Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Prostředky osobní identifikace Luděk Rašek. IDENTITY & ACCESS MANAGEMENT IAM.

Podobné prezentace


Prezentace na téma: "Prostředky osobní identifikace Luděk Rašek. IDENTITY & ACCESS MANAGEMENT IAM."— Transkript prezentace:

1 Prostředky osobní identifikace Luděk Rašek

2 IDENTITY & ACCESS MANAGEMENT IAM

3 Motivace Co máme – Mnoho různorodých systémů Co požadujeme – Efektivita správy – Bezpečnost – Uživatelský komfort Jak toho dosáhneme – Definice procesů životního cyklu identity – Technologie – vznikne a/nebo přizpůsobíme

4 Definice NIST: An Identity Management System is any system that creates, issues, uses, and terminates electronic identities. In other words, an Identity Management System provides lifecycle management for the digital credential sets that represent electronic identities. Vytvoření identity Předání identity Používání identity Ukončení identity

5 Vytvoření digitální identity procesy Určení primárního zdroje identity V případě více zdrojů – způsob konsolidace identity Jednoznačný identifikátor – Definice – Mapování na identity v systémech Proces zřízení identity – Workflow – Promítnutí do koncových systémů

6 Vydání digitální identity procesy Předání přístupových údajů a prostředků – Uživatelské(á) jméno(a) – Heslo(a) – Čipové karty – USB tokeny – OTP tokeny – Nasnímání biometrické šablony

7 Používání digitální identity procesy Přihlašování/přidělování přístupu Údržba identity – Změna hesel – Reset hesla – Aktualizace přidělených skupin/rolí – Řešení krizových situací (zapomenutá/ztracená přístupová karta apod.) Auditing využívání identit Reporting vyžívání identit

8 Ukončení digitální identity procesy Často zanedbáváno Zásadní pro zachování bezpečnosti systému Ukončení používání identity – Identita se zpravidla nemaže z důvodu vazby na auditní logy a jiné záznamy – Blokace identity – Nutno promítnout do všech systémů

9 Tvorba digitální identity technologie Automatické propojení se primárním zdrojem identit – Personální systém – Základní informační systém (např. Active Directory) Nástroj(e) pro konsolidaci identit Centrální konsolidovaná DB identit – Meta directory Sjednocuje více zdrojů údajů o uživatelích Nabízí jednotné rozhraní pro všechny závislé systémy

10 Vydání digitální identity technologie Podpůrné aplikace pro předání uživatelského jména, hesla Personalizace čipové karty – Elektronická – zápis dat na kartu – Fyzická – potisk karty (pokud se používá) Vydání certifikátu – Samoobslužné / s registrační autoritou Stanice pro získání biometrických šablon

11 Vydání digitální identity technologie Distribuce údajů do systémů - provisioning – Žádná – systém je integrován přímo s hlavním úložištěm uživatelských údajů (LDAP, Kerberos, SAML, …) – Tvorba účtů v cílových systémech Agentská – na cílovém systému je provozována komponenta, která zakládá odpovídající účty Bezagentská – cílový systém je podporován přímo systémem správy identit – Online/Dávková

12 Používání digitální identity technologie Centrální nástroj pro správu identit bezpečnostním správcem Samoobslužná správa identity – Reset hesla – Odemčení účtu Single-sign On – všechny systémy přístupné pomocí jednoho přilhášení – Kerberos – PKI Auditing/Reporting nástroje

13 Ukončení digitální identity technologie Odstraňování/blokace identit (deprovisioning) Obdoba vydání identity se stejnými nástroji Důležitá zejména z procesního hlediska

14 Prostředí Intranet – Uzavřené řízené prostředí – Důvěryhodné prostředí – Striktně spravované stanice se známým SW vybavení – Technologie: LDAP, Kerberos, SAML… Internet – Heterogenní prostředí – Nedůvěryhodné prostředí – Neznámé vybavení na klientských počítačích – Společný jmenovatel: prohlížeč (bohužel existují nekompatibility) – Technologie: OpenID, OAuth, SAML

15 TECHNOLOGIE

16 Přehled LDAP Kerberos SAML OpenID OAuth

17 OS Windows – Doména Windows 2000 a vyšší – Založena na Kerberos a ActiveDirectory (LDAP) Linux – NIS, LDAP, Kerberos

18 LDAP Leightweight Directory Access Protocol Vychází z heavyweight protokolu X.500 Standardní protokol pro přístup ke stromové struktuře Operace – Vytvoření/změna údajů – Hledání Podporuje „schemata“ – datové typy uložených objektů Implementace často obsahují miliony záznamů Rychlý přístup – optimalizace, indexování

