Informatiseringscentrum Marijke Vandecappelle Tormo van Schuppen 5 december 2012 UvA IDM in 15 minuten
Agenda Identity en Access Management UvA, IAM Beleid en Uitgangspunten Samenhang met access management en regelgeving. 2.Architectuur / integratielandschap IDM provisioning en access management 3.Rollen en gebruikersprofielen Business en application roles, beheer 4.Lifecycle beheer UvAnetID status overgangen. Uitgeven en intrekken UvAnetID’s 5.End-user service IDM Portal en service requests Zoek de verschillen UvA-HvA..
IAM Beleid Bronnen divers. Regie en organisatie… Richtlijnen: Access Management integratie Voldoen aan regelgeving intern en extern, traceerbaar Alle concernsystemen onder IAM Samenwerking andere instellingen, HvA, VU, etc. Automatiseren Identity en Access Management UvA,
Uitgangspunten Niet formeel vastgelegd (defacto <> beleid) Autorisatie veelal decentraal (?) ‘current’ status (historie in administratieve bronsystemen) Role / policy based; organisatie gericht niet per functie of taak Geen consolidatie van e-identiteiten (per bronsysteem) Functionele accounts (nog?) buiten scope Just in time / need to have (end date) Zelf service waar mogelijk Keep it simple(r) SAP-PI broker als nuttig Identity en Access Management UvA,
Toekomst meer ‘just in time’ meer ‘on demand’: eindgebruiker beslist flexibele samenwerkingvormen worden steeds belangrijker. Voor de UvA: HvA, VU, AMC..! Verschuiving van provisioning naar access management. Denk aan combinatie SAML/SCIM via Surfconext. Sterke authenticatie, trust levels Identity en Access Management UvA,
Integratielandschap Identity management UvA – 5 december 2012 Authenticatie services: CAS Federatie Windows (Active Directory) Radius LDAP RSA SMS Access management
Access Matrix
Provisioning
Marijke Vandecappelle – TS – 12 juli 2011 Bron- en doelsystemen
Business roles bevatten application roles Application roles kennen de resources toe of set van attributen op een resource Rules op roles zorgen voor differentiering, bijv. medewerker of student bij faculteit x Rollen als bouwstenen IC, TS – 5 december 2012
Business roles IC, TS – 5 december 2012
Application roles IC, TS – 5 december 2012
Delegatie van beheer IC, TS – 5 december 2012 Accountbeheer: servicedesk Wachtwoord medewerkers: P&O Wachtwoord studenten: studiecentra UB & SIC & FA Gelieerden: bij voldoende omvang delegeren, anders servicedesk. Servicedesk: calls Operations: monitoring, rechtenbeheer, 2 e lijns Technical support: architectuur, inrichting & vernieuwing, 3 e lijns Onderwijs diensten groep: access management (CAS SSO server)
Lifecycle IC, TS – 5 december 2012 VoorafActiefUitloopGearchiveerd Inschrijving of arbeids- overeenkomst 1 e werkdag of begindatum studie én inschrijving afgerond Niet meer verbonden aan de UvA UvAnetID verwijderd UvAnetID vanaf matriculatie op 1 maand voor ingang contract Activati of brief met wachtwoord verstuurd Statuswijziging. Surfspot toegang. Medewerker: SAP account Statuswijziging. Surfspot toegang en SAP account verwijderd Accounts disabled Resource accounts verwijderd 2 e reminder 1 e reminder IDM user verwijderd
IDM Portal Identity en Access Management UvA, Zelf-service student
IDM Portal Identity en Access Management UvA, Zelf provisioning
The end Identity en Access Management UvA,