Identity and Access Management på LU

Transkript

1 Identity and Access Management på LU

2 Vem är jag? Eskil Swahn IT-arkitekt på Lunds universitet Funktionen IT-arkitektur Uppdrag ifrån universitetsledningen Omsätta verksamhetens krav i tekniska lösningar Stödja strategiska projekt

3 IAM- Identity & Access Management Identitetshantering (Identity Management) är ett begrepp som används för att beskriva hur man hanterar digitala identiteter i organisationens olika IT-system. Området omnämns vanligen även tillsammans med behörighetshantering (Access Management) som är begrepp för hur digitala identiteter används för att ge åtkomst till olika IT-relaterade tjänster. Något som kan vara alltifrån ett IT-system till en lokal via sitt passerkort.

4 Bakgrund Det finns en katalogtjänst idag bestående av ett egenutvecklat webgränssnitt (Lucat) samt en LDAP-miljö och en Active Directory-miljö som innehåller universitets ca anställda och ca aktiva studenter samt externa personer med anknytning till universitetet. Det finns ett tydligt verksamhetsbehov inom organisationen att komplettera och kvalitetssäkra informationen som finns idag både för anställda och studenter samt att etablera gemensamma processer för hantering av informationen. Det saknas en hantering som motsvarar verksamhetens behov av att knyta roller till individer för att på detta per automatik tilldela individer korrekta behörigheter baserat på vilken roll de har.

5 Syfte Projektet ska dokumentera verksamhetens kravbild för Bas-ITtjänst LU-konto och därefter implementera en teknisk infrastruktur som tydligt stödjer denna kravbild och ger tillgång till person- och organisationsinformation med hög kvalitet.

6 Effektmål Organisationen ska få tillgång till person- och organisationsinformation med hög kvalitet, dokumenterade stödprocesser inom området samt en tillförlitlig teknisk infrastruktur för att hantera behörigheter för befintliga och framtida IT-tjänster. Med en flexibel struktur på infrastrukturen och möjligheten att enkelt få tillgång till anpassad och korrekt information ska behoven av lokala lösningar för detta ändamål försvinna.

7 Tidsplan IAM Förberda projektet FAS 1 Verksamhetsbehov FAS 2 Implementation Jan-12 Maj-12 Sept-13 Mars-15

8 Tidplan Driftssättningsperiod för startar november 2014 och pågår till den siste mars Nedläggning av befintlig LDAP/Lucat mars 2015.

9 Aktivitetsgrupperingar Kvalitetssäkring och migrering av befintlig information Verksamhetsförankring Teknisk implementation Informationsmodellering Test Utbildning Förvaltningsorganisation

10 Kategorier Arbetsflöden är framtagna för följande kategorier Nyanställd Anställd Timarvodist Stipendiat Universitetsanknuten Emeritus Tidigare anställd Student Alumn Biblioteksbesökare Besökare Forskarstuderande

11 Källsystem Primula (Personalsystem) LADOK Orfi (Redovisningssystem) E-rek (Rekryteringssystem) Lovisa (Bibliotekssystem) Nettools (Nätmanagement)

12 Informationsflöde användaridentitet Källsystem NetTools E-rek Primula Orfi LADOK Lovisa Integrationsmotor Nya Lucat Lucat Open Katalogtjänster LDAP Gateway Active Directory Autentiseringstjänst CAS Shibboleth Radius

13 LDAP schema / datamodell SQL

14 Tillgång till attribut Publika Rättighetsstyrda Privata IT-tjänster

15 SWAMID

16 Varför autentiseringstjänster? Högre säkerhet Tekniskt krav på kryptering En punkt för hantering av autentisering» Inga lösenord på drift» Möjlighet till multifaktorinloggning» Förtroendenivåer» Kontroll på behörighetshanteringen» Modernare version av SSO Standardisering för implementation av molntjänster

17 Skillnaden mellan Shibboleth och CAS Shibboleth SAML2 de facto standard Federationsstöd tillåter användare vid andra lärosäten Tillåter effektiv attributshantering enligt entitetskategorier Kräver registrering av SP för presentation inom federationen Vanligast förekommande inom SWAMID CAS Endast autentisering Kräver applikationslogik för mer än ett lärosäte Kräver applikationslogik och systemkonton för attributshantering Applikationsstöd kan implementeras utan någon registrering Påbörjad utfasning vid andra lärosäten

18 Löpande info iam.blogg.lu.se