Embed Size (px)
Citation preview
1 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
Gestió d’identitats i control d’accés als recursos
24 de maig de 2006 P050017-GICAR
Departament de Governació i Administracions Públiques Departament d’Universitats, Recerca i Societat de la Informació Departament de Política Territorial i Obres Públiques Centre de Telecomunicacions i Tecnologies de la Informació
2 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
Índex
SituaciSituacióó inicial inicial
Objectius i beneficisObjectius i beneficis
AbastAbast
Fitxa de seguiment Fitxa de seguiment ((22/2/200622/2/2006))
Model organitzatiuModel organitzatiu
IntegraciIntegracióó d d’’aplicacions en SSOaplicacions en SSO
Punt dPunt d’’entrada SSOentrada SSO
Mobilitat fMobilitat fíísica dels usuarissica dels usuaris
Web service Treball i IndWeb service Treball i Indúústriastria
1
2
3
4
5
6
7
8
9
3 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
Gestió d’Identitats
q Conèixer en tot moment qui és qui
q Ubicar en un repositori únic tots els professionals que treballen per la Generalitat
Control d’Accés als Recursos
q Conèixer en tot moment qui té accés a què
q Millorar el manteniment de comptes d’usuari en les aplicacions / sistemes (altes, baixes, modificacions), mitjançant eines de workflow.
Gestió d’Identitats
q Conèixer en tot moment qui és qui
q Ubicar en un repositori únic tots els professionals que treballen per la Generalitat
Control d’Accés als Recursos
q Conèixer en tot moment qui té accés a què
q Millorar el manteniment de comptes d’usuari en les aplicacions / sistemes (altes, baixes, modificacions), mitjançant eines de workflow.
Introducció
4 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
• Manca de normativa vinculant per la càrrega dels treballadors al directori.
• Manca de procediments organitzatius per garantir que el cicle de vida d’una persona (altes, baixes, modificacions) quedi reflectit al directori.
• GDC (Gestió del Directori Corporatiu) és una eina que no facilita prou la gestió dels usuaris.
Causes de la situació actual dels col·lectius T2 i T3
Col·lectius que integren el Directori Estat de la informació
T2 (4%): Professionals pertanyents a d’altres organismes i empreses públiques dependents de la Generalitat
T1 (95%) Empleats dels departaments, i els seus organismes
autònoms: funcionaris, laborals, interins, ... (presents al Sistema Integrat de Personal – GIP/SIP)
T3 (1%): Professionals pertanyents a empreses col·laboradores
(*) En general, només s’incorporen els usuaris que han d’accedir a aplicacions corporatives.
Informació completa i actualitzada
Informació incompleta i desactualitzada (*)
Situació inicial: situació directori corporatiu 1
5 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
Situació inicial 1
6 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
Correu
GECAT
Aplicació
Aplicació
Xarxa
Aprovisionament manual
Treballadors d’altres organismes i empreses públiques dependents
GIP/SIP Directori
AOC
ÈPOCA
s@RCAT
e-catàleg
e-Tributs
EACAT
SIR
AULA
RR.HH.
Aprovisionament automàtic
Altes Baixes
Reincorpo- racions
Canvi funcions
Jubilacions CICLE
DE
VIDA
Treballadors departaments i organismes autònoms
Situació inicial: on som 1
7 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
Correu
GECAT
Aplicació
Aplicació
Xarxa
Aprovisionament manual
Treballadors departaments i organismes autònoms
GIP/SIP Directori
AOC
ÈPOCA
s@RCAT
e-catàleg
e-Tributs
EACAT
SIR
AULA RR.HH.
Aprovisionament automàtic
Model actual departaments = Model desitjat
Tots els treballadors d’altres organismes i empreses públiques
dependents
OBJECTIU 1 Tots els professionals al directori corporatiu
OBJECTIU 2 Totes les aplicacions validen i autentiquen els usuaris contra el directori
Situació inicial: a on anem 1
8 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
Objectius i beneficis (I)
Dotar la Generalitat d’una única eina de gestió de la seguretat, escalable i administrable descentralitzadament
Dotar la Generalitat d’una única eina de gestió de la seguretat, escalable i administrable descentralitzadament
•Mantenir la gestió per àrees, però facilitant la homogeneïtzació dels processos d’usuari
•Permetre una implantació gradual a la Generalitat •Entorn únic de gestió (menys formació) i a l’abast de personal no tècnic.
