Grupphantering del II Therese Söderlund och Helena Sandström @umu.se
Jämföra FIM och Grouper Publicera en kokbok Underlätta lokal projekt Minska förstudiekostnader Vara ett stöd för beräkning av projektkostnad
Varför behöver vi grupphanering?
Omvärldsbevakning och behovsanalys
Politiskt och i forskningsvärlden Innovation is the ability of individuals, companies, and entire nations To continuously create their desired future John Kao, innovation nations, 2007 Horizon 2020
Kort youtubevideo som beskriver interfederationer via edugain: https://www.youtube.com/watch?t=13&v=x1yhufpxmz8
Norge har bland annat FEIDE VILL ÄVEN: effektivt stödja nya och ändrade verksamhetsprocesser förenkla och effektivisera integration mellan och rapportering från olika lösningar reducera ICT kostnader underlätta gemensamma strategier när det gäller att följa statliga föreskrifter och standarder hindra framväxt av slutna system (silos) som har överlappande funktionalitet och information förenkla och effektivisera skräddarsydd portalbaserad tillgång till funktionalitet och information genom standardiserade tjänster och gränssnitt
Målbild
Målbild
Hur gör man? Ekonomiansvariga Ladokansvariga Institution X Institution Y - Avdelning K Externa samarbetsparter Prefekter/chefer Studenter Administrativ enhet X Samarbets- och forskningsprojekt Andra tvärgrupperingar
21000 studenter 5200 anställda forskningsintensivt Molntjänster: Exlibris, Office 365, Dreamspark The GRAND project http://research.ncl.ac.uk/grand Video som beskriver hur de strukturerat sina grupper: http://research.ncl.ac.uk/grand/res ources/grouperstructurejan12/gr ouperstructurejan12.html
Sandbox IHV IV IV_staff etc HNT HNT_staff OMV OMV_staff Bestäm en struktur Org HS staff_all HS_staff economy ORH IHV_staff ORH_staff 1. Användargrupper: kopplas till användare KAU function studadmin Automatiskt genererade UserGroups research ENSUS ENSUS_user Manuellt genererade crossteams SMER SMER_user IT ITcoordinators 2. Accessgrupper: kopplas till resurs En grupp för varje typ av behörighet i ett system Apps MS External Webb_Admin PC-admins GoogleApps IntraWebb System Webb_read VPN VPN_user Network eduroam_user
Automatiska grupper Genereras automatiskt utan manuell editering Skall ej gå och inte finnas behov att editera manuellt Styrs av organisationsstruktur eller roll/affiliation/funktion (ex. staff, aktiv student, programstudent, prefekter, ekonomiansvarig etc) = delegerad administration Alla grupper som kan automatgenereras bör automatgenereras för att minimera manuell administration och av säkerhetsskäl.
Manuella grupper Läggs till manuellt Ej möjliga/lämpliga att skapa automatiskt Administration delegeras med fördel till den som bäst vet vilka som skall ingå i gruppen Delegation innebär även ofta att användaren ges möjlighet att skapa egna grupper nedåt i gruppträdet = delegerad administration
Access grupper Idealiskt finns det en accessgrupp för varje typ av behörighet eller behörighetskombination i en resurs Användargrupper som skall ha en viss behörighet läggs in i motsvarande accessgrupp T.ex läggs gruppen staff_all in i grupperna Webb_read, eduroam_user, m.fl.
Kombinationer grupper Det brukar finnas tre typer av gruppoperationer Union (boolskt : A OR B) Eller A + B, dvs resultatet blir alla som finns i A eller B. Differens (boolsk: A AND!B) Eller A B, dvs alla i A som inte finns i B. Snitt (boolsk: A AND B) Resultatet är alla som finns i både A och B
Kombinationer Accessgrupper Full access För varje system: 1. Skapa de kombinationer som behövs. 2. Verifiera att det inte finns några grupper som inte skall finnas enligt uppsatta SoDregler Skapa egen + Signera Skapa egen + läsa andras Läsa andras + signera 3. Lägg in de användargrupper som skall ha access Skapa egen Signera Läsa andras Notera: Även om det är bara en person som skall ges behörighet till något är det ofta värt att skapa en användargrupp som innehåller enbart denna person och koppla till rätt accessgrupp. Det underlättar när/om fler skall få access alternativt att personen slutar sin befattning och en annan person skall ges behörighet istället.
