Juan Nemiña Gantes Tivoli Security IT Consultant

Presentación del tema: "Juan Nemiña Gantes Tivoli Security IT Consultant"— Transcripción de la presentación:

1 Juan Nemiña Gantes Tivoli Security IT Consultant
Soluciones de IBM para la Seguridad Informática This is a 90-minute overview of Tivoli’s Identity, Risk and Compliance Management portfolio. It covers: Tivoli Identity Manager (TIM) Tivoli Access Manager for e-business (TAMeb) Tivoli Access Manager for Operating Systems (TAMOS) Tivoli Access Manager for Business Integration (TAMBI) Tivoli Privacy Manager (TPM) Tivoli Directory Server (TDS), formerly IBM Directory Server (IDS) Tivoli Directory Integrator (TDI), formerly IBM Directory Integrator (IDI) Tivoli Risk Manager (TRM) Tivoli Security Compliance Manager (TSCM) We are also sharing with you, some confidential information about WSSM (Web Services Security Management). Those slides are marked with “IBM Confidential” as appropriate. Juan Nemiña Gantes Tivoli Security IT Consultant

2 Situando el contexto: En que aspecto de la seguridad se focaliza IBM?
Muchos productos de seguridad están orientados a la seguridad perimetral: Firewalls, VPN, Anti-Virus, Detectores de Intrusion Seguridad Perimetral Nivel de Control Nivel de Garantia …IBM se dedica a controlar a los que ya están dentro y a garantizar que se “comportan adecuadamente”

3 Control de Acceso y Enterprise SSO
Catálogo Integrado de IBM para la gestión de identidades Control de Acceso y Enterprise SSO Cross-Domain SSO y Seguridad para Web Svcs. Control de entrega de datos personales Federated Identity Manager Aprovisionamiento y gestión de usuarios en la empresa Identity Manager Access Manager Privacy Manager Directory Integrator Directory Server This chart takes you, product by product, and simply states in 6 words for less for each product, what the products are or do. Directorio LDAP Sincronización De repositorios

4 ITDS – IBM Tivoli Directory Server
Disponible en mas sistemas operativos que ningún otro del mercado Construido sobre la base de datos mas rápida del mercado: IBM DB2 UDB v8.1. Muy rápido y escalable Completamente standard : Open Group – LDAP Certified Directory Server Directory Server This chart takes you, product by product, and simply states in 6 words for less for each product, what the products are or do. Directorio LDAP

5 ITDI – IBM Tivoli Directory Integrator
Un entorno de integración de datos de propósito general, en tiempo real y comandado por eventos. Directory Integrator Directory Server This chart takes you, product by product, and simply states in 6 words for less for each product, what the products are or do. Directorio LDAP Sincronización De repositorios

6 Problemática objetivo: Sincronización de directorios
Propagación de altas, bajas y modificaciones de cuentas de usuario entre directorios Cualquier escenario en que se necesite propagar datos entre repositorios heterogeneos Domino WAS App LDAP Siebel Directorio Activo ITDI Páginas Blancas App2 BBDD App1 BBDD

7 IBM Tivoli Directory Integrator: Componentes
Una GUI de desarrollo rápido, para la construcción y mantenimiento de las reglas de transformación, transporte y sincronización de datos Un servidor multi-threaded que ejecuta reglas y monitoriza eventos Una consola de administración MQ AIX ITDI Directory Main- frame Linux .net Web Services Database File Lotus Domino

8 IBM Tivoli Directory Integrator: Elementos Lógicos
AssemblyLine Conjunto de elementos que implementa el flujo de integración, basado en la configuración de sus componentes individuales: conectores, parsers, etc y la llógica que conduce el proceso EventHandler El paradigma evento-condición-acción permite al sistema responder a eventos predefinidos, en tiempo real Directory Event  RDBMS Connector Conecta con el dispositivo, aplicación, BBDD o sistema pertinente y realiza la acción requerida: búsqueda, iteración, borrado, modificación, etc LDIF file Parser Interpreta y transforma el flujo de datos en el formato deseado

9 IBM Tivoli Directory Integrator: Un ejemplo
Un usuario se registra en una APP que usa una BBDD SQL como repositorio de usuarios El mismo usuario, con un uid diferente, existe en una directorio LDAP. Queremos registrar al mismo usuario en un portal y necesitamos un formulario XML, con los datos de registro de la aplicación y algunos datos que ya están en el directorio LDAP Input BBDD, LDAP Output documento XML XML File XML Parser FileSystem Connector JDBC Connector LDAP Connector LDAP Directory SQL Database

10 Enterprise Single Signon Federated identity solutions
IBM Tivoli Directory Integrator: aplicable a escenarios sencillos o realmente complejos Source IDI Directory Applications Portals Enterprise Single Signon Federated identity solutions Target IDI Source Source Directory An example of the Directory Integrator interface. You can utilize pre-existing connectors to systems or build your own utilizing templates and tools provided. Source IDI IDI IDI Source IP,HTTP, FTP, , MQ,Web Services One IDI pings the other and takes over if it fails to respond

