Identity Management i ett nätverkssäkerhetsperspektiv. Martin Fredriksson

Relevanta dokument
tisdag 8 november 11

Introduktion till protokoll för nätverkssäkerhet

WELCOME TO. Value of IAM in Business Integrations

PhenixID + Zappa. Livscykelhantering, Autentisering och Single Sign-On

Säkerhet. Säkerhet. Johan Leitet twitter.com/leitet facebook.com/leitet. Webbteknik II, 1DV449

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

nexus Hybrid Access Gateway

PhenixID & Inera referensarkitektur. Product Manager

F6 Exchange EC Utbildning AB

Behörighetssystem. Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det

Finns SSO på riktigt?

Smarta sätt att modernisera din webbplats för SiteVision Cloud!

Pulsen IAM: Del 2 Trender och teknik för morgondagens utmaningar. Tobias Ljunggren, PULSEN

idportalen - Stockholms stads Identifieringsportal

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Utvärdering Kravspecifikation

LEX INSTRUKTION LEX LDAP

Boss installationsmanual förberedelser

Remote Access Services Security Architecture Notes

Data Sheet - Secure Remote Access

Auktorisation och grupphantering

Checklista IT Artvise Kundtjänst

SMART ARBETSPLATS. En uppfinning som ger tid till annat. Inge Hansson IT chef. Kommunschefskonferens f Stockholm

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

Teknisk spec Flex Lön och Flex API

Sentrion och GDPR Information och rekommendationer

Statistiska centralbyrån

SharePoint 2010 licensiering Wictor Wilén

Modul 3 Föreläsningsinnehåll

En lösenordsfri värld utopi eller verklighet

Konsten att få eduroam säkert. Anders Nilsson Hans Berggren

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Försättsblad till skriftlig tentamen vid Linköpings Universitet

RF Kalmar SYSTEMDOKUMENTATION IDP HULTSFRED. Beställare: RF Kalmar. Version:

GTP Info KP P-O Risberg Jaan Haabma GTP Info KP Inforum 1

Krypteringteknologier. Sidorna ( ) i boken

Identity Management för Microsoft

Administrera ArcGIS for Server. Erik Bruhn Johnny Björk

Den säkra mobila arbetsplatsen Jesper Svegby Pointsec Mobile Technologies

Nya möjligheter med M3 Technology. Björn Svensson, Björn Torold

KURSUTBUD. Intresseanmälan och bokning

Installationsanvisning. Dokumenttyp Installationsanvisning Område Boss med delad databas

Statistiska centralbyrån

Authentication Context QC Statement. Stefan Santesson, 3xA Security AB

Elisabet Stöök Konsult SAS Institute AB Copyright 2003, SAS Institute Inc. All rights reserved.

För att kunna byta till online licens (man kan alltid byta tillbaka) så behöver man ha några saker redo innan man börjar denna guide.

Hur integrera Active Directory och DNS? Rolf Åberg, Simplex System

Installationsanvisning Boss delad databas

Föreläsning 7. DD2390 Internetprogrammering 6 hp

Microsoft.NET Version Http Activation MapGuide Open source (installerad på en webbserver, tillgänglig utanför brandväggen) Web Deploy 3.

CSI Common Security Infrastructure GTP Next Generation

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Konfigurering av inloggning via Active Directory

Mobilt Efos och ny metod för stark autentisering

Kerberos baserad Single Sign On, tillämpningsexempel

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

BRUKSANVISNING FÖR NÄTVERKSANVÄNDARE

LEX INSTRUKTION REPLIKERING UPPGRADERING

Mobilt Efos och ny metod för stark autentisering

Föreläsning 10. Grundbegrepp (1/5) Grundbegrepp (2/5) Datasäkerhet. olika former av säkerhet. Hot (threat) Svaghet (vulnerability)

Instruktion för användande av Citrix MetaFrame

Mobilt Efos och ny metod för stark autentisering

Uppdatera Easy Planning till SQL

BTH Studentkontohantering API Management

Säkra trådlösa nät - praktiska råd och erfarenheter

256bit Security AB Offentligt dokument

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

Installationsguide Junos Pulse för iphone/ipad

Computer Sweden Mobility Så använder våra. kunder Revival

Välkommen! SA S PSA S Im I puls s Mobilite t t e 8 1

F2 Exchange EC Utbildning AB

Övning 1: Skapa virtuell maskin för utveckling.

Säker e-kommunikation

DIG IN TO. Nätverksadministration

Kursplaner för Administartör IT-System Innehåll

Federerad Roll Administration ÄR GROUPER EN MEDSPELARE? OVE OLANDER MITTUNIVERSITETET

MONA-handledning. 1. Inloggning. Version 2 1(5) Användarhandledning - UTKAST MONA-support. 1. Inloggning 2. Användning 3.

Konfigurationer Video- och distansmöte Bilaga till Tekniska anvisningar

Single Sign-On internt och externt

Version Namn Datum Beskrivning 1.0 Förutsättningar Vitec Ekonomi 1.1 Marie Justering för krav på Windows Server

Årsskiftesrutiner i HogiaLön Plus SQL

Innehåll 1 Inledning Serverinstallation 2.1 Systemkrav 2.2 SQL Server 2.3 Behörighet vid installation 2.4 Behörighetskontroll i Microsoft SQL Server

Tekniska möjligheter att förenhetliga inloggning med öppna standarder och gränssnitt UBISECURE SOLUTIONS, INC.

