corporate design powerpoint templates com · pdf filesapm card/token management password...
TRANSCRIPT
Copyright © Siemens Enterprise Communications 2007. All rights reserved.Copyright © Siemens Enterprise Communications GmbH & Co KG 2008. All rights reserved.
Identity Management10 Schritte auf dem Weg zumeffektiven Identity Management
Oliver NyderleSEN SER PS CNS
Siemens Enterprise Communications GmbH & Co. KG
Seite 2Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Kernbotschaften
4 Punkte die Sie mitnehmen sollten
Identity Mangament ist keineinmaliges Projekt sondern ständigeVerbesserung
Die richtige Planung entscheidet überden Erfolg bei der Umsetzung.
Eine stufenweise Einführung sichertden Erfolg und erhöht die Akzeptanz.
Die Verbesserung bestehenderProzesse und die Erhöhung des Automatisierungsgrades beginntschon mit der ersten Applikation.
Der Zweck eines IdentityManagement ist die Vielzahl der Kennungen und personenbezogenen Informationen welche die Anwender für den Zugriff auf Applikationen, Ressourcen und IT-Systeme benötigen, zu reduzieren und nach Möglichkeit in einer einzigen digitalen Identität zusammenzufassen.
http://www.iam-wiki.org
Seite 3Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Herausforderungen anIdentity & Access Management
Sicherheitslücken vermeiden
Administrationskosten senken
Effizienz steigern
Insellösungen vermeiden
Datenqualität verbessern
Einhaltung v. Gesetzen und Richtlinien sicherstellen
Seite 4Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Smart Token SSO
Directory Services
Virtual Directories Metadirectories
PKI
LDAP
X.500
Credential ManagementSAPM
Card/Token Management
Password Management
Role Management
Resource Access Administration
User Provisioning
Identity Auditing
Security Information & Event Management
SOD Controls Within ERP
Enterprise DRM
Encryption
Content Access Management
OS Access Management SUPM
Network Access Control
Web Access Management
Authorization Management
Web SSO
Kerberos
Enterprise SSOPersonal Identity Frameworks
Single Sign-On
Identity Proofing
Authentication Infrastructure
Authentication
Federated Identity Management
methods
form factors
GRC Tools
TransactionAssurance
ITSM
Service Desk Tools
PACS
Identity & Access ManagementDie Themenvielfalt im Gartner Jellyfish
IAM
Access Management
Identity Verification
IdentityAdministration
Identity Auditing
Directories
IDENTITY MANAGEMENT
Seite 5Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
1. VorbereitungDer Stufenplan
Anzahl der integrierten Zielsysteme
Um
fang
des
impl
emen
tierte
n Fu
nktio
nsum
fang
s
Stufe 1: Quick Win
Stufe 2: Zielsysteme
Stufe 3: Funktions-
umfangZiel: voll
ausgebaute Lösung
Seite 6Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
2. 10 Schritte im Überblick (Identity Management)
Schritt 1: Integrieren - Integration von Identitäten
Schritt 2: Überprüfen - Integration von Zielsystemen
Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen
Schritt 4: Automatisieren - Steuerung der Berechtigungszugänge
Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe
Schritt 6: Absichern - Absicherung der Berechtigungsvergabe
Schritt 7: Verwenden - Identity Management für die Benutzer
Schritt 8: Nachweisen - Nachweisbarkeit der Berechtigungsvergabe
Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht
Schritt 10: Verändern - Rollenmodellierungsprozess
Seite 7Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Zielsysteme
accounts
membership
groups/roles
Quellen (z.B. HR)
customers
partners
external
internal
Zusatzinformationenorganizational
geographical
commercial
life cycle
Übersicht - Komponenten
Identity Store
Mitarbeiter
Compliance
revision department
security policy
laws / regulations
Seite 8Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
10 Schritte im Überblick (Identity Management)
Schritt 1: Integrieren - Integration von Identitäten
Schritt 2: Überprüfen - Integration von Zielsystemen
Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen
Schritt 4: Automatisieren - Steuerung der Berechtigungszugänge
Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe
Schritt 6: Absichern - Absicherung der Berechtigungsvergabe
Schritt 7: Verwenden - Identity Management für die Benutzer
