Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
OpublikowałSylwia Januchowski Został zmieniony 11 lat temu
1
„Quest One – uproszczone podejście do zarządzania dostępem i tożsamością”
Grzegorz Szafrański Quest Polska Quest Executive Briefing 2010 21 maja 2010r.
2
Agenda Wprowadzenie w temat IAM (Identity and Access Management)
Wyzwania współczesnego środowiska IT Koncepcja zarządzania tożsamością i dostępem w Quest One Rozwiązania do uwierzytelniania i integracji systemów Rozwiązania do autoryzacji Rozwiązania do administracji Audyt bezpieczeństwa środowiska heterogenicznego Podsumowanie
3
Co to jest zarządzanie dostępem i tożsamością?
Czy jest to uwierzytelnianie? Czy jest to autoryzacja? Czy jest to provisioning? Czy może zarządzanie hasłami? Czy jest to jednokrotne logowanie? Czy jest to inspekcja zdarzeń i zgodność z regulacjami „compliance”? A może jest to synchronizacja haseł? Czy w ogóle jesteśmy w stanie to osiągnąć? Odpowiedzi znajdują się powyżej!
4
Budowa współczesnego środowiska IT
Mainframe + Virtual env. Unix Unix Applications Windows/AD Unix Unix Mainframe Is your environement anything like this?: Almost everyone has got Windows and AD [CLICK] They’ve also got enterprise applications like Oracle, SAP, People soft, Siebel, etc. [CLICK] And they’ve got other applications that are outside of Windows [CLICK] and those applications all must live somewhere, in most case they are on Unix and Linux boxes [CLICK] And most customers also have Java applications both within the firewall and outside [CLICK] And maybe they also have Mac desktops [CLICK] and they probably have a mainframe or two . . . So they’ve got lots of stuff, and it doesn’t necessarily all play nicely together. Each one probably has its own directory, its own logins, and its own identity for each user. Applications Unix
5
Wyzwania współczesnego środowiska IT
Średnio w firmach występuje około 31 różnych katalogów (repozytoriów użytkowników)(3) W firmach liczących około pracowników na jednego użytkownika przypada 14 różnych haseł(2) Ostatni sondaż przeprowadzony przez RSA Security wykazał, że na 10 badanych osób 9 jest sfrustrowana ilością posiadanych identyfikatorów użytkownika i haseł, jakimi muszą zarządzać(1) Dla 58% z badanych firm czas potrzebny na wykonanie de-provisoningu pracownika wynosi więcej niż 24 godziny(3) Wniosek: Im większe i bardziej rozbudowane środowisko, tym trudniej nad nim zapanować i kontrolować In fact some information from analysts supports this: The average company has 31 separate directories (that means a possibility of 31 separate identities for any one individual) The average user in a 10,000-employee organization has 14 separate passwords – all of which need to be managed and probably reset at one time or another 9 out of 10 companies are frustrated with how many identities and passwords they have to manage And way more than half of companies are having trouble with security and compliance because it takes more than 24 hours to de-provision an employee 1 “Reduced Sign-on” Burton Group Reference Architecture Technical Position – September 6, 2006 2 International Data Group 3 “Dealing with Directories: Fewer Fuels Faster and More Efficient Operations—Aberdeen Research Brief – June 2007 5
6
Problem z wybraniem właściwego rozwiązania?
Wysokie koszty wdrożenia rozwiązania IAM Dostępne na rynku rozwiązania posiadają ukryte dodatkowe koszty przewyższające niekiedy 6-cio krotnie zakup licencji oprogramowania Wiedza na temat integrowanego środowiska nie jest uwidoczniona w technologii produktu Większość rozwiązań IAM wprowadza dodatkowy katalog Meta-katalogi są tak naprawdę dodatkowymi katalogami, którymi trzeba zarządzać Niektóre rozwiązania oparte o meta-katalog potrzebują nie 1 lecz 2 dodatkowych katalogów oraz bazy danych
7
Problemy z wybraniem właściwego rozwiązania?
