Auktorisation och grupphantering



Relevanta dokument
Federerad Roll Administration ÄR GROUPER EN MEDSPELARE? OVE OLANDER MITTUNIVERSITETET

Elisabet Stöök Konsult SAS Institute AB Copyright 2003, SAS Institute Inc. All rights reserved.

Identity Management i ett nätverkssäkerhetsperspektiv. Martin Fredriksson

EVRY One Outsourcing Linköping AB. Erfaranheter av daglig drift och nyttjande av IFS Applications 8.

WELCOME TO. Value of IAM in Business Integrations

F2 Exchange EC Utbildning AB

BILAGA 2, IT- OCH INTEGRATIONSMILJÖN

Migrera till Office 365 i praktiken. Jesper Ståhle Swedish Technical Lead, Office 365

Installationshandbok.

ADITRO LÖSNINGAR FÖR EN ENKLARE JOBBVARDAG SUMMIT 2014 PER JOHANSSON & JOEL KÖHL ADITRO L FRÅN WINDOWS TILL WEB

tisdag 8 november 11

Installationsanvisning Boss delad databas

Web Services. Cognitude 1

Aastra CMG Contact Management

KURSUTBUD. Intresseanmälan och bokning

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.3.1

AVCAD 4.0 för Windows

Teknisk kravspecifikation för nytt Omsorgs system

SharePoint 2010 licensiering Wictor Wilén

Din leverantör av hissautomater, pallställ, grenställ och utdragsenheter.

Boss installationsmanual förberedelser

Anders Erikson. Om mig. Earlier experiences. Kompetenser & erfarenheter. IT-Specialist. IT-tekniker. HCL - Stockholm stad

Nintex Workflow 2007 måste installeras på Microsoft Windows Server 2003 eller 2008.

Daniel Akenine, Teknikchef, Microsoft Sverige

ADFS som IdP i SWAMID

Finns SSO på riktigt?

Administrationsmanual ImageBank 2

PhenixID + Zappa. Livscykelhantering, Autentisering och Single Sign-On

eklient i Samverkan Självbetjäning för IT-plattformen Håkan Bengtsson eklient

Flexi Exchange Connector. Copyright Datatal AB. Med ensamrätt. Copyright 2013 Datatal AB. All rights reserved.

Mobilt Efos och ny metod för stark autentisering

Innehåll 1 Inledning Serverinstallation 2.1 Systemkrav 2.2 SQL Server 2.3 Behörighet vid installation 2.4 Behörighetskontroll i Microsoft SQL Server

Din guide till. Teknisk Specifikation Säljstöd

Introduktion till hårdvara, mjukvara och operativsystem

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver 9.2w

Webbtjänster med API er

Aastra samarbetsapplikationer för Avaya CS 1000 och CM

MBS 12 & Mamut Online Desktop. Ole M Hasven - Product Manager, Marketing Partner Summit, oktober 2008 oleha@mamut.com

Unified Communication. Martin Lidholm

Jonas Daag Microsoftspecialist

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.6.0

Konsultprofil. Per Norgren (1983) Arkitekt & webbutvecklare

Användarhandbok. Trio Visit Web. Trio Enterprise 4.1

Diagnostisktprov Utveckla i Azure

Innehåll Översikt: Introduktion till SQL Server... 3 Introduktion till plattform för SQL Server... 4 Översikt introduktion till plattform för SQL

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver

Innehållsförteckning ADSync Windows Azure Active Directory ADSynC- Installation Konfigurera ADSync... 4

Sokigo AB OVK 2.0. Pentium- eller AMD-processor (x64 processor) på 1,6 GHz Dual Core eller motsvarande.

Active Directory Self-Service Bundle

VI SI CLOSETALK AB SYSTEMKRAV

Instruktion för integration mot CAS

Systemkrav Bilflytt 1.3

OFFICE 365 OCH LICENSIERING. Fredrik Gotting, IT Strategy & Development Manager, Pulsen

Samtalskontroll med peka och klicka-teknik

KONSULTPROFIL Rodrigo

Systemkrav Bilflytt 1.4

Version Namn Datum Beskrivning 1.0 Förutsättningar Vitec Ekonomi 1.1 Marie Justering för krav på Windows Server

Identity Management för Microsoft

Konfigurering av inloggning via Active Directory

Systemkrav. Systemkrav för Hogia Approval Manager. Gäller från och med programversion

Marcelo Rivera SharePoint konsult

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1

Mobilt Efos och ny metod för stark autentisering

Systemkrav Tekis-Bilflytt 1.3

Testdriven utveckling. Magnus Jonsson Siemens Medical Solutions

Hur kan medborgaren få bättre vård?

