Gestione delle Identità e degli Accessi Informatici

Transcript

1 Gestione delle Identità e degli Accessi Informatici Giancarlo Peli Area Sistemi Servizi Informatici di Ateneo Università degli Studi di Verona

2 Argomenti trattati Il contesto applicativo I problemi da risolvere Le soluzioni disponibili Il progetto GIA

3 Il contesto applicativo Definizione Sistemi di Gestione delle Identità e degli Accessi = Infrastrutture Informatiche finalizzate a centralizzare e rendere coerente e lineare la gestione dei dati relativi agli utenti, nonchè alla loro autenticazione e autorizzazione nell'accesso ai sistemi informatici ( e non).

4 Il contesto applicativo Infrastruttura IT Le imprese/organizzazioni moderne utilizzano un insieme complesso di infrastrutture informatiche: Sistemi operativi di rete Sistemi server standalone Applicativi archivio di utenza Applicativi Gestionali Applicativi Business Ecommerce...

5 Il contesto applicativo Tipologie di utenza Diversi tipi di utenti accedono alle infrastrutture informatiche: Impiegati Contrattisti Fornitori Clienti divisi in due grandi classi: Interni: impiegati e contrattisti,... Esterni: clienti, fornitori,...

6 Il contesto applicativo Funzionalità di base Quasi tutti i sistemi prevedono metodi per verifica dell'dentità degli utenti e il controllo su quanto essi possono accedere e fare. La gestione dell'accesso dell'utente implica la gestione di dati relativi a: Identità Autenticazione Privilegi

7 Il contesto applicativo Dati utenza Informazioni personali: Dati anagrafici, Recapiti,... Informazioni amministrative: Matricola,Tipo contratto,... Credenziali informatiche: Login/Password, Certificati,...

8 Il contesto applicativo Ciclo di vità dell'utenza Inserimento iniziale: il profilo dell'utenza deve essere definito quando l'utente inizia il rapporto con l'organizzazione sulla base delle politiche in essere Modifica durante il rapporto: devono essere aggiornati tutti i dati variabili delle utenze come password, privilegi,... Cancellazione/Disabilitazione: all'abbandono del rapporto con l'organizzazione devono essere revocati credenziali e privilegi di accesso

9 I problemi da risolvere - 1 Disponiblità/produttività dei sistemi per gli utenti I nuovi utenti spesso devono attendere giorni o settimane la creazione delle credenziali e dei profili di accesso Gli utenti in essere spesso devono attendere ore o giorni in attesa di cambio parametri di accesso (password, profile) Costi di gestione delle utenze Gli utenti devono accedere a svariati sistemi quali network, , Intranet, mainframe,... Ciascun amministratore di sistema deve svolgere essenzialmente gli stessi compiti ripetitivi quali configurazione iniziale, modifica, concellazione/disabilitazione Inconsistenze nei dati utenza Sistemi diversi possono avere dati diversi e potenzialmente contraddittori circa lo stesso utente con perdita di affidabilità e sicurezza nell'accesso e autorizzazione Dispersione delle credenziali d'utenza da memorizzare Gli utenti possono avere diversi credenziali di accesso su sistemi diversi (es. login/password), difficili da ricordare anche a causa di regole di sicurezza non omogenee

10 I problemi da risolvere - 2 Vulnerabilità nella sicurezza dei sistemi Ritardi nella revoca delle credenziali e nei privilegi di accesso in caso di perdita di rapporto con l'organizzazione determinano vulnerabilità alla sicurezza Account non usati possono essere utilizzati da intrusi senza che si segnalino anomalie Nuove utenze possono essere create con password deboli o comunicate con metodi insicuri ( , telefono, posta interna,...) con rischi conseguenti Gli utenti tendono a accumulare privilegi non previsti nel tempo a causa di meccanismi di revoca non corretti Configurazione iniziali degli account errate e/o evoluzione nelle regole di attivazione possono rendere le credenziale e i privilegi non adeguate alle politiche di sicurezza dell'organizzazione Gli utenti possono avere accesso ai sistemi senza che siano impostati correttamente i privilegi relativi

11 I problemi da risolvere - 3 Monitoraggio e Documentazione Per motivi di corretta gestione, e in molti casi per legislazione e regolamenti interni, è importante poter documentare quale utente può avere accesso e con quali privilegi ai vari sistemi e dati In mabiente eterogeo quest'informazione può essere dispersa tra vari sistemi, non correlati o semplicemente non disponibili Requisiti di Legge Capacità di autenticazione univoce degli utenti Capacità di controllare l'accesso degli utenti a sistemi o dati sensibili Capacità di garantire che gli utenti accedano ai sistemi e ai dati solo quando lecito Capacità di rilevare e documentare quanto sopra

