GenericIAMNeues zu generischen IdM-ProzessenDie bottom-up Modellierung vs. Top-down Ansatz

Version 1.1

2007-09-27, Dr. Horst Walther

Digital ID World 2007, Frankfurt / OberurselDonnerstag, 27.9.2007, 11.15 - 11.55

Track B: Technology, Raum Höhenflug

2007-05-13 www.GenericIAM.org 2

Fragen, die wir heute beantworten …

Warum? - Motivation für GenericIAM.

Wohin? - Das Ziel der Initiative.

Wer? - Die Mitwirkenden und ihre Erfahrungen.

Wie? - Unsere Arbeitsweise.

Was? - die erzielten Ergebnisse.

Wann? – Historie, Gegenwart und Planung.

2007-05-13 www.GenericIAM.org 3

Agenda

Warum? - Motivation für GenericIAM.

Wohin? - Das Ziel der Initiative.

Wer? - Die Mitwirkenden und ihre Erfahrungen.

Wie? - Unsere Arbeitsweise.

Was? - die erzielten Ergebnisse.

Wann? – Historie, Gegenwart und Planung.

2007-05-13 www.GenericIAM.org 4

Unsere MotivationGesucht: ein Baukasten für Standardprozesse des IAM

Prozesse verursachen den meisten Aufwand.

so gehen bei PKI-Projekten 2/3 des Aufwandes in die Prozesse.

Warum mit einem weißen Blatt Papier beginnen?

Warum, das Rad immer wieder neu erfinden?

Gibt es nicht auffällige fachliche Ähnlichkeiten?

Sollten wir uns nicht lieber auf die Unterschiede konzentrieren?

... Und das Gemeinsame „von der Stange“ verwenden?Die Idee hinter

GenericIAM

2007-05-13 www.GenericIAM.org 5

KontextDie Industrialisierung der Dienstleistung

Wir glauben, Teil einer größeren Bewegung zu sein

ITIL, SOA, Compliance Frameworks sind Details eines größeren Bildes

Compliance erzwingt die Verwendung von Infrastruktur Standards

ITIL ist erst der Anfang – CoBIT, ValIT und andere werden folgen.

SOA bietet ein technisches Framework für die Implementierung.

Die Marktkräfte zwingen zu einer Konzentration auf Kernkompetenzen.

Nicht-wettbewerbsrelevante Aktivitäten werden standardisiert.

Sie werden zu niedrigen preisen weltweit beschafft,

… oder ausgelagert / von Drittanbietern bezogen.

Organisatorische Referenzmodelle beschleunigen diese Entwicklung.

GenericIAM als “open org” will wie „open source“ eine Rolle spielen.

2007-05-13 www.GenericIAM.org 6

Agenda

Warum? - Motivation für GenericIAM.

Wohin? - Das Ziel der Initiative.

Wer? - Die Mitwirkenden und ihre Erfahrungen.

Wie? - Unsere Arbeitsweise.

Was? - die erzielten Ergebnisse.

Wann? – Historie, Gegenwart und Planung.

2007-05-13 www.GenericIAM.org 7

elemente

MissionWelchen Auftrag haben wir uns gegeben?

ZielgruppeFür wen ist GenericIAM interessant?

Nutzen …generische IAM-Prozesse nützen allen Marktteilnehmern

… NutzenAnwenderunternehmen werden den größten Nutzen haben

AusrichtungErst national starten und dann international wirken

2007-05-13 www.GenericIAM.org 8

MissionWelchen Auftrag haben wir uns gegeben?

Wir haben das Ziel, für das Identity- und Access Managements (IAM) ein allgemein verwendbares (generisches) Prozessmodell zu entwickeln.

Es soll als Vorlage für unternehmensspezifische Prozesse dienen.

Es soll in manchen Fällen auch unmittelbar implementiert werden können.

Diese Prozesse sollen eine definierte, hohe und angemessene Qualität aufweisen.

Sie sollen zu den gängigen regulatorischen Anforderungen "compliant" sein.

Q

2007-05-13 www.GenericIAM.org 9

ZielgruppeFür wen ist GenericIAM interessant?

Die Initiative GenericIAM ist für jedes Unternehmen und jede Einzelperson interessant, die sich mit Identity- & Access Management befassen.