Garantir la correcta assignació dels recursos als treballadors, integrant el cicle de vida de les persones amb el cicle de vida dels usuaris, mitjançant l’automatització de processos, quan sigui possible
Garantir la correcta assignació dels recursos als treballadors, integrant el cicle de vida de les persones amb el cicle de vida dels usuaris, mitjançant l’automatització de processos, quan sigui possible
•El treballador té accés als recursos que necessita per desenvolupar les funcions encomanades
•Els recursos estan assignats només a aquells treballadors que els necessiten
•Optimització de processos: fluxos d’autorització, alta / baixa / manteniment de comptes d’usuari a aplicacions / sistemes, automatització de la gestió de certificats digitals, sol·licitud de serveis a tercers (targes de visita, targes d’accés físic,...), etc.
Incorporar de forma fiable els T2 i T3 al directori
Incorporar de forma fiable els T2 i T3 al directori
Possibilitat de desenvolupar funcionalitats sobre el DC - Llistes de distribució del correu electrònic - Pàgines blanques (dades de contacte) - Organigrama a demanda - Pàgines verdes (coneixement)
OBJECTIUS BENEFICIS
2
9 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
OBJECTIUS BENEFICIS
Implementar un sistema de Single Sign On (contrasenya única per l’usuari en els sistemes / aplicacions integrats) i autoservei de contrasenyes. Possibilitat d’introduir mètodes d’autenticació avançada (certificat digital).
Implementar un sistema de Single Sign On (contrasenya única per l’usuari en els sistemes / aplicacions integrats) i autoservei de contrasenyes. Possibilitat d’introduir mètodes d’autenticació avançada (certificat digital).
Millora de la seguretat d’accés als sistemes i aplicacions integrades:contrasenyes més segures, menys contrasenyes per usuari, reducció del número d’incidències ( 3000 canvis de contrasenya en 6 mesos), possibilitat de traspassar gestió de contrasenyes a un Service Desk, possibilitat de control i auditoria d’accessos a recursos a nivell d’usuari
Definir estàndards pel desenvolupament dels mòduls d’accés i autorització de les noves aplicacions
Definir estàndards pel desenvolupament dels mòduls d’accés i autorització de les noves aplicacions
•Reducció del temps de desenvolupament d’aplicacions i homogeneïtzació
• Integració de les aplicacions en el GICAR
Definir un model (responsabilitats, procediments organitzatius, polítiques, ...) per la gestió de les identitats i els recursos
Definir un model (responsabilitats, procediments organitzatius, polítiques, ...) per la gestió de les identitats i els recursos
Facilitar la implantació, garantir el manteniment del sistema i minimitzar vulnerabilitats del sistema
Millorar l’eina d’entrada manual d’identitats al directori (GDC)
Millorar l’eina d’entrada manual d’identitats al directori (GDC)
Millora fiabilitat de les dades entrades manualment, les funcionalitats per la gestió d’usuaris i l’explotació de la informació
Objectius i beneficis (II) 2
10 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
ABAST OBJECTIU
TOTA LA GENERALITAT
ABAST DEL PROJECTE
6 mesos
• Directori corporatiu evolucionat. • Implantació de GICAR a dos departaments:
• PTOP 1.500 usuaris • DURSI 250 usuaris
• Integració d’aplicacions corporatives per aquest departaments: correu electrònic, ÈPOCA, GIP/SIP, GDC, GECAT, AULA, s@rcat, e-Tributs. • Integració de 5/6 aplicacions/sistemes per departament. • Pilot d’autenticació amb certificat digital (20 usuaris per departament).
ABAST DEL LOT 1
• Gestió continuada del nou sistema i incorporació progressiva de la resta dels departaments • El Lot 1 té pressupost per la integració d’aplicacions amb connector estàndard i possible evolució de l’eina • Els departaments hauran d’assumir els costos d’integració d’aplicacions propietàries i d’algunes aplicacions estàndard si el volum és elevat
Abast
Presentat a la CIAP de juliol del 2005, a tots els
Directors de Servei
3
11 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
16/06/2006
04/04/2006
04/12/2006 12/05/2006 01/03/2006 15/09/2005 1/7/2005 Real
21/9/2006 8/3/2006 11/1/2006 15/09/2005 15/6/2005 Planificat
P050017-GICAR-S-20060222
Entregables ESPRIT
Client: Global Promotor: Secret. Gnral. Admin. i Funció Pública
Cap projecte: Silvia Garre (tècnic) / Consol Cervera (organitzatiu)
Riscos principals
Principals Tasques a realitzar durant el proper període
• Completar disseny tècnic.
• Funcional substitució eina gestió Directori Corporatiu.
• Completar anàlisi model integració de les aplicacions amb contrasenya única.
• Completar model per Alta, Baixa, Modif. accés a aplicacions.
• Iniciar depuració Directori Corporatiu.
• Esborrany guia integració aplicacions amb GICAR.
• Desplegar entorn desenvolupament.
Proveïdor: UTE SIA-IECISA
22/02/2006 Gestió d’identitats i control d’accés als recursos
Principals Tasques realitzades durant l’últim període
• Presa de dades sobre entorns i aplicacions objectiu.
• Anàlisi sobre Directori Corporatiu.
• Definició model organitzatiu.
• Anàlisi parcial model integració aplicacions amb contrasenya única.
• Lliurat esborrany disseny funcional / tècnic.
• Preparació entorns desenvolupament.
0123456789
101112131415161718192021222324
07-05
08-05
09-05
10-05
11-05
12-05
01-06
02-06
03-06
04-06
05-06
06-06
07-06
08-06
09-06
IDData Entrada
Risc Sev. Accions Responsable Criteri d'èxit Data PR
13 21/11/2006Indefinició en l'evolució de la
plataforma de correu15
Identificar una situació per fixar anàlisi i disseny (possiblement
només WF)Direcció CTTI.
Disposar de situació d'anàlisi
estable01/03/2006 1
14 30/01/2006Desenvolupaments sobre
aplicacions per intgració amb SiteMinder.
15Valorar esforç conjuntament
Donar suportAlternativament, sortir amb S3O
Cap de Projecte GICAR.DURSI i PTOP.
Integracions coordinades amb
planificació.01/03/2006 1
15 30/01/2006Canvis en DC, GdC, SACE (per
GICAR)15
Prioritzar canvisFer presentació i acordar
despleg.
Cap de Projecte GICAR.Direcció CTTI.
Canvis acordats en producció
01/03/2006 1
16 30/01/2006 Fase d'anàlisi i req. no tancada 15Validar i tancar models amb
DURSI i PTOPValidar info. anàlisi
Cap de projecte GICAR. Tancar models 15/03/2006 1
19 01/02/2006Actuacions sobre Host T-
Systems9
Acordar actuacions amb prou antel·lació.
Identificar responsables.Cap de projecte GICAR
Actuacions acordades i resp.
Identificats01/03/2006 1
20 21/02/2006Expectatives sobre projecte GICAR. Per sí sol no resol problemàtica organitzativa.
25Plans de comunicació sobre
GICAR.Cap de projecte GICAR.Resp. Departaments.
Misstage transmès.Model
organitzatiu desenvolupat.
15/03/2006 1
Generalitat de Catalunya Centre de Telecomunicacions i Tecnologies de la Informació
RCC interns Nou procés
definit RCC de projecte
Desenvolupament
Disseny Funcional RCC operatius RCC client i
objectius proj
Proves Disseny tècnic Mapa de processos i ICP Abast
Desplegament Pilot Estructura d’explot. i suport
Benchmark i millors pràctiques Finançament
Sistema en Producció
Documentació Pla de proves Procés de gestió
de canvi d’abast Promotor
Validació RCC Pla d’implnat. tècnic Pla de pilot
Pla de comunicació i
Gestió del canvi Estructura de
Gestió
Validació final dels RCC Acceptació Final Pla d’implant.
organitzatiul Pla de migració Conveni amb el client PMG
Lliçons apreses PMG revisat Pla. desplegament
Pla transferència a explotació
Selec. i contracte proveïdor Pla de projecte
Pla d’auditoria i control
Riscos i pla de mitigació
Riscos i pla de mitigació
Riscos i pla de mitigació
Riscos i pla de mitigació
RCC de disseny
PD4 PD5 PD3 PD2 PD1 PD0
12 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
Sol·licita denegació d’accés als recursos
Propietari de la informació • Classifica la informació i n’autoritza l’accés
Responsable de personal • Dóna d’alta la persona al directori corporatiu
Responsable del sistema GICAR • Administra el sistema
Usuari • Compleix les polítiques de l’organització • Reporta als seus superiors qualsevol incident
Responsable d’aplicació / sistema / recurs •Té funcions delegades del propietari de la informació per autoritzar l’accés a l’aplicació / sistema / recurs •Crea i gestiona els perfils d’usuari
Delega funcions
Sol·licita accés als recursos
Autoritza accés als recursos
Implementa accés als recursos, si el procés no està automatitzat
Responsable de l’usuari • Defineix a quins recursos ha de tenir accés l’usuari • Dóna d’alta la persona al directori pels T3 • Defineix grups d’usuaris amb accés a recursos
Model organitzatiu: rols i funcions (teòric) 5
13 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
Model organitzatiu: aspectes a destacar 5
� Alta de la identitat:
� Per T1 s’avança el moment d’aparició de la identitat al DC:
� Alta manual
� Alta automàtica en el moment de l’alta en la Seguretat Social
� Alta automàtica en el moment en què s’assigna un lloc de treball al GIP (actual).
