Liiketoimintaa tukeva ja kustannustehokas käyttäjätunnistus sekä käyttöoikeushallinnan integraatio palvelujen kehityksessä UBISECURE SOLUTIONS OY Charles Sederholm To be the prefered partner in providing authentication and authorization solutions www.ubisecure.com Ubisecure CopyrightSolutions Ubisecure Oy.Solutions, Kaikki oikeudet Inc. Allpidätetään. rights reserved.
Esityksen sisältö Liiketoimintaa tukeva ja kustannustehokas käyttäjätunnistus sekä käyttöoikeushallinnan integraatio palvelujen kehityksessä Ubisecure ja Ubilogin esittely (alustus) Kustannustehokkaaseen [käyttäjätunnistuksen sekä käyttöoikeushallinnan] käyttöönottoon vaikuttavia tekijöitä Käyttäjätunnistuksen/-sten toteutus Käyttäjähallinnan integraatio esim. AD ja LDAP Sovellusintegraatio esim. BEA, roolit Keskitetty käyttäjähallinta ja muut edut hallinnasta Käyttöönottoesimerkkejä Suuri organisaatio: Case Suomen Posti Julkishallinto: Case KATVE Pieni organisaatio esimerkki missä AD ja mobiilitunnistaminen Muita keskeisiä toiminnallisuuksia Federointi
UBISECURE JA UBILOGIN LYHYESTI Liiketoimintaa tukeva ja kustannustehokas käyttäjätunnistus sekä käyttöoikeushallinnan integraatio palvelujen kehityksessä UBISECURE SOLUTIONS OY Charles Sederholm
Ubisecure Copyright Solutions Ubisecure Oy. Solutions, Kaikki oikeudet Inc. All pidätetään. rights reserved. UBISECURE SOLUTIONS OY Ubisecure toimittaa tietoturvaohjelmistoja ja -ratkaisuja organisaatioille jotka pyrkivät turvallisesti mahdollistamaan ja tehostamaan etätyötä tai liikkuvaa työtä Ubisecuren päätuote on vahvan käyttäjätunnistamisen ja kertakirjautumisen ratkaisu Ubilogin Single Sign-On. Se mahdollistaa erilaisten tunnistamismenetelmien käyttämisen, kertakirjautumisen sekä todentamistietojen välittämisen eri teknologia-alustoilla toimivien tietojärjestelmien välillä Ubisecuren asiakkaita ovat sovelluskehittäjät, järjestelmäintegraattorit, ratkaisutoimittajat ja loppukäyttäjäorganisaatiot Asiakkaita: Jälleenmyyjiä ja ratkaisutoimittajia: Teknologiakumppaneita: Plzensky holding Plzensky holding
Ubisecure Copyright Solutions Ubisecure Oy. Solutions, Kaikki oikeudet Inc. Kaikki All pidätetään. oikeudet rights reserved. pidätetään UBISECUREN TUOTTEET UBILOGIN Ratkaisu vahvaan käyttäjän tunnistamiseen ja kertakirjautumiseen web- palveluissa sekä sovelluksissa Laajat käyttömahdollisuudet Internet Single Sign-On User Authentication Applications UBIPASS Internet User Authentication VPN gateway Vahva käyttäjätunnistamiratkaisu esim. VPN:ään tai muihin RADIUSyhteensopiviin laitteisiin Osana Ubilogin-tuotetta tai erillisenä UBIKEY Kertakäyttösalasanaratkaisu GSM-puhelimiin, PDA-laitteisiin ja PC:hen Username One-Time Password John Doe 12345ABCD UBISIGNATURE Hash Private Key Hash result Sign Digital Signature Sähköinen allekirjoitusratkaisu (XML Signature) tiedon turvaamiseen ja varmentamiseen Ohjelmistokomponenttituote