Vorrangig richten wir uns an Unternehmen an, die Prozesse und Techniken des Identity und Access Management anwenden.

Zusammen mit, Herstellern, Beratern, Analysten und Integratoren repräsentieren sie den Markt. 

diese gesunde Mischung ist für eine hohe Akzeptanz unserer Ergebnisse bedeutsam.

Mitglieder dieser Zielgruppe sind zur Mitwirkung in diesem Arbeitskreis eingeladen.

Von jedem Teilnehmer wird ein inhaltlicher, organisatorischer oder finanzieller Beitrag zur Erreichung der gemeinsamen Zielsetzung erwartet.

2007-05-13 www.GenericIAM.org 10

Nutzen …generische IAM-Prozesse nützen allen Marktteilnehmern

Anwenderunternehmen …mit eingeführten IAM-Prozessen werden den größten Nutzen von einer Mitwirkung in dieser Initiative haben. Sie haben überwiegend nur Teile der notwendigen Prozesse definiert und eingeführt.

Integratoren und Systemanbieter …können bereits umfangreiche und wirklichkeitsnahe Musterprozesse mitliefern. Damit ermöglichen sie ihren Kunden, die hohen Modellierungskosten vor der Implementierung stark zu senken und gleichzeitig den Einführungszeitraum zu kürzen.

Freiberufliche Projektleiter und Berater mit Schwerpunkt Prozessmodellierung …können bereits mit vorgefertigten Baumustern antreten, sofern der Systemanbieter sie nicht bereits implementiert mitliefert.

Insgesamt tragen wir …durch das Bereitstellen eines allgemein anerkannten und verwendeten Referenzmodells wesentlich zur Professionalisierung der Disziplin des Identity & Access Management bei.Damit senken wir in vielen Unternehmen die Schwelle zur Einführung von Policies, Prozessen und nicht zuletzt Systemen des IAM.

Auch die unmittelbar Mitwirkenden …Können vom Erfolg des generischen Prozessmodells profitieren, indem sie sich dadurch als ausgewiesene Experten für IAM-Prozesse profilieren und eine gewisse Fachöffentlichkeit erreichen können.

2007-05-13 www.GenericIAM.org 12

AusrichtungErst national starten und dann international wirken

Die Initiative GenericIAM ist in Deutschland an gestartet.

Um schnell zu inhaltlichen Ergebnissen zu kommen, haben wir  zunächst bewusst darauf verzichtet, uns international zu etablieren

In Deutschland haben wir uns als Kompetenzzentrum "Identity Management" unter dem Dach des NIFIS e.V. organisiert.

Natürlich darf unser Bemühen, zu einem Standard-Modell für die Prozesse des Identity & Access Management zu kommen, nicht auf Deutschland beschränkt bleiben.

Wir haben uns daher bereits international mit „The OpenGroup“ und auf Europäischer Ebene mit der ensia abgestimmt..

Im Frühjahr 2007 haben wir, it den ersten substantiellen Ergebnissen in der Hand, die Internationalisierung gestartet.

2007-05-13 www.GenericIAM.org 13

Agenda

Warum? - Motivation für GenericIAM.

Wohin? - Das Ziel der Initiative.

Wer? - Die Mitwirkenden und ihre Erfahrungen.

Wie? - Unsere Arbeitsweise.

Was? - die erzielten Ergebnisse.

Wann? – Historie, Gegenwart und Planung.

2007-05-13 www.GenericIAM.org 14

elemente

Wir …Wer sind die Personen in und um GenericIAM?

Aktuelle MitgliederAnwender, Analysten, Berater, Hersteller und Integratoren

GenericIAM und die NIFISKompetenzzentrum „Identity Management“ der NIFIS

2007-05-13 www.GenericIAM.org 15

Wir …Wer sind die Personen in und um GenericIAM?

Wir sind …

eine Gruppe von Freiwilligen mit dem gemeinsamen Ziel, ein möglichst vollständiges generisches Modell der Prozesse des Identity- & Access Management zu entwickeln.

Wir kommen …

aus kleinen und großen Anwenderunternehmen,

von Beratungsunternehmen,

Analystenhäusern,

Produktherstellern,

Systemintegratoren und

universitären Einrichtungen.

Mit unserer Initiative wollen wir …

die Disziplin Identity Management insgesamt voran bringen und

damit auch für uns, die sich mit diesem Thema professionell befassen, Nutzen erzielen.