12 Gestione delle Identità Situazione problematica

13 Requisiti di un sistemi di Gestione delle Identità e degli Accessi Informatici Infrastruttura 1 Consistenza: I dati del profilo utente immessi in sistemi diversi devono essere consistenti. Questi includono nome, login ID, contatti, informazioni, data di termine Il fatto che ogni sistema abbia il proprio profilo utente rende il tutto difficile Efficienza: Permettere a un utente l'accesso a sistemi multipli è un'operazione ripetitiva e costosa se effettuata con gli strumenti tipici dei sistemi stessi Usabilità: Quando gli utenti accedono a sistemi multipli essi possono essere presenti con credenziali multiple e complesse da memorizzare e gestire con conseguenti disservizi e perdite di produttività

14 Requisiti di un sistemi di Gestione delle Identità e degli Accessi Informatici Infrastruttura 2 Affidabilità: I dati delle utenze devono essere affidabili specialmente se usate per controllare l'accesso a dati o risorse sensibili. Questo significa che il processo usato per modificare le informazioni d'utenza su ogni sistema deve produrre dati completi, puntuali e accurati Scalabilità: Le organizzazioni complesse gestiscono normalmente dati d'utenza per decine di migliaia di utenti interni e centinaia di migliaia di utenti esterni Qualsiasi sistema di gestione delle identità usato in un ambiente complesso deve essere scalabile a supportare i volumi di dati e il piccodi transazioni prodotto

15 Requisiti di un sistemi di Gestione delle Identità e degli Accessi Informatici - 1 Automatismi per valorizzare i dati degli utenti già presenti nei sistemi dell'organizzazione al fine di propagarne lo stato e i cambiamenti Workflow per l'approvazione di cambiamenti richiesti dagli utenti, per la gestione delle autorizzazioni, e le modifiche delle credenziali e dei privilegi di accesso ai sistemi oggetto di controllo Strumento di gestione degli utenti consolidato a costituire un singolo frontend a permettere agli amministratori della sicurezza di gestire il singolo utente sugli svariati sistemi oggetto di controllo Gestione delegata degli utenti per permette agli amministratori delle varie organizzazione decentrate di gestire gli utenti locali Processi di rilevazione automatica, per estrarre periodicamente i dati utente da ciascun sistema, controllare le inconsistenze e di conseguenza applicare correzioni direttamente o tramite richiesta di modifiche

16 Requisiti di un sistemi di Gestione delle Identità e degli Accessi Informatici - 2 Un sistema di riconciliazione delle login per collegare i dati di utenza tra i vari sistemi Sistema di gestione delle Password che copra tutti i sistemi oggetto di controllo e che includa la diffusione di password policy omogenee, la syncronizzazione e il self-service reset delle stesse Un processo sicuro per la inizializzazione delle password Audit logs che documentino tutte le richieste e le modifiche alle credenziali e ai privilegi di accesso Generatori di rapporti circa lo stato attuale e la storia dei privilegi di accesso degli utenti Procedure sicure per i cambiamenti nei privilegi e per la configurazione iniziale delle utenze

17 Gestione delle Identità Obiettivi generali

18 Le soluzioni disponibili CA: IBM: Microsoft: Novell: Oracle: Sun: SysNet:

19 Progetto GIA 1ª Fase Gestione centralizzata delle Identità

20 Progetto GIA 2ª Fase Controllo centralizzato degli accesi

21 Il progetto GIA Gara d'appalto (estratto)

22 Progetto GIA Schema degli obiettivi

23 Progetto GIA Analisi dei requisiti

24 Processo IT nella Creazione utenza per Studente 150 ore DC DSS SEG PRES FAC/DIP SI FAC/DIP TEC FAC Utente Informativa presa servizio studente 150h Notifica Presa servizio Notifica Richiesta attivazione account Richiesta attraverso modulo cartaceo Creazione/Modifica Account Server Facoltà / Diparimento (se previsto) Notifica Informative accountid e password Consegna Consegna busta con accountid e password

25 Processo IT nella Creazione utenza per Accademico Strutturato DC GP DO DC FC SEG PRES FAC TEC FAC SIA SI FAC/DIP Utente Informativa nuovo docente o ricercatore e attivazione contratto Notifica Inserimento nel sistema CSA Notifica Inserimento applicazione carriere Notifica Attesa presa servizio docente Presa servizio docente Inserimento anagrafica nel servizio Web Integrato Notifica Creazione accout utente Web Integrato Richiesta attraverso modulo cartaceo Attivazione Account Server Facoltà /Diparimento Inserimento applicazione richiesta nuovi account SIA Attivazione Account AD Attivazione Account Consegna a docente accountid e password Notifica Notifica Consegna Consegna a docente busta con accountid e password

26 Progetto GIA Requisiti generali

27 Progetto GIA - Architettura

28 Progetto GIA Schema generale dei dati utenza

29 Progetto GIA Schema della Vista Organizzativa A c c o u n t V ie w V i s t a d e l le O r g a n i z z a z i o n i ATENEO V is ta O r g a n iz z a t iv a O rg a n i A c c a d e m ic i A m m in is t r a z io n i C e n t ra li B ib lio te c h e C e n t r a li D ire z io n i F o r m a z io n e P o s t L a u r e a m i G e s ti o n e P e r o s n a le D o c e n te G e s tio n e P e r o s n a le T A C o o r d i n a m e n to C e n tri... S e g r e te r ie S tu d e n ti B i la n c i o F i n a n z a C O n t a b ili t á S is t e m i S v i lu p p o S e g r e te r i a d i d ir e z io n e S e g r e te r i a d i d ir e z io n e S e g r e te ria d i d ire z io n e S e g r e te r i a d i d ir e z io n e O rgan i d i S ta ff D i r e z i o n e D i d a t t ic a / S e rv iz io S tu d e n ti S e g r e te r ia R e t to r e C o o rd in a m e n to R is o rs e U m a n e D ire z io n e F i n a n z a e C o n t a b i li t á C o n tr o l l o G e s ti o n e R e p o r t in g C o n tr o l l o G e s ti o n e R e p o r t in g... S e r v i z i In f o r m a ti v i A te n e o... S tr u ttu r e D e c e n tr a te F a c o lt á D ip a r t im e n ti C e n tri B ib l io te c a M e n e g h e tti B ib lio te c a F rin z i C e n t ro C IR E c o n o m ia S e r v iz i T e c n ic i S e r v iz i In f o r m a t ic i P re s id e n z a d i F a c o lt á S e r v iz i T e c n ic i P re s i d e n z a d i F a c o lt á... P r e s id e n z a d i F a c o ltá S e g re te r ia d i C e n tr o... D ir e z io n e T O G e s ti o n a le S c e n z e d e lla F o rm a z io n e.. M e d ic in a e C h ir u r g ia S e r v iz i T e c n ic i S e g re te r ia d i C e n tr o C e n t ro LU R S e r v iz i In f o r m a t ic i S e rv iz i T e c n ic i S e g r e te r ia d i D i p a r t im e n t o S e r v iz i In f o r m a t ic i S e rv iz i T e c n ic i S e g r e te r ia d i D i p a r t im e n t o S e r v iz i In f o r m a t ic i S e rv iz i T e c n ic i S e g r e te r ia d i D i p a r t im e n t o S e rv iz i I n f o r m a t ic i S e rv iz i T e c n ic i S e g r e te r i a d i D ip a r tim e n to S c ie n z e E c o n o m ic h e In f o r m a t ic a... S tu d i G iu r id ic i... M e d ic i n a e S a n it á P u b b li c a...

30 Progetto GIA Schema della Vista Funzionale

31 Progetto GIA Schema dei Contenitori delle Identità Virtuali

32 Progetto GIA Modello delle Classi di identità Analisi requisiti

33 Progetto GIA Modello delle Classi di identità Implementazione

34 Progetto GIA Modello delle Classi di identità Analisi funzionale

35 Progetto GIA Analisi funzionale

36 Progetto GIA Attributi Utenza

37 Progetto GIA Ruoli Utenza

38 Progetto GIA Profili Utenza

39 Progetto GIA Generazione dei Profili Utenza P r o filo U te n te P r o f ilo A n a g r a f ic o S is t e m a G A P /G A E P r o filo Id e n tific a tiv o ( A n a g r a f ic o /O r g a n iz z a tiv o ) S is t e m a G I A B ase R u le E s te n s io n e A tt r ib u t i IM - R o le ( A u to r iz z a tiv o ) U O P r o filo A p p lic a tiv o C ID E E E E -R -R -R -R o le o le o le o le... E - R o le E - R o le E - R o le E - R o le E - R o le E - R o le N M P r o filo d i B a s e P r o v is io n in g A u t o m a tic o 1 I M - R o le / C I D E s te n s io n e d i P r o filo P r o v is io n in g M a n u a le 1 I M - R o le / P r iv ile g e

40 Progetto GIA Workflow per Cambio Password

41 Progetto GIA Workflow per Accademico Strutturato

42 Progetto GIA Poteri amministrativi

43 Progetto GIA Ruoli Amministrativi

44 Progetto GIA Ambiti amministrativi

45 Progetto GIA Servizi a Self Service

46 Progetto GIA -Tecnologie

47 Progetto GIA Architettura tecnologica

48 Progetto GIA Tecnologie 1

49 Progetto GIA Tecnologie 2

50 Progetto GIA Schema dei Servizi di Cluster

51 Progetto GIA Dimostrazione

52 Identity Manager Configurator Home Page

53 Identity Manager Managed Resources

54 Identity Manager Resources

55 Identity Manager Resources Account Index

56 Identity Manager Accounts

57 Identity Manager Create User

58 Identity Manager Create User

59 Identity Manager Create User

60 Identity Manager Create User

61 Identity Manager Create User Workflow

62 Identity Manager Change User Password

63 Identity Manager Reports

64 Identity Manager Today Activity Report

65 Identity Manager Demoapprover Home Page

66 Identity Manager Approvals

67 Identity Manager Confirm Approvals

68 Identity Manager Previously Approved Requests

69 Identity Manager Previously Rejected Requests

70 Identity Manager Business Process Editor (BPE) Create User Workflow

71 Identity Manager BPE - Approve Activity GUI

72 Identity Manager BPE - Approve Activity XML Code

73 Fine presentazione