Tivoli Identity Manager 5.1 novinky a jejich použití v praxi

750 views
663 views

Published on

Tivoli Identity Manager 5.1 novinky a jejich použití v praxi

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
750
On SlideShare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Tivoli Identity Manager 5.1 novinky a jejich použití v praxi

  1. 1. Miloš Hurdálek IBM Tivoli Identity Manager 5.1 Identity Management 26.4.2010 © 2010 AG COM, a.s.
  2. 2. <ul><li>Požadavky </li></ul><ul><li>Model rolí </li></ul><ul><li>Group management </li></ul><ul><li>Separation of duties </li></ul><ul><li>Recertification </li></ul><ul><li>Reporting </li></ul><ul><li>Integrace s dalšími produkty </li></ul><ul><li>Postup nasazení ITIM 5.1 </li></ul>ITIM 5.1 agenda ITIM 5.1 Table 1. Operating system requirements for IBM Tivoli Identity Manager
  3. 3. <ul><li>AIX® Version 5.3 </li></ul><ul><li>AIX Version 6.11 </li></ul><ul><li>Sun Server Solaris 10 (SPARC)2 </li></ul><ul><li>Windows® Server 2003 Standard Edition and Enterprise Edition </li></ul><ul><li>Windows Server 2008 Standard Edition and Enterprise Edition </li></ul><ul><li>Red Hat Linux® Enterprise 4.0 for Intel®, System p® and System z® </li></ul><ul><li>Red Hat Linux Enterprise 5.0 for Intel, System p and System z </li></ul><ul><li>SUSE Linux Enterprise Server 9.0 for Intel, System p and System z </li></ul><ul><li>SUSE Linux Enterprise Server 10.0 for Intel, System p and System z </li></ul><ul><li>SUSE Linux Enterprise Server 11.0 for Intel, System p and System z </li></ul>ITIM 5.1 – požadavky na operační systém ITIM 5.1 Table 1. Operating system requirements for IBM Tivoli Identity Manager
  4. 4. <ul><li>Database Server </li></ul><ul><ul><ul><ul><li>IBM DB2® Enterprise Version 9.1 Fixpack 4 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>DB2 v9.5 Fixpack 3b </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Oracle 10g Release 2 (Version 10.2.0.1) </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Oracle 11g Release 13 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Microsoft® SQL Server 2005, Enterprise Edition2 </li></ul></ul></ul></ul><ul><li>Application Server </li></ul><ul><ul><ul><ul><li>WebSphere Application Server Version 6.1 Fix Pack 23 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>WebSphere Application Server v7.0 Fix Pack 5 </li></ul></ul></ul></ul><ul><li>Directory Server </li></ul><ul><ul><ul><ul><li>IBM Tivoli Directory Server v6. 1 Fixpack 5 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>IBM Tivoli Directory Server v6.2 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Sun Enterprise Directory Server Version 6.3 </li></ul></ul></ul></ul><ul><li>IBM Tivoli Directory Integrator </li></ul><ul><ul><ul><ul><li>IBM Tivoli Directory Integrator v7.0 Fix Pack 1 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>IBM Tivoli Directory Integrator v6.1.1 Fix Pack 3 </li></ul></ul></ul></ul><ul><li>Reporting </li></ul><ul><ul><ul><ul><li>Tivoli Common Reporting Server, Version 1.2.0.1 </li></ul></ul></ul></ul>ITIM 5.1 - middleware ITIM 5.1
  5. 5. <ul><li>Mozilla, Firefox Version 2.0 </li></ul><ul><li>Mozilla, Firefox Version 3.0 </li></ul><ul><li>Mozilla, Firefox Version 3.5 </li></ul><ul><li>Microsoft® Internet Explorer, Version 7.0 </li></ul><ul><li>Microsoft Internet Explorer, Version 8.0 </li></ul>ITIM 5.1 – podporované prohlížeče ITIM 5.1
  6. 6. <ul><li>Umožňuje zachytit vztah rodič/potomek mezi rolemi a aplikovat dědičnost </li></ul><ul><li>Vztah rodič potomek N:N (potomek v íce rodičů, rodič více potomků ) </li></ul><ul><li>Dědičnost mezi rolemi postihuje také workflow a Provisioning Policy </li></ul>Hierarchie rolí ITIM 5.1
