Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Miloš Hurdálek IBM Tivoli Identity Manager 5.1 Identity Management   26.4.2010   © 2010 AG COM, a.s.
<ul><li>Požadavky </li></ul><ul><li>Model rolí </li></ul><ul><li>Group management </li></ul><ul><li>Separation of duties <...
<ul><li>AIX® Version 5.3 </li></ul><ul><li>AIX Version 6.11 </li></ul><ul><li>Sun Server Solaris 10 (SPARC)2 </li></ul><ul...
<ul><li>Database Server </li></ul><ul><ul><ul><ul><li>IBM DB2® Enterprise Version 9.1 Fixpack 4 </li></ul></ul></ul></ul><...
<ul><li>Mozilla, Firefox Version 2.0  </li></ul><ul><li>Mozilla, Firefox Version 3.0  </li></ul><ul><li>Mozilla, Firefox V...
<ul><li>Umožňuje zachytit vztah rodič/potomek mezi rolemi a aplikovat dědičnost </li></ul><ul><li>Vztah rodič potomek N:N ...
<ul><li>PortalBaseAccess  – základní přístup do firemního portálu </li></ul><ul><li>PortalAdministrator  – správce portálu...
<ul><li>Klasifikace rolí </li></ul><ul><li>Umožňuje klasifikovat roli při jejích vytvoření/modifikaci </li></ul><ul><li>Čl...
<ul><li>Umožňuje vytvářet, mazat a modifikovat atributy skupin na cílových systémech z prostředí konzole ITIM </li></ul><u...
<ul><li>Preven tivní definice Separation of Duties </li></ul><ul><ul><li>Vytvoření /modif ikace / vymazání  poli tik, kter...
<ul><li>Jedna osoba může provést útok, smazat po sobě logy i auditní data z databáze – tím po sobě dokonale zamést stopy !...
Separation of Duties v praxi ITIM 5.1 <ul><li>Definovan á pravidla lze vynutit či uživateli ponechat oprávnění v rozporu s...
<ul><li>End user view </li></ul><ul><ul><li>R ecertifi kace   přídělení  rol í ,  účtů  and  a skupin   najednou </li></ul...
<ul><li>Omezený počet licencí </li></ul><ul><ul><li>R ecertifi kace   všech účtů v aplikaci  </li></ul></ul><ul><ul><li>Sc...
<ul><li>Separation of Duty Policy Master Report </li></ul><ul><ul><li>Přehled všech SoD  politik definovaných v systému </...
<ul><li>Separation of Duty Policy  Violation  Report </li></ul><ul><ul><li>Report nad nesoulady z SoD policy </li></ul></u...
<ul><li>User Recertification History Report </li></ul><ul><ul><li>Historie recertifikací uživatelů včetně detailů </li></u...
ITIM a Desktop Password Reset Assistant ITIM 5.1 <ul><li>Umožňuje změnu hesel účtů dříve než dojde k přihlášení do Windows...
ITIM a ITAM E-SSO ITIM 5.1 <ul><li>ITAM E-SSO je produkt zajišťující enterprise single sign-on do podnikových aplikací – S...
ITIM a ITAM E-SSO  + DPRA ITIM 5.1 <ul><li>Kombinací ITAM E-SSO a DPRA lze docílit toho, že bez přihlášení do Windows si m...
ITIM a  SAP ITIM 5.1 <ul><li>SAP je zdrojem personálních dat, tyto jsou pomocí ITDI načteny do ITIM </li></ul><ul><li>SAP ...
ITIM a IBM System z  (Mainframe) ITIM 5.1 <ul><li>Nativní IBM Adapter </li></ul><ul><li>Adapter je instalován přímo na Sys...
ITIM a IBM System z  (Mainframe) ITIM 5.1 RACF -  Resource Access Control Facility
<ul><li>TIM 5.1 Universal Provisioning (UPA) Adapter  – operace nad účty bude provádět odpovědná osoba / skupina osob na z...
ITIM 5.1 – postup migrace ITIM 5.1
[email_address]
Upcoming SlideShare
Loading in …5
×

Tivoli Identity Manager 5.1 novinky a jejich použití v praxi

767 views

Published on

Tivoli Identity Manager 5.1 novinky a jejich použití v praxi

  • Be the first to comment

  • Be the first to like this

Tivoli Identity Manager 5.1 novinky a jejich použití v praxi

  1. 1. Miloš Hurdálek IBM Tivoli Identity Manager 5.1 Identity Management 26.4.2010 © 2010 AG COM, a.s.
  2. 2. <ul><li>Požadavky </li></ul><ul><li>Model rolí </li></ul><ul><li>Group management </li></ul><ul><li>Separation of duties </li></ul><ul><li>Recertification </li></ul><ul><li>Reporting </li></ul><ul><li>Integrace s dalšími produkty </li></ul><ul><li>Postup nasazení ITIM 5.1 </li></ul>ITIM 5.1 agenda ITIM 5.1 Table 1. Operating system requirements for IBM Tivoli Identity Manager
  3. 3. <ul><li>AIX® Version 5.3 </li></ul><ul><li>AIX Version 6.11 </li></ul><ul><li>Sun Server Solaris 10 (SPARC)2 </li></ul><ul><li>Windows® Server 2003 Standard Edition and Enterprise Edition </li></ul><ul><li>Windows Server 2008 Standard Edition and Enterprise Edition </li></ul><ul><li>Red Hat Linux® Enterprise 4.0 for Intel®, System p® and System z® </li></ul><ul><li>Red Hat Linux Enterprise 5.0 for Intel, System p and System z </li></ul><ul><li>SUSE Linux Enterprise Server 9.0 for Intel, System p and System z </li></ul><ul><li>SUSE Linux Enterprise Server 10.0 for Intel, System p and System z </li></ul><ul><li>SUSE Linux Enterprise Server 11.0 for Intel, System p and System z </li></ul>ITIM 5.1 – požadavky na operační systém ITIM 5.1 Table 1. Operating system requirements for IBM Tivoli Identity Manager
  4. 4. <ul><li>Database Server </li></ul><ul><ul><ul><ul><li>IBM DB2® Enterprise Version 9.1 Fixpack 4 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>DB2 v9.5 Fixpack 3b </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Oracle 10g Release 2 (Version 10.2.0.1) </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Oracle 11g Release 13 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Microsoft® SQL Server 2005, Enterprise Edition2 </li></ul></ul></ul></ul><ul><li>Application Server </li></ul><ul><ul><ul><ul><li>WebSphere Application Server Version 6.1 Fix Pack 23 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>WebSphere Application Server v7.0 Fix Pack 5 </li></ul></ul></ul></ul><ul><li>Directory Server </li></ul><ul><ul><ul><ul><li>IBM Tivoli Directory Server v6. 1 Fixpack 5 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>IBM Tivoli Directory Server v6.2 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Sun Enterprise Directory Server Version 6.3 </li></ul></ul></ul></ul><ul><li>IBM Tivoli Directory Integrator </li></ul><ul><ul><ul><ul><li>IBM Tivoli Directory Integrator v7.0 Fix Pack 1 </li></ul></ul></ul></ul><ul><ul><ul><ul><li>IBM Tivoli Directory Integrator v6.1.1 Fix Pack 3 </li></ul></ul></ul></ul><ul><li>Reporting </li></ul><ul><ul><ul><ul><li>Tivoli Common Reporting Server, Version 1.2.0.1 </li></ul></ul></ul></ul>ITIM 5.1 - middleware ITIM 5.1
  5. 5. <ul><li>Mozilla, Firefox Version 2.0 </li></ul><ul><li>Mozilla, Firefox Version 3.0 </li></ul><ul><li>Mozilla, Firefox Version 3.5 </li></ul><ul><li>Microsoft® Internet Explorer, Version 7.0 </li></ul><ul><li>Microsoft Internet Explorer, Version 8.0 </li></ul>ITIM 5.1 – podporované prohlížeče ITIM 5.1
  6. 6. <ul><li>Umožňuje zachytit vztah rodič/potomek mezi rolemi a aplikovat dědičnost </li></ul><ul><li>Vztah rodič potomek N:N (potomek v íce rodičů, rodič více potomků ) </li></ul><ul><li>Dědičnost mezi rolemi postihuje také workflow a Provisioning Policy </li></ul>Hierarchie rolí ITIM 5.1
  7. 7. <ul><li>PortalBaseAccess – základní přístup do firemního portálu </li></ul><ul><li>PortalAdministrator – správce portálu </li></ul><ul><li>PortalSchedulesManagement – správce časových plánů </li></ul><ul><li>PortalUserAccessManagement – správce uživatelů portálu </li></ul><ul><li>Přidělením role potomka uživatel získává oprávnění definovaná rolí role ro dičovské </li></ul><ul><li>dle standardu RBAC </li></ul>Hierarchie rolí – praktické nasazení ITIM 5.1
  8. 8. <ul><li>Klasifikace rolí </li></ul><ul><li>Umožňuje klasifikovat roli při jejích vytvoření/modifikaci </li></ul><ul><li>Členství v rolích </li></ul><ul><li>Role můžou být členy jiných rolí – tzn. stejně jako je možné do rolí přiřazovat členy je možné do nich přiřazovat jiné role </li></ul>Správa rolí ITIM 5.1
  9. 9. <ul><li>Umožňuje vytvářet, mazat a modifikovat atributy skupin na cílových systémech z prostředí konzole ITIM </li></ul><ul><li>Podporované systémy </li></ul><ul><ul><li>LDAP, Active Directory, Unix (AIX, HP-UX, Solaris) and Linux (RHEL and SuSE) </li></ul></ul><ul><ul><li>Další platformy v blízké budoucnosti </li></ul></ul>Group management ITIM 5.1
  10. 10. <ul><li>Preven tivní definice Separation of Duties </li></ul><ul><ul><li>Vytvoření /modif ikace / vymazání poli tik, které zakazují uživateli členství ve více rolích </li></ul></ul><ul><ul><ul><li>Bezpečnostní pravidlo 1 – administrátor aplikace nemůže být zároveň administrátorem systému, který aplikaci hostuje (pot é by mohl provést útok a zemést po sobě stopy v podobě logů či auditních dat ) </li></ul></ul></ul><ul><ul><ul><li>Bezpečnostní pravidlo 2 – nechceme aby osobní bankéř byl zároveň schvalovatelem přidělení úvěrů v bance </li></ul></ul></ul><ul><li>Schvalování výjimek </li></ul><ul><ul><li>ITIM po přidělení rolí vyhodnotí SoD policies </li></ul></ul><ul><ul><li>Při porušení SoD je spuštěno workflow, které umožní schválit výjimku oproti definované SoD </li></ul></ul><ul><ul><ul><li>Design w orkflow může být customizován dle SoD policies / aplikací atd. </li></ul></ul></ul>Separation of Duties ITIM 5.1
  11. 11. <ul><li>Jedna osoba může provést útok, smazat po sobě logy i auditní data z databáze – tím po sobě dokonale zamést stopy ! </li></ul>Separation of Duties v praxi ITIM 5.1
  12. 12. Separation of Duties v praxi ITIM 5.1 <ul><li>Definovan á pravidla lze vynutit či uživateli ponechat oprávnění v rozporu s SoD, ale je transparentní kdo toto rozhodnutí provedl a je o tom auditní záznam. </li></ul><ul><li>Lze provádět reporting nad výjimkami z definovaných SoD politik pro potřeby auditu. </li></ul>
  13. 13. <ul><li>End user view </li></ul><ul><ul><li>R ecertifi kace přídělení rol í , účtů and a skupin najednou </li></ul></ul><ul><ul><li>Manager (nad řízený ) může provést schválení/zamítnutí uživatelských přístupů najednou </li></ul></ul><ul><li>Administrative view </li></ul><ul><ul><li>Vytvoření politik, které vyžadují recertifikaci všech oprávnění dané osoby či jen určitých částí </li></ul></ul>User Recertification ITIM 5.1
  14. 14. <ul><li>Omezený počet licencí </li></ul><ul><ul><li>R ecertifi kace všech účtů v aplikaci </li></ul></ul><ul><ul><li>Schválení/zamítnutí účtů může provést správce aplikace </li></ul></ul><ul><li>Přístupy do kritické aplikace </li></ul><ul><ul><li>Chceme detailněji kontrolovat přístupy do kritických aplikací společnosti </li></ul></ul><ul><ul><li>Potřebuje ještě uživatel roli s vysokým oprávněním do této aplikace? </li></ul></ul>User Recertification v praxi ITIM 5.1
  15. 15. <ul><li>Separation of Duty Policy Master Report </li></ul><ul><ul><li>Přehled všech SoD politik definovaných v systému </li></ul></ul><ul><ul><li>Detail organizační jednotky , status u (enabled/disabled) popis politiky </li></ul></ul><ul><li>Separation of Duty Policy Detail Definition Report </li></ul><ul><ul><li>Report jednotlivých SoD poli tik </li></ul></ul><ul><ul><li>Detail organizační jednotky , status u , popis politiky , vlastník, pravidla a asociované role </li></ul></ul><ul><li>User Recertification Master Definition Report </li></ul><ul><ul><li>Přehled všech politik pro recertifikaci uživatelů </li></ul></ul><ul><ul><li>Detail jména politiky , popis , stav politiky a organizační jednotka </li></ul></ul><ul><li>User Recertification Policy Detail Definition Report </li></ul><ul><ul><li>Detail jména politiky, popis, stav politiky, organizační jednotka a informace o politice ( aplikace na role, účty, skupiny, akce, je-li recertifikace odmítnuta nebo vyprší, detaily o načasování, atd… ) </li></ul></ul><ul><li>User Recertification History Report </li></ul><ul><ul><li>Přehled zobrazující historii recertifikace uživatelů, rolí, účtů a skupin </li></ul></ul>Reporting ITIM 5.1
  16. 16. <ul><li>Separation of Duty Policy Violation Report </li></ul><ul><ul><li>Report nad nesoulady z SoD policy </li></ul></ul><ul><ul><li>V případě schválené výjimky je uveden schvalovatel a čas kdy provedl schválení </li></ul></ul>Reporting – využití v praxi ITIM 5.1
  17. 17. <ul><li>User Recertification History Report </li></ul><ul><ul><li>Historie recertifikací uživatelů včetně detailů </li></ul></ul>Reporting – využití v praxi ITIM 5.1
  18. 18. ITIM a Desktop Password Reset Assistant ITIM 5.1 <ul><li>Umožňuje změnu hesel účtů dříve než dojde k přihlášení do Windows </li></ul>
  19. 19. ITIM a ITAM E-SSO ITIM 5.1 <ul><li>ITAM E-SSO je produkt zajišťující enterprise single sign-on do podnikových aplikací – SAP, Mainframe, Databáze, Unix/Linux, atd. </li></ul><ul><li>Integrací s ITIM získáme automatizované SSO do spravovaných systémů </li></ul>
  20. 20. ITIM a ITAM E-SSO + DPRA ITIM 5.1 <ul><li>Kombinací ITAM E-SSO a DPRA lze docílit toho, že bez přihlášení do Windows si může uživatel změnit hesla do aplikací a ty se automaticky uloží i do SSO peněženky a po přihlášení bude SSO fungovat automaticky již s novýmy hesly do aplikací </li></ul>
  21. 21. ITIM a SAP ITIM 5.1 <ul><li>SAP je zdrojem personálních dat, tyto jsou pomocí ITDI načteny do ITIM </li></ul><ul><li>SAP je zároveň spravovaným systémem z ITIM řízeným rolemi a workflow </li></ul>
  22. 22. ITIM a IBM System z (Mainframe) ITIM 5.1 <ul><li>Nativní IBM Adapter </li></ul><ul><li>Adapter je instalován přímo na System z </li></ul><ul><li>S ITIM komunikuje pomocí standartního DAML protokolu přes SSL </li></ul><ul><li>Adapter jsou procesy obstarávající jednotlivé operace – add / delete / modify / rekonciliace </li></ul>
  23. 23. ITIM a IBM System z (Mainframe) ITIM 5.1 RACF - Resource Access Control Facility
  24. 24. <ul><li>TIM 5.1 Universal Provisioning (UPA) Adapter – operace nad účty bude provádět odpovědná osoba / skupina osob na základě mailových notifikací </li></ul><ul><li>Manual services – novinka ITIM 5.x – podobné jako UPA, ale lépe nastavitelné řešení </li></ul><ul><li>ITDI Custom Adapter - Integrace s vlastní aplikací na mainframe pomocí API, LDAP, SQL, WebServices, ftp, atd. </li></ul><ul><li>Kombinace předchozích – např. operace add / modify / delete manuálně, ale rekonciliaci automaticky z exportovaného csv souboru atd. </li></ul>ITIM a Mainframe syst émy obecněji ITIM 5.1
  25. 25. ITIM 5.1 – postup migrace ITIM 5.1
  26. 26. [email_address]

×