Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
OpublikowałIwona Kmita Został zmieniony 10 lat temu
1
„IDM w teorii i praktyce - wyzwania zarządzania tożsamością i dostępem”
Grzegorz Szafrański, Paweł Żuchowski Quest Polska Quest Executive Briefing 2 czerwca 2011r.
2
Agenda Wyzwania w zarządzaniu tożsamością i dostępem
Wyzwania współczesnego środowiska IT Koncepcja zarządzania tożsamością i dostępem w Quest One Rozwiązania do uwierzytelniania i integracji systemów Rozwiązania do autoryzacji Rozwiązania do administracji Audyt bezpieczeństwa środowiska heterogenicznego Quest One – dodatkowe informacje Podsumowanie
3
Co to jest zarządzanie dostępem i tożsamością?
Czy jest to uwierzytelnianie? Czy jest to autoryzacja? Czy jest to provisioning? Czy może zarządzanie hasłami? Czy jest to jednokrotne logowanie? Czy jest to inspekcja zdarzeń i zgodność z regulacjami „compliance”? A może jest to synchronizacja haseł? Czy w ogóle jesteśmy w stanie to osiągnąć? Odpowiedzi znajdują się powyżej!
4
Budowa współczesnego środowiska IT
Mainframe + Virtual env. Unix Unix Applications Windows/AD Unix Unix Mainframe Is your environement anything like this?: Almost everyone has got Windows and AD [CLICK] They’ve also got enterprise applications like Oracle, SAP, People soft, Siebel, etc. [CLICK] And they’ve got other applications that are outside of Windows [CLICK] and those applications all must live somewhere, in most case they are on Unix and Linux boxes [CLICK] And most customers also have Java applications both within the firewall and outside [CLICK] And maybe they also have Mac desktops [CLICK] and they probably have a mainframe or two . . . So they’ve got lots of stuff, and it doesn’t necessarily all play nicely together. Each one probably has its own directory, its own logins, and its own identity for each user. Applications Unix
5
Wyzwania w zarządzaniu tożsamością i dostępem
Wydajność operacyjna Zbyt wiele…tożsamości, haseł, ról, katalogów, itd. Ręczne wykonywanie wielu procesów Powtarzalność zadań Niewydajna praca użytkownika końcowego Niezabezpieczone uwierzytelnianie Brak kontroli nad uprzywilejowanymi kontami Niespójne i nieefektywne polityki bezpieczeństwa Opóźnienia w „de-provisioning’u” Nieprzypisane konta do żadnego z pracowników Brak wglądu w aktywność użytkowników i wykonywane przez nich akcje Kontrola dostępu Wymuszanie segregacji obowiązków Przestrzeganie i wymuszanie spójnej oraz zgodnej polityki bezp. “Zapewnienie” zgodności z wymogami bezp. Bezpieczeństwo Zgodność z wymogami bezp.
6
Wyzwania współczesnego środowiska IT
Średnio w firmach występuje około 31 różnych katalogów (repozytoriów użytkowników)(3) W firmach liczących około pracowników na jednego użytkownika przypada 14 różnych haseł(2) Ostatni sondaż przeprowadzony przez RSA Security wykazał, że na 10 badanych osób 9 jest sfrustrowana ilością posiadanych identyfikatorów użytkownika i haseł, jakimi muszą zarządzać(1) Dla 58% z badanych firm czas potrzebny na wykonanie de-provisoningu pracownika wynosi więcej niż 24 godziny(3) Wniosek: Im większe i bardziej rozbudowane środowisko, tym trudniej nad nim zapanować i kontrolować In fact some information from analysts supports this: The average company has 31 separate directories (that means a possibility of 31 separate identities for any one individual) The average user in a 10,000-employee organization has 14 separate passwords – all of which need to be managed and probably reset at one time or another 9 out of 10 companies are frustrated with how many identities and passwords they have to manage And way more than half of companies are having trouble with security and compliance because it takes more than 24 hours to de-provision an employee 1 “Reduced Sign-on” Burton Group Reference Architecture Technical Position – September 6, 2006 2 International Data Group 3 “Dealing with Directories: Fewer Fuels Faster and More Efficient Operations—Aberdeen Research Brief – June 2007 6
7
Problem z wybraniem właściwego rozwiązania?