2007-05-13 www.GenericIAM.org 16

Aktuelle MitgliederAnwender, Analysten, Berater, Hersteller und Integratoren

as of 2007-05-13:

2007-05-13 www.GenericIAM.org 17

GenericIAM und die NIFISKompetenzzentrum „Identity Management“ der NIFIS

Das an der Nahtstelle zwischen fachlich / organisatorischen und technischen Aufgaben gelegene Identity & Access Management ist eine der Schlüsseldisziplinen einer unternehmensweiten Sicherheitsarchitektur.

Die "Nationale Initiative für Internet-Sicherheit" (NIFIS e.V.) ist die Selbsthilfeorganisation der Wirtschaft im Kampf gegen die wachsenden Gefahren aus dem Internet.

Sie ist grundsätzlich für alle sicherheitsrelevanten Themen im Umfeld der Internet-Sicherheit offen und dient als Anlaufstelle bei Fragen und Problemen.

Die Initiative GenericIAM passt von ihrem Wesen her hervorragend zu dem Selbsthilfecharakter dieser Organisation bei gleichzeitig großer inhaltlicher Überdeckung.

Seit dem 01.12.2006 haben wir uns daher als Kompetenz-zentrum Identity Management in die NIFIS eingegliedert.

Kontakt zu Nifis:Nifis e.V.KompetenzzentrumIdentity ManagementWeismüllerstraße 2160314 Frankfurt Fon: +49 69 40809370

Fax: +49 69 40147159

Kontakt zu Nifis:Nifis e.V.KompetenzzentrumIdentity ManagementWeismüllerstraße 2160314 Frankfurt Fon: +49 69 40809370

Fax: +49 69 40147159

2007-05-13 www.GenericIAM.org 18

Agenda

Warum? - Motivation für GenericIAM.

Wohin? - Das Ziel der Initiative.

Wer? - Die Mitwirkenden und ihre Erfahrungen.

Wie? - Unsere Arbeitsweise.

Was? - die erzielten Ergebnisse.

Wann? – Historie, Gegenwart und Planung.

2007-05-13 www.GenericIAM.org 19

elemente

Ebenenstruktur der ProzesseWie fügen sich die generischen IAM-Prozesse in ein Gesamtmodell?

Unsere Arbeitsweisevon der unternehmensspezifischen Lösung zum Standardmodell

Sicherung der ErgebnisqualitätQS-Schritte sind integraler Bestandteil der Ergebniserstellung.

MeetingsEinmal im Quartal treffen wir uns zu einem ganztägigen Meeting

LizenzmodellDie Ergebnisse werden wir unter einer offenen Lizenz (creative commons) publizieren.

2007-05-13 www.GenericIAM.org 20

custom processes adapted & extended

custom processes adapted & extended

Modelling approachbottom-up- and top-down-approach lead to one generic model

generic processesgeneric processes

elementaryactions

elementaryactions

objects&

subjects

botto

m-u

p ap

proa

chTop-dow

n approach

2007-05-13 www.GenericIAM.org 21

auswählenauswählen

Unsere Arbeitsweisevon der unternehmensspezifischen Lösung zum Standardmodell

Das Unternehmen bringt Prozesse es in die Standardisierung ein. Diese sind im Regelfall nicht wettbewerbsrelevant. Ihnen wird eine gewisse Allgemeingültigkeit zugetraut.

Übergabe kleiner Modelle als komprimierter e-Mail-Anhang. Größere Modelle per FTP-Download oder auf CD oder DVD an die NIFIS.ggf übernimmt ein NIFIS-Vertreter die Ergebnisse persönlich. In zwei Formaten:

1. dem ursprünglichen Modellierungsformat und

2. einer vollständig in ein pdf-Dokument umgewandelten Form.

Herausfaktorisieren generischer Bestandteile aus den unternehmensspezifischen Modellen. Diese Sachverhalte kennt nur einem kleines Modellierungsteam. Anonymisieren, generalisieren, standardisieren.(Erst danach) Prüfen durch erweiterten Reviewerkreis.

Modellierte Prozesse werden offiziell für GenericIAM freigegeben. Reviewer von GenericIAM und bei Bedarf auch externen ExpertenSie geben mängelfreie Exemplare freiSchwere Mängel führen zur ZurückweisungLeichte Mängel führen zu Nachbesserungsauflagen.

