Liiketoimintaa tukeva turvallinen yhteistyö sidosryhmien kanssa, käyttäjätunnistus sekä identiteettitieto sidosryhmäpalveluissa UBISECURE SOLUTIONS, INC. Charles Sederholm To be the prefered partner in providing authentication and authorization solutions
Esitys 3S Verkot ja tietoturva 27.04.2005 klo 14:25-14:45 Sali 1 Liiketoimintaa tukeva turvallinen yhteistyö sidosryhmien kanssa, käyttäjätunnistus sekä identiteettitieto sidosryhmäpalveluissa Tiedon saatavuutta voidaan parantaa vaarantamatta luotettavuutta standardipohjaisilla kertakirjautumisratkaisuilla yli organisaatiorajojen. Kertakirjautumisratkaisut ja identiteettitiedon välitys yli toimialueiden säästää selvää rahaa Teema: Hallinnollinen tietoturva Puhuja: Charles Sederholm, toimitusjohtaja, Ubisecure Solutions Oy Järjestäjä: Ubisecure Solutions Oy
Esitys 3S Verkot ja tietoturva Ubisecure Solutions Oy lyhyesti Referenssit Mitkä ovat tyypillisiä haasteita ja kipupisteitä Käyttötapauksia Hyötyjä ja etuja
UBISECURE LYHYESTI
Ubisecure Ubisecure develops and markets software products for advanced user authentication, authorization and Single Sign-On Current primary market area is Finland. Ubisecure is establishing market presence in Sweden during 2005 and other selected market areas are being investigated Target customers are medium to large enterprises and government organizations Established in 2002, products have been under development since 1999. Located in Espoo, Finland and Stockholm, Sweden
UBISECUREN TUOTTEET UBILOGIN UBIPASS Ratkaisu käyttäjätunnistamiseen, kertakirjautumiseen ja valtuutukseen webpalveluissa sekä intranet/extranet sovelluksissa Login Password Mobile User Authentication VPN gateway Login Password Single Sign-On Authentication Authorization Applications Applications Applications Vahva käyttäjätunnistamisratkaisu esim. VPN:ään tai muihin RADIUSyhteensopiviin laitteisiin ja ohjelmistoihin Kertakäyttösalasanaratkaisu SMS-viestien avulla tai GSM-puhelimiin, PDA-laitteisiin ja PC:hen Username One-Time Password John Doe 12345ABCD UBISIGNATURE Hash Hash result Private Key Sign Digital Signature Ohjelmistokomponenttituote (XML Signature standardi) sähköisiin allekirjoitusratkaisuihin tiedon turvaamiseen ja varmentamiseen
MIHIN HAASTEISIIN UBILOGINILLA TYYPILLISESTI VASTATAAN? 1. TIEDON SAAVUTETTAVUUS JA RISKIEN HALLINTA Tiedon saattaminen sidosryhmien ulottuville luottamuksellisuutta vaarantamatta 2. KÄYTTÄJÄTUNNISTAMINEN Puutteellinen käyttäjätunnistaminen 3. KERTAKIRJAUTUMINEN Useita kirjautumisia sovelluksiin saman istunnon aikana + Kasvava määrä käyttäjätunnus-salasana pareja muistettavana 4. VALTUUTUS JA KÄYTTÖOIKEUSHALLINTA Ongelmat ja puutteet erillisissä sovelluskohtaisissa käyttöoikeushallinta- ja käyttäjätunnistusratkaisuissa 5. FEDEROINTI Kertakirjautuminen ja identiteettitietojen välitys organisaatiorajojen yli
UBILOGININ TUNNISTAMISMENETELMÄT Käyttäjätunnus + Käyttäjätunnus+ salasana salasana Sign On! Please fill in your user ID and password: User ID: Password: johndoe ******* Go Forgot your user ID or password? Go here. Active Directory LDAP MOBIILITUNNISTAMINEN SMStunnistaminen toimikortit ja Varmenteet, Kertakäyttösalasanat Kertakäyttö- SMS- Toimikortit palvelut ja 3. osapuolen palvelut Operaattori- Pankkien ja muut tokenit salasanat tunnistaminen tokenit palvelut Symbian Symbian OTP PocketPC PocketPC OTP Printout OTP (MIDlet) OTP PC PC OTP MIDlet MIDlet 2316 5387 9899 4278 3320 8987 6539 8498 9848 2456 Validator CallSign SMS *) *) SMS SMS Mobile certificate Muut Muut SAML (Sormenjälkitunnistus) *) Biometric *) RFID *) *) *) Mahdollinen käyttää. Ei valmiiksi saatavilla Ubilogin tai Ubipass optiona.
