Överblick IAM. Stefan Thoft. Projektledare IAM

Transkript

1 IAM

2 Överblick IAM Stefan Thoft Projektledare IAM

3 IAM - Identity & Access Management Identitetshantering (Identity Management) är ett begrepp som används för att beskriva hur man hanterar digitala identiteter i organisationens olika IT-system. Området omnämns vanligen även tillsammans med behörighetshantering (Access Management) som är begrepp för hur digitala identiteter används för att ge åtkomst till olika IT-relaterade tjänster. Något som kan vara alltifrån ett IT-system till en lokal via sitt passerkort.

4 Agenda Överblick IAM 9:00-9:15 Teknisk lösning 9:15-9:30 Datamodell lueduperson 9:30-10:00 Autentiseringstjänster 10:00-10:30 Fika 10:30-10:45 Testfall 10:45-11:15 IT-tjänster, LU-kort 11:15-11:45 Övrigt 11:45-12:00

5 Aktiviteter Kvalitetssäkring och migrering av befintlig information Verksamhetsförankring Teknisk implementation Informationsmodellering Test Utbildning Förvaltningsorganisation

6 2014 DEC JAN FEB MAR APR MAJ JUN JUL AUG SEP OKT NOV DEC Aktiviteter Implementation - v0.5 Implementation v0.5 - v1.0 v0.6 v1.0 Testmiljön - v0.5 v0.6 - v1.0 Installation av v0.5 testmiljö Installation av v testmiljö Tester Test infrastruktur Tester Produktion Uppsättning av produktionsmiljö LU Installation v1.0 produktionsmiljö Driftsättning Acceptanstest Acceptanstest

7 Innehåll version 0.5 den 15 april Källsystem Primula Orfi E-rekrytering Användarfall med fokus på inmatning av individer Överföring av information kring organisationsstruktur ifrån Orfi Händelsefall, dvs automatiserad logik för att transformera data vid överföringar Grundläggande funktionalitet för att ändra organisationsstrukturen

8 Teknisk lösning Johan Silverup, LDC

9 Informationsflöde användaridentitet Källsystem NetTools E-rek Primula Orfi LADOK E-stip Lovisa Integrationsmotor Nya LUCAT Katalogtjänster LDAP Gateway Active Directory Autentiseringstjänst CAS Shibboleth Radius

10 Lucat Byte av Lucat till Lucat Ny kombinerad beställnings- och SelfService -portal Baserat på SharePoint 2013

11 LDAP LDAP (OpenDJ) ersätts med en LDAP Proxy. Secure LDAP. Lastbalanseras för tillgänglighet. Bättre styrning över attributsvisning.

12 Active Directory uw.lu.se En katalog för identiteter. Ingen anonym access. Förändrad searchbase Schema:» Microsoft Active Directory Standard Schema.» Utökat med: EduPerson. noreduperson. lueduperson.

13 LucatOpen Microsoft SQL Anslut med SSL på standardport. Innehåller information från katalogen samt: Personliga attribut. Snabbare utsökning av information. Ingen anonym sökning Kräver systemkonto för access

14 Övriga system Passport.lu.se Används fortsatt för lösenordsbyten. Shibboleth För authentisering CAS För authentisering» Ny version» Uppdaterad även för mobila enheter

15 Sammanfattning

16 Datamodell lueduperson Rikard Stymne, HT

17 LDAP schema / datamodell SQL lueduperson Personer identiteter konton behörigheter Organisationer attestorganisationer verksamhetsorganisationer

18 LDAP schema / datamodell SQL personer lueduperson attestorganisationer lueduauthorgunit verksamhetsorganisationer lueduorgunit studentinformation luedupersonstudentinformation anställningar luedupersonorgassociation personligt luedupersonprivate roller luedupersonorgrole konton luedupersonaccounts förtroendenivå luedupersonassuranceinfo behörigheter luedupersonauth e-post nätanslutning LU-kort LUPIN LUBAS TimeEdit nyhetsutskick bas-it-tjänst bas-it-tjänst IT-tjänst IT-tjänst IT-tjänst IT-tjänst IT-tjänst

19 Datamodell: personer Personer identitet namn kategori Personligt presentationstext sociala medier Förtroendenivåer

20 Datamodell: kategorier Kategorier Alumn Anställd Besökare Biblioteksbesökare Emerita/Emeritus Forskarstuderande Nyanställd Stipendiat Student Tidigare anställd Timarvodist Universitetsanknuten