Die Modelle werden einmal jährlich publiziert. GenericIAM-Mitglieder sie kostenfreie. Interessenten beziehen sie zu einem nicht-diskriminierenden Entgelt.

modellierenmodellieren

übernehmenübernehmen

prüfenprüfen

publizierenpublizieren

2007-05-13 www.GenericIAM.org 22

Sicherung der ErgebnisqualitätQS-Schritte sind integraler Bestandteil der Ergebniserstellung.

Bei der Planung die Zeiten für QS berücksichtigen!

Verfahren festlegen,

Q-Kriterien als Checkliste bereitstellen,

Ergebnis erarbeiten,

Ergebnis im Review prüfen,

Das Ergebnis entweder

freigeben

mit Auflagen freigeben oder

zurückweisen

Planen

Vorbereiten

Erarbeiten

Prüfen

ErgebnisplanErgebnisplan

QS-VerfahrenQS-Verfahren

ChecklisteCheckliste

ErgebnisErgebnis

Review-ProtokollReview-Protokoll

2007-05-13 www.GenericIAM.org 23

MeetingsEinmal im Quartal treffen wir uns zu einem ganztägigen Meeting

Einmal im Quartal treffen wir uns zu einem ganztägigen Meeting.

in der Regel bei einem unserer Mitgliedsunternehmen.

Dort werden erarbeitete Ergebnisse diskutiert und freigegeben.

Neue Aufgaben vergeben und die Weichen für die weiteren Arbeiten gestellt.

Die Ergebnisse der Quartalsmeetings werden protokolliert.

Die bisherigen Meetings waren ...

2006-04-25, Frankfurt, Gastgeber: Kuppinger, Cole + Partner

2006-06-20, München, Gastgeber: Kuppinger, Cole + Partner

2006-09-27, Wiesbaden, Gastgeber: Digital ID-World

2006-12-01, München, Gastgeber: ORACLE

2007-03-02, Düsseldorf, Gastgeber: WestLB AG .

2007-06-29, München, Gastgeber: CSC

Das nächste Meeting:

2007-10-12, Frankfurt, in den Räumen der NIFIS

2007-05-13 www.GenericIAM.org 24

Agenda

Warum? - Motivation für GenericIAM.

Wohin? - Das Ziel der Initiative.

Wer? - Die Mitwirkenden und ihre Erfahrungen.

Wie? - Unsere Arbeitsweise.

Was? - die erzielten Ergebnisse.

Wann? – Historie, Gegenwart und Planung.

2007-05-13 www.GenericIAM.org 26

Input-Beispielnicht-generischer Prozess “Hire employee”

Wenn eine Mitarbeiter keiner Organisationseinheit angehört:

Zentrale Verwaltung benachrichtigen.

Wenn erforderliche Nutzerattribute unbekannt:

Identifizieren und informieren des Zuständigen.Fehlende Attribute einfügen.

Wenn erforderliche Systemattribute nicht bekannt sind:

Informieren des System-OwnersFehlende Attribute einfügen.

Basisrechte über Basisrollen automatisch zuweisen.

Logon-Namen nach Bildungsregel automatisch zuweisen

Zugriffsrechte in den Systemen automatisch anlegen (Provisioning) oder Mail an System Administrator senden.

Technische Überwachung der Konnektoren.

Informiere Manager über Mitarbeiterrechte.

* Modeled by ism – Institute for System Management

*

Aufnahme eines neuen Mitarbeiters über ZIC-UV,

User-Manager oder User-IC

Info-Mail an den Leiter zum MA-Eintritt wird

verschickt

Konseq

Ende

Basis-Berechtigungen werden vom Prozess-

Manager zugeteilt.