Wysokie koszty wdrożenia rozwiązania IAM Dostępne na rynku rozwiązania posiadają ukryte dodatkowe koszty przewyższające niekiedy 6-cio krotnie zakup licencji oprogramowania Wiedza na temat integrowanego środowiska nie jest uwidoczniona w technologii produktu Większość rozwiązań IAM wprowadza dodatkowy katalog Meta-katalogi są tak naprawdę dodatkowymi katalogami, którymi trzeba zarządzać Niektóre rozwiązania oparte o meta-katalog potrzebują nie 1 lecz 2 dodatkowych katalogów oraz bazy danych
8
Problemy z wybraniem właściwego rozwiązania?
Producenci oprogramowania IAM nie skupiają się na najważniejszym: Active Directory Wszechobecności AD oraz popularności działających na stacjach/serwerach Windows systemów lub aplikacji SharePoint/Exchange/OCS/Office/SQL/Oracle itd. Termin “Provisioning” dla większości producentów systemów IAM definiowany jest jako „provisioning” pojedynczej prostej operacji tworzenia konta w kilku systemach Inwestycja poniesiona na wdrożenie Active Directory nie jest wykorzystana do maksimum jego możliwości
9
Uproszczone podejście do zarządzania dostępem i tożsamością
Quest One upraszcza proces zarządzania tożsamością i dostępem w celu zwiększenia bezpieczeństwa, wydajności oraz spełniania wymogów Compliance poprzez konsolidację krytycznych systemów nie-Windowsowych, ujednolicenie głównych aspektów IAM, automatyzację administracji tożsamościami oraz zabezpieczenie ważnych systemów. QuestOne jednocześnie zapewnia zgodność z wymogami kontroli dostępu oraz segregacje obowiązków z pełnym wglądem w aktywność użytkownika i role biznesowe jakie pełni w środowisku. .
10
Uproszczone podejście do zarządzania dostępem i tożsamością
Well, now there is. It’s called Quest One Identity Solution. [click to display the logo] While the technical name of the brand is Quest One Identity Solution, we will also refer to it colloquially as Quest One and the real key to the brand is the concept of “One Indentity”. The fingerprint, of course, signifying the one identity each of us has (or should have, as opposed to the dozens we’ve probably got now). [click to display tagline] The tagline is Secure | Efficient | Compliant. This is because of the three drivers of virtually all Identity and Access Management projects. [click to get to one] What is the essence of Quest One? It’s about getting to one. Get to one identity, get to one directory, get to one management platform and getting to one solution – the Quest One Identity Solution. [click for solution description] I’d like to have you focus on a few key words here: 1) Active Directory – that’s core to our message. As we “get to one” the one we want to get to is Active Directory mainly because it’s something everyone already has, it probably already has an identity for the biggest portion of your users, and frankly, Active Directory is a pretty darn good directory. We can’t always do it. But we try. 2) Speed implementations – This is important. If you’re a large company in an Identity and Access Management project, we make it faster. If you are a mid-sized company intimidated by traditional large Identity and Access Management implementations, fear no more. How do we do it.
11
Uproszczone podejście do zarządzania dostępem i tożsamością
Well, now there is. It’s called Quest One Identity Solution. [click to display the logo] While the technical name of the brand is Quest One Identity Solution, we will also refer to it colloquially as Quest One and the real key to the brand is the concept of “One Indentity”. The fingerprint, of course, signifying the one identity each of us has (or should have, as opposed to the dozens we’ve probably got now). [click to display tagline] The tagline is Secure | Efficient | Compliant. This is because of the three drivers of virtually all Identity and Access Management projects. [click to get to one] What is the essence of Quest One? It’s about getting to one. Get to one identity, get to one directory, get to one management platform and getting to one solution – the Quest One Identity Solution. [click for solution description] I’d like to have you focus on a few key words here: 1) Active Directory – that’s core to our message. As we “get to one” the one we want to get to is Active Directory mainly because it’s something everyone already has, it probably already has an identity for the biggest portion of your users, and frankly, Active Directory is a pretty darn good directory. We can’t always do it. But we try. 2) Speed implementations – This is important. If you’re a large company in an Identity and Access Management project, we make it faster. If you are a mid-sized company intimidated by traditional large Identity and Access Management implementations, fear no more. How do we do it.