Unix-miljöer i större sammanhang

Användarmanual för Pagero Kryptering

Creo Customization. Lars Björs

Per Rasck Tjänsteansvarig. Tobias Ljunggren IAM Arkitekt

2-faktor autentisering

Identifiering och autentisering. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

EU s dataskyddsförordning Krav, utmaningar och möjligheter. David Ahlén, Micro Focus Peter Olsson, Karlstads kommun Lars Nikamo, Micro Focus

SSEK Säkra webbtjänster för affärskritisk kommunikation

Systemkrav WinServ II Edition Release 2 (R2)

Kryptoteknik. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

THE KEYS OF DE-PROVISIONING IDENTITIES JOHAN KRONANDER, 09:30-10:20

Manuell installation av SQL Server 2008 R2 Express SP2 fo r SSF Timing

Lösenordsregelverk för Karolinska Institutet

Administratör IT-system Kursplan

Transkript:

Identity Management i ett nätverkssäkerhetsperspektiv Martin Fredriksson Guide Konsult Göteborg AB, 2004

Varför IdM? Flera olika plattformar/tekniska system Windows, AD, Unix, routrar, VPN, etc, etc Många olika informationssystem Olika applikationssystem med olika säkerhetskrav, installerade vid olika tidpunkter Användarhantering Olika användardata i olika system: PA, organisation, projekt, OS, databaser Målet: Öka säkerheten Sänka kostnaden för användarhantering 2

Modell för nätverkssäkerhet 3

Att förstå: behörighetskontrollsystem Autentisering Säkerställa en identitet Tre typer: Något man kan (t.ex. lösenord) Något man har (t.ex. smart kort) Något man är (t.ex. fingeravtryck) Auktorisation Tilldela rättigheter baserat på identitet Ex: åtkomst till filer, rätt att ta ut pengar från ett konto, passagekontroll RBAC: en användares auktoriserade roll(er) styr åtkomst Accounting (spårbarhet) Loggning på olika nivåer 4

Att förstå: applicerad kryptografi Kryptoalgoritmer PKI Vilka är bra till vad? Hur starka behöver nycklar vara? Konfidentialitet: kryptering (DES, AES, RC4,...) Integritet: kontrollsumma, signaturer (MD5, SHA-1, RSA) Certifikat, publika nyckel-system, smarta kort Nätverksprotokoll med krypto SSL/TLS (HTTPS), SSH, IPsec, Kerberos,... Vad krypteras? Nätverk, session, meddelanden, dataposter? 5

Att förstå: exekveringsomgivning Operativsystem Vilken säkerhet erbjuds av operativsystemet? Vilka säkerhetsfunktioner finns? Åtkomst mellan processer? Prestanda Hur mycket resurser får vi förbruka? Vilka andra system exekverar på samma maskin? Övervakning, felhantering Aktiva system för övervakning av applikationssystem 6

Modell för applikationssäkerhet 7

IdM: komponenter Single Sign On (SSO) Egentligen: Reduced Sign On (ibland behövs högre krav ) ETT lösenord att komma ihåg (högre kvalitet!?) Eller ännu bättre: stark autentisering 50-60% av helpdesk-kostnad är lösenordsrelaterad Lösenordssynkronisering Byte av lösenord i ett verktyg (AD, självservice, etc) --> automatiskt byte av lösenord i andra system Provisioning Hantering av användarkonton i flera informationssystem Automatisering: skapa, ändra, stänga av konton, upptäcka icke använda konton, etc, etc Kan vara svårt! Kräver kunskap om enskilda informationssystem och/eller ett gemensamt BKS-stöd-system (ofta beskrivs regler för detta i metakatalog) 8

IdM: komponenter Självservice Användare skall kunna administrera sitt eget konto, givetvis under styrning/kontroll av säkerhetspolicy Triggar lösenordssynkronisering / provisioning Åtkomsthantering (access management) Central styrning (och uppföljning) av regler för åtkomstkontroll i olika informationssystem Svårt att genomför generellt! Kräver ofta centralt system. Lämpligt att börja lite enklare, t.ex. med Windows AD och tillåta applikationsspecifika regler som utgår från samma uppsättning roller Federering (federated identity) Godkännande av annan organisations identiteter Kräver regler, avtal, etc Baserat på PKI? 9

Exempel 1: PAS : modell för BKS, nätvy Web Portal frontend DMZ FW ACSdb Appsys Åtkomst via TSS/CICS (anv.profiler) JDBC (SQL) MS SQL,... Befintliga system och databaser TSS db Internet WS Win Srv Interna användare WS Externa användare extern PKI PKI från Post, Bankföringen, BGC, mfl Intern PKI Win AD Metakatalog synkronisering lösenord provisioning, 10

Example 2: A & AC Authentication and basic AC App specific ops oriented AC Data object AC 11

Exempel 2: Authentication methods Public-key based Smart card, or soft card Both users and applications Preferred method for web access from controlled terminals, for access from external applications, and for general admin access via SSH Token cards One time password generators (SecurID, ) Preferred method for access from external (e.g. public) terminals Username / password When the other methods are not an option Single Sign-On Support for pre-authenticated users, via Kerberos 12

Exempel 2: Identity Management Highly dependent on existing access control infrastructure and on customer needs Requires risk / security analysis Synchronization with external ACS systems Via meta directory Directly with external ACS system Hooks for using external ACS systems LDAP, Radius Self-service support Support for existing self-service type applications 13

THE END 14

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss