Gunnar Kartman, Karlstad kommun - KommITS
Gunnar Kartman, Karlstad kommun - KommITS
Gunnar Kartman, Karlstad kommun - KommITS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Identiteter och åtkomst<br />
på ett<br />
säkert sätt<br />
IAM i <strong>Karlstad</strong>s <strong>kommun</strong><br />
<strong>Gunnar</strong> <strong>Kartman</strong><br />
IT‐arkitekt<br />
2008‐11‐10
Identity & Access Management IAM –presentationen<br />
• Hur definierar vi IAM?<br />
Identiteter och åtkomst<br />
på ett<br />
säkert sätt<br />
• Den tekniskt inriktade starten och hur utvecklingen har drivits<br />
framåt<br />
• IAM:s betydelse för leveransen av IT‐tjänster<br />
• Framgångsfaktorer för en effektiv IAM<br />
• IAM‐processerna och förvaltning av IAM<br />
• Framtida utveckling – svagheter och utmaningar
<strong>Karlstad</strong><br />
Värmland:<br />
<strong>Karlstad</strong>:<br />
280.000<br />
84.000
IT‐enheten i siffror<br />
• 7 000 anställda i <strong>kommun</strong>en<br />
• Våra kunder är 8 egna förvaltningar, 6 <strong>kommun</strong>ala bolag,<br />
Region Värmland och 12 <strong>kommun</strong>er i Värmland.<br />
• 48 anställda<br />
• 95 miljoner i omsättning<br />
• 37 500 aktiva konton i katalogtjänsten<br />
• 6 000 arbetsstationer<br />
• Verksamhet på 260 platser<br />
• 200 servrar i vårt Data Center (130 virtualiserade)<br />
• ca 1 000 applikationer/system<br />
• Service Desk har under senaste året hanterat 32 000 ärenden
Hur definierar vi IAM?<br />
Verksamhetens och IT:s processer i samverkan för<br />
en gemensam hantering av identiteter och åtkomst<br />
till IT‐infrastruktur och verksamhetssystem.<br />
I likhet med andra tillämpningar sker detta med ITteknologin<br />
som verktyg.<br />
IAM är långt ifrån bara en fråga för IT!
IT i skolan kickade igång det hela…<br />
•ITIS‐pengarna 2000/2001<br />
•Klara mer med samma resurser…<br />
•…men projektet drevs av<br />
tekniker…<br />
•…och man insåg inte vikten av att<br />
förvalta katalogtjänsten som ett<br />
system…<br />
•Oklart tänkande kring processer
En ”riktig” metakatalog<br />
Elevsystem<br />
(IST Extens)<br />
Access<br />
EDU<br />
(eDirectory)<br />
Gruppprogramvara<br />
EDU<br />
(Lotus Notes)<br />
Metakatalog<br />
(eDirectory)<br />
• Koncernbeslut att använda Lotus Notes<br />
•Mars 2003 – förstudie 1 med teknisk<br />
inriktning mot att hantera beslutet<br />
• Stabilitetsproblem – Windows 2000<br />
Server backades till SLES 8<br />
• April 2004 – förstudie 2 expanderade<br />
scopet till ett helhetsgrepp
Metakatalogen<br />
• Katalogen är ett integrationsnav som synkroniserar<br />
personuppgifter för identitetshantering, grupprättigheter<br />
(sec), applikationsobjekt och applikationsrättigheter<br />
• Enskilda användare tillåts inte logga in mot metakatalogen.<br />
Endast kontrollerade systemintegrationer accepteras<br />
•LDAP 3 möjliggör standardiserad <strong>kommun</strong>ikation mellan<br />
system, vilket bland annat innebär att verksamhetssystem<br />
kan autentisera användare direkt mot metakatalogen om<br />
det anses lämpligt<br />
• Metakatalogen har organiserats i en del för metadataobjekt,<br />
och en del för systemobjekt för ökad säkerhet och<br />
prestanda. Strukturen är platt. Katalogens struktur återger<br />
inte organisationens struktur. Istället lagras organisatoriska<br />
uppgifter i objektens egenskaper<br />
•De kataloger som baseras på eDirectory synkroniserar<br />
lösenord genom Novell Universal Password
Metakatalogen<br />
Personobjekt<br />
Kategoriobjekt<br />
(Anställda/<br />
förtroendevalda)<br />
Kategoriobjekt<br />
(Studerande)<br />
Kategoriobjekt<br />
(Medborgare)<br />
Kategoriobjekt<br />
(Externa)<br />
Genom katalogens uppbyggnad kan en enda person –<br />
identifierad via personnumret –vara anställd i <strong>Karlstad</strong>s<br />
<strong>kommun</strong> (en eller flera förvaltningar/bolag), anställd på<br />
Region Värmland, studera på Komvux, och registreras<br />
som medborgare (<strong>kommun</strong>/riket) med olika intressen<br />
inom <strong>kommun</strong>en.
