Решение Sun по управлению сетевой идентификацией и правами доступа пользователей Ярослав Славченко, Sun Microsystems Sun Proprietary & Сетевая идентификация (Identity Management) Управление сетевой идентификацией включает в себя бизнеспроцессы и технологии для управления жизненным циклом идентификационной информации по отношению к приложениям и сервисам Примерные сценарии: 1. Прием на работу нового сотрудника 2. Изменение фамилии сотрудника 3. Изменение должности сотрудника 4. Увольнение сотрудника 5. Телефонный и e-mail справочник 6. Организационная структура 7. Однократная аутентификация/авторизация 8. Смена пароля пользователя то же отношению к внешним пользователям Sun Proprietary & Сетевая идентификация Компоненты Администрирование Управление - Паролями - Пользователями - Синхронизацией - Политиками Администраторы Транзакции Аутентификация Авторизация Передача информации Сотрудники Хранилище Справочники информации Атрибуты Плоские файлы Базы данных Партнеры CR M eCommerc e ER P Клиенты H R SC M Sun Proprietary & Интегрированное решение для управления сетевой идентификацией Админиcтрирование через Web Identity Manager Access Manager Directory Server EE Управление польз-ми Single-Sign-On Сервисы LDAP Управление паролями Управление доступом Высокая доступность Синхронизация Федерация Синхронизация с AD Аудит и отчеты Интегрированное решение – одна платформа, один разработчик Интегрируемое решение – открытые стандарты, совместимость Sun Proprietary & Проблемы управления доступом: фрагментация, уязвимости, сложность Клиенты ● ● ● Сотрудники ● ● Кто к чему имеет доступ? Как всем этим управлять? Как внедрять новые сервисы? Как создавать отчеты по правам? Как проводить аудит? Каталоги Базы данных Приложения Партнеры Web-сервисы Унаслендованные системы Sun Microsystems, Inc. Proprietary & Confidential Хранилище Sun Java System Directory Server Безопасный, высокодоступный, масштабируемый сервер каталогов ● ● ● ● Proxy Services Services более 1,5 миллиарда пользователей Встроенные механизмы защиты – предотвращение атак DoS, управление доступом Непревзойденная Безопасность Эффективность Сохранение инвестиций Простота Directory Server Enterprise Directory Edition Самый популярный LDAP-сервер - производительность и масштабируемость Репликация Multi-master для обеспечения высокой доступности Управление через Web-интерфейс Прокси-LDAP для безопасности AD Synch Синхронизация паролей с Active Directory Основанная на открытых стандартах & Sun Proprietary Sun Java System Access Manager ● ● Решение для однократной аутентификации, управления доступом и построения доверительных областей ● ● ● ● ● ● Безопасность Удобство пользователей Эффективность администрирования Однократная аутентификация (Single signon) упрощает работу пользователей и повышает безопасность Основанная на ролях/правилах авторизация позовляет реализовать централизованную политику безопасности Федеративные доверительные области расширяют возможности партнерства Масштабируемость до сотен миллионов пользователей Упрощение процедур аудита Администрирование GUI Аудит CLI Управление доступом Федеративная модель Сервисы Аутентификация Авторизация Ресурсы Sun Proprietary & Отчеты Single Sign-On Приложения Аудит Реестры Сессии Архитектура Access Manager ● ● Единственное в индустрии J2EE решение для IM – Java Servlet-ы в web-контейнере JVM – Распределенность и модульность – Простота настройки, расширения и интеграции на Java, XML & C Высокая масштабируемость и надежность – ● Многуровневая балансировка нагрузки и кластеризация J2EE На основе открытых стандартов и API: – JAAS, JDK 1.4 Log API, Liberty, SAML и т.д. Sun Microsystems, Inc. Proprietary & Confidential Сервисы аутентификации ● Стандарты, возможность расширения – ● Готовая реализация схем: – ● Поддержка JAAS (Java Auth. Auth. Service), SAML (Security Assertion Markup Language), Liberty Alliance LDAP, сертификаты X.509, SecurID, RADIUS, Unix, HTTP, Safeword, Mobile Subscriber ISDN (MSISDN), SAML, JDBC, Microsoft Active Directory, Microsoft Windows Kerberos/SPNEGO, Windows NT, Kerberos, формы, саморегистрация и анонимная Гибкая конфигурация – На орг./ресурс, многофакторная, многоуровневая, с блокировкой при ошибке Sun Microsystems, Inc. Proprietary & Confidential Single Sign-On и сессии ● Удобно для пользователей современных ИС – ● Поддержка SSO из разных доменов – – ● SSO для пользовательской среды Microsoft Windows Windows клиент SAML, Liberty, Windows Сессионные cookies и преобразование URL Сервисы управления сессиями – – – – timeout-ы для сессий к определенным ресурсам upgrade сессий для особых приложений Автоопределение мобильных устройств Переключение сессий для высокой доступности Sun Microsystems, Inc. Proprietary & Confidential Active Directory Sun Access Manager Авторизация ● ● Готовые агенты для более чем 80 комбинаций приложений/платформ Агенты Web Policy для доступа по URL – ● Агенты J2EE для J2EE-ресурсов, например, для EJB или servlet – ● Защиты статических или динамических ресурсов (приложений) по URL Отображение механизмов EJB и servlet на политики Access Manager Reverse Proxy для Sun Web Proxy, Sun Web Server & Apache Sun Microsystems, Inc. Proprietary & Confidential Аудит ● ● ● ● Централизация журналирования Тонкая настройка журналирования Формат журнала – JDBC или ELF Открытый API (JDK 1.4) Sun Microsystems, Inc. Proprietary & Confidential Федеративность ● ● ● Децентрализованная аутентификация, основанная на доверительных областях Как между различными департаментами, так и между различными партнерскими организациями Интеграция приложений на уровне сетевой идентификации Sun Microsystems, Inc. Proprietary & Confidential Типовая архитектура внедрения Sun Microsystems, Inc. Proprietary & Confidential Проблемы предоставления доступа: фрагментация, уязвимости, сложность Партнеры Сотрудники Риски? ● Кто имеет доступ? ● Кто за что отвечает? Human Resources System ● Какие процессы? Клиенты Бывшие сотрудники ● Exchange and Active Directory Oracle Financials Call Center Завхоз/ Отдел закупок Help Desk Siebel CRM Chargeable Assets ● ● Мобильная связь Межгород Other Assets ● ● ● Sun Microsystems, Inc. Proprietary & Confidential Офисное пространство Телефон Ноутбук Sun Java System Identity Manager Web-консоль управления Делегирование Управление ролями и политиками Автоматизация процессов Самообслуживание Отчеты Аудит Синхронизация атрибутов Управление паролями Инфраструктурные сервисы Автообнаружение Виртуальные пользователи Обработчик правил Динамические Workflow Инструментарий SPML Безагентные адаптеры Реестры Базы данных Mainframes ОС ERP Унаслендованные приложения Sun Microsystems, Inc. Proprietary & Confidential Другие ресурсы Решение Sun: Простота автоматизации, безопасность Отдел кадров Партнеры Сотрудники Клиенты Бывшие сотрудники Снижение рисков ● “Полнота картины” Approving ● Эффективность Manager ● Exchange and Active Directory Oracle Financials Siebel CRM Chargeable Assets ● ● Мобильная связь Межгород Other Assets ● ● ● Sun Microsystems, Inc. Proprietary & Confidential Офисное пространство Телефон Ноутбук Как это работает? Без агентов Шлюз Workflo w Браузе р Отдел кадров HTTP S JMAC/ABAP/J DBC Достоверн Unixсистемы WSBP EL Приложени е J2EE ый источник TROUBLE TICKET CREATION Поддержк а SMT P HTTP S Управляемы е системы Самообслуживани е Любой сервер приложений JDBC/LD AP СУБД Аген т SS H Приложен ия Custo m JD BC СУБД API/JD BC JN DI 327 0 AD SI SOAP/ XMLR PC LDA P/ JDB C Согласование с начальником ERP Реестры Mainfram e NT/AD S Партнерские системы • Межгород • Кредитки База неинфорамционных • Серинйные номера ресурсов • Номер комнаты Браузе р Хранилище виртуальных Sun Microsystems, Inc. Proprietary & Confidential пользователей • Модель мобильного телефона Sun Java System Identity Manager Полное решение для управление жизненным циклом персональных данных и прав доступа Автоматическое заведение пользователей во всех системах – эффективно и безопасно Безопасное автоматизированное управление паролями Самообслуживание пользователей и делегированное администрирование ● ● ● Автоматическая синхронизация Безопасность Эффективность Простота Измене ние Добав ление данных Безагентная модель, полностью централизованное решение – быстрота внедрения Цетрализованный аудит и создание Удале ние Sun Proprietary & отчетов Управление паролями ● Самообслуживание: восстановление пароля, Проблемы: синхронизация Сложно, много ручной работы Пиковые нагрузки Удобный интерфейс через ● ● ● – – – ● – ● ● Время работы службы поддержки Слишком много информации, чтобы запомнить История изменений Словарь исключений и правила Интеграция с Helpdesk-системами Безагентные адаптеры – ● ● Автоматическая проверка политики паролей – ● Web-браузер