Presentation laddar. Vänta.

Presentation laddar. Vänta.

Identitet och åtkomsthantering (IAM) Fundamentet för molnet Identity Management.

Liknande presentationer


En presentation över ämnet: "Identitet och åtkomsthantering (IAM) Fundamentet för molnet Identity Management."— Presentationens avskrift:

1 Identitet och åtkomsthantering (IAM) Fundamentet för molnet Identity Management

2 Engångslösenord (OTP) Vad är en Identitet? “En identitet är ett antal påståenden som en part gör om en annan part i samband med en etablerad relation” Namn | Adress | Telefon | Mobil | Fax | Byggnad | Rum # Smarta kort Användarnamn: Lösenrod: Pass Badge Biometri

3 Evolutionen av identiteter Antal Identiteter Pre Mainframe Ett ID och lösenord Client Server Enterprise SSO Identitetshantering Federering Stark Autentisering Mobilitet Internet Molnet Web SSO PKI “Client/Server eran startade en tillväxta av digitala Identiteter som fortsätter med molnet”

4 Antal Identiteter Pre Evolutionen av användare Anställd Entreprenörer Konsulter Outsourcing Web SSO Leverantörer Partners Kunder Medborgare Mobila användare Mobilitet Off Shoring Definitionen av en användare har förändrats sedan 80-talet och det har även antalet och komplexiteten kring digitala identiteter Molnet

5 TidigareIdagFramtiden Internt Externt Evolutionen av IT funktioner och tjänster De traditionella gränserna för en organisation förändras när IT funktioner och tjänster inte längre begränsas av de traditionella modellerna

6 Hantera Identiteter  Växande antal identiter med olika användarid och lösenord eller hantera olika autentiserings tokens  Glömda lösenord Åtkomst till tjänster  Beställa åtkomst ofta krångligt  När beställt dålig insikt i statusen  Olika processer för olika system och applikationer  Tar för lång tid Arbeta i molnet  Åtkomst till tjänster i molntjänster ställer krav på att kunna hantera nya relationer med externa tjänsteleverantörer  Ofta baseras relationen med tredje part på och begränsat till att lita på en adress Huvudvärk för användaren

7 Konsolidera Identiteten Fysisk Säkerhet Nätverks Säkerhet Applikations Säkerhet Dokument Säkerhet Certifikat Smarta kort ID och lösen Engångslösenord (OTP)

8 Monetära värden Direkta Monetära Värden Indirekta Monetära Värden Värdeanalys Icke Monetära Värden Värdeanalys Identitetshantering Sponsorskap & kommunikation En analys av värdet av en IDM lösning skapar sponsorskap, definerar mätbara mål och prioriterar aktivititeter Return on Investment (ROI) Mätbara mål Värdebaserat tillvägagångssätt

9 Microsoft erbjuder en integrerad lösning som är fokuserad på verksamhetsnytta  Nyttja befintliga investeringar i viktig infrastruktur som Active Directory  En smidigare och mer kapabel infrastruktur som kan leverera värde snabbare än konkurrenterna  Stort nätverk av partners som kan utöka värdet och möjligheterna  Lättare att få tag på kompetens och kort inlärningskurva  Fokus flyttas från infrastruktur/teknik till att lösa verksamhetens behov Varför en Microsoft baserad IAM lösning?

10 Verksamhetsanpassad Identitetshantering En komplett IAM lösning Microsoft och Partners Identitetslösningar SjälvbetjäningSjälvbetjäning AnvändareRollerSystem & Appar Externa Användare ComplianceReportingComplianceReportingIAMProcesserIAMProcesserUniversalBadgeUniversalBadgeEnterpriseRolesEnterpriseRoles Effektiv “Compliance” Externa System & Appar Säkerhet Ease of Doing Business Förbättrade Processer Koppla samman med molnet Interna och externa användare... med verksamhets- funktioner och roller.... tilldelas åtkomst till.... interna och externa tjänster.. Public Key SingleSign-0nSingleSign-0n Smart Card hantering hantering User Access Revalidation RevalidationFedereringFederering

11 Lifespan of a User / Identity Constant change Anställning Nya relationer Åtkomst till tjänster för att kunna utföra arbete Avslut/Terminering HR | Procurement | Business Units | IT | Legal New Hire Summer Interns Professional Services Contract Professional Services Contract Staffing Contract New Business Relationship New Business Relationship New Customer Termination of Employment Termination of Employment Contracts End Employment Change at Third Party Employment Change at Service Provider Employment Change at Service Provider Change in Partnership Change in Partnership Office Closure Change in Relationships New Services Participation in a Team Promotions Expansion of Roles Changing Locations Change Jobs

