corporate design powerpoint templates com · pdf filesapm card/token management password...

Copyright © Siemens Enterprise Communications 2007. All rights reserved.Copyright © Siemens Enterprise Communications GmbH & Co KG 2008. All rights reserved.

Identity Management10 Schritte auf dem Weg zumeffektiven Identity Management

Oliver NyderleSEN SER PS CNS

Siemens Enterprise Communications GmbH & Co. KG

Seite 2Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG


Oktober 2009

Kernbotschaften

4 Punkte die Sie mitnehmen sollten

Identity Mangament ist keineinmaliges Projekt sondern ständigeVerbesserung

Die richtige Planung entscheidet überden Erfolg bei der Umsetzung.

Eine stufenweise Einführung sichertden Erfolg und erhöht die Akzeptanz.

Die Verbesserung bestehenderProzesse und die Erhöhung des Automatisierungsgrades beginntschon mit der ersten Applikation.

Der Zweck eines IdentityManagement ist die Vielzahl der Kennungen und personenbezogenen Informationen welche die Anwender für den Zugriff auf Applikationen, Ressourcen und IT-Systeme benötigen, zu reduzieren und nach Möglichkeit in einer einzigen digitalen Identität zusammenzufassen.

http://www.iam-wiki.org



Oktober 2009

Herausforderungen anIdentity & Access Management

Sicherheitslücken vermeiden

Administrationskosten senken

Effizienz steigern

Insellösungen vermeiden

Datenqualität verbessern

Einhaltung v. Gesetzen und Richtlinien sicherstellen



Oktober 2009

Smart Token SSO

Directory Services

Virtual Directories Metadirectories

PKI

LDAP

X.500

Credential ManagementSAPM

Card/Token Management

Password Management

Role Management

Resource Access Administration

User Provisioning

Identity Auditing

Security Information & Event Management

SOD Controls Within ERP

Enterprise DRM

Encryption

Content Access Management

OS Access Management SUPM

Network Access Control

Web Access Management

Authorization Management

Web SSO

Kerberos

Enterprise SSOPersonal Identity Frameworks

Single Sign-On

Identity Proofing

Authentication Infrastructure

Authentication

Federated Identity Management

methods

form factors

GRC Tools

TransactionAssurance

ITSM

Service Desk Tools

PACS

Identity & Access ManagementDie Themenvielfalt im Gartner Jellyfish

IAM

Access Management

Identity Verification

IdentityAdministration

Identity Auditing

Directories

IDENTITY MANAGEMENT



Oktober 2009

1. VorbereitungDer Stufenplan

Anzahl der integrierten Zielsysteme

Um

fang

des

impl

emen

tierte

n Fu

nktio

nsum

fang

s

Stufe 1: Quick Win

Stufe 2: Zielsysteme

Stufe 3: Funktions-

umfangZiel: voll

ausgebaute Lösung



Oktober 2009

2. 10 Schritte im Überblick (Identity Management)

Schritt 1: Integrieren - Integration von Identitäten

Schritt 2: Überprüfen - Integration von Zielsystemen

Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen

Schritt 4: Automatisieren - Steuerung der Berechtigungszugänge

Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe

Schritt 6: Absichern - Absicherung der Berechtigungsvergabe

Schritt 7: Verwenden - Identity Management für die Benutzer

Schritt 8: Nachweisen - Nachweisbarkeit der Berechtigungsvergabe

Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht

Schritt 10: Verändern - Rollenmodellierungsprozess



Oktober 2009

Zielsysteme

accounts

membership

groups/roles

Quellen (z.B. HR)

customers

partners

external

internal

Zusatzinformationenorganizational

geographical

commercial

life cycle

Übersicht - Komponenten

Identity Store

Mitarbeiter

Compliance

revision department

security policy

laws / regulations



Oktober 2009

10 Schritte im Überblick (Identity Management)













Oktober 2009

Schritt 1: Integrieren - Integration von IdentitätenHerausforderungen, Aufgaben, Vorteile

verschiedene Quellenunterschiedliche VerantwortlichkeitenMengengerüste, AktualitätVerfügbarkeit vonOrganisations-Daten