12
Wprowadzenie do Quest One
Integracja tożsamosci i systemów systemy Unix oraz Linux systemy HR, Oracle, SAP oraz inne aplikacje Java/ERP/inne Automatyzacja procesów Provisioning, re-provisioning Zarządzanie rolami Zatwierdzanie zmian HP-UX Compliance Raportowanie Audytu Kontrola dostępów Compliance Portal Bezpieczeństwo Zarządzanie hasłami De-provisioning Tokeny HR DB2 Uproszczone zarządzanie Rozszerzenie możliwości do systemów nie-Windowsowych
13
Quest integruje różne konta użytkowników Unix/Linux/Java do pojedynczego, dobrze zabezpieczonego środowiska Active Directory Quest może zintegrować Państwa środowisko tak że ta sama bezpieczna infrastruktura Active Directory która dobrze pracuje dla środowisk Windows może także być podstawą do autentykacji i zarządzania tożsamością dla systemów Unix, Linux i Java. Dzięki tej technologii systemy te mogą dołączyć się do domeny. Możemy także zastosować pewnego rodzaju technologię synchronizacji aby pomóc zarządzać tożsamością w starych systemach o których wcześniej mówiliśmy. Quest może dostarczyć bardzo silną integrację która pozwoli wykorzystać wiele aspektów synchronizacji katalogów
14
Następnie, Quest pomaga zarządzać tym zintegrowanym środowiskiem i podnosić wydajność pracy poprzez automatyczny provisioning i de-provisioning W tym momencie wszystkie systemy uczestniczą jako pełnoprawni członkowie w Active Directory. Teraz możemy wykorzystać metody np.. Automatycznego provisioningu i rozciągnąć to rozwiązanie na całe nasze środowiska – Windows, Unix, Linux, i Java.
15
Wzmocnione bezpieczeństwo
Poprzez zarządzanie hasłami dla wszystkich, zintegrowanych systemów + zabezpieczenia tokenowe. W ten sam sposób możemy zastosować rozwiązania do zarządzania politykami haseł. Dla przykładu rozwiązanie do samodzielnego resetowania hasła może być wykorzystane w systemach Windows, Unix, Linux i Java ponieważ wszystkie one są pełnoprawnymi członkami katalogu Active directory
16
I spełnienie wymagań dotyczących wewnętrznych/zewnętrznych regulacji
Poprzez dostarczanie danych potrzebnych do audytu środowiska i raportowanie o wszystkich zdarzeniach związanych z tożsamością w tym zintegrowanym środowisku I dużo łatwiej jest spełniać wszelkie zewnętrzne i wewnętrzne regulacje ponieważ jedno narzędzie do audytu może śledzić wszystkie zdarzenia związane z obsługą tożsamości wewnątrz Active Directory a to przekłada się na aktywność w systemach Windows, Unix, Linux i Java
17
Integracja innych systemów w AD (współpraca z Quest Quick Connect )
18
Połączyliśmy nasze doświadczenie w zarządzaniu AD i nasze technologie aby umożliwić Państwu znacznie uproszczone zarządzanie tożsamością w tak rozbudowanym środowisku. Produkty które mogą wchodzić w skład tego rozwiązania to : Vintela Authentication Services i Vintela Single Sign-on for Java dla integracji systemów nie-Windowsowych wewnątrz katalogu AD ActiveRoles Server dla wieloplatformowego provisioningu Password Manager dla wieloplatformowego samodzielnego zarządzania hasłami Quest Reporter narzędzie raportujące o wszelkich parametrach związanych z tożsamością w naszym heterogenicznym środowisku And InTrust for Active Directory dla dynamicznego audytu, kontroli i powiadamiania o zdarzeniach związanych z tożsamością W rezultacie otrzymujemy całościowe rozwiązanie do zarządzania tożsamością dla systemów Windows, Unix, Linux, i Java które w znaczący sposób upraszcza sposób zarządzania tożsamością. Nasze podejście zastosowaliśmy już w wielu przedsiębiorstwach gdzie: Podnosiliśmy bezpieczeństwo Pokazywaliśmy ścieżkę dojścia do śledzenia zgodności z regulacjami Znacząco podnosiliśmy wydajność operacyjną działów IT
19
Studium przypadku użytkownika końcowego
Mainframe Virtual env. QuickConnect ? HR System Tworzenie konta Audyt delegowanych ról Śledzenie zmian i procesów Audytowanie zdarzeń Analiza anomalii Raportowanie tożsamości
20
Praktyczny provisioning użytkowika
