Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoOrtensia Frigerio Modificato 8 anni fa
1
Software Group – Tivoli Services © 2006 IBM Corporation Edison: progetto di Identity Management Obiettivo del progetto
2
Software Group – Tivoli Services © 2006 IBM Corporation Obiettivi progetto attuale e sviluppi futuri Censimento di tutte le utenze presenti sulle 30 applicazioni mission critical e process critical concordate con Edison Correlazione tra le utenze censite sui sistemi target e le persone gestite nei sistemi di Human Resources (HR) Individuazione delle utenze orfane sviluppi futuri: –Provisioning automatica delle utenze –Sincronizzazione delle password –Workflow automatici di autorizzazioni richieste
3
Software Group – Tivoli Services © 2006 IBM Corporation La soluzione proposta si basa su IBM Tivoli Identity Manager (ITIM) Funzionalità offerte da IBM Tivoli Identity Manager: Flessibilità (architettura J2EE basata su Websphere) Configurazione in alta affidabilità Gestione centralizzazione della soluzione Possibilità di riutilizzo delle varie componenti (Adapter, Politiche, etc) Scalabilità verticale ed orizzontale Comunicazioni sicure Architettura web-based Aderenza a standard di mercato J2EE, LDAP, XML, JavaScript Interfaccia di gestione di tipo web based integrazione con le soluzioni pre-esisteni : non necessità di modifiche sui sistemi target
4
Software Group – Tivoli Services © 2006 IBM Corporation Edison: progetto di Identity Management Descrizione della soluzione
5
Software Group – Tivoli Services © 2006 IBM Corporation ITIM: principali componenti architetturali La soluzione ITIM si compone di: ITIM Server ITIM User Registry (LDAP) ITIM DB ITIM Adapters Sono possibili installazioni all in one, in cluster e/o distribuendo le varie componenti su più piattaforme
6
Software Group – Tivoli Services © 2006 IBM Corporation ITIM Server L’ITIM Server è un’applicazione Java che viene installata all’interno di un Application Server J2EE (IBM WebSphere Application Server fornito in bundle con ITIM). In particolare: offre tutti i servizi di Front-End accessibili via interfaccia web per –gli amministratori delle utenze –gli utenti che hanno la possibilità/esigenza di gestire le proprie informazioni personali. usa specifici connettori (adapter) da installare e configurare sui sistemi remoti, per –gestire le utenze –fare provisioning (fase successiva) –Completare operazioni di riconciliazione può integrarsi con un Server di posta elettronica (esterno) per notificare attività legate alla gestione utenza
7
Software Group – Tivoli Services © 2006 IBM Corporation ITIM User Registry Componente realizzata tramite un directory LDAP. È utilizzato per memorizzare tutte le informazioni relative a: –identità, –Politiche –Ruoli, etc LDAP previsto è IBM Directory Server 6.0 (fornito in bundle con il prodotto)
8
Software Group – Tivoli Services © 2006 IBM Corporation ITIM DB Componente basata su un Database relazionale. Serve per memorizzare tutti i dati storici prodotti da ITIM Server Nativamente ITIM offre una serie di report già configurati Esiste la possibilità tramite un tool nativo di creare template di report personalizzati DB previsto: D B2 v8.2 (fornito in bundle con ITIM)
9
Software Group – Tivoli Services © 2006 IBM Corporation ITIM Adapters Componente che permette di integrare gli applicativi (i target della gestione) all’interno del sistema di Identity Management Esistono adapter nativi per integrare sistemi standard (OS, DB Oracle, Lotus Notes) Supporta adpater sviluppati via IBM Directory Integrator (IDI) per applicazioni custom (Arianna, Sigequal)
10
Software Group – Tivoli Services © 2006 IBM Corporation Funzionalità della soluzione: riconciliazione È il processo che consente di effettuare il censimento, la normalizzazione e la rivalidazione degli account esistenti nei sistemi target gestiti Il processo può essere schedulato oppure avviato manualmente Le regole di adozione sono personalizzabili tramite JavaScript Tutte le utenze per il quale ITIM non è in grado di associare automaticamente una Person vengono memorizzate e classificate come orfane (Orphan Account). Queste utenze possono poi essere adottate manualmente, sospese o cancellate secondo le singole casistiche
11
Software Group – Tivoli Services © 2006 IBM Corporation Integrazione con i sistemi Edison Le informazioni circa gli utenti reali (Person) verranno prelevati dai sistemi di HR di Edison e trasferiti su ITIM User Registry (caricamento massivo) Saranno sviluppati flussi che manterranno allineati i due repository Parte delle informazioni utente potrebbero essere lette da Active Directory
12
Software Group – Tivoli Services © 2006 IBM Corporation Perimetro Applicativo Sono state individuate 30 applicazioni target che verranno integrate nella soluzione di Identity Management proposta Alcune di queste applicazioni utilizzeranno adapter nativi, altre richiederanno lo sviluppo di adapter custom tramite IDI
13
Software Group – Tivoli Services © 2006 IBM Corporation Perimetro applicativo: esempio delle applicazioni ApplicazioneResponsabilitàTipo di connettore Active DirectoryIBMNativo ITIM SAP R/3IBMNativo ITIM BDEIBMNativo ITIM + connettore custom SigequalIBMCustom PitecoIBMCustom
14
Software Group – Tivoli Services © 2006 IBM Corporation Edison: progetto di Identity Management Descrizione del progetto
15
Software Group – Tivoli Services © 2006 IBM Corporation Descrizione delle attività Il progetto è articolato in due macro attività: Analisi e disegno architetturale Implementazione della soluzione
16
Software Group – Tivoli Services © 2006 IBM Corporation Analisi e disegno architetturale Verrà condotta un’analisi puntuale dell’infrastruttura e del perimetro progettuale per poter disegnare e proporre un architettura valida con più alternative fisiche/logiche. L’architettura proposta terrà conto di possibili ampliamenti futuri (provisioning delle utenze) La scelta della soluzione da parte di Edison, porterà alla determinazione dell’hardware per il progetto e ad un piano delle attività dettagliato.
17
Software Group – Tivoli Services © 2006 IBM Corporation Configurazione hardware di massima Soluzione all-in-one –Xseries : 2 processore 3.8Ghz 8 Gb RAM 100 Gb Spazio disco La configurazione ottimale verrà definita durante la fase di analisi iniziale
18
Software Group – Tivoli Services © 2006 IBM Corporation Implementazione della soluzione di Identity Management Verrà realizzata l’implementazione della soluzione scelta da Edison tra quelle proposte da IBM Le macro attività previste in questa fase sono: –Installazione dell’infrastruttura ITIM –Il caricamento massivo utenze –Integrazione delle 30 applicazioni –Integrazione con Protocom SecureLogin –Test funzionali –Passaggio in produzione e rilascio della soluzione
19
Software Group – Tivoli Services © 2006 IBM Corporation Pianificazione di massima È stato stimato un elapsed time di 7 mesi. Ipotizzando la partenza al 01/06/2006 il progetto avrebbe termine al 31/12/2006
20
Software Group – Tivoli Services © 2006 IBM Corporation Non introduzione di criticità da parte di ITIM In caso di non funzionamento di ITIM si interrompe la gestione centralizzata dell’utenza, ma non si hanno impatti sull’accesso alle risorse o all’uso di tool nativi per la creazione, modifica, cancellazione utenze
21
Software Group – Tivoli Services © 2006 IBM Corporation Schema integrazione ITIM – SecureLogin Cn=Paolo Rossi Active Directory Applicazione Custom Lotus Domino SecureLogin TIM Provisioning Riconciliazione Lettura credenziali Propagazione credenziali SSO=LotusNotes userID=PRossi password=XXXX
22
Software Group – Tivoli Services © 2006 IBM Corporation Edison: progetto di Identity Management Soluzione di SecureLogin
23
Software Group – Tivoli Services © 2006 IBM Corporation Obiettivo (modulo SSO) Permettere accesso a più applicativi con un solo processo di autenticazione, all’inizio della sessione di lavoro Eliminazione procedure manuali di cambiamento periodico delle password Applicativi supportati Mission critical Process critical
24
Software Group – Tivoli Services © 2006 IBM Corporation Strumento tecnologico proposto (modulo SSO) ActivIdentity SecureLogin SSO 6.0 –Compilazione automatica dei form di autenticazione per applicazioni web, client-server, emulazione di terminale –Repository centralizzato credenziali di accesso alle applicazioni per gli utenti finali –Automazione procedure di cambio password ActivIdentity Agent for IBM Tivoli Identity Manager –Automazione procedure di assegnazione prima password –Automazione procedure di cambio password
25
Software Group – Tivoli Services © 2006 IBM Corporation Componenti Architetturali (modulo SSO) Repository centralizzato credenziali –Contiene credenziali di accesso alle applicazioni (cifrate) e parametri di configurazione per gli utenti –Realizzato mediante estensione schema MS Active Directory SecureLogin client-side agent –Installato sulle PDL degli utenti finali –Riconosce e compila automaticamente form di autenticazione per l’accesso alle applicazioni –Accede a repository centralizzato per ottenere credenziali di accesso –Gestisce cache locale sulla PDL per funzionamento off-line (opzionale) Strumenti di amministrazione repository centralizzato IBM Tivoli Agent –Popolamento automatico mediante processi di provisioning del repository centralizzato (modifica credenziali, nuovi utenti, ecc.)
