Identiteter och åtkomst på ett säkert sätt IAM i Karlstads kommun Gunnar Kartman IT arkitekt 2008 11 10
Identity & Access Management IAM presentationen Hur definierar vi IAM? Identiteter och åtkomst på ett säkert sätt Den tekniskt inriktade starten och hur utvecklingen har drivits framåt IAM:s betydelse för leveransen av IT tjänster Framgångsfaktorer för en effektiv IAM IAM processerna och förvaltning av IAM Framtida utveckling svagheter och utmaningar
Karlstad Värmland: Karlstad: 280.000 84.000
IT enheten i siffror 7 000 anställda i kommunen Våra kunder är 8 egna förvaltningar, 6 kommunala bolag, Region Värmland och 12 kommuner i Värmland. 48 anställda 95 miljoner i omsättning 37 500 aktiva konton i katalogtjänsten 6 000 arbetsstationer Verksamhet på 260 platser 200 servrar i vårt Data Center (130 virtualiserade) ca 1 000 applikationer/system Service Desk har under senaste året hanterat 32 000 ärenden
Hur definierar vi IAM? Verksamhetens och IT:s processer i samverkan för en gemensam hantering av identiteter och åtkomst till IT infrastruktur och verksamhetssystem. I likhet med andra tillämpningar sker detta med ITteknologin som verktyg. IAM är långt ifrån bara en fråga för IT!
IT i skolan kickade igång det hela ITIS pengarna 2000/2001 Klara mer med samma resurser men projektet drevs av tekniker och man insåg inte vikten av att förvalta katalogtjänsten som ett system Oklart tänkande kring processer
En riktig metakatalog Elevsystem (IST Extens) Access EDU () Gruppprogramvara EDU (Lotus Notes) Metakatalog () Koncernbeslut att använda Lotus Notes Mars 2003 förstudie 1 med teknisk inriktning mot att hantera beslutet Stabilitetsproblem Windows 2000 Server backades till SLES 8 April 2004 förstudie 2 expanderade scopet till ett helhetsgrepp
Metakatalogen Katalogen är ett integrationsnav som synkroniserar personuppgifter för identitetshantering, grupprättigheter (sec), applikationsobjekt och applikationsrättigheter Enskilda användare tillåts inte logga in mot metakatalogen. Endast kontrollerade systemintegrationer accepteras LDAP 3 möjliggör standardiserad kommunikation mellan system, vilket bland annat innebär att verksamhetssystem kan autentisera användare direkt mot metakatalogen om det anses lämpligt Metakatalogen har organiserats i en del för metadataobjekt, och en del för systemobjekt för ökad säkerhet och prestanda. Strukturen är platt. Katalogens struktur återger inte organisationens struktur. Istället lagras organisatoriska uppgifter i objektens egenskaper De kataloger som baseras på synkroniserar lösenord genom Novell Universal Password
Metakatalogen Personobjekt Kategoriobjekt (Anställda/ förtroendevalda) Kategoriobjekt (Studerande) Kategoriobjekt (Medborgare) Kategoriobjekt (Externa) Genom katalogens uppbyggnad kan en enda person identifierad via personnumret vara anställd i Karlstads kommun (en eller flera förvaltningar/bolag), anställd på Region Värmland, studera på Komvux, och registreras som medborgare (kommun/riket) med olika intressen inom kommunen.
