Single Sign-On internt och externt Lars Nikamo Identity and Security Specialist lnikamo@novell.com Sören Pettersson Identity and Security Specialist spettersson@novell.com
Agenda Single Sign-On inom verksamheten Demo Så här funkar det Externa möjligheter till single sign-on Demo Användningsfall Norrköpings kommun Sammanfattning 2
Terminal Emulation Legacy Modernization Managed File Transfer Enterprise Fraud Management Collaboration File and Networking Services Endpoint Management 3 Identity, Security and Compliance Management Systems Management Resource Management Enterprise Linux Servers Software Appliances Linux Desktops
Problemet: För många lösenord j joo h nhm eni s tne r _y1 9 j2 2 j o9h n4n yjjjoo hhnnj os ho nn 0 7 7 * * * * * *j *j *1 2 2 b ig jo h n _ 9 2 jo h n n y _ th e g o lfe r 4 1 3 **************************************************************** **************** ****** jjo h n s o n 0 7 7 ****** s t.jo h n _ 1 4 0 j o h n _ J o *h* n* s* o n _j j 4j _ 50 2 1 ****** **** Fler applikationer kräver lösenord Hur många lösenord har du? Hur är det med säkerheten? Många lösenord att komma ihåg Produktivitet Helpdesk spenderar för mycket tid på att återställa lösenord medan slutanvändaren väntar... Kostnad Lösenordsrelaterade helpdesk ärenden kostar mellan 100 300 kr/styck Säkerhet Användare sparar inte lösenord på ett säkert sätt Säkerhetskrav Manuell hantering av lösenord gör det svårt att möta krav på säkerhet 4
Enterprise Single Sign-On Demo
SecureLogin Single sign-on till Windows-, Web-, Java-, och terminalemulator applikationer Höj säkerheten med starka lösenord och förstärkt autentisering Höjd produktivitet för slutanvändare och Helpdesk Reducerad kostnad för lösenordshantering Positiv erfarenhet för slutanvändaren 6
SecureLogin Så fungerar det 3) Hämta användarid och lösenord från katalogtjänst 4) Automatisk inloggning Katalotjänst Applikations Server 2) Starta Applikation 7 1) Inloggning till katalogtjänst
Fördelar SecureLogin Använd befintlig infrastruktur Katalogtjänst: Active Directory, edirectory eller LDAP Agent på klient Ingen förändring av befintliga applikationer Integrerar med stark autentisering 8 Klient och serverdelar precis som innan Förstärk investeringen i befintliga SITHS kort Verksamhetsnytta Glädje bland nöjda slutanvändare ROI lätt att räkna på
Web Single Sign-On Demo
Vad innebär federation? An association of commonly agreed upon authentication policy and attribute naming schemes to identify users (employees, customers, partners) in a system across internal and external systems by associating user rights and restrictions with the established identity in a trusted relationship. 10
Typiska användarfall Government Centralized Identity Provider: Citizen single signon into departments and external entities B2B Banking: Access to business partner services, both employee and customer Employee / Consumer 11 Simplified access to value-add partners and online services, e.g., Salesforce.com
Access Manager Hanterar åtkomst till web och interna resurser Förenklar etablering av nya tjänster Integrerad federationslösning Molntjänster Förberedda applikationer t ex SharePoint Vem är du? Vad kan du göra? Vad har du gjort? 12
Standarder inom området Standardprotokoll SAML 1.x SAML 2.x Liberty Alliance WS-Federation / Active Directory Federation Services (ADFS) Shibboleth Gemensamma Koncept 13 Identity Providers (IDP) Service Providers (Identity Consumers)
Förenklad åtkomst till SharePoint Enkel åtkomst till SharePoint Autentisering av användare via Access Manager Olika användartyper Single sign-on 14 Enkelt för användaren Förenklad administration Mappa claims till existerande SharePoint eller AD grupper Ett ställe att hantera säkerhet på No more orphaned accounts
Norrköpings Kommun
Det var en gång En förvaltning som ville förenkla betygssättningen för lärarna Betygsdatabasen behövde göras tillgänglig på internet Skydd mot intrång från internet upplevdes som ett hinder
Utmaningen Utgångsläget Bristande insikt om hotbilden Först ut med ny teknik Behov av 2-faktors autentisering Ledde fram till Gott samarbete med leverantören Förståelse för hotbilden Godkännande av datainspektionen
Principskiss - nuläge Inloggning Medborgare Anställda Leverantörer eid Token Flash-SMS ID + lösenord TjänsteID-kort (OATH) (Federation) Applikation Identitet, metod och roll ID-kontroll inkl självservice Grindvakt E-id tjänsten Intern katalog Regional katalog
Användningsområden Föräldrar Betyg, frånvaro, omdömen Ändring av schema och inkomstuppgift Elever Individuella val Gymnasieval Distansarbete Brygga mellan osäkra och interna nät Säker åtkomst till interna applikationer Federationslösning Test med kringliggande kommuner (SAML 2)
Nyttoeffekter Flexibel plattform för access- och identitetshantering Självservicefunktionalitet Måste inte alltid använda eid Val av inloggningsmetod styrs av informationens skyddsvärde och användarens roll Uppfyller Nationell IT-strategi för vård och omsorg Single Sign-On gör det enklare för användaren
Vad händer nu Införande av SITHS som TjänsteID-kort Inloggning på funktionsarbetsplats Single Sign-On internt för fler applikationer Federationslösningar i samverkan med grannkommuner, PMO (elevjournalsystem) som VDI-lösning med OTP Pilotinstallationer av VDI inom äldreomsorgen med TjänsteID-kort
Förenklad hantering av Federation 22 Traditionell federation mellan avdelningar Hong Kong Government över 100 avdelningar Varje avdelning är både IDP och SP
Förenklad hantering av Federation 23 Traditionell federation mellan avdelningar Hong Kong Government över 100 avdelningar Varje avdelning är både IDP och SP
SP Brokering 24
SP Brokering 25
Sammanfattning Single sign-on inom verksamheten Säkerhet och enkelhet Externa möjligheter till single sign-on Federation mellan verksamhetsdelar Höjd säkerhet 26
This document could include technical inaccuracies or typographical errors. Changes are periodically made to the information herein. These changes may be incorporated in new editions of this document. NetIQ Corporation may make improvements in or changes to the software described in this document at any time. Copyright ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ Corporation or its subsidiaries in the United States.