Info-Mail an den Leiter über Abschluß der Berechtigungsvergabe incl. UID und Passwort

der zugeteilten Systeme

GPMMA-Einrtitt

Überwachung der automatischen SST

(z.B. w2k)Bestätigung der

Berechtigungsvergabe für Aktion 7 Systeme (z.B. Notes) durch System-

Admins

Info-Mail zu Aufträgen für Aktion 7 an die zuständigen

System-Admins

Prüfung auf OE-Zuordnung

Ja

Info-Mail an zentrale Admninistration

Nein

Eingabe der fehlenden OE-Zuordnung

1

Prüfung auf Systemzwangsattribute

für Rechtevergabe

Eingabe der fehlenden Attributwerte über ZIC-

Maske

Info-Mail zu fehlenden Attributwerten für

Rechtevergabe an den Leiter

Prüfung auf Zwangsattribute

Info-Mail an den zuständigen Sachbearbeiter

Eingabe der fehlenden Zwangsattribute zum User

über Web-Maske

Vorhanden? Nein

Ja

2

3

4

5

7

8

9

10

6

2007-05-13 www.GenericIAM.org 27

Prozess Listebottom-up Prozesse - anonymisiert, standardisiert noch nicht generisch

IM10 Mitarbeitereintritt

IM11 Stammdatenerfassung

IM12 Basiszugang einrichten

IM13 Erweiterte Zugänge einrichten

WM10 Antragsverfahren Nutzerkonto

WM20 Antragsverfahren Rollen

WM30 Antragsverfahren Gruppen

2007-05-13 www.GenericIAM.org 28

Prozess Liste Ibottom-up Prozesse - anonymisiert, standardisiert noch nicht generisch

2007-05-13 www.GenericIAM.org 29

Prozess Liste IIbottom-up Prozesse - anonymisiert, standardisiert noch nicht generisch

2007-05-13 www.GenericIAM.org 30

The modelling cyclefinding the essence removes implementation artefacts

essential target model

essential target model

physicalcurrent model

physicalcurrent model

essentialcurrent model

essentialcurrent model

physicaltarget model

physicaltarget model

the enterpriseModelling cycle

[abstraction]

essentiallayer

physicallayer

today future[time]

classicsystems analysis

technological development

“forbidden"transition

enterprise strategy

Implementation

• value chain• object model• process model• state model

• value chain• object model• process model• state model

abstractionprojection

Enterprise modelsEnterprise models

Evolution

2007-05-13 www.GenericIAM.org 32

Attributes

The Identityand its “less rich” sibling the digital identity

Identity is the fundamental concept of identity management

In philosophy Identity is the sameness of two things.

In object-oriented programming Identity is a property of objects that allows the objects to be distinguished from each other.

But in Identity Management …

“We usually speak of identity in the singular, but in fact subjects have multiple identities.”

“These multiple identities or personas, as they are sometimes called, …”.

The sum of all these Personas makes up the identity.

In turn personas are to be understood as its projection to the space of information demand in a specific context.

Biometrics ties the digital identity to the real world physical identity.

ID

2007-05-13 www.GenericIAM.org 34

The User: Identity uses a Resource

Identities are often tied to resources

They „use“ resources

They do so by performing operations

This relations may carry attributes

It turns to a derived object: the user.

Account is a synonym for user.

The “user” is the identity's relationship to the resource.

identity resourceuse

user

2007-05-13 www.GenericIAM.org 35

The Operation: user operates on the Resource

users perform different operations on resources

They „operate“ on resources

They do so by performing operations

This relations may carry attributes

It turns to a derived object: the user.

user resourceoperates

operation

2007-05-13 www.GenericIAM.org 37

The Identity belongs to an organisation

The Identity has a relationship to an organisation

It typically has an owner in this organisation

There might be more than one relationship

There are many specialisations to this relationship

This relationship may carry attributes

It turns to a derived object: the individual role.

The role type is a predefined class of relationships of an identity to an organisation.

When the role type is assigned to an identity parameters are set to form the individual role.

identity organisationbelong

role

2007-05-13 www.GenericIAM.org 38

To each object policies can be applied

Policies are sets of rules

The rules are generally applied on an objects state change

Applying rules to objects needs to be expressed as an abject of its own.

Policies can be attached to all objects

Most obvious are SoD- (separation of duties) policies

A SoD policy applies to roles

A SoD policy contains several SoD rules

Only static SoD is considered here

Dynamic SoD requires the introduction of the object ‘session’

organisation objectapply rule

policy

rolerole

object policy

rule

applies to

contains

2007-05-13 www.GenericIAM.org 43

Relationships are expressed in contracts

An Identity performs operations on the organisation’s resources through several intermediate organisational constructs:

The relationship's fine structure:

a contract defines the total relationship

the role represents the entitlements and the planned behaviour.

the role hence is a fraction of the contract.

the contract may contain several roles.

The actual (contract, role) defines incarnation details of the type (contract type, role type).

rolerole

identity organisation

operation

user

Role

ressource

contractcontract

type

roletype

specifies

contains

specifies

contains

operation

user

Role

ressource

operation

user

ressource

role

2007-05-13 www.GenericIAM.org 44

Subjects are acting on objects

In workflows subjects (actors) act on objects

Subject may be owners or a clerk

Owners are responsible

Custodians act on behalf of owners

Owners delegate to custodians

Subjects act or react

Their action triggers an event

Reactions often are approvals

Time may act as a (virtual) subject

subject objectact

action

owner

custodian

may beor

time

or

2007-05-13 www.GenericIAM.org 45

Request & approval

The request is a transient object.

It is the central workflow object

It can be understood as the instantiation of a process type.

The request is created by an event.

when a subject requests access to an object.

when time has come to re-validate a role / privilege.

when the defined response period has been passed without an action (escalation)

Subject Objectrequests

request

request #4

Process type:approve request

request #3

request #2

request #1

instantiation

2007-05-13 www.GenericIAM.org 47

Subjects decide on requests

In workflows subjects (actors) act on objects

Subject may be owners or a clerk

Owners are responsible

Clerks act on behalf of owners

Owners delegate to clerks

Subject act or react

Their action triggers an event

Reactions often are approvals

subject requestdecides

decision

approval

rejection

may beor

escalation

or

2007-05-13 www.GenericIAM.org 48

Every object has an owner

Each object as one owner

The owner is responsible for the object

The owner may delegate object management to a custodian.

The owner may temporarily transfer ownership (full responsibility) to delegate.

Owners differ considerably from one organisation to another

This apparent complexity is a result of customising a simple model

object

owner

own

identity

individualSuperior

own

resource

resourceowner

own

organisation

org. dept.Superior

own

contracttype

HRPuchasingLine Mgr.

Sales,…

own

roletype

role-Manager

own

operation

process-ManagerLine-Mgr.

own

2007-05-13 www.GenericIAM.org 51

Elementary actions – changes on objects

The Identities role in an organisation performs operations on resources

The Processes consist of >= 1activities.

They are triggered by an event.

They lead to a meaningful result to a subject.

Process types (the class or definition) and process instantiations (incarnation, actual).

Operational processes and managerial processes.

Operational processes: identification, authentication and authorisation.

The managerial:

administrative processes,

audit processes and

change processes.

The administrative processes represent the “lions share” of all IAM processes.

Its most prominent representative is the “request & approval process”.

defines the relationship

a role defines incarnation details

“the contract is expressed by several roles”

assignoperations

rolerole

identity organisation

operation

user

Role

ressource

contractcontract

type

roletype

specifies

contains

specifies

contains

operation

user

Role

ressource

operation

user

ressource

role

maintainIdentity

maintainorganisation

maintainrole typs

deriveroles

maintainresources

maintain operations

Maintainrole

maintainuser

2007-05-13 www.GenericIAM.org 52

Deriving elementary actions is an obvious process

Each object in the big picture needs a maintanance process

Maintenance covers CRUD (create, read update, delete) and assignment

object process class level event resultowner maintain owner administrative essential new owner, oor change mantained ownerrule maintain rule administrative essential new or chaned policy maintained ruleuser activate / deactivate user administrative essential role change (de-) activated useroperation report operations on object for owned identities audit essential request reportpolicy maintain authentication policy change essential new or changed authenticationpolicymaintained authenticationpolicypolicy maintain federation policy change essential new or changed federationpolicymaintained federationpolicyrole maintain role change essential request maintaned rolerole type maintain role type change essential request, new system, new policy, new rulemaintained role typesystem maintain system assigments change essential system change, policy changemaintained system assigmentssystem maintain system change essential new or changed system maintained systemidentity autenticate identity operational essential request autenticated, rejected identityidentity maintain role to identity assignment operational essential request, contract change maintained role typeidentity notify identity on request status operational essential request fulfilled / rejected subject notifiedidentity maintain identity operational essential new or changed identity maintained identityoperation maintain operation on object operational essential new or changed object, operationmaintained operation on objectoperation reconciliate operations on objects audit physical request, time exception reportidentity federate identities operational essential new or changed identity federated identittiessystem login to system operational physical login request user logged insystem (de-) provision operation on objects operational physical request fulfilled / rejected (de-) provisioned operation on objects