Schritt 8: Nachweisen - Nachweisbarkeit der Berechtigungsvergabe
Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht
Schritt 10: Verändern - Rollenmodellierungsprozess
Seite 9Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 1: Integrieren - Integration von IdentitätenHerausforderungen, Aufgaben, Vorteile
verschiedene Quellenunterschiedliche VerantwortlichkeitenMengengerüste, AktualitätVerfügbarkeit vonOrganisations-Daten
Herausforderungen
Klassiifzierung von IdentitätenSpezifikation des LebenszyklusIntegration von Organisations-Daten
Aufgaben
Zentraler IdentitätsspeicherNutzbarkeit als Identity-Provider in einer Service Orientierten Architekturkonsistente Stammdaten fürdie Einführung neuer Systeme
Nutzbare Vorteile
Seite 10Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 1: IntegrierenIntegration von Identitäten
Identity Store
global identifier
1
1
Quellen (z.B. HR)
customers
partners
external
internal
Zusatzinformationenorganizational
geographical
commercial
life cycle
Seite 11Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
10 Schritte im Überblick (Identity Management)
Schritt 1: Integrieren - Integration von Identitäten
Schritt 2: Überprüfen - Integration von Zielsystemen
Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen
Schritt 4: Automatisieren - Steuerung der Berechtigungszugänge
Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe
Schritt 6: Absichern - Absicherung der Berechtigungsvergabe
Schritt 7: Verwenden - Identity Management für die Benutzer
Schritt 8: Nachweisen - Nachweisbarkeit der Berechtigungsvergabe
Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht
Schritt 10: Verändern - Rollenmodellierungsprozess
Seite 12Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 2: Überprüfen - Integration von ZielsystemenHerausforderungen, Aufgaben, Vorteile
unterschiedliche VerwaltungsprozesseNamesregelnVerfügbarkeit geeigneter Schnittstellen
Herausforderungen
Zusammenführung von SystemkennungenEinführung eines globalenIdentifiersDurchführung von Datenkonsolidierungen
Aufgaben
Überprüfung der Zielsysteme möglichVerhinderung unberechtigter ZugriffeZusammenführung nutzbar fürLizenzkostenberechnung
Nutzbare Vorteile
Seite 13Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 2: ÜberprüfenIntegration von Zielsystemen
Identity Store
Zielsysteme
accounts
membership
groups/roles
global identifier
1
1
2
Quellen (z.B. HR)
customers
partners
external
internal
Zusatzinformationenorganizational
geographical
commercial
life cycle
Seite 14Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
10 Schritte im Überblick (Identity Management)
Schritt 1: Integrieren - Integration von Identitäten
Schritt 2: Überprüfen - Integration von Zielsystemen
Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen
Schritt 4: Automatisieren - Steuerung der Berechtigungszugänge
Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe
Schritt 6: Absichern - Absicherung der Berechtigungsvergabe
Schritt 7: Verwenden - Identity Management für die Benutzer
Schritt 8: Nachweisen - Nachweisbarkeit der Berechtigungsvergabe
Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht
Schritt 10: Verändern - Rollenmodellierungsprozess
Seite 15Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 3: Analysieren - Analyse der bestehenden BerechtigungsstrukturenHerausforderungen, Aufgaben, Vorteile
vorhandene Rechtestrukturenmüssen berücksichtigt werdenSysteme mit komplexen RechtestrukturenDatenleichen verschleiern das tatsächliche Bild
Herausforderungen
Analyse der BerechtigungsstrukturenStrukturierung derZielsystemrechte Entfernen von veralteten Zuweisungen
Aufgaben
Nutzung des bestehenden Wissen zur RechtestrukturierungIdentitätszuordnungen können die Auswertung verbessern (Schritte 1,2) Vereinfachung der Zuweisung durch Strukturierung
Nutzbare Vorteile
Seite 16Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen(Role Mining)
Arbeitet in der AbteilungFirmenkunden (FK) inder Filiale München
Bruno Klarmann
Berechtigungsgruppe(in Zielsystemen)
PermissionsRolle
GT002
840008
HHB_D. Users
MVS
Windows2000
Unix
844950845015
RG08ZZ01RG07ZZ01
…RG08LO10RG07LO10
...
RG08GH04RG07GH04
…
RG08LO10
RG08ZZ01
RG08GH04
HHB_Basis
FK_Basis
OR_KundeFK
Op.-Mgm.