Producenci oprogramowania IAM nie skupiają się na najważniejszym: Active Directory Wszechobecności AD oraz popularności działających na stacjach/serwerach Windows systemów lub aplikacji SharePoint/Exchange/OCS/Office/SQL/Oracle itd. Termin “Provisioning” dla większości producentów systemów IAM definiowany jest jako „provisioning” pojedynczej prostej operacji tworzenia konta w kilku systemach Inwestycja poniesiona na wdrożenie Active Directory nie jest wykorzystana do maksimum jego możliwości
8
Jak wybrać odpowiednie rozwiązanie?
9
Uproszczone podejście do zarządzania dostępem i tożsamością
Well, now there is. It’s called Quest One Identity Solution. [click to display the logo] While the technical name of the brand is Quest One Identity Solution, we will also refer to it colloquially as Quest One and the real key to the brand is the concept of “One Indentity”. The fingerprint, of course, signifying the one identity each of us has (or should have, as opposed to the dozens we’ve probably got now). [click to display tagline] The tagline is Secure | Efficient | Compliant. This is because of the three drivers of virtually all Identity and Access Management projects. [click to get to one] What is the essence of Quest One? It’s about getting to one. Get to one identity, get to one directory, get to one management platform and getting to one solution – the Quest One Identity Solution. [click for solution description] I’d like to have you focus on a few key words here: 1) Active Directory – that’s core to our message. As we “get to one” the one we want to get to is Active Directory mainly because it’s something everyone already has, it probably already has an identity for the biggest portion of your users, and frankly, Active Directory is a pretty darn good directory. We can’t always do it. But we try. 2) Speed implementations – This is important. If you’re a large company in an Identity and Access Management project, we make it faster. If you are a mid-sized company intimidated by traditional large Identity and Access Management implementations, fear no more. How do we do it.
10
Wprowadzenie do Quest One
Integracja tożsamosci i systemów systemy Unix oraz Linux systemy HR, Oracle, SAP oraz inne aplikacje Java/ERP/inne Automatyzacja procesów Provisioning, re-provisioning Zarządzanie rolami Zatwierdzanie zmian HP-UX Compliance Raportowanie Audytu Kontrola dostępów Compliance Portal Bezpieczeństwo Zarządzanie hasłami De-provisioning Tokeny HR DB2 Uproszczone zarządzanie Rozszerzenie możliwości do systemów nie-Windowsowych
11
Quest integruje różne konta użytkowników Unix/Linux/Java do pojedynczego, dobrze zabezpieczonego środowiska Active Directory Quest może zintegrować Państwa środowisko tak że ta sama bezpieczna infrastruktura Active Directory która dobrze pracuje dla środowisk Windows może także być podstawą do autentykacji i zarządzania tożsamością dla systemów Unix, Linux i Java. Dzięki tej technologii systemy te mogą dołączyć się do domeny. Możemy także zastosować pewnego rodzaju technologię synchronizacji aby pomóc zarządzać tożsamością w starych systemach o których wcześniej mówiliśmy. Quest może dostarczyć bardzo silną integrację która pozwoli wykorzystać wiele aspektów synchronizacji katalogów
12
Następnie, Quest pomaga zarządzać tym zintegrowanym środowiskiem i podnosić wydajność pracy poprzez automatyczny provisioning i de-provisioning W tym momencie wszystkie systemy uczestniczą jako pełnoprawni członkowie w Active Directory. Teraz możemy wykorzystać metody np.. Automatycznego provisioningu i rozciągnąć to rozwiązanie na całe nasze środowiska – Windows, Unix, Linux, i Java.
