Gunnar Kartman, Karlstad kommun - KommITS

Identiteter och åtkomst
på ett
säkert sätt
IAM i Karlstads kommun
Gunnar Kartman
IT‐arkitekt
2008‐11‐10

Identity & Access Management IAM –presentationen
• Hur definierar vi IAM?
Identiteter och åtkomst
på ett
säkert sätt
• Den tekniskt inriktade starten och hur utvecklingen har drivits
framåt
• IAM:s betydelse för leveransen av IT‐tjänster
• Framgångsfaktorer för en effektiv IAM
• IAM‐processerna och förvaltning av IAM
• Framtida utveckling – svagheter och utmaningar

Karlstad
Värmland:
Karlstad:
280.000
84.000

IT‐enheten i siffror
• 7 000 anställda i kommunen
• Våra kunder är 8 egna förvaltningar, 6 kommunala bolag,
Region Värmland och 12 kommuner i Värmland.
• 48 anställda
• 95 miljoner i omsättning
• 37 500 aktiva konton i katalogtjänsten
• 6 000 arbetsstationer
• Verksamhet på 260 platser
• 200 servrar i vårt Data Center (130 virtualiserade)
• ca 1 000 applikationer/system
• Service Desk har under senaste året hanterat 32 000 ärenden

Hur definierar vi IAM?
Verksamhetens och IT:s processer i samverkan för
en gemensam hantering av identiteter och åtkomst
till IT‐infrastruktur och verksamhetssystem.
I likhet med andra tillämpningar sker detta med ITteknologin
som verktyg.
IAM är långt ifrån bara en fråga för IT!

IT i skolan kickade igång det hela…
•ITIS‐pengarna 2000/2001
•Klara mer med samma resurser…
•…men projektet drevs av
tekniker…
•…och man insåg inte vikten av att
förvalta katalogtjänsten som ett
system…
•Oklart tänkande kring processer

En ”riktig” metakatalog
Elevsystem
(IST Extens)
Access
EDU
(eDirectory)
Gruppprogramvara
EDU
(Lotus Notes)
Metakatalog
(eDirectory)
• Koncernbeslut att använda Lotus Notes
•Mars 2003 – förstudie 1 med teknisk
inriktning mot att hantera beslutet
• Stabilitetsproblem – Windows 2000
Server backades till SLES 8
• April 2004 – förstudie 2 expanderade
scopet till ett helhetsgrepp

Metakatalogen
• Katalogen är ett integrationsnav som synkroniserar
personuppgifter för identitetshantering, grupprättigheter
(sec), applikationsobjekt och applikationsrättigheter
• Enskilda användare tillåts inte logga in mot metakatalogen.
Endast kontrollerade systemintegrationer accepteras
•LDAP 3 möjliggör standardiserad kommunikation mellan
system, vilket bland annat innebär att verksamhetssystem
kan autentisera användare direkt mot metakatalogen om
det anses lämpligt
• Metakatalogen har organiserats i en del för metadataobjekt,
och en del för systemobjekt för ökad säkerhet och
prestanda. Strukturen är platt. Katalogens struktur återger
inte organisationens struktur. Istället lagras organisatoriska
uppgifter i objektens egenskaper
•De kataloger som baseras på eDirectory synkroniserar
lösenord genom Novell Universal Password

Metakatalogen
Personobjekt
Kategoriobjekt
(Anställda/
förtroendevalda)
Kategoriobjekt
(Studerande)
Kategoriobjekt
(Medborgare)
Kategoriobjekt
(Externa)
Genom katalogens uppbyggnad kan en enda person –
identifierad via personnumret –vara anställd i Karlstads
kommun (en eller flera förvaltningar/bolag), anställd på
Region Värmland, studera på Komvux, och registreras
som medborgare (kommun/riket) med olika intressen
inom kommunen.

Ny version av integration EDU
Access EDU
eDirectory
SamPL
EDU
Domino
Elevsystem
IST Extens
Portwise
eDirectory
Metakatalog
eDirectory
Paket A
Leverans av den nya versionen av skolintegrationen
skedde vecka 40/2006.
Den tidigare versionen hade vi kört sedan 2001. Den
omfattade IST Extens, dåvarande inloggningskatalogen
för skolnätet (EDU), och en integration till
GroupWise. Dessutom fanns en koppling till ett AD för
att täcka vissa behov.
Resurskatalog
eDirectory
Delegerat
gränssnitt
NEIDM

Integration ADM
Portwise
eDirectory
Elevsystem
IST Extens
HR
eCompanion
Paket B
Access EDU
eDirectory
Metakatalog
eDirectory
Access ADM
eDirectory
Den administrativa integrationen påbörjades
vecka 49/2006 och sluttestades under
november 2007.
SamPL
EDU
Domino
SamPL
ADM
Domino
Paket A+B leveransgodkändes i december
2007.
Resurskatalog
eDirectory
Inloggningskatalogen för det administrativa
nätet (ADM) sattes upp så tidigt som
1995/1996.
Delegerat
gränssnitt
NEIDM