Ubiloginin käyttö intranet, extranet ja Internet-palveluissa Ubilogin integraatioratkaisuna UWA UWA Palvelu 1 Palvelu 2 Palvelu 3 UBILOGIN PALVELIN OTP SMS Active Directory
Asiakkaita eri segmenteissä Julkinen sektori Teollisuus, kauppa ja palvelu Finanssi ULKOASIAINMINISTERIÖ MINISTRY FOR FOREIGN AFFAIRS OF FINLAND
REFERENSSEJÄ Konsernilaajuinen ratkaisu ja palvelukeskusratkaisu Suomen Posti Oyj Työntekijöitä 22 000 Verkkopalveluasiakkaita tuhansia Ubilogin ja Ubipass pohjainen käyttäjätunnistaminen intranet-, extranet- ja VPNkäyttäjätunnistamisessa ja käyttöoikeuksien hallinnassa Useita tunnistusmenetelmiä Palvelukeskusratkaisu WM-Data WM-data Oy Novo Oyj Käyttäjätunnistaminen ja käyttöoikeuksien hallintaa palveluna asiakkaille Useita tunnistusmenetelmiä Julkisen sektorin asiointipalvelut Kela, Työministeriö ja Verohallitus (KATVE-konsortio) Asiointipalveluja käyttävien kansalaisten ja yritysten tunnistusjärjestelmä Pankkitunnistus ja HST Yrityksen extranet-palvelut intranet-palvelu(t) Securitas Elma Oyj Electronic Tekniikka Oy Trading Suurten Yrityksen kiinteistöturva-asiakkaiden sisäiset palvelut tietopalvelu Muutama ja raportointikanava Mobiilitunnistus tunnistusmenetelmävaihtoehto Muita asiakkaita mm. Plzensky Holding
KÄYTTÄJÄTUNNISTUS SEKÄ IDENTITEETTITIETO SIDOSRYHMÄPALVELUISSA Mitkä ovat tyypillisiä haasteita ja kipupisteitä Käyttötapauksia Hyötyjä ja etuja
Mitkä ovat tyypillisiä haasteita ja/tai kipupisteitä Tiedon saavutettavuus Valtuutetut käyttäjät mahdollisimman käyttäjäystävällisesti palveluihin Eri sidosryhmien luotettava tunnistaminen Käyttöönotto Hallinta Mitä tunnistus- ja identeettitietoa välitetään?
HALLINTA JA VALTUUTUS Tyypillisiä haasteita ja kipupisteitä 1. Käyttäjäoikeustieto hajallaan eri puolella eri sovelluksissa Tehotonta ja kallista ylläpitää Tietoturvariski, koska vaikea suojata, hallita ja valvoa 2. Sovellukset tarvitsevat identiteetti- ja valtuutustietoa Web sovellukset joutu(isi)vat kukin räätälöimällä integroitumaan keskitettyyn hakemistoon Web sovellukset tyypillisesti käyttävät ko. alustan tarjoamia tietoturvapalveluja 3. Heterogeeninen palvelinympäristö johtaa tyypillisesti useaan erilaiseen tapaan käsitellä identiteettejä ja valtuutustietoa
KÄYTTÄJÄTUNNISTUS SEKÄ IDENTITEETTITIETO SIDOSRYHMÄPALVELUISSA Mitkä ovat tyypillisiä haasteita ja kipupisteitä Käyttötapauksia Hyötyjä ja etuja
Copyright Ubisecure Solutions, Inc. All rights reserved. Tunnistaminen ja valtuutus yrityksen palveluissa Käyttötapaus UBILOGIN SERVER Etätyö (sisäiset käyttäjät) Single Sign-On (valtuutetut käyttäjät) UWA *) Active Directory Asiakkaat UWA Intranet ja Extranet palvelut Kumppaniyritys Yritys Oy Toimittaja *) UWA = Ubilogin Agent
UBILOGIN TEHOKKUUTTA HALLINTAAN Edut ja hyödyt Keskitetty identiteettihallinta A. Active Directory B. LDAP C. Ubilogin Käyttöoikeushallinta ja valtuutus Ubiloginissa Roolipohjainen valtuutus Sidosryhmän identiteettihallinta ko. sidosryhmällä Identiteettitiedon välitys federoinnin avulla
UBILOGIN JA ACTIVE DIRECTORY INTEGROINTIRATKAISU Edut ja hyödyt Identiteetit Active Directoryssa Ei vaadi muutoksia Active Directoryyn Ei vaadi replikointia tai synkronisointia Käyttöoikeushallinta ja valtuutus Ubiloginissa Roolipohjainen valtuutus Operatiiviset prosessit toimivat kuten ennen Kertakirjautuminen Windows-toimialueen ja Web-sovellusten välillä (Ubilogin)