13
Wzmocnione bezpieczeństwo
Poprzez zarządzanie hasłami dla wszystkich, zintegrowanych systemów + zabezpieczenia tokenowe. W ten sam sposób możemy zastosować rozwiązania do zarządzania politykami haseł. Dla przykładu rozwiązanie do samodzielnego resetowania hasła może być wykorzystane w systemach Windows, Unix, Linux i Java ponieważ wszystkie one są pełnoprawnymi członkami katalogu Active directory
14
I spełnienie wymagań dotyczących wewnętrznych/zewnętrznych regulacji
Poprzez dostarczanie danych potrzebnych do audytu środowiska i raportowanie o wszystkich zdarzeniach związanych z tożsamością w tym zintegrowanym środowisku I dużo łatwiej jest spełniać wszelkie zewnętrzne i wewnętrzne regulacje ponieważ jedno narzędzie do audytu może śledzić wszystkie zdarzenia związane z obsługą tożsamości wewnątrz Active Directory a to przekłada się na aktywność w systemach Windows, Unix, Linux i Java
15
Integracja innych systemów w AD (współpraca z Quest Quick Connect lub FIM)
16
Połączyliśmy nasze doświadczenie w zarządzaniu AD i nasze technologie aby umożliwić Państwu znacznie uproszczone zarządzanie tożsamością w tak rozbudowanym środowisku. Produkty które mogą wchodzić w skład tego rozwiązania to : Vintela Authentication Services i Vintela Single Sign-on for Java dla integracji systemów nie-Windowsowych wewnątrz katalogu AD ActiveRoles Server dla wieloplatformowego provisioningu Password Manager dla wieloplatformowego samodzielnego zarządzania hasłami Quest Reporter narzędzie raportujące o wszelkich parametrach związanych z tożsamością w naszym heterogenicznym środowisku And InTrust for Active Directory dla dynamicznego audytu, kontroli i powiadamiania o zdarzeniach związanych z tożsamością W rezultacie otrzymujemy całościowe rozwiązanie do zarządzania tożsamością dla systemów Windows, Unix, Linux, i Java które w znaczący sposób upraszcza sposób zarządzania tożsamością. Nasze podejście zastosowaliśmy już w wielu przedsiębiorstwach gdzie: Podnosiliśmy bezpieczeństwo Pokazywaliśmy ścieżkę dojścia do śledzenia zgodności z regulacjami Znacząco podnosiliśmy wydajność operacyjną działów IT
17
Studium przypadku użytkownika końcowego
Mainframe Virtual env. QuickConnect ? HR System Tworzenie konta Audyt delegowanych ról Śledzenie zmian i procesów Audytowanie zdarzeń Analiza anomalii Raportowanie tożsamości
18
Praktyczny provisioning użytkowika
Krok Proces natywny Quest One Dodanie pracownika do systemu HR 5 minut HR 5 minut Automatycznie Utworzenie konta użytkownika w Active Directory Umiejscowienie, unikalna nazwa, hasło, atrybuty 10 minut Tworzenie Utworzenie skrzynki na Exchange Wybranie odpowiedniego Stora, utworzenie aliasu 5 minut Stworzenie katalogu domowego Lokalizacja, uprawnienia NTFS, uprawnienia udziału 5 minut 10 minut Dodanie użytkownika do grup Grup Security oraz Dystrybucyjnych Konfiguracja Przypisanie uprawnień administracyjnych i roli 10 minut Many groups of administrators are involved when provisioning with native tools – and some of these admin groups are highly-paid people. Typically there are only a few high-level administrators that have the “know-how” to do this. It often takes hours to set the correct access per user, and It’s human intensive, and with so many humans involved, it is error-prone and expensive. Utworzenie konta w innych systemach Unix/Linux, Oracle, Notes, SAP, itd. 10 minut Poinformowanie Biznesu do IT, Service Desk, Management’u, itd. 10 minut Inform. 65 minut Łączna aktywność: Dalsza aktywność: Godziny / Dni
19
Czy Quest One się opłaca?