  7. 7. <ul><li>PortalBaseAccess – základní přístup do firemního portálu </li></ul><ul><li>PortalAdministrator – správce portálu </li></ul><ul><li>PortalSchedulesManagement – správce časových plánů </li></ul><ul><li>PortalUserAccessManagement – správce uživatelů portálu </li></ul><ul><li>Přidělením role potomka uživatel získává oprávnění definovaná rolí role ro dičovské </li></ul><ul><li>dle standardu RBAC </li></ul>Hierarchie rolí – praktické nasazení ITIM 5.1
  8. 8. <ul><li>Klasifikace rolí </li></ul><ul><li>Umožňuje klasifikovat roli při jejích vytvoření/modifikaci </li></ul><ul><li>Členství v rolích </li></ul><ul><li>Role můžou být členy jiných rolí – tzn. stejně jako je možné do rolí přiřazovat členy je možné do nich přiřazovat jiné role </li></ul>Správa rolí ITIM 5.1
  9. 9. <ul><li>Umožňuje vytvářet, mazat a modifikovat atributy skupin na cílových systémech z prostředí konzole ITIM </li></ul><ul><li>Podporované systémy </li></ul><ul><ul><li>LDAP, Active Directory, Unix (AIX, HP-UX, Solaris) and Linux (RHEL and SuSE) </li></ul></ul><ul><ul><li>Další platformy v blízké budoucnosti </li></ul></ul>Group management ITIM 5.1
  10. 10. <ul><li>Preven tivní definice Separation of Duties </li></ul><ul><ul><li>Vytvoření /modif ikace / vymazání poli tik, které zakazují uživateli členství ve více rolích </li></ul></ul><ul><ul><ul><li>Bezpečnostní pravidlo 1 – administrátor aplikace nemůže být zároveň administrátorem systému, který aplikaci hostuje (pot é by mohl provést útok a zemést po sobě stopy v podobě logů či auditních dat ) </li></ul></ul></ul><ul><ul><ul><li>Bezpečnostní pravidlo 2 – nechceme aby osobní bankéř byl zároveň schvalovatelem přidělení úvěrů v bance </li></ul></ul></ul><ul><li>Schvalování výjimek </li></ul><ul><ul><li>ITIM po přidělení rolí vyhodnotí SoD policies </li></ul></ul><ul><ul><li>Při porušení SoD je spuštěno workflow, které umožní schválit výjimku oproti definované SoD </li></ul></ul><ul><ul><ul><li>Design w orkflow může být customizován dle SoD policies / aplikací atd. </li></ul></ul></ul>Separation of Duties ITIM 5.1
  11. 11. <ul><li>Jedna osoba může provést útok, smazat po sobě logy i auditní data z databáze – tím po sobě dokonale zamést stopy ! </li></ul>Separation of Duties v praxi ITIM 5.1
  12. 12. Separation of Duties v praxi ITIM 5.1 <ul><li>Definovan á pravidla lze vynutit či uživateli ponechat oprávnění v rozporu s SoD, ale je transparentní kdo toto rozhodnutí provedl a je o tom auditní záznam. </li></ul><ul><li>Lze provádět reporting nad výjimkami z definovaných SoD politik pro potřeby auditu. </li></ul>
  13. 13. <ul><li>End user view </li></ul><ul><ul><li>R ecertifi kace přídělení rol í , účtů and a skupin najednou </li></ul></ul><ul><ul><li>Manager (nad řízený ) může provést schválení/zamítnutí uživatelských přístupů najednou </li></ul></ul><ul><li>Administrative view </li></ul><ul><ul><li>Vytvoření politik, které vyžadují recertifikaci všech oprávnění dané osoby či jen určitých částí </li></ul></ul>User Recertification ITIM 5.1
  14. 14. <ul><li>Omezený počet licencí </li></ul><ul><ul><li>R ecertifi kace všech účtů v aplikaci </li></ul></ul><ul><ul><li>Schválení/zamítnutí účtů může provést správce aplikace </li></ul></ul><ul><li>Přístupy do kritické aplikace </li></ul><ul><ul><li>Chceme detailněji kontrolovat přístupy do kritických aplikací společnosti </li></ul></ul><ul><ul><li>Potřebuje ještě uživatel roli s vysokým oprávněním do této aplikace? </li></ul></ul>User Recertification v praxi ITIM 5.1
