THE KEYS OF DE-PROVISIONING IDENTITIES JOHAN KRONANDER, 09:30-10:20
THE KEYS OF DE-PROVISIONING IDENTITIES Identity Management har över de senaste 10åren haft fokus på provisionering. Governance har seglat upp de sista åren, men inte blivit implementerad i någon större skala. Den här sessionen fokuserar på de-provisionering och specifikt nya perspektiv på Identity Governance Att utmana den normala standarden för provisionering Identitetsdata som rullas ut, tenderar ofta att inte förändras Konton och behörigheter sätts i Sleep mode Vilken sorts information lagras om en identitet, hur länge och varför? Skapa MEDVETENHET om Identitetsrelaterad information och utför åtgärder
EN TIDSRESA BAKÅT I TIDEN VAD HAR HÄNT PÅ 10 ÅR? 2009 Förstudie Identity Management Identitetshantering stod i fokus
DNA VoO-system PA system Texten skriver du här Platina Här (diarie) är ytterligare en punkt E-postsystem Och här kommer en till Passagesystem Agresso ekonomi IoF-system Proceedo e-handel Skatteverket Navet EA-system aviseringar aviseringar aviseringsar aviseringar Personuppgiftsdatabas Webbgränssnitt Med signering för skapandet av konton Identitetslösning LDAP Portal TimeCare VoO Webbgränssnitt Med signering för tilldelning av resurser SITHS - certifikat TimePool VoO TimePool BoU resursnät AD Grundskola HSA AD Grundskola AD ADM edir Gym/Kvx edir RESURSNÄT edir ADM FÖRSTUDIE 2009-01-13 (inte 2019) Prioritering: 1. Installera Identitetslösning 2. Hantering av Anställda 3. Hantering av Elever 4. 5. 6. Att integrera fler system Återblick 10 år tillbaka
PROVISIONERING ATT UTMANA DEN NORMALA STANDARDEN KRING PROVISIONERING Vad är syfte och mål med provisionering? Snabbare åtkomst för slutanvändare Tidsvinster - minskad administration Förbättrad informationskvalitet Ökad säkerhet vid avslut och borttag
VART TAR IDENTITETEN VÄGEN? # 1 MÅNGA SYSTEM Skapas manuellt och automatiskt i flertalet system Hur hänger det ihop?
SKAPA MEDVETENHET VART TAR IDENTITETEN VÄGEN? Information + konton & behörigheter registreras i flera system Identitetskällan omsätter konto och behörigheter i ett antal system Vilka system kommer personen åt med sitt centrala konto? (ex AD konto) Vilka system kommer personen åt med andra unika konton? Hur sker avslut av person, konto, inloggning, åtkomst?
IDENTITETENS TIDSLINJE # KONSTANT FÖRÄNDRING Anställning Förändrad anställning Chef Avslut Ny tjänst Tidslinje Tjänstledig Org. förändring
VART TAR IDENTITETEN VÄGEN? # 2 FÖRÄNDRINGAR ÖVER TID Ansvar och roller förändras Sleep mode System försvinner och nya tillkommer Konton skapas och blir kvar Sleep mode
IDENTITY MANAGEMENT LIVSCYKEL AV IDENTITETEN Traditionell Identity Management Ett antal integrerade system De andra systemen glöms bort eller i vissa fall uppdateras efter ett tag Centraliserat perspektiv
GOVERNANCE LIVSCYKEL AV KONTO OCH BEHÖRIGHET Governance med perspektivet kontroll Att vara medveten om konton och behörigheter Möjlighet att addera/ta bort konton och behörigheter Glöm Excel!
IAM + GOVERNANCE DEN BÄSTA AV TVÅ VÄRLDAR - KONTROLL Aktivera stöd för IM/IGA där det finns ett behov Fokus på Antalet användare Säkerhet Automatisering
PROVISIONERING? DIREKT (AUTO) ADAPTIV (TRIGGER) BEGÄRD (GODKÄNNANDE) MEDVETENHET Målet bör inte alltid vara att kontrollera ett konto eller en identitet, utan faktiskt vara medveten om dess existens
VERKLIGHETEN 2019? BEFINTLIG LÖSNING Microsoft Microfocus Sailpoint Efecte Ping Omada Okta * Baserad på produkt ABC * Dåtidens mål * Förändrad över tid * Historik * Inbyggda mönster
1:1 IDAG & IMORGON? BEFINTLIG LÖSNING * Baserad på produkt ABC * Dåtidens mål * Förändrad över tid * Historik * Inbyggda mönster NY LÖSNING Det skall fungera som det gör idag Vi vill ha samma funktionalitet * Dåtidens mål? * Dåtidens krav? * Dagens problem? + 10 år senare?
KRAVSTÄLL KORREKT # KONSTANT FÖRÄNDRING Avslut Förändrad anställning Chef Anställning Ny tjänst Tjänstledig Org. förändring STÄLL UPP RÄTT KRAV FRÅN BÖRJAN Vad skall vi räkna som en identitet? Hur kan vi avsluta ett konto eller en behörighet? Hur kan vi knyta ett konto mot en identitet? System Hur kan vi frigöra tid? Kan en behörighet manageras från utsidan? Hur går det överbrygga nätverk av identiteter?
1:2 NYTÄNKANDE NY LÖSNING BEFINTLIG LÖSNING * Baserad på produkt ABC * Dåtidens mål * Förändrad över tid * Historik * Tänkt nytt kring IAM/IGA * Nya målbilder * Framtidens behov * IAM/IGA Program * Gör ett förarbete som bygger på framtiden * Identifiera problemen * Governance först! * IaaS, SaaS, SSO * Förhåll er till Bring your own Identity * Engagera intressenterna
GRUPPARBETE 5+5 MIN ATT UTMANA DEN NORMALA STANDARDEN KRING PROVISIONERING Utse en talare inom gruppen och var beredd på att återkoppla med svar 1. Har du åtkomst till något system du inte borde ha? Konto/behörighet som borde ha tagits bort Slå ihop antal system inom gruppen och dela med antal medlemmar exempel: 2+3+4+5 / 4 = snittvärde för gruppen 2. Diskutera i GRUPPEN gällande hur situationen med åtkomst hade kunnat varit annorlunda. Vilket stöd skulle behövas för att minska antalet felaktiga konton/behörigheter till system inom organisationen?
NÄSTA STEG + + Skapa medvetenhet och kartlägg nuläget Identifiera vart ni står i mognadstrappan för IAM/IGA* > MÅLBILD IM/IGA Tänkt nytt kring IAM/IGA och ställ upp nya krav Skapa en ny målbild *kontakta Pulsen för info om IAM/IGA mognadstrappan
Cliffhanger
DE-PROVISIONERING INPUT OUTPUT EXIT API Ett avslut behöver inte verkställas via en direkt integration Ett avslut kan skickas ut som en signal som ett system kan lyssna på och verkställa handling utifrån.
TACK! JOHAN KRONANDER johan.kronander@pulsen.se PULSEN INTEGRATION