referentie-architectuur identity & access management
TRANSCRIPT
Referentie-architectuurIdentity & Access Management
Danny Greefhorst ([email protected])v12, 2 juli 2014
Monitoring en audit
Self-serviceAutorisatieadministratie
Identiteitenadministratie
Doelsystemen
Autoritatieve bronnen
Provisioning
Authenticatie en autorisatie
Identity- en accessmanagementsysteem
Directory
IT-systeem
Monitoring en audit
Self-serviceAutorisatieadministratie
Identiteitenadministratie
DoelsystemenAutoritatieve bronnen
Prospect
Interne medewerker
Externe medewerker
Leverancier
Gast
Rol
Deelnemer Organisatie onderdeel
Rol
Autorisatie-object
Identiteit
Autorisatie
Provisioning
Authenticatie en autorisatie
Organisatie onderdeel
IT-systeem
Identity- en accessmanagementsysteem
Account Account
Authenticatiemiddel
Autorisatie-object
Autorisatie
Rol
Rol
Autorisatie-object
Account
Autorisatie
Authenticatiemiddel IT-systeem
Administreren identiteiten
Bewaken geldigheid account
Creëren account en initieel wachtwoord Zelfregistreren
Beheren persoonlijk profiel
Wijzigen wachtwoord
Resettenwachtwoord
Raadplegen rollen
Aanvragen rol
Aanvragen autorisatie
Afleiden rollen uit huidige autorisaties
Administreren rollen & autorisaties
Delegeren autorisatiebeheer
Controleren functiescheiding
Automatisch koppelen rollen
Synchroniseren identiteiten
Synchroniseren accounts
Ondersteunen hand-matige provisioning
Monitorenprovisioning
Synchroniseren autorisaties
Provisionen naar cloudapplicatie
Genereren token Controleren token
Risico-gebaseerd authenticeren Sterk authenticeren
Authenticerenmet formulier
Inloggen in web- of desktopapplicatie
Grofmazigautoriseren
Autoriserenapplicatie Uitloggen
Audit trail Rapporteren verschil IST-SOLL
Rapporteren huidige autorisaties
Fijnmazigautoriseren
Use-case: opvoeren nieuwe identiteit in bron
identiteit,organisatieonderdeel
Synchroniseren identiteiten
Administreren identiteiten
Creëren account en initieel wachtwoord
identiteit
Automatisch koppelen rollen
Administreren rollen & autorisaties
rol
identiteit,organisatieonderdeel
identiteit, rolaccount,authenticatie-
middel
Autoritatieve bron
Doelsysteem
Synchroniseren accounts
Synchroniseren autorisaties
Monitoren provisioning
monitorgegevens
monitorgegevens
monitorgegevens
account,authenticatiemiddel
account,authenticatie-
middel
rol
rol, autorisatieidentiteit, account
rol, autorisatie
Ondersteunen hand-matige provisioning
Provisionen naar cloudapplicatie
Audit trail
auditinformatie
account, authenticatiemiddel,
rol, autorisatie
identiteit, rol, organisatieonderdeel
monitorgegevens
Use-case: self-service aanvragen additionele rol
Administreren identiteiten
Controleren functiescheiding
Administreren rollen & autorisaties
Doelsysteem
Synchroniseren autorisaties
Monitoren provisioning
rolidentiteit, account
rol
Ondersteunen hand-matige provisioning
Provisionen naar cloudapplicatieAudit trail
auditinformatie
rol
Aanvragen rol
identiteit
identiteit, rol
rol rol, autorisatie, autorisatieobject
identiteit, rol
rol
rol
monitorgegevens
monitorgegevens
IT-systeem
Use-case: federatieve toegang tot IT-systeem
Identity provider Service provider
Controleren token
autorisatie-object,rol, autorisatie
Authenticerenmet formulier
Genereren token
Directory
Fijnmazigautoriseren
autorisatie-object, token
autorisatie-object,account
Grofmazigautoriseren
autorisatie-object,account, rol, autorisatie
autorisatie-object
Controleren tokenautorisatie-object
account,authenticatiemiddel
autorisatie-object,account
rol, autorisatie
Directory
rol
autorisatie
IT-systeem
Use-case: federatieve toegang tot IT-systeem via intermediair
Identity provider Service provider
Controleren token
autorisatie-object,rol, autorisatie
Bepalen identity provider
Genereren token
Fijnmazigautoriseren
autorisatie-object, token
Grofmazigautoriseren
autorisatie-object,account, rol, autorisatie
autorisatie-object
Controleren token
