Egyetemi rendszerek központi jogosultság adminisztrációja Hrobár Péter IBM Magyarországi Kft. ITS Delivery Manager

© 2011 IBM Corporation2 Tartalom –Jogosultságok a hétköznapokban –Felhasználói életciklus kezelés során felmerülő problémák –Jogosultságok vállalati környezetben –Központi jogosultságkezelés által biztosított előnyök –Felhasználói azonosság kezelés az IBM Tivoli Identity Manager termékével

© 2011 IBM Corporation3 - Új jogosultság megszerzése? - átfutási idő, helyszínek? - Elfelejtett PIN (jelszó)? - új PIN megszerzése mennyi idő, segítség nélkül sikerül-e - Adatbeviteli hibák? - forgalmi engedélyben 80LE vs. 180LE - Jogosultság részletei? - pl. bankkártya - internetes fizetés, napi limit, hitel, tranzakció történet Jogosultságok a hétköznapokban

© 2011 IBM Corporation4 Jogosultságok csoportosítása +++ Fentiek + (Vízum)

© 2011 IBM Corporation5 - Új alkalmazott belépése - alapjogosultságok kiosztása lassú, napok telhetnek el a jogosultságok megszerzéséig - papír, vagy alapú - Jogosultság módosítása (projektmunka, áthelyezés) - manualitás => hibák - audit, naplózás? - lassú, , vagy papír alapú Alkalmazás admin AD admin Notes admin Home könyvtár Felhasználók Csoporttagságok fiók Jogosultság kiosztás vállalati környezetben

© 2011 IBM Corporation6 - Jogosultságok megvonása - visszaélés az utolsó napon - Árva fiókok %-a az összes fióknak (Gartner) - Jelszavak - elfelejtett jelszó - helpdesk terhelés - helpdesk hívások 20-40%-a jelszavakkal kapcsolatos (Gartner) - jelszóváltás rendszeres kikényszerítése Jogosultság megvonása, jelszavak vállalati környezetben

© 2011 IBM Corporation7 - Új jogosultságok - Automatikus HR szinkronizáció - Szerepkör alapú jogosultság definíció - Automatikus jogosultság kiosztás - Gyors (pár perc vs. napok), automatizált, auditált - Jogosultságok módosítása (projektmunka, szervezeti egység változás) - Igényindítás önkiszolgáló felületen - adminisztrátor munkaterhelése csökken - Automatizált jogosultságkiosztás - manualitásból eredő hibák nélkül Központi, szerepkör alapú jogosultságkezelő rendszer HR rendszer Üzleti alkalmazások Adatbázisok Címtárak Jogosultság kezelő rendszer Irányelvek (policy)

© 2011 IBM Corporation8 - Jogosultságok megvonása - Gyors, automatikus - Árva fiókok - Automatikus felderítés - Automatikus reakció (értesítés, felfüggesztés stb.) Központi, szerepkör alapú jogosultságkezelő rendszer - Jelszóadminisztráció - Önkiszolgáló - HelpDesk terhelés csökken - Jelszószabályok automatikus kikényszerítése Adminisztrátor IDM rendszer (admin felület) Fiókok Felhasználó IDM rendszer (önkiszolgáló felület) Jelszavak

© 2011 IBM Corporation9 - IBM jogosultságkezelési megoldása - Webes felület - Gyári adapterek - Önkiszolgáló felület Tivoli Identity Manager

© 2011 IBM Corporation10 - Önkiszolgáló felület - jelszóváltás - jogosultságigénylés feladása - felhasználói fiókok megtekintése - igénylések nyomon követése Tivoli Identity Manager

© 2011 IBM Corporation11 - Adminisztrációs felület - felhasználók, szervezeti egységek kezelése - irányelvek (policy-k) definiálása - munkafolyamatok tervezése - riportolás Tivoli Identity Manager

© 2011 IBM Corporation12 Központi jogosultság adminisztráció a győri Széchenyi István Egyetemen A TIM webes, magyar nyelvű önkiszolgáló felülete a következő egyetemi rendszerekhez biztosít jogosultságigénylési lehetőséget:  Wifi,  Levelező rendszer,  Egyetemi fileszerver,  Logikai-, fizikai beléptető és  parkoló rendszer,  illetve az egyetemi portál felé alapadatok (pl. név, státusz) és jelszó szinkronizációja valósult meg. Felhasználók száma:  Aktív: (összesen 50000) Tranzakciók száma:  Csúcsidőben (félév eleje): napi  Szorgalmi időszakban: napi 10-30

© 2011 IBM Corporation13 A kialakított rendszer előnyei  Az éles indulást követően a jogosultság adminisztrációt végző egyetemi informatikai szakemberek számára egyetlen központi felületen látszik az összes hallgató, és oktató meglévő jogosultsága.  A jogosultság igénylési folyamatok eddigi alapú, illetve kézi adminisztrációja helyett ezentúl a TIM webes felületén könnyen visszakereshető, munkafolyamattal támogatott (pl. jóváhagyások, adatpontosítások, automatikus értesítések) jogosultságkérések útján részben automatikusan jönnek létre a felhasználói fiókok, különböző hozzáférések, kerülnek beállításra a csoporttagságok. A jogosultságok így gyorsabban jönnek létre az eddigieknél, és az adminisztrátorok munkaterhelése is csökken.  Egyetlen központi felületen látszanak a neptun és az orgware rendszerből áttöltött felhasználók alapadatai is, illetve a bekapcsolt rendszerek felhasználói fiókjainak önálló jelszóadminisztrációja is biztosított.  A forrásrendszerekben (neptun, orgware) történt státuszváltozás (lediplomázott, felmondott stb.), illetve adatváltozás (pl. házasság miatt névváltozás) automatikusan, napi rendszerességgel terjed a menedzselt rendszerek felé az eddigi akár több hetes csúszáshoz képest.  Szabályozott keretek között igényelhetnek a diákok például csak WiFi illetve parkoló jogosultságot, míg az egyetemi alkalmazottaknak lehetőségük van a többi rendszerhez hozzáférést kérni.

© 2011 IBM Corporation14