11 ITDI - Caracteristicas Fundamentales
Extremadamente Flexible Arquitectura de bloques de construcción que combina componentes standard y scripts de escasa complejidad Independiente de plataforma Soporta Unix, Linux, Solaris, NT , Windows, HP-UX, IBM AIX Pequeño y Escalable Compacto, multi-threaded & puede desplegarse en entornos distribuidos Basado en Standards XML, así como los formatos y protocolos standards para Internet, mensajería, LDAP, BBDD y web services standards Intuitivo y facil de usar Desarrollo de soluciones guiada paso a paso, con ciclos de desarrollo-prueba-despliegue Muy cortos Integración NO intrusiva Los conectores no afectan a los datos ni al flujo en en el origen

12 EXTREMADAMENTE FLEXIBLE
ITDI – IBM Tivoli Directory Integrator BAJO COSTE EXTREMADAMENTE FLEXIBLE NO INTRUSIVO . Directory Integrator Directory Server This chart takes you, product by product, and simply states in 6 words for less for each product, what the products are or do. Directorio LDAP Sincronización De repositorios

13 Aprovisionamiento y gestión de usuarios en la empresa
ITIM – IBM Tivoli Identity Manager Gestión integral de identidades, cuentas y contraseñas. Automatización de la gestión de su ciclo de vida. Auditoria y gestión de políticas de identidad Aprovisionamiento y gestión de usuarios en la empresa Identity Manager Directory Integrator Directory Server This chart takes you, product by product, and simply states in 6 words for less for each product, what the products are or do. Directorio LDAP Sincronización De repositorios

14 La gestión de identidades conecta personas con los recursos IT necesarios para ser productivos
Para cada usuario -> Conocer a que recursos tiene acceso Para cada recurso -> Conocer que usuarios son válidos Garantizar que una persona tiene acceso a los recursos que necesita y solo a los que necesita These are the problems that provisioning aims to solve. Do you know who the valid users are? What resources they are entitled to access? and Can you really control what resources that they actually can access? Text slide with large image

15 Problemática de Aprovisionamiento
Generación de Petición de acceso Los procesos de aprovisonamiento manual son lentos y mas propensos a la comisión de errores Nuevos Usuarios Cuentas Disponibles Administradores Crean cuentas Verficación del rol y políticas Why is this has become such a problem… Look at how people get turned on today… (walk through diagram) A user issues a request for an account. The request can be a paper request, request, phone call request, etc Hopefully someone is examining the business and security policies to determine if a user is actually allowed to have an account on the requested resource. But these policies are only in peoples heads. Usually, there is some kind of an approval process. Eventually the request gets to the IT department where it is dumped into a queue with all of the other requests. Most of the time, there is a different IT group for each different IT pillar within an organization (e.g. Windows, RACF, SAP, portal, Siebel, etc). When IT finally gets to the request, an admin sits at a proprietary console and turns on the user account. Creating or “turning on” an account means defining a userID, password, and the authorities of the account. Authorities are defined with something between 20 and 200 parameters that are specific and proprietary to the system where you are creating the account. In a typical organization, this process can take 5 days. In some organizations it takes 12. Others take as long as 3 weeks! As a general rule of thumb for how much this costs, 1 full-time equivalent administrator can handle approximately 300 people. This is a function that is usually spread across your staff. But it’s expensive, and it doesn’t work well. As additional people come to work for the organization and additional applications/resources are added, IT continues to add accounts. The other big problem is that this process does not go backwards. Companies have a very hard time trying to figure out what accounts any individual possesses. Think about it…after working for a company for a little while, people accumulate accounts – and they rarely give them up when they no longer need them. In order for a company to clear them out, the company must figure out which accounts you have. To do this the organization must manually print out accounts and try to decipher which userID is owned by which person. This is very expensive and most IT groups wait until an auditor nails them before they undertake the effort. The process often takes 5-7 days, how long does it take here? The third problem is that the employee is told to sit tight for a few days while their accounts are setup. In reality, the employee does not wait a few days. Instead, they ‘borrow’ accounts and credentials from someone else. They’ll borrow their boss’s account or co-worker’s account in order to become productive sooner. Now, we have a process problem that has turned into a security problem. Lets take a look at how we solve the problem. Asignaciónes Circuito de aprobaciones Text slide with large image

16 Necesidades Derivadas
Necesidad de auto-servicio para reducir/eliminar costes en el help desk Necesidad de conocer los permisos y derechos de acceso de todos los usuarios en las distintas plataformas y aplicaciones Necesidad de desactivar facil y rápidamente usuarios cuando dejan de pertenecer a la organización Necesidad de automatizar en el mayor grado posible, los procesos de alta de usuarios en las distintas plataformas y aplicaciones Necesidad de mantener un registro centralizado de los cambios en el tiempo de permisos y derechos de acceso de los distintos usuarios …