Ny version av integration EDU<br />
Access EDU<br />
eDirectory<br />
SamPL<br />
EDU<br />
Domino<br />
Elevsystem<br />
IST Extens<br />
Portwise<br />
eDirectory<br />
Metakatalog<br />
eDirectory<br />
Paket A<br />
Leverans av den nya versionen av skolintegrationen<br />
skedde vecka 40/2006.<br />
Den tidigare versionen hade vi kört sedan 2001. Den<br />
omfattade IST Extens, dåvarande inloggningskatalogen<br />
för skolnätet (EDU), och en integration till<br />
GroupWise. Dessutom fanns en koppling till ett AD för<br />
att täcka vissa behov.<br />
Resurskatalog<br />
eDirectory<br />
Delegerat<br />
gränssnitt<br />
NEIDM
Integration ADM<br />
Portwise<br />
eDirectory<br />
Elevsystem<br />
IST Extens<br />
HR<br />
eCompanion<br />
Paket B<br />
Access EDU<br />
eDirectory<br />
Metakatalog<br />
eDirectory<br />
Access ADM<br />
eDirectory<br />
Den administrativa integrationen påbörjades<br />
vecka 49/2006 och sluttestades under<br />
november 2007.<br />
SamPL<br />
EDU<br />
Domino<br />
SamPL<br />
ADM<br />
Domino<br />
Paket A+B leveransgodkändes i december<br />
2007.<br />
Resurskatalog<br />
eDirectory<br />
Inloggningskatalogen för det administrativa<br />
nätet (ADM) sattes upp så tidigt som<br />
1995/1996.<br />
Delegerat<br />
gränssnitt<br />
NEIDM
Helheten så långt…<br />
Metakatalog<br />
eDirectory<br />
Elevsystem<br />
IST Extens<br />
Resurskatalog<br />
eDirectory<br />
HR<br />
eCompanion<br />
ESB/SOA<br />
Radiusserver<br />
Portwise<br />
eDirectory<br />
ADM<br />
Access<br />
eDirectory<br />
EDU<br />
Access<br />
eDirectory<br />
SKIP<br />
Domino<br />
Samarbetsplattform<br />
Domino<br />
CMS<br />
Symfoni<br />
Terminal<br />
services<br />
Delegerat<br />
gränssnitt<br />
NEIDM<br />
Elevsystem<br />
IST Dexter<br />
ITSM<br />
processverktyg<br />
Touchpaper<br />
ITBM<br />
Ärendehantering<br />
Formpipe<br />
W3D3<br />
Novell<br />
ZENworks<br />
10<br />
Automatisk<br />
beställnings<br />
rutin<br />
Trafikloggning<br />
WebSense
Teknisk plattform<br />
•Novell eDirectory 8.7/8.8<br />
•Novell Identity Manager 3.01<br />
• Nordic Edge Identity Manager 3 (3.6)<br />
• Suse Linux Enterprise Server 8/9 <br />
•Novell OES II SLES 10 <br />
• Pulsen SnapShot Connector (Windows 2003 Server)<br />
• Backup per objekt genom Novell OES i NetWare 6.5 <br />
• Blackbird DeTroubler <br />
•IBM Tivoli Storage Manager<br />
•IBM HS20 Blade / VMware (endast Portwise eDirectory)<br />
•HP Proliant 380
IAM står i centrum!<br />
Vardagen hänger på att IAM fungerar. Vi har<br />
hunnit längre på IM‐ än AM‐sidan, och automatik<br />
är bra men...<br />
Så gott som samtliga större IT‐projekt kräver<br />
involvering av IAM.<br />
IAM blir allt viktigare – eFörvaltning / vård och omsorg.
