Security & Identity Round Table Warszawa, 24 kwietnia 2014 Quest Software, now a part of Dell Bezpieczeństwo i Audyt Systemów Warszawa, 29 maja 2014 1
Zarządzanie rolami i tożsamością jako metoda ochrony przed niepowołanym dostępem Mariusz Przybyła, Konsultant IdM
1. Informacja o firmie Quest Software 2. Identity Manager 3. ActiveRoles Server 4. Zarządzanie przez Role 5. Podsumowanie
O nas Od ponad 10-ciu lat firma Quest Dystrybucja oferuje rozwiązania wspierające zarządzanie IT firmy Dell Software/Quest. Do naszych zadań należy zarówno sprzedaż licencji i odnowy asysty technicznej, jak i zapewnienie wsparcia w zakresie implementacji i wykorzystania oferowanego oprogramowania. Quest Dystrybucja jako jedyna firma w Polsce posiada status Support Providing Partner firmy Dell Software. Zapraszamy na nasz polskojęzyczny portal serwisowy, na którym możecie Państwo zgłosić wszelkie problemy i pytania dotyczące oprogramowani zakupionego w kanale sprzedaży Quest Dystrybucja
Portal serwisowy
Nowa strona www
Obszary produktowe w ofercie Quest Dystrybucja Zarządzanie Środowiskami Microsoft Bezpieczeństwo i Kontrola Dostępu Monitoring Systemów i Aplikacji Zarządzanie Bazami Danych Zarządzanie Stacjami Roboczymi Zarządzanie Wirtualizacją Ochrona Danych
Bezpieczeństwo i kontrola dostępu Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (ESSO/SSO) Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów
Dell One Identity Manager
Rozwiązanie Dell Software Identity Manager (Q1IM\D1IM)
Rozwiązanie Dell Software Identity Manager lider innowacji
Przegląd składników funkcjonalnych Identity Manager Tożsamość (Identities) Moduł do zarządzania profilem tożsamości (dane pracownika). Tworzenie (Provisioning) Moduł tworzenia kont w systemach docelowych (AD, SAP, itp.). Role Systemowe i Biznesowe (System and Business Roles) Moduł importu ról, tworzenia i zarządzanie rolami. Audyt i Zgodność (Audit and Compliance) Audyt, atestacja i zgodność (compliance) tworzenie, zarządzanie, moduł raportowy. Raporty Moduł projektowania raportów oraz dostarczania raportów dla użytkowników końcowych. Projektowania Witryny Webowej (Web Designer) Moduł wspierający proces zarządzania i modyfikowania witryny webowej aplikacji. Sklep IT (IT Shop) Moduł wnioskowania o role, zasoby z pełną obsługą procesów akceptacji i reguł zgodności, z możliwością raportowania.
Tożsamości: cechy Portal samoobsługowy Uwierzytelnianie z wykorzystaniem AD, Sun LDAP oraz innych źródeł danych Szczegółowe możliwości nadawania uprawnień do poszczególnych atrybutów, raportów i obiektów IT za pomocą ról Konsola Administracyjna Wewnętrzny identyfikator (GUID) jest automatycznie tworzony przez Q1IM i jest niezależny od innych atrybutów. Osoba może mieć wiele tożsamości w Q1IM Możliwość przypisania i zarządzania do więcej niż jednej głównej roli w Q1IM Stan użytkownika jest dynamicznie prezentowany aktualny stan zgodności Dell Software
Pozwala Użytkownikom i współpracownikom na inteligentną współpracę Kierownicy mają możliwość sprawdzenia w jednym miejscu jakie uprawnienia posiada pracownik w całej organizacji.
Pozwala Użytkownikom i współpracownikom na inteligentną współpracę Pokazujemy w jaki sposób użytkownik nabył swoje uprawnienia
Quest One Identity Manager Tworzenie(Provisioning): Cechy Konfiguracja Pełne wsparcie dla RBAC Graficzny edytor procesów nie wymagający programowania z ponad 1ooo gotowych procesów Wbudowana obsługa badania zgodności, certyfikacji i raportowania Manual, automatic and triggered provisioning Procesy (Workflow) Równoległe, szeregowe i grupowe procesy akceptacji Delegowania i eskalowanie procesów Realizacja Procesów Pełne wsparcie tworzenia kont w większości systemów (AD, LDAP, itp.) i Web Service Moduł powiadamiania Możliwość integracji z systemami SRM dla biletów wewnętrznych i zewnętrznych Dell Software
Graficzne projektowanie procesów (workflow) Tworzenie Procesu jest w pełni graficzne i niezależnie od złożoności przepływu pracy. Przepływy pracy mogą się rozgałęziać, wywoływać inne procesy, wywoływać tworzenie zadań w połączonych systemach, ponownie pytać o dane użytkownika i wiele innych. Wszystko co dzieje się w systemie może być regulowane przez przepływ pracy.