  15. 15. <ul><li>Separation of Duty Policy Master Report </li></ul><ul><ul><li>Přehled všech SoD politik definovaných v systému </li></ul></ul><ul><ul><li>Detail organizační jednotky , status u (enabled/disabled) popis politiky </li></ul></ul><ul><li>Separation of Duty Policy Detail Definition Report </li></ul><ul><ul><li>Report jednotlivých SoD poli tik </li></ul></ul><ul><ul><li>Detail organizační jednotky , status u , popis politiky , vlastník, pravidla a asociované role </li></ul></ul><ul><li>User Recertification Master Definition Report </li></ul><ul><ul><li>Přehled všech politik pro recertifikaci uživatelů </li></ul></ul><ul><ul><li>Detail jména politiky , popis , stav politiky a organizační jednotka </li></ul></ul><ul><li>User Recertification Policy Detail Definition Report </li></ul><ul><ul><li>Detail jména politiky, popis, stav politiky, organizační jednotka a informace o politice ( aplikace na role, účty, skupiny, akce, je-li recertifikace odmítnuta nebo vyprší, detaily o načasování, atd… ) </li></ul></ul><ul><li>User Recertification History Report </li></ul><ul><ul><li>Přehled zobrazující historii recertifikace uživatelů, rolí, účtů a skupin </li></ul></ul>Reporting ITIM 5.1
  16. 16. <ul><li>Separation of Duty Policy Violation Report </li></ul><ul><ul><li>Report nad nesoulady z SoD policy </li></ul></ul><ul><ul><li>V případě schválené výjimky je uveden schvalovatel a čas kdy provedl schválení </li></ul></ul>Reporting – využití v praxi ITIM 5.1
  17. 17. <ul><li>User Recertification History Report </li></ul><ul><ul><li>Historie recertifikací uživatelů včetně detailů </li></ul></ul>Reporting – využití v praxi ITIM 5.1
  18. 18. ITIM a Desktop Password Reset Assistant ITIM 5.1 <ul><li>Umožňuje změnu hesel účtů dříve než dojde k přihlášení do Windows </li></ul>
  19. 19. ITIM a ITAM E-SSO ITIM 5.1 <ul><li>ITAM E-SSO je produkt zajišťující enterprise single sign-on do podnikových aplikací – SAP, Mainframe, Databáze, Unix/Linux, atd. </li></ul><ul><li>Integrací s ITIM získáme automatizované SSO do spravovaných systémů </li></ul>
  20. 20. ITIM a ITAM E-SSO + DPRA ITIM 5.1 <ul><li>Kombinací ITAM E-SSO a DPRA lze docílit toho, že bez přihlášení do Windows si může uživatel změnit hesla do aplikací a ty se automaticky uloží i do SSO peněženky a po přihlášení bude SSO fungovat automaticky již s novýmy hesly do aplikací </li></ul>
  21. 21. ITIM a SAP ITIM 5.1 <ul><li>SAP je zdrojem personálních dat, tyto jsou pomocí ITDI načteny do ITIM </li></ul><ul><li>SAP je zároveň spravovaným systémem z ITIM řízeným rolemi a workflow </li></ul>
  22. 22. ITIM a IBM System z (Mainframe) ITIM 5.1 <ul><li>Nativní IBM Adapter </li></ul><ul><li>Adapter je instalován přímo na System z </li></ul><ul><li>S ITIM komunikuje pomocí standartního DAML protokolu přes SSL </li></ul><ul><li>Adapter jsou procesy obstarávající jednotlivé operace – add / delete / modify / rekonciliace </li></ul>
  23. 23. ITIM a IBM System z (Mainframe) ITIM 5.1 RACF - Resource Access Control Facility
  24. 24. <ul><li>TIM 5.1 Universal Provisioning (UPA) Adapter – operace nad účty bude provádět odpovědná osoba / skupina osob na základě mailových notifikací </li></ul><ul><li>Manual services – novinka ITIM 5.x – podobné jako UPA, ale lépe nastavitelné řešení </li></ul><ul><li>ITDI Custom Adapter - Integrace s vlastní aplikací na mainframe pomocí API, LDAP, SQL, WebServices, ftp, atd. </li></ul><ul><li>Kombinace předchozích – např. operace add / modify / delete manuálně, ale rekonciliaci automaticky z exportovaného csv souboru atd. </li></ul>ITIM a Mainframe syst émy obecněji ITIM 5.1
  25. 25. ITIM 5.1 – postup migrace ITIM 5.1
  26. 26. [email_address]

×