Ny version av integration EDU Access EDU SamPL EDU Domino Elevsystem IST Extens Portwise Metakatalog Paket A Leverans av den nya versionen av skolintegrationen skedde vecka 40/2006. Den tidigare versionen hade vi kört sedan 2001. Den omfattade IST Extens, dåvarande inloggningskatalogen för skolnätet (EDU), och en integration till GroupWise. Dessutom fanns en koppling till ett AD för att täcka vissa behov. Resurskatalog Delegerat gränssnitt NEIDM
Integration ADM Portwise Elevsystem IST Extens HR ecompanion Paket B Access EDU Metakatalog Access ADM Den administrativa integrationen påbörjades vecka 49/2006 och sluttestades under november 2007. SamPL EDU Domino SamPL ADM Domino Paket A+B leveransgodkändes i december 2007. Resurskatalog Inloggningskatalogen för det administrativa nätet (ADM) sattes upp så tidigt som 1995/1996. Delegerat gränssnitt NEIDM
Helheten så långt Metakatalog Elevsystem IST Extens Resurskatalog HR ecompanion ESB/SOA Radiusserver Portwise ADM Access EDU Access SKIP Domino Samarbetsplattform Domino CMS Symfoni Terminal services Delegerat gränssnitt NEIDM Elevsystem IST Dexter ITSM processverktyg Touchpaper ITBM Ärendehantering Formpipe W3D3 Novell ZENworks 10 Automatisk beställnings rutin Trafikloggning WebSense
Teknisk plattform Novell 8.7/8.8 Novell Identity Manager 3.01 Nordic Edge Identity Manager 3 (3.6) Suse Linux Enterprise Server 8/9 Novell OES II SLES 10 Pulsen SnapShot Connector (Windows 2003 Server) Backup per objekt genom Novell OES i NetWare 6.5 Blackbird DeTroubler IBM Tivoli Storage Manager IBM HS20 Blade / VMware (endast Portwise ) HP Proliant 380
IAM står i centrum! Vardagen hänger på att IAM fungerar. Vi har hunnit längre på IM än AM sidan, och automatik är bra men... Så gott som samtliga större IT projekt kräver involvering av IAM. IAM blir allt viktigare eförvaltning / vård och omsorg.
IAM framgångsfaktorer Verksamhetens och IT:s processer i samverkan Påsikt en sammanhållen förvaltning av verksamhetssystemen (IS/IT). Mer behov av automatik ökar förekomsten av integrationer, och därmed behovet av kontroll Stabil teknisk plattform med dynamiska egenskaper och funktioner för loggning och analys En effektiv förvaltningsmodell Kontroll på ändringar genom ITIL:s processer Accessmetoder som har rätt säkerhetsnivå för respektive ändamål, speciellt i samband med SSO Förmåga att säkert kunna hantera skyddade identiteter
Gemensamma processer
IT:s processer Strategin definierar ändringshanteringens mekanismer Kontrollerat införande genom Change & Release Management Här samlar vi upp ändringsbehovet Drift och förvaltning av IAM Nya och förändrade behov hanteras i design och avtalsprocesserna
IAM förvaltning Server Management Network Management Två heltider i förvaltningen Directory Services Management AFS/pm3 (förenklad)
IAM förvaltningsaktiviteter 2008 2009 Slutföra kvalitetssäkring av regelverk Etablera processen för Identity & Access Management Utveckla förvaltningsmodell AFS/pm3 (förenklad) Etablera av Release cykler Kvalitetsäkra personuppgifter Etablering av kortlösning med SITHS och SSO Struktur och rollutredning vem är chef för vem? Självadministration och självservice vidareutveckling
Svagheter och utmaningar Traditionella punkt till punkt integrationer är oflexibla och tunga att hantera 3 dagar verifiering per ändringsmoment Kravställningen måste vara kristallklar för att automatiken skall fungera. Misstag får svåra konsekvenser Integrationerna ställer tydliga krav på verksamheternas processer (och vice versa), vilket har gett IT en roll som pådrivare i processen att verksamhetsutveckla har verksamheten förstått detta? Systemberoenden en sammanhållen IS förvaltning Kontroll, loggning, analys, dynamik Krav på tjänsteorienterade integrationsplattformar (SOA) med löst sammansatta regelstyrda integrationer av meddelandetyp Identity Based Access Control (IBAC) Role Based Access Control (RBAC) Attribute Based Access Control (ABAC) CMS Symfoni SKIP Domino Elevsystem IST Dexter EDU Access Radiusserver Samarbetsplattform Domino Elevsystem IST Extens Automatisk beställnings rutin Terminal services Portwise Metakatalog Resurskatalog Delegerat gränssnitt NEIDM HR ecompanion ESB/SOA Novell ZENworks 10 ADM Access ITSM processverktyg Touchpaper ITBM Ärendehantering Formpipe W3D3
Framtida utveckling Applikationsintegration Katalogintegration ESB/SOA
Tack! Gunnar Kartman IT arkitekt gunnar.kartman@karlstad.se