19 LDAP – datový model Stromová struktura tzv. Directory Information Tree – DIT DistinguishedName – DN – Jednoznačný identifikátor položky (entry) v rámci celého stromu – Skládá se z relativních identifikátorů RDN, které jsou jednoznačné v rámci podstromu Entry - položka – záznam v LDAP – Obsahuje jednotlivé atributy – Je identifikována pomocí DistinguishedName Atribut – Pár klíč-hodnota – Je typovaný – Jednohodnotový vs. vícehodnotový

20 LDAP - hledání Sada atributů, které nás zajímají Kontext – Aktuální položka – Jedna úroveň – Celý podstrom Filtr – omezující podmínky hledání Search filterDescription "(objectClass=*)"All objects. "(&(objectCategory=person)(objectClass=user)(!cn=andy))" All user objects but "andy". "(sn=sm*)" All objects with a surname that starts with "sm". "(&(objectCategory=person)(objectClass=contact)(|(sn=Smith)(sn=Johnson)))" All contacts with a surname equal to "Smith" or "Johnson". SELECT FROM WHERE

21 LDAP Implementace – ActiveDirectory – OpenLDAP – Sun Directory Server (Oracle) DN: OU=_accounts,DC=maturity,DC=local dn: OU=_accounts,DC=maturity,DC=local changetype: add objectClass: top objectClass: organizationalUnit ou: _accounts distinguishedName: OU=_accounts, DC=maturity,DC=local whenCreated: Z whenChanged: Z name: _accounts objectCategory: CN=Organizational-Unit,CN=Schema, CN=Configuration,DC=maturity,DC=local

22 Kerberos rNetworks/InetReference/72.htm

23 Kerberos Síťová autentizační služba Předpoklady – Online spojení – Synchronizované časy všech účastníků Centrální server tzv. Key Distribution Center (KDC) Sdílené tajemství na bázi hesla

24 Kerberos PrincipalName – identita – Uživatel – Služba (server – např. HTTP) – Ticket – Datová struktura potvrzující identitu (prostřednictvím třetí důvěryhodné strany – KDC) – Kryptograficky zabezpečeno – Odolává všem základním síťovým útokům Service principal name – identita služby

25

26 Federalizace identity Service Provider – Poskytovatel služby v síti – Využívá služeb poskytovatele identity, aby nemusel implementovat vlastní schéma přihlašování Identity Provider – poskytovatel identity Poskytovatel ověřené identity Ověřuje identitu uživatele dle definované politiky Ručí za údaje v souladu s politikou – Cílem je implementace Single Sign On

27 Single Sign On - SSO Ideál mnohdy nedosažitelný Uživatel se po přihlášení ke stanici již nadále nemusí přihlašovat a při tom jeho identita je bezpečně předávána mezi službami Realizace – Kerberos – PKI

28 Federalizace identit příklad MojeID – OpenID identity provider – Poskytovatel MojeID provozovaný CZ NIC – Různá míra ověření Poštovní adresa Kvalifikovaný certifikát – Různé druhy přihlášení Jméno/Heslo Certifikát

29 OpenID Jednoduchá specifikace Důvěryhodný přenos identity Prostředí internetu Mapována na HTTP/HTML Rozšiřitelná o extenze – Více informací, než jen identita (např. telefon, apod.)

30 OpenID

31 SAML Security Assertion Markup Language Založeno na XML Komplexní norma vypracovaná členu Liberty Alliance Přenos tzv. assertions – vyjádření o subjektu Assertion – Libovolné „vyjádření“ identity providera o subjektu – Důvěryhodné

32 SAML

33 OAuth Metoda autentizace/autorizace pro využití API - nahrazení předávání jména a hesla třetí straně Není přímo využíváno pro autentizaci uživatelů Jde o formu bezpečného delegování přístupových práv na třetí subjekt

34 OAuth

35 PRODUKTY IAM

36 Přehled trhu IBM SUN/Oracle Novell Microsoft

37 Vlastnosti řešení Komplexní systémy Licencování většinou na počet uživatelů Hlavní výhody – Připravené konektory na nejobvyklejší systémy – Přizpůsobitelné (procesy, …) Nevýhody – Nákladné – Málo ohebné

38 Nasazení Většina nákladů na nasazení je vynakládána na lidskou práci – analýzy/definice procesů Nasazení v malé organizaci se nevyplácí Nasazení ve velké organizaci s jistou historií vývoje IT je extrémně náročné


Stáhnout ppt "Prostředky osobní identifikace Luděk Rašek. IDENTITY & ACCESS MANAGEMENT IAM."

Podobné prezentace


Reklamy Google