Koszt zakupu Quest One Koszt obsługi Help Desk 1 000 liczba użytkowników: Ilość zmian w roku na użytkowniku: x 8 1 000 liczba użytkowników cena listowa (per user) x 160 PLN = 8 000 Łącznie ilość zmian Help Desk Koszt wykonania zmiany x 30 PLN Cena łącznie za licencje = PLN Koszt całkowity wykonywanych zmian na użytkownikach = PLN Koszt zakupu rozwiązania Quest One - ROI w około 8 miesięcy!!! PLN Oszczędności = PLN *Gartner Study ID #: G
20
Możliwości systemu Quest One
Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów
21
Rozwiązania dla uwierzytelniania
Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków
22
Quest Authentication Services
Przyłącza systemy Unix, Linux oraz Mac do Active Directory Zastępuję/eliminuje usługę NIS Rozszerza możliwości Active Directory do środowiska nie-Windows’owego Single sign-on dla standardowych aplikacji Rozszerzenie smart-card’ów do serwerów nie-Windows SSO dla SAP Group Policy dla Unix, Linux oraz Mac Ponad 600 klientów Ponad 3,5 miniona użytych licencji 22
23
Przejście z tego. . .
24
Przejście z tego. . . do tego!
25
Jak integrujemy serwery Unix/Linux?
UNIX SYSTEMS PAM NSS Unix System Authentication & Identity YPBIND (NIS) MMC Users and Computers Snapin Active Roles Server WINDOWS 2000/2003/2008 Server Active Directory Windows Desktops Kerberos/LDAP Authentication/Authorization API Kerberos LDAP Library Caching Daemon Quest Authentication Services Unix Client YPSERV Quest Authentication Services Snapin Extension
26
Quest Single Sign-on for Java
Oparte na kontach Active Directory logowanie single sign-on dla aplikacji Java Federacja uprawnień Kerberos dla Java “Czysta” implementacja Java 26
27
To samo . . . tylko dla aplikacji Java
28
Quest Enterprise Single Sign-on
SSO wykorzystujące Active Directory Wymuszanie polityk dostępowych oraz bezpieczeństwa w środowisku Pojedynczy punkt uwierzytelniania dla wszystkich zasobów Zwiększa produktywność IT oraz wydajność użytkowników Raportowanie audytu/Compliance Polityki dostępowe dla Desktopów 28
29
Quest Enterprise Single Sign-on
29
30
Quest Defender Mocne, dwu-warstwowe uwierzytelnianie
Active Directory-based Wsparcie dla szerokiej listy systemów i aplikacji Niezależność od producenta tokenów Tokeny Hardware lub software Brak konieczności stawiania dodatkowej infrastruktury serwerowej ZeroIMPACT Migrations Raportowanie 30
31
Quest Defender 31
32
inne rozwiązania dla uwierzytelnienia
Password Manager 32
33
Rozwiązania do autoryzacji
Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków
34
Privilege Manager for Unix
Uszczegółowiona kontrola uprawnień root na serwerach Unix Raportowanie oraz inspekcja aktywności root Logowanie aktywności i odgrywanie sesji root’a na Unix’ach 34
35
Privilege Manager for Unix
35
36
Privilege Manager for Unix
36
37
Webthority Removes vulnerability of systems, data and applications
Supports a wide range of authentication methods Supports a wide range of security systems Enables web single sign-on Across multiple, distributed content server and websites Role-based access control for remote/mobile users Compliance Access control Audit (helps satisfy PCI, SOX, GLBA, and other financial audits) Saves money – only one SSL certificate is needed
38
Webthority
39
Access Manager Oferuje pojedynczą konsolę umożliwiającą działom IT kontrolować i zarządzać dostępami użytkowników do zasobów serwerowych Windows takich jak pliki, foldery, udziały oraz lokalne uprawnienia administracyjne. „Gdzie użytkownik X ma przydzielony dostęp?” “Czy użytkownik X ma prawidłowe uprawnienia i dostęp w środowisk’u?” “Poprzez jaką grupę użytkownik X ma nadany dostęp?” “Gdzie grupa ma przydzielone inne dostępy?” Umożliwia stworzenie czytelnego raportu o dostępach Delegowanie ról do zarządzania uprawnieniami do zasobów Umożliwia identyfikowanie i usuwanie nierozwiązywalnych SID’ów Umożliwia podmianę uprawnień użytkownika/grupy na inne Centralnie zarządza uprawnieniami
40
Weryfikacja uprawnień i dostępów grupy zanim zostanie do niej przydzielona osoba…
The disconnect between Active Directory security and the security that controls access to files, folders, shares and other user entitlements means there is no viable way to gain visibility, consistently enforce, or efficiently manage access to those resources. This lack of access control over applications and data puts security and compliance initiatives in jeopardy. Over time, the level of access granted to users or groups grows yet is rarely reviewed or revoked. The result is users with more access than required and the possibility that users will exercise their access in an inappropriate or dangerous way. Ultimately, these issues leave organizations in an unmanageable, insecure, and reactive state where it’s impossible to maintain operational efficiency or sustained compliance. Quest can help. Quest Access Manager provides a clear view, via a single console, to identify the files, folders, shares and other entitlements users and groups can access throughout the enterprise. This