IAM 身份識別資安解決方案 旭昇資訊股份有限公司
Agenda 企業面臨的挑戰 IAM 身份識別資安解決方案三部曲 首部曲 - 帳號整合 二部曲 - 單一登錄 (SSO) 三部曲 - OTP (One Tome Password) 成功案例 Q&A
IAM (Identity Access Manager) IDC 報告預測, 亞太地區 ( 日本除外 ) 的 IAM 市場規模將持續成長, 由 2005 年的 1.6 億美元, 到 2010 年的 3.7 億美元, 五年的年複合成長率預計達 18.3 所謂 IAM, 根據 IDC 定義, 是指一套完整的解決方案, 藉由已建檔的身份, 來定義系統中的使用者 ( 例如員工或客戶 ) 並可控制 管理其存取權限 IAM 的管理範圍則包括 : 目錄服務管理 (directory services) 網路單一登入 (Web single sign-on, SSO) 主機單一登入 (host SSO) 使用者權限分配 (user provisioning) 進階帳號管理 (advanced authentication) 舊式系統授權 (legacy authorization)
網路普遍面臨的問題 有限的 IT 預算但越來越多的 IT 需求 要提供 / 管理很多使用者的帳號及需求 老闆, 員工, 作業員, 訪客, 廠商, 客戶 個人化的服務 經常性的變動 50% 各式各樣 ( 分散 ) 的網路資源與服務, 資料不一致 各團隊自由發展網站服務, 如何提供統一的個人化入口網站, 並提供單一簽入 網站太多, 如何管理? 存取安全的考慮? 到底誰在用什麼網路資源??? Auditing 帳號整合後只有一組靜態密碼系統更容易被入侵 如何確保密碼的安全性?
安全身份管理的全貌 一組 ID, 行遍天下 Novell Nsure Secure Identity Management (SIM) 帳號整合管理 + 自動化 edirectory NAM DirXML IDM Auditing What s happening in my systems? NT Domain Win2000 AD Host 主機 Border Manager Internet 存取安全管理 edirectory Secure Login 單一登入 ZENworks 資源管理 Web APs/Servers Access Manager (B2B SAML) 網站安全 + 單一登入 Security Administrator 安控 + 稽核 Internet 員工 客戶 廠商及夥伴 使用者可選用多重認證方式
IAM 身份認證解決方案三部曲 帳號整合 將所有的帳號做有效的整合, 統一的管理, 任何一個系統變動, 所有系統帳號跟著同步異動 可同步的系統可包含作業系統, 資料庫, 群組軟體 等不同的軟體 單一登錄 (SSO) 透過一個統一的登入界面, 將所有用戶可以使用的系統集中管理, 用戶不用重複輸入 User Name 及 Password, 只要登入一次, 便可使用所有被授權使用的系統 簡單的單一登錄入口網頁, 簡單的入口網站系統 可結合更安全的身份識別設備 ( 指紋辨識, Smart Card, OTP ) OTP (One Tome Password) 動態一次性密碼, 避免密碼被竊取或盜用
IAM 身份認證解決方案一部曲 帳號整合
什麼是 帳號整合? 帳號整合 就是管理者只要在帳號來源系統內新建一組帳號密碼,IDM 就會依此帳號的定義自動同步到此人員所被授權使用的系統 Eva Lin ( 歸屬業務部 業務 ) 同步到 E-Mail 系統, ERP 系統 業務授權部份 ( 客戶基本資料系統 庫存系統 出貨系統 應收帳款系統 業績統計系統 ) John Chang ( 歸屬系統部 系統部主管 ) 同步到 E-Mail 系統, ERP 系統 系統部授權部份 ( 客戶基本資料系統 報修系統 維護合約管理系統 ) Vicky ( 歸屬管理部 會計 ) 同步到 E-Mail 系統, ERP 系統 管理授權部份 ( 客戶基本資料系統 庫存系統 出貨系統 應收帳款 / 繳款入帳系統 業績統計系統 出缺勤統計系統 會計系統 )
同步在各系統中的身份資訊 Employee Identity Name: DOB: 工號 #: Phone: Email: Prefs: John Smith 26-Jul-1969 447995 555 1234 jsmith@xy.com Business Rules HR System NDS Notes Name: DOB: 工號 #: Salary: Email: Phone: Name: Phone: Name: Email: Phone: John P Smith 26/7/69 447995 $85,000 jsmith@xy.com 555 1234 J Smith 555 1234 John Smith jsmith@xy.com 555 1234
同步在各系統中的身份資訊 Employee Identity Name: John Smith DOB: 26-Jul-1969 工號 #: 447995 Phone: 555 1234 Email: jsmith@xy.com Prefs: Moved to ex staff Directory Business Rules HR System NDS Notes Name: DOB: 工號 #: Salary: Email: Phone: Name: Phone: Name: Email: Phone: John P Smith 26/7/69 447995 $85,000 jsmith@xy.com 555 1234 TERMINATED J Smith 555 1234 Removed John Smith jsmith@xy.com 555 1234 Disabled
企業完整的身份資料在目錄 (edirecoty) 中 AP/DataBase E-Mail System HR System File & Print PBX 其他作業系統 Directory
Novell IDM 可以整合的系統 應用系統 ERP/ 會計 / 庫存人事系統... 目錄服務 AD,NDS.LDAP... Database MSSQL,Sybase,Oracle Informix,MySQL... Mail 系統 Exchange,Notes GroupWise... IDM (edirectory) PBX 作業系統 Windows,Linux,Unix AIX,HP-UX,AS/400... 其他 TEXT,NIS NT4 Domain...