FKAssistent
Seite 17Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Zielsysteme
accounts
membership
groups/roles
Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen
Identity Store
global identifier
1
1
3
2
Quellen (z.B. HR)
customers
partners
external
internal
Zusatzinformationenorganizational
geographical
commercial
life cycle
Seite 18Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
10 Schritte im Überblick (Identity Management)
Schritt 1: Integrieren - Integration von Identitäten
Schritt 2: Überprüfen - Integration von Zielsystemen
Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen
Schritt 4: Automatisieren - Steuerung der Berechtigungszugänge
Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe
Schritt 6: Absichern - Absicherung der Berechtigungsvergabe
Schritt 7: Verwenden - Identity Management für die Benutzer
Schritt 8: Nachweisen - Nachweisbarkeit der Berechtigungsvergabe
Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht
Schritt 10: Verändern - Rollenmodellierungsprozess
Seite 19Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 4: Automatisieren - Steuerung derBerechtigungszugängeAktivieren und Deaktivieren von Systemzugängen
Berechtigungs-prozesse
Berechtigungs-Datenbank
AntragGenehmigung
MitarbeiterGenehmiger
Personal-prozesse
Stammdaten-Verwaltung
HR-System
HR-Mitarbeiter
Organisations-prozesse
Arbeitsprofil-Verwaltung
Orga-Datenbank
Orga-Mitarbeiter
Systemverwaltungs-prozesse
Netzwerk-System
System-Verwaltung
Administrator
ERP-System
System-Verwaltung
Administrator
CRM-System
System-Verwaltung
Administrator
Aktivieren Deaktivieren Löschen
Seite 20Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 4: Automatisieren - Steuerung derBerechtigungszugängeHerausforderungen, Aufgaben, Vorteile
verschiedene ProzessebenenVerantwortlichkeiten innerhalbder OrganisationBugdet für übergreifendeProjeke
Herausforderungen
Prozesse ZusammenführenAufgabentrennungzwischen Benutzer- und SystemverwaltungTrennung zwischen System-zugang und Detailrechten
Aufgaben
Erhöhung des AutomatisierungsgradesErhöhung des ScherheitslevelsEntlastung der Systemadministratoren bzgl. manueller Prüfungen
Nutzbare VorteileAktivieren
Deaktivieren
Löschen
Seite 21Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Zielsysteme
accounts
membership
groups/roles
Quellen (z.B. HR)
customers
partners
external
internal
Zusatzinformationenorganizational
geographical
commercial
life cycle
Schritt 4: AutomatisierenSteuerung der Berechtigungszugänge
Identity Store
global identifier
1
1
3
2
4
Seite 22Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
10 Schritte im Überblick (Identity Management)
Schritt 1: Integrieren - Integration von Identitäten
Schritt 2: Überprüfen - Integration von Zielsystemen
Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen
Schritt 4: Automatisieren - Steuerung der Berechtigungszugänge
Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe
Schritt 6: Absichern - Absicherung der Berechtigungsvergabe
Schritt 7: Verwenden - Identity Management für die Benutzer
Schritt 8: Nachweisen - Nachweisbarkeit der Berechtigungsvergabe
Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht
Schritt 10: Verändern - Rollenmodellierungsprozess
Seite 23Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe (Provisionierung)
HR-VerwaltungDie Stammdaten werdenim Personalwesenerzeugt und automatischan den zentralen Identity Store übergeben
IdentitätsverwaltungÜber die IAM Plattform werdenIdentitäten unterscheidlicher Herkunftzentral bereitgstellt.
Regeln sind auf Basis der Sicher-heitsrichtlinien (Policies) des Unternehmens hinterlegt
BerechtigungenEntsprechend dendefinierten RegelnwerdenBerechtigungenautomatisch gesetzt
Individuelle Kriterien: z.B. Laufzeit werdenim IAM eingetragen
Provisioning ProzessIn den Zielsystemen werdenIntranet-/Extranetzugang, Email-Account, (…und andere) automatisch erzeugt
Individuelle Berechtigungen in Portale werden gesetzt
ProduktivitätMitarbeiter verfügt überdie in den Regelnvereinbarten Zugängeund Berechtigungen
Mitarbeiterwird
eingestellt
In Minuten
Identity & Access Management
Einführung von Regeln• Zuweisung• Validierung• Konsistenz
Seite 24Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 5: Bereitstellen - Regelbasierte Automatisierung der RechtevergabeHerausforderungen, Aufgaben, Vorteile
Organisationsdaten fürRegeldefinitionenAusnahmeregelungenKomplexe Rechtestrukturenin Zielsystemen
Herausforderungen
Implementierung von RegelnBehandlung von AusnahmenAnpassung der Prozesse für notwendige Organisationsdaten
Aufgaben
Erhöhung des AutomatisierungsgradesBerechtigungen entsprechend derSicherheitspolicyBeschleunigung von Entitlements
Nutzbare Vorteile
Welche Grundlagen existieren für die Definition von Regeln?Die Organisationsdaten müssen verfügbar sein!