identity provider
Directory
rol
autorisatie
Authenticerenmet formulierGenereren token
Directory
autorisatie-object, token autorisatie-object
account,authenticatiemiddel
autorisatie-object,account
Intermediair
Controleren token
autorisatie-objectautorisatie-object,
token
autorisatie-object,account
rol, autorisatie
Directory
IT-systeem
Monitoring en audit
Self-serviceAutorisatieadministratie
Identiteitenadministratie
DoelsystemenAutoritatieve bronnen
Prospect
Interne medewerker
Externe medewerker
Leverancier
Gast
Rol
Deelnemer Organisatie onderdeel
Rol
Autorisatie-object
Identiteit
Autorisatie
Provisioning
Authenticatie en autorisatie
Organisatie onderdeel
IT-systeem
Identity- en accessmanagementsysteem
Account Account
Authenticatiemiddel
Autorisatie-object
Autorisatie
Rol
Rol
Autorisatie-object
Account
Autorisatie
Authenticatiemiddel IT-systeem
Administreren identiteiten
Bewaken geldigheid account
Creëren account en initieel wachtwoord Zelfregistreren
Beheren persoonlijk profiel
Wijzigen wachtwoord
Resettenwachtwoord
Raadplegen rollen
Aanvragen rol
Aanvragen autorisatie
Afleiden rollen uit huidige autorisaties
Administreren rollen & autorisaties
Delegeren autorisatiebeheer
Controleren functiescheiding
Automatisch koppelen rollen
Synchroniseren identiteiten
Synchroniseren accounts
Ondersteunen hand-matige provisioning
Monitorenprovisioning
Synchroniseren autorisaties
Provisionen naar cloudapplicatie
Genereren token Controleren token
Risico-gebaseerd authenticeren Sterk authenticeren
Authenticerenmet formulier
Inloggen in web- of desktopapplicatie
Grofmazigautoriseren
Autoriserenapplicatie Uitloggen
Audit trail Rapporteren verschil IST-SOLL
Rapporteren huidige autorisaties
Fijnmazigautoriseren
PAGE 9
Identiteit Rol
Autorisatie-objectAccount
Organisatieonderdeel
Autorisatie
heeftverantwoordelijke is onverenigbaar met
is onverenigbaar met
Token
Authenticatiemiddel IT-systeem
is specialisatie van
is onderdeel van
groepeert
heeft
heeftbestaat in
kent
heeft heeft
heeft
bestaat uit
heeft betrekking op
is onderdeel van
heeft specialisatie
DefinitiesAccount: Een middel waarmee een identiteit toegang kan krijgen tot autorisatie-objecten.Apparaat: Een fysiek rekenmiddel waar artefacten op geïnstalleerd kunnen worden en worden uitgevoerd.Applicatie: Een systeem dat zijn inhoud verbergt en zijn functionaliteit beschikbaar stelt via een verzameling van interfaces.Autorisatie: Het recht om gebruik te maken van een autorisatie-object en de condities die daarbij gelden.Autorisatie-object: Een object waartoe toegang dient te worden verleend voordat het kan worden gebruikt.Authenticatiemiddel: Een middel waarmee een vertrouwen ontstaat in de authenticiteit van een identiteit. Deelnemer: Een individu die aan onderwijsactiviteiten deelneemt.Externe medewerker: Een medewerker die geen dienstbetrekking heeft bij de organisatie.Gast: Iemand die voor een heel beperkte tijd een relatie heeft met de organisatie.Identiteit: Een mens of IT-systeem.Individu: Een mens.Interne medewerker: Een medewerker die een dienstbetrekking heeft bij de organisatie.IT-systeem: Een apparaat, applicatie of systeemsoftware.Leverancier: Een organisatie die producten of diensten levert.Medewerker: Een individu die werkactiviteiten uitvoert in opdracht van de organisatie..Organisatie: Een bedrijf, instelling of overheidsorganisatie.Organisatieonderdeel: Een onderdeel van een organisatie.Rol: Een set van taken en bevoegdheden van een identiteit in een organisatie.Systeemsoftware: Een software-omgeving voor specifieke componenten en objecten die erop geïnstalleerd worden in de vorm van artefacten.Token: Een tijdelijk object dat specifieke eigenschappen van een individu aantoont.
PAGE 10
Architectuurprincipes
De architectuurprincipes die horen bij de referentie-architectuur zijn te vinden op:http://www.referentiearchitectuur.nl/index.php/Thema_Identity-_en_accessmanagement
PAGE 11