17 Tivoli Identity Manager facilita la gestión de identidades
Cambio en personal(add/del/mod) Sistemas RH/ Repositorios de Usuarios Evaluación políticas de acceso Circuito de aprobación Actualización cuentas Databases Operating Systems Applications Networks & Physical Access Detecta y corrige privilegios establecidos localmente Gestión de cuentas en 70 tipos distintos de sistemas, aplicaciones de negocio, portales, etc Aprovisionamiento basado en Politicas para toda la infrastructura IT Tivoli Identity Manager Let’s take a look at how TIM can automate the process. Usually the process starts because a store that has authoritative information about a user is changed – a new person is hired, someone leaves, a contractor or business partner is changed. TIM automatically monitors these types of changes and starts to adjust access rights for that individual. Some accounts might be automatic, say and an OS for all internal users. Others may be requested manually. Lets suppose a user manually requests access to RACF (Identity Change). The first thing that TIM does is take a look at whether or not that user is allowed to have access to RACF (Access Policy Evaluated) (I.e. do their job responsibilities require RACF?). If the user is allowed access to RACF, then the request is sent for approval (Approvals gathered) maybe the user’s direct manager has to approve the request, maybe the business unit that owns the mainframe has to approve the request. Once the necessary approvals have been gathered, TIM will do everything necessary to create the RACF account in its entirety (accounts updated). The important thing to remember is that the provisioning process does not stop with the creation or modification of the account. You need to be able to detect and correct changes made by a local administrator (I.e the local RACF admin). What happens if the RACF admin grants the user additional privileges, or maybe removes some privileges? Now the user has too much access, or not enough! TIM can detect the changes made by a local administrator. Once those changes have been detected, TIM can immediately take one of three actions: accept the changes, rollback the account to its proper state, or suspend the account for further review. Not all systems need the same levels of control. If it’s a mission critical system (such as accounting in most companies, product plans for manufacturers, patient records for healthcare providers, client financial systems for banks, etc) where espionage or breach could be fatal to your company, the you want to ensure the system are locked down tight and no one can subvert the process without you knowing. But other systems aren’t so critical, maybe you don’t care so much about access rights controls over or the software development labs. In these, it may be desirable just to keep track of local changes so you have a clean, central audit trail. It is this closed-loop function the separates TIM from the competitors. TIM can either be the system of record, or can track an end-point as the system of record. TIM can deal with each system individually because different systems have different management needs. Text slide with large image

18 IBM Tivoli Identity Manager – Retorno de la Inversión
Disminución de costes de administración Mejora de los tiempos de respuesta y niveIes de disponibilidad/productividad Soporte de políticas y normativas relacionadas con la gestión de usuarios Incremento de la Seguridad

19 Reducción Costes Administración
Automatización de la gestión de los privilegios y atributos de los usuarios y la eliminación de errores en los procesos …Generación, actualización y eliminación automática de privilegios y derechos de acceso Proceso manual: Lento, propenso al error ITIM

20 Reducción Costes Administración
Autogestión de Contraseñas. Disminución de costes de Help-desk y mejora del servicio para el usuario final Auto servicio de reset de contraseñas en todos los sistemas Sistema de preguntas-reto para la recuperación de contraseñas Sincronización de contraseñas e IDs Verificación de políticas de contraseña Up to 50% of all help desk calls are related to password resets - Gartner 1 2

21 Administración Delegada
Reducción Costes Administración Administración Delegada Centralización donde tiene sentido: (80% de los casos) Políticas Corporativas Tareas comunes de administración Delegar el control al responsible específico en áreas específicas Dominios, aplicaciones concretas, etc Recursos Corporativos Finanzas IT Ventas Workgroup Administrator Workgroup Administrator Workgroup Administrator Redes Network Administrator

22 Mejora Tiempos Respuesta
Respuesta rápida a peticiones temporales de acceso y revocación automáica Cuenta Usuario nuevo / Auto-Registro Proceso definido por la compañia Notif. Crea Acceso temporal a la red para un proveedor Añade Politica Rol Re-certificación de la necesidad Borra Usuario Modifica Ext Sys Tivoli Identity Manager Workflow

23 Incremento seguridad Identificación de “cuentas huerfanas” relacionando personas con cuentas de usuario automáticamente Entre el 30% y el 60% de las cuentas en un sistema son huerfanas Gartner Group Fuente Autorizada de identidades (Habitualmente RRHH) Cuentas TIM Repositorio identidades jcd0895 jdoe03 Sarah_s4 TIM permite ignorar, borrar, deshabilitar automáticamente o implementar un workflow para tratar las cuentas huérfanas Aplicaciones de negocio nbody John C. Doe Sistemas Control Acceso ackerh05 Sarah K. Smith doej smiths17

24 Sistemas Control Acceso
El Proceso de reconciliación identifica las cuentas que no se ajustan a las políticas definidas Incremento seguridad Cuentas jcd0895 jdoe03 Sarah_s4 Aplicaciones de negocio Politicas John C. Doe RECONCILIACIÓN Sistemas Control Acceso Sarah K. Smith doej smiths17 TIM permite ignorar, borrar, deshabilitar o corregir automáticamente o implementar un workflow para tratar las cuentas que no se ajustan a las políticas definidas

25 Recordatorios de expiración de contraseñas
Automatización de la expiración de contraseñas y politicas recertificación de cuentas integradas con el workflow y los mecanismos de notificación Incremento seguridad Cambio de contraseña -o- Bloqueo de cuenta Identity Manager Recordatorios de expiración de contraseñas Renovación de cuenta -or- Negación de acceso Disparador de Politicas: Fecha Antiguedad Cambio en un atributo Combinación de las anteriores Workflow de re-certificación

