1 / 47

Identitet och åtkomsthantering (IAM) Fundamentet för molnet

Identity Management. Identitet och åtkomsthantering (IAM) Fundamentet för molnet. Vad är en Identitet ?. “En i dentitet är ett antal påståenden som en part gör om en annan part i samband med en etablerad relation”. Användarnamn : Lösenrod :. Pass. Engångslösenord (OTP).

julianna
Télécharger la présentation

Identitet och åtkomsthantering (IAM) Fundamentet för molnet

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Identity Management Identitetochåtkomsthantering (IAM) Fundamentet för molnet

  2. Vadär en Identitet? “En identitetärettantalpåståendensom en part görom en annan part i samband med en etablerad relation” Användarnamn:Lösenrod: Pass Engångslösenord (OTP) Badge Smarta kort Biometri Namn | Adress | Telefon | Mobil | Fax | Byggnad | Rum #

  3. Evolutionenavidentiteter “Client/Server eranstartade en tillväxtaavdigitala Identitetersomfortsätter med molnet” Antal Identiteter Web SSO Stark Autentisering Molnet Enterprise SSO Mobilitet Ett ID ochlösenord Federering Internet PKI Client Server Identitetshantering Mainframe Pre-1980 1980 1990 2000

  4. Evolutionenavanvändare Definitionenav en användareharförändrats sedan 80-talet och detharävenantaletochkomplexitetenkringdigitalaidentiteter Antal Identiteter Mobilaanvändare WebSSO Molnet Mobilitet Leverantörer Partners Kunder Medborgare Off Shoring Entreprenörer Konsulter Outsourcing Anställd Pre-1980 1980 1990 2000

  5. Evolutionenav IT funktionerochtjänster Internt Externt Tidigare Idag Framtiden De traditionellagränsernaför en organisationförändrasnär IT funktionerochtjänsterintelängrebegränsasav de traditionellamodellerna

  6. Huvudvärkföranvändaren HanteraIdentiteter Växande antal identiter med olika användarid och lösenord eller hantera olika autentiserings tokens Glömda lösenord Åtkomst till tjänster Beställaåtkomstoftakrångligt När beställt dålig insikt i statusen Olika processer för olika system och applikationer Tar för lång tid Arbeta i molnet Åtkomst till tjänster i molntjänster ställer krav på att kunna hantera nya relationer med externa tjänsteleverantörer Ofta baseras relationen med tredje part på email och begränsat till att lita på en emailadress

  7. KonsolideraIdentiteten Fysisk Säkerhet Engångslösenord (OTP) Nätverks Säkerhet ID ochlösen Applikations Säkerhet Smartakort Dokument Säkerhet Certifikat

  8. Värdeanalys Identitetshantering Värdeanalys Return on Investment (ROI) Monetäravärden Direkta Monetära Värden Indirekta Monetära Värden Sponsorskap & kommunikation IckeMonetäraVärden Mätbaramål Värdebaserattillvägagångssätt En analysavvärdetav en IDM lösningskaparsponsorskap, definerarmätbaramålochprioriteraraktivititeter

  9. Varför en Microsoft baserad IAM lösning? Microsoft erbjuder en integreradlösningsomärfokuseradpåverksamhetsnytta Nyttja befintliga investeringar i viktig infrastruktur som Active Directory En smidigare och mer kapabel infrastruktur som kan leverera värde snabbare än konkurrenterna Stort nätverk av partners som kan utöka värdet och möjligheterna Lättare att få tag på kompetens och kort inlärningskurva Fokus flyttas från infrastruktur/teknik till att lösa verksamhetens behov

  10. En komplett IAM lösning Verksamhetsanpassad Identitetshantering Ease of DoingBusiness Förbättrade Processer Effektiv“Compliance” Koppla samman med molnet Säkerhet ExternaSystem &Appar Externa Användare Användare Roller System & Appar Internaochexterna användare... internaoch externatjänster.. med verksamhets- funktioneroch roller.... tilldelas åtkomst till.... Microsoft och Partners Identitetslösningar Single Sign-0n IAM Processer Compliance Reporting Enterprise Roles Universal Badge Självbetjäning Federering User Access Revalidation Public Key Smart Card hantering

  11. Lifespan of a User / IdentityConstant change HR | Procurement | Business Units | IT | Legal Termination of Employment Participation in a Team Expansion of Roles New Hire Contracts End Change Jobs Summer Interns Employment Changeat Third Party Professional Services Contract Promotions StaffingContract Change inRelationships Change in Partnership New Business Relationship OfficeClosure New Services EmploymentChange at Service Provider ChangingLocations New Customer Anställning Nya relationer Åtkomst till tjänster för att kunna utföra arbete Avslut/Terminering