12 Identitetshantering handlar i slutändan om verksamhetsprocesser Integrerade Processer Human Resource Processes Procurement Processes Provisioning Processes Access Request & Approval Processes Business Relationship Processes Security & Compliance Processes Integration Workflow

13 Integrating Provisioning Managed Systems and Directories Integration Workflow Human Resource Processes Procurement Processes Provisioning Processes Access Request and Approval Processes Business Relationship Processes Security and Compliance Processes Identity Process Management Capability Identity StoresSaaS/CloudEnterprise AppsContent StoresWeb AppsServices Integrated Provisioning

14 Evolution of Identity Manager ( Zoomit, MMS, MIIS, ILM, FIM) Identity Synchronization User Provisioning Certificate and Smartcard Management Office Integration for Self-Service Password synch / reset Codeless Provisioning Group & DL Management Workflow and Policy UserManagement GroupManagement CredentialManagement Common Platform WorkflowConnectorsLogging Web Service API Synchronization PolicyManagement

15 Identitetshantering Identitetsystemet måste kunna utökas för att effektiv stöda molntjänster IAM Tjänster Personer har Roller med verksamhets- funktioner Roller används För att tilldela åtkomst till system och applikationer FedereringstjänstFedereringstjänst IAM tjänsterna tillhandahåller funktioner som används av verksamheten för att beställa, spåra, hantera och validera behörigheter till rätt roller och system Personer Roller System och Applikationer Externa System och Applikationer Externa Personer Process för Extern Åtkomst Åtkomst Provisionering Provisionering

16 Identity Management tasks ProvisioningDeprovisioningSynchronization Self-Service Profile Management Self-Service Group Management Self-Service Password Management Certificate and Smart Card Management

17 HR System FIM LDAP Active Directory/ Exchange SQL Server DB givenName sn title mail employeeID telephone Sammy Dearling 007 givenName sn title mail employeeID telephone givenName sn title mail employeeID telephone Samantha Darling 007 givenName sn title mail employeeID telephone Sam Dearing Intern 007 givenName sn title mail employeeID telephone Samantha Dearing 007 Coordinator Samantha Dearing Coordinator 007 Identity Data Aggregation GivenName sn title mail employeeID telephone Samantha Dearing 007 Coordinator Identity Synchronization and Consistency Identity synchronization across multiple directories Attribute Ownership FirstNameLastNameEmployeeID Title Telephone

18 FirstNameLastNameEmployeeID Title Telephone FIM HR System LDAP Active Directory / Exchange SQL Server DB Identity Data Brokering (Convergence) givenName sn title mail employeeID telephone Sammy Dearling 007 givenName sn title mail employeeID telephone givenName sn title mail employeeID telephone Samantha Darling 007 givenName sn title mail employeeID telephone Sam Dearing Intern 007 givenName sn title mail employeeID telephone Bob Dearing 007 Coordinator Samantha Dearing Coordinator 007 Samantha Dearing Coordinator Coordinator Samantha Dearing Samantha Coordinator Identity Synchronization and Consistency Identity consistency across multiple directories

19 Connecting to systems

20 Synchronisation Rules

21 Connecting and attribute flow

22 Example of management agents  Microsoft Active Directory, AD LDS  Microsoft Exchange  Microsoft SQL Server  SAP  IBM DB2, RACF, Tivoli Directory Server, Notes  CA ACF2, Top secret  Oracle  Novell eDirectory  Sun Directory Server  LDAP, DSML, XML, CSV  Extensible Management Agent (SOA, Web services)  Many ISV Partner Managemente Agents  Open Source Management Agents

23 Forefront Identity Manager Portal Overview

24 Creating Users

25 User Self Service

26  Users by default can perform self service on themselves, create groups (that expire after a period of time), and view the white pages

27 Group Management Purpose: Distribution Security Membership: Manual (Owners adding/removing members or users requesting membership subject to Approval Policy) Manager Criteria-Based Scope: Universal Global Domain Local

