Professional Documents
Culture Documents
1
KTO ma dostęp do CZEGO i DLACZEGO??
2
ToŜsamości
UŜytkownicy którzy potrzebują mieć dostęp do zasobów.
HR System
Name: Jane Doe
Dept: Accounting
Manager: John Smith
Address: 10 Main St.
Tel. No: 555-1212
Bus Role: Benefits Administrator
KaŜdy uŜytkownik jest toŜsamością którą opisują atrybuty. Atrybuty mogą
stanowić informacje która moŜe być wykorzystana w podjęciu decyzji do
jakich zasobów dany uŜytkownik powinien mieć dostęp aby móc
wykonywać swoje codzienne obowiązki. Przykładem takiego atrybutu
moŜe być np. stanowisko.
Proces zarządzania toŜsamością odpowiedzialny jest za przyznawanie
uprawnień uŜytkownikowi do konkretnego zasobu, ich modyfikację oraz
usuwanie uprawnień.
3
Zasoby
Konta na systemach są wykorzystywane przez toŜsamości
do wykonywania swoich codziennych obowiązków.
Unix: jkow
Przykłady:
4
Polityka czyli DLACZEGO uprawnienia
zostały nadane?
Polityka definiuje kto moŜe mieć dostęp do zasobów. Politykę określa zestaw
uprawnień oraz wykaz osób mogących wnioskować o uprawnienia
5
Identity Access policy
change Approvals Accounts
evaluated
(add/del/mod) gathered updated
Applications
Tivoli Identity Manager
Databases
Operating
Systems
Networks &
HR Systems/ Identity Physical Access
Stores
6
Cykl Ŝycia konta
System A
Pracownik Audyt
Kontraktor
Serwisant
Klient
System B
7
Raportowanie
• 29 gotowych raportów między innymi
• lista uŜytkowników,
• lista systemów,
• lista uprawnień uŜytkowników i pełnionych przez uŜytkownika ról w
przedsiębiorstwie,
• lista zdarzeń dotyczących procesów (np. kto wystąpił z wnioskiem o konto,
kto zatwierdził itp.),
• historia zmian na kontach,
• lista nieuŜywanych tzn. „martwych” kont,
• lista nieuŜywanych kont od określonego czasu,
• niezgodności z określonymi zasadami polityki bezpieczeństwa,
8
SSO: Standardowe logowanie
Account n
Aplikacja
Password n
n Account 3
Password 3 Aplikacja
User
AuthN 3
Data Account AuthZ
Access Password
Account 2 AuthN
Password 2 Aplikacja AuthZ
2
Authenticated
Klient Authorized Aplikacja
AuthN
Aplikacji 1 AuthZ
AuthN OK
AuthZ
AuthN
AuthZ
9
SSO – Standardowe logowanie
•Wiele kont, wiele haseł
• UŜytkownicy zapisują hasła
• UŜytkownicy zapominają hasła -> HelpDesk
• UŜytkownicy przeznaczają duŜo czasu na obsługę kont, haseł
• UŜytkownicy posiadający duŜo haseł są niezadowoleni
• UŜytkownicy starają się łamać polityki poprzez trywializację haseł, powtarzanie ich
• Wymuszenie budowy niezaleŜnych polityk kontroli siły haseł
•DuŜe koszty zarządzania
•Brak audytu zmian haseł
10
Rozwiązanie w szczegółach
11
Rozwiązanie w szczegółach
12
Silne uwierzytelnienie
ACTIVE
RFID
•Wsparcie dla:
– Passive RFID (Mifare, HID iClass)
– Active RFID (Xyloc)
– Tokeny (Vasco, Authenex)
– USB Key (DigiSafe, Charismathics)
TOKENY
– MobileAccessCode
• SMS
• E-mail
USB Key
– Sonar
– Biometryka (UPEK, DigitalPersona)
•Wsparcie dla:
– Logowania do systemu E-MAIL
– Logowanie do aplikacji
SMS
– 2FA
SONAR
– Wylogowanie przy nieobecności
BIOMETRIC
13
Rozwiązanie w szczegółach
14
Enterprise SSO
15
Rozwiązanie w szczegółach
16
Integracja z Tivoli Identity Management
•Generowane po stronie IM
uprawnienia zasilają portfele
uŜytkowników
•Hasła zmieniane przez
uŜytkowników automatycznie
zasilają portfel
•System IM zarządza dostępem
do TAMESSO
•Blokowanie portfela uŜytkownika
z IM
•Wsparcie dla TIM 4.6, 5.0 i 5.1
17
Pytania
18
Dziękuje za uwagę
19