UBILOGIN AND AUTHORIZATION Managing authorization data in Ubilogin-enabled environment 1. Manage groups, users and their roles in Active Directory or LDAP Group User Role Active Directory Managers Administrators John123 Bill345 Manager Administrator 2. Create equivalent groups in Ubilogin Server 3. Configure access control and authorization in Ubilogin Server
Example of linking external directory Active Directory users and dynamic groups Also the Dynamic Users feature of Ubilogin may be used with external directories External the variable-attribute attribute against which the authorization is based on is checked at sign on. Groups may be ordinary static groups or dynamic based on external variable attributes New users which are assigned e.g. an attribute in a directory inherit access privileges based on these attributes Examples of such attributes are: roles, business unit, title etc. Ubilogin Management also offers templates for defining dynamic rules
Kokonaisratkaisu yritykselle User UBILOGIN SERVER Tunnistus UWA Active Directory Identiteetihallinta Valtuutus Microsoft IIS Email Intranet/Extranet Internet Keskeiset sovellukset UWA SMS OTP Keskeiset alustat jne
UBILOGIN KOKONAISRATKAISUNA Edut ja hyödyt 1. Käyttäjätunnistaminen tehokkaasti käyttöön Laaja valikoima tunnistamismenetelmiä valmiina tuotteistettuina 2. Käyttöönotto tehokasta kaikilla keskeisillä alustoilla ja sovelluksissa 3. Kertakirjautuminen Omat palvelut (Intranet, Windows-toimialue Ubilogin) Sidosryhmäpalvelut 4. Käyttöoikeushallinta ja valtuutus keskitetysti Ubiloginissa Roolipohjainen valtuutus 5. Keskitetty identiteettihallinta A. Active Directory B. LDAP C. Ubilogin 6. Operatiiviset prosessit toimivat kuten ennen (esim. AD käyttöönoton myötä)
IDENTITY MANAGEMENT AND AUTHORIZATION The way things typically are within an organization Service A Citrix Domain Logon User role = A Sign On! Please fill in your user ID and password: User ID: Password: johndoe ******* Go Forgot your user ID or password? Go here. Service B Web Application Login User role = B Service C Document Portal Financial reports User role = C john ******* Service D Lotus Notes Domino Portal Login User role = D 4+ different credentials user has to remember or to possess 4+ separate user repositories and separate authorization data 4+ different administration processes
UBILOGIN AND AUTHORIZATION The way things are with Ubilogin Single credential to remember or to possess One user data repository and centralized authorization Authentication/ Authorization Server Single Sign On Service A Service B Citrix Domain Web Application Service C Document Portal Financial reports Service A : User role = A Service B : User role = B One single point of administration (+ role based) = Cost savings Service C : User role = C Service D : User role = D Service D Lotus Notes Domino Portal
UBILOGIN AND AUTHORIZATION Ubilogin supports Role Based Access Control Single Sign On Service A Citrix Domain Logon Roles accepted : ALL Service B Web Application Login Sales lead generation Roles accepted : Sales Manager, Marketing Manager User : Joe123 Role : Sales Manager X Service C Document Portal Financial reports Service receives necessary identity and role information Role based instead of User based Roles accepted : Financial Manager Service D Roles accepted : ALL Lotus Notes Domino Portal Login Personalized content and role-based access control