  12. Integrerade Processer Access Request &Approval Processes Integration BusinessRelationshipProcesses Human Resource Processes Workflow Security &ComplianceProcesses Procurement Processes Provisioning Processes Identitetshanteringhandlar i slutändanomverksamhetsprocesser

  13. Integrating Provisioning Integration Access Request andApproval Processes Procurement Processes Human Resource Processes Security andCompliance Processes Workflow Business RelationshipProcesses Provisioning Processes Identity Process Management Capability Integrated Provisioning Identity Stores Content Stores Enterprise Apps Web Apps SaaS/Cloud Services Managed Systems and Directories

  14. Evolution of Identity Manager(Zoomit, MMS, MIIS, ILM, FIM) Common Platform Workflow Connectors Logging Web Service API Synchronization Group Management User Management Credential Management Policy Management Office Integration for Self-Service Password synch / reset Codeless Provisioning Group & DL Management Workflow and Policy Identity Synchronization User Provisioning Certificate and Smartcard Management

  15. Identitetshantering Roller System ochApplikationer Personer Roller används Föratttilldela åtkomst till system och applikationer Externa Personer Externa System och Applikationer Personerhar Roller med verksamhets- funktioner IAM Tjänster Process för Extern Åtkomst Process förExtern Provisionering Federeringstjänst IAM tjänsternatillhandahållerfunktionersomanvändsavverksamhetenförattbeställa,spåra, hanteraochvaliderabehörigheter till rätt roller och system Identitetsystemet måste kunna utökas för att effektiv stöda molntjänster

  16. Identity Management tasks

  17. GivenName Samantha sn Dearing title Coordinator mail someone@example.com employeeID 007 telephone 555-0129 givenName sn title mail employeeID telephone Identity Synchronization and ConsistencyIdentity synchronization across multiple directories Attribute Ownership HR System FIM Samantha givenName Samantha sn Dearing Dearing title FirstName LastName EmployeeID mail employeeID 007 007 telephone SQL Server DB givenName Samantha sn Darling title Coordinator Coordinator Title mail employeeID 007 telephone Identity Data Aggregation Active Directory/ Exchange givenName Sam sn Dearing title Intern E-Mail mail someone@example.com • someone@example.com employeeID 007 telephone LDAP givenName Sammy sn Dearling title Telephone mail employeeID 007 555-0129 telephone 555-0129

  18. Identity Synchronization and ConsistencyIdentity consistency across multiple directories Attribute Ownership HR System FIM givenName Samantha sn Dearing title FirstName LastName EmployeeID mail employeeID 007 telephone givenName Samantha Samantha Samantha Bob sn Dearing Dearing Dearing title Coordinator Coordinator Coordinator Coordinator SQL Server DB givenName Samantha mail someone@example.com someone@example.com someone@example.com someone@example.com sn Darling employeeID 007 title Coordinator telephone 555-0129 555-0129 555-0129 555-0129 Title mail Incorrect or Missing Information employeeID 007 telephone Identity Data Brokering (Convergence) Active Directory / Exchange givenName Sam sn Dearing title Intern E-Mail mail someone@example.com employeeID 007 telephone LDAP givenName Sammy sn Dearling title Telephone mail employeeID 007 telephone 555-0129

  19. Connecting to systems

  20. Synchronisation Rules

  21. Connecting and attribute flow

  22. Example of management agents Microsoft Active Directory, AD LDS Microsoft Exchange Microsoft SQL Server SAP IBM DB2, RACF, Tivoli Directory Server, Notes CA ACF2, Top secret Oracle Novell eDirectory Sun Directory Server LDAP, DSML, XML, CSV Extensible Management Agent (SOA, Web services) Many ISV Partner Managemente Agents Open Source Management Agents

  23. Forefront Identity ManagerPortal Overview

  24. Creating Users

  25. User Self Service

  26. User Self Service Users by default can perform self service on themselves, create groups (that expire after a period of time), and view the white pages

  27. Group Management

  28. Group Membership Types

  29. Who can get in to the group?

  30. Filter Builder for Groups

  31. Workflow example

  32. End User Experience - Portal

  33. Joining a Group via Outlook

  34. Password Reset – User Interface

  35. QA Gate

  36. Reset Password

  37. Self-Service Password Management Simplify security, manage compliance • Enables users to reset their own passwords through both Windows logon and FIM password reset portal • Controls helpdesk costs by enabling end users to manage certain parts of their own identities • Improves security and compliance with minimal errors while managing multiple identities and passwords ActiveDirectory User requests password reset Oracle • FIM Server Passwords updated SQLServer IBM DS • End User LDAP Reset Password • FIM capabilities integrated with Windows logon • Randomly selects a number of questions