Helheten så långt…
Metakatalog
eDirectory
Elevsystem
IST Extens
Resurskatalog
eDirectory
HR
eCompanion
ESB/SOA
Radiusserver
Portwise
eDirectory
ADM
Access
eDirectory
EDU
Access
eDirectory
SKIP
Domino
Samarbetsplattform
Domino
CMS
Symfoni
Terminal
services
Delegerat
gränssnitt
NEIDM
Elevsystem
IST Dexter
ITSM
processverktyg
Touchpaper
ITBM
Ärendehantering
Formpipe
W3D3
Novell
ZENworks
10
Automatisk
beställnings
rutin
Trafikloggning
WebSense

Teknisk plattform
•Novell eDirectory 8.7/8.8
•Novell Identity Manager 3.01
• Nordic Edge Identity Manager 3 (3.6)
• Suse Linux Enterprise Server 8/9
•Novell OES II SLES 10
• Pulsen SnapShot Connector (Windows 2003 Server)
• Backup per objekt genom Novell OES i NetWare 6.5
• Blackbird DeTroubler
•IBM Tivoli Storage Manager
•IBM HS20 Blade / VMware (endast Portwise eDirectory)
•HP Proliant 380

IAM står i centrum!
Vardagen hänger på att IAM fungerar. Vi har
hunnit längre på IM‐ än AM‐sidan, och automatik
är bra men...
Så gott som samtliga större IT‐projekt kräver
involvering av IAM.
IAM blir allt viktigare – eFörvaltning / vård och omsorg.

IAM ‐ framgångsfaktorer
•Verksamhetens och IT:s processer i samverkan
•Påsikt –en sammanhållen förvaltning av verksamhetssystemen
(IS/IT). Mer behov av automatik ökar förekomsten
av integrationer, och därmed behovet av kontroll
•Stabil teknisk plattform med dynamiska egenskaper och
funktioner för loggning och analys
•En effektiv förvaltningsmodell
• Kontroll på ändringar genom ITIL:s processer
• Accessmetoder som har rätt säkerhetsnivå för respektive
ändamål, speciellt i samband med SSO
• Förmåga att säkert kunna hantera skyddade identiteter

Gemensamma processer

IT:s processer
Strategin definierar
ändringshanteringens
mekanismer
Kontrollerat
införande
genom
Change & Release
Management
Här samlar vi upp
ändringsbehovet
Drift och förvaltning
av IAM
Nya och förändrade
behov hanteras
i design‐ och avtalsprocesserna

IAM förvaltning
Server Management
Network Management
Två heltider i
förvaltningen
Directory Services Management
AFS/pm3 (förenklad)

IAM förvaltningsaktiviteter 2008‐2009
• Slutföra kvalitetssäkring av regelverk
• Etablera processen för Identity & Access Management
• Utveckla förvaltningsmodell – AFS/pm3 (förenklad)
• Etablera av Release‐cykler
• Kvalitetsäkra personuppgifter
• Etablering av kortlösning med SITHS och SSO
• Struktur och rollutredning –”vem är chef för vem?”
•Självadministration och självservice – vidareutveckling

Svagheter och utmaningar
• Traditionella punkt‐till‐punkt‐integrationer är oflexibla och
tunga att hantera –3 dagar verifiering per ändringsmoment
• Kravställningen måste vara kristallklar för att automatiken
skall fungera. Misstag får svåra konsekvenser
• Integrationerna ställer tydliga krav på verksamheternas
processer (och vice versa), vilket har gett IT en roll som
pådrivare i processen att verksamhetsutveckla –har
verksamheten förstått detta?
•Systemberoenden –en sammanhållen IS‐förvaltning
• Kontroll, loggning, analys, dynamik
•Krav på tjänsteorienterade integrationsplattformar (SOA)
med löst sammansatta regelstyrda integrationer av
meddelandetyp
• Identity Based Access Control (IBAC) Role Based Access
Control (RBAC) Attribute Based Access Control (ABAC)
CMS
Symfoni
SKIP
Domino
Elevsystem
IST Dexter
EDU
Access
eDirectory
Radiusserver
Samarbetsplattform
Domino
Elevsystem
IST Extens
Automatisk
beställnings
rutin
Terminal
services
Portwise
eDirectory
Metakatalog
eDirectory
Resurskatalog
eDirectory
Delegerat
gränssnitt
NEIDM
HR
eCompanion
ESB/SOA
Novell
ZENworks
10
ADM
Access
eDirectory
ITSM
processverktyg
Touchpaper
ITBM
Ärendehantering
Formpipe
W3D3

Framtida utveckling
Applikationsintegration
Katalogintegration
ESB/SOA

Tack!
Gunnar Kartman
IT‐arkitekt
gunnar.kartman@karlstad.se