Krok Proces natywny Quest One Dodanie pracownika do systemu HR 5 minut HR 5 minut Automatycznie Utworzenie konta użytkownika w Active Directory Umiejscowienie, unikalna nazwa, hasło, atrybuty 10 minut Tworzenie Utworzenie skrzynki na Exchange Wybranie odpowiedniego Stora, utworzenie aliasu 5 minut Stworzenie katalogu domowego Lokalizacja, uprawnienia NTFS, uprawnienia udziału 5 minut 10 minut Dodanie użytkownika do grup Grup Security oraz Dystrybucyjnych Konfiguracja Przypisanie uprawnień administracyjnych i roli 10 minut Many groups of administrators are involved when provisioning with native tools – and some of these admin groups are highly-paid people. Typically there are only a few high-level administrators that have the “know-how” to do this. It often takes hours to set the correct access per user, and It’s human intensive, and with so many humans involved, it is error-prone and expensive. Utworzenie konta w innych systemach Unix/Linux, Oracle, Notes, SAP, itd. 10 minut Poinformowanie Biznesu do IT, Service Desk, Management’u, itd. 10 minut Inform. 65 minut Łączna aktywność: Dalsza aktywność: Godziny / Dni
21
Możliwości systemu Quest One
Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów
22
Rozwiązania dla uwierzytelniania
Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków
23
Quest Authentication Services
Przyłącza systemy Unix, Linux oraz MacOS do Active Directory Zastępuję/eliminuje usługę NIS Rozszerza możliwości Active Directory do środowiska nie-Windows’owego Single sign-on dla standardowych aplikacji Rozszerzenie smart-card’ów do serwerów nie-Windows SSO dla SAP Group Policy dla Unix, Linux oraz Mac Ponad 600 klientów Ponad 3,5 miniona użytych licencji 23
24
Przejście z tego. . .
25
Przejście z tego. . . do tego!
26
Quest Single Sign-on for Java
Oparte na kontach Active Directory logowanie single sign-on dla aplikacji Java Federacja uprawnień Kerberos dla Java “Czysta” implementacja Java 26
27
To samo . . . tylko dla aplikacji Java
28
Quest Enterprise Single Sign-on
SSO wykorzystujące Active Directory Wymuszanie polityk dostępowych oraz bezpieczeństwa w środowisku Pojedynczy punkt uwierzytelniania dla wszystkich zasobów Zwiększa produktywność IT oraz wydajność użytkowników Raportowanie audytu/Compliance Polityki dostępowe dla Desktopów 28
29
Quest Defender Mocne, dwu-warstwowe uwierzytelnianie
Active Directory-based Wsparcie dla szerokiej listy systemów i aplikacji Niezależność od producenta tokenów Tokeny Hardware lub software Brak konieczności stawiania dodatkowej infrastruktury serwerowej ZeroIMPACT Migrations Raportowanie 29
30
Quest Defender 30
31
inne rozwiązania dla uwierzytelnienia
Password Manager 31
32
Rozwiązania do autoryzacji
Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków
33
Total Privilege Access Management
Zarządzania uprzywilejowanymi hasłami (Privileged Password Management) Zarządzania hasłami aplikacji (Application Password Management) Zarządzania uprzywilejowanymi sesjami (Privileged Session Management) Zarządzania uprzywilejowanymi komendami (Privileged Command Management). Best Regulatory Compliance Solution 33
34
Total Privilege Access Management - cechy
Rejestrowanie, gromadzenie i późniejsze odtwarzanie zdalnych sesji terminalowych i graficznych nawiązywanych do systemów, Workflow akceptacyjny Zarządzania systemem poprzez dedykowane konsole z różnych lokalizacji geograficznych (konsole webowe ), Generowanie raportów historycznych z działań użytkowników, Brak konieczności przekazywania użytkownikom dodatkowego, dedykowanego oprogramowania służącego do nawiązywania połączeń zdalnych, Brak instalacji dodatkowego oprogramowania na serwerach 34
35
TPAM – schemat działania
35
36
Privilege Manager for Unix
Uszczegółowiona kontrola uprawnień administracyjnych na serwerach Unix Raportowanie oraz inspekcja aktywności root Logowanie aktywności i odgrywanie sesji root’a na Unix’ach
37
Privilege Manager for Unix
38