26 Soporte Regulacion Normativas
Repositorio Centralizado de de identidades y cuentas Facilitador para el despliegue de políticas corporativas Soporte Regulacion Normativas Repositorio centralizado con los datos de identidad y cuentas de las personas de la identidad. Auditoria de privilegios Facilitador para el despliegue e imposición de políticas Registro de las operaciones de administración. Auditoria de operaciones Informes Admin Identity Manager Marca/Corrige/Suspende Databases Databases Applications Networks Fuentes Autorizadas de Identidades Admin Local Compara privilegios actuales con politica

27 Soporte Regulacion Normativas
Simulación de políticas y ejecución en modo borrador. Conocer el impacto de la política antes de desplegarla Soporte Regulacion Normativas

28 Obtención rápida de informes
Soporte Regulacion Normativas Obtención rápida de informes Informes predefinidos o generados por el administrador Visión centralizada de personas y privilegios Control de derechos de acceso por persona Control de derechos de acceso por recurso Informes en formato Acrobat Soporte e Integración de Crystal Reports

29 IBM Tivoli Identity Manager Extremadamente Flexible, cada operación concebida como un workflow modificable

30 IBM Tivoli Identity Manager Facilmente integrable, APIs Java de operación y administración permiten la integración con otros sistemas Portal Corporativo Aplicación Específica de aprovisionamiento Peticiones Aprovisionamiento Account mgmt Password sync Correo Identity Manager Call Centers Password resets Sistemas Help Desk

31 IBM Tivoli Identity Manager Arquitectura escalable
Alta Disponibilidad, multi-server Single server

32 IBM Tivoli Identity Manager Amplia cobertura de Agentes
Cisco ACS Clarify eFrontOffice* Documentum* Lotus Notes* MS-Exchange* Novell e-Directory* Novell GroupWise* Oracle E-Business Suite PeopleSoft Peregrine ServiceCenter SAP EP6 SAP R/3* Siebel Applications & Messaging Operating Systems Authentication & Security HP/Compaq Tru64 HP-UX IBM AIX IBM AS/400 OpenVMS RedHat Linux Sun Solaris SuSE Linux Windows 2000* Windows NT* CA - ACF2 CA - Top Secret Entrust PKI Entrust getAccess MVS RACF Netegrity SiteMinder Oblix NetPoint Remedy* RSA ACE/Server RSA ClearTrust Tivoli Access Manager* CLI-X LDAP-X* - Critical Path Injoin - IBM Directory Server - Oracle OID - Sun iPlanet Directory RDBMS-X* Universal Provisioning Agent* Universal Family IBM DB2/UDB* Informix* Oracle 8/8i/9i* SQL Server* Sybase* Teradata DBMS* Database Design Characteristics: Secure Bi-directional Firewall friendly * Offers remote operation

33 TIVOLI IDENTITY MANAGER
POTENTE FLEXIBLE ESCALABLE INTEGRABLE Identity Manager Directory Integrator Directory Server

34 También disponible TIM Express
Instalación mas simple, despliegue mas rápido Numero de usuarios limitado a 5000 Incorpora “best-practices” Especialmente orientado a pequeña mediana empresa TIM TIM Express Pwd Mgt Req Prov RBAC Closed Loop Reporting APIs Clustered Pwd Mgt Req Prov RBAC Closed Loop Reporting APIs Clustered Windows/Linux on IA32 DB2 Express IDS ITDI Pwd Mgt Req Prov Reporting WAS Express Other Adapt-ers Win,Linux,Aix,Sun,HP… Win,Linux,Aix,Sun,HP… Failover ITDI Other Adapt-ers LDAP RDBMS Other Adapt-ers Win,Linux,Aix,Sun,HP… Win,Linux,Aix,Sun,HP…

35 TIM versus TIM Express TIM Express TIM 4.6
Arquitectura y configurabilidad Servidor único, no clustering Instalación simple Clustering, Arquitectura flexible, múchas opciones de configuración Aprovisionamiento Políticas Auditoria Customization Autoservicio y aprovisionamiento bajo demanda. Des-aprovisionamiento manual Recertificación para detectar y desactivar cuentas no acordes Reports standard Limitada, incorpora best practices Aprovisionamiento y des-aprovisionamiento bajo demanda y automático, basado en roles Identificación, corrección y/o des-activación automática de cuentas no-acordes, Worlflow de recertificación. Reports a medida integración Cristal Reports Workflows modificables, APIs de integración Escalabilidad Max 5,000 usuarios Capaz de gestionar cientos de miles Plataformas Linux y Windows en xSeries Windows, Linux,Aix,HP, etc

36 Control de Acceso y Enterprise SSO
ITAM – IBM Tivoli Access Manager Una suite para el logón único de usuario a todo tipo de aplicaciones y el control de acceso Control de Acceso y Enterprise SSO Aprovisionamiento y gestión de usuarios en la empresa Identity Manager Access Manager Directory Integrator Directory Server This chart takes you, product by product, and simply states in 6 words for less for each product, what the products are or do. Directorio LDAP Sincronización De repositorios