Quest One Identity Manager Role: Cechy Zarządzanie rolami Q1IM jest zaprojektowany od podstaw pod kątem obsługi ról obsługa ról nie jest dodatkiem do Q1IM Przypisywanie hierarchii ról Weryfikowanie przydzielania ról zgodnie z regułami Możliwość oceny wpływu przydzielenia roli przed przypisaniem roli (Time Trace) Dynamiczne przypisywanie roli pracownikom Dynamiczne aktualizowanie uprawnień po aktualizacji roli Archiwizacja zdarzeń certyfikacji i atestacji dla każdej roli Role mogą być przypisane do osoby (person) lub tożsamości (identity) Wykrywanie ról Wykrywanie istniejących ról w organizacji na podstawie analizy danych w różnych systemach IT analizowane są atrybuty użytkownika, członkowstwo w grupach i dane wynikające ze struktury organizacyjnej. Możliwość budowanie hierarchii ról bottom-up oraz top-down Możliwość zasilenia bazy Q1IM nowymi zestawami ról (utworzonymi automatycznie i po analizie danych) Dell Software
Quest One Identity Manager Audyt i Zgodność: Cechy Tablica Informacyjna Zgodność (Compliance) Wizualizacja statusów reguł zgodności: wykresy, diagramy, dane Znacznik zgodności dla każdego pracownika Pełna integracja procesów ze sprawdzaniem reguł zgodności Weryfikacja względem reguł zgodności może być wykonana dla osoby i tożsamości Cykl życia roli jest zintegrowany z procesem weryfikowania zgodności Tworzenie i dostarczanie raportów zgodności Raporty dla audytorów Pełna integracja funkcji weryfikowania zgodności i audytu z procesami tworzenia kont (provisioning) Możliwe audytowanie osób (persona) jak i tożsamości w Q1IM Tworzenie harmonogramów audytów Tworzenie i dostarczanie raportów audytowych Dell Software
Pozwala Użytkownikom i współpracownikom na inteligentną współpracę Kierownicy mogą w łatwy sposób odnaleźć ogólny i szczegółowy status wniosków i procesów w systemie.
Quest One Identity Manager Raporty: Cechy Projektant raportów (Report Designer) Budowane nowych, nietypowych raportów z każdego zbioru danych obecnych w Systemie Modyfikacja istniejących raportów zgodnie z wymaganiami klienta Tworzenie raportów według harmonogramu Wsparcie dla mechanizmu zarządzania uprawnieniami dla raportów w zależności od uprawnień pracownika w Systemie ten sam raport może prezentować inny zestaw danych Podgląd raportów (Report Viewer) Pełna wizualizacja raportu nie ma potrzeby korzystania z rozwiązań firm trzecich Wszystkie raporty dają możliwość rozwijania szczegółów. Ręczne uruchamianie raportów Publikowanie raportów (Report Publisher) Dostarczanie raportów za pomocą poczty elektronicznej do odbiorców Możliwość eksportu raportów do innych formatów. Dell Software
Quest One Identity Manager Web Designer: Cechy Edytor aplikacji Webowej (Web Editor) W pełni skalowalny edytor aplikacji webowej: edycja menu, ramek, wyglądu interfejsu, wsparcie dla widgetów i skryptów klienta. Integralna część rozwiązania Q1IM nie jest dodatkiem Konfigurator aplikacji Webowej (Web Configurator) Wspiera dodawanie własnych formularzy, alertów i łączy. Wspiera modyfikowanie interfejsu użytkownika zgodnie z rolami przypisanymi pracownikowi Integracja z modułem do tworzenia kont (provisioning) pozwala na używanie własnych formularzy w trakcie realizacji przepływów pracy (workflows) Integralna część rozwiązania Q1IM nie jest dodatkiem Publikacja aplikacji Webowej (Web Publisher) Publikuje gotowe strony na serwerze WWW. Dell Software
Quest One Identity Manager Sklep IT: Cechy Portal samoobsługowy Weryfikacja składanego zamówienia względem reguł zgodności Sprawdzanie reguł zgodności w trakcie akceptacji Użytkownicy mogą składać wnioski tylko o te zasoby, do których mają uprawnienia. Historia złożonych wniosków i monitorowanie procesów Kierownicy mogą wnioskować o zasoby dla podwładnych Konsola Administracyjna Zarządzanie katalogiem w oparciu o role Integracja procesów wnioskowania z procesami akceptacji Katalogowa struktura produktów (catalog-> category->subcategory->product) Dell Software
Architektura Dane Profilu Użytkownika kontra Dane Konfiguracji Dell Software
Architektura fizyczna (przykład) Dell Software
Porównanie IM, IM ADE, IM DGE IM: pełne zarządzanie tożsamością w skali całego przedsiębiorstwa (provisioning, raporty, reguły, atestacja, samoobsługa) IM ADE: zarządzanie grupami AD, atestacja, raporty, wszystko poprzez portal webowy. IM DGE: pomaga zarządzać dostępem do danych ich właścicielom biznesowym (data owner).