2007-05-13 www.GenericIAM.org 55

requesting

(mutliple)distributing

andprocessing

requestcreated

requestrejected

approving

rejecting

<role inst.>;<owner>

requestapproved

escalatingrequest

escalatedterminating

requestdenied

requestapproved

requestpartially

approved, rejected, denied

request completely

rejected, denied

{n}

{m}

<role inst.>;<owner>

<role inst.>;<owner>

<role inst.>;<owner>

<role inst.>;<owner>

<pre-conditions>

<pre-conditions>

<pre-conditions>

<pre-conditions>

<pre-conditions>

request

request

requestrequest

requestrequest

request

request

Approve requestgeneric process example using petri nets

Result of the conclave workshop 2007-06-27 - 28

2007-05-13 www.GenericIAM.org 56

Agenda

Warum? - Motivation für GenericIAM.

Wohin? - Das Ziel der Initiative.

Wer? - Die Mitwirkenden und ihre Erfahrungen.

Wie? - Unsere Arbeitsweise.

Was? - die erzielten Ergebnisse.

Wann? – Historie, Gegenwart und Planung.

2007-05-13 www.GenericIAM.org 58

Wann?Gestern, heute und morgen

Wir kamen erstmalig im Q1/2006 zusammen – anche inem aufruf von Kuppinger, Cole + Partner.

Seither treffen wir uns einmal pro Quartal.

Die ersten Ergebnisse wollen wir noch in 2007 publizieren.

Meeting #12006-04-25Frankfurt

Meeting #22006-06-20München

Meeting #32006-09-27Wiesbaden

Meeting #42006-12-01München

Meeting #52007-03-02Düsseldorf

Meeting #6 Meeting #7

kickoff meeting

booth EIC 2007

GenericIAM2007

organize, acquire

model

2007-05-13 www.GenericIAM.org 59

Fragen – Kommentare - Beiträge?

2007-05-13 www.GenericIAM.org 60

The end ...

Vielen Dankefür Ihre

Aufwerksamkeit!

sollten Sie noch Fragen haben: horst.walther@nifis.org,skype: HoWa01

VoIP: +40 40 414314453

2007-05-13 www.GenericIAM.org 61

Achtung

Backup Folien

2007-05-13 www.GenericIAM.org 67

Identity and Access Management Terminology

Access management. Processes and technologies for controlling and monitoring access to resources consistent with governing policies. Includes authentication, authorization, trust, and security auditing.

Authentication. A process that checks the credentials of a security principal against values in an identity store. Authentication protocols such as Kerberos version 5, Secure Sockets Layer (SSL), NTLM, and digest authentication protect the authentication process and prevent the interception of credentials.

Authorization. The process of resolving a user's entitlements with the permissions configured on a resource in order to control access. Authorization in the Windows operating system involves access control lists (ACLs) on files, folders, shares, and directory objects. Applications such as SQL Server, SharePoint® Portal Server, and Exchange Server implement access control mechanisms on resources they manage. Application developers can implement role-based access control using Windows Authorization Manager or ASP.NET roles.

Credential. Typically a piece of information related to or derived from a secret that a digital identity possesses, although secrets are not involved in all cases. Examples of credentials include passwords, X.509 certificates, and biometric information.

Digital identity. The unique identifier and descriptive attributes of a person, group, device, or service. Examples include user or computer accounts in Active Directory, e-mail accounts in Microsoft Exchange Server 2003, user entries in a database table, and logon credentials for a custom application.

Entitlement. A set of attributes that specify the access rights and privileges of an authenticated security principal. For example, Windows security groups and access rights are entitlements.

Federation. A special kind of trust relationship between distinct organizations established beyond internal network boundaries.

Identity integration services. Services that aggregate, synchronize, and enable central provisioning and deprovisioning of identity information across multiple connected identity stores. MIIS 2003 SP1 and the Identity Integration Feature Pack 1a (IIFP) for Active Directory provide identity integration services.

Identity life-cycle management. The processes and technologies that keep digital identities current and consistent with governing policies. Identity life-cycle management includes identity synchronization, provisioning, deprovisioning, and the ongoing management of user attributes, credentials, and entitlements.