Автоответчик Сетевой log-in (Windows) Возможность разработки новых адаптеров (SDK и примеры) Sun Microsystems, Inc. Proprietary & Confidential Создание отчетов по паролям Синхронизация атрибутов Сотрудник получил повышение ● Новая должность ● Новая классификация ● Новая зарплата ● Новый отдел Обновление в LDAP отдел, классификация, должность для телефонного справочника Корпоративный LDAP Зарплатная система ERP Exchange и Active Directory Отдел кадров ● Обновление в AD отдел, классификация, должность Изменение домашнего каталога ● Изменение размера почтового ящика ● ● ● Обновление в ERP должность Изменение прав доступа в ERP Sun Microsystems, Inc. Proprietary & Confidential Обновление зарплаты Средства синхронизации Identity Manager ● ● ● ● ● ● Автообнаружение для создания виртуального пользователя Автоматическое обнаружение изменений (по расписанию) Синхронизация между гетерогенными источниками Преобразование атрибутов Гибкое и гранулярное назначение прав доступа Самообслуживание через Web-интерфейс – ● Адаптеры к ресурсам – – – ● Делегирование и процессы утверждения изменений Готовые адаптеры для большинства приложений Готовые отображения схем атрибутов Возможность разработки новых адаптеров (SDK и примеры) Sun Microsystems, Inc. Proprietary & Confidential Аудит и создание отчетов Инфраструктурные сервисы ● Общие разделяемые компоненты продукта для ускорения внедрения и простоты управления: – – – – – Обработчик правил Динамический Workflow Автообнаружение Виртуальные пользователи Безагентные адаптеры Sun Microsystems, Inc. Proprietary & Confidential Автообнаружение ea414 78 Приложения eug ene СУБД Evgeny Abramov “Виртуальный пользователь” Sun Microsystems, Inc. Proprietary & Confidential eabra mov Реестры “Альтернативный” подход: централизованное хранилище ● Сложно внедрить – ● Технически и политически Сложно управлять – Приложения Синхронизация СУБД Сервер управления Web-приложения Реестры Sun Microsystems, Inc. Proprietary & Confidential Виртуальные атрибуты ● Быстрота внедрения ● Простота сопровождения ● ● Централизованное управление, локальное хранение Applications Безагентная модель – не нужно устанавливать и поддерживать агентов на управляемых системах Databases Web Applications Виртуальны й пользовател ь Directories Asset Databases/Directories Sun Microsystems, Inc. Proprietary & Confidential Web-консоль управления ● Web-интерфейсы для администраторов и пользователей – – ● ● Интерфейсы самообслуживания для учетных записей, паролей и атрибутов Администраторам – – ● ● Смарт-формы – интерактивные Web-формы со встроенной логикой для помощи в навигации Делегированные режимы просмотра в зависмости от роли пользователя (администратора) Задание и управление ролями, политиками, делегированием Просмотр и изменение Создание отчетов Возможности для аудита Sun Microsystems, Inc. Proprietary & Confidential Совместимость Identity Manager – Платформы: IBM AIX, HP-UX, Windows, Solaris, Red Hat Linux, BEA WebLogic, IBM WebSphere, Sun Application Server – Адаптеры: LDAP 3, Microsoft Active Directory, Novell eDirectory, Novell NDS, Oracle Internet Directory, Sun Java System Directory Server, IBM DB2, IBM Informix, Microsoft SQL Server, MySQL, Oracle8i and 9i, Sybase, Oracle11i E-Business Suite, PeopleSoft, SAP R/3, Siebel CRM, Peregrine Service Center, Remedy Help Desk, Lotus Notes, Microsoft Exchange, Novell GroupWise, HP OpenVMS, HP-UX, IBM AIX, IBM OS/400, Microsoft Windows 2000, 2003, NT, RedHat Linux, Sun Solaris, CA-ACF2, CA-Top Secret, Entrust Authority Security Manager IBM RACF, RSA SecurID, Entrust GetAccess, IBM Tivoli Access Manager, Netegrity Siteminder, Oblix NetPoint, OpenNetwork DirectorySmart, RSA ClearTrust, Sun Java System Identity Server Access Manager – Платформы: Red Hat Linux, Sun Solaris, Microsoft Windows*, HP-UX*, Linux RedHat*, IBM WebSphere*, BEA WebLogic* (*coming in Q4, 2004) – Агенты: Apache, BEA WebLogic , IBM WebSphere, IBM HTTP Server, Lotus Domino, Microsoft IIS, Oracle Application Server, Sun Java System Web Server, Sun Java System Application Server, Tomcat Application Server, Oracle, PeopleSoft, SAP, Siebel Directory Server – Платформы: Microsoft Windows, HP-UX IBM AIX, Solaris, Red Hat Linux Sun Proprietary & Приверженность открытым стандартам Стандарт Позиция Sun Liberty Alliance (Identity Federation) Management board member; 1st vendor to earn “Liberty Alliance Interoperable” logo for Access Manager OASIS Security Assertion Markup Language (SAML) Co-founder, former chair, and current secretary of Security Services tech committee; leader in defining SAML; 1st to deliver in Access Manager OASIS Service Provisioning Markup Language (SPML) Chair of OASIS Provisioning Services Technical Committee; major contributor to the SPML specification; 1st to release open source SPML toolkit OASIS eXtensible Access Control Markup Language (SAML) Secretary of the OASIS XACML technical committee; 1st to release open source version of XACML 1.0. Web Services Interoperability Organization (WS-I) Board member and vice-chair of the Basic Security Profile Working Group of WS-I Lightweight Directory Access Protocol (LDAP) Co-author of the LDAP V3 technical specification and 1st vendor to ship reference LDAP implementation OASIS Directory Services Markup Language 2.0 (DSML) Contributor to the DSML technical specification and one of the 1st vendors to productize DSML 2.0. Sun Proprietary & Экономическая эффективность платформы Централизация сервисов аутентификации и автоматизация процессов управления пользователями позволяет: – Повышение эффективности администрирования: US $350 на пользователя в год – Снижение расходов на разработку систем безопасности для новых приложений: US $12,000 на приложение – Снижение расходов на аудит: US $4,000 на каждый аудит – Снижение расходов на поддержку пользователей: US $75 на пользователя в год – Упрощение доступа к приложениям: US $1,000 для нового сотрудника, US $350 в год на существующего сотрудника Источник: Giga Research, 2003 Sun Proprietary & Наши клиенты Sun Proprietary & Вопросы? [email protected] Мнение аналитиков Sun Proprietary & Single Sign-On & Session Sun Microsystems, Inc. Proprietary & Confidential Authorization Service & Policy ● ● ● ● Centralized and delegated policy administration Flexible authorization framework – Dynamic role and rule-based access control policies – Conditional policies – IP, time/date, authentication level or scheme, session – Custom policies for fine-grained authorization Customizable and integratable – Delegated (referral) policies to external systems – Java SPIs to: ● Enforce policies on users/roles/groups in external directories ● Extract and include data from external systems SAML authorization and attribute authority support Sun Microsystems, Inc. Proprietary & Confidential Federation: Drivers & Benefits ● Business Benefits: – New services with Business Partners ● – – ● Open, standard protocols lower risk and cost Expanded user communities, new revenue opportunities Tighter security, repeatable framework, compliance User Benefits: – – – Richer, personalized online experience Single sign-on across related, high-value apps Privacy protection Sun Microsystems, Inc. Proprietary & Confidential SAML – Federation Foundation Security Assertion Markup Language ● XML Framework for exchanging assertions – ● user authentication, authorization and attributes Facilitates application integration – – Within the enterprise for SSO Leverage trusted business relationships with partners Sun Microsystems, Inc. Proprietary & Confidential Liberty Alliance ● ● An industry alliance to drive open, neutral, standards for identity federation and Web services Federation Framework extends SAML to provide: – – – – ● Membership spans industries – ● Opt-in linking of user accounts Single Sign-on Global Log Out User anonymity Financial, Banking, Travel, Airlines, Telecom Carriers, ISPs, Wireless/Mobile operators, Device Manufacturers, Technology vendors Over 2 billion identities represented Sun Microsystems, Inc. Proprietary & Confidential WS-Federation WS-Federation ● – – – – Duplicative of SAML & Liberty Part of MS/IBM WS-* roadmap, reliant on many unpublished specs Launch with MS ADFS in 2HCY05 On path for convergence with SAML Sun Microsystems, Inc. Proprietary & Confidential Basic Federation – SAML or Liberty ● Federation for B2E, B2B, B2E CMT Pharmaceutical s Employer, identity provider 3. Employer delivers assertions, authN, attributes, role = “Purchasing” limit = “1000” cn=”Chris Ostertag” Superior Med Supplies Service provider 1. User navigates from employer to Service Provider, delivers artifact 2. SP requests assertions from artifact Sun