IAM ‐ framgångsfaktorer<br />
•Verksamhetens och IT:s processer i samverkan<br />
•Påsikt –en sammanhållen förvaltning av verksamhetssystemen<br />
(IS/IT). Mer behov av automatik ökar förekomsten<br />
av integrationer, och därmed behovet av kontroll<br />
•Stabil teknisk plattform med dynamiska egenskaper och<br />
funktioner för loggning och analys<br />
•En effektiv förvaltningsmodell<br />
• Kontroll på ändringar genom ITIL:s processer<br />
• Accessmetoder som har rätt säkerhetsnivå för respektive<br />
ändamål, speciellt i samband med SSO<br />
• Förmåga att säkert kunna hantera skyddade identiteter
Gemensamma processer
IT:s processer<br />
Strategin definierar<br />
ändringshanteringens<br />
mekanismer<br />
Kontrollerat<br />
införande<br />
genom<br />
Change & Release<br />
Management<br />
Här samlar vi upp<br />
ändringsbehovet<br />
Drift och förvaltning<br />
av IAM<br />
Nya och förändrade<br />
behov hanteras<br />
i design‐ och avtalsprocesserna
IAM förvaltning<br />
Server Management<br />
Network Management<br />
Två heltider i<br />
förvaltningen<br />
Directory Services Management<br />
AFS/pm3 (förenklad)
IAM förvaltningsaktiviteter 2008‐2009<br />
• Slutföra kvalitetssäkring av regelverk<br />
• Etablera processen för Identity & Access Management<br />
• Utveckla förvaltningsmodell – AFS/pm3 (förenklad)<br />
• Etablera av Release‐cykler<br />
• Kvalitetsäkra personuppgifter<br />
• Etablering av kortlösning med SITHS och SSO<br />
• Struktur och rollutredning –”vem är chef för vem?”<br />
•Självadministration och självservice – vidareutveckling
Svagheter och utmaningar<br />
• Traditionella punkt‐till‐punkt‐integrationer är oflexibla och<br />
tunga att hantera –3 dagar verifiering per ändringsmoment<br />
• Kravställningen måste vara kristallklar för att automatiken<br />
skall fungera. Misstag får svåra konsekvenser<br />
• Integrationerna ställer tydliga krav på verksamheternas<br />
processer (och vice versa), vilket har gett IT en roll som<br />
pådrivare i processen att verksamhetsutveckla –har<br />
verksamheten förstått detta?<br />
•Systemberoenden –en sammanhållen IS‐förvaltning<br />
• Kontroll, loggning, analys, dynamik<br />
•Krav på tjänsteorienterade integrationsplattformar (SOA)<br />
med löst sammansatta regelstyrda integrationer av<br />
meddelandetyp<br />
• Identity Based Access Control (IBAC) Role Based Access<br />
Control (RBAC) Attribute Based Access Control (ABAC)<br />
CMS<br />
Symfoni<br />
SKIP<br />
Domino<br />
Elevsystem<br />
IST Dexter<br />
EDU<br />
Access<br />
eDirectory<br />
Radiusserver<br />
Samarbetsplattform<br />
Domino<br />
Elevsystem<br />
IST Extens<br />
Automatisk<br />
beställnings<br />
rutin<br />
Terminal<br />
services<br />
Portwise<br />
eDirectory<br />
Metakatalog<br />
eDirectory<br />
Resurskatalog<br />
eDirectory<br />
Delegerat<br />
gränssnitt<br />
NEIDM<br />
HR<br />
eCompanion<br />
ESB/SOA<br />
Novell<br />
ZENworks<br />
10<br />
ADM<br />
Access<br />
eDirectory<br />
ITSM<br />
processverktyg<br />
Touchpaper<br />
ITBM<br />
Ärendehantering<br />
Formpipe<br />
W3D3
Framtida utveckling<br />
Applikationsintegration<br />
Katalogintegration<br />
ESB/SOA
Tack!<br />
<strong>Gunnar</strong> <strong>Kartman</strong><br />
IT‐arkitekt<br />
gunnar.kartman@karlstad.se