2012 Role-based Access Control (RBAC)

Rational Unified Process
in Action
Zarządzanie tożsamością
Role-Based Access Control

Szymon Dowgwiłłowicz-Nowicki
Styczeń 2012 roku

RBAC: Złożoność i Zakres

Wielu Użytkowników  Klienci  Partnerzy
 Pracownicy
Kontraktorzy

Wiele Aplikacji  Finanse  CRM
 Email  ERP
 Sales  Budget

Wiele Ról
 Nieprawidłowy przydział
 Zbyt wiele ról w systemach
 gromadzenie wielu ról

Wiele Procesów Help desk  Akceptacja
Certyﬁkacja Administracja
Gruba Kreska Zgodność
Security Risk, Non-‐Compliance, OperaQonal Costs
Copyright © 2011 Premium Technology Sp. z o.o. All rights reserved.

Identity Lifecycle Management
Zwiększa efektywność biznesu, bezpieczeństwo i zgodność poprzez automatyzację
procesów
• CA IdenQty Manager
• CA Role & Compliance Manager

Role Management IdenQty Compliance
• Ocena, audyt i porządkowanie praw • Centralne repozytorium informacji o uprawnieniach
użytkowników
dostępu
• Audyt, definiowanie/weryfikacja polityk,
• Definiowanie, przydzielanie, zmiana, recertyfikacja uprawnień
aprobaty i certyfikacja modelu ról • Raporty i panele informacyjne

User Provisioning Service Request Management
• Automatyzacja zatrudniania i zwalniania • Udostępnienie możliwości wnioskowania
• Zakładania kont i nadawania uprawnień dla biznesu
• Natychmiastowe odebranie dostępu w celu minimalizacji
• Samodzielne zarządzanie hasłami
ryzyka


Identity Lifecycle Management

IdenQty Management
 Provisioning kont i uprawnień uzytkowników
 Zarządzanie uprawnieniami uzytkowników
 Procesy workﬂow akceptacji wniosków
 Zarządzanie zmianami w ramach procesu zarządzania tożsamością
Ide
t
en

nQ  Zarządzanie uwierzytelnieniami użytkowników
em

ty M
ag

 Usługi Self-‐Service
an

ana
M
le

Role Management
gem
IdenQty
Ro

 Identyﬁkacja ról występujących w środowisku
ent

Lifecycle
Management  Stworzenie przykładowych ról, które pasują do organizacji
 Analizowanie i zarządzanie rolami w czasie, zgodnie z potrzebami
biznesowymi

Security Compliance
Security Compliance Management
 Zrozumienie polityk bezpieczeństwa
 Import zdarzeń audytowych i logów
 Import informacji o rolach i prawach dostępu
 Wsparcie procesu zgodności z normami.

4

CA IDM + RCM

• CA Role & Compliance
Manager
– Jakie uprawnienia, role i polityki
powinny być – kontrola
– Połączenie z Identity
Manager plus
systemy/aplikacje
niezautomatyzowane
RACF
• CA Identity Manager UNIX

– Jak są nadawane CA Role &
CA IdenQty Compliance
uprawnienia Manager Manager
– Zarządzanie
SAP
aplikacjami –
HR
automatyzacja

JAK CO

CA Identity Management

Funkcje

• Smart Provisioning
– IT i biznes efektywnie wnioskuje i przyznaje uprawnienia dostępowe
– Sugerowanie ról, identyfikacja niestandardowych dostępów proaktywne wymuszanie
zgodności z politykami
• Samoobsługa użytkowników
– Oddaje użytkownikom zadania związane z zarządzaniem
ich hasłami i profilami, zmniejszenie ilości
pracy dla helpdesk’u
• Administracja kontami
– Centralizacja danych/polityk
– Delegacja uprawnień do właścicieli aplikacji
• Xpress Integration CA Role &
Compliance
Manager

– Eliminacja kodowania dzięki Policy Xpress,
Connector Xpress, edytorom graficznym
– Interfejs web services umożliwiający integrację
z innymi systemami
• Rekonsyliacja uprawnień użytkowników

CA Role + Compliance
Co robi
• Kontrola Jakości Uprawnień
– Identyfikacja niepoprawnych i wyjątkowych praz dostępu –
czyszczenie i audyt
• Modelowanie i zarządzanie politykami
– Definiowanie i wykrywanie przekroczeń polityk (e.g. SoD)
– Zmiany modelu ról i ocena wpływu
• Modelowanie i zarządzanie rolami
– Planowanie, optymalizacja, wykrywanie i modelowanie ról
– Modelowa nie zmian, ocena wpływu, przeglądy i aprobaty
• Certyfikowanie i raportowanie uprawnień
– Ułatwienie i uproszczenie procesu potwierdzania
uprawnień
– Raporty i panele dla ról, uprawnień, polityk
• Smart Provisioning
– Wykorzystsnie ról i polityk przez Identity Manager’a w
procesie provisioningu

Możliwości IdenQty Compliance

Recertyfikacja Naprawa
uprawnień Integracja z CA IdenQty
Okresowy przegląd uprawnień, Manager Inicjacja i
ról i aplikacji do których weryfikacja zmian
użytkownk ma dostęp

IdenQty
Polityki zgodności Compliance Integracja
Weryfikacja polityk
rozdzielności uprawnień i IAM, GRC i
innych Helpdesk

Raportowanie zgodności
Wielosystemowe raporty
i panele informacyjne


Możliwości Provisioning’u

Zatrudnianie/
Integracja
Zwalniania
Zapewnienie dostępu na Od aplikacji webowych
czas i ochrona kluczowych po Mainframe
zasobów
Audytowanie i
Workﬂow raporty
Provisioning
Wymuszanie stałego, Śledzenie
zautomatyzowanego uprawnień i zdarzń
procesu aprobowania
Polityki bezpieczeństwa
Wymuszanie
zdeﬁoniowanych polityk,
Centralna Kontrola np. SoD
Autorytarne
repozytorium
informacji o
użytkownikach


Możliwości Service Request Management

Reset haseł
Samoogsługa
zarządzania
Zmniejszenie iliści zgłoszeń do
danymi
helpdesk’u, zwiększenie satysfakcji
użytkownków Webowy interfejs dla użytkowników

Service Prewencja i zgodność
Obsługa wniosków Request
Zapewnienie Management Wymuszanie polityk (np.
niezmiennego procesu Rozdzielność uprawnień)
aprobowania

Zintegrowany Provisioning
Sugerowane Role Automatyzacja operacji
Pomoc w wybraniu zarządzania kontami i
odpowiednich uprawnień uprawnieniami
dla użytkowników


Możliwości Role Management

Audyt/Gap Analysis Czyszczenie danych
Ocena i audyt aplikacji Identyfikacja typowych
pod kątem wyjątków użytkowników i wyjątków

Role
Role Discovery
Management
Powtarzalna metodologia Raportowanie
Definicja ról: Efektywnośc modelu
top-‐down, ról
bofom-‐up Identyfikacja zmian i
wyjątków

Zmiany modelu ról
Weryfikacja, certufikacja,
raporty


Komponenty Zarządzania Tożsamością

EnQtlements
CerQﬁcaQon
User
IT Audit & Self-‐Service
Business Compliance Team
Managers
Business Users
Users, Roles,
Segrega&on of Du&es Policy EnQtlements
Checking
CA Role & CA Identity
Compliance Role Model Manager
Manager

Provisioning
Role Analyst Approval Workﬂow
EnQtlements
Data
Role Modeling/ Delegated
Management Admin

User AcQvity
Compliance

AcQve Virtualized Enterprise/ Cloud Windows/ AcQve Virtualized Enterprise/ Cloud Windows/
Mainframe Directory Mainframe
Directory Apps Apps UNIX Apps Apps UNIX

Unmanaged End Points Managed End Points
CA Enterprise
Log Manager

Rozwiązanie problemu: Role Based Access Control

Użytkownicy (5,000)
X
~ 800 Role Biznesowe
Privileges (1,000,000) Zasoby (100,000)

Model zarządzania oparty na rolach (CA.com):

Obejmuje natychmiast 60-‐80% praw dostępu

Tworzy wspólny język opisu łączący oczekiwania biznesu i zarżadzania bezpieczeństwem

Łatwość automatyzacji i wprowadzania nowych użytkowników
13

Cykl Zarządzania: Managing Access Through Roles

Business Managers
User

Business
Function

Business Role
Approval

Au
d
ito
Policies

rs
Roles
Caution
Role Model
min

Privileges
Ad
ity
cur

Requests for
Changes
Se

User
Adapt Model

Report

Administrator


Implementacja: RBAC implementation

Ongoing management and
administraCon
Role management
Compliance management
User stores Smart provisioning
consolidaCon …

Cleanup

Compliance
modeling

Eurekify Gap Analysis

Role modeling
Export to IDM

Najlepsze praktyki Zarządzania Tożsamością

Phase 1: Phase 2: Phase 3: Phase 4:
Planning FoundaQon AutomaQon OpQmizaQon

EnQtlements
CerQﬁcaQon

SegregaQon of
Gap Analysis DuQes Policies

EnQtlement
Role Management
Clean-‐Up Ongoing
Business Case
Development Reﬁnement
Role Modeling User Provisioning

Project Planning Service Request
Mgmt

User AcQvity
Monitoring


Dziękuję za uwagę

Szymon Dowgwiłłowicz-Nowicki
sdow@premiumtechnology.pl
601.890.080

2012 Role-based Access Control (RBAC)

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (10)

More from Szymon Dowgwillowicz-Nowicki

More from Szymon Dowgwillowicz-Nowicki (7)

2012 Role-based Access Control (RBAC)

Editor's Notes