Identitetshantering i praktiken Michael Öhman, Atea Robin Crohns, Novell

Presentationsavsnitt Tid (min) Ämne 2 Varför IDM? 7 Vad är IDM idag? 12 Scenario (i dagens okontrollerade miljö) 17 Scenario (i en kontrollerad miljö) 22 Visa gränssnittet (Hur ser det ut som slutanvändare? Begära en ny app, begära rättighet till en katalog, etc) 32 Erbjudande (Boka en behovsanalys inom 30dgr så bjuder vi på denna) ev. Referens 38 Frågor 40 Avslut 2

Agenda Identitetshantering idag Demo Erfarenheter Frågor Vi har delat upp presentationen i några olika delar där vi i mitten kommer att visa en demonstration av olika scenarios som är vanliga i organisationer. Bryt gärna av med frågor. 3

Identitetshantering Identitetshantering (Identity Management) är benämningen på de processer och system som används för att skapa och underhålla de digitala identiteter som vi har. Alla företag och organisationer som har anställda, eller tillhandahåller tjänster till människor, behöver ha aktuell och överensstämmande identitetsdata. Identitetsdata innehåller uppgifter om personen, vilka behörigheter personen har, vilka system som personen har rättigheter till och lösenord m.m. Att ha en strategi & policy för hur man hanterar detta sparar både pengar, ger bättre service, och ger på sikt även en säkrare miljö. Den här bilden är tänkt att visa att man redan idag har identitetshantering, men att det då är helt manuella rutiner man nyttjar. Ordet ”Identity Management” är ingen produkt utan en process som ni alla har redan. Det vi pratar om i fortsättningen är hur man kan automatisera den processen. Man kan också nämna att när vi kör inledande workshops (Workshop=där vi samlar in flera olika roller/personer från kunden. En WS ger en rapport över hur man kommer igång och vart man ska börja.) så är det ofta så att man inte har kontrollen på hela flödet. Ofta vet man tex att man läggs upp i ett system och sedan så kommer ett mail till e-postadministratören som lägger upp sin del i kedjan, etc... 4 4

Verkligheten Lång kö för nyupplägg av användarkonton. Användare får nya rättigheter i större utsträckning än de fråntas dem. Kan nämna att fundera på hur lång tid det tar innan en nyanställd börjat tills dess att denne fått behörighet till alla de system som denne ska ha tillgång till. Hur ofta är det tex så att IT-får vetskap om att en nyanställd börjar i tillräckligt god tid? Vänd på det hela...hur lång tid tar det innan en användare tas bort ur ALLA system när denne slutar? Fundera på vad som är bäst...Att skriva ned sina lösenord och förvara “papperet” på ett säkert ställe eller att ha samma lösnedord i alla system? Kostnaden för lösenordshantering är ofta dold i tex ett helpdeskssytem och bakas ihop med allt annat. Tänk på att en användare ofta stör sin kollega i rummet bredvid när det strular med lösenorden. FFIEC-artikel: http://www.ffiec.gov/ffiecinfobase/resources/info_sec/2006/ots- ceo-ltr-228.pdf En stor del av alla användare återanvänder gamla lösenord och många skriver också ned dom. En stor del av en helpdesk tid går åt till att hantera användarnas lösenord 5

Tillämpning av IT-policy Förverkliga din IT-policy Hantering och kontroll av IT-policy och regler Förebyggande IT-Policy IT revision Roller, konton, grupper, rättigheter Kontroll och rapportering Roller Rättigheter Konton Linjechef (icke-IT) IT revision (icke-IT) Kontroll Rapportering Larm och incidenter Novell är en av de ledande leverantörerna av vad analytikerna kallar ett komplett erbjudande för identiets-, access- och audithantering. Novell har produkter som fokuserar på förebyggande säkerhet i form av policy och rollhantering med Identity Manager och uppföljande säkerhet med Sentinel för “Compliance Management”. Båda delarna minimerar risk i det dagliga säkerhetsarbetet, men även som verktyg för att minimera kostnader, öka kvalitet och kontroll i samband med revisionsarbete. Genom att täcka in det dagliga säkerhetsarbetet och revisionsarbetet, så tillhandahåller Novell stöd för såväl IT-avdelningar med fokus på säkerhet samt de ledande befattningarna i en organisation, som måste bevisa att organisationen har kontroll på användare, konton och behörigheter eller är “Compliant”. Tillämpning av IT-policy Åtkomstkontroll Resurshantering Identitetshantering Uppföljning Hantering av åtkomstregler Hantering av klienter, servrar och mobila enheter Användare & lösenord Applikationer system och identiteter Systemägare Systemägare Systemägare Systemägare 6