Access Manager Oferuje pojedynczą konsolę umożliwiającą działom IT kontrolować i zarządzać dostępami użytkowników do zasobów serwerowych Windows takich jak pliki, foldery, udziały oraz lokalne uprawnienia administracyjne. „Gdzie użytkownik X ma przydzielony dostęp?” “Czy użytkownik X ma prawidłowe uprawnienia i dostęp w środowisk’u?” “Poprzez jaką grupę użytkownik X ma nadany dostęp?” “Gdzie grupa ma przydzielone inne dostępy?” Umożliwia stworzenie czytelnego raportu o dostępach Delegowanie ról do zarządzania uprawnieniami do zasobów Umożliwia identyfikowanie i usuwanie nierozwiązywalnych SID’ów Umożliwia podmianę uprawnień użytkownika/grupy na inne Centralnie zarządza uprawnieniami
39
Weryfikacja uprawnień i dostępów grupy zanim zostanie do niej przydzielona osoba…
The disconnect between Active Directory security and the security that controls access to files, folders, shares and other user entitlements means there is no viable way to gain visibility, consistently enforce, or efficiently manage access to those resources. This lack of access control over applications and data puts security and compliance initiatives in jeopardy. Over time, the level of access granted to users or groups grows yet is rarely reviewed or revoked. The result is users with more access than required and the possibility that users will exercise their access in an inappropriate or dangerous way. Ultimately, these issues leave organizations in an unmanageable, insecure, and reactive state where it’s impossible to maintain operational efficiency or sustained compliance. Quest can help. Quest Access Manager provides a clear view, via a single console, to identify the files, folders, shares and other entitlements users and groups can access throughout the enterprise. This granular visibility and strict control enables organizations to meet security and compliance requirements, control operational costs and better manage user access. Quest can help. Quest Access Manager provides a clear view, via a single console, to identify the files, folders, shares and other entitlements users and groups can access throughout the enterprise. This granular visibility and strict control enables organizations to meet security and compliance requirements, control operational costs and better manage user access. Click1. In this example Peter a clerk from finance team requests membership to an AD group called SOX Finance Reports calls help desk and requests access to the group, because there is no way for helpdesk team or any other IT staff for that matter to know where a security group membership might ultimately grant access to in the whole network given there are thousands of groups in AD and it would be impossible to ascertain in real time all folders,shares,files and server admin rights or OS local rights where a group might grant access to , so what ends up happening all the time is that IT is granting BLIND access to resources on the network as there is no provision in AD to verify where a group is granting access to on the whole network. With Access Manager this High-Risk Security Gap can be mitigated by attesting where a group grants access on all managed servers in real time before granting membership in the group . Access Manager Integrates with ADUC so you can easily and without having to learn a brand new propriety interface can right- click on the group you want to attest access for and it will provide you a real-time view of all folders, shares, files, Local OS rights and Admin rights where this particular group might be granting access to whether is directly through the group or indirectly via another group where this group is a member of. Click 2. Notify how I am able in real time to see the Finance SOX group grants access to 2 Servers on the network SOM 7 and SRV1 and it details all the shares/folders and files where this group grants access to directly , notice that on the earnings forecast share it details that it grants change and read access to that share and on the finances share it provides Read access. this allows the person responsible for assigning access clear visibility of all access this group will grant to its members and then they can either accept or reject request depending on internally defined policies.