Porównanie IM, IM ADE, IM DGE
Porównanie IM, IM ADE, IM DGE
Porównanie IM, IM ADE, IM DGE 1 Tylko dla Grup Dystrybucyjnych
ActiveRoles Server
Active Directory i bezpieczeństwo Ochrona krytycznych danych i wymuszenie stosowania polityk bezpieczeństwa w celu wyeliminowania nieautoryzowanego dostępu Przyznanie użytkownikom i administratorom niezbędnych uprawnień do realizacji zadań nic ponad to Wiedza co, kiedy i kto dokonał zmiany Redukcja istniejących ograniczeń raportowych, zapewnienie niezbędnego wglądu w dane historyczne
Zarządzanie Active Directory Przezwyciężenie niedoskonałości wbudowanych narzędzi Zwiększenie efektywności i redukcja czynności wrażliwych na błędy Redukcja kosztów operacyjnych Zwiększenie możliwości raportowych
ActiveRoles Server
Bez ActiveRoles Server AD Architect Sr. Admin Exchange Admin OU Admin/ Help Desk Access files shares directories applications distributions lists groups databases network resources Application/ Data Owners
Rozwiązanie: least privilege delegation AD Architect Sr. Administrator Exchange Admins OU Admins / Help Desk User Profile Editor Application / Data Owners Day-to-Day Admin Mailbox Admin Service Desk Create OUs Create Objects Join Computers Create/Remove Mailboxes Move Mailbox Update Addresses Create Users/Groups Create Groups Reset Pwrds, Unlock Accounts User Profile Editor Update personal Information Update Phone # App/Data Owners Access Management Assign Assistants AD / AD LDS Computers Domain Controllers APAC EMEA North America New York Mexico City Cross-platform Applications Databases Directories Platforms
Rozwiązanie: automatyzacja zarządzania kontami Tworzenie Konfiguracja Modyfikacja Audyt i powiadamianie
Rozwiązanie: uproszczenie zarządzania Bezpieczne zarządzanie kontami i grupami Redukcja kosztów poprzez dostarczenie spersonalizowanego narzędzia dla różnych grup użytkowników: administratorzy, service desk, biznes Automatyzacja zarządzania kontami Exchange Tools Uproszczenie zarządzania komputerami Nadawanie dostępu do skrzynek, udostępnionych katalogów, grup i aplikacji jednym kliknięciem.
Rozwiązanie: ActiveRoles Server for the cloud Gotowe konektory do synchronizacji pomiędzy lasami AD, oraz do aplikacji SaaS: Salesforce, Google Apps, Office365, Lync Online, oraz SharePoint Online Delegowanie uprawnień do określonych administratorów do zarządzania wskazaną częścią środowiska i zgodnie z modelem: least privilege Functionality via the Cloud Automatyzacja i zarządzanie kontami w usługach: Exchange i/lub Office365 Dwukierunkowa synchronizacja pomiędzy Active Directory i chmurą
Architektura
HA - Services
HA - WebService
Identity Manager + ActiveRoles Server
Quest One Identity Solution integracja z ARS Integracja z ARS: Tylko natywna funkcjonalność konektora Identity Manager Active Directory. Dodatkowe funkcjonalności Active Directory takie jak: Microsoft Exchange, Office, Communication Services or Active Directory Lightweight Directory Service (AD LDS), nie są wspierane Architektura:
Quest One Identity Solution integracja z ARS Architektura
Zarządzanie dostępem przez Role
Role w D1IM Obsługa ról od 15 lat w D1IM RBAC oficjalnie jako standard ANSI od 2004 Implementacja Ról w D1IM znacznie szersza niż w RBAC Role są wykorzystywane w wielu miejscach Role i uprawnienia to nie to samo
Wykorzystanie Ról w D1IM
Role kontra Uprawnienia
Dziedziczenie Ról
Role jak to działa w D1IM?
Demo
Pytania?
Dziękuję za uwagę Mariusz Przybyła tel: +48 666 89 13 17 e-mail: m.przybyla@quest-pol.com.pl Quest-Dystrybucja Sp. z o.o. Oddział: ul. Nabielaka 6, 00-743 Warszawa Centrala: ul. Podwale 62, 50-010 Wrocław www.quest-pol.com.pl