granular visibility and strict control enables organizations to meet security and compliance requirements, control operational costs and better manage user access. Quest can help. Quest Access Manager provides a clear view, via a single console, to identify the files, folders, shares and other entitlements users and groups can access throughout the enterprise. This granular visibility and strict control enables organizations to meet security and compliance requirements, control operational costs and better manage user access. Click1. In this example Peter a clerk from finance team requests membership to an AD group called SOX Finance Reports calls help desk and requests access to the group, because there is no way for helpdesk team or any other IT staff for that matter to know where a security group membership might ultimately grant access to in the whole network given there are thousands of groups in AD and it would be impossible to ascertain in real time all folders,shares,files and server admin rights or OS local rights where a group might grant access to , so what ends up happening all the time is that IT is granting BLIND access to resources on the network as there is no provision in AD to verify where a group is granting access to on the whole network. With Access Manager this High-Risk Security Gap can be mitigated by attesting where a group grants access on all managed servers in real time before granting membership in the group . Access Manager Integrates with ADUC so you can easily and without having to learn a brand new propriety interface can right- click on the group you want to attest access for and it will provide you a real-time view of all folders, shares, files, Local OS rights and Admin rights where this particular group might be granting access to whether is directly through the group or indirectly via another group where this group is a member of. Click 2. Notify how I am able in real time to see the Finance SOX group grants access to 2 Servers on the network SOM 7 and SRV1 and it details all the shares/folders and files where this group grants access to directly , notice that on the earnings forecast share it details that it grants change and read access to that share and on the finances share it provides Read access. this allows the person responsible for assigning access clear visibility of all access this group will grant to its members and then they can either accept or reject request depending on internally defined policies.
41
Rozwiązania do zarządzania IAM
Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków
42
ActiveRoles Server
43
Delegacja uprawnień oparta o Role
Codzienna administracja AD / AD LDS Architekci AD Tworzenie OU Tworzenie obiektów Przyłączanie komputerów Computers Domain Controllers Starsi Administratorzy Administratorzy skrzynek pocztowych Tworzenie/Usuwanie skrzynek Przenoszenie skrzynek Aktualizacja adresów APAC EMEA North America Administratorzy Exchange Service Desk Tworzenie użytkowników/grup Reset haseł, Odblokowywanie kont New York Mexico City Administratorzy OU / Help Desk Samoobsługa konta Cross-platform Aktualizacja danych personalnych Wnioskowanie o dostęp Aktualizacja nr telefonu Role-based delegation controls the access of varying groups of administrators. ActiveRoles Server helps organization delegate varying responsibility levels regarding AD, AD LDS, and DNS. This means administrators assigned to a particular role only have access to particular areas of AD, AD LDS, and/or DNS allowed in that role. As administrators are added or removed from these role templates, their access and responsibilities dynamically change, depending on which “role” they are assigned. Why does this matter? – Natively if you have admin rights to AD, AD LDS, or DNS you have access and visibility into everything! So from a low-level help desk associate through to high-level architects – everyone has the same rights or privileges. The more people with total access - the greater the chance for human error or malicious intent that could result in failure of AD, AD LDS and DNS working properly and that effects nearly all users like you and me. Most organization of any size want to be able to limit what parts of AD, AD LDS, DNS different levels of ADmins have so as to minimize risks of these failures! Aplikacje Samoobsługa konta Właściciele aplikacji/danych Bazy danych Zarządzanie dostępem Przypisywanie asystentów Weryfikacja ról Katalogi Właściciele Aplikacji/Danych Platformy Funkcja Rola w organizacji Dostęp 43
44
Zachowanie integralności danych - reguły
