Создание эффективной и многомерной модели управления...
TRANSCRIPT
![Page 1: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/1.jpg)
1
Dell Solutions Forum 2014Москва, 14 ноября 2014 года
#DellST14
![Page 2: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/2.jpg)
Создание эффективноймодели управления доступомдля организацииКонстантин Шурунов, Dell Software
![Page 3: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/3.jpg)
3
Что такое IGA?
![Page 4: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/4.jpg)
4
Три измерения IGA
• I – Identity – личность в информационном поле.
• G – Governance – управление, аттестация, риски, стандарты.
• A – Administration – администрирование.
Главная проблема:
Координация работы на разных уровняхдля достижения единой цели
![Page 5: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/5.jpg)
5
Три силы IGA в организации
• I –кадры.– Ответственность: управление identities, оргчарты.– Цель: организационная и личностная информация отражает реальность.
• G – бизнес.– Ответственность: управление всеми вещами, связанными с бизнесом, включая риски и соответствие стандартам.
– Цель: успешный бизнес.
• A – технологии.– Ответственность: технологическая поддержка бизнеса.– Цель: все системы работают 24/7.
![Page 6: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/6.jpg)
6
Identity Management – многоуровневая система
• Кадровый уровень
• Бизнес-уровень
• Технический уровень Identity 1
Persona
Identity 2
AD account
SalesForce account
SharePoint account
Unix account
AD SF Unix SP
Role
Resource
![Page 7: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/7.jpg)
7
I – Identity Management
• Создание “Identities”.
• Базовое определение ролей.
• Базовое определение привилегий.
![Page 8: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/8.jpg)
8
Certification
В чем разница между «management» и «governance»?
Access
Access
Management Governance
![Page 9: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/9.jpg)
9
G – Governance
• Правила.
• Бизнес-процессы.
• Аудит.
• Аттестация.
• Отчётность.
• Оценка рисков.
• Соответствие стандартам.
![Page 10: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/10.jpg)
10
A – Administration
• Аутентификация. Авторизация. Доступ.
• Технические аспекты изменения доступа.
• Автоматизация.
![Page 11: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/11.jpg)
11
Dell One Identity Manager –гибкое решение IGA.
![Page 12: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/12.jpg)
12
Гибкость в достижении единой цели I-G-A
• Все элементы соединены в одно решение, где каждый человек несёт ответственность за свойучасток работы.
• Каждый человек имеет возможность конфигурации «своих» элементов IGA.
• Проект по внедрению имеет короткие фазы с чёткими достижимыми результатами.
12
I G
GG
AA
Identity Governance Administration
![Page 13: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/13.jpg)
13
Managers should easily see
all the entitlements of an
employee in one clear view
• Actionable
• All logical, physical
systems, resources and
assets.
Identity-цель: видение организации
![Page 14: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/14.jpg)
14
Identity-цель: виды с точек зрения техники и бизнеса
• Бизнес-вид • Технический вид
![Page 15: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/15.jpg)
15
Governance-цель: панели с текущим статусом
Менеджеры должны легко находить текущий статусв целом и статус конкретных процессов.
![Page 16: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/16.jpg)
16
Governance-цель: конфигурация бизнес-ролей
Люди, отвечающие за бизнес, должны быть в состоянии строить нужные бизнес-роли вграфическом интерфейсе, а не скриптами.
![Page 17: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/17.jpg)
17
Governance-цель: аудит выдачи доступа
Люди, отвечающие за аудит должны видеть историю изменения доступа конкретных лиц
![Page 18: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/18.jpg)
18
Governance-цель: постройка процессов одобрения
Бизнес-процессы должны строиться теми же людьми, которые отвечают за это вреальной жизни. Конструктор бизнес-процессов поможет в этом.
![Page 19: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/19.jpg)
19
Governance – пример аттестации
![Page 20: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/20.jpg)
20
Administration-цель: конструктор бизнес-процессов
Администратор должен иметь инструментыдля постройки и изменения процессов.