Ubisecure Copyright Solutions, Ubisecure Oy. Inc. Solutions, Kaikki oikeudet Inc. All pidätetään. Rights rights reserved. Reserved UBILOGIN SINGLE SIGN-ON Ubilogin Server Management Ubilogin Personal Management TUNNISTAMINEN UBILOGIN PALVELIN AD UBIKEY Ubilogin hakemisto LDAP KÄYTTÄJÄT PÄÄTE LAITTEET WEB-PALVELUT Ubilogin Agentti Extranetsivu Intranetsivu Ubilogin Agentti Intranetsovellus Extranetsovellus Ubilogin Agentti Internet palvelu
Ubisecure Copyright Solutions Ubisecure Oy. Solutions, Kaikki oikeudet Inc. Kaikki All pidätetään. oikeudet rights reserved. pidätetään REFERENSSEJÄ Konsernilaajuinen ratkaisu ja palvelukeskusratkaisu Suomen Posti Oyj Työntekijöitä 22 000 Verkkopalveluasiakkaita tuhansia Ubilogin ja Ubipass pohjainen käyttäjätunnistaminen intranet-, extranet- ja VPNkäyttäjätunnistamisessa ja käyttöoikeuksien hallinnassa Useita tunnistusmenetelmiä Palvelukeskusratkaisu WM-Data WM-data Novo Oyj Käyttäjätunnistaminen ja käyttöoikeuksien hallintaa palveluna asiakkaille Useita tunnistusmenetelmiä Julkisen sektorin asiointipalvelut Kela, Työministeriö ja Verohallitus (KATVE-konsortio) Asiointipalveluja käyttävien kansalaisten ja yritysten tunnistusjärjestelmä Pankkitunnistus ja HST Yrityksen extranet-palvelut Securitas Tekniikka Oy Suurten kiinteistöturva-asiakkaiden tietopalvelu ja raportointikanava Mobiilitunnistus Muita asiakkaita mm. Plzensky Holding
KUSTANNUSTEHOKKAASEEN KÄYTTÖÖNOTTOON VAIKUTTAVIA TEKIJÖITÄ Liiketoimintaa tukeva ja kustannustehokas käyttäjätunnistus sekä käyttöoikeushallinnan integraatio palvelujen kehityksessä UBISECURE SOLUTIONS OY Charles Sederholm
VAIKUTTAVIA TEKIJÖITÄ Liiketoiminta/prosessituki ja kustannustehokkuus Hallittava kokonaisratkaisu Integraatio, Käyttöliittymät tehokasta hallintaa varten Ohjeet ylläpitäjille Koulutus, tuki Integraatio, esim. Active Directory, sovelluspalvelimet Hallinta Valmiit komponentit Valmiit ratkaisut Integraatio-ominaisuudet ominaisuudet esim. sovellustasolle eri alustat, tunnistusmenetelmät, hakemistot jne Toimittaja lähellä asiakasta Ohjeet kehittäjille Ohjelmiston ja ratkaisun kokonaishinta Toteutus Käyttöönotto Toimivuus ja laatu yleensä Monikielituki Käyttömukavuus loppukäyttäjän kannalta Ohjeet Tuki
Keskitetty hallinta Palvelut ja sovellukset 3A-palvelut Käyttöoikeushallinta Käyttäjätunnistus Käyttäjähallinta UBILOGIN SERVER Loki ja raportointi (auditointi ja kirjanpito) Esim. AD, LDAP tai HR-järjest. (joku näistä tai yhdistelmä useasta)
Ubisecure Copyright Solutions Ubisecure Oy. Solutions, Kaikki oikeudet Inc. All pidätetään. rights reserved. UBILOGININ TUNNISTAMISMENETELMÄT MOBIILITUNNISTAMINEN Käyttäjätunnus+ salasana SMStunnistaminen SMStunnistaminen ja muut Kertakäyttösalasanat Varmenteet, Toimikortit ja toimikortit ja tokenit tokenit 3. osapuolen palvelut Muut UBIKEY MIDlet OTP (MIDlet) UBIKEY UBIKEY UBIKEY SMS SMS SMS (Sormenjälkitunnistus) SAML UBIKEY OTP PC Validator Mobile HST (Sormenjälkitunnistus) *) Sign On! Please fill in your user ID and password: User ID: johndoe Password: ******* Go UBIKEY *) Forgot your user ID or password? Go here. OTP Symbian (Sonera) Biometric *) UBIKEY OTP PocketPC CallSign *) RFID *) UBIKEY OTP Printout 2316 5387 9899 4278 3320 8987 6539 8498 9848 2456 (RFID) *) *) Mahdollinen käyttää. Ei valmiiksi saatavilla Ubilogin tai Ubipass optiona.
Ubiloginin käyttö intranet, extranet ja Internet-palveluissa Erilaiset tunnistamisvaihtoehdot Ubilogin Web Agent Palomuuri Ubilogin Web Agent Ubilogin Web Agent Palomuuri Tunnistuspalvelu UBIKEY OTP UBIKEY SMS Palvelu 1 Palvelu 2 Palvelu 3 Intra- ja extranet-palvelut DMZ:n sisällä UBILOGIN SERVER
Ubisecure Copyright Solutions Ubisecure Oy. Solutions, Kaikki oikeudet Inc. Kaikki All pidätetään. oikeudet rights reserved. pidätetään KÄYTTÄJÄTUNNISTAMISMENETELMÄN ASETTAMINEN
Ubilogin ja Active Directory integraatio UBILOGIN SERVER Ubilogin (UAS) LDAP AD AD Käyttöoikeustieto (käyttäjäryhmät, roolit sovellukset, palvelut) Käyttäjätunnistus- ja käyttäjätieto (ryhmät, hierarkia) Organisaation Active Directory Määritellään mikä Ubilogin Määritellään mikä Ubilogin ryhmä vastaa mitäkin ryhmää ryhmä vastaa mitäkin ryhmää Active Directoryssa. Active Directoryssa. Ei Ei tarvita tarvita synkronointia synkronointia Active Active Directoryn Directoryn kanssa! kanssa! Yksittäisiä Yksittäisiä käyttäjiä käyttäjiä ei ei tarvitse tarvitse hallita hallita Ubiloginissa! Ubiloginissa! Hallinta Hallinta on on tehokasta tehokasta roolien roolien ja ja ryhmien ryhmien avulla. avulla. Ei vaadi muutoksia Ei vaadi muutoksia olemassa olevaan olemassa olevaan Active Directoryyn! Active Directoryyn!
Ubilogin ja LDAP integraatio UBILOGIN SERVER Ubilogin (UAS) LDAP LDAP LDAP Käyttöoikeustieto (käyttäjäryhmät, roolit sovellukset, palvelut) Käyttäjätunnistus- ja käyttäjätieto (ryhmät, hierarkia) (olemassa oleva LDAP) Määritellään mikä Ubilogin Määritellään mikä Ubilogin ryhmä vastaa mitäkin ryhmää ryhmä vastaa mitäkin ryhmää ulkoisessa LDAP:issa. ulkoisessa LDAP:issa. Ei Ei tarvita tarvita synkronointia synkronointia LDAP:in LDAP:in kanssa! kanssa! Hallinta Hallinta on on tehokasta tehokasta roolien roolien ja ja ryhmien ryhmien avulla. avulla. Ei Ei vaadi vaadi muutoksia muutoksia olemassa olemassa olevaan olevaan LDAP:iin! LDAP:iin!