Przykład reguły biznesowej Wygenerowanie Wyświetlanej nazwy Opis nie może pozostać pusty Numer telefonu musi składać się z ### - ### - #### Rules enforce organizational policy and ensure data consistency. ActiveRoles Server’s rules are used to provide consistency and standardization within organizations, for example, using the same format for phone numbers. Data consistency is a constant struggle for all organization causing administrators to added time to find the correct objects and attributes to modify, creates inconsistencies when organization seek to share data among applications and systems. Provides administrative layer between users and Active Directory, for strict enforcement of operating policies and to eliminate unregulated access - Enforces “Least Privilege” Model Enables centralized auditing and reporting of directory-related changes Simplifies the process of delegating rights by abstracting the required delegation into roles (or templates) that can be quickly deployed and easily maintained Provides full reporting and import/export capabilities Provides multi-forest support Adres = pierwsza litera imienia +
45
Polityki provisioningu w AD i poza…
User Account Location, Unique Logon Generation, Strong Password Generation, Remote Access Home Folder & File Shares Location, NTFS permissions, Share permissions Create Policy Controlled Store Selection, Alias Generation Exchange Mailbox & IM Policy Group/Role Membership Access Control / Distribution Lists Policy Applications & Databases Cross Platform for non AD Integrated Policy Configure Unix/Linux & Java Linux/Unix/Java “Enabled” Policy Other Identity Manager Centralized Provisioning Cross-platform Policy Notifications Managers, HR and Support Policy Inform Manual Policy Affordable / Efficient / Error Free Completed in Minutes 45
46
Polityki de-provisioningu w AD i poza…
User Account Disable Account, Set/Clear Attributes, Move to Recycle Bin and Schedule for Deletion in 60-90 Home Folder & File Shares Revoke Access, assign permissions to Managers/Admins Lockdown Assign “Self”, Hide from GAL, permissions for Mgr/Admins Policy Exchange Mailbox & IM Policy Group/Role Membership Remove and Record Security and Distribution Group Memberships Applications & Databases Policy Initiate Cross Platform Deprovisioning Configure Unix/Linux & Java Policy Linux/Unix/Java “Disable” Deprovision ADLDS Policy Cross-platform Other Identity Manager Policy Managers, HR and Support Inform Manual Policy Notifications/ Reporting Policy Affordable / Efficient / Error Free Completed in Minutes Policy 46
47
Zatwierdzanie zmian - workflow
Configuration Approval & Activities Initiators Multi-Level Approval Object Owners Managers Specific User Specific Group Notifications PowerShell Extensibility Audit & Visibility Users Applications or Scripts Branching / Stopping Approve/Reject Graphical Workflow Designer Web Based Approval Management Approval workflow enables for an escalation of requests and establishes accountability and responsibility for changes. With this capability, Quest provides segregation of duties and tracking of requests and responses to help with security and compliance. A change approval process ultimately allows for better security and accountability within organizations. ActiveRoles Server provides a rich workflow system for directory data management automation and integration. Based on Microsoft’s Windows Workflows Foundation technology, this workflow system enables IT to define, automate and enforce management rules quickly and easily. Workflows extend the capabilities of ActiveRoles Server by delivering a framework that enables combining versatile management rules such as provisioning and de-provisioning of identity information in the directory, enforcement of policy rules on changes to identity data, routing data changes for approval, notifications of particular events and conditions, as well as the ability to implement custom actions using script technologies such as Microsoft Windows PowerShell. Suppose you need to provision user accounts based on data from external systems. The data is retrieved and then conveyed to the directory by using a service such as ActiveRoles Quick Connect that works in conjunction with ActiveRoles Server. A workflow can be created to coordinate the operations in account provisioning. For example, different rules can be applied for creating or updating accounts held in different containers. Workflows may also include approval rules that require certain changes to be authorized by designated persons (approvers). When designing an approval workflow, the administrator specifies which kind of operation causes the workflow to start, and adds approval rules to the workflow. The approval rules determine who is authorized to approve the operation, the required sequence of approvals, and who needs to be notified of approval tasks or decisions. Umożliwia podział obowiązków oraz śledzenie zmian w sposób bardziej kontrolowany i zgodny z bezpieczeństwem
48
Scentralizowanie raportowanie i historia zmian online
Śledzenie operacji i sprawdzanie Compliance Aktualna historia zmian oraz Śledzenie aktywności użytkownika Centralized reporting provides quick and easy tracking and reporting for auditors and management alike. This slide shows actual reports from ActiveRoles Server, illustrating operations tracking, compliance checking, and on-line administrator activity tracking.