Ubilogin and roles (1/3) Overview Users, groups and roles can be managed with Ubilogin or with separate tools for external directories such as Active Directory or LDAP Roles managed with Ubilogin are associated with users and web applications (see the figure below: Selecting a role for a user and for a web application)
Ubilogin and roles (2/3) Example of managing the role associations User associated with a sales role: Web application associated with a sales role:
Ubilogin and roles (3/3) Example of the end-user experience 1. User logs into web application Single sign-on Wide range of authentication methods available 2. User will be granted all permissions in the web application associated with the user s role. Example: Authenticated and authorized user in corporate ERP
Omasta verkosta omaan intranetiin Käyttötapaus federoinnista Single Sign-On (valtuutetut käyttäjät) Tunnistus! Identiteetihallinta! Active Directory Windows domain Id. tiedot Luottamus Valtuutus! UBILOGIN Intranet palveluja
Extranetiin kumppanin Windows verkosta Käyttötapaus federoinnista Single Sign-On (valtuutetut käyttäjät) Tunnistus! Identiteetihallinta! Active Directory Windows domain Id. tiedot Luottamus Valtuutus! UBILOGIN Extranet palveluja
Intranetista kumppanin extranettiin Käyttötapaus federoinnista Single Sign-On (valtuutetut käyttäjät) A-Yritys Oy Identiteetihallinta! B-Yritys Oy Tunnistus! Valtuutus! Id. tiedot Intranet palveluja UBILOGIN Luottamus UBILOGIN Extranet palveluja
Käyttötapaus: Julkishallinnon asiointipalvelusta toiseen Single Sign-On (valtuutetut käyttäjät) Virasto A Virasto B Tunnistus! Valtuutus! Id. tiedot Luottamus Asiointi palveluja UBILOGIN UBILOGIN Asiointi palveluja
UBILOGIN FEDEROINTIRATKAISUNA Edut ja hyödyt 1. Sidosryhmän identiteettihallinta ko. sidosryhmällä 2. Identiteettitiedon välitys federoinnin avulla 3. Käyttöoikeushallinta ja valtuutus keskitetysti Ubiloginissa 4. Käyttöönotto tehokasta kaikilla keskeisillä alustoilla ja sovelluksissa 5. Kertakirjautuminen Windows-toimialue Ubilogin Standardipohjainen SAML-federointi
Ubilogin ENTERPRISE Keskisuuri/suuri organisaatio ja käyttöönotto palveluissa rajattomasti Oma organisaatio Asiakkaiden avainhenkilöt Kumppanien avainhenkilöt Palvelut ja sovellukset SMS OTP Active Directory Käyttöoikeushallinta Käyttäjätunnistus Käyttäjähallinta 3A-palvelut UBILOGIN SERVER Loki (auditointi ja kirjanpito) 1. Statistiikka loki (ilman käyttäjätietoa) 2. Audit loki (käyttäjätiedolla) 3. Tekninen loki 4. Sertifikaatti loki
Ubilogin PROVIDER Palvelukeskuksesta usealle organisaatiolle Asiointipalvelut ja sovellukset (eri alustoilla ja eri palveluntarjoajilla Käyttäjät asiakas- organisaatioissa (sekä näiden sidosryhmissä) SMS OTP Käyttäjätunnistus Käyttöoikeushallinta Active Directory Active Directory Käyttäjähallinta 3A-palvelut UBILOGIN SERVER Loki (auditointi ja kirjanpito) Laskutus 1. Statistiikka loki (ilman käyttäjätietoa) 2. Audit loki (käyttäjätiedolla) 3. Tekninen loki 4. Sertifikaatti loki
