Identity Management, waar staat we nu en waar willen we over een aantal jaren staan? Harry Duys Hoofd UCI-afdeling Communicatie-Infrastructuur Projectleider IAM (Identity- en Accesmanagement) 13 januari 2011
Wat is er al gerealiseerd? Inhoudsopgave Identity- en Accesmanagement, wat is dat? Waarom wil de RU IAM? Wat is er al gerealiseerd? Tot slot. Vragen?
Identity- en Accesmanagement, wat is dat? Het op een consistente wijze, voor de hele organisatie, inrichten en beheren van processen die nodig zijn voor het vaststellen van elektronische identiteiten (authenticatie) en het regelen van toegang tot ICT-voorzieningen (autorisatie). Begrippen: Elektronische identiteit Authenticatie Autorisatie
Waarom wil de RU IAM? Om de volgende problemen op te lossen: Onvoldoende overzicht van wie binnen de RU, studeert, werkt, of rondloopt in relatie tot gebruik van voorzieningen. Geen overzicht van wat een gebruiker kan en mag. Bij doorvoeren van wijzigingen niet duidelijk wie geïnformeerd moet worden. Onmogelijk om bij misbruik van voorzieningen gebruikers snel en volledig af te sluiten. Aan het eind van de formele relatie tussen gebruiker en RU onmogelijk om autorisaties automatisch in te trekken. Gebruikersonvriendelijkheid door verschillende loginnamen en wachtwoorden. RU-gebruikers hebben geen toegang tot voorzieningen van andere instellingen en omgekeerd.
Waarom wil de RU IAM? (vervolg) Geschetste problemen hebben tot gevolg dat: Er inefficiënt gewerkt wordt. Er onnodige beveiligingsrisico’s bestaan (ongeautoriseerde toegang tot informatie, misbruik van informatie, identiteitsdiefstal, etc.) Relatief hoog risico op financiële- en imagoschade. De toegang tot informatiesystemen gebruikersonvriendelijk is. Hier staat tegenover dat de Universiteit toegankelijk en gastvrij wil zijn, samenwerking wil bevorderen, en maatschappelijk van belang moet zijn en blijven.
Waarom wil de RU IAM? (vervolg) Nog andere overwegingen: Het gebruik van ICT-voorzieningen is cruciaal geworden om de primaire bedrijfsprocessen (onderwijs en onderzoek) te kunnen uitvoeren. De omvang van gebruik van applicaties en informatie is de laatste 10 jaren ook binnen de RU enorm toegenomen. Alle medewerkers en studenten beschikken tegenwoordig over (Inter)netwerktoegang, met alle risico’s vandien. - Simpelweg blijven werken op basis van vertrouwen is naïef. Niet iedere gebruiker hoeft alle applicaties te kunnen gebruiken en hoeft niet bij alle informatie te kunnen. (Voorbeeld: een student hoeft/mag geen toegang hebben tot de financiële systemen)
Waarom wil de RU IAM? (vervolg) Krantenkop AD d.d. 12 januari 2011: Grote stijging identiteitsfraude Het komt steeds vaker voor dat criminelen met andermans identiteit aan de haal gaan, meldt het AD. De afgelopen maanden kreeg het meldpunt voor identiteitsfraude 166 meldingen. Volgens beveiligingsexperts is dat nog maar het topje van de ijsberg. Criminelen halen de persoonsgegevens uit databanken en kunnen zo makkelijk bankrekeningen plunderen en op andermans naam dure dingen bestellen. Deskundigen roepen de overheid op een wet over identiteitsfraude te maken, zodat de politie sneller in actie kan komen tegen de daders. © ANP
Wat is er al gerealiseerd? Voor 2004: Tientallen applicaties met eigen userid’s/password files, en niet gekoppeld aan personeels- of studentnummer. In 2004/2005 aanvang project voor inrichten centrale database (authenticatie) voor gebruik van ICT-voorzieningen. Resultaat: Een authenticatie-service (DIRAS) waarvan 12 ICT-applicaties (inmiddels circa 30) gebruik maakten, waaronder: - Centrale e-mailvoorziening - SURFspot - RU-wireless - VPN In 2006/2007 opstellen programma IDM Resultaat: Inproductiename SUN-identitymanager, provisioning LDAP, provisioning Blackboard, provisioning Zimbra. In 2010 voortgezet in het project IAM
