Upload
dellrussia
View
96
Download
1
Tags:
Embed Size (px)
Citation preview
1
Dell Solutions Forum 2014Москва, 14 ноября 2014 года
#DellST14
Создание эффективноймодели управления доступомдля организацииКонстантин Шурунов, Dell Software
3
Что такое IGA?
4
Три измерения IGA
• I – Identity – личность в информационном поле.
• G – Governance – управление, аттестация, риски, стандарты.
• A – Administration – администрирование.
Главная проблема:
Координация работы на разных уровняхдля достижения единой цели
5
Три силы IGA в организации
• I –кадры.– Ответственность: управление identities, оргчарты.– Цель: организационная и личностная информация отражает реальность.
• G – бизнес.– Ответственность: управление всеми вещами, связанными с бизнесом, включая риски и соответствие стандартам.
– Цель: успешный бизнес.
• A – технологии.– Ответственность: технологическая поддержка бизнеса.– Цель: все системы работают 24/7.
6
Identity Management – многоуровневая система
• Кадровый уровень
• Бизнес-уровень
• Технический уровень Identity 1
Persona
Identity 2
AD account
SalesForce account
SharePoint account
Unix account
AD SF Unix SP
Role
Resource
7
I – Identity Management
• Создание “Identities”.
• Базовое определение ролей.
• Базовое определение привилегий.
8
Certification
В чем разница между «management» и «governance»?
Access
Access
Management Governance
9
G – Governance
• Правила.
• Бизнес-процессы.
• Аудит.
• Аттестация.
• Отчётность.
• Оценка рисков.
• Соответствие стандартам.
10
A – Administration
• Аутентификация. Авторизация. Доступ.
• Технические аспекты изменения доступа.
• Автоматизация.
11
Dell One Identity Manager –гибкое решение IGA.
12
Гибкость в достижении единой цели I-G-A
• Все элементы соединены в одно решение, где каждый человек несёт ответственность за свойучасток работы.
• Каждый человек имеет возможность конфигурации «своих» элементов IGA.
• Проект по внедрению имеет короткие фазы с чёткими достижимыми результатами.
12
I G
GG
AA
Identity Governance Administration
13
Managers should easily see
all the entitlements of an
employee in one clear view
• Actionable
• All logical, physical
systems, resources and
assets.
Identity-цель: видение организации
14
Identity-цель: виды с точек зрения техники и бизнеса
• Бизнес-вид • Технический вид
15
Governance-цель: панели с текущим статусом
Менеджеры должны легко находить текущий статусв целом и статус конкретных процессов.
16
Governance-цель: конфигурация бизнес-ролей
Люди, отвечающие за бизнес, должны быть в состоянии строить нужные бизнес-роли вграфическом интерфейсе, а не скриптами.
17
Governance-цель: аудит выдачи доступа
Люди, отвечающие за аудит должны видеть историю изменения доступа конкретных лиц
18
Governance-цель: постройка процессов одобрения
Бизнес-процессы должны строиться теми же людьми, которые отвечают за это вреальной жизни. Конструктор бизнес-процессов поможет в этом.
19
Governance – пример аттестации
20
Administration-цель: конструктор бизнес-процессов
Администратор должен иметь инструментыдля постройки и изменения процессов.
21
Administration-цель: портал самообслуживания
Portal should be user and contributor friendly where updates
can be performed by non-technical person
22
Пример внедрения.
23
Задачи, поставленные заказчиком
• Автоматизация процесса управления предоставлением доступа
• Централизованное управление паролями пользователей
• Аудит имеющегося доступа
• Отчётность о предоставленном доступе
• Создание единого процесса и политики управленияпредоставлением доступа
• Интеграция с удостоверяющим центром
24
Интеграционные требования
• Интеграция с сервисной шиной:
– Взаимодействие с системой кадрового учета реализуетсяпосредством взаимодействия с сервисной шиной (ESB).
• Интеграция с почтовой системой:
– Управление почтовыми ящиками (создание, удаление, блокировка)
– Реализация метода утверждения запросов доступа к ресурсампосредством почтовых сообщений.
• Интеграция с УЦ:
– Интеграция с удостоверяющим центром «Крипто-ПРО», автоматизация процедур по выпуску/отзыву сертификатов.
25
Exchange
УЦ «Крипто-ПРО»
UNIX
Active
Directory
D1IM
Connector
Server
IBM MQ + MB
1C Бухгалтерия
D1IM
Database
Server
D1IM
WebPortal
Dell Change Auditor
SQL
26
USED AT: AUTHOR: DATE:
REV:PROJECT: Система управления идентификационными
данными пользовател ей и доступом к информационным
ресурсам
15.10.2013
17.10.2013
NOTES: 1 2 3 4 5 6 7 8 9 10
WORKING
DRAFT
RECOMMENDED
PUBLICATION
READER DATE CONTEXT:
A0
NODE: TITLE: NUMBER:Предоставление дополнительного доступа к ресурсу ИС
A3ПДД
данные
пользователя,
запрашиваемый
доступ
Доступ не согласован
Согласованный запрос о предоставлении доступа
Доступ согласован
Доступ не согласован
Информация об
изменении прав
доступа
Политика
информационной
безопасности
Реестр ресурсов
Информационное
письмо
Информационное письмо
Информационное письмо,
дополнител ьные
инструкции
СУИД
Данные
владельцев
ресурса
Запрос на
предоставление
доп. доступа
Портал
самообслуживания
СУИД
31
Создание запроса
на предоставление
доступа к ресурсу
ИС
32
Согласование
запроса с
владельцами
ресурса ИС
33
Санкционирование
доступа
Администратором
доступа
34
Предоставл ение
дополнител ьного
доступа к ресурсам ИС
35
Отправка уведомления
пользователю о
предоставлении прав
доступа
36
Отправка уведомления
Заявителю о
предоставлении прав
доступа
37
Отправка уведомления
Заявителю с
указанием причины
отказаI1
27
Результаты
• Централизовано управление доступом к информационнымсистемам компании
• Выделены атомарные и бизнес роли и описаны процедурывыделения и создания ролей
• Автоматизирован и документирован процесс предоставлениядоступа
• Созданы отчёты для отдела ИБ о том, кто, куда и на основаниичего имеет доступ
• Контроль за внесением изменений в Active Directory(Dell ChangeAuditor)
28
Вопросы?
29
30
31
32
33
34