37 TAM–ESSO -> Logon unico a todo tipo de aplicaciones
Simplificación de la experiencia del usuario final, El usuario se autentica una sola vez, T-ESSO responde (autentica al usuario) a los sistemas finales cuando el usuario accede un recurso que solicita autenticación. Network Sign-on Sign-on

38 Tivoli Access Mgr for Enterprise Single Sign-on
Implementa el login y cambio de contraseña para todo tipo de aplicaciones Web, Java y de terminal. No require modificaciones en los sistemas finales => despliegue rápido y no intrusivo. Se soportan distintos tipos de autenticación primaria (la única que realiza el usuario): basada en el logon de Windows, smart cards, dispositivos biométricos, certificados digitales, etc. Generación automática de contraseñas y soporte de políticas de contraseña. Soporta distintos modos de operación: connectado, desconnectado, multi-puesto y modo “kiosko” Sincronización inteligente de credenciales con repositorio central o token. Credenciales cifradas en todo momento, permitiendo seleccionar el algoritmo (3DES, AES etc.), solo la credencial utilizada se desencripta en le momento de ser utiizada.

39 Administration Console
Componentes básicos Administration Console Agente Local - Desktop SSO Agent Sync Push Repositorio Central

40 Tivoli Access Manager for eBusiness

41 Seguridad en Aplicaciones Web — Modelo Corportaivo
Best Practice: Mover la autenticación y la autorización a la “frontera exterior” de la red Aplicaciones protegidas por dispositivos de seguridad perimetral Un único punto de acceso a las aplicaciones corporativas

42 Con Tivoli Access Manager
Beneficios del modelo de servicios comunes de Seguridad Modelo Habitual Seguridad embebida en cada aplicación Las políticas de acceso neceista actualizarse en múltiples repositorios Login independiente a cada aplicación Con Tivoli Access Manager Servicios comunes de seguridad, separados de las aplicaciones Administración comun y delegable Single sign-on

43 C Autenticación múltiples opciones de Web SSO: iv-user HTTP Header
ID Please enter your ID and password Login Password & more múltiples opciones de Web SSO: C Access Manager iv-user HTTP Header basicauth HTTP Header Forms-based SSO Lightweight Third-Party Authentication (LTPA) Trust Association Interceptor GSO Junction Desktop SSO with initial sign-on to MS NTLM/Kerberos SECURID Soporte de multiples metodos de autenticación

44 Modelo de Autorización
User Registry Policy Server Objects/ Rules Input: Identidad Objeto accedido Acción Resultado: Permitido No permitido Requester Policy Enforcer Target

45 Modelo de autorización. Espacio de Objetos Protegidos
1 2 3 4 5 6 7 9 8 An ACL Template can be attached to more that one object in the namespace – in fact the whole point of having ACL templates is that they can be used multiple times thereby reducing administrative overhead. Conversely, only one ACL Template is ever in effect on any given object. This means there is never any ambiguity over what actions can be performed on an object. The ACL that is in effect on an object is either the ACL attached to that object or the ACL in effect on its parent. Effectively this is the first attached ACL found when travelling up the object hierarchy towards the root. In the diagram above the filled boxes represent an object with an ACL attached to it. The numbers show which ACL is in effect.

46 Autorización. Tipos de control
Request “Deny” “Deny” “Permit” / “Deny” no no permit deny ACL Satisfied? POP Satisfied? Rule Decision? yes yes Is Fred (in “Technical Sales” group) allowed to access specs? Is the access request happening at an allowable time of day or day of the week? Do one or more dynamic variables satisfy an established rule? Rules engine adds a 3rd type of policy to Tivoli Access Manager. In addition to ACLs and POPs, there is the ability to attach an XML-like statement to an object and have that statement be factored into the authorization decision. This essentially establishes TAM as truly rules-based, and this capability can greatly reduce the need to defined many groups, because distinctions among users/groups can be established via these rules. The standard for how to do Boolean logic in XML is XSLT, and TAMeb’s implementation of the rules engine is based on XSLT. Additional examples: Allow access only after a number of checks against customer’s contract Allow access if the manager is on the “Hot Team” project? EJEMPLO: Permitir solo a los nuevos clientes Permitir solo a clientes con límite de crédito > 10,000 € Protected Objects a t c h IF fecha alta > 10/10/2005 THEN Permit Access IF credit limit > $10,000 THEN Permit Access

47 TAMeb & TAM-ESSO TAMeB (Internet, extranet, intranet)
SSO, autenticación y administración centralizada del control de acceso a Apps Web TAM-ESSO (Intranet) SSO a todo tipo de aplicaciones, incluyendo TAMeB TAMeb and TAM-ESSO utilizan el mismo directorio de usuarios TAM-ESSO enabled desktops Extranet User Enterprise TAM for e-business provide fine grained authorization and entitlements; code the ACL in TAMeb and it is used by over 100 web apps. TAM for ESSO is simply a password cache, stores the passwords for all the applications to allow enterprise single sign-on. (Internal) TAMeb proxies and/or plug-ins Firewall LDAP LDAP Trusted Network Internet Load External Balancer Web Servers Load Balancer User Internet TAMeb Proxies Internal (External) Users Firewall TAM Policy Server