1. Revisionsinformation

Middleware vad, hur, varför när?

Ale kommun Arkitektdokument

TEKNISK INFORMATION CENTURI 8. Kungsholmsgatan Stockholm Telefon

Nils Byström, Avd f IT och inköp. Projekt AD-design Uppsala universitet DiarieNr: UFV 2009/413. Revision 1.0 Filnamn AD skyddade personuppgifter.

Installationsanvisning. Dokumenttyp Installationsanvisning Område Boss med delad databas

Analysverktyg för Data Science Oberoende utvärdering

Mobilt Efos och ny metod för stark autentisering

Alla rättigheter till materialet reserverade Easec

Nya möjligheter med M3 Technology. Björn Svensson, Björn Torold

30 år av erfarenhet och branschexperts

Projektet Windows 10 och molnet. Leif Lagebrand

Introduktion till migrering till molnet. PART 4: Plattformar för molntjänster

INSTALLATIONSINSTRUKTIONER FÖR VIDA INNEHÅLL

Grupphantering del II. Therese Söderlund och Helena

Komma igång med Qlikview

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

Vägen till en modern. integrations plattform

IBM Software Group. Sametime 7.5. Anders Kjellnér Senior IT-Specialist

360 Infrastruktur v.4.1 & SharePoint Magnus Larsson, Software Innovation

Installation/uppdatering av Hogia Personal fr.o.m. version 13.1

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster...

SAS Intelligence Architecture. Patrick Eckemo IT Arkitekt / PM Arkitektur SAS Institute

Bilaga 05. Beskrivning av befintlig IT-miljö

Creo Customization. Lars Björs

Administrationsmanual ImageBank 2

Identity and Access Management på LU

Våg 2010 We re all in!

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

Systemintegration Outlook

Transkript:

Webadress https://portal.nordu.net/display/inkubator/projektrapporter Dokumentnamn.pdf Dokumentansvarig Jan Rundström Dokumentidentitet N/A Version 1.0 Datum 2014-19-02 Status Publicerad 1

Innehåll 1 Verktyg för grupphantering... 2 2 Grouper... 2 2.1 Groupers arkitektur... 3 2.2 Summering Grouper... 5 3 FIM... 6 3.1 FIMs arkitektur... 6 3.2 Summering FIM... 9 4 Vilket verktyg skall väljas?... 10 1 Verktyg för grupphantering Utredningen fokuserar på två verktyg för grupphantering. Microsoft Forefront Identity Manager (FIM) och open source-verktyget Grouper. Valet beror på att dessa två verktyg har väckt mest intresse hos svenska U/H. 2 Grouper Internet2 är en amerikansk organisation som har till syfte att stödja forskning, utbildning och offentlighet med att kunna producera och samarbeta med hjälp av ny teknik. Internet2s medlemmar är främst universitet. Men även näringsliv, diverse statliga organ och (internationella) utbildningsnätverk finns med som medlemmar och intressenter. Middleware Architecture Committee for Education (MACE) är en gruppering av IT-arkitekter inom amerikanska universitetsvärlden vars syfte är att främja interoperabilitet och federering inom identitets- och behörighetsinfrastruktur som används och skapas inom universitetsvärlden. Inom ramen för samarbetet Internet2 Middleware Initiative där MACE finns med skapades grupphanteringssystemet Grouper. Grouper rubriceras som ett Access Managementsystem specialiserat för universitet. Betoning ligger därför på distribuerad styrning av grupptillhörighet, roller och rättigheter för en identitet. Information som i sin tur ger möjligheter att skapa nya behörigheter. Grouper betonar ad hoc teams, distribuerat/delat ägarskap av forskargrupper mm. Det finns tydliga inslag av universitetsvärldens rörliga organisationsformer inkluderat i grundtankarna. Grouper går under Apatche 2 open source licens. 2

2.1 Groupers arkitektur Kärnan i Grouper består av ett Java API, en regelmotor, en audit- och loggmodul, och en modul för interaktion med ett Identity Management system. Naturligtvis måste kärnan kopplas ihop med en databas. Runt kärnan finns ett stort antal moduler för integration, olika varianter av GUIs och diverse verktyg för att förenkla handhavande och automatiseringar. Tillsammans bildar dessa Grouper toolkit. 3

2.1.1 Grouper toolkit moduler Modul/verktyg Installer Grouper API Subject API Grouper DB Grouper shell WS services Grouper client Grouper loader Grouper daemon Lite UI Admin UI Attribute framework Notification/Changelog Access Management Rules External users Diagnostics Provisioning Service Provider (PSP) Funktion Installerar Grouper API, quickstart data, UI, WS, klient och Provisioning Service Provider. Kärnan av kärnan i Grouper. Hanterar interaktion med Identity Management plattformen. Reposatory för Grouper data. Shellverktyg för att interagera med API:t. Inkluderar även import/export av xml. Verktyg för att jobba med REST/SOAP integrationer. En javaklient för att hålla reda på Web Services. Ett synkroniserings- och integrationsverktyg. Verktyg för att skapa/köra automatiska processer/uppgifter. En GUI modul. Mest för slutanvändare. Webbaserad. En GUI modul. För administratörer. För koppling av metadata till diverse objekt. Loggar händelser och kan konfigureras att skicka händelsemeddelanden till externa system. Modul för att skapa attribut, roller, regler och behörigheter. Kopplingsplinten i Grouper. En motor för script som applicerar regler på Grouperobjekt. Stöd för externa och federerade användare. Test- och rapporteringsverktyg för Groupers interna status. Håller reda på exporter av Grouperobjekt till externa resurser. Förutom modulerna ovan finns ett antal specialconnectorer att tillgå för att underlätta integrationer. Här är några exempel: Enterprise Service Buss Kuali Atlassian Grouper/VOOT Grouper to Grouper Uportal 4

2.2 Summering Grouper Grouper är ett grupphanteringsverktyg för universitet utvecklat av universitet. Det finns en rad moduler som underlättar integration med typiska universitets- och open source-mjukvaror. Verktyget speglar universitetsmentalitet. Det finns stora möjligheter, men det kräver också en del. En intressant och bra detalj är den omfattande dokumentationen och mängden manualer som finns. Välordnat och ofta i form av videoinstruktionsfilmer. Communityn förefaller aktiv och kapabel. Intrycket är att buggar rättas och ny funktionalitet läggs till i hög takt. Fördelar Ingen licens eller investeringskostnad för mjukvara Stödjer diverse temporära/föränderliga organisationsformer vanliga i U/H-världen, Decentraliserar vissa administratörsuppgifter (potentiellt mindre belastning på IT-avdelningen) Förmåga att tilldela roller internt i grupper. Till exempel administratör för gruppen. Som i sin tur kan lämna över sina rättigheter till en ny administratör inom gruppen. Fullskaligt grupphanteringsverktyg Stor möjlighet att påverka mjukvaran (open source) Rikliga integrationsmöjligheter (Alla vedertagna tekniker plus specialconnectorer) Erfarenheter finns. Uppsala universitet har Grouper i drift sedan 2012 Nackdelar Svårt att hitta kompetens i Sverige. (Extremt få konsulter tillgängliga, om ens någon.) Kräver vana att jobba med open source Större möjligheter, men kanske också krångligare än FIM, vad gäller grupphantering? 5

3 FIM FIM är Microsofts produkt för hantering av digitala identiteter, rättigheter och grupper. Egentligen rubriceras FIM som ett verktyg för Identity Lifecycle Management (ILM). Det vill säga att huvuduppgiften är att hantera identiteter och förändringar av deras status över tid. Identitetshantering och grupphantering hör ihop. Inga identiteter, inga medlemmar att bygga grupper av. Ett väl fungerande identitetshanteringssystem är ett krav för grupphantering oavsett verktygsval. Kopplingen till Active Directory och Exchange Server med flera MS produkter är naturligtvis stark. FIM möjliggör synkronisering av användaridentiteter, certifikatshantering, lösenordsreset och förmedling/export av rättigheter med mera från en och samma plattform och administratörs GUI. FIM är idag en sammanslagning av Microsofts tidigare produkter Microsoft Identity Integration Server 2003 (MIIS) och Certificate Lifecycle Manager (CLM). Utveckling och konfigurering av FIM sker i.net. Centrala kunskaper för utvecklaren är Windows Communication Framework och Windows Workflow Foundation. FIM körs på Microsoft Server och behöver Microsoft SQL Server, MS Sharepoint för FIM portal samt MS IIS för web services. 3.1 FIMs arkitektur Här följer en kort genomgång av FIMs arkitektur. 3.1.1 IDM platform - Web & Synchronization services FIM Service (heter FIM Web service i bilden) och FIM Synchronization Service utgör tillsammans den så kallade IDM (Identity Management) plattformen. Då det mesta som händer i FIM är workflowbaserat är det FIM service som gör det logiska jobbet för att sedan vidarebefordra sista delen av uppgiften, import och export av data, till FIM Synchronization Service. Export sker genom så kallade Management Agents (MA) som är connectorer mot diverse mottagare som till exempel AD, LDAP och Web Services. 6