Seite 25Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Zielsysteme
accounts
membership
groups/roles
Quellen (z.B. HR)
customers
partners
external
internal
Zusatzinformationenorganizational
geographical
commercial
life cycle
Schritt 5: Bereitstellen – RegelbasierteAutomatisierung der Rechtevergabe
Identity Store
global identifier
assignments
rules
1
1
3
2
4
5
5
5
Seite 26Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
10 Schritte im Überblick (Identity Management)
Schritt 1: Integrieren - Integration von Identitäten
Schritt 2: Überprüfen - Integration von Zielsystemen
Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen
Schritt 4: Automatisieren - Steuerung der Berechtigungszugänge
Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe
Schritt 6: Absichern - Absicherung der Berechtigungsvergabe
Schritt 7: Verwenden - Identity Management für die Benutzer
Schritt 8: Nachweisen - Nachweisbarkeit der Berechtigungsvergabe
Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht
Schritt 10: Verändern - Rollenmodellierungsprozess
Seite 27Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 6: Absichern - Absicherung der BerechtigungsvergabeGenehmigungsprozesse
Seite 28Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 6: Absichern - Absicherung der BerechtigungsvergabeHerausforderungen, Aufgaben, Vorteile
Weitere Rollen für ApprovalsnotwendigProzesse müssen angepasst werdenProzessrollout notwendig
Herausforderungen
Definition von GenehmigungsprozessenEinbindung der Prozessbeteiligten
Aufgaben
Absicherung von manuellen Zuweisungen möglich.Die Entscheidungen werden durchdie Verantwortlichen getroffen.kein Medienbruch bei der Umsetzung.
Nutzbare Vorteile
Seite 29Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Zielsysteme
accounts
membership
groups/roles
Quellen (z.B. HR)
customers
partners
external
internal
Zusatzinformationenorganizational
geographical
commercial
life cycle
Schritt 6: AbsichernAbsicherung der Berechtigungsvergabe
Identity Store
global identifier
approvals
assignments
rules
1
1
3
2
6
4
5
5
5
Seite 30Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
10 Schritte im Überblick (Identity Management)
Schritt 1: Integrieren - Integration von Identitäten
Schritt 2: Überprüfen - Integration von Zielsystemen
Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen
Schritt 4: Automatisieren - Steuerung der Berechtigungszugänge
Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe
Schritt 6: Absichern - Absicherung der Berechtigungsvergabe
Schritt 7: Verwenden - Identity Management für die Benutzer
Schritt 8: Nachweisen - Nachweisbarkeit der Berechtigungsvergabe
Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht
Schritt 10: Verändern - Rollenmodellierungsprozess
Seite 31Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 7: Verwenden - Identity Management für die BenutzerSelf-Service
Self-ServiceStellvertreter-VerwaltungDelegierte AdministrationAnträge und GenehmigungenPasswort-Management
Seite 32Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 7: Verwenden - Identity Management für die BenutzerHerausforderungen, Aufgaben, Vorteile
Endnutzer verwenden das IdM-SystemAntrags- und Genehmigngsprozess
Herausforderungen
Rollout einer Endnutzer-Oberfläche für das IdM-SystemSchulungen für die EndbenutzerImplementierung des Antrags-und Genehmigungsprozesses
Aufgaben
Reduktion von Hotline-KostenReduktion papiergestützter ProzesseKostensenkung der administrativen Kosten
Nutzbare Vorteile
Seite 33Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Zielsysteme
accounts
membership
groups/roles
Quellen (z.B. HR)
customers
partners
external
internal
Zusatzinformationenorganizational
geographical
commercial
life cycle
Schritt 7: VerwendenIdentity Management für die Benutzer
Identity Store
global identifier
approvals
assignments
rules
1
1
3
2
6
7
self service
Mitarbeiter
4
5
5
5
Seite 34Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
10 Schritte im Überblick (Identity Management)
Schritt 1: Integrieren - Integration von Identitäten
Schritt 2: Überprüfen - Integration von Zielsystemen
Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen
Schritt 4: Automatisieren - Steuerung der Berechtigungszugänge
Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe
Schritt 6: Absichern - Absicherung der Berechtigungsvergabe
Schritt 7: Verwenden - Identity Management für die Benutzer
Schritt 8: Nachweisen - Nachweisbarkeit der Berechtigungsvergabe
Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht
Schritt 10: Verändern - Rollenmodellierungsprozess
Seite 35Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Das Compliance-Problem und die Rolle von IAM
Welche Hindernisse müssen beseitigt werden ?manuelle Rechteverwaltung / Intranspatentes Rechte- und Rollenkonzept / Geringe Datenqualität / Einmal-Aktionen
Regulatory Compliance – Was ist zu tun ?Klare Definition der Zugriffsrechte / Umsetzung / Überwachung / Reporting
Die Lösung:Source: Gartner 2006, Identity and Access Management Today
Identity und Access Management automatisieren
Prediction: By 2008, investments in identity management solutions will increase 60 percent in order to address regulatory compliance requirements (0.8 probability).
