowanie - Audyt/log zmian - Stan historyczny Hasła - Silne hasła - Zagubione hasła - Reset haseł Nowy użytkownik - Utworzenie konta - Utworzenie uwierzytelnienia - Nadanie Praw Zmiany Konta - Awanse - Transfery - Nowe Prawa - Zmiany atrybutów
Metakatalog Usługa synchronizacji: Automatyzacja zarządzania życiem obiektów (provisioning\deprovisioning) Przepływ danych pomiędzy katalogami Przechowuje informacje o relacjach pomiędzy obiektami odpowiadającym tej samej tożsamości, które znajdują się w różnych katalogach. Zapewnia: Spójne dane w zintegrowanych katalogach Określony właściciel dla zbioru danych np. katalog będący autorytatywnym źródłem atrybutu Podstawowe informacje replikowane do wszystkich katalogów Wzbogacone, aktualne dane
Podstawowe procesy Provisioning Automatyczne tworzenie obiektów w repozytoriach połączonych za pomocą metakatalogu (bazujący na informacji z autorytatywnych źródeł np. HR) Reguły definiują w których repozytoriach obiekty powinny być tworzone a w jakich nie Konta tworzone z uwzględnieniem reguł nazewnictwa i bezpieczeństwa
Podstawowe procesy Provisioning c.d. Nie tylko tworzenie kont Dodatkowe elementy Tworzenie unikalnego loginu i innych atrybutów, zgodnie z zadanymi konwencjami nazewnictwa Przypisanie do odpowiednich ról / grup / kontenerów zgodnie ze stanowiskiem Ustawienie i przekazanie pierwszego hasła dostępowego Wysłanie wiadomości powitalnej Utworzenie katalogu domowego, ustawienie uprawnień, quoty, etc.
Podstawowe procesy Deprovisioning Proces blokady / usuwania konta gdy pracownik odchodzi z firmy W części katalogów konta powinny pozostać zablokowane z części powinny zostać usunięte, zgodnie z informacją w autorytatywnych źródłach (HR) Typowy scenariusz tzw. Timebomb scenario minimalizuje potencjalne efekty błędów ludzkich.
Rozwiązania Microsoft w zakresie Id&AM
Zarządzanie tożsamo samością i dostępem Przeszłość Teraz Przyszłość Aplikacje Integracja Połączone systemy Synchronizacja Nadmiarowość tożsamo samości Autoryzacja na poziomie aplikacji Synchronizacja Autoryzacja na Tożsamo samości federowane Federacja Autoryzacja nastawiona poziomie zasobów IT na użytkownika Kosztowne rozwiązanie Uproszczone zarządzanie Efektywne zarządzanie Jesteśmy tutaj
Rozwiązania zania Microsoft w zakresie Id&AM System Operacyjny Windows Server Usługi uwierzytelnienia oparte o Kerberos Wbudowana integracja z systemami UNIX (Windows 2003 R2) Rozszerzenie dostępu poprzez dodatkowe oprogramowanie (HIS) Metakatalog MIIS 2003 Usługa zapewniająca synchronizacje danych pomiędzy katalogami Provisioning\deprovisioning Synchronizacja haseł Federacja tożsamości Active Directory Federation Services (Windows 2003 R2) Federacja tożsamości pomiędzy różnymi platformami
MIIS 2003 LDAP LOB Apps NOS SQL Synchronizacja katalogów Łączy się z wieloma różnymi systemami Nie wymaga instalacji dodatkowego oprogramowania na integrowanych systemach agentless Automatyzacja zarządzania grupami / listami dystrybucyjnymi Zarządzanie hasłami Synchronizacja haseł Single hire/fire Identity Data
MIIS 2003 Cechy produktu Opiera się na technologiach Microsoft SQL Server 2000 Rozszerzenia pisane za pomocą Visual Studio.NET i języków kompilujących się do CLR Sterowany / monitorowany przez WMI Active Directory nie jest wymagane Proste wdrożenie Większość konfiguracji za pomocą interfejsu graficznego W złożonych przypadkach wykorzystanie VB.NET / C# Elastyczność Praktycznie każdy aspekt działania rozszerzalny Wykorzystanie prostych narzędzi
Integracja z pudełka AD/Exchange 2000/2003 ADAM SUN ONE Directory Server (iplanet) DB2 IBM Directory NT4 Exchange 5.5 Lotus Notes Novell edirectory RACF (OS/390) SAP R/3 (Beta) SQL Server Oracle 8/9 DSML 2.0 (XML) LDAP Directory Interchange Format (LDIF) Delimited Text Fixed-Width Text Attribute-Value Pair Text Extensible Management Agent (*) W dotychczasowych projektach między innymi: RSA ACE/Server Cisco Secure Access Control Server 3.1-3.3 RSA KEON Oracle Internet Directory SAP R/3 (*) Rozmaite systemy kadrowe, systemy zarządzania uprawnieniami Można zbudować konektor, gdy dostępne ODBC, OLEDB, jakiekolwiek API,.NET lub natywne Windows, lub aplikacja używa otwartych standardów. Pozwalają na budowę połączenia do właściwie każdego katalogu..