� Anàlisi de filtres necessaris per controlar el traspàs d’identitats entre col·lectius (T1,T2,T3) i dintre d’un mateix col·lectiu (canvi de departament, ...).
� Processos automàtics per controlar determinats estats (inactivitat en el sistema, control d’usuaris externs per caducitat, ...).
� S’ha definit el flux genèric de sol·licitud d’alta / baixa / manteniment d’accés a recursos (aprovisionament d’usuaris en aplicacions).
L’accés als fluxos als departaments es realitzarà des d’ÈPOCA. La integració amb el GICAR serà transparent per l’usuari.
14 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
Integració d’aplicacions en SSO (I)
� Integració desktop: solució no intrusiva.
� No requereix la modificació de l’aplicació.
� Se simula el procés d’autenticació de l’usuari a través de scripting.
� Només permet mobilitat de l’usuari dins del nus corporatiu, i només si la connectivitat és possible i el client està instal·lat en el PC que es connecta.
� Típicament per aplicacions client / servidor.
� Integració nativa d’aplicacions heretades:
� Requereix modificar l’aplicació, per a què pugui interpretar les capçaleres que li envia GICAR.
� Es delega totalment l’autenticació en GICAR.
� Permet mobilitat de l’usuari dins i fora del nus corporatiu.
� L’accés a l’aplicació és transparent per l’usuari (accés des de l’escriptori, URL, preferits, ...).
6
15 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
Integració d’aplicacions en SSO (II)
� Integració nativa de noves aplicacions.
� El desenvolupament es fa tenint en compte la integració amb GICAR.
� Dóna les mateixes funcionalitats que les integrades nativament heretades, però pot oferir funcionalitats bàsiques de model autoritzatiu.
6
16 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
Punt d’entrada SSO
� Amb integració de la xarxa local (model DURSI):
� El SSO es realitza en el moment de connexió a la xarxa.
� Apareix un menú a l’escriptori (imatge configurable) on apareixen les aplicacions no integrades nativament, i opcionalment, les integrades nativament.
� Sense integració de la xarxa local (model PTOP):
� a) Accés SSO mitjançant icona SSO a l’escriptori que obre un portal SSO amb totes les aplicacions desktop i opcionalment aplicacions integrades nativament.
� b) Accés SSO a la intranet del departament, o a un portal d’accés a recursos del departament.
7
17 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
Model per la mobilitat física dels usuaris
Funcionament:
� Quan l’usuari vulgui accedir des de fora del seu departament, s’haurà de connectar a un portal comú per tota la Generalitat de Catalunya.
� L’entrada al portal es realitzarà introduint NIF i contrasenya del directori corporatiu.
� Aquest portal també permetrà la connexió mitjançant codi intern del DC i contrasenya del DC, o certificat digital en targeta.
Si l’accés es fa des del nus corporatiu de la Generalitat:
� Un cop autenticat l’usuari, es mostraran al portal les seves aplicacions, a les quals podrà accedir sense tornar a entrar la contrasenya. La connexió a les aplicacions web modificades per integrar-se amb GICAR sempre serà possible. La connexió a la resta d’aplicacions no sempre serà possible, sinó que dependrà de l’ordinador i el departament des del qual s’estigui fent la connexió.
Si l’accés es fa des de fora del nus corporatiu (internet)
� Un cop autenticat l’usuari, es mostraran al navegador només les aplicacions web que hagin estat modificades per integrar-se en GICAR. L’usuari podrà accedir a aquestes aplicacions sense tornar a entrar la contrasenya.
8
18 P050017-GICAR
DGAP DURSI PTOP CTTI
02/11/2007
Web Service Treball i Indústria
� Treball i Indústria, està desenvolupant una nova aplicació pel registre d’inspeccions industrials.
� L’aplicació s’integra amb GICAR, de forma que autenticarà els seus usuaris contra el DC.
� Per cada empresa concessionària es donarà d’alta un usuari gestor, que serà qui faci la gestió dels usuaris de l’aplicació pertanyent a aquella empresa, a través de la pròpia aplicació.
� Per això es desenvolupen dos web service:
� Consulta d’ìnformació al DC: l’aplicació pot obtenir informació de la identitat continguda al DC, prèvia autenticació de l’usuari.
� Administració d’usuaris de l’empresa concessionària:
� Alta i manteniment de la identitat al DC. La baixa serà possible si l’usuari només té accés a aquella aplicació.
� Alta / baixa de l’usuari a l’aplicació.
� Gestió de les contrasenyes d’usuari.
� Gestió de la data de “fi de relació” dels usuaris al DC (per T3, les identitats es donen d’alta per un termini màxim d’un any).
9