IDM (Identity Manager) 支援系統 database IBM DB2 Informix Microsoft SQL Server MySQL Oracle Sybase JDBC directories Critical Path InJoin Directory IBM Directory Server (SecureWay) iplanet Directory Server Microsoft Active Directory Microsoft Windows NT Domains Netscape Directory Server NIS NIS + Novell NDS Novell edirectory Oracle Internet Directory Sun ONE Directory Server LDAP email systems Microsoft Exchange 2000, 2003 Microsoft Exchange 5.5 Novell GroupWise Lotus Notes enterprise applications Baan J.D.Edwards Lawson Oracle Peoplesoft SAP HR SAP R/3 4.6 and SAP Enterprise Systems (BASIS) SAP Web Application Server (Web AS) 6.20 Siebel enterprise message bus BEA IBM Websphere MQ Open JMS Oracle JBOSS Sun TIBCO mainframe RACF ACF2 Top Secret midrange OS/400 (AS/400) operating systems Microsoft Windows NT 4.0 Microsoft Windows 2000, 2003 SUSE LINUX Debian Linux FreeBSD Red Hat AS and ES Red Hat Linux HP-UX IBM AIX Solaris UNIX Files - /etc/passwd other Delimited Text Remedy (for Help Desk) SOAP DSML SPML Schools Interoperability Framework (SIF) pbx Avaya PBX Notes : 可整合的系統增加中
帳號整合的對企業的效益 企業可利用 IDM 輕易地連結和管理跨越不同平台, 資料庫及網路的資訊, 進而簡化資訊管理的成本, 提高網路的投資報綢率, 加速資訊的流通速度 整合企業常見的應用系統, 讓應用系統帳號管理的成本減到最低 : 人事資料庫與 Email 系統的整合 ERP 系統, 圖書系統, 出缺勤系統,VoIP 系統 無線網路與員工帳號的整合 藉由帳號整合, 降低使用者管理多個帳號, 密碼的困擾, 從而提高系統的安全性, 降低資訊管理人員的負擔 企業可透過 IDM 強化人力資源管理的效率以實現單一化的用戶身份管理
完成帳號整合之後. 新增員工 : 李大同 人事系統 人事系統新增人員或修改 1 人員資料 dsbrown David_Brown 公文系統 elearning 1,2 2 Novell edirectory IDM 將此變動傳送到 edirectory 選課系統 完成帳號整合以後企業內員工只要用一個帳號, 密碼就可使用所有系統 減輕用戶及系統管理者管理密碼的辛苦 IDM 圖書系統 但每進入一套系統仍需重新登錄一次 3 根據 edirectory 所儲存的企業管理政策,IDM 自動新增 / 修改用戶的資料並同步自動更新到其他相關的應用系統 dsbrown@acme.com David S. Brown
IAM 身份認證解決方案二部曲 單一登錄
我的密碼是???? 你需要申請部門每一季所需花費的相關費用 這個申請將在 4 小時後停止受理 但我忘記密碼了? A 1234 B 我把密碼寫在便利貼上 C 與我的密碼是一樣 D 有人可以救我嗎?
網路使用者的一天 登入電腦 / 網路 每一套應用軟體都需要輸入密碼 惡夢在每一次登出系統後再一次的輪迴 影響 無法使用系統造成生產力下降 客服人員 / 管理者疲於奔命 查詢 / 重設密碼 管理者放鬆對網路安全的管理讓使用者便於使用 密碼變換證策可能讓狀況更惡化 你的密碼已過期 / 失效 請設定一組新密碼 Session Timed Out
一個具代表性的企業應用網路架構 Network Login Manual password management Enterprise Applications Username Password HRMS Printers Username Password Mail User File Shares Network Domains Username Password Main Frame Username Password Web App Web App
你需要登入多少套應用系統? 常見的應用系統 : Business Portals HR IT Operations Point of Sale Budget Reports SAP CRM Forecasts Sales Employee Partner Customers External Web Benefits Services 401k Time Card PeopleSoft E-Mail White Pages Support Desk Inventory Supply Chain Tracking Shipping Catalog Data Entry
Account Login/User/Acct. # Pswd Serial URL ACT! User AdCritic Adobe Product Registrations AIM 你有多少組密碼?? BrainBench 1-5 6-10 Cal @cal Cal epronet 11-20 21+ Apple Site and itools login ATA Program https://www.ata.com/travel/login/profiles.do ATTBI account #: BofA Account # Bristol-Myers Squibb - Network cafepress.com Cal Mastercard Chase Freedom former Shell Mastercard Cingular.com Cisco CCO COSTCO Discovercard.com ea.com Ebay and half.com Ebay Billpoint EFAX ETRADE Bank ETRADE net access Garage Technology Ventures' Web site. gmcard.com hardrock.com ical Information Kynergy.com - Network Solutions info LiguidWeb LGUSL.org Los Gatos Public Library https://onlineid.bankofamerica.com/cgi-bin/sso.log http://www.ecoutlook.net/cbrm http://www.cafepress.com/cp/members/index.aspx http://cal.epronet.com mywirelesswindow.com https://www.hrsaccount.com/costco http://www.myical.com/ical/rwessels lgusl.org/cpanel Marriot Rewards Account #964848386 MBNA net access MS VPC Beta Program My Palmsource MyCheckFree.com MYOB Support myups.com user New York Times Now Discover Your Strengths https://www.strengthsfinder.com NY Times RackSpace Rackspace customer ID #13329 myrackspace.com Roxio Support Sharebuilder shockwave.com SmithMicro Support
對商業的影響 安全性與易用性通常只能存在一個 太多的密碼與管理政策 太多的管理系統增加使用上的困難度 ( 使用者永遠在抱怨 可以將系統設計得好用一點嗎 ) 企業受影響因使用者受影響 ( 失去生產力及浪費成本 ) 好的密碼管理政策 = 使用者不滿的痛苦經歷 太長的密碼不易記憶 密碼變動管理政策都不一樣. 也許同時會存在著新舊密碼 每一次密碼的改變都是使用者的痛苦經歷 成本 Gartner 每一個用戶平均每年會打 14 通電話詢問 / 處理密碼相關問題, 平均每一通電話需花費 US$17-20 客服人員有 30-40% 的電話是處理密碼問題 以一家有 10,000 人的企業來說 = 平均一年花 US$2.8M 及 4000 通電話來處理密碼的問題 成本 增加投入資源 Password 重設支出成本 每一通電話平均成本 US$48 ( 大型企業為例 ) 平均一年要花費 US$20,000 ( 財務公司為例 ) 平均每週要處理 1,000 通電話, 每一通電話花費 US$25 ( 以醫院為例 )
ActivIdentity Single Sign-On 解決方案 The Context of You HRMS Printers Mail 登入一次, 存取工作上需要且被授權使用的資源. HRMS Mail 網路作業系統與電腦知道你是誰. 為什麼應用軟體要問使用者一堆確認身份的問題? Main Frame Main Frame File Shares Network Domains Web App Web App 可整合各個獨立的應用與帳號系統, 讓應用系統的單一登入 (single sign-on) 方案更安全有效
Single Sign-On 流程 6 Platforms and Applications ActivClient 5 2 3 4 Siebel 1 LDAP/Microsoft Active Directory ActivIdentity SSO Service
讓高安全更容易 ActivClient Windows Workstation Windows or Novell NOS Password Token USB Token Fingerprint Smart Card (+PIN) 確認身份無誤後才啟動應用軟體 隨機密碼 自動管理密碼的改變 加強密碼的安全效果及密碼的可用性, 卻不需犧牲密碼使用的方便性 Browser Email Application Terminal Emulator Windows Application Client- Server Applications Protect access with a variety of choices for authentication Strengthen application security by honoring policy and with stronger passwords