MIIS 2003 Mechanizmy działania ania MIIS 2003 działa w cyklach Czyta dane z połączonych katalogów Przelicza logikę przepływu danych (oraz provisioningu/deprovisioningu) definiowaną z GUI lub poprzez kod rozszerzeń Wylicza jakie zmiany powinny zostać wprowadzone do połączonych katalogów Eksportuje dane Każdy z tych kroków może być wykonywany różnicowo (przetwarzane tylko zmiany)
MIIS 2003 Podstawowe pojęcia MIIS MV CD CS MA Connected Data Source (CD) Źródło danych Katalog podlegający integracji Management Agent (MA) Agent Zarządzający Zapewnia fizyczną komunikację MIIS 2003 ze źródłami danych Connector Space (CS) Przestrzeń konektorowa Odwzorowanie struktury i danych katalogu w MIIS, bufor danych do odczytu i zapisu Metaverse (MV) Centralna składnica zagregowanej informacji o obiektach Obiekty MV spinają razem opisujące jedną tożsamość obiekty z przestrzeni konektorowych, umożliwiając przepływ danych
MIIS 2003 Podstawowe pojęcia SAP HR CSEntry MIIS 2003 Projekcja (Gdy utworzony obiekt MVEntry) Disconnector obiekt CSEntry bez odpowiadajacego MVEntry Active Directory Connector Obiekt CSEntry powiązyany z obiektem MVEntry Connector Space CSEntry CSEntry Connector Space Metaverse MVEntry Join (Gdy dla CSEntry Znaleziono odpowiadający MVEntry)
MIIS 2003 Działanie anie w oparciu o stan obiektów MIIS 2003 działa w oparciu o stan obiektów w danym momencie czasu Stan obiektów jest czytany w cyklu synchronizacji Brak monitorowania stanu obiektów w czasie rzeczywistym Zaleta: Odporność na błędy / utratę danych Nie trzeba działać w pełni transakcyjnie Nie wszystkie źródła danych są transakcyjne Olbrzymia łatwość odtwarzania Pozwala na łatwe przetworzenie / przeliczenie logiki dla istniejących danych Nie wysyła niepotrzebnych zmian Może być wyzwolony przez zmiany w danych
MIIS 2003 Zarządzanie hasłami ami Ustawienie hasła początkowego Centralne zarządzanie hasłem przez aplikację WWW Samodzielne ustawianie haseł Reset hasła helpdesk Łatwe tworzenie aplikacji do samoresetu \ resetu haseł (WWW_ Active Directory Aplikacja WWW Synchronizacja haseł (z AD do dowolnego systemu)
MIIS 2003 Zarządzanie hasłami ami jak to działa? a?
MIIS 2003 Dane historyczne MIIS 2003 nie dostarcza narzędzi do zapisywania danych historycznych Metaverse przedstawia stan obecny obiektu Rozwiązanie pozwalające na logowanie danych historycznych Historia zmian : Stworzone w polskim MCS Pozwala na logowanie danych o stanie systemu w każdym z podłączonych źródeł i metaverse Pozwala śledzić zmiany obiektu \ atrybutów obiektu w czasie, również z informacją o osobach wprowadzających zmiany Pozwala na przekształcenia wartości atrybutów przed zapisaniem do bazy Logowanie zmian na poziomie MIIS niezależne od źródła danych Oparte na bazie MS SQL 2000 i rozszerzeniach MIIS
MIIS 2003 Dane historyczne jak to działa? a?