Herausforderungen

Klassiifzierung von IdentitätenSpezifikation des LebenszyklusIntegration von Organisations-Daten

Aufgaben

Zentraler IdentitätsspeicherNutzbarkeit als Identity-Provider in einer Service Orientierten Architekturkonsistente Stammdaten fürdie Einführung neuer Systeme

Nutzbare Vorteile



Oktober 2009

Schritt 1: IntegrierenIntegration von Identitäten

Identity Store

global identifier

1

1

Quellen (z.B. HR)

customers

partners

external

internal


geographical

commercial

life cycle



Oktober 2009














Oktober 2009

Schritt 2: Überprüfen - Integration von ZielsystemenHerausforderungen, Aufgaben, Vorteile

unterschiedliche VerwaltungsprozesseNamesregelnVerfügbarkeit geeigneter Schnittstellen

Herausforderungen

Zusammenführung von SystemkennungenEinführung eines globalenIdentifiersDurchführung von Datenkonsolidierungen

Aufgaben

Überprüfung der Zielsysteme möglichVerhinderung unberechtigter ZugriffeZusammenführung nutzbar fürLizenzkostenberechnung

Nutzbare Vorteile



Oktober 2009

Schritt 2: ÜberprüfenIntegration von Zielsystemen

Identity Store

Zielsysteme

accounts

membership

groups/roles

global identifier

1

1

2

Quellen (z.B. HR)

customers

partners

external

internal


geographical

commercial

life cycle



Oktober 2009














Oktober 2009

Schritt 3: Analysieren - Analyse der bestehenden BerechtigungsstrukturenHerausforderungen, Aufgaben, Vorteile

vorhandene Rechtestrukturenmüssen berücksichtigt werdenSysteme mit komplexen RechtestrukturenDatenleichen verschleiern das tatsächliche Bild

Herausforderungen

Analyse der BerechtigungsstrukturenStrukturierung derZielsystemrechte Entfernen von veralteten Zuweisungen

Aufgaben

Nutzung des bestehenden Wissen zur RechtestrukturierungIdentitätszuordnungen können die Auswertung verbessern (Schritte 1,2) Vereinfachung der Zuweisung durch Strukturierung

Nutzbare Vorteile



Oktober 2009

Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen(Role Mining)

Arbeitet in der AbteilungFirmenkunden (FK) inder Filiale München

Bruno Klarmann

Berechtigungsgruppe(in Zielsystemen)

PermissionsRolle

GT002

840008

HHB_D. Users

MVS

Windows2000

Unix

844950845015

RG08ZZ01RG07ZZ01

…RG08LO10RG07LO10

...

RG08GH04RG07GH04

…

RG08LO10

RG08ZZ01

RG08GH04

HHB_Basis

FK_Basis

OR_KundeFK

Op.-Mgm.

FKAssistent



Oktober 2009

Zielsysteme

accounts

membership

groups/roles


Identity Store

global identifier

1

1

3

2

Quellen (z.B. HR)

customers

partners

external

internal


geographical

commercial

life cycle



Oktober 2009














Oktober 2009

Schritt 4: Automatisieren - Steuerung derBerechtigungszugängeAktivieren und Deaktivieren von Systemzugängen

Berechtigungs-prozesse

Berechtigungs-Datenbank

AntragGenehmigung

MitarbeiterGenehmiger

Personal-prozesse

Stammdaten-Verwaltung

HR-System

HR-Mitarbeiter

Organisations-prozesse

Arbeitsprofil-Verwaltung

Orga-Datenbank

Orga-Mitarbeiter

Systemverwaltungs-prozesse

Netzwerk-System

System-Verwaltung

Administrator

ERP-System

System-Verwaltung

Administrator

CRM-System

System-Verwaltung

Administrator

Aktivieren Deaktivieren Löschen



Oktober 2009

Schritt 4: Automatisieren - Steuerung derBerechtigungszugängeHerausforderungen, Aufgaben, Vorteile

verschiedene ProzessebenenVerantwortlichkeiten innerhalbder OrganisationBugdet für übergreifendeProjeke