49
Self-Service Umożliwia użytkownikom zarządzanie swoimi danymi osobistymi Centralne miejsce do zgłaszania zapotrzebowań na dostęp Umożliwia managerom kontrolować dostępy pracowników i jednocześnie zarządzać ich dostępami do aplikacji lub danych Umożliwia self-service konta (np. reset hasła)
50
Self-Service Manager
51
Self-Service Access Request Microsoft Resources
Workflow Secondary Owners Application, Data or Business Owner Self-Service Group Management Applications Databases Directories HR/ERP Systems Cross-platform with Quick Connect With ActiveRoles Server, users can modifying their personal data through a simple to use Self-Service web interface. This allows IS to manage, but not necessarily participate, in these time-consuming tasks. The benefit is seen in decreased help desk calls and IS administration time. Compliance Responsibility - No longer will the compliance burden and responsibility of granting access to sensitive resources fall to IT but to the data owner who knows who should or should not have access Prove Segregation of Duties – Via Rules we can establish segregation of duties and provide easily demonstrated access controls for compliance auditors Group Attestation - Ensures access groups are always current, up-to-date and remain necessary by periodically requiring data/application owners to review and certify their groups and group memberships Auditing & Tracking - Access group tracking is improved by providing history logs of reviews & certifications (attestation) throughout the life of a particular group Attestation Reporting Remediation Oversight Governance, Risk & Compliance
52
ActiveRoles Quick Connect
Umożliwia automatyczny provisioning, re-provisioning oraz de-provisioning tożsamosci ze śródeł danych takich jak HR/ERP/Lotus Notes/SharePoint i inne. Integruje się z systemem Microsoft FIM Prosty do konfiguracji, konfiguracja provisioningu zajmuje mniej niż 10 min. Synchronizacja tożsamości, synchronizowane są obiekty i atrybuty pomiędzy połączonymi systemami Synchronizacja dostępów, synchronizuje przynależność do grup pomiędzy połączonymi systemami Wykorzystuje PowerShell oraz możliwość wykonania zapytania na bazie Quick Connect extends ActiveRoles Server provisioning with identity and access synchronization. Regardless as to the location of your authoritative source of identity information, Quick Connect uses ActiveRoles Server to synchronize this information between your connected systems. Quick Connect enables: Cross platform provisioning- admin can grant access privileges one time instead of having go log-in to multiple systems to set up a new user. Synchronizes accounts and access in connected systems -User information is always up to date! Groups and roles are synchronized Grants access to connected applications, databases or directories Assigns administrative permissions Improves business efficiency, enhances productivity and lowers admin costs by eliminating redundant and manual data entry and custom coding
53
Quest Password Manager
Samoobsługa resetowania haseł przez użytkowników końcowych Samoobsługa odblokowywania kont Rozszerzone polityki haseł oraz zaawansowana kontrola haseł Definiowanie różnych polityk haseł w jednej domenie 53
54
Password Manager 54
55
Inne rozwiązania do administracji
GPOAdmin – zarządzanie GPO Quest Authentication Services Quest Single Sign-on for Java Privilege Manager for Unix Enterprise Single Sign-on 55
56
Rozwiązania do audytu/Compliance
Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków
57
Quest InTrust Bezpiecznie zbiera logi zdarzeń ze środowiska informatycznego Koreluje zdarzenia Oferuje inteligentne raportowanie Dostarcza raporty dla audytorów Kompresuje logi, długoterminowo je przechowuje Monitoring zdarzeń Real-time (alerty, wywoływanie akcji) 57
58
Quest InTrust 58
59
ChangeAuditor for Active Directory
Audytowanie Real-time zmian w Active Directory Śledzenie krycznych zmian w konfiguracji systemu Active Directory Poszerzona wewnętrzna kontrola autoryzowanych i nieautoryzowanych zmian Zabezpieczanie obiektów w AD Raportowanie dla biznesu o zmianach
60
ChangeAuditor for Active Directory
61
Quest Reporter Bieżące oraz zaplanowane kolekcjonowanie danych
Rozproszone kolektory danych, pracujące w trybie kompresji danych Architektura bezagentowa Widoki przystosowane pod klienta Raporty z możliwością podjęcia akcji na danych Kolekcjonowanie i przechowywanie danych historycznych Raporty przystosowane pod klienta Raporty historyczne Ponad 300 predefiniowanych, edytowalnych raportów Elastyczne raporty z możliwości zapisu do formatów: Excel, PDF, CSV, RTF oraz HTML 61
62
Quest Reporter 62
63
Inne rozwiązania dla Compliance
Quest Authentication Services Quest Single Sign-on for Java ActiveRoles Server Privilege Manager for Unix Defender Password Manager Enterprise Single Sign-on 63
64
Podsumowanie Quest Software upraszcza zarządzanie środowiskiem IT oraz dostęp do niego poprzez: Zwiększenie wydajności dzięki automatyzacji zarządzania tożsamością w wielu systemach oraz konsolidację tożsamości różnych systemó w Active Directory Zwiększenie bezpieczeństwa dzięki implementacji silnych mechanizmów uwierzytelniania dla wielu systemów, wsparciu dla smart card i tokenów oraz kontrolę uprawnionych kont Osiągnięcie zgodności z Compliance z potężnym, zintegrowanym audytem, raportowaniem, konsolidacją tożsamości, jednokrotnym logowaniem, wymuszaniem polityk audytu oraz podziałem obowiązków na użytkowników 64 64 64
65
Opinie o Quest One “Quest could easily emerge as an IAM market leader over the next several years – the company has strong executive leadership in the IAM space and a strong relationship with Microsoft, and it seems to be making the necessary moves to position itself for a leadership role in the mid- to large-scale enterprise.” Quest Software is one of the leading vendors of solutions for Windows Management and IAM/GRC, with focus on Add-ons mainly to Active Directory-centric environments. Thus Quest has a clear and strong positioning at the market and appears as a well established and solidly financed vendor in that market. Quest Software can as well provide (more or less) complete solutions, especially in the SME market segment, as value-adds to existing IT infrastructures even in very large organizations, improving the Active Directory management, the integration with Unix , Linux and Mac and providing as well a deeper level of integration with Active Directory and a higher degree of control than typical IAM solutions do today. Thus we recommend evaluating the Quest Software portfolio, depending on the current IT infrastructure and requirements, in the context of the business cases mentioned above.
66
Quest One Identity Solution
Dostęp do większej ilości informacji
67
Projekty IAM
68
Portal społecznościowy dla użytkowników ARS
Forum dyskusyjne Dodatkowe dokumenty Przydatne narzędzia i skrypty
69
Dziękuję za uwagę! Grzegorz Szafrański g.szafranski@quest-pol.com.pl
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.