40
Rozwiązania do zarządzania IAM
Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków
41
ActiveRoles Server
42
Delegacja uprawnień oparta o Role
Codzienna administracja AD / AD LDS Architekci AD Tworzenie OU Tworzenie obiektów Przyłączanie komputerów Computers Domain Controllers Starsi Administratorzy Administratorzy skrzynek pocztowych Tworzenie/Usuwanie skrzynek Przenoszenie skrzynek Aktualizacja adresów APAC EMEA North America Administratorzy Exchange Service Desk Tworzenie użytkowników/grup Reset haseł, Odblokowywanie kont New York Mexico City Administratorzy OU / Help Desk Samoobsługa konta Cross-platform Aktualizacja danych personalnych Wnioskowanie o dostęp Aktualizacja nr telefonu Role-based delegation controls the access of varying groups of administrators. ActiveRoles Server helps organization delegate varying responsibility levels regarding AD, AD LDS, and DNS. This means administrators assigned to a particular role only have access to particular areas of AD, AD LDS, and/or DNS allowed in that role. As administrators are added or removed from these role templates, their access and responsibilities dynamically change, depending on which “role” they are assigned. Why does this matter? – Natively if you have admin rights to AD, AD LDS, or DNS you have access and visibility into everything! So from a low-level help desk associate through to high-level architects – everyone has the same rights or privileges. The more people with total access - the greater the chance for human error or malicious intent that could result in failure of AD, AD LDS and DNS working properly and that effects nearly all users like you and me. Most organization of any size want to be able to limit what parts of AD, AD LDS, DNS different levels of ADmins have so as to minimize risks of these failures! Aplikacje Samoobsługa konta Właściciele aplikacji/danych Bazy danych Zarządzanie dostępem Przypisywanie asystentów Weryfikacja ról Katalogi Właściciele Aplikacji/Danych Platformy Funkcja Rola w organizacji Dostęp 42
43
Zachowanie integralności danych - reguły
Przykład reguły biznesowej Wygenerowanie Wyświetlanej nazwy Opis nie może pozostać pusty Numer telefonu musi składać się z ### - ### - #### Rules enforce organizational policy and ensure data consistency. ActiveRoles Server’s rules are used to provide consistency and standardization within organizations, for example, using the same format for phone numbers. Data consistency is a constant struggle for all organization causing administrators to added time to find the correct objects and attributes to modify, creates inconsistencies when organization seek to share data among applications and systems. Provides administrative layer between users and Active Directory, for strict enforcement of operating policies and to eliminate unregulated access - Enforces “Least Privilege” Model Enables centralized auditing and reporting of directory-related changes Simplifies the process of delegating rights by abstracting the required delegation into roles (or templates) that can be quickly deployed and easily maintained Provides full reporting and import/export capabilities Provides multi-forest support Adres = pierwsza litera imienia +
44
Polityki provisioningu w AD i poza…
User Account Location, Unique Logon Generation, Strong Password Generation, Remote Access Home Folder & File Shares Location, NTFS permissions, Share permissions Create Policy Controlled Store Selection, Alias Generation Exchange Mailbox & IM Policy Group/Role Membership Access Control / Distribution Lists Policy Applications & Databases Cross Platform for non AD Integrated Policy Configure Unix/Linux & Java Linux/Unix/Java “Enabled” Policy Other Identity Manager Centralized Provisioning Cross-platform Policy Notifications Managers, HR and Support Policy Inform Manual Policy Affordable / Efficient / Error Free Completed in Minutes 44
45
Polityki de-provisioningu w AD i poza…
User Account Disable Account, Set/Clear Attributes, Move to Recycle Bin and Schedule for Deletion in 60-90 Home Folder & File Shares Revoke Access, assign permissions to Managers/Admins Lockdown Assign “Self”, Hide from GAL, permissions for Mgr/Admins Policy Exchange Mailbox & IM Policy Group/Role Membership Remove and Record Security and Distribution Group Memberships Applications & Databases Policy Initiate Cross Platform Deprovisioning Configure Unix/Linux & Java Policy Linux/Unix/Java “Disable” Deprovision ADLDS Policy Cross-platform Other Identity Manager Policy Managers, HR and Support Inform Manual Policy Notifications/ Reporting Policy Affordable / Efficient / Error Free Completed in Minutes Policy 45
46
Zatwierdzanie zmian - workflow