28 Group Membership Types

29 Who can get in to the group?

30 Filter Builder for Groups

31 Workflow example

32 End User Experience - Portal

33 Joining a Group via Outlook

34 Password Reset – User Interface

35 QA Gate

36 Reset Password

37 Enables users to reset their own passwords through both Windows logon and FIM password reset portal Controls helpdesk costs by enabling end users to manage certain parts of their own identities Improves security and compliance with minimal errors while managing multiple identities and passwords End User Active Directory Oracle SQL Server IBM DS LDAP User requests password reset FIM Server Passwords updated Self-Service Password Management FIM capabilities integrated with Windows logon Randomly selects a number of questions Reset Password

38 Verksamhetsanpassad Identitetshantering Koppla samman med Molnet

39 Problem Statement  Autentisering (AuthN) – Verifiera användarens Identitet AnvändarID  “Vem är du?” Lösenord  “Bevisa att du är den du påstår dig vara”  Auktorisation (AuthZ) – Besluta vilka funktioner som skall vara tillgängliga för användaren Användarprofil  “Vilken sorts användare är du?”(e.g. grupp medlemskap, roll)

40 Problem statement  För att en applikation skall kunna utföra en AuthN och AuthZ behövs följande – AnvändarID – Lösenord – Profil (grupp medlemskap, AD attribut…) … vart lagras dessa??

41 AuthN & AuthZ  Två möjligheter för att lagra användarID, lösenord och profil – I molnet Copy AuthN/AuthZ info from on-premise stores to a repository in the cloud using Forefront Identity Manager BPOS apps will query the repository in the cloud for AuthN/AuthZ info when users log on – “On premise” – “Private Cloud/Onsite” Spara Skicka AuthN/AuthZ info för en specifik användare till applikationen endast när användaren loggar på (ADFSv2/Federation)

42 Val 1: AuthN/AuthZ data i molnet  BPOS inkluderar ett verktyg (ILM/FIM baserat) för att kopiera AuthN/AuthZ info från “on-premise” AD skog till molnet BPOS User1, Seller User2, HR Mngr User3, HelpDesk OP User4, Finance Cntr BPOS Synch Tool On-premise AD Data synkat var 3 timme Endast “On-premise”  cloud synk “On-Premise”Moln User1, Seller User2, HR Mngr User3, HelpDesk OP User4, Finance Cntr User1, Seller User2, HR Mngr User3, HelpDesk OP User4, Finance Cntr Lokala konton Kopia av lokala konton sparade I m,olnet

43 Val 2: AuthN/AuthN data “on-premise only”  Kräver “federated trust relationship” mellan “on-premise identity store” och Microsoft Federation Gateway On-Premise AD BPOS AD FS 2.0 MS FG Federated Trust Relationship (X.509 cert exchanged) User1, Seller User2, HR Mngr User3, HelpDesk OP User4, Finance Cntr Local accounts The trust relationship allows BPOS applications to delegate to on-premise AD the task of authenticating users No copy of local accounts!! Token with username and profile When a user logs on, a token with username and profile info is sent to BPOS app No need to create a copy of on- premise AuthN/AuthZ info

44 Val 2: Federering/ADFS Verksamheten Ability to move seamlessly between applications using a single identity Collaboration across organizations IT No need to manage external accounts Simplified and flexible claims-based federation Common authentication controls for building custom applications

45 AD DSAD FS Security Token (e.g., Kerberos Ticket) FIM provides the internal data quality to build claims from AD/SQL etc AD FS creates SAML token Signs it with company’s private key Sends it back to the user Access supplied with the token Partner ExchangeSharePointWeb AppClaims-Aware Application Corporate User Val 2: ADFS / Single Sign On CLOUD SERVICE S

46 Utöka lösningen  Forefront Identity Manager 2010 (datakvalitet, roller, claims)  ADFS 2.0 (Federering onsite/moln) WebSSO  Unified Access Gateway 2010 (access policies, stöd för andra autentisetingsmekanismer – BankID/eID – SMS tokens – Oath OTP – Certifikat / Smarta kort / USB dongel etc – RSA dosor – etc

47  En effektiv intern identitetshantering skapar ett stort värde för organisationen och är fundementet för att på ett säkert och kostnadseffektivt sätt kunna konsumera molnettjänster  Identitetshantering handlar i slutändan om verksamhetsprocesser  Microsoft och partners erbjuder en komplett och marknadsledande IDM lösning som är kostnadseffektiv  “Microsoft's entry into the market is transformational in both the pricing and deployment models” Sammanfattning


Ladda ner ppt "Identitet och åtkomsthantering (IAM) Fundamentet för molnet Identity Management."

Liknande presentationer


Google-annonser