48 Tivoli Identity Manager
Integración TAMeB - TIM usuario final Tivoli Access Manager Autenticación, Web SSO y Control de acceso App App App App Autoservicio de contraseñas Administrador Tivoli Identity Manager Aprovisionamiento y gestión de usuarios

49 TIM & TAM-ESSO Gestión de la cuenta ESSO
Carga del repositorio ESSO con las credenciales de las cuentas creadas desde TIM Los cambios de contraseña realizados desde TIM se comunican al rpositorio ESSO Single Sign On TAM for ESSO Windows Provisioning Adapter Directory SAP IBM Tivoli Identity Manager Database Once TAM for ESSO and the Provisioning Adapter are installed, all user applications provisioned through IBM Tivoli Identity Manager are single sign-on enabled automatically as part of the user provisioning process. The process of populating user provisioned accounts: IBM Tivoli Identity Manager provisions the user’s TAM for ESSO account IBM Tivoli Identity Manager provisions the user’s other application accounts, for example their Linux account Using the TAM for ESSO integration, the SSO credentials for each of the user’s provisioned applications are passed through to TAM for ESSO and are stored in the datastore Users login to the system with their usual Windows login credentials Thereafter, TAM for ESSO handles all their application logins automatically. Once the user logs onto the network, TAM for ESSO ‘watches’ for SSO-enabled applications. When a SSO-enabled application is detected, TAM for ESSO will: retrieve the credential set from the directory enter the credentials into the login dialog log into the application TAM for ESSO detects when a password is changed by an IBM Tivoli Identity Manger user and will pass the change through to TAM for ESSO to be included in the datastore. TAM for ESSO, through the Desktop Password Reset Adapter, can also be configured to handle password changes made on the user’s workstation. Mainframe Las cuentas creadas desde TIM, están habilitadas automáticamente para ESSO Custom

50 TAM for ESSO & the Desktop Password Reset Adapter
TIM permite el reset de la contraseña primaria de ESSO, o de cualquier otra contraseña gestionada Through TAM for ESSO, Desktop PW Reset allows password reset directly from locked workstation TAM for ESSO & the Desktop Password Reset Adapter Reset de contraseña de TAM-ESSO Windows Directory IBM Tivoli Identity Manager IBM Tivoli Identity Manager SAP Once TAM for ESSO and the Provisioning Adapter are installed, all user applications provisioned through IBM Tivoli Identity Manager are single sign-on enabled automatically as part of the user provisioning process. The process of populating user provisioned accounts: IBM Tivoli Identity Manager provisions the user’s TAM for ESSO account IBM Tivoli Identity Manager provisions the user’s other application accounts, for example their Linux account Using the TAM for ESSO integration, the SSO credentials for each of the user’s provisioned applications are passed through to TAM for ESSO and are stored in the datastore Users login to the system with their usual Windows login credentials Thereafter, TAM for ESSO handles all their application logins automatically. Once the user logs onto the network, TAM for ESSO ‘watches’ for SSO-enabled applications. When a SSO-enabled application is detected, TAM for ESSO will: retrieve the credential set from the directory enter the credentials into the login dialog log into the application TAM for ESSO detects when a password is changed by an IBM Tivoli Identity Manger user and will pass the change through to TAM for ESSO to be included in the datastore. TAM for ESSO, through the Desktop Password Reset Adapter, can also be configured to handle password changes made on the user’s workstation. Database Reset de contraseña de cualquier sistema gestionado Mainframe Custom

51 Integración TAM-ESSO,TAMeB y TIM
Desktop PW Reset Adapter TAM-ESSO Console TAM-ESSO Provisioning Adapter TIM Directory/ DB Password TAMeB TAM for ESSO Core PKI Sign Windows On TAM for ESSO Authentication Adapter User Web sites Biometrics TAM for ESSO Kiosk Adapter Sign Mainframes SECURID Off Token/ smart card Autenticación Desktop de Usuario Aplicaciones = Powered by

52 Familia Tivoli Access Manager
SSO PARA TODO TIPO DE APLICACIONES ADMINISTRACIÓN CENTRALIZADA DEL CONTROL DE ACCESO PARA APLICACIONES WEB AUTENTICACIÓN FUERTE TOTALMENTE INTEGRADO CON TIVOLI IDENTITY MANAGER Identity Manager Access Manager This chart takes you, product by product, and simply states in 6 words for less for each product, what the products are or do. Directory Integrator Directory Server

53 ITPM – IBM Tivoli Privacy Manager
La infraestructura necesaria para verificar el cumplimiento de la LOPD Autenticación, Autorización y Web SSO Control de entrega de datos personales Aprovisionamiento y gestión de usuarios en la empresa Identity Manager Access Manager Privacy Manager Directory Integrator Directory Server This chart takes you, product by product, and simply states in 6 words for less for each product, what the products are or do. Directorio LDAP Sincronización De repositorios