效益 ActivIdentity Single Sign-On : 簡化存取 : 透過單一介面即可存取不同作業系統及軟體, 僅需要單一的登入介面 降低客服人員叫修的成本 : 透過自動單一登入及密碼認證的管理即可達成 提高安全等級 : 使用認證高等級標準執行, 並可自動管理密碼 高效率且高效能的存取應用軟體資料 在執行登入時自動接受密碼 方便管理密碼的生命週期
IAM 身份認證解決方案三部曲 一次性動態密碼 (OTP)
企業的面臨的挑戰與問題 靜態式密碼有許多弱點容易被破解, 讓企業遭受損失的風險提高 Access points ( 如 : Web, VPN, Dial-up, Wireless) 需要有比 靜態式密碼 更強而有力的保護方案 安全但不易被使用或是不人性的集中控管方式都是不被企業所接受的解決方案
什麼是 Secure Windows/Remote Access? Password Authentication 企業現存的 Access 方式 Windows Login ActivIdentity authentication devices VPN Web ActivIdentity AAA Server Wireless Dial-Up
Secure Windows/Remote Access 可以提供? Authentication ( 確認 ) Who are you? ( 你是誰 ) Strong 2-factor Users or devices ( 使用者或設備 ) Authorization ( 授權 ) What are your rights? ( 你可以作什麼 ) Authorize network access ( 授權網路的存取權限 ) Accounting ( 記錄 ) What did you do? ( 你作了什麼 ) Billing/Audit/Logging ( 記錄 // 查核 )
ActivIdentity Secure Windows Access 解決方案 ActivIdentity 與 AD 充份整合 與公司內的 Windows 2003 AD 結合, 不同的 User 配發不同的 Token User 登入習慣與原來 AD 登入一樣 當 User 登入後, 輸入 OTP, 透過 AAA Server 與 AD 的認證, 確保該用戶為用戶本人 當員工將加入網域的 notebook 帶至公司外部使用, 在沒有連上網的狀態, 無法使用 OPT 的認證狀況下, 可以改採本機登入
Secure Remote Access 解決方案 ActivIdentity AAA Server 提供 安全的認證 2-factor authentication PIN + Device 透過 RADIUS, TACACS+, 802.1X 標準溝通方式存在企業網路現有架構, 不需變動 可簡單管理認證設備 (Authentication devices) ActivIdentity SRA 效益 輕易的強化網路 / 遠端存取的安全性 類似競爭產品中成本較低 保留未來成長及擴充的彈性空間 Secure Dial-up Secure VPN Secure Web Secure Wireless LAN Secure Terminal Services Secure Remote Access Services Multi-Factor Authentication Methods One-Time Passwords PKI Certificates Hardware Tokens Software Tokens USB Keys Smart Cards
支援 VPN, Dial-Up 及 Firewall 廠牌 支援 IPSEC VPNs 及 SSL VPNs 支援 RADIUS 或 TACACS+ 等遠端存取解決方案
ActivIdentity SWA/SRA 優勢 平順的移轉昇級方案 簡單的從單一靜態密碼安全認證 (single-function) 轉換到多重安全認證 (multi-function) 的 Remote Access 解決方案 OTP to PKI 安全的認證 2-factor authentication PIN + Device 透過 RADIUS, TACACS+, 802.1X 標準溝通方式存在企業網路現有架構, 不需變動 可簡單管理認證設備 (Authentication devices) 可以取代原有 Authentication Manager (a.k.a. ACE Server) 透過 SSO 與 OTP 設備 (Smart Card Token) 與集中控管機制昇級到完整的 Identity Management 架構 普遍且容易使用 有 ATM 使用者經驗的人都會用 使用者都有類似的 PIN 管理習慣
ActivIdentity SWA/SRA 優勢 加強安全性 除去企業目錄服務與遠端存取資料庫同步的問題 PIN 無法從網路發送, 將低外洩風險 提供 Customer control 來啟動 / 異動 / 停用 OTP 容易建置與管理 支援標準協定 RADIUS, TACACS+, ODBC 提供集中控管功能 可客製化的步署建置 Client 端軟體 更佳的投資報酬 可與 LDAP 目錄服務整合減少管理者及使用者負擔 可與 WLAN 安全整合, 降低解決 Remote Access 安全問題成本 輕易的強化網路 / 遠端存取的安全性 保留未來成長及擴充的彈性空間
完整的 IAM 架構 Enterprise User HRMS System Application Access Enterprise Directory Mail & File Servers Network Access Remote User VPN WLAN Web Secure Remote Access Secure Access Strong Authentication Management Secure Desktop Login Single Sign-On Flexible Authentication Password Management 帳號整合 Web Access Mgmt Applications Web Servers Provisioning
成功案例
ActivIdentity 的客戶