3.1.2 FIMs databas FIM använder databasen för att lagra data som ett mellansteg mellan olika workflow- och processteg. Databasen lagrar också policys och objekt, till exempel data för sammanställda identiteter. Se Metaverse nedan. 3.1.3 FIM Metaverse FIM Synchronization Services använder databasen för att lagra en kopia på data från uppkopplade datakällor. Data runt en identitet sammanställs (från flera källor via så kallade connector spaces) i Metaverse. Synchronization Service kan på så sätt tillgå sammanställt data för synkronisering av alla tänkbara konsumenter. 7

3.1.4 Identity stores & MAs Identity stores eller connected data sources är externa system som FIM integreras mot genom Management Agents (MAs). Här följer en lista på standard MAs. AD av alla former IBM Tivoli Directory Server Sun ONE and Netscape Directory Servers FIM Certificate Management MS Exchange Lotus Notes SQL Server IBM DB2 Oracle DB Textfiler av alla former Directory Services Markup Language LDAP SAP R/3 Enterprise 3.1.5 FIM klienter Den övre bilden visar ett antal FIM klienter. Här följer en förteckning av de vanligaste: FIM Synchronization Service FIM Portal (MS Sharepoint) MS Exchange MS Office Windows PowerShell Custom Windows Communication Foundation (WCF) klienter 8

3.2 Summering FIM MS FIM är ett grupphanteringsverktyg där grupphanteringen egentligen bara är en del av Identity Lifecycle processen. FIM integrerar bra i ett sammanhang där det finns många MS produkter och där infrastrukturen bygger på MS plattformen. Vilket torde vara lejonparten av svenska universitet. FIM är en mindre specialiserad produkt vad gäller grupphantering än Grouper. Viss funktionalitet saknas för att de skall vara helt jämförbara. Till exempel förmågan att distribuera administratörskap över gruppen inom gruppen. Fördelar MS plattformen är känd och bekväm för många U/H Lättare att hitta konsultkompetens än för Grouper Sannolikt finns kompetens för diverse delar av MS infrastruktur som behövs i FIM på plats Blir en single point applikation för ILM & grupphantering för den som vill Rikliga integrationsmöjligheter mot framför allt MS produkter Åtminstone två universitet (LIU & Lunds Universitet) ligger i startgroparna för att använda FIM både som ILM och grupphanterare. På SLU används FIM idag som ILM verktyg. Nackdelar Licenskostnad I första hand en ILM applikation (kan även vara en fördel) Inget universitet har FIMs grupphantering i drift (vad vi känner till) Inte lika samspelt som Grouper med vissa typiska universitetsmjukvaror Lite mindre möjligheter, men kanske enklare än Grouper, vad gäller grupphantering? Enligt uppgift ett grovt och svårjobbat WS API, som helst skall kompletteras med flera specialskrivna lager för att vara enkla att jobba med och ge snabb affärsnytta. 9

4 Vilket verktyg skall väljas? På papperet finns ingen vinnare som passar alla. En framtida inkubatorutredning (2014) kommer sannolikt att belysa valet mer. Men ett antal tankegångar runt valet kan presenteras här: Är det dags att ta stora investeringar runt ILM? o Gemensam hanteringar av identiteter och grupper i samma verktyg kan vara klokt o Fördel FIM Är organisationen tung när det gäller en viss teknik? o Mycket.Net och Microsoft kompetens. Fördel FIM o Mycket kompetens inom Javaplattformen. Fördel Grouper Är open source viktigt? o Fördel Grouper Är det något speciellt typ av integrationer som väger tungt, givet de use case som skall införas? o Fördel Grouper i vissa fall. Fördel FIM i andra. Se specialiteter ovan. Kommer införandeprojektet att vara konsulttungt? o Sannolikt fördel FIM Är det aktuellt att pressa ut max ur grupphanteringsfunktionerna? o Sannolikt fördel Grouper 10

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss