Identity Management, waar staat we nu en waar willen we over een aantal jaren staan?

Harry Duys

Hoofd UCI-afdeling Communicatie-InfrastructuurProjectleider IAM (Identity- en Accesmanagement)

13 januari 2011

Inhoudsopgave

Identity- en Accesmanagement, wat is dat?

Het op een consistente wijze, voor de hele organisatie, inrichtenen beheren van processen die nodig zijn voor het vaststellenvan elektronische identiteiten (authenticatie) en het regelenvan toegang tot ICT-voorzieningen (autorisatie).

Begrippen:- Elektronische identiteit- Authenticatie- Autorisatie

Waarom wil de RU IAM?

Om de volgende problemen op te lossen:- Onvoldoende overzicht van wie binnen de RU, studeert, werkt, of

rondloopt in relatie tot gebruik van voorzieningen.- Geen overzicht van wat een gebruiker kan en mag.- Bij doorvoeren van wijzigingen niet duidelijk wie geïnformeerd moet

worden.- Onmogelijk om bij misbruik van voorzieningen gebruikers snel en volledig

af te sluiten.- Aan het eind van de formele relatie tussen gebruiker en RU onmogelijk

om autorisaties automatisch in te trekken.- Gebruikersonvriendelijkheid door verschillende loginnamen en

wachtwoorden.- RU-gebruikers hebben geen toegang tot voorzieningen van andere

instellingen en omgekeerd.

Waarom wil de RU IAM? (vervolg)

Geschetste problemen hebben tot gevolg dat:

- Er inefficiënt gewerkt wordt.- Er onnodige beveiligingsrisico’s bestaan (ongeautoriseerde toegang tot informatie, misbruik van informatie, identiteitsdiefstal, etc.)- Relatief hoog risico op financiële- en imagoschade.- De toegang tot informatiesystemen gebruikersonvriendelijk is.

Hier staat tegenover dat de Universiteit toegankelijk en gastvrij wil zijn, samenwerking wil bevorderen, en maatschappelijk van belang moet zijn en blijven.

Waarom wil de RU IAM? (vervolg)

Nog andere overwegingen:

- Het gebruik van ICT-voorzieningen is cruciaal geworden om de primaire bedrijfsprocessen (onderwijs en onderzoek) te kunnen

uitvoeren.- De omvang van gebruik van applicaties en informatie is de laatste 10

jaren ook binnen de RU enorm toegenomen. Alle medewerkers en studenten beschikken tegenwoordig over (Inter)netwerktoegang, met alle risico’s vandien.

- Simpelweg blijven werken op basis van vertrouwen is naïef.- Niet iedere gebruiker hoeft alle applicaties te kunnen gebruiken en hoeft

niet bij alle informatie te kunnen. (Voorbeeld: een student hoeft/mag geen toegang hebben tot de financiële systemen)

Waarom wil de RU IAM? (vervolg)

Krantenkop AD d.d. 12 januari 2011:

Grote stijging identiteitsfraude• Het komt steeds vaker voor dat criminelen met andermans identiteit aan

de haal gaan, meldt het AD. De afgelopen maanden kreeg het meldpunt voor identiteitsfraude 166 meldingen.

• Volgens beveiligingsexperts is dat nog maar het topje van de ijsberg. Criminelen halen de persoonsgegevens uit databanken en kunnen zo makkelijk bankrekeningen plunderen en op andermans naam dure dingen bestellen.

• Deskundigen roepen de overheid op een wet over identiteitsfraude te maken, zodat de politie sneller in actie kan komen tegen de daders.

• © ANP

Wat is er al gerealiseerd?

• Voor 2004: Tientallen applicaties met eigen userid’s/password files, en niet gekoppeld aan personeels- of studentnummer.

• In 2004/2005 aanvang project voor inrichten centrale database (authenticatie) voor gebruik van ICT-voorzieningen.Resultaat: Een authenticatie-service (DIRAS) waarvan 12 ICT-applicaties (inmiddels circa 30) gebruik maakten, waaronder:- Centrale e-mailvoorziening- SURFspot- RU-wireless

- VPN • In 2006/2007 opstellen programma IDM

Resultaat: Inproductiename SUN-identitymanager, provisioning LDAP, provisioning Blackboard, provisioning Zimbra.