  38. Verksamhetsanpassad Identitetshantering Koppla samman med Molnet

  39. Problem Statement • Autentisering (AuthN) • VerifieraanvändarensIdentitet • AnvändarID “Vemär du?” • Lösenord  “Bevisaatt du är den du påstår dig vara” • Auktorisation (AuthZ) • Beslutavilkafunktionersomskallvaratillgängligaföranvändaren • Användarprofil “Vilken sorts användareär du?”(e.g. gruppmedlemskap, roll)

  40. Problem statement • För att en applikation skall kunna utföra en AuthN och AuthZ behövs följande • AnvändarID • Lösenord • Profil (gruppmedlemskap, AD attribut…) … vartlagrasdessa??

  41. AuthN & AuthZ for @molnet • TvåmöjligheterförattlagraanvändarID, lösenordochprofil • I molnet • Copy AuthN/AuthZ info from on-premise stores to a repository in the cloud using Forefront Identity Manager • BPOS apps will query the repository in the cloud for AuthN/AuthZ info when users log on • “On premise” – “Private Cloud/Onsite” • Spara data @onsite • SkickaAuthN/AuthZ info för en specifikanvändare till applikationenendastnäranvändarenloggarpå (ADFSv2/Federation)

  42. Val 1: AuthN/AuthZ data i molnet User1, Seller User2, HR Mngr User3, HelpDesk OP User4, Finance Cntr User1, Seller User2, HR Mngr User3, HelpDesk OP User4, Finance Cntr User1, Seller User2, HR Mngr User3, HelpDesk OP User4, Finance Cntr “On-Premise” Moln Kopiaavlokalakontonsparade I m,olnet Lokalakonton BPOS On-premise AD Data synkatvar 3 timme Endast “On-premise”  cloudsynk BPOS Synch Tool BPOS inkluderarettverktyg (ILM/FIM baserat) förattkopieraAuthN/AuthZ info från “on-premise” AD skog till molnet

  43. Val 2: AuthN/AuthN data “on-premise only” User1, Seller User2, HR Mngr User3, HelpDesk OP User4, Finance Cntr Local accounts Federated Trust Relationship (X.509 cert exchanged) BPOS ADFS 2.0 MS FG Token with username and profile On-Premise AD When a user logs on, a token with username and profile info is sent to BPOS app No need to create a copy of on-premise AuthN/AuthZ info The trust relationship allows BPOS applications to delegate to on-premise AD the task of authenticating users No copy of local accounts!! Kräver “federated trust relationship” mellan “on-premise identity store” och Microsoft Federation Gateway

  44. Val 2: Federering/ADFS • Verksamheten • Ability to move seamlessly between applications using a single identity • Collaboration across organizations • IT • No need to manage external accounts • Simplified and flexible claims-based federation • Common authentication controls for building custom applications ON-PREMISES • ACTIVE DIRECTORY • FEDERATION SERVICES WS-* and SAML 2.0 PARTNER • EXTERNAL

  45. Cloud Services Val 2: ADFS / Single Sign On Security Token (e.g., Kerberos Ticket) Corporate User AD FS Exchange SharePoint Web App Claims-Aware Application AD DS • FIM provides the internal data quality to build claims from AD/SQL etc • AD FS creates SAML token • Signs it with company’s private key • Sends it back to the user • Access supplied with the token Partner

  46. Utöka lösningen • Forefront Identity Manager 2010 (datakvalitet, roller, claims) • ADFS 2.0 (Federeringonsite/moln) WebSSO • Unified Access Gateway 2010 (access policies, stöd för andra autentisetingsmekanismer • BankID/eID • SMS tokens • Oath OTP • Certifikat / Smarta kort / USB dongel etc • RSA dosor • etc

  47. Sammanfattning En effektiv intern identitetshantering skapar ett stort värde för organisationen och är fundementet för att på ett säkert och kostnadseffektivt sätt kunna konsumera molnettjänster Identitetshantering handlar i slutändan om verksamhetsprocesser Microsoft och partners erbjuder en komplett och marknadsledande IDM lösning som är kostnadseffektiv “Microsoft's entry into the market is transformational in both the pricing and deployment models”

More Related