Roolit Mekanismi kehittyneempään käyttöoikeushallintaan Toimivampia ja turvallisempia palveluja Liiketoimintaa ja prosesseja tukevia palveluja Käyttöoikeudet erilaisten attribuuttien pohjalta Valtuutustiedot sovellukselle: Declarative Sovelluksen valtuutusmäärittelyt asetustiedostoissa Roolitieto attribuuttina jonka mukaan käyttöoikeus palveluun myönnetään (tai ei myönnetä) Roolitieto välittyy myös sovellukselle Sovelluksen sisältö käyttäjän mukaan Programmatic Ohjelmoija kutsuu esim. isuserinrole -rajapintaa Esimerkkejä roolipohjaisista pääsyoikeuksista intranetissä/extranetissä: Käyttäjä N.N. osallistuu PROJEKTIIN NO. 1234 Pääsyoikeus ko. projektin dokumentteihin Käyttäjä N.N. on MYYNTIPROSESSIN jäsen Pääsyoikeus palvelun myynti-osioon Palvelut tarjotaan myynti-näkymän kautta (sovellus) Käyttäjä N.N. on TEOLLISUUS segmentillä Pääsyoikeus teollisuussegmentin asiakastietoihin
Sovellustasolle integroitu käyttöoikeushallinta Case: BEA Weblogic sovellukset BEA:lla uusi yleinen tietoturvarajapinta (SSPI) Mm. pääsyoikeus BEA-alustalla toimiviin palvelumoduleihin Roolitiedon välittyminen sovellustasolle mahdollistaa integroidun toiminnan (Ubilogin + BEA SSPI) Yksittäisten käyttäjien hallinta pois BEA-alustalta ja sen sovelluksilta Kohti keskitetympää käyttäjähallintaa! Käyttäjätiedot voivat sijaita Ubilogin-hakemistossa tai Active Directory:ssa Lisäksi muut Ubiloginin peruspalvelut BEA-alustan sovelluksille Single Sign-On, kaikki käyttäjätunnistusmenetelmät, jne. AD AD Käyttäjätunnistus UBILOGIN SERVER Käyttöoikeushallinta <User NNN; Role XXX;...> BEA SSPI Palvelut BEA Weblogic
Ubisecure Copyright Solutions Ubisecure Oy. Solutions, Kaikki oikeudet Inc. Kaikki All pidätetään. oikeudet rights reserved. pidätetään UBILOGIN WEB AGENTIT Ubilogin Web Agentit ovat verkkopalveluiden web-palvelimien ja sovelluspalvelimien laajennuskomponentteja, joiden avulla verkkopalvelut liitetään Ubilogin-palvelimen tarjoamaan tunnistuspalveluun. Ubilogin Web Agentteja on kahdenlaisia: 1. Web-palvelin filtterit Ubilogin Web Agent for IIS Ubilogin Web Agent for Apache Ubilogin Web Agent for Domino Microsoft IIS 2. Sovellusintegrointimodulit Ubilogin Web Agent for Microsoft.NET Ubilogin Web Agent for Java Ubilogin Web Agent for Bea WebLogic Server Apache Tomcat BEA WebLogic
KÄYTTÖÖNOTTOESIMERKKEJÄ Liiketoimintaa tukeva ja kustannustehokas käyttäjätunnistus sekä käyttöoikeushallinnan integraatio palvelujen kehityksessä UBISECURE SOLUTIONS OY Charles Sederholm
Case: Suomen Posti Keskitetty 3A-palvelu ja hallinta suuressa konsernissa Palvelut ja sovellukset (BEA Weblogic + muita) Konsernin sisäiset käyttäjät Asiakkaat Kumppanit 3A-palvelut UBILOGIN SERVER Loki ja raportointi (auditointi ja kirjanpito) Käyttöoikeushallinta Käyttäjätunnistus Käyttäjähallinta LDAP
Case: KATVE (Kela, Työministeriö, Verohallinto) Keskitetty 3A-palvelu julkisissa palveluissa Hallinnon sisäiset käyttäjät Henkilöasiakkaat Käyttäjät yrityksissä Asiointipalvelut ja sovellukset (eri alustoilla ja eri palveluntarjoajilla 3A-palvelut (hostattu: WM-data Novo) Käyttöoikeushallinta Käyttäjätunnistus Monikielisyys läpi palvelujen! UBILOGIN SERVER Loki ja raportointi (auditointi ja kirjanpito) Käyttäjähallinta LDAP
Pieni organisaatio ja käyttöönotto rajatussa palvelussa Mobiilitunnistaminen Asiakasvastaavat (palvelu) Asiakkaiden vastaavat avainhenkilöt Palvelut ja sovellukset Kaksi identiteettikantaa... 3A-palvelut UBIKEY SMS UBIKEY OTP UBILOGIN SERVER Loki ja raportointi (auditointi ja kirjanpito) Käyttäjähallinta Käyttöoikeushallinta Käyttäjätunnistus Käyttäjähallinta LDAP Active Directory Ulkoiset käyttäjät Oman organisaation käyttäjät
MUITA KESKEISIÄ LIIKETOIMINTAA TUKEVIA TOIMINNALLISUUKSIA Liiketoimintaa tukeva ja kustannustehokas käyttäjätunnistus sekä käyttöoikeushallinnan integraatio palvelujen kehityksessä UBISECURE SOLUTIONS OY Charles Sederholm
Federointi Federointi on sovellusten ja palvelujen käyttö yli toimialuerajojen, esim. kumppaniyritysten välillä tai palveluketjuissa julkisen sektorin asiointipalveluissa Käyttömukavuutta, palvelulaatua esim. Single Sign-On yli palvelurajojen Federoitu identiteetti on tekninen ratkaisu (tunnistamispalveluissa) jonka avulla sähköinen identiteettitieto ja käyttöoikeudet voidaan luottamussuhteisiin perustuen välittää esim. kumppaniyritysten välillä tai palveluketjuissa Luotettava ja turvallinen tunnistaminen, esim. organisaation tietoturvapolitiikan mukaisesti Standardeja esim. SAML ja Liberty Käyttöoikeushallinta Käyttäjähallinta Tunnistettu ja valtuutettu käyttäjä ko. palveluun Luottamus Tunnistuspalvelu
Yhteenveto Tapoja toteuttaa käyttäjätunnistus sekä käyttöoikeushallinta liiketoimintaa tukevaksi ja kustannustehokkaasti Hyödynnetään valmiita käyttäjätunnistuksen/-sten toteutuksia sen sijaan että toteutetaan sovelluskohtaisesti jokainen erikseen Toteutuksessa hyödynnetään käyttäjähallinnan integraatiomahdollisuuksia esim. AD ja LDAP sen sijaan että joudutaan muuttamaan jo toimivaa AD tai LDAP toteutusta tai että replikoidaan hakemistojen sisältöä Keskitetty käyttäjähallinta sen sijaan että sovelluskohtaisesti hallitaan käyttäjiä ja käyttöoikeuksia Hyödynnetään sovellusintegraatiomahdollisuuksia esim. BEA ja muut sovelluspalvelimet Hyödynnetään muita keskeisiä toiminnallisuuksia millä tuetaan liiketoimintaa ja toimivuutta Roolit Federointi
Ubisecure Copyright Solutions Ubisecure Oy. Solutions, Kaikki oikeudet Inc. Kaikki All pidätetään. oikeudet rights reserved. pidätetään KIITOS! Ubisecure Solutions Oy www.ubisecure.com info@ ubisecure.com <etunimi.sukunimi>@ubisecure.com Tekniikantie 14 02150 Espoo, FINLAND puh. +358-9-2517 7250 fax. +358-9-2517 2202 Y-tunnus 1748721-4 Ubisecure Solutions Oy Ubisecure on johtava tietoturvakumppani ratkaisuissa organisaatioille jotka pyrkivät turvallisesti mahdollistamaan ja tehostamaan etätyötä tai liikkuvaa työtä. Ubisecure tarjoaa OEM-valmistajille, sovelluskehittäjille, järjestelmäintegraattoreille, ratkaisutoimittajille ja loppukäyttäjäorganisaatioille tietoturvaohjelmistoja ja ratkaisuja, jotka maksimoivat asiakkaidemme ja kumppaneidemme kilpailuedun. Ubisecuren tuotteita ovat kertakirjautumisratkaisut (Single Sign On) Web- ja Intranet/Extranet-palveluihin, vahvan tunnistamisen ratkaisut VPN-etäyhteyksiin ja sähköiset allekirjoitusratkaisut. Ubisecuren asiakkaat ovat eri alojen yrityksiä sekä IT-integraattoreita ja ohjelmistotaloja Euroopassa, Aasiassa ja USA:ssa, jotka käyttävät ratkaisuja omissa organisaatioissaan tai tuotteissaan. Lisätietoja Ubisecuresta osoitteesta www.ubisecure.com. Ubisecure, Ubilogin, Ubipass, Ubisignature ja Ubikey ovat Ubisecure Solutions Oy:n tavaramerkkejä.