TeliaSonera Identity and Access Management 22.10.2009 EMC Forum Juha Arjoranta 1
TeliaSonera Identity and Access Management Alustus käyttövaltuushallintaan IAM kokonaisratkaisun elementit Nykytilaa ja kohdattavia haasteita Tavoitteita IAM alueella Sonera Pääsynhallintaratkaisu IAM kehitys- / käyttöönotto prosessi Vesiputous- ja liiketoimintalähtöinenmalli, Yhteenveto 2
Sonera IAM kokonaisratkaisun elementit Käyttäjät KÄYTTÄJIEN TUNNISTAMINEN KERTAKIRJAUTUMINEN JA IDENTITEETIN VÄLITTÄMINEN KÄYTTÖVALTUUDEN SÄHKÖINEN HAKU- JA HYVÄKSYNTÄMENETTELY Hallinnoijat KÄYTTÖ- VALTUUS- POLITIIKAN MÄÄRITTÄMINEN KÄYTTÖVALTUUSTIETOJEN HALLINNOINTI KÄYTTÖ- VALTUUKSIEN TOIMEENPANO KÄYTTÖVALTUUKSIEN RAPORTOINTI JA AUDITOINTI 3
Pääsyn- ja käyttövaltuushallinnan haasteet kasvavat Käyttäjien ja sidosryhmien määrä Palvelujen ja suojattavien resurssien määrä HALLINNOINTI Pääsynhallintapolitiikan monimutkaisuus Muutosnopeus 4
Tavoitetilaa Toiminta käyttöoikeuksien hallinnoinnissa yhdenmukaista läpi organisaation. Toiminta on tehokasta ja prosessin läpimeno nopeampaa. Tiedon kulku osapuolten välillä paranee. Ohjeet ja dokumentaatio ajantasaista. Varmuus tietojen oikeellisuudesta ja samanmuotoisuudesta. Tapahtumat vakioimalla käyttöoikeuksien toimeenpanoa voidaan automatisoida. Voimassa olevat käyttöoikeudet kyetään raportoimaan ja auditoimaan säännöllisesti. Käyttöoikeuksien muutoshistoria elinkaaren aikana saadaan näkyväksi. Vaaralliset käyttöoikeusyhdistelmät kyetään tunnistamaan. Käyttöoikeudet tulee poistettua ajallaan ja tarkoituksenmukaisesti. 5
TeliaSonera Identity and Access Management Alustus käyttövaltuushallintaan IAM kokonaisratkaisun elementit Nykytilaa ja kohdattavia haasteita Tavoitteita IAM alueella Sonera Pääsynhallintaratkaisu palveluna IAM kehitys- / käyttöönotto prosessi Vesiputous- ja liiketoimintalähtöinenmalli, Yhteenveto 6
Sonera IAM kokonaisratkaisun elementit Käyttäjät KÄYTTÄJIEN TUNNISTAMINEN KERTAKIRJAUTUMINEN JA IDENTITEETIN VÄLITTÄMINEN KÄYTTÖVALTUUDEN SÄHKÖINEN HAKU- JA HYVÄKSYNTÄMENETTELY Hallinnoijat KÄYTTÖ- VALTUUS- POLITIIKAN MÄÄRITTÄMINEN KÄYTTÖVALTUUSTIETOJEN HALLINNOINTI KÄYTTÖ- VALTUUKSIEN TOIMEENPANO KÄYTTÖVALTUUKSIEN RAPORTOINTI JA AUDITOINTI 7
Sonera Pääsynhallinta palveluna Nopea, vaiheistettu käyttöönotto Mallinnus Käyttöönotto Hallinnointi ja raportointi Toimeenpanon automatisointi Kustannukset todellisen käytön mukaan Palvelulla kevyt käyttöönotto Jatkuvat kustannukset käyttäjämäärän mukaan Joustavuus organisaatioiden ja palveluiden muuttuessa Ei tarvetta investoida omiin laitteisiin ja ohjelmistoihin etukäteen Sertifioidut ympäristöt, vakioidut prosessit ylläpidossa sekä muutoshallinnassa, jne.. 8 23.10.2009 8
Sonera Pääsynhallinta palvelu Käyttäjät KÄYTTÄJIEN TUNNISTAMINEN KERTAKIRJAUTUMINEN JA IDENTITEETIN VÄLITTÄMINEN KÄYTTÖVALTUUDEN SÄHKÖINEN HAKU- JA HYVÄKSYNTÄMENETTELY Hallinnoijat KÄYTTÖ- VALTUUS- POLITIIKAN MÄÄRITTÄMINEN KÄYTTÖVALTUUSTIETOJEN HALLINNOINTI KÄYTTÖ- VALTUUKSIEN TOIMEENPANO KÄYTTÖVALTUUKSIEN RAPORTOINTI JA AUDITOINTI 9
Sonera Pääsynhallintaratkaisun ominaisuudet Mallipohjainen Prosessiohjautuva Liiketoimintalähtöinen Käyttövaltuushallinta Hallinnoinnin delegointi Ulkoisten käyttäjien hallinta 10
Sonera Pääsynhallinnan keskeiset prosessit Käyttövaltuuden sähköinen haku- ja myöntämismenettely Käyttövaltuuspolitiikan mallintaminen Käyttövaltuustietojen hallinnointi Täytäntöönpano Raportointi ja auditointi 11
