tivoli day 2011.panel.1. zarządzanie tożsamością
TRANSCRIPT
1
Zarządzanie toŜsamością w
organizacji rozproszonejZbigniew Szmigiero, Software Sales
Technical Specialist - Tivoli Security , IBM
Każdy wie …
• Czym jest zarządzanie tożsamością?
– Kto ma dostęp do czego i dlaczego?
• Kto się liczy na rynku?
• ……………………………
• Wdrożenie nie jest łatwe
2
… ale boi się zapytać o to …
• Jak wdrożyć Zarządzanie Tożsamością? – czyli
kolejny sukces vs. w poszukiwaniu pracy
• Jakie „wyzwania” stoją przed organizacją?
• Co muszę wiedzieć zanim kupię?
• Co muszę wiedzieć zanim podpiszę protokół
odbioru?
3
Dlaczego Ja?
� 2000-2002 Kredyt Bank (wdrożenie, PM)
� 2002-2004 Polkomtel (wdrożenie, PM)
� 2003-2005 Raiffeisen Bank (wdrożenie, PM)
� 2005 Fortis (wsparcie zespołu wdrożeniowego)
� 2007 ING (wsparcie zespołu wdrożeniowego)
� 2008-2011 TPSA (wsparcie zespołu wdrożeniowego)
� 2010-2011 Ciech (wsparcie zespołu wdrożeniowego)
4
Prawdy ogólne (1)
• 70% projektu to komunikacja pomiędzy
ludźmi, 30% technologia!!!
5
Prawdy ogólne (2)
• Wdrożenie IM to budowa procesu
zarządczego zmieniającego się wraz z firmą a
nie rozwiązanie pod klucz
– System MUSI być utrzymywany i rozwijany przez
wykwalifikowanych administratorów
– System MUSI być łatwo dostosowywalny
6
„Wyzwania” na starcie (1)
• Potrzeba szybkiej implementacji
• Brak istniejącej strategii zarządzania
tożsamością
• Brak odpowiedzialności organizacyjnej za
uprawnienia, właścicieli biznesowych
• Brak katalogu ról a nawet katalogu usług i
procesów biznesowych
7
„Wyzwania” na starcie (2)
• Niespójne, zmienne i nie połączone domeny
zarządcze, uwierzytelniające i autoryzujące
• Nierealistyczny zakres planowanego projektu i
oczekiwania
• Koszty TCA i TCO oszacowane błędnie
(niedoszacowane ☺ jak zawsze)
8
„Wyzwania” organizacyjne
• Brak wsparcia na poziomie Cxx (CEO, CFO,
CIO)
• Brak sponsora/właściciela biznesowego
• Szukanie rozwiązań mapujących istniejący
stan zamiast upraszczania->porządkowania
• Brak analizy dla „osób trzecich” w
definiowaniu projektu
• Brak wiedzy na temat wdrażania IAM
• Brak priorytetów wdrożenia9
Prawdy ogólne (3)
• Brak wizji rozwoju IAM na kolejne 2-4 lata
10
„Wyzwania” Katalog Tożsamości
(1)
• Kim zarządzamy?
• Kto zarządza?
• Gdzie znajduje się opis zarządzanych i
zarządzających?
11
„Wyzwania” Katalog Tożsamości
(2)
• Jakie informacje są konieczne do zarządzania?– Atrybuty do jednoznacznej identyfikacji użytkownika
– Atrybuty do opisu jego przynależności organizacyjnej
– Struktura czy struktury organizacyjne?
– Atrybuty identyfikujące sposób traktowania tożsamości w przypadku
uczestnictwa w wielu strukturach
– Atrybuty definiujące wszystkie wartości kont
– Atrybuty pozwalające na określenie konta w przypadku posiadania
wielu kont
– Właściciel roli, polityki
– Parametry SoD zależne od tożsamości
– Atrybuty konieczne do raportowania
12
„Wyzwania” Katalog Tożsamości
(3)
• Zarządzanie rozdzielne czy wspólne w ramach
różnych organizacji?
– Czy jedna tożsamość?
– Jak często synchronizować źródła? Okno
synchronizacji a podejmowanie decyzji!
– Czy istnieją źródła danych przestarzałe lub
nieutrzymywane z użyciem nowoczesnych
technologii? Przenosić do IAM czy nie?
13
„Wyzwania” Katalog Tożsamości
(4)
• Czy katalog tożsamości będzie źródłem dla
innych systemów?
– Service Desk, CCM, SRM, CMDB …
– Jakie interfejsy?
14
„Wyzwania” Provisioning (1)
• Rozwiązania out-of-the-box
• Ile systemów? - Czas, pieniądze, potrzeba
• Jakie systemy?
– Core (system bankowy, bilingowy, CRM, …)
– Ogólnie wykorzystywane (AD, poczta, …)
• Jakie funkcje chcemy zapewnić i jakie są
dostępne out-of-the-box?
15
„Wyzwania” Provisioning (2)
• Budowa adapterów dla aplikacji
– Jakie funkcje?
– Jaki system zarządzania uprawnieniami
• Płaski
• Macierzowy
– Jakie API? Czy API czy rekonfiguracja?
– Jakie wsparcie Dostawcy?
– Jakie nakłady czasowe?
• Po stronie dostawcy, po stronie odbiorcy
16
„Wyzwania” Provisioning (3)
• Zmiana adaptera wraz ze zmianą systemu
• Agent lokalny czy zdalny?
• Rekoncyliacja, działanie online
• Mapowanie kont do tożsamości
– Wiele kont na jednym systemie
– Konta techniczne, administracyjne, współdzielone
– Jednolity identyfikator
17
„Wyzwania” Role (1)
18
user user user
perm
issio
n
perm
issio
n
perm
issio
n
Istniejące uprawnienia w systemach Uprawnienia po analizie
i usunięciu błędów
Wyczyszczone
uprawnienia
Modelowanie i zarządzanie rolami
Role miningRole mining Zarządzanie
cyklem Ŝycia
Zarządzanie
cyklem ŜyciaModelowanie i
symulacja
Modelowanie i
symulacja
„Wyzwania” Role (2)
19
Dostęp do internetu
Czas realizacji
HRkonto w
domenie
konto w
LDAP, firewall
aktywacja
tokenu
instalacja IE
Pracownik
Klient
Kontraktor
„Wyzwania” Role (3)
20
Help
DeskBanking
MS
Service
Desk
MS
Baza
Wiedzy
MS
CRM
MS
Banking
System
MS
Reports
Pracownik
Klient
Kontraktor
„Wyzwania” Role (4)
21
Pracownik
Klient
Kontraktor
Macierz uprawnień
Katalog toŜsamości
Baza audytowa
Zmiana danych
Polityka
Przypisanie roli
Rola
„Wyzwania” Role (5)
• Jak zwirtualizować uprawnienia istniejące?
– Metoda małych kroków
• Role podstawowe->Budowa ról na żądanie
– Metoda równoległa
• Role podstawowe i „opis słowno muzyczny”->Przegląd
wniosków->Aktualizacja ról
– Metoda rewolucyjna (niewdrażalna)
• Role Mining->Role
• Jak raportować?
22
„Wyzwania” WorkFlow (1)
• Jakie procesy?
– Zatrudnienie
– Rejestracja osoby trzeciej
– Zwolnienie
– Wniosek o dostęp
• Dla pracownika
• Dla osoby trzeciej
– Zmiana jednostki organizacyjnej
– Zmiana danych o tożsamości (często self-service)
23
„Wyzwania” WorkFlow (2)
24
Zarządzany
system/aplikacja
Pracownik
Klient
Kontraktor
Systemy zautomatyzowane
Systemy bez automatyki
25
Pracownik
Klient
Kontraktor
Systemy bez automatyki
Notyfikacja administratora
Akceptacja wykonania operacji
Kontrola polityk na podstawie
informacji dostarczanej offline
Generowanie akcji naprawczych
poprzez notyfikację administratorów
Macierz uprawnień
Ręczna modyfikacja
uprawnień
Aktualizacja offline o
istniejących uprawnieniach
„Wyzwania” WorkFlow (4)
• Kto wnioskuje?
– Pracownik czy Przełożony
• Kto akceptuje?
– Właściciel procesu, roli
– Delegacja uprawnień
– Eskalacja wniosków nieprzetworzonych
• Wnioski grupowe
• Mapowanie istniejących procesów?
26
Aby projekt zakończył się
Sukcesem– Zatrudnij właściwego PM
– Zdefiniuj ramy projektu (systemy, procesy, itp.)
– Zdefiniuj oczekiwania na minimum 2 kolejne lata
– Wybierz technologię (Możliwości i Cena)
– Wybierz Partnera (Doświadczenie, Zespół,
Wsparcie Dostawcy)
– Wykonaj analizę i zbuduj Projekt Wdrożenia
– Bądź gotowy na ZMIANY!!!
27
Pytania?
Jak zwykle zabrakło mi czasu - PRZEPRASZAM
- zapraszam do dyskusji w kuluarach
28