26
Software Group – Tivoli Services © 2006 IBM Corporation Funzionalità modulo SSO (1/2) Autenticazione dell’utente integrata con autenticazione su protocollo Kerberos al dominio MS Windows 2000/2003 –L’utente si autentica al sistema SSO contestualmente all’accesso alla propria workstation (utilizzando le credenziali di accesso al dominio) Compilazione automatica dei form di autenticazione delle applicazioni –Ad ogni accesso ad una applicazione, l’agent client-side determina le credenziali necessarie ed effettua in modo trasparente il processo di autenticazione
27
Software Group – Tivoli Services © 2006 IBM Corporation Funzionalità modulo SSO (2/2) Cambiamento automatico della password –Solo per applicazioni che dispongono nativamente di una funzione accessibile all’utente per il cambio password –Applicazioni che non dispongono di tale funzioanlità: cambio password automatizzato mediante processo di provisioning ITIM –Nuova password Scelta dall’utente (possibilità di imporre requisiti minimi di complessità) Generata in modo automatico dal sistema SSO
28
Software Group – Tivoli Services © 2006 IBM Corporation Impatti sulle applicazioni (modulo SSO) La soluzione proposta non prevede alcuna modifica alle applicazioni –La modalità di accesso tradizionale (compilazione manuale dei form di autenticazione) rimane disponibile –I repository delle utenze delle applicazioni non vengono né eliminati né modificati
29
Software Group – Tivoli Services © 2006 IBM Corporation Impatti sulla disponibilità delle applicazioni (modulo SSO) In caso di indisponibilità del repository centralizzato (servizio LDAP ActiveDirectory) –Se utilizzata cache locale sulle PDL nessun impatto sull’operatività degli utenti –Se non utilizzata cache locale sulle PDL logon automatico alle applicazioni non disponibile possibile accesso mediante procedure di autenticazione tradizionale –se l’utente ricorda/conosce le credenziali, nessun impatto –se l’utente non ricorda/conosce la password, necessario intervento Help Desk
30
Software Group – Tivoli Services © 2006 IBM Corporation Impatti sulla disponibilità delle applicazioni (modulo SSO) In caso di indisponibilità dell’agent client-side –Impatto limitato alla singola PDL su cui si verifica il guasto –Logon automatico alle applicazioni non disponibile –Possibile accesso mediante procedure di autenticazione tradizionale se l’utente ricorda/conosce le credenziali, nessun impatto se l’utente non ricorda/conosce la password, necessario intervento Help Desk
31
Software Group – Tivoli Services © 2006 IBM Corporation Problematiche di avviamento della soluzione (modulo SSO) Popolamento del repository delle credenziali –Al primo utilizzo del sistema SSO, l’utente inserisce le credenziali di accesso alle applicazioni secondo la modalità tradizionale –Se il logon ha successo, il sistema SSO memorizza le credenziali e permetterà l’accesso automatico all’applicazione per tutti i successivi utilizzi –Alternativamente, possibile il popolamento a priori del repository delle credenziali mediante processo di provisioning ITIM Deployment –Possibile distribuzione ed installazione automatiche dell’agent client- side sulle PDL mediante servizi di software distribution Active Directory
32
Software Group – Tivoli Services © 2006 IBM Corporation Perimetro tecnologico Applicazioni WEB Nome Applicazione Descrizione Arianna**web (http://scadaspoff.edison.priv/arianna) BDE** web (http://scadaspoff.edison.priv/SysComB DE) GIGIweb (http://scadaspoff.edison.priv/DBT) WEBIweb (http://edito-owbo-01/wiasp) SIGEQUAL web (http://128.1.101.19/sigequal/cyberdocs. asp) PROLOGAS**web (http://10.202.6.116/pages/login.aspx) Client-Server (locali) Nome ApplicazioneDescrizione Logas*Oracle Forms NewLogas**Oracle Forms ScadaSpoffOracle Forms Siebel--- BusinessObjects*--- SICOMSEL - Fatturazione--- SAP R/3**SAP SAP B2BSAP SAP BWr2SAP SAP BWr3/SAMSAP Ginger 6.0Oracle Forms Client-Server (Citrix) Neta SIU*--- Piteco--- Hyperion--- Ginger**Oracle Forms OpenLink--- ScadaSpoff**Oracle Forms
33
Software Group – Tivoli Services © 2006 IBM Corporation Piano di progetto (modulo SSO) La seguente tabella riporta le fasