Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием для организации
Константин Шурунов, технический эксперт, Dell Software
Форум решений Dell — 2014 (Dell Solutions Forum 2014).
Москва, 14 ноября 2014 г.
4. Три измерения IGA
• I – Identity – личность в информационном поле.
• G – Governance – управление, аттестация, риски, стандарты.
• A – Administration – администрирование.
4
Главная проблема:
Координация работы на разных уровнях
для достижения единой цели
5. Три силы IGA в организации
• I –кадры.
5
– Ответственность: управление identities, оргчарты.
– Цель: организационная и личностная информация отражает реальность.
• G – бизнес.
– Ответственность: управление всеми вещами, связанными с бизнесом,
включая риски и соответствие стандартам.
– Цель: успешный бизнес.
• A – технологии.
– Ответственность: технологическая поддержка бизнеса.
– Цель: все системы работают 24/7.
6. Identity Management – многоуровневая система
6
• Кадровый уровень
• Бизнес-уровень
• Технический уровень Identity 1
Persona
Identity 2
AD
account
SalesForce
account
SharePoint
account
Unix
account
AD SF Unix SP
Role
Resource
7. I – Identity Management
• Создание “Identities”.
• Базовое определение ролей.
• Базовое определение привилегий.
7
8. 8
В чем разница между «management» и «governance»?
Management Governance
Certification
Access
Access
12. 12
Гибкость в достижении единой цели I-G-A
• Все элементы соединены в одно решение, где каждый человек несёт ответственность за свой
участок работы.
• Каждый человек имеет возможность конфигурации «своих» элементов IGA.
• Проект по внедрению имеет короткие фазы с чёткими достижимыми результатами.
I G
G G
A A
12
Identity Governance
Administration
13. Managers should easily see
all the entitlements of an
employee in one clear view
• Actionable
• All logical, physical
systems, resources and
assets.
13
Identity-цель: видение организации
17. Governance-цель: аудит выдачи доступа
17
Люди, отвечающие за аудит должны видеть историю изменения доступа конкретных лиц
18. Governance-цель: постройка процессов одобрения
Бизнес-процессы должны строиться теми же людьми, которые отвечают за это в
реальной жизни. Конструктор бизнес-процессов поможет в этом.
18
21. 21
Administration-цель: портал самообслуживания
Portal should be user and contributor friendly where updates
can be performed by non-technical person
23. Задачи, поставленные заказчиком
• Автоматизация процесса управления предоставлением доступа
• Централизованное управление паролями пользователей
• Аудит имеющегося доступа
• Отчётность о предоставленном доступе
• Создание единого процесса и политики управления
предоставлением доступа
• Интеграция с удостоверяющим центром
23
24. Интеграционные требования
• Интеграция с сервисной шиной:
24
– Взаимодействие с системой кадрового учета реализуется
посредством взаимодействия с сервисной шиной (ESB).
• Интеграция с почтовой системой:
– Управление почтовыми ящиками (создание, удаление, блокировка)
– Реализация метода утверждения запросов доступа к ресурсам
посредством почтовых сообщений.
• Интеграция с УЦ:
– Интеграция с удостоверяющим центром «Крипто-ПРО»,
автоматизация процедур по выпуску/отзыву сертификатов.
25. 25
УЦ «Крипто-ПРО»
Exchange
UNIX
Active
Directory
D1IM
Connector
Server
1C Бухгалтерия
IBM MQ + MB
D1IM
Database
Server
D1IM
Dell Change Auditor
WebPortal
SQL
26. 26
USED AT: AUTHOR: DATE:
PROJECT: Система управления идентификационными REV:
данными польз оват ел ей и дост упом к информационным
ресурсам
15.10.2013
17.10.2013
NOTES: 1 2 3 4 5 6 7 8 9 10
WORKING
DRAFT
RECOMMENDED
PUBLICATION
READER DATE CONTEXT:
A0
Дост уп не согласован
Запрос на
предост авление
доп. доступа
Создание запроса
на предост авление
дост упа к ресурсу
31
ИС
Санкционирование
Отправка уведомления
Отправка уведомления
Отправка уведомления
NODE: TITLE: NUMBER: Предоставление дополнительного доступа к ресурсу ИС
A3
ПДД
данные
польз ователя,
з апрашиваемый
дост уп
Дост уп не согласован
Согласованный з апрос о предоставлении дост упа
Дост уп согласован
Информация об
изменении прав
дост упа
Политика
информационной
без опасности
Реест р ресурсов
Информационное
письмо
Информационное письмо
Информационное письмо,
дополнит ел ьные
инст рукции
СУИД
Данные
владельцев
ресурса
Порт ал
самообслуживания
СУИД
32
Согласование
з апроса с
владельцами
ресурса ИС
33
дост упа
Администратором
дост упа
34
Предост авл ение
дополнит ел ьного
дост упа к ресурсам ИС
35
польз ователю о
предост авлении прав
дост упа
36
Заявит елю о
предост авлении прав
дост упа
37
Заявит елю с
указанием причины
I1 отказа
27. Результаты
• Централизовано управление доступом к информационным
системам компании
• Выделены атомарные и бизнес роли и описаны процедуры
выделения и создания ролей
• Автоматизирован и документирован процесс предоставления
доступа
• Созданы отчёты для отдела ИБ о том, кто, куда и на основании
чего имеет доступ
• Контроль за внесением изменений в Active Directory
(Dell ChangeAuditor)
27
<Note to presenter – this slide is an overview of the entire Quest One Identity Solutions story. You may wish to skip if rushed to just show Q1IM>
All up, Quest One provides simple, powerful, and easily implemented solutions that address the four key areas of concern for most organizations:
Access governance
Privileged account management
User account Monitoring
Identity Administration
We provide:
Simplify compliance and security
Easier accountability
Greater transparency
Broad portfolio
Modular & integrated
Rapid time-to-value
Business-driven
Leverage existing investments
For now and the future
<click to go to next slide>
Additional Proof Points (only if needed):
Simplify IAM through consolidation, automation, configuration not customization, and leveraging your existing investments in technology, infrastructure, and skills
Portfolio includes comprehensive access governance, privileged account management, user activity monitoring, and user account management
Individual solutions can be implemented as you need them
No requirement for an underlying framework upon which capabilities must be built
Each solution tightly integrates with and supports other relevant components of the Quest One suite
Quest One Identity Solutions can be implemented in a fraction of the time required of IAM frameworks and at a much lower cost
examples: off-the-shelf AD security and management, plug-and-play self-service password reset, standards-based multifactor authentication, full-spectrum SSO, modeled approach to enterprise IAM
Many solutions can be implemented with little, or no help from Quest
Move IAM responsibility from IT and technology into the hands of the business.
360-degree visibility
control in the hands of those that should have control (business and data owners not IT)
Granular policy enforcement on AD and Unix
Awesome dashboard reporting (you have to see it!)
Management – Making sure people can get the access they need through policies and workflows
Governance – Continually ensuring that the access is right and can proved
Comprehensive Access Governance
Single source of truth
Provisioning
Workflow
Certification & Attestation
Self Service & “Shopping Cart”
Role Lifecycle Management
Leveraging a
model based
approach
Not just objects,
their states, too