各行業代表性客戶 Enterprise Hewlett-Packard Heidleberger Renault KDDI Carphone Warehouse British Telecommunications Hoffmann Laroche Monsanto Airbus Industries Total Alstom ST Microelectronics Government U.S. Dept. of Defense Singapore DSTA U.S. Dept. of Energy U.S. Dept. of Interior U.S. Dept. of Treasury Dutch Ministry of Water Spanish Ministry of Public Works Australian Tax Office Veterans Affairs UK Police Forces French Ministries Finance Barclays Bank PLC First MidWest Bank Crédit Agricole M&T Financial Fiserv Swedbank Nordea Danske Bank PKO Zaba Bank Société Générale Deutsche Bank Group
美國國防部與 ActivIdentity The GSA Common Access Card (CAC) Interoperability Standard Issuance of 4.3 million PKI-enabled smart cards Card Profile Demographic Applet Employee ID Benefits Healthcare Utility PKI Applet Email Secure Web Space for Departmental Applets Other Windows / Novell Login Building access, financial services Open Platform Management Business Process Re-engineering Johnson, Jane Marie Social Security Number Active Duty U.S. Navy Date of Birth 742-76-0064 1969JAN09 Issue Date 1999SEP03 Pay Grade LTCOL Rank A1 Expiration Date SAMPLE 2003SEP01 Geneva Conv. Cat. VI DMDC Geneva Conventions Identification Card
Sun Microsystems JavaBadge Program New Smart Card-based employee ID badge for 35,000 users Building Access Card Logical Access (login, email, remote access) Replaces legacy remote access tokens GlobalPlatform management ActivIdentity Gold deployment Network Login Remote Access with dynamic password Web SSO to Sun s Intranet Platforms: Windows, Solaris and SunRay Why ActivIdentity Gold Attractive ROI: complete solution, cost-effective migration from tokens Java Card + GlobalPlatform management: allows leveraging Sun s investment by adding card services over time
ActivIdentity 在金融 / 銀行的成功案例 客戶名稱 Bank of Central Asia, Indonesia 應用系統 Internet Home Banking System 建置方式 ActivIdentity Management SDK integrated with application layer 建置數量 100,000 ActivIdentity One tokens ActivIdentity 的利基 ActivIdentity 提供完善且安全的方式讓安全認證整合於一單一平台 ActivIdentity 可支援超大用戶數 ActivIdentity 提供 Client 多種不同選擇 及方案 ((token, PDA, GSM etc)
ActivIdentity 在金融 / 銀行的成功案例 客戶名稱 DBS Bank in Singapore 應用系統 Cash Management System ( Ideal System ) 建置方式 ActivIdentity Management SDK integrated with application layer 建置數量 8000 ActivIdentity token Plus ActivIdentity 的利基 ActivIdentity 提供完善且安全的方式讓安全認證整合於一單一平台
ActivIdentity 的產品優勢 完整的產品線 產品陣容齊全 Token Mini Token Token One Key Chain Smart Card: ActivIdentity Gold ActivReader Soho Token/Smart 二合一 USB AvtivKey SIM ActivKey Display Software Token: ( 手機,PDA,SMS) ActivIdentity Tokens 家族 低成本 電池使用壽命長不需一直重覆更換 保固期內免費更換 可自定你的 PIN 號碼 ( 需 Token 支援 ) 可選擇要使用 synchronous 或 challenge/response 認證方式 ( 需 Token 支援 )
ActivIdentity 的產品優勢 最安全的認證機制 One Time Password Patented Synchronous Algorithm Challenge Response X9.9 Compliant implementation User Authentication, Host Authentication, and Message Authentication DES and 3DES 真正的 AAA (Authentication, Authorization and Accounting) 支援標準 : RADIUS and TACACS+ 與 NOVELL NDS/Microsoft ADS/SQL 的超強整合能力 容易使用, 管理, 移動性高 (SMS,TOKEN,PDA,USB..) 與認證模組的整合能力, 可輕易成為認證模組的一部份 不需額外的硬體或資料庫系統, 易於維護及管理 (ODBC Access, Oracle, SQL Server) 與業界眾多系統的整合能力
Q & A 旭昇資訊股份有限公司