Identity store. A repository that contains digital identities. Identity stores are usually some form of directory or database managed and accessed through a provider such as Active Directory or Microsoft SQL Server. Identity stores can be centralized, for example on a mainframe computer, or distributed; Active Directory is an example of a distributed identity store. They generally have well-defined schemas for what information can be stored and in what form it can be recorded. They usually incorporate some form of encryption or hashing algorithm to protect both the store and components of the digital identity, such as credentials. Older and custom identity stores may not have such strict security mechanisms and may store passwords in plaintext (with no encryption).

Identity synchronization. The process of ensuring that multiple identity stores contain consistent data for a given digital identity. This process can be achieved using programmatic methods such as scripts or through a dedicated product such as MIIS 2003 SP1.

Provisioning. The process of adding identities to an identity store and establishing initial credentials and entitlements for them. Deprovisioning works in the opposite manner, resulting in the deletion or deactivation of an identity. Provisioning and deprovisioning typically work with identity integration services to propagate additions, deletions, and deactivations to connected identity stores.

Security auditing. A process that logs and summarizes significant authentication and authorization events and changes to identity objects. Organizations will differ in their definition of significant events. Security audit records can be written to the Windows Security Event Log.

Security principal. A digital identity with one or more credentials that can be authenticated and authorized to interact with the network.

Trust. A state that describes the agreements between different parties and systems for sharing identity information. A trust is typically used to extend access to resources in a controlled manner while eliminating the administration that would otherwise be incurred to manage the security principals of the other party. Trust mechanisms include cross-forest trusts in Windows Server 2003 and trusts between realms using the Kerberos version 5 authentication protocol.

2007-05-13 www.GenericIAM.org 68

Roles, tasks, and operationsaccording to Microsoft

A role …is a set of permissions that a user must have to do a job.

Well-designed roles should correspond to a job category or responsibility (for example, receptionist, hiring manager, or archivist) and be named accordingly.

A task …is a collection of operations, and sometimes other tasks.

Well-designed tasks are inclusive enough to represent work items that are recognizable (for example, "change password" or "submit expense").

An operation …is a set of permissions that you associate with system-level or API-level security procedures like WriteAttributes or ReadAttributes.

You use operations as building blocks for tasks.

Role definitionsThe role definitions that are appropriate depends on the structure and goals of your organization. Roles support inheritance from other roles. To define a role, you specify a non-arbitrary name, a friendly description, and some lower-level tasks, roles, and operations that are part of it. This provides a mechanism for role inheritance. For example, a Helpdesk role might include a Product Support role.

Role assignmentsA role assignment is a virtual container for application groups whose members are authorized for the role. A role assignment is based on a single role definition, and a single role definition can be the basis of many role assignments.

Task definitionsA task definition is smaller than a role definition and can be used to define roles and other tasks.You associate tasks with roles in an intuitive way. For example, the Recruiter role might include the Interview task. Tasks, like roles, are defined in a way that is appropriate to the organization. To define a task, you specify a name, a friendly description, and some lower-level tasks and operations that are part of it.

Operation definitionsOperations are small computer-level actions that are used to define tasks and are not relevant to an administrator. You define operations only in developer mode.

2007-05-13 www.GenericIAM.org 69

How Does XPDL Compare to BPEL?

BPEL and XPDL are entirely different yet complimentary standards. 

BPEL is an "execution language" designed to provide a definition of web services orchestration, specifically the underlying sequence of interactions, the flow of data from point-to-point.

For this reason, it is best suited for straight-through processing or data-flows vis-a-vis application integration. 

The goal of XPDL is to store and exchange the process diagram, to allow one tool to model a process diagram, and another to read the diagram and edit, another to "run" the process model on an XPDL-compliant BPM engine, and so on.

For this reason, XPDL is not an executable programming language like BPEL, but rather a process design format that literally represents the "drawing" of the process definition.

Specifically, it has ‘XY' or vector coordinates, including lines and points that define process flows.

This allows an XPDL to store a one-to-one representation of a BPMN process diagram.

For this reason, XPDL is effectively the file format or "serialization" of BPMN, as well as any non-BPMN design method or process model which use in their underlying definition the XPDL meta-model (there are presently about 70 tools which use XPDL for storing process models.)