IAM
Överblick IAM Stefan Thoft Projektledare IAM
IAM - Identity & Access Management Identitetshantering (Identity Management) är ett begrepp som används för att beskriva hur man hanterar digitala identiteter i organisationens olika IT-system. Området omnämns vanligen även tillsammans med behörighetshantering (Access Management) som är begrepp för hur digitala identiteter används för att ge åtkomst till olika IT-relaterade tjänster. Något som kan vara alltifrån ett IT-system till en lokal via sitt passerkort.
Agenda Överblick IAM 9:00-9:15 Teknisk lösning 9:15-9:30 Datamodell lueduperson 9:30-10:00 Autentiseringstjänster 10:00-10:30 Fika 10:30-10:45 Testfall 10:45-11:15 IT-tjänster, LU-kort 11:15-11:45 Övrigt 11:45-12:00
Aktiviteter Kvalitetssäkring och migrering av befintlig information Verksamhetsförankring Teknisk implementation Informationsmodellering Test Utbildning Förvaltningsorganisation
2014 DEC JAN FEB MAR APR MAJ JUN JUL AUG SEP OKT NOV DEC Aktiviteter Implementation - v0.5 Implementation v0.5 - v1.0 v0.6 v1.0 Testmiljön - v0.5 v0.6 - v1.0 Installation av v0.5 testmiljö Installation av v0.6-1.0 testmiljö Tester Test infrastruktur Tester Produktion Uppsättning av produktionsmiljö LU Installation v1.0 produktionsmiljö Driftsättning Acceptanstest Acceptanstest
Innehåll version 0.5 den 15 april Källsystem Primula Orfi E-rekrytering Användarfall med fokus på inmatning av individer Överföring av information kring organisationsstruktur ifrån Orfi Händelsefall, dvs automatiserad logik för att transformera data vid överföringar Grundläggande funktionalitet för att ändra organisationsstrukturen
Teknisk lösning Johan Silverup, LDC
Informationsflöde användaridentitet Källsystem NetTools E-rek Primula Orfi LADOK E-stip Lovisa Integrationsmotor Nya LUCAT Katalogtjänster LDAP Gateway Active Directory Autentiseringstjänst CAS Shibboleth Radius
Lucat Byte av Lucat till Lucat Ny kombinerad beställnings- och SelfService -portal Baserat på SharePoint 2013
LDAP LDAP (OpenDJ) ersätts med en LDAP Proxy. Secure LDAP. Lastbalanseras för tillgänglighet. Bättre styrning över attributsvisning.
Active Directory uw.lu.se En katalog för identiteter. Ingen anonym access. Förändrad searchbase Schema:» Microsoft Active Directory Standard Schema.» Utökat med: EduPerson. noreduperson. lueduperson.
LucatOpen Microsoft SQL Anslut med SSL på standardport. Innehåller information från katalogen samt: Personliga attribut. Snabbare utsökning av information. Ingen anonym sökning Kräver systemkonto för access
Övriga system Passport.lu.se Används fortsatt för lösenordsbyten. Shibboleth För authentisering CAS För authentisering» Ny version» Uppdaterad även för mobila enheter
Sammanfattning
Datamodell lueduperson Rikard Stymne, HT
LDAP schema / datamodell SQL lueduperson Personer identiteter konton behörigheter Organisationer attestorganisationer verksamhetsorganisationer
LDAP schema / datamodell SQL personer lueduperson attestorganisationer lueduauthorgunit verksamhetsorganisationer lueduorgunit studentinformation luedupersonstudentinformation anställningar luedupersonorgassociation personligt luedupersonprivate roller luedupersonorgrole konton luedupersonaccounts förtroendenivå luedupersonassuranceinfo behörigheter luedupersonauth e-post nätanslutning LU-kort LUPIN LUBAS TimeEdit nyhetsutskick bas-it-tjänst bas-it-tjänst IT-tjänst IT-tjänst IT-tjänst IT-tjänst IT-tjänst
Datamodell: personer Personer identitet namn kategori Personligt presentationstext sociala medier Förtroendenivåer
Datamodell: kategorier Kategorier Alumn Anställd Besökare Biblioteksbesökare Emerita/Emeritus Forskarstuderande Nyanställd Stipendiat Student Tidigare anställd Timarvodist Universitetsanknuten
Datamodell: attestorganisationer Attestorganisationer kostnadsställeshierarki, källa Orfi möjlighet till utökning ansvariga personer Anställningar koppling mellan personer och attestorganisationer anställningar från Primula titlar från Primula
Datamodell: verksamhetsorgan. Verksamhetsorganisationer motsvarar dagens LUCAT-organisationer används för presentationer Roller koppling mellan personer och verksamhetsorganisationer verksamhetsroller
Datamodell: konton/behörigheter Konton flera konton till samma identitet Behörigheter kopplade till organisationer (attest- eller verksamhets-) används av IT-tjänster
LDAP schema / datamodell SQL Gränssnitt LDAP Active Directory SQL LucatOpen
Autentiseringstjänster Eskil Swahn, LDC
Vad är en identitetsfederation? IdP Identity Provider SP Service Provider Infrastruktur för att hålla ihop federationen Metadataströmmar DS Discovery Service
SWAMID Drygt 45 medlemmar Lärosäten Stiftelser Myndigheter Interfederationsavtal med andra federationer edugain Skolfederationen
SWAMID edugain SWAMID Ladok3 Box Lund SYLL Connect Umeå Uppsala Google StiL Prisma O365 eduroam SWAMID
Varför autentiseringstjänster? Högre säkerhet Tekniskt krav på kryptering En punkt för hantering av autentisering» Inga lösenord på drift» Möjlighet till multifaktorinloggning» Förtroendenivåer» Kontroll på behörighetshanteringen» Modernare version av SSO Standardisering för implementation av molntjänster
Skillnaden mellan Shibboleth och CAS Shibboleth SAML2 de facto standard Federationsstöd tillåter användare vid andra lärosäten Tillåter effektiv attributshantering enligt entitetskategorier Kräver registrering av SP för presentation inom federationen Vanligast förekommande inom SWAMID CAS Endast autentisering Kräver applikationslogik för mer än ett lärosäte Kräver applikationslogik och systemkonton för attributshantering Applikationsstöd kan implementeras utan någon registrering Påbörjad utfasning vid andra lärosäten
Var hittar jag mer information? http://wiki.swamid.se Highlights SAML WebSSO HowTo Events» Webinar 2 2014
Kaffe
Tester Bo Lorentzon, LDC Bo Freij, Medfak Magnus Persson, LDC
Vilka tester skall utföras Säkerhet Prestanda Integrationer Användnings/händelsefall Centrala applikationer Lokala applikationer Acceptanstest
Säkerhetstest Skydd av datatransport Auktorisation Autentisering Känslighet för störningar m.m.
Prestandatest Prestandatester görs för att vi ska vara säkra på att systemet håller för den belastning som den kommer att utsättas för. Avsikten är också att identifiera flaskhalsar i systemet.
Integrationstester Integrationstesterna utförs av Advania och resultatet kommer att verifieras genom användnings- och händelsefalltester.
Användnings- och händelsefall Det finns ca. 85 olika användningsfall som initieras av katalogansvariga. Dessutom finns det ett antal händelsefall som triggas av systemet.
Centrala applikationer
Lokala applikationer (Testpilot MedFak) Vad är klart för test av lokala system: Organisationshantering Attestorganisation Integrationer Orfi Primula Active Directory E-rekrytering
Lokala applikationer Medicinska Fakulteten CAS som standard sedan en tid Påbörjad förändring till Shibboleth E-Directory AD Inventering System Inventering - utmaning Urval första test Ansvarig: Bo Nilsson
Acceptanstest Förutsättningar för acceptanstest: Kravspecifikationer som kund och leverantör kommit överens om Ändringshantering Görs av slutanvändaren i samband med systemöverlämning
LU-kortet Per Foreby, LTH Morgan Persson, LTH
LU-kortet Alumn -> Anställd -> Besökare -> Biblioteksbesökare -> Emerita/Emeritus -> Forskarstuderande -> Nyanställd -> Stipendiat -> Student -> Tidigare anställd -> Timarvodist -> Universitetsanknuten -> Inget kort Employee Inget kort Inget kort Employee Employee Employee Student/Employee Student Inget kort Employee Visitor
Övrigt iam.blogg.lu.se