21 Datamodell: attestorganisationer Attestorganisationer kostnadsställeshierarki, källa Orfi möjlighet till utökning ansvariga personer Anställningar koppling mellan personer och attestorganisationer anställningar från Primula titlar från Primula

22 Datamodell: verksamhetsorgan. Verksamhetsorganisationer motsvarar dagens LUCAT-organisationer används för presentationer Roller koppling mellan personer och verksamhetsorganisationer verksamhetsroller

23 Datamodell: konton/behörigheter Konton flera konton till samma identitet Behörigheter kopplade till organisationer (attest- eller verksamhets-) används av IT-tjänster

24 LDAP schema / datamodell SQL Gränssnitt LDAP Active Directory SQL LucatOpen

25 Autentiseringstjänster Eskil Swahn, LDC

26 Vad är en identitetsfederation? IdP Identity Provider SP Service Provider Infrastruktur för att hålla ihop federationen Metadataströmmar DS Discovery Service

27 SWAMID Drygt 45 medlemmar Lärosäten Stiftelser Myndigheter Interfederationsavtal med andra federationer edugain Skolfederationen

28 SWAMID edugain SWAMID Ladok3 Box Lund SYLL Connect Umeå Uppsala Google StiL Prisma O365 eduroam SWAMID

29 Varför autentiseringstjänster? Högre säkerhet Tekniskt krav på kryptering En punkt för hantering av autentisering» Inga lösenord på drift» Möjlighet till multifaktorinloggning» Förtroendenivåer» Kontroll på behörighetshanteringen» Modernare version av SSO Standardisering för implementation av molntjänster

30 Skillnaden mellan Shibboleth och CAS Shibboleth SAML2 de facto standard Federationsstöd tillåter användare vid andra lärosäten Tillåter effektiv attributshantering enligt entitetskategorier Kräver registrering av SP för presentation inom federationen Vanligast förekommande inom SWAMID CAS Endast autentisering Kräver applikationslogik för mer än ett lärosäte Kräver applikationslogik och systemkonton för attributshantering Applikationsstöd kan implementeras utan någon registrering Påbörjad utfasning vid andra lärosäten

31 Var hittar jag mer information? Highlights SAML WebSSO HowTo Events» Webinar

32 Kaffe

33 Tester Bo Lorentzon, LDC Bo Freij, Medfak Magnus Persson, LDC

34 Vilka tester skall utföras Säkerhet Prestanda Integrationer Användnings/händelsefall Centrala applikationer Lokala applikationer Acceptanstest

35 Säkerhetstest Skydd av datatransport Auktorisation Autentisering Känslighet för störningar m.m.

36 Prestandatest Prestandatester görs för att vi ska vara säkra på att systemet håller för den belastning som den kommer att utsättas för. Avsikten är också att identifiera flaskhalsar i systemet.

37 Integrationstester Integrationstesterna utförs av Advania och resultatet kommer att verifieras genom användnings- och händelsefalltester.

38 Användnings- och händelsefall Det finns ca. 85 olika användningsfall som initieras av katalogansvariga. Dessutom finns det ett antal händelsefall som triggas av systemet.

39 Centrala applikationer

40 Lokala applikationer (Testpilot MedFak) Vad är klart för test av lokala system: Organisationshantering Attestorganisation Integrationer Orfi Primula Active Directory E-rekrytering

41 Lokala applikationer Medicinska Fakulteten CAS som standard sedan en tid Påbörjad förändring till Shibboleth E-Directory AD Inventering System Inventering - utmaning Urval första test Ansvarig: Bo Nilsson

42 Acceptanstest Förutsättningar för acceptanstest: Kravspecifikationer som kund och leverantör kommit överens om Ändringshantering Görs av slutanvändaren i samband med systemöverlämning

43 LU-kortet Per Foreby, LTH Morgan Persson, LTH

44 LU-kortet Alumn -> Anställd -> Besökare -> Biblioteksbesökare -> Emerita/Emeritus -> Forskarstuderande -> Nyanställd -> Stipendiat -> Student -> Tidigare anställd -> Timarvodist -> Universitetsanknuten -> Inget kort Employee Inget kort Inget kort Employee Employee Employee Student/Employee Student Inget kort Employee Visitor

45 Övrigt iam.blogg.lu.se