Seite 36Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 8: Nachweisen - Nachweisbarkeit der RechtevergabeHerausforderungen, Aufgaben, Vorteile
Rechtliche RahmenbedingungenSecurity-Policy derOrganisationzielsystemübergreifendeAuswertungen
Herausforderungen
Regelmässige AuswertungenSicherungskonzept für ZuweisungsoperationenErstellung von für die Organisation geeigneter Berichten
Aufgaben
Erfüllung der Compliance-AnforderungenNachweisbarkeit für RevisionsanforderungenRisikominimierungReports auf Basis realer Identitäten
Nutzbare Vorteile
Auswertungs- zeitpunkt:
7/17/07 5:20:17 PM CEST
DirX Identity Standard Report:
Auswertungs- basis:
globaler Rollenkatalog
Anzahl der Identitäten pro Rolle
Auswertungs- bereich:
alle Identitäten
Anzahl der Identitäten
direkte Zuweisungen
Standardrollen interne Mitarbeiter 1000 1000 externe Mitarbeiter 150 150 Organisations-Rollen Vorstand 2 Landesleitung Vertrieb 1 Landesleitung Finanzen 1 Vertrieb 200 Kaufmannschaft 100 Produktion 500 Partnerrollen Lieferant 50 Projektbezogenen Rollen Projektmanager 10 Projektmitarbeiter Entwicklung neue Produktreihe
25
Seite 37Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Zielsysteme
accounts
membership
groups/roles
Quellen (z.B. HR)
customers
partners
external
internal
Zusatzinformationenorganizational
geographical
commercial
life cycle
Schritt 8: NachweisenNachweisbarkeit der Rechtevergabe
Identity Store
global identifier
reports
approvals
assignments
rules
1
1
3
2
6
7
self service
8
Mitarbeiter
Compliance
revision department
security policy
laws / regulations
4
5
5
5
Seite 38Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
10 Schritte im Überblick (Identity Management)
Schritt 1: Integrieren - Integration von Identitäten
Schritt 2: Überprüfen - Integration von Zielsystemen
Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen
Schritt 4: Automatisieren - Steuerung der Berechtigungszugänge
Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe
Schritt 6: Absichern - Absicherung der Berechtigungsvergabe
Schritt 7: Verwenden - Identity Management für die Benutzer
Schritt 8: Nachweisen - Nachweisbarkeit der Berechtigungsvergabe
Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht
Schritt 10: Verändern - Rollenmodellierungsprozess
Seite 39Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht (Role Engineering)
Zusammenwirken von Role Finding und Role Mining im Role Engineering Prozess
Organisationsstruktur
Policies, ProzesseTätigkeiten
RoleFinding
(top down)
RoleMining
(bottom up)
Zielsysteme
Berechtigungsstruktur
Operations Resourcen
Durch Zusammenwirken von Role Finding und Role Mining entsteht schrittweise ein unternehmensweites, systemübergreifendes Rollenmodell
Schritt 3Schritt 9
Seite 40Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 9: Konstruieren - RollenmodellierungHerausforderungen, Aufgaben, Vorteile
Einführung eines RollenbegriffsVoraussetzungen in der OrganisatonProzessveränderungen(Verantwortlichkeiten)
Herausforderungen
Einführung eines Rollenbegriffsfür die OrganisationGeshäftsprozessmodellierungOrganisationsdaten bereitstellen (Organisation, Kostenstellen, Standorte, …)
Aufgaben
Zuordnung von Berechtigungenauf fachlicher Ebene (Verständnis)Zusammenführung von Zuordnungund technischer UmsetzungÜbertragung von Rechten (Vertretungen)Anzahl der Rechtezuweisungen sinkt
Nutzbare Vorteile
Seite 41Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Zielsysteme
accounts
membership
groups/roles
Quellen (z.B. HR)
customers
partners
external
internal
Zusatzinformationenorganizational
geographical
commercial
life cycle
Schritt 9: KonstruierenRollenmodellierung aus Unternehmenssicht
Identity Store
global identifier
reports