Configuration Approval & Activities Initiators Multi-Level Approval Object Owners Managers Specific User Specific Group Notifications PowerShell Extensibility Audit & Visibility Users Applications or Scripts Branching / Stopping Approve/Reject Graphical Workflow Designer Web Based Approval Management Approval workflow enables for an escalation of requests and establishes accountability and responsibility for changes. With this capability, Quest provides segregation of duties and tracking of requests and responses to help with security and compliance. A change approval process ultimately allows for better security and accountability within organizations. ActiveRoles Server provides a rich workflow system for directory data management automation and integration. Based on Microsoft’s Windows Workflows Foundation technology, this workflow system enables IT to define, automate and enforce management rules quickly and easily. Workflows extend the capabilities of ActiveRoles Server by delivering a framework that enables combining versatile management rules such as provisioning and de-provisioning of identity information in the directory, enforcement of policy rules on changes to identity data, routing data changes for approval, notifications of particular events and conditions, as well as the ability to implement custom actions using script technologies such as Microsoft Windows PowerShell. Suppose you need to provision user accounts based on data from external systems. The data is retrieved and then conveyed to the directory by using a service such as ActiveRoles Quick Connect that works in conjunction with ActiveRoles Server. A workflow can be created to coordinate the operations in account provisioning. For example, different rules can be applied for creating or updating accounts held in different containers. Workflows may also include approval rules that require certain changes to be authorized by designated persons (approvers). When designing an approval workflow, the administrator specifies which kind of operation causes the workflow to start, and adds approval rules to the workflow. The approval rules determine who is authorized to approve the operation, the required sequence of approvals, and who needs to be notified of approval tasks or decisions. Umożliwia podział obowiązków oraz śledzenie zmian w sposób bardziej kontrolowany i zgodny z bezpieczeństwem
47
Scentralizowanie raportowanie i historia zmian online
Śledzenie operacji i sprawdzanie Compliance Aktualna historia zmian oraz Śledzenie aktywności użytkownika Centralized reporting provides quick and easy tracking and reporting for auditors and management alike. This slide shows actual reports from ActiveRoles Server, illustrating operations tracking, compliance checking, and on-line administrator activity tracking.
48
Self-Service Umożliwia użytkownikom zarządzanie swoimi danymi osobistymi Centralne miejsce do zgłaszania zapotrzebowań na dostęp Umożliwia managerom kontrolować dostępy pracowników i jednocześnie zarządzać ich dostępami do aplikacji lub danych Umożliwia self-service konta (np. reset hasła)
49
Self-Service Manager
50
Self-Service Access Request Microsoft Resources
Workflow Secondary Owners Application, Data or Business Owner Self-Service Group Management Applications Databases Directories HR/ERP Systems Cross-platform with Quick Connect With ActiveRoles Server, users can modifying their personal data through a simple to use Self-Service web interface. This allows IS to manage, but not necessarily participate, in these time-consuming tasks. The benefit is seen in decreased help desk calls and IS administration time. Compliance Responsibility - No longer will the compliance burden and responsibility of granting access to sensitive resources fall to IT but to the data owner who knows who should or should not have access Prove Segregation of Duties – Via Rules we can establish segregation of duties and provide easily demonstrated access controls for compliance auditors Group Attestation - Ensures access groups are always current, up-to-date and remain necessary by periodically requiring data/application owners to review and certify their groups and group memberships Auditing & Tracking - Access group tracking is improved by providing history logs of reviews & certifications (attestation) throughout the life of a particular group Attestation Reporting Remediation Oversight Governance, Risk & Compliance
51
ActiveRoles Quick Connect