Microsystems, Inc. Proprietary & Confidential Federated Web Services – Liberty ID-WSF ● ● Web Services Framework (ID-WSF) for profile discovery and user interaction service Service Interface Spec (ID-SIS-PP) for personal profiles, collections of attributes to be shared Sun Microsystems, Inc. Proprietary & Confidential Federated Identity Summary ● ● ● ● ● Identity is at the core of our customers' business Federated Identity solves business problems New business driver, new business models and new opportunities Identity & federation are core building blocks and enablers for Web services Sun is a thought and market leader in the space – we have market-leading federated identity products, solutions and partners – Sun leads the market with productized support for SAML and Liberty specification revisions Sun Microsystems, Inc. Proprietary & Confidential Access Manager Customers Sun Microsystems, Inc. Proprietary & Confidential Awards and Analyst Recognition ● ● ● ● ● 2003 Best Enterprise Security Product – Access Manager, 2nd Place 2003 eWeek eXcellence Award, Access Manager, finalist “excellent and extensive Web access control and single-sign-on capabilities...one of the most manageable and accessible access control applications we've seen ... much more intuitive than competing products”, 2/3/03 “truly impressive, both in its feature-set as well as the breadth of its effectiveness across corporate technology boundaries”, 2/7/03 Java System Access Manager: “... the company leads in implementation of the federated identity management specifications of Liberty Alliance and Security Assertion Markup Language (SAML).” (Aug 2003) Sun Microsystems, Inc. Proprietary & Confidential Why Sun? ● Commitment to Identity Management – – – ● Technology that works – – – ● Major strategic initiative for Sun Industry's broadest/deepest product line Sun works with leading SI partners worldwide (PwC, Deloitte, Accenture) J2EE-based architecture means faster time-to-value Assured interoperability with your environment Open, standards-based solutions Sun is a long-term partner that will ensure that organizations succeed with access management solutions Sun Microsystems, Inc. Proprietary & Confidential Identity Manager’s Automated Provisioning Highlights ● ● Granular delegated administration Web-based self-service – ● ● ● Robust audit and reporting Role based access control Rule-based provisioning – ● ● ● Business policy enforcement through automated rule evaluation Multi-step, complex provisioning Authoritative feeds from HR applications and directories Agentless adapters – – ● With automated change approval processes Out of the box for leading enterprise systems & applications Ref Kit and samples for custom adapter development SPML Toolkit Sun Microsystems, Inc. Proprietary & Confidential User s Password Management Today: Costly, Labor-Intensive and Painful Partners Customers Employees ● Process ● ● Help Desk Environment ● Exchange and Active Directory Siebel CRM Unix Temporary Employees Expensive, manual process Pattern of reset-request peaks Users limited to service during help deskHelp hours Desk Users have to remember multiple credentials PeopleSoft Human Resources System Sun Microsystems, Inc. Proprietary & Confidential Oracle Financials RACF User s Password Management with Sun: Cost-Effective, Quick, and Convenient Partners Environment Process ● ● ● Exchange and Active Directory Siebel CRM Temporary Employees Customers Employees Unix Automated process Available to users anytime, delivered Interactive how they Voicework Response (IVR) Users only have 1 set of credentials to remember PeopleSoft Human Resources System Sun Microsystems, Inc. Proprietary & Confidential Oracle Financials RACF Identity Synchronization Challenges ● ● Migration to a directory-based infrastructure Maintenance of identity data to ensure attributes are accurate and consistent with other applications – – Profile management driven via self-service Point-to-point, system-driven synchronization Sun Microsystems, Inc. Proprietary & Confidential Identity Synchronization: Why Migration? RACF Windows NT ● ● Oracle RDBMS Lotus Notes LDAP LDAP Today’s environment includes multiple identity data sources Trend toward simplification of IT environment with a directory-centric identity infrastructure – – Strategic initiatives, like portals, rely