Upload
nicomedo-zani
View
217
Download
1
Embed Size (px)
Citation preview
1
Gestione delle Identità Digitali:
dall’Enterprise User Administration alla Federated Identity
Catania, 22 Settembre 2006
Ing. Riccardo Valastro ICT Security Manager
2
Cosa è una identità digitale? - Identity Management
Identità digitale: insieme delle informazioni di un utente (dati anagrafici, eventuali dati aziendali, credenziali di accesso ai sistemi/applicazioni/servizi, autorizzazioni, profilazioni) necessarie per governare gli accessi, con i relativi privilegi, di un individuo ai diversi servizi ICT.
Necessità di gestire il ciclo di vita di un’identità digitale
Identity Management: l'insieme dei processi, procedure ed infrastrutture tecnologiche per la creazione, gestione/manutenzione ed utilizzo delle identità digitali.
3
Ute
nti (e
s: M
ario
Ro
ssi)
Sis
tem
i/Ap
plic
azio
ni
Am
min
istr
ato
ri/A
bili
tato
ri
Scenario iniziale: gestione delle utenze sui sistemi/applicazioni
UNIX SAP Windowse-proc e-mail IBM Z/OS Security
Server (RACF)
IBM Z/OS
Applicazioni
m.r
os
si
64
33
3M
R
itd
64
33
3
ros
sim
ma
rio
.ro
ss
i
T0
DIS
I1
01
53
MM
4
Criticità
Proliferazione di Basi Dati per la gestione delle utenze
Duplicazione delle attività e delle competenze
Proliferazione di User-ID e Password diverse per lo stesso utente
Complessità dei processi di gestione delle utenze in particolare nella gestione dei profili/ruoli
Complessità dei processi di gestione utenze relativi alla sicurezza (es. revoca utenze contemporanea su tutte le piattaforme/applicazioni)
Scarsa efficienza in termini di costi e tempi di risposta nella gestione delle autorizzazioni
Complessità nel ricostruire le attività svolte dai singoli utenti sui diversi
sistemi/applicazioni.
5
Ute
nti (e
s.:
Mar
io R
oss
i)S
iste
mi/A
pp
ilica
zio
ni
Am
min
istr
aro
ri/A
bili
tato
ri
Evoluzione: Enterprise User Administration (EUA)
UNIX SAP Windowse-proc e-mailIBM Z/OS Security
Server (RACF)
IBM Z/OS
Applicazioni
m.r
os
si
64
33
3M
R
itd
64
33
3
ros
sim
ma
rio
.ro
ss
i
T0
DIS
I1
01
53
MM
EUA
643
33M
R
643
33M
R
643
33M
R
643
33M
R
643
33M
R
643
33M
R
643
33M
R
My.
pw
d
My.
pw
d
My.
pw
d
My.
pw
d
My.
pw
d
My.
pw
d
My.
pw
d
6
Enterprise User Administration (EUA)
Un sistema di Enterprise User Administration consente di
- gestire i sistemi di sicurezza delle piattaforme che amministra
- gestire le utenze delle persone che accedono al sistema informativo aziendale sulle varie piattaforme (creazione/cancellazione utenza, assegnazione/modifica ruolo/profilo, abilitazione/disabilitazione utenza, reset password, etc.)
- assegnare e gestire differenti user-id per le varie piattaforme od un’unica user-id per tutte le piattaforme, user-id associate/a alla persona
- attivare meccanismi di password synchronization tra le piattaforme (cambiando la pwd su un sistema/applicazione, tale pwd viene propagata sulle altre piattaforme; le credenziali di accesso devono comunque essere digitate su ogni piattaforma)
- attivare meccanismi di workflow per la gestione del processo di autorizzazione dei diritti accesso dell’utente sulle piattaforme.
La soluzione di EUA rende possibile assegnare a ciascun utente, tramite un unico strumento, un profilo autorizzativo sui sistemi ed applicazioni in relazione alle attività/mansioni che gli vengono assegnate.
Gli Amministratori/Abilitatori di EUA assegnano opportune autorizzazioni sui sistemi ed applicazioni in modo trasparente. L’attivazione dell’account viene effettuata con la possibilità di assegnare una user-iD univoca all’utente per tutte le piattaforme target gestite dal sistema di EUA.
7
Identity Management (IM)
Nei sistemi di Enterprise User Administration, così come venivano intesi inizialmente, gli Amministratori/Abilitatori creavano le utenze senza, nella maggior parte dei casi, ricevere successivamente informazioni sulle variazioni di profilo (abilitazioni con privilegi superiori a quelli effettivamente necessari) o sulla effettiva presenza della persona in azienda (presenza sui sistemi/applicazioni di utenze ancora attive legate a dipendenti che avevano già abbandonato l’azienda).
Per avere un vera gestione delle identità digitale (Identity Management) è necessario che venga attivato un flusso di provisioning anagrafico automatico che consenta di amministrare il ciclo di vita dell’utenza.
Attivazione di processi di provisioning anagrafico dalla base dati aziendale di Human Resource verso il sistema di Enterprise User Administration e da questo verso i sistemi/applicazioni target.
8
Identity Management: architettura
Human ResourceData Base
SAPSQL
Anagrafica dipendenti
EUA
UNIX SAP Windowse-proc e-mailIBM Z/OS Security
Server (RACF)
IBM Z/OS
Applicazioni
Provisioning anagrafico
Amministratori/Abilitatori
di EUA
Human ResourceData Base
SAPSQL
Human ResourceData Base
SAPSQL
Anagrafica dipendenti
EUA
UNIX SAP Windowse-proc e-mailIBM Z/OS Security
Server (RACF)
IBM Z/OS
ApplicazioniUNIX SAP Windowse-proc e-mail
IBM Z/OS Security
Server (RACF)
IBM Z/OS
Applicazioni
Provisioning anagrafico
Amministratori/Abilitatori
di EUAUser provisioning
9
Identity Management: vantaggi Diminuzione complessiva del numero dei centri per la gestione degli account su sistemi/applicazioni
diversi attraverso un unico strumento ed un unico repository centrale
Disponibilità di un unico punto di riferimento per l’assegnazione/revoca ai dipendenti delle utenze nell’ambito del sistema informativo
Incremento della sicurezza informatica (es.: riduzione utilizzo foglietti con elenco user-id e pwd)
Revoca unica degli account su tutti i sistemi/applicazioni
Gestione utenze da parte di una struttura (Abilitatori) opportunamente formata e responsabilizzata
Efficace processo di reporting e monitoring delle attività svolte dagli Abilitatori ed utenti sui diversi sistemi/applicazioni (unica user-id personale e standard)
Utilizzo di un’unica user-id e password, attraverso il meccanismo di sincronizzazione delle password (UNICA CREDENZIALE), per l’autenticazione su sistemi/applicazioni eterogenei
Un interlocutore definito per la gestione delle anomalie: le problematiche che possono insorgere durante i processi di identificazione, autenticazione ed autorizzazione vengono demandate ad un’unica struttura, invece di fare riferimento alle varie strutture che gestiscono gli account sui diversi sistemi/applicazioni
Facilita l’applicazione Dlgs 196/2003 (adozione di procedure di gestione delle credenziali di autenticazione ed utilizzo di un sistema di autorizzazione).
10
Problematica: con quale criterio devono essere assegnati i privilegi di accesso dell’utente?
Discretionary Access Control (DAC): un soggetto (proprietario) può cambiare i diritti di accesso degli oggetti che possiede.
Mandatory Access Control (MAC): la gestione del controllo accessi è affidata completamente all'amministratore ed i soggetti non possono in alcun modo modificare i diritti di accesso impostati dall'amministratore (l’accesso degli utenti ad oggetti è limitato in base a livelli di sicurezza definiti).
Role-Based Access Control (RBAC): prevede la definizione di tipologie di ruoli applicativi legati ai ruoli aziendali e quindi l’associazione tra utenti e profili autorizzativi basata sul ruolo posseduto dall’utente all’interno dell’organizzazione.