• In 2010 voortgezet in het project IAM

Wat is er al gerealiseerd? (vervolg)

Wat is er al gerealiseerd? (vervolg)

Wat is er al gerealiseerd? (vervolg)

De volgende functionaliteiten zijn geïmplementeerd:• Medewerker krijgt eerste RU-aanstelling• Medewerker krijgt een twee RU-aanstelling bij een ander

organisatieonderdeel• Persoon krijgt in RBS handmatig een medewerkers-rol erbij• Aanmaken externe medewerker• Aanmaken UMCN-medewerker• Wijzigen van hoofdrol:medewerker, externe, UMCN• Aanmaken van functionele accounts• Wachtwoord wijzigen• Wachtwoord reset door wachtwoord policy

Wat is er al gerealiseerd? (vervolg)

• Medewerker heeft een aanstelling en wordt oud-medewerker• Medewerker heeft twee of meer actieve aanstellingen en een krijgt

einddatum• Persoon heeft enkel reeds beëindigde aanstellingen en krijgt nu een

nieuwe aanstelling• UMCN medewerker uit dienst• Bedrijfsregels • Beheerinterface IDM• Selfservice-interface IDM• Beheerinterface RBS voor externenbeheer

Wat staat er nog te gebeuren?

Voltooing IAM-infrastructuur:• Een vanuit de IAM-omgeving geprovisionende LDAP-omgeving met de

identiteitsgegevens van studenten.• Een vanuit de IAM-omgeving geprovisionende AD-omgeving met de

identiteitsgegevens van medewerkers, derden en studenten.• De mogelijk tot uitwisselen van elektronische informatie middels de IAM-

omgeving, waaronder identiteitsgegevens, met gelieerde instellingen (federatief IAM).

• Ingericht gedifferentieerd lifecycle-management. Uitbreiding op de generieke basisvoorziening welke nu al beschikbaar is.

• Ingevoerde Sterke Authenticatie. • Ingericht centraal autorisatiebeheer.• Upgrade van SUN-Identitymanager.• Onderzoek naar vervanging SUN-Identitymanager

Wat staat er nog te gebeuren? (vervolg)

Op IAM aan te sluiten concernsystemen, het betreft de volgende systemen:• RBS• Osiris• BASS-Finlog• BASS-HRM• Corsa• Datawarehouse• Metis

Wat staat er nog te gebeuren? (vervolg)

• Hiervoor genoemde producten worden projectmatig gerealiseerd (project IAM)

• Stuurgroep: Wopke Veenstra (UCI), Anselm van Elk (CIM), Loes Builtjes (GDI), Jan-Peter van Amerongen (CIM), Wim Brand (DSZ).

• De producten zijn het resultaat van deelprojecten uitgevoerd (15 in totaal).

• Het project wordt uiterlijk 2012 afrond.• Momenteel wordt gewerkt aan de volgende projecten:

- Inrichten accountbeheer voor studenten (deelprojectleider Mo Tiel, oplevering mei 2011)

- Herinrichting en provisioning AD (deelprojectleider Peter van Os, oplevering maart 2011)

- Onderzoeksfase Sterke Authenticatie (deelprojectleider Serge Radochyn, oplevering maart 2011)

Wat staat er nog te gebeuren? (vervolg)

• In 2011 worden tevens de volgende deelprojecten gestart/uitgevoerd: - Inrichting Federatief IAM - Inrichting gedifferentieerd Lifecycle-management

- Upgrade SUN-Identitymanager- Onderzoek vervanging SUN-Identitymanager- Aansluiten RBS- Aansluiten Osiris- Aansluiten Corsa

• Ontwikkelingen waarvoor IAM zeer goed van pas komt:- Studentenpas- Toegangscontrole gebouwen- Printen/kopiëren campusbreed

Tot slot

• Het kost relatief veel tijd, geld, en energie om IAM in te voeren.• De consequenties zijn:

- Er (zijn) zullen relatief veel technische maatregelen genomen moeten worden. (o.a. koppelingen van systemen, beveiligingsmaatregelen, etc).

- Organisatorische maatregelen zijn onontkoombaar, en logischer wijze ook vaak weerbarstig. (o.a. veranderen van werkwijzen, het vaststellen van bedrijfsregels, het vaststellen van verantwoordelijkheden, etc).Daar staan positieve aspecten tegenover:• De beveiliging van informatie wordt beter (strategisch plan RU)• Mogelijkheden tot samenwerking met andere instituten wordt

gemakkelijker (strategisch plan RU).• Gebruikersvriendelijkheid neemt toe (uiteindelijk Single Sign On,

uniformiteit).• Regievoering over informatiesystemen neemt toe.• Efficiënter beheer

Vragen?

?

PS/ leuk om te bekijken de film: Catch Me If You Can (2002, Steven Spielberg, Leonardo DiCaprio, Tom Hanks, etc).