![Page 21: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/21.jpg)
21
Administration-цель: портал самообслуживания
Portal should be user and contributor friendly where updates
can be performed by non-technical person
![Page 22: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/22.jpg)
22
Пример внедрения.
![Page 23: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/23.jpg)
23
Задачи, поставленные заказчиком
• Автоматизация процесса управления предоставлением доступа
• Централизованное управление паролями пользователей
• Аудит имеющегося доступа
• Отчётность о предоставленном доступе
• Создание единого процесса и политики управленияпредоставлением доступа
• Интеграция с удостоверяющим центром
![Page 24: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/24.jpg)
24
Интеграционные требования
• Интеграция с сервисной шиной:
– Взаимодействие с системой кадрового учета реализуетсяпосредством взаимодействия с сервисной шиной (ESB).
• Интеграция с почтовой системой:
– Управление почтовыми ящиками (создание, удаление, блокировка)
– Реализация метода утверждения запросов доступа к ресурсампосредством почтовых сообщений.
• Интеграция с УЦ:
– Интеграция с удостоверяющим центром «Крипто-ПРО», автоматизация процедур по выпуску/отзыву сертификатов.
![Page 25: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/25.jpg)
25
Exchange
УЦ «Крипто-ПРО»
UNIX
Active
Directory
D1IM
Connector
Server
IBM MQ + MB
1C Бухгалтерия
D1IM
Database
Server
D1IM
WebPortal
Dell Change Auditor
SQL
![Page 26: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/26.jpg)
26
USED AT: AUTHOR: DATE:
REV:PROJECT: Система управления идентификационными
данными пользовател ей и доступом к информационным
ресурсам
15.10.2013
17.10.2013
NOTES: 1 2 3 4 5 6 7 8 9 10
WORKING
DRAFT
RECOMMENDED
PUBLICATION
READER DATE CONTEXT:
A0
NODE: TITLE: NUMBER:Предоставление дополнительного доступа к ресурсу ИС
A3ПДД
данные
пользователя,
запрашиваемый
доступ
Доступ не согласован
Согласованный запрос о предоставлении доступа
Доступ согласован
Доступ не согласован
Информация об
изменении прав
доступа
Политика
информационной
безопасности
Реестр ресурсов
Информационное
письмо
Информационное письмо
Информационное письмо,
дополнител ьные
инструкции
СУИД
Данные
владельцев
ресурса
Запрос на
предоставление
доп. доступа
Портал
самообслуживания
СУИД
31
Создание запроса
на предоставление
доступа к ресурсу
ИС
32
Согласование
запроса с
владельцами
ресурса ИС
33
Санкционирование
доступа
Администратором
доступа
34
Предоставл ение
дополнител ьного
доступа к ресурсам ИС
35
Отправка уведомления
пользователю о
предоставлении прав
доступа
36
Отправка уведомления
Заявителю о
предоставлении прав
доступа
37
Отправка уведомления
Заявителю с
указанием причины
отказаI1
![Page 27: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/27.jpg)
27
Результаты
• Централизовано управление доступом к информационнымсистемам компании
• Выделены атомарные и бизнес роли и описаны процедурывыделения и создания ролей
• Автоматизирован и документирован процесс предоставлениядоступа
• Созданы отчёты для отдела ИБ о том, кто, куда и на основаниичего имеет доступ
• Контроль за внесением изменений в Active Directory(Dell ChangeAuditor)
![Page 28: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/28.jpg)
28
Вопросы?
![Page 29: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/29.jpg)
29
![Page 30: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/30.jpg)
30
![Page 31: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/31.jpg)
31
![Page 32: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/32.jpg)
32
![Page 33: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/33.jpg)
33
![Page 34: Создание эффективной и многомерной модели управления идентификацией, доступом и администрированием](https://reader033.vdocument.in/reader033/viewer/2022052912/55a173571a28abed668b4785/html5/thumbnails/34.jpg)
34