Il modello RBAC è quello che si cerca di utilizzare più frequentemente. La definizione/assegnazione di un ruolo secondo relazioni predefinite e limitate è estremamente potente e flessibile, ma anche piuttosto complessa da progettare.
Chi decide chi è la persona che deve accedere ad un sistema/applicazione e che cosa deve fare? Decide il ruolo aziendale od il Responsabile della risorsa umana da attivare sulla piattaforma?
11
Identity & Access Management (IAM)
Un sistema di Identity & Access Management è composto principalmente dai seguenti elementi:
- Identity Management (comprensivo di provisioning anagrafico e degli user)
- Access Control (componenti di authentication di authorization)
- Repository delle identità digitali e delle policy/privilegi di accesso
- Single Sign On (unica credenziale da digitare solo una volta per poter accedere a tutti i sistemi/applicazioni a cui si è abilitati con i profili autorizzativi assegnati)
- Control & Audit & Reporting su chi accede a che cosa in ambienti eterogenei
- eventuali meccanismi di strong authentication.
12
Identity & Access Management (IAM): architettura
IAM
Identity Management
EUA
Provisioning
Identity&Access
Policy Repository
Risorse
Applicazioni
Sistemi
Database
Access Control
Authorization
Authentication
SSO Audit
Smart card, certificati X509,
biometria,…Fase 1:
Log on
Fase 3: accesso alle risorse
Fase 2: verifica autenticazione e autorizzazione, associazione privilegi di accesso
13
Federated Identity
Le architetture di IAM sono nate principalmente per soddisfare il bisogno di governare in sicurezza le risorse interne di un’azienda.
Le aziende stanno avvertendo sempre più la necessità di scambiare/gestire informazioni critiche tra organizzazioni diverse e quindi anche quelle relative alle identità digitali associate.
Nascono le Federated Identity o Identità Federate: tra aziende diverse vengono stipulati accordi (legali e contrattuali relativi alla fiducia ed alla privacy, diritto di audinting sui patner), applicati standard ed adottate tecnologie per condividere in sicurezza informazioni critiche e gestire opportunamente le identità digitali (Federated Identity Management, FIM). Un utente già autenticato, appartenente ad una Federazione, può accedere ad applicazioni/servizi di una o più organizzazioni diverse dalla propria, ma tutte appartenenti alla stessa Federazione, senza dover fornire nuovamente le proprie credenziali. Tale tipo di Federazione, detta Business to Consumer (B2C), è basata su accesso da portali, tramite normali browser.
Un altro tipo di Federazione è di tipo Application to Application (A2A), dove applicazioni residenti in organizzazioni patner comunicano tra loro direttamente utilizzando Web Services sicuri (i Web Services sono applicazioni Web-based che utilizzano protocolli e standard per consentire ad altre applicazioni di scambiarsi informazioni su Intranet, Extranet od Internet). Anche in questo caso vi è la necessità della gestione di credenziali.
Definizione di processi per la gestione congiunta di situazioni di crisi derivanti da emergenze in strutture ICT.
14
Federated Identity: standard
Business Partner A Business Partner B
Azienda
Autenticazione
Log on
Utenti o Dipendenti
Servizi/applicazioniServizi/applicazioni
Federated ID Federated
ID
Circle of Trust
Il Federated ID consente all’utente di essere riconosciuto e di accedere ai servizi offerti all’interno della Federazione senza doversi autenticare nuovamente
Una Federazione implica la descrizione e comunicazione delle identità (token di sicurezza/Federated ID), l’utilizzo di protocolli per tale scambio di informazioni, la definizione di relazioni di trust.
Principali standard utilizzati:
- SAML 2.0 (Security Assertion Markup Language), framework per lo scambio di informazioni (assertion) di autenticazione, autorizzazione ed attributi utente tra domini federati rilasciato dalla OASIS (Organization for the Advancement of Structured Informations Standard). Al momento, è il più supportato ed adottato
- ID-FF Identity Federation Framemork (ID-FF) della Liberty Alliance
- WS Federation (Web Services Federation), sviluppato da IBM, Microsoft, BEA, RSA e Verisign
- WS Security 1.0 (Web Services Security), sviluppato inizialmente da IBM, Microsoft e Verisign e gestito oggi da OASIS.
15
Esempio di realizzazione: Poste Italiane S.p.A.
È stato realizzato un sistema di Identity Management.
Il sistema di IM si basa su un’architettura centralizzata di user administration e di provisioning. Tramite un unico strumento si assegna a ciascun utente un profilo di permessi che valida l’accesso a sistemi ed applicazioni in relazione alle attività/mansioni che devono essere assegnate agli utenti sul territorio.
Il sistema permette:
la gestione dei sistemi di sicurezza delle varie piattaforme target, in modo centralizzato attraverso un'unica interfaccia utente
la gestione dei diritti di accesso delle persone al sistema informativo aziendale
l’integrazione con le informazioni di Human Resource (HR): provisioning anagrafico aziendale
L’assegnazione ad un dipendente di una determinata mansione comporta l’attivazione da parte di utenti Abilitatori delle opportune autorizzazioni sui sistemi ed applicazioni da assegnare.
Sono definiti tre livelli di Abilitatori:
• Abilitatore Periferico (gestisce gli account degli utenti dei S.I. di Poste)
• Abilitatore Master di 2° livello (assiste/gestisce gli Abilitatori Periferici)
• Abilitatore Master di 1° livello (supervisore di EUA, assiste/gestisce gli Abilitatori di II° livello).
16
Sistema di IM di Poste Italiane: architettura
Uff
ici
Po
stal
iW
indo
ws
NT
e-P
rocu
rem
ent
Arib
aBuy
er
HumanResource
RA
CF
IB
M Z
/OS
Mainframe
Il sistema di IM è in produzione dal 1 Settembre 2005.
Le piattaforme target di Poste Italiane attualmente gestite sono:
Windows NT
Windows 2003 con Active Directory
Controllo Accessi Applicativi
RACF
eProcurement/Ariba Buyer/iPlanet (Postecom)
SAP BW
SAP R/3.
EUAServer EUA
Gateway
Directory Corporate
Windows AD
Sistema MS di
Provisioning
CA
AIB
M Z
/OS
SAPR/3 & BW
EUA
17
Sistema di IM di Poste Italiane: caratteristiche
La piattaforma realizzata in Poste Italiane è uno dei più grandi sistemi di Identity Management centralizzati in Europa; attualmente gestisce circa:
160.000 persone
80.000 utenti attivi
400.000 utenze
1000 Abilitatori
Più di 25.000 transazioni giornaliere.
Transazioni
0100020003000400050006000700080009000
100001100012000130001400015000160001700018000190002000021000220002300024000250002600027000
01/1
0/2
005
02/1
0/2
005
03/1
0/2
005
04/1
0/2
005
05/1
0/2
005
06/1
0/2
005
07/1
0/2
005
08/1
0/2
005
09/1
0/2
005
10/1
0/2
005
11/1
0/2
005
12/1
0/2
005
13/1
0/2
005
14/1
0/2
005
15/1
0/2
005
16/1
0/2
005
17/1
0/2
005
18/1
0/2
005
19/1
0/2
005
20/1
0/2
005
21/1
0/2
005
22/1
0/2
005
23/1
0/2
005
24/1
0/2
005
25/1
0/2
005
26/1
0/2
005
27/1
0/2
005
28/1
0/2
005
29/1
0/2
005
30/1
0/2
005
31/1
0/2
005
N°
tran
sazio
ni g
iorn
aliere
0
50
100
150
200
250
300
350
400
01/1
0/20
0502
/10/
2005
03/1
0/20
0504
/10/
2005
05/1
0/20
0506
/10/
2005
07/1
0/20
0508
/10/
2005
09/1
0/20
0510
/10/
2005
11/1
0/20
0512
/10/
2005
13/1
0/20
0514
/10/
2005
15/1
0/20
0516
/10/
2005
17/1
0/20
0518
/10/
2005
19/1
0/20
0520
/10/
2005
21/1
0/20
0522
/10/
2005
23/1
0/20
0524
/10/
2005
25/1
0/20
0526
/10/
2005
27/1
0/20
0528
/10/
2005
29/1
0/20
0530
/10/
2005
31/1
0/20
05
TOT. Abilitatorinel giorno
MAX Sessioni
18
Sistema di IM di Poste Italiane: sincronizzazione password (unica credenziale di accesso)
Win User:CN=mrossi
EUA Server
CAA/RACF User: mrossi eProcurement User: mrossi
SAP User: mrossi
Allineamento Pwd
5
2Controllo Policy
EuaPassfilt
3
Windows
Agent EUA sulla piattaforma target
Password On line
InterceptorEvento di cambio password
Cambia password da Windows
1
2Controllo Policy
4
Comunica la pwd al S
erver EUA
New pwd: x1k2K1q9
Pwd: x1k2K1q9
Pwd: x1k2K1q9
Pwd: x1k2K1q9
19
Sistema di IM di Poste Italiane: organizzazione
Poste
eProcurement/Ariba
Postecom
Anagrafica Personale
+User-id
standard+
Prima pwd
Abilitatori Master II° liv.
Abilitatori Utenti.
ProvisioningEngine
ProvisioningAnagrafico
ProvisioningAutorizzativo
ProvisioningAnagrafico
ProvisioningAutorizzativo
Applicazioni distribuite
OS/390
RACF- CAA
Applicazioni
BancoPosta
SAP
Active DirectoryWin 2003/XP
Windows NT 4.0
Gruppi/Profili Profili
Architettura di EUA
EUA
RDD
Profili Operatore/Approvatore
Service Desk
Uffici DirezionaliUffici Postali
Abilitatori Master I° liv.
20
Evoluzione del sistema IM di Poste Italiane verso lo IAM
username/password X.509 Token Biometrics
AAA/SSO
Obiettivi e finalità:
definizione di una architettura di Identity&Access Management e SSO standard a livello di Gruppo Poste e che consenta di gestire le identità degli utenti interni all’azienda e dei partner esterni, nonché, dei clienti, ovvero
•gestione unitaria e centralizzata dei profili
•automatizzazione dei meccanismi di workflow
•Single Sign On fra le applicazioni (inizialmente quelle Web)
•gestione dell’accesso multicanale.
AAA: Authentication, Authorization, Accounting
SSO: Single Sign On
Global Catalog: repository centralizzato dei profili utente, ruoli organizzativi ed applicativi ed associazioni ruoli organizzativi/ruoli applicativi.
EUA/User
provisioning
21
Integrazione con i sistemi di strong authentication: autenticazione con smart card e certificati X.509
(Active Directory)
(Active Directory)
(Active Directory)
Certification Autority
CRL
22
Fattori critici di successo
La tecnologia non è l’unico fattore di successo di un progetto: senza un’organizzazione preparata che applichi correttamente le procedure di un processo, ogni soluzione tecnologica perde di efficacia o si rileva inutile.
Alcune tematiche organizzative che devono essere affrontate:
definizione della struttura degli Abilitatori
definizione della struttura di Help Desk e delle relative procedure di intervento (verifica direttive aziendali, Call Center)
definizione di un processo sicuro per la richiesta di abilitazione utenze e della relativa gestione
definizione ed applicazione delle procedure, anche di sicurezza, che saranno emanate per il corretto funzionamento del processo di gestione utenze
condivisione di processi e procedure tra le diverse strutture aziendali
team di esperti per la gestione del sistema di IAM, con affiancamento già dalla fase di pre-esercizio alla Società che sviluppa, realizza e customizza il sistema di IAM secondo le specifiche tecniche/organizzative aziendali.
23
Conclusione, domande?
Per informazioni:
Ing. Riccardo Valastro
Poste Italiane S.p.A.
Chief Information Office
ICT Security
Viale Europa, 175 – 00144 Roma
e-mail: [email protected]
E se siete interessati alla sicurezza delle infrastrutture critiche, eseguite il download da
http://www.iscom.gov.it/documenti/files/news/pub_003_ita.pdf