Wat is er al gerealiseerd? (vervolg)
Wat is er al gerealiseerd? (vervolg)
Wat is er al gerealiseerd? (vervolg) De volgende functionaliteiten zijn geïmplementeerd: Medewerker krijgt eerste RU-aanstelling Medewerker krijgt een twee RU-aanstelling bij een ander organisatieonderdeel Persoon krijgt in RBS handmatig een medewerkers-rol erbij Aanmaken externe medewerker Aanmaken UMCN-medewerker Wijzigen van hoofdrol:medewerker, externe, UMCN Aanmaken van functionele accounts Wachtwoord wijzigen Wachtwoord reset door wachtwoord policy
Wat is er al gerealiseerd? (vervolg) Medewerker heeft een aanstelling en wordt oud-medewerker Medewerker heeft twee of meer actieve aanstellingen en een krijgt einddatum Persoon heeft enkel reeds beëindigde aanstellingen en krijgt nu een nieuwe aanstelling UMCN medewerker uit dienst Bedrijfsregels Beheerinterface IDM Selfservice-interface IDM Beheerinterface RBS voor externenbeheer
Wat staat er nog te gebeuren? Voltooing IAM-infrastructuur: Een vanuit de IAM-omgeving geprovisionende LDAP-omgeving met de identiteitsgegevens van studenten. Een vanuit de IAM-omgeving geprovisionende AD-omgeving met de identiteitsgegevens van medewerkers, derden en studenten. De mogelijk tot uitwisselen van elektronische informatie middels de IAM-omgeving, waaronder identiteitsgegevens, met gelieerde instellingen (federatief IAM). Ingericht gedifferentieerd lifecycle-management. Uitbreiding op de generieke basisvoorziening welke nu al beschikbaar is. Ingevoerde Sterke Authenticatie. Ingericht centraal autorisatiebeheer. Upgrade van SUN-Identitymanager. Onderzoek naar vervanging SUN-Identitymanager
Wat staat er nog te gebeuren? (vervolg) Op IAM aan te sluiten concernsystemen, het betreft de volgende systemen: RBS Osiris BASS-Finlog BASS-HRM Corsa Datawarehouse Metis
Wat staat er nog te gebeuren? (vervolg) Hiervoor genoemde producten worden projectmatig gerealiseerd (project IAM) Stuurgroep: Wopke Veenstra (UCI), Anselm van Elk (CIM), Loes Builtjes (GDI), Jan-Peter van Amerongen (CIM), Wim Brand (DSZ). De producten zijn het resultaat van deelprojecten uitgevoerd (15 in totaal). Het project wordt uiterlijk 2012 afrond. Momenteel wordt gewerkt aan de volgende projecten: - Inrichten accountbeheer voor studenten (deelprojectleider Mo Tiel, oplevering mei 2011) - Herinrichting en provisioning AD (deelprojectleider Peter van Os, oplevering maart 2011) - Onderzoeksfase Sterke Authenticatie (deelprojectleider Serge Radochyn, oplevering maart 2011)
Wat staat er nog te gebeuren? (vervolg) In 2011 worden tevens de volgende deelprojecten gestart/uitgevoerd: - Inrichting Federatief IAM - Inrichting gedifferentieerd Lifecycle-management - Upgrade SUN-Identitymanager - Onderzoek vervanging SUN-Identitymanager - Aansluiten RBS - Aansluiten Osiris - Aansluiten Corsa Ontwikkelingen waarvoor IAM zeer goed van pas komt: - Studentenpas Toegangscontrole gebouwen Printen/kopiëren campusbreed
Tot slot Het kost relatief veel tijd, geld, en energie om IAM in te voeren. De consequenties zijn: - Er (zijn) zullen relatief veel technische maatregelen genomen moeten worden. (o.a. koppelingen van systemen, beveiligingsmaatregelen, etc). - Organisatorische maatregelen zijn onontkoombaar, en logischer wijze ook vaak weerbarstig. (o.a. veranderen van werkwijzen, het vaststellen van bedrijfsregels, het vaststellen van verantwoordelijkheden, etc). Daar staan positieve aspecten tegenover: De beveiliging van informatie wordt beter (strategisch plan RU) Mogelijkheden tot samenwerking met andere instituten wordt gemakkelijker (strategisch plan RU). Gebruikersvriendelijkheid neemt toe (uiteindelijk Single Sign On, uniformiteit). Regievoering over informatiesystemen neemt toe. Efficiënter beheer
Vragen? ? PS/ leuk om te bekijken de film: Catch Me If You Can (2002, Steven Spielberg, Leonardo DiCaprio, Tom Hanks, etc).