Herausforderungen

Prozesse ZusammenführenAufgabentrennungzwischen Benutzer- und SystemverwaltungTrennung zwischen System-zugang und Detailrechten

Aufgaben

Erhöhung des AutomatisierungsgradesErhöhung des ScherheitslevelsEntlastung der Systemadministratoren bzgl. manueller Prüfungen

Nutzbare VorteileAktivieren

Deaktivieren

Löschen



Oktober 2009

Zielsysteme

accounts

membership

groups/roles

Quellen (z.B. HR)

customers

partners

external

internal


geographical

commercial

life cycle

Schritt 4: AutomatisierenSteuerung der Berechtigungszugänge

Identity Store

global identifier

1

1

3

2

4



Oktober 2009














Oktober 2009

Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe (Provisionierung)

HR-VerwaltungDie Stammdaten werdenim Personalwesenerzeugt und automatischan den zentralen Identity Store übergeben

IdentitätsverwaltungÜber die IAM Plattform werdenIdentitäten unterscheidlicher Herkunftzentral bereitgstellt.

Regeln sind auf Basis der Sicher-heitsrichtlinien (Policies) des Unternehmens hinterlegt

BerechtigungenEntsprechend dendefinierten RegelnwerdenBerechtigungenautomatisch gesetzt

Individuelle Kriterien: z.B. Laufzeit werdenim IAM eingetragen

Provisioning ProzessIn den Zielsystemen werdenIntranet-/Extranetzugang, Email-Account, (…und andere) automatisch erzeugt

Individuelle Berechtigungen in Portale werden gesetzt

ProduktivitätMitarbeiter verfügt überdie in den Regelnvereinbarten Zugängeund Berechtigungen

Mitarbeiterwird

eingestellt

In Minuten

Identity & Access Management

Einführung von Regeln• Zuweisung• Validierung• Konsistenz



Oktober 2009

Schritt 5: Bereitstellen - Regelbasierte Automatisierung der RechtevergabeHerausforderungen, Aufgaben, Vorteile

Organisationsdaten fürRegeldefinitionenAusnahmeregelungenKomplexe Rechtestrukturenin Zielsystemen

Herausforderungen

Implementierung von RegelnBehandlung von AusnahmenAnpassung der Prozesse für notwendige Organisationsdaten

Aufgaben

Erhöhung des AutomatisierungsgradesBerechtigungen entsprechend derSicherheitspolicyBeschleunigung von Entitlements

Nutzbare Vorteile

Welche Grundlagen existieren für die Definition von Regeln?Die Organisationsdaten müssen verfügbar sein!



Oktober 2009

Zielsysteme

accounts

membership

groups/roles

Quellen (z.B. HR)

customers

partners

external

internal


geographical

commercial

life cycle

Schritt 5: Bereitstellen – RegelbasierteAutomatisierung der Rechtevergabe

Identity Store

global identifier

assignments

rules

1

1

3

2

4

5

5

5



Oktober 2009














Oktober 2009

Schritt 6: Absichern - Absicherung der BerechtigungsvergabeGenehmigungsprozesse



Oktober 2009

Schritt 6: Absichern - Absicherung der BerechtigungsvergabeHerausforderungen, Aufgaben, Vorteile

Weitere Rollen für ApprovalsnotwendigProzesse müssen angepasst werdenProzessrollout notwendig

Herausforderungen

Definition von GenehmigungsprozessenEinbindung der Prozessbeteiligten

Aufgaben

Absicherung von manuellen Zuweisungen möglich.Die Entscheidungen werden durchdie Verantwortlichen getroffen.kein Medienbruch bei der Umsetzung.

Nutzbare Vorteile



Oktober 2009

Zielsysteme

accounts

membership

groups/roles

Quellen (z.B. HR)

customers

partners

external

internal


geographical

commercial

life cycle

Schritt 6: AbsichernAbsicherung der Berechtigungsvergabe

Identity Store

global identifier

approvals

assignments

rules

1

1

3

2

6

4

5

5

5



Oktober 2009














Oktober 2009

Schritt 7: Verwenden - Identity Management für die BenutzerSelf-Service

Self-ServiceStellvertreter-VerwaltungDelegierte AdministrationAnträge und GenehmigungenPasswort-Management



Oktober 2009

Schritt 7: Verwenden - Identity Management für die BenutzerHerausforderungen, Aufgaben, Vorteile

Endnutzer verwenden das IdM-SystemAntrags- und Genehmigngsprozess

Herausforderungen

Rollout einer Endnutzer-Oberfläche für das IdM-SystemSchulungen für die EndbenutzerImplementierung des Antrags-und Genehmigungsprozesses

Aufgaben

Reduktion von Hotline-KostenReduktion papiergestützter ProzesseKostensenkung der administrativen Kosten

Nutzbare Vorteile



Oktober 2009

Zielsysteme

accounts

membership

groups/roles

Quellen (z.B. HR)

customers

partners

external

internal


geographical

commercial

life cycle

Schritt 7: VerwendenIdentity Management für die Benutzer

Identity Store

global identifier

approvals

assignments

rules

1

1

3

2

6

7

self service

Mitarbeiter

4

5

5

5



Oktober 2009














Oktober 2009

Das Compliance-Problem und die Rolle von IAM

Welche Hindernisse müssen beseitigt werden ?manuelle Rechteverwaltung / Intranspatentes Rechte- und Rollenkonzept / Geringe Datenqualität / Einmal-Aktionen

Regulatory Compliance – Was ist zu tun ?Klare Definition der Zugriffsrechte / Umsetzung / Überwachung / Reporting

Die Lösung:Source: Gartner 2006, Identity and Access Management Today

Identity und Access Management automatisieren

Prediction: By 2008, investments in identity management solutions will increase 60 percent in order to address regulatory compliance requirements (0.8 probability).



Oktober 2009

Schritt 8: Nachweisen - Nachweisbarkeit der RechtevergabeHerausforderungen, Aufgaben, Vorteile

Rechtliche RahmenbedingungenSecurity-Policy derOrganisationzielsystemübergreifendeAuswertungen

Herausforderungen

Regelmässige AuswertungenSicherungskonzept für ZuweisungsoperationenErstellung von für die Organisation geeigneter Berichten

Aufgaben

Erfüllung der Compliance-AnforderungenNachweisbarkeit für RevisionsanforderungenRisikominimierungReports auf Basis realer Identitäten

Nutzbare Vorteile

Auswertungs- zeitpunkt:

7/17/07 5:20:17 PM CEST

DirX Identity Standard Report:

Auswertungs- basis:

globaler Rollenkatalog

Anzahl der Identitäten pro Rolle

Auswertungs- bereich:

alle Identitäten

Anzahl der Identitäten

direkte Zuweisungen

Standardrollen interne Mitarbeiter 1000 1000 externe Mitarbeiter 150 150 Organisations-Rollen Vorstand 2 Landesleitung Vertrieb 1 Landesleitung Finanzen 1 Vertrieb 200 Kaufmannschaft 100 Produktion 500 Partnerrollen Lieferant 50 Projektbezogenen Rollen Projektmanager 10 Projektmitarbeiter Entwicklung neue Produktreihe

25



Oktober 2009

Zielsysteme

accounts

membership

groups/roles

Quellen (z.B. HR)

customers

partners

external

internal


geographical

commercial

life cycle

Schritt 8: NachweisenNachweisbarkeit der Rechtevergabe

Identity Store

global identifier

reports

approvals

assignments

rules

1

1

3

2

6

7

self service

8

Mitarbeiter

Compliance

revision department

security policy

laws / regulations

4

5

5

5



Oktober 2009














Oktober 2009

Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht (Role Engineering)

Zusammenwirken von Role Finding und Role Mining im Role Engineering Prozess

Organisationsstruktur

Policies, ProzesseTätigkeiten

RoleFinding

(top down)

RoleMining

(bottom up)

Zielsysteme

Berechtigungsstruktur

Operations Resourcen

Durch Zusammenwirken von Role Finding und Role Mining entsteht schrittweise ein unternehmensweites, systemübergreifendes Rollenmodell

Schritt 3Schritt 9



Oktober 2009

Schritt 9: Konstruieren - RollenmodellierungHerausforderungen, Aufgaben, Vorteile

Einführung eines RollenbegriffsVoraussetzungen in der OrganisatonProzessveränderungen(Verantwortlichkeiten)

Herausforderungen

Einführung eines Rollenbegriffsfür die OrganisationGeshäftsprozessmodellierungOrganisationsdaten bereitstellen (Organisation, Kostenstellen, Standorte, …)

Aufgaben

Zuordnung von Berechtigungenauf fachlicher Ebene (Verständnis)Zusammenführung von Zuordnungund technischer UmsetzungÜbertragung von Rechten (Vertretungen)Anzahl der Rechtezuweisungen sinkt

Nutzbare Vorteile



Oktober 2009

Zielsysteme

accounts

membership

groups/roles

Quellen (z.B. HR)

customers

partners

external

internal


geographical

commercial

life cycle

Schritt 9: KonstruierenRollenmodellierung aus Unternehmenssicht

Identity Store

global identifier

reports

approvals

assignments

role catalogue

rules

1

1

3

2

6

7

self service

8

Mitarbeiter

Compliance

revision department

security policy

laws / regulations

4

9

5

5

59



Oktober 2009














Oktober 2009

Schritt 10: Change – RollenmodellierungsprozessAktualisierung des Rollenmodells

Durch die Veränderungen in der Organistionsstruktur, den Geschäftsprozessen und der IT-Infrastruktur ist auch das Rollenmodell einem kontinuierlichen Veränderungsprozess unterworfen.

RollenmodellRollenkatalog

Role Life Cycle Management

RoleFinding

RoleMining

Rollen Administration

Top-Down Ansatz

Bottom-Up Ansatz

Anpassung

VeränderungIT-Infraturktur

VeränderungGeschäftsmodell,

Organisation

Benutzer- und Berechtigungs-

verwaltung



Oktober 2009

Schritt 10: Change – RollenmodellierungsprozessHerausforderungen, Aufgaben, Vorteile

Veränderungen in der OrganisationVeränderungen in der TechnikLösungen entwickeln sichSimulation von AnpassungenTestmöglichkeiten

Herausforderungen

Definition von Rollen für dieRollenmodellierungErstellung von TestmodellenÄnderungs- und Freigabeprozess implementieren

Aufgaben

Identity ManagementLösung wird vervollständigtÄnderungen auf Basis von Umstrukturierungen werden einfacher durchführbar

Nutzbare Vorteile



Oktober 2009

Zielsysteme

accounts

membership

groups/roles

Quellen (z.B. HR)

customers

partners

external

internal


geographical

commercial

life cycle

Schritt 10: ChangeRollenmodellierungsprozess

Identity Store

global identifier

reports

approvals

assignments

role catalogue

rules

1

1

3

2

6

7

self service

8

10

Mitarbeiter

Compliance

revision department

security policy

laws / regulations

4

9

5

5

59



Oktober 2009














Oktober 2009

Der Stufenplan

Anzahl der integrierten Zielsysteme

Um

fang

des

impl

emen

tierte

n Fu

nktio

nsum

fang

s

Stufe 1: Quick Win

Stufe 2: Zielsysteme

Stufe 3: Funktions-

umfangZiel: voll

ausgebaute Lösung



Oktober 2009

Kernbotschaften

4 Punkte die Sie mitnehmen sollen

Identity Mangament ist keineinmaliges Projekt sondern ständigeVerbesserung

Die richtige Planung entscheidet überden Erfolg bei der Umsetzung.

Eine stufenweise Einführung sichertden Erfolg.

Die Verbesserung bestehenderProzesse und die Erhöhung des Automatisierungsgrades beginntschon mit der ersten Applikation.

Der Zweck eines IdentityManagement ist die Vielzahl der Kennungen und personenbezogenen Informationen welche die Anwender für den Zugriff auf Applikationen, Ressourcen und IT-Systeme benötigen, zu reduzieren und nach Möglichkeit in einer einzigen digitalen Identität zusammenzufassen.

http://www.iam-wiki.org



Oktober 2009

Management of complete user life cycle to provide efficient and secure user administration for heterogeneous IT infrastructures.

Identity Management

Reliable protection for applications in the web environment through authentication, single sign-on and access control.

Access Management

Bottom-up and/or top-down analysis of business processes, deduction of business and/or technical roles and their compliant implementation.

Role engineering

Profound consulting, integration and operations know-how based on numerous projects and deep knowledge of businesses and IT.

Professional Services

(De-)ProvisioningApproval and ValidationUser Self ServiceCertified SAP Integration

Password ManagementIdentity FederationAudit and Reporting

Need-to-know and least-privilegeDelegated AdministrationRegulatory Compliance

Consult, Design, Build andIntegrateOperate and MaintainTechnical Project Management

Siemens Enterprise Communicationsdelivers the complete value chain for IAM



Oktober 2009

Siemens provides an integrated product suite forIdentity and Access Management

DirX AuditSustainable compliance through continuous Identity Auditing of user access and entitlements

DirX IdentityComprehensive Identity Managementfor automated user and entitlement management

DirX DirectoryHigh-end Directory Server for enterprise and e-Business environments

Authentication IdentityFederation

Web SingleSign-on

PersonalIdentity

Frameworks

Self-Service& Delegation

UserManagement Workflow

RoleManagement

Meta-directory Provisioning

Directory Audit

Web ServicesSecurity

Authorization

Audit

DirX AccessSecure and reliable Access Managementand Federation for Web and SOA environments

ID CenterBiometric identification for secure and convenient authentication

Services Products



Oktober 2009

Acceptance test and roll-out of the solutionTraining, operation and security conceptsAdaptation to changes in customer’s processes

Implementation of the system and its connectorsImplementation of the entitlement model: Policies, privileges, roles, self-services, workflows, ...

Developing a customer-specific IAM solution strategy accounting for compliance requirements

Detailed definition of the solutionFunctional description of solutionRole and entitlement concept

Hotline and Tele ServiceSoftware updates and data maintenance

Design ImplementationPresentation, Assessment

Standard Process Model forIdentity and Access Management Projects (1)

Proj

ect M

anag

emen

t

Final Design

Prototype

Build

Operate

Presales Scoping Workshop

Support

Qua

lity

Man

agem

ent

As-is analysis – systems, processes, dataRough description of solutionReturn on investment (optional)

High-level Design

op

tio

nal

ShowCase



Oktober 2009

Standard Process Model for Identity and Access Management Projects (2)

Presales

Offer for IAM Scope Workshop

Functional Specification

ResultDocument

Briefing

Test Report

OperationalConcept

DocumentationSystem/Install.

LDIF-Export Collection

AcceptanceTest

Scope Workshop Build Operate

ProjectManagement

QualityManagement

Support

Feasibility StudyROI

Final Design

optional

High-level Design

Show-Case Prototype

Copyright © Siemens Enterprise Communications 2007. All rights reserved.Copyright © Siemens Enterprise Communications GmbH & Co KG 2008. All rights reserved.

Siemens Enterprise Communications GmbH & Co. KG

Oliver NyderleSEN PSM SEC



Oktober 2009

Oliver Nyderle

Solution Line ManagerIdentity & Privacy

Siemens EnterpriseCommunications GmbH & Co

+49 (151) 1083 [email protected]

Kon

takt

Ko n

takt

Kontakt

corporate design powerpoint templates com · pdf filesapm card/token management password...

Documents