Livscykelhantering av identiteter Hör kan väl ni lägga in några bilder som beskriver vad IDM är idag… Identitetssynk Åtkomstkontroll Etc… Att ha kontroll på sina användare kan väl inte vara så svårt? För de flesta organisationer är det svårt om man tänker på allt som inträffar på resan från att man börjar tills dess att man av någon anledning slutar i organisationen. Medarbetare får under sin livstid som användare: - Nya roller - Byter ort - Ingår i projekt - Glömmer bort sina lösenord eller lösenordet går ut under semestern Allt detta och mycket därtill skall hanteras konsekvent och säkert under hela livcykeln för en användare. Vanligt förekommande, eller nästan en regel är, att användare får mer behörigheter än de borde ha för den aktuella roll de idag har. Detta sker pga att det inte finns ett gemensama policys och saknad av integration mellan de system som hanterar anställningstider, konton och behörigheter. Med Identity Manager kan man snabbt och enkelt skapa en lösning med gemensam policy som spänner över många system och hanterar alla händelser som inträffar under en användares livscykel. 7

E-post: kolsson@damork.com En komplett identitet En identitet Namn: Kurt Olsson Födelsedag: 27 – July - 1948 Policies distribueras och implementeras. En enda identitet… för anställda, kunder, samarbetspartners, etc Lönenivå: Nivå 22 E-post: kolsson@damork.com Tel: 477 4722 Egenskaper: Policy Rules Self-service portal Use this slide to illustrate a few basic concepts of identity integration, and explore how they apply to the client’s situation. Different groups within an enterprise manage different types of identities, or different parts of identities. What types of identities does your client need to manage? Customers, employees, contractors, temporary workers, partners, citizens, students? What groups manage these identities? A piece of information about a person may reside in several systems, but one system should be treated as the authoritative source. Otherwise you get inconsistent data and you don’t know which version is right. In this example, the HR system is the authoritative source for the person’s name and date of birth, while the Notes system is the authoritative source for the email address. You can map information from these authoritative sources into a single, complete, consistent picture. That is, you can create a complete view of the person from all the partial departmental views. Do you have well-defined policies and rules for managing identities throughout their lifecycle? For how and when they get created, updated, synchronized across systems, terminated? Identiteten byggs bla av deltagandet i olika säkerhetsgrupper Web Grupp-rogram HR Ekonomi

Novell Identity Manager Från att man förr pratade om verktyg som synkroniserade identitetsinformation, så har hela området identitetshantering expanderat där leverantörer erbjuder lösningar utöver endast synkroniseringsdelen. Novell levererar idag tillsammans med Idenity Manager med en användarportal med funktionalitet som täcker det mesta under en användares livscykel. Det vi här pratar om är: - Självadministration och delegerad administration - Lösenordshantering - Sökning - Workflow En portal för administration av identiteter i kombination med en metakatalog för synkronisering mot olika målsystem gör att man relativt snabbt kan implementera en lösning för att: - Minska kostnader - Minimera risk OCH komplexitet som man idag har med olika regler och policys för olika system 9

Demo Se separata demomanusdokument. 10

ATEA’s rekommendationer Namnstandard Status befintlig standard Täcker den alla krav Omsättas i regelverk Namnkonfliktshantering Ej utrymme för ”subjektiva” undantag Definiera flödet Kvalitet på data Är befintlig data korrekt och tillräcklig Policies Deprovisioning -> borttag/flytt av konton? Lösenordskomplexitet? Skyddade identiteter? Etc Fördela budget Involvera systemägare/förvaltare tidigt Begränsa omfattningen Börja ”rätt” ”Räckvidden” på inmatade uppgifter ökas Atea har samlat sina erfarenheter från projekt så att vi kan återanvända dessa vid nästkommande tillfälle. Man ska inte göra samma misstag flera gånger. Här är några delar som finns dokumenterade i vårt “erfarenhetsbank”. Fördela budgeten så att inte all kost hamnar på IT. Det är hela organisationen som drar nytta av lösningen. 11 11

Atea – Införandestrategi Behovs-analys Workshop Ateas rekommenda-tioner Atea – Införandestrategi Delbeslut Beslut Delmål Visning Workshop med konsult Ev. Förstudie Projektering Genomförande- process -Gå igenom önskad funktion -Inventering befintliga system och flöden -Skiss på automatiserade flöden -Grov övergripande design -Workshop rapport -Budget offert -För beslutsunderlag -Utredning av effektivitets- & kvalitetsvinster -Inventering av system -Förstudierapport -Analys av databas(er) -Definiera regler för administrationsflöden -Definiera ansvar -Rapport -Offert 12

Samarbete med andra delar av organisationen Ateas erfarenheter Målbild Strategiska beslut Etappindelat Samarbete med andra delar av organisationen Förankring ”Godis” 13

Frågor 14

michael.ohman@atea.com (0709-177307) robin.crohns@novell.com Tack för Er tid! michael.ohman@atea.com (0709-177307) robin.crohns@novell.com