Keskeiset hyödyt ja niiden merkitys Tunnistaminen ja kertakirjautuminen valmisratkaisuna Yleisesti 32% korkeampi tietoturva *) 33% vähemmän tukipyyntöjä Parempi tuottavuus IT-hallinnossa *) Kertakirjautumisen antamasta saumattomasta käyttäjäkokemuksesta on tulossa vähimmäisvaatimus ja käyttäjien odotusarvo *) Integroitu identiteettihallinta ja konsolidointi 15% työntekijöiden käyttäjätiedosta muuttuu vuosittain *) Esimerkki: 3 [käyttäjäkantojen vähennys] x 1000 [käyttäjiä kannassa keskim.] x 50 [yhden tukipyynnön kustannus keskim.] x 15% = 22 500 /vuosi kustanussäästöjä Valtuuttamispolitiikka ja attribuuttien hallinta Parempi tarkkuus tietoturvapolitiikassa ja personoidut palvelut Roolipohjainen valtuutus ja muut kehittyneet käyttöoikeushallintaominaisuudet parantavat käyttäjien kokemukset ja käytettävyyttä merkittävästi Standardi-pohjainen federointi Federointi on kohta edellytys turvalliselle ja saumattomalle kumppaniyhteistyölle *) Lähde: META Group www.ubisecure.com
Yhteenveto Luotettavan tunnistamisen ja valtuushallinnan myötä tieto voidaan saattaa sidosryhmien ulottuville luottamuksellisuutta vaarantamatta Keskittämisen myötä voidaan korjata ongelmia ja puutteita (vrt. erillisiä sovelluskohtaisia käyttöoikeushallinta- ja käyttäjätunnistusratkaisuja) 1. Laadukas ja tarkoituksenmukainen käyttäjätunnistaminen tehokkaasti käyttöön 2. Käyttöoikeushallinta ja valtuutus keskitetysti Ubiloginissa 3. Rooli- (tai attribuutti-) -pohjainen valtuutus 4. Keskitetty identiteettihallinta A. Active Directory B. LDAP Politiikan ja luottamussuhteiden mukaisia tunnistus- ja identeettitietoja voidaan välittää ja standardit tarjoavat siihen mekanismit Federointi eli kertakirjautuminen ja identiteettitietojen välitys organisaatiorajojen yli, tekee tuloaan ja siihen löytyy standardeihin pohjautuvia mekanismeja eri käyttötapauksiin 1. Sidosryhmän identiteettihallinta ko. sidosryhmällä 2. Identiteettitiedon välitys federoinnin avulla 3. Käyttöoikeushallinta ja valtuutus keskitetysti Ubiloginissa 4. Käyttöönotto tehokasta kaikilla keskeisillä alustoilla ja sovelluksissa
KIITOS! Ubisecure Solutions Oy www.ubisecure.com info@ ubisecure.com <etunimi.sukunimi>@ubisecure.com Tekniikantie 14 02150 Espoo, FINLAND puh. +358-9-2517 7250 fax. +358-9-2517 2202 Y-tunnus 1748721-4 Ubisecure Solutions Oy Ubisecure on johtava tietoturvakumppani käyttäjätunnistamisessa ja käyttö-oikeuksien hallintaratkaisuissa. Ubisecuren tuotteita ovat kertakirjautumisratkaisut (Single Sign On) Internet-, intranet ja extranet-palveluihin, vahvan tunnistamisen ratkaisut VPN-etäyhteyksiin sekä sähköiset allekirjoitusratkaisut. Asiakkaamme ovat sovelluskehittäjiä, järjestelmäintegraattoreita, ratkaisutoimittajia, OEM-toimittajia ja loppukäyttäjäorganisaatioita, jotka hyödyntävät ohjelmistotuotteitamme palveluissaan, tuotteissaan ja ratkaisuissaan. Kehitämme ja tarjoamme ratkaisuja jotka maksimoivat asiakkaidemme ja kumppaneidemme kilpailuedun. Ubisecure on toimittanut ja toimittaa ohjelmistoratkaisujaan eri alojen yrityksille, julkisen sektorin organisaatioille sekä IT-integraattoreille ja ohjelmistotaloille Suomessa, Keski-Euroopassa, Aasiassa, Lähi-idässä ja USA:ssa. Lisätietoja Ubisecuresta osoitteesta www.ubisecure.com. Ubisecure, Ubilogin, Ubipass, Ubisignature ja Ubikey ovat Ubisecure Solutions Oy:n tavaramerkkejä. Identify and Authorize. Enable secure business.