approvals
assignments
role catalogue
rules
1
1
3
2
6
7
self service
8
Mitarbeiter
Compliance
revision department
security policy
laws / regulations
4
9
5
5
59
Seite 42Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
10 Schritte im Überblick (Identity Management)
Schritt 1: Integrieren - Integration von Identitäten
Schritt 2: Überprüfen - Integration von Zielsystemen
Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen
Schritt 4: Automatisieren - Steuerung der Berechtigungszugänge
Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe
Schritt 6: Absichern - Absicherung der Berechtigungsvergabe
Schritt 7: Verwenden - Identity Management für die Benutzer
Schritt 8: Nachweisen - Nachweisbarkeit der Berechtigungsvergabe
Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht
Schritt 10: Verändern - Rollenmodellierungsprozess
Seite 43Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 10: Change – RollenmodellierungsprozessAktualisierung des Rollenmodells
Durch die Veränderungen in der Organistionsstruktur, den Geschäftsprozessen und der IT-Infrastruktur ist auch das Rollenmodell einem kontinuierlichen Veränderungsprozess unterworfen.
RollenmodellRollenkatalog
Role Life Cycle Management
RoleFinding
RoleMining
Rollen Administration
Top-Down Ansatz
Bottom-Up Ansatz
Anpassung
VeränderungIT-Infraturktur
VeränderungGeschäftsmodell,
Organisation
Benutzer- und Berechtigungs-
verwaltung
Seite 44Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Schritt 10: Change – RollenmodellierungsprozessHerausforderungen, Aufgaben, Vorteile
Veränderungen in der OrganisationVeränderungen in der TechnikLösungen entwickeln sichSimulation von AnpassungenTestmöglichkeiten
Herausforderungen
Definition von Rollen für dieRollenmodellierungErstellung von TestmodellenÄnderungs- und Freigabeprozess implementieren
Aufgaben
Identity ManagementLösung wird vervollständigtÄnderungen auf Basis von Umstrukturierungen werden einfacher durchführbar
Nutzbare Vorteile
Seite 45Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Zielsysteme
accounts
membership
groups/roles
Quellen (z.B. HR)
customers
partners
external
internal
Zusatzinformationenorganizational
geographical
commercial
life cycle
Schritt 10: ChangeRollenmodellierungsprozess
Identity Store
global identifier
reports
approvals
assignments
role catalogue
rules
1
1
3
2
6
7
self service
8
10
Mitarbeiter
Compliance
revision department
security policy
laws / regulations
4
9
5
5
59
Seite 46Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
10 Schritte im Überblick (Identity Management)
Schritt 1: Integrieren - Integration von Identitäten
Schritt 2: Überprüfen - Integration von Zielsystemen
Schritt 3: Analysieren - Analyse der bestehenden Berechtigungsstrukturen
Schritt 4: Automatisieren - Steuerung der Berechtigungszugänge
Schritt 5: Bereitstellen - Regelbasierte Automatisierung der Rechtevergabe
Schritt 6: Absichern - Absicherung der Berechtigungsvergabe
Schritt 7: Verwenden - Identity Management für die Benutzer
Schritt 8: Nachweisen - Nachweisbarkeit der Berechtigungsvergabe
Schritt 9: Konstruieren - Rollenmodellierung aus Unternehmenssicht
Schritt 10: Verändern - Rollenmodellierungsprozess
Seite 47Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Der Stufenplan
Anzahl der integrierten Zielsysteme
Um
fang
des
impl
emen
tierte
n Fu
nktio
nsum
fang
s
Stufe 1: Quick Win
Stufe 2: Zielsysteme
Stufe 3: Funktions-
umfangZiel: voll
ausgebaute Lösung
Seite 48Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Kernbotschaften
4 Punkte die Sie mitnehmen sollen
Identity Mangament ist keineinmaliges Projekt sondern ständigeVerbesserung
Die richtige Planung entscheidet überden Erfolg bei der Umsetzung.
Eine stufenweise Einführung sichertden Erfolg.
Die Verbesserung bestehenderProzesse und die Erhöhung des Automatisierungsgrades beginntschon mit der ersten Applikation.
Der Zweck eines IdentityManagement ist die Vielzahl der Kennungen und personenbezogenen Informationen welche die Anwender für den Zugriff auf Applikationen, Ressourcen und IT-Systeme benötigen, zu reduzieren und nach Möglichkeit in einer einzigen digitalen Identität zusammenzufassen.
http://www.iam-wiki.org
Seite 49Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Management of complete user life cycle to provide efficient and secure user administration for heterogeneous IT infrastructures.
Identity Management
Reliable protection for applications in the web environment through authentication, single sign-on and access control.
Access Management
Bottom-up and/or top-down analysis of business processes, deduction of business and/or technical roles and their compliant implementation.
Role engineering
Profound consulting, integration and operations know-how based on numerous projects and deep knowledge of businesses and IT.
Professional Services
(De-)ProvisioningApproval and ValidationUser Self ServiceCertified SAP Integration
Password ManagementIdentity FederationAudit and Reporting
Need-to-know and least-privilegeDelegated AdministrationRegulatory Compliance
Consult, Design, Build andIntegrateOperate and MaintainTechnical Project Management
Siemens Enterprise Communicationsdelivers the complete value chain for IAM
Seite 50Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Siemens provides an integrated product suite forIdentity and Access Management
DirX AuditSustainable compliance through continuous Identity Auditing of user access and entitlements
DirX IdentityComprehensive Identity Managementfor automated user and entitlement management
DirX DirectoryHigh-end Directory Server for enterprise and e-Business environments
Authentication IdentityFederation
Web SingleSign-on
PersonalIdentity
Frameworks
Self-Service& Delegation
UserManagement Workflow
RoleManagement
Meta-directory Provisioning
Directory Audit
Web ServicesSecurity
Authorization
Audit
DirX AccessSecure and reliable Access Managementand Federation for Web and SOA environments
ID CenterBiometric identification for secure and convenient authentication
Services Products
Seite 51Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Acceptance test and roll-out of the solutionTraining, operation and security conceptsAdaptation to changes in customer’s processes
Implementation of the system and its connectorsImplementation of the entitlement model: Policies, privileges, roles, self-services, workflows, ...
Developing a customer-specific IAM solution strategy accounting for compliance requirements
Detailed definition of the solutionFunctional description of solutionRole and entitlement concept
Hotline and Tele ServiceSoftware updates and data maintenance
Design ImplementationPresentation, Assessment
Standard Process Model forIdentity and Access Management Projects (1)
Proj
ect M
anag
emen
t
Final Design
Prototype
Build
Operate
Presales Scoping Workshop
Support
Qua
lity
Man
agem
ent
As-is analysis – systems, processes, dataRough description of solutionReturn on investment (optional)
High-level Design
op
tio
nal
ShowCase
Seite 52Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Standard Process Model for Identity and Access Management Projects (2)
Presales
Offer for IAM Scope Workshop
Functional Specification
ResultDocument
Briefing
Test Report
OperationalConcept
DocumentationSystem/Install.
LDIF-Export Collection
AcceptanceTest
Scope Workshop Build Operate
ProjectManagement
QualityManagement
Support
Feasibility StudyROI
Final Design
optional
High-level Design
Show-Case Prototype
Copyright © Siemens Enterprise Communications 2007. All rights reserved.Copyright © Siemens Enterprise Communications GmbH & Co KG 2008. All rights reserved.
Siemens Enterprise Communications GmbH & Co. KG
Oliver NyderleSEN PSM SEC
Seite 54Copyright © Siemens Enterprise Communications GmbH & Co. KG 2009. All rights reserved.Siemens Enterprise Communications GmbH & Co. KG is a Trademark Licensee of Siemens AG
Oliver NyderleSEN SER PS CNS
Oktober 2009
Oliver Nyderle
Solution Line ManagerIdentity & Privacy
Siemens EnterpriseCommunications GmbH & Co
+49 (151) 1083 [email protected]
Kon
takt
Ko n
takt
Kontakt