54 Que distingue a Tivoli Privacy Manager?
Control de Acceso Control de Entrega Que datos quieres utilizar? Con que propósito (App) ? Ha aceptado la persona registrada? Auditar: que datos se han entregado, a quien, para que Controles de entrega Controles de Acceso Quien eres? A que grupos perteneces? Estas autorizado a acceder a este recurso Auditar: login, quien y cuando Credentials for “Business Processes” as opposed to People Authorizes access to data by PURPOSE Simplifies rules for data access (1 role can have many purposes associated with it) Ties IT controls with business logic Note that a key point here in distinguishing access control from privacy disclosure control is that the disclosure part cannot happen until the access part completes (successfully). Control de entrega El usuario puede estar autorizado a acceder a una aplicación, pero puede no estarlo a acceder a ciertos datos. Se pueden aplicar políticas antes de que los datos sean entregados a la aplicación Es posible auditar el “path de entrega de los datos”

55 Que Hace Tivoli Privacy Manager?
Usiario Externo “Data Subject” Proporciona Info. Personal Accesde Info. Personal Usuario Interno “Data User” Privacy Manager ® Monitor 2 data store aplicación Audita Conformidad con la Politica 4 Aplica politica a los datos 3 Privacy Manager® Generación Informes 5 Editor Politicas 1

56 Tivoli Federated Identity Manager
La solución para la gestión completa del ciclo de vida de usuarios en el seno de una federación Cross-Domain SSO y Seguridad para Web Svcs. Autenticación, Autorización y Web SSO Control de entrega de datos personales Aprovisionamiento y gestión de usuarios en la empresa Federated Identity Manager Identity Manager Access Manager Privacy Manager Directory Integrator This chart takes you, product by product, and simply states in 6 words for less for each product, what the products are or do. Directory Server Directorio LDAP Sincronización De repositorios

57 Problemática -> Interoperabilidad, gestión de identidades y logón único a recursos de distintos propietarios Suppliers Socios Proveedores Terceros Service Provider/ Aggregator Distribuidores No hay mecanismos standard para establecer relaciones de confianza con terceros Esa carencia implica la replicación de la información de usuarios/cuentas Gestión ineficiente y costosa de las identidades Problemas de seguridad y privacidad -> inhibidores del negocio

58 Solución => Federación de identidades
Un conjunto de acuerdos tecnológicos y de negocio que permitirán que un usuario de una de las partes participantes en la federación pueda acceder a recursos de otro de los participantes de forma transparente, en un entorno seguro y de confianza El proceso de relacionar distintas identidades, gestionadas por entidades independientes, en general, con un único usuario final Company A Identity 1 Company B Identity 2 Company C Identity 3 User Company D Identity 4

59 Escenarios de aplicación: Fusiones, Adquisiciones, etc
Crecimiento no orgánico de la compañia Products & Services Portal Clientes Empresa A Products & Services Portal Clientes Empresa B Products & Services Clientes Empresa A Integrated Portal Clientes Empresa b Products & Services

60 Escenarios de Aplicación: Interoperabilidad entre unidades de negocio independientes
Identity Provider Identity Provider Provider Provider Users Business Unit Business Unit Users Cross-BU Access Identity Provider Identity Provider Provider Provider Users Business Unit Business Unit Users SOAP/HTTP Federation de identidades para acceso a recursos distribuidos por las distintas unidades de negocio

61 Escenarios de Aplicación: Portales de negocio, SSO a/para/entre Socios y Proveedores, Portales del empleado con acceso a recursos prestados por Terceros Products & Services Employee or Sales Portal Products& Services Direct Customers Products& Services

62 Propuesta de Valor de la Federación de Identidades
Partner Third Party Simplifica el proceso de integración Reduce de los costes de Gestión de Identidades Mejora de la experiencia del usuario final Proporciona Control y auditabilidad Crecimiento nº clientes potenciales Facilitador del negocio en red: seguridad, privacidad Third Party User Portal User Pension Holder Company A Company C HR Provider Stock Options Company B

63 Roles en la Federación: Identity Provider y Service Provider
Parte “garantizadora” en la transacción Parte “que valida” en la transacción Service Provider Identity Provider CONFIANZA Mutua Proporciona credenciales en la Red/Login. Gestiona la administración de IDs de Usuario Autentica al usuario “Garantiza” la identidad del usuario Controla el acceso a los Servicios El usuario tiene acceso a los servicios durante el período de duración de la federación Solo gestiona atributos del usuario relevantes al SP

64 Vista de la federación desde el Identity Provider
Service Provider Service Provider Federation Service Provider Service Provider Identity Provider Identity Provider Sign-On Service Provider Service Provider Service Provider Service Provider

65 Vista de la federación desde el Service Provider
Identity Provider Federation Identity Provider Service Provider Identity Provider Identity Provider

66 Funcionalidad a alto nivel de TFIM
Permite desempeñar los roles de Proveedor de Identidades y Proveedor de Servicios en el seno de una Federación y proporciona la Gestión del Ciclo de vida del “Usuario Federado” Single Sign On, Single Sign Off, Account Linking, Account De-linking, Identity Provider determination (WAYF) Proporciona funciones de Gestión de la Seguridad para Web Services Authenticación y Autorización de las peticiones a Web Services Proporciona funciones de Gestión del aprovisionamiento de Ususarios Federados Aprovisionamiento de usuarios y datos de usuarios (atributos, suscripciones …) ENTRE MIEMBROS DE LA FEDERACIÓN

67 TFIM Soporta los tres estándares del mercado
HTTP SSO (SAML protocol) Identity Federation Mgt (SAML protocol) ID Management para Federated Web Services (HTTP and SOAP-based SSO) SAML (Passive) Liberty (Passive) WS-Federation (Passive,Active) Single Sign On Single Sign Off Account Linking, De-Linking Identity Provider Determination Single Sign On/Off Identity Provider Determination Single Sign On HTTP Federation

68 Gestión del Cliclo de vida del Usuario Federado, algo más que Single Sign On
Single Sign On es solo una parte de la gestión del ciclo de vida TFIM tambien proporciona Single Logout Elimina las sesiones de SSO establecidas en la federación Identity Provider Determination Soporta Protocolos “Pull” – permite que el SP “encuentre” el IDP del usuario Account Linking (empleando Alias) Proporciona a las dos partes una forma común de referirse a un usuario Habilita Single Sign On con privacidad Account DeLinking Deshabilita el SSO Sin una referencia común de usuarios, no es posible realizar SSO

69 TFIM Web Services Security Management
Web Service Security Handler WebSphere or WS Gateway WebSphere Admin SOAP Request Security Token TAM Admin SOAP Request Security Token Deployment Descriptor Extensions WS Security Binding FIM JAAS Login /WebServices /Service Address-1 TAM Protected Object Space T1  WS-Trust /Service-1 FIM Admin T2 client local Authorization /operation /Service Address-2 WebSphere FIM Trust Service Local Credential TAM User Directory XSL Mapping Rules

70 Gestión de Seguridad en Web Services
Gestión de Tokens Validación de tokens (soporte de múltiples formatos de token) Identificación del cliente web service especificado en el Security Token Mapeo de Identidades Asocia la identidad remota (en el token) a una identidad local (servidor) Obtiene credenciales para la identidad local. Gestión de Autorización Aplica políticas de control de acceso a la petición Web Services. Decisión de autorización basada en las credenciales locales

71 Aprovisionamiento Federado
Nuevo Empleado Aprovisionamiento Federado Aprovisionamiento Portal Empleado HR Admin Aprovisionamiento Local Proveedores de servicios Socios Suministrador

72 Desde el punto de vista de negocio TFIM…
Facilita una “Arquitectura Orientada al Servicio” Permite ofrecer servicios, de forma segura a todos los usuarios de la federación Mejora la experiencia de usuario proporcionando Logón Unico, Rebaja los costes de Gestión de Identidades Solo los “Identity Providers” gestionan información de autenticación Los “Service Providers” gestionan solo información relevante a su servicio Proporciona Automatización de las funciones de Aprovisionamiento entre compañias Aprovisionamiento de Identidades, atributos y servicios

73 Desde un punto de vista técnico TFIM…
Simplifica la administración de identidades federadas ( gestión del ciclo de vida) y proporciona funciones adicionales a la de Logón Unico: WSSM y WS-Provisioning Soporta múltiples standars y proporciona una gran interoperabilidad Está basado en productos y tecnologías IBM de probada solvencia en múliples instalaciones

74 TIVOLI FEDERATED IDENTY MANAGER
MUCHO MAS QUE SSO FEDERADO SOPORTE DE MULTIPLES STANDARD COMPONENTES TEGNOLOGICOS DE PROBADA SOLVENCIA Federated Identity Manager Identity Manager Access Manager Privacy Manager Directory Integrator Directory Server

75 Control de Acceso y Enterprise SSO
Catálogo Integrado de IBM para la gestión de identidades Control de Acceso y Enterprise SSO Cross-Domain SSO y Seguridad para Web Svcs. Control de entrega de datos personales Federated Identity Manager Aprovisionamiento y gestión de usuarios en la empresa Identity Manager Access Manager Privacy Manager Directory Integrator Directory Server This chart takes you, product by product, and simply states in 6 words for less for each product, what the products are or do. Directorio LDAP Sincronización De repositorios

76 Security Policy Enforcement Vanguard Communication Services
VANGUARD SOFTWARE zSeries Server Common Enablers Administrator Advisor Analyzer Enforcer SMF Common Services Security Server (RACF) Operating System Logging & Audit RACF Administration Reporting & Detection System Integrity & Analysis Security Policy Enforcement Vanguard Communication Services GUI SecurityCenter Windows-based GUI to RACF Administración avanzada de RACF y Herramientas de Gestión de Políticas en z/OS

77 Vanguard Administrator
Herramientas de administration, data mining, reporting and analisis para RACF Vanguard Administrator Detección de eventos, analisis, generación de alertas en tiempo real y reporting Vanguard Advisor Un sistema de asesoramieno, identificación de riegos y análisis de amenazas. Vanguard Analyzer Una solución de detección y gestión de intrusión en z/OS. Vanguard Enforcer Vanguard SecurityCenter Una interface windows interface al zSeries Security Server de IBM.

78 Vanguard Administrator – Simplifica la administración de RACF
Vanguard Advisor – Facilita la generación y distribución de Informes detallados , genera alertas en tiempo real Vanguard Analyzer – Facilita la auditoria del z/OS, no solo de RACF Vanguard Enforcer – Un gestor e impositor de políticas en tiempo real para el z/OS Vanguard SecurityCenter – Un entorno gráfico mas amigable y facil de usar para el RACF

79 Preguntas …..