on directory infrastructure Re-usable architecture offers investment protection for new application development Sun Microsystems, Inc. Proprietary & Confidential LDAP Identity Synchronization: Migration with Sun RACF Windows NT Oracle RDBMS Lotus Notes ● – – Active Directory LDAP LDAP Provides complete, automated data migration into new directories from existing repositories – ● LDAP Discover & correlate for data cleansing and establishing of virtual identity Create directory containers & hierarchy Bulk actions for populating directories with user data Provides complete management of both old systems and new directories during migration period Sun Java System Directory Server Sun Java System Directory Server Sun Microsystems, Inc. Proprietary & Confidential Identity Synchronization: System-to-System Updates Today ● ● ● ● Exchange and Active Directory Data silos independently owned and manually administered Manual updates, if occurring, are error-prone Inconsistent identity information across the enterprise Inefficient business operations Extranet Directory CRM Human Resources System ERP Sun Microsystems, Inc. Proprietary & Confidential Custom Application Payroll Systems Identity Synchronization: Profile Management Today Employee Gets married Changes name Changes address Partners Partners Executives Sales Employees Marketing Employees Customers ● ● Help Desk HR New Hire Application Exchange and Active Directory ? Siebel CRM Human Resources System ● Operations Employees Inefficient, error-prone processes Poor quality of service Customer & partner retention impact Oracle Financials Sun Microsystems, Inc. Proprietary & Confidential ? Payroll Systems Identity Synchronization: Profile Management with Sun Employee Gets married Changes name Changes address Partners Partners Executives Sales Employees Marketing Employees Customers Operations Employees Self Service Efficient, automated operations High quality of service Top line benefit ● ● HR Manager Approval New Hire Application Exchange and Active Directory Siebel CRM ● Human Resources System Oracle Financials Sun Microsystems, Inc. Proprietary & Confidential Payroll Systems Why Sun Is Right for You ● Our commitment to Identity Management – – – – ● Technology that works – – – ● ● Major strategic initiative for Sun Full product line offering Industry alignment with leading partners including; PwC, Deloitte, Accenture and Northrup Grumman Validation in accordance with the provisions of the NIAP Common Criteria Evaluation Non-invasive architecture means faster time-to-value Assured interoperability with your environment Open, standards-based solutions Industry's only complete user provisioning and synchronization solution Strongest track record of Sun customer success Microsystems, Inc. Proprietary & Confidential Business Justifications: Sun Java System Identity Manager Driver Minimize Risk Mitigation with Identity Manager ● ● ● ● ● ● Improve Access and Improve Service ● Reduce Costs ● ● ● ● ● ● ● ● Role and rule-based provisioning for business policy enforcement Dynamic workflow with specified approvals Automation of de-provisioning Comprehensive audit and reporting of profile data, change history, and user permissions Active risk scanning for orphaned accounts Password policy enforcement across data sources Self-Service for automated provisioning, registration, password management, and profile management Automated synchronization of identity data across heterogeneous resources Granular delegated administration Standards support for SPML, including SPML toolkit Self-Service for automated provisioning, registration, password management, and profile management Automated de-provisioning of accounts and non-digital assets with recurring charges Automated identity data synchronization across enterprise systems Granular delegated administration Identity data migration to directory-based infrastructure Sun Microsystems, Inc. Proprietary & Confidential Сервисы администрирования Заведение/измемение Управление профилями Управление паролями Синхронизация Администрато р Делегирование Identity Manager Provisioning Profile Management Identity Synchronization Databases Directories Mainframes Password Management Business Applications Operating Systems Самообслуживани е Business Applications App Server Sun Proprietary & Databases