MIIS 2003 Rozszerzenia własne w MCS Polska Usługa powiadomień - MailSender Realizowana poprzez agenta zarządzającego bazy danych Pozwala na planowanie powiadomień wysyłanych następnie przez zaplanowane zadanie Akcje odroczone Agent zarządzający bazy danych wraz z rozszerzeniami Pozwala na zaplanowanie akcji mających swój efekt w przyszłości Przykłady akcji odroczonych: Powiadomienie o zwolnieniu użytkownika Zwolnienie użytkownika w wyznaczonym dniu Zablokowanie kont w wyznaczonym dniu
MIIS 2003 współpraca z produktami Oracle
MIIS 2003 Baza danych Oracle jako źródło o danych Standardowy agent zarządzający Dostarczany wraz z MIIS 2003 z pudełka Wsparcie dla wersji 8/9 (dla wersji 10 niedługo) Wymaga oprogramowania klienta Oracle Zalecana wersja > 9.2.0.4 Wymagany komponent: Oracle OleDB Provider Pozwala na obsługę Pełnych i różnicowy cykli synchronizacji Synchronizacji haseł Uniwersalny agent baz danych (Extensible MA) Zbudowany w MCS Polska w oparciu o technologię Extensible MA Komunikacja z bazą danych poprzez Oracle OleDB Działa w oparciu o zdefiniowane szablony poleceń SQL
MIIS 2003 Baza danych Oracle jako źródło o danych Najczęstsze zastosowania Provisioning \ deprovisioning na rzecz aplikacji używających baz danych Oracle jako źródła informacji o użytkownikach Provisioning \ deprovisioning kont użytkowników Oracle Synchronizacja haseł pomiędzy Active Directory \ Oracle Samodzielny reset haseł użytkowników w bazie danych Oracle
DEMO Baza Oracle jako źródło danych w synchronizacji
MIIS 2003 Zarządzanie użytkownikami u i rolami Wymaganie: Zarządzanie dostępem do zasobów Oracle na podstawie ról biznesowych Rola użytkownika definiuje wymagania Wymagania przekładają się na zestaw ról po stronie bazy danych Oracle Problem: duży nakład pracy na zarządzanie użytkownikami i rolami w Oracle Zastosowane rozwiązanie: Zarządzanie użytkownikami i rolami poprzez Extensible MA Provisioning \ deprovisioning kont użytkowników i ról Pełna automatyzacja zarządzania kontami i rolami w bazie danych Oracle Automatyczne generowanie unikalnych loginów użytkowników Wartość dodatkowa: wymuszenie poprawności danych nadmiarowe role przypisane użytkownikowi są usuwane przez MIIS
DEMO Zarządzanie użytkownikami bazy danych Oracle
MIIS 2003 Oracle Internet Directory (OID) Agent zarządzający zbudowany w oparciu o technologie Extensible MA Pozwala na import \ export danych z\do Oracle Internet Directory Działa w oparciu o zewnętrzne narzędzie i format LDIF Pozwala na synchronizację obiektów użytkowników, kontenerów Uwierzytelnienie w oparciu o Active Directory Użytkownicy i jednostki organizacyjne z AD synchronizowane są do OID jako obiekty inetorgperson i kontenery Przy odwołaniu użytkownika do OID następuje uwierzytelnienie w Active Directory (LDAP bind)
MIIS 2003 Oracle Internet Directory (OID)
MIIS 2003 i Oracle Najczęstsze problemy Zbudowanie jednoznacznego widoku danych po stronie bazy danych Oracle W szczególności zbudowanie widoku różnicowego Działania na styku baza danych Oracle \ sterownik Oracle OleDB Uwaga: wysokie uprawnienia wymagane Synchronizacja \ ustawienie haseł: Problem: zgodność polityki haseł pomiędzy Oracle i Active Directory Problem: brak znaków specjalnych (większości) w hasłach Oracle
MCS Polska Przykłady rozwiązań
1.Serwer baz danych Oracle jako źródło danych MCS Implementowaliśmy my MIIS do Systemy połączone \ rozszerzenia MIIS Zarządzanie pełnym cyklem życia tożsamości we wszystkich połączonych systemach Założenie konta Założenie skrzynki Generowanie hasła (powiadomienie SMS, e-mail) Zmiany loginów Zarządzanie grupami użytkowników w Active Directory Odwzorowanie grup AD w SUN ONE Zarządzanie certyfikatami użytkowników (RSA) Zarządzanie dostępem do urządzeń sieciowych (Cisco) Zarządzanie dostępem VPN Zarządzanie dostępem z\do Internetu Zarządzanie uprawnieniami w aplikacjach biznesowych (raportowanie, IFS) Synchronizacja haseł pomiędzy systemami Raportowanie zmian (własne rozwiązanie) Zarządzania folderami domowymi użytkowników Powiadomienia użytkowników
Podsumowanie
Podsumowując Dobre rozwiązanie zarządzania tożsamością podnosi bezpieczeństwo, zwiększa produktywność pracowników administratorów Helpdesku Typowy zakres projektu Automatyzacja czynności administracyjnych Tworzenie, Usuwanie, Zarządzanie Kontami Typowo: zarządzania kontami / uprawnieniami
Podsumowując MIIS 2003 Podstawowy produkt IdM z Microsoft Nie wymaga instalacji dodatkowego oprogramowania Wykorzystuje istniejące zasoby Prosty i łatwy we wdrożeniu Wysoko oceniany przez klientów Nie tylko MIIS Integracja z innymi produktami SSO na platformie HIS i Windows 2003 R2 (ADFS) MIIS w polskim oddziale Microsoft Duże doświadczenia we wdrożeniach Wartość dodana: wiele autorskich rozwiązań w zakresie połączeń z systemami i nowej funkcjonalności
Pytania???