Raportointi ja auditointi Raportointi Auditointi Käyttäjä Palvelu Käyttäjäryhmä Käyttäjäryhmän oikeudet Palvelun käyttäjien oikeudet Rooliyhdistelmät Nykyiset käyttövaltuudet Ajastetusti Historialliset käyttövaltuudet Tarvittaessa Vaaralliset rooliyhdistelmät Auditointiprosessin hallinta 12
TeliaSonera Identity and Access Management Alustus käyttövaltuushallintaan IAM kokonaisratkaisun elementit Nykytilaa ja kohdattavia haasteita Tavoitteita IAM alueella Sonera Pääsynhallintaratkaisu palveluna IAM kehitys- / käyttöönotto prosessi Vesiputous- ja liiketoimintalähtöinenmalli, Yhteenveto 13
Käyttöönotto, perinteinen malli Vaihe 1 Vesiputousmalli Nykytilan kartoitus Tavoitetilan dokumentointi Prosessien määrittely ja dokumentointi Prosessikoulutus Kohde- ja lähdejärjestelmien analysointi ja priorisointi IAM-teknologian ja työkalujen valinta IAM-teknologian implementointi ja kolutus IAM-alustojen pystytys IAM-järjestelmän implementointi valittuun teknologiaan Hallinnoijien ja käyttäjien koulutus työkaluihin Kohde- ja lähdejärjestelmien integrointi Integrointien testaus IAM- Systeemitestaus Pilot-organisaation valinta Pilotointi ja palautteen dokumentointi... Vaihe 2 Vaihe 3 Vaihe 4 Vaihe 5 Vaihe n 14
Käyttöönotto, liiketoimintakeskeinen malli Käyttöönotto, prosessit Käyttövaltuuspolitiikan määrittäminen, konfigurointi ja testaus labrassa Prosessien määrittely, konfigurointi ja testaus labrassa Prosessikoulutus Järjestelmä testilabrasta tuotantoon ja prosessit käyttöön Käyttöönotto, integrointi Kohde- ja lähdejärjestelmien analysointi ja priorisointi Tärkeimmän integroinnin toteutus ja testaus labrassa Integrointi testilabrasta tuotantoon ja käyttöön Käyttöönotto, laajennus Toiminnallisen laajennuksen analysointi ja priorisointi Laajennuksen toteutus ja testaus labrassa Laajennus testilabrasta tuotantoon ja käyttöön Vaihe 1 Labra 1 Tuotanto 1 Vaihe 2 Labra 2 Tuotanto 2 15
Kiitos! Lisää informaatiota Älykkään verkkottumisen ratkaisuista http://www.sonera.fi/yrityksille/laajemmat+ratkaisut/ juha.arjoranta@teliasonera.fi 16
Sonera IAM kokonaisratkaisun elementit Käyttäjät KÄYTTÄJIEN TUNNISTAMINEN KERTAKIRJAUTUMINEN JA IDENTITEETIN VÄLITTÄMINEN KÄYTTÖVALTUUDEN SÄHKÖINEN HAKU- JA HYVÄKSYNTÄMENETTELY Hallinnoijat KÄYTTÖ- VALTUUS- POLITIIKAN MÄÄRITTÄMINEN KÄYTTÖVALTUUSTIETOJEN HALLINNOINTI KÄYTTÖ- VALTUUKSIEN TOIMEENPANO KÄYTTÖVALTUUKSIEN RAPORTOINTI JA AUDITOINTI 17
Sonera IAM kokonaisratkaisun elementit Käyttäjien tunnistaminen, kertakirjautuminen (WebSSO) sekä identiteettien välittäminen Sonera IAM kokonaisratkaisussa. Tyypillinen tilanne tänään Tunnistusalusta Web SSO ja Federointi RSA Access Manager RSA Federated Identity Manager 18
Perinteinen, ajan myötä syntynyt arkkitehtuuri käyttäjät työntekijät toimittajat asiakkaat kumppanit Käyttö Pääsynvalvonta Tunnistaminen Valtuuttaminen Sovellus Alusta Käyttöjärjestelmä Käyttäjävarasto Hakemisto / Tietokanta Sovellus A Sovellus B Sovellus C Sovellus D 19
Yhtenäinen tunnistusalusta käyttäjät työntekijät toimittajat asiakkaat kumppanit Käyttö Pääsynvalvonta Tunnistaminen Valtuuttaminen Tunnistamistavat Roolit Ryhmät Agentit SSO Federointi Sovellus Alusta Käyttöjärjestelmä Käyttäjävarasto Hakemisto / Tietokanta Sovellus A Sovellus B Sovellus C Sovellus D 20
RSA Access Manager Architecture Web - käyttäjät agentti agentti agentti Web Server Application Server Content Server RSA Access Manager / Entitlements Policy Manager LDAP / DB Data store 21
RSA Feredated Identity Manager Architecture 22