Include/Exclude Grupper Staff_all include Staff_all l Staff_all excludel Man kan till en huvudgrupp lägga en include (union) och en exclude-grupp (differens) Include kan till exempel användas om du har en automatgenererad grupp och behöver addera några som inte hamnar i denna grupp automatiskt Exclude kan användas på motsvarande sätt om du t.ex. behöver stänga ute de som finns i en automatgenererad grupp men som misskött sig eller kanske är tjänstlediga en längre tid
Automatiserade flöden
Byggnader och bibliotek Administrationssystem Tänk allt bygg ut stegvis! Studentsystem: LMS, portaler, digital tentamen etc Lokala applikationer, Persondatorer, system och lagring Federationer Saas
Från IAM till IRM
Kategorisera/Gruppera Applikationer/Enheter Säkerhetsklass/ Relation A (högsta säkerhet) E Applikationer utanför vår kontroll typ Prezi, Browserstack, etc B D C Risk
Hur integrera?
Hur integrera?
Hur integrera?
Hur integrera? Group Management System Plugins Shibboleth IdP Jira Exchange Sharepoint
RBAC, ABAC och affiliations RBAC = rollbaserad access Control Roller fungerar bra för större grupperingar där många skall ha samma behörigheter. Använder man bara RBAC finns dock risk för rollexplosion ABAC = attributbaserad access Control Attributbaserad fungerar bättre för finkornig behörighetsstyrning och är nödvändig om du vill begränsa access till en viss tid på dagens eller enbart när du loggar in från ett specifikt IP-nummer etc. Affiliations = staff, student, faculty etc. Affilieringar berättar något om personens relation med organisationen och är ofta lämpliga att använda för automatgenerering av grupper.
Grouper vs FIM Öppen källkod Utvecklad av universitet för universitet Börjar vara rätt mogen Mycket tillgänglig dokumentation både i text och video Livaktig community som sannolikt kommer finnas kvar länge Många integrations och konfigurationsmöjligheter Bra testversion med färdigt defaultdata kan laddas ner och testköras på mindre än en halvtimme Har tidigare fått kritik för dåligt GUI vilket är fixat i senare version Kräver troligen kompetens inhouse eller inom universitet och högskolor i Sverige gemensamt Är inte en identity manager utan enbart en grupphanterare Kan upplevas komplex Microsoftprodukt - licenskostnad Sharepoint och Exchange integration, även AD Frågetecken kring hantering av externa samt federerade användare Jobbar främst rollbaserat Nya versionen heter MIM (Microsoft Identity Manager) och kommer under 2015 övergång innebär sannolikt att man väljer FIM (MIM) även för identitetshantering Svårt hitta information vilket gör att man troligen behöver konsultkompetens Många funktioner kräver programmering och är beroende av din design upfront Arbetar inte hierarkiskt, dvs grupper i grupper stöds inte out of the box och inte heller grupper i mappar
MIM 2015 Microsoft Identity Manager Använder FIM:s framework Adderar: Just in time Admin Access Self-service account unlock Certificate management REST-api (täcker dock inte all funktionalitet) Mer info om MIM. Kolla in: http://channel9.msdn.com/events/teched/europe/2014/em-b319 PAM = Privileged Access Management
Samlingssidor med användbar information i Groupers wiki: https://spaces.internet2.edu/display/grouper/administration+guides https://spaces.internet2.edu/display/groupertrain/grouper+training
Maximum gain minimum pain Styra och överblicka vad varje användare har access till Styra och överblicka vilka och hur många som har access till en viss resurs Snabbare lägga till nya applikationer och system Reducera central IT-administration genom delegerad administration. Det öppnar även för möjlighet att centralisera installation och drift med bibehållen kontroll av access för institutionerna själva Finkornigare accesskontroll Robusta automatiserade processer för onboarding och offboarding Externa federerade användare i grupper utan behov av lokala datakonton
Onboarding Offboarding
Delegerad administration
Federerade användare
Införande av grupphanterare Förstudie Implementation Förvaltning Behovsanalys Identifiera förutsättningar Kostnadsuppskattning Plattform Administrationsgränssnitt Integrationer Infrastruktur
Kokboken Kan laddas ner här: https://portal.nordu.net/display/inkubator/grupphantering+fas+ii
Frågor