Umożliwia automatyczny provisioning, re-provisioning oraz de-provisioning tożsamosci ze śródeł danych takich jak HR/ERP/Lotus Notes/SharePoint i inne. Integruje się z systemem Microsoft FIM Prosty do konfiguracji, konfiguracja provisioningu zajmuje mniej niż 10 min. Synchronizacja tożsamości, synchronizowane są obiekty i atrybuty pomiędzy połączonymi systemami Synchronizacja dostępów, synchronizuje przynależność do grup pomiędzy połączonymi systemami Wykorzystuje PowerShell oraz możliwość wykonania zapytania na bazie Quick Connect extends ActiveRoles Server provisioning with identity and access synchronization. Regardless as to the location of your authoritative source of identity information, Quick Connect uses ActiveRoles Server to synchronize this information between your connected systems. Quick Connect enables: Cross platform provisioning- admin can grant access privileges one time instead of having go log-in to multiple systems to set up a new user. Synchronizes accounts and access in connected systems -User information is always up to date! Groups and roles are synchronized Grants access to connected applications, databases or directories Assigns administrative permissions Improves business efficiency, enhances productivity and lowers admin costs by eliminating redundant and manual data entry and custom coding
52
Quest Password Manager
Samoobsługa resetowania haseł przez użytkowników końcowych Samoobsługa odblokowywania kont Rozszerzone polityki haseł oraz zaawansowana kontrola haseł Definiowanie różnych polityk haseł w jednej domenie 52
53
Password Manager 53
54
Inne rozwiązania do administracji
GPOAdmin – zarządzanie GPO Quest Authentication Services Quest Single Sign-on for Java Privilege Manager for Unix Enterprise Single Sign-on 54
55
Rozwiązania do audytu/Compliance
Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków
56
Quest InTrust Bezpiecznie zbiera logi zdarzeń ze środowiska informatycznego Koreluje zdarzenia Oferuje inteligentne raportowanie Dostarcza raporty dla audytorów Kompresuje logi, długoterminowo je przechowuje Monitoring zdarzeń Real-time (alerty, wywoływanie akcji) 56
57
Quest InTrust 57
58
ChangeAuditor for Active Directory
Audytowanie Real-time zmian w Active Directory Śledzenie krycznych zmian w konfiguracji systemu Active Directory Poszerzona wewnętrzna kontrola autoryzowanych i nieautoryzowanych zmian Zabezpieczanie obiektów w AD Raportowanie dla biznesu o zmianach
59
ChangeAuditor for Active Directory
60
Quest Reporter Bieżące oraz zaplanowane kolekcjonowanie danych
Rozproszone kolektory danych, pracujące w trybie kompresji danych Architektura bezagentowa Widoki przystosowane pod klienta Raporty z możliwością podjęcia akcji na danych Kolekcjonowanie i przechowywanie danych historycznych Raporty przystosowane pod klienta Raporty historyczne Ponad 300 predefiniowanych, edytowalnych raportów Elastyczne raporty z możliwości zapisu do formatów: Excel, PDF, CSV, RTF oraz HTML 60
61
Quest Reporter 61
62
Inne rozwiązania dla Compliance
Quest Authentication Services Quest Single Sign-on for Java ActiveRoles Server Privilege Manager for Unix Defender Password Manager Enterprise Single Sign-on 62
63
Quest One Identity Solution
Podsumowanie
64
Podsumowanie Quest Software upraszcza zarządzanie środowiskiem IT oraz dostęp do niego poprzez: Zwiększenie wydajności dzięki automatyzacji zarządzania tożsamością w wielu systemach oraz konsolidację tożsamości różnych systemó w Active Directory Zwiększenie bezpieczeństwa dzięki implementacji silnych mechanizmów uwierzytelniania dla wielu systemów, wsparciu dla smart card i tokenów oraz kontrolę uprawnionych kont Osiągnięcie zgodności z Compliance z potężnym, zintegrowanym audytem, raportowaniem, konsolidacją tożsamości, jednokrotnym logowaniem, wymuszaniem polityk audytu oraz podziałem obowiązków na użytkowników 64 64 64
65
Opinie o Quest One “Quest could easily emerge as an IAM market leader over the next several years – the company has strong executive leadership in the IAM space and a strong relationship with Microsoft, and it seems to be making the necessary moves to position itself for a leadership role in the mid- to large-scale enterprise.” Quest Software is one of the leading vendors of solutions for Windows Management and IAM/GRC, with focus on Add-ons mainly to Active Directory-centric environments. Thus Quest has a clear and strong positioning at the market and appears as a well established and solidly financed vendor in that market. Quest Software can as well provide (more or less) complete solutions, especially in the SME market segment, as value-adds to existing IT infrastructures even in very large organizations, improving the Active Directory management, the integration with Unix , Linux and Mac and providing as well a deeper level of integration with Active Directory and a higher degree of control than typical IAM solutions do today. Thus we recommend evaluating the Quest Software portfolio, depending on the current IT infrastructure and requirements, in the context of the business cases mentioned above.
66
Quest One Identity Solution
Dostęp do większej ilości informacji
67
Projekty IAM
68
Portal społecznościowy dla użytkowników ARS
Forum dyskusyjne Dodatkowe dokumenty Przydatne narzędzia i skrypty
69
Dziękuję za uwagę! Grzegorz Szafrański g.szafranski@quest-pol.com.pl
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.