Identitetsstyring og tilgangskontroll innenfor et SOA-regime Ragna Fossen, 05.03.2009
On the Internet, nobody knows you re a dog. SOA-løsninger er på full fart inn i ITarkitekturen et effektivt verktøy for tilgjengeliggjøring av informasjon ved hjelp av tjenester Stadig sterkere differensiering av hvem som skal ha tilgang til hva (og hvorfor) Større behov for tilgangskontroll på både kunder og eksterne brukere, og interne medarbeidere Hvordan beholder vi kontrollen på tilgang til informasjon i et stadig mer komplekst IT-landskap? Klassiker av Peter Steiner, The New Yorker, 5. juli 1993
Identitetsstyring og tilgangskontroll innenfor et SOA-regime Vi har bestemt oss for å innføre SOA Vi har nettopp kjøpt en ESB Vi bruker SOA i ett av prosjektene våre SOA er sentralt i vår strategiske plan for IT-arkitektur Vi trenger å ha bedre kontroll på tilganger. Hvordan passer IdM sammen med SOA-planene våre?
Veldig overordnet - hva er SOA? SOA = Service Oriented Architecture = Tjenesteorientert arkitektur Med SOA handler det ikke lenger om hvilke applikasjoner du har tilgang til men hvilke tjenester du har tilgang til. Hovedpoenget med SOA er å legge til rette for gjenbruk og standardisering av applikasjoner og komponenter så de kan snakke sammen. En applikasjon skal ikke lenger håndtere en hel prosess men levere et sett av tjenester. Med SOA ønsker man blant annet å oppnå billigere integrasjon og raskere forretningsinnovasjon.
Litt mer detaljert - hva er IdM? Identity Management Identitetsstyring HR-system (autoritativ kilde til brukerdata) IDM Brukerkatalog (AD / LDAP) Autorisasjoner Godkjenningsprosesser IDM Self Service Brukerkataloger provisjonering Synkronisering Provisjonering System X System Y Audit og revidering Noen inkluderer også Access Management (AM) i IdM. Noen kaller dette samlebegrepet for IAM Identity & Access Management.
Hvorfor synkronisere brukerkataloger og holde kontroll på tilganger? Noen problemstillinger rundt brukervennlighet og sikkerhet Antall brukeridentiteter for en person antall forskjellige brukernavn og passord Fellesbrukere brukere som alle vet brukernavn og passord på Låning av passord lån min konto, det er enklere enn å få deg din egen Passorde(ne) ligger nedskrevet på en gul lapp under tastaturet
Krav til tilgangskontroll Lovmessige og regulatoriske krav Personopplysningslov Folkeregisterlov Regnskaps- og revisjonsdirektiv Forretningsmessige krav Verdifull forretningsinformasjon Finansielle systemer Mange av disse kravene til tilgangskontroll oppfylles delvis i dag ved at informasjonen behandles i beskyttede applikasjoner med egne brukerkataloger. Hva gjør vi når applikasjonene blir til SOA-tjenester?
Hva bruker vi IdM til når vi har SOA? 1. Livssykluskontroll på at brukerne har de tilgangene de skal ha Automatisk tildeling, endring og fjerning av autorisasjoner Felles sted for manuelle endringer i autorisasjoner og godkjenningsprosess Revisjon av manuelle tillegg og av totaliteten i autorisasjonene 2. Kontroll på hva brukerne gjør i systemene Felles brukeridentitet sikrer sporbarhet på tvers av systemer og konsistent logginformasjon Felles brukeridentitet forenkler håndteringen av en SOA-forespørsel, det finnes ikke flere ulike varianter av en bruker Felles brukeridentitet gir trygghet for at du har kontroll på tilgangene til eksterne partnere, leverandører eller kunder. Hvis du skal implementere SOA blir du nødt til å implementere IdM. Du kan nok starte uten, men behovet dukker fort opp. Ha en plan på forhånd.
Tips for å implementere IDM 1. Forstå dagens prosesser og ansvar for alle brukerendringer fra de ankommer organisasjonen til de forlater den. Ikke bruk for mye tid på detaljer i analysefasen. Organisasjonen din forandrer seg hele tiden. 2. Gjør en ROI-analyse for å avgjøre kosteffektivitet Start med de områdene hvor du raskest oppnår forbedringer 3. Skaff riktig kompetanse Du kommer til å trenge både utviklere og et godt teknisk-støtte team med variert kompetanse, spesielt på AD og LDAP. 4. Regn med at du kommer til å bruke like mye eller mer tid på organisasjon og prosess enn all teknisk implementering til sammen. Du må regne med å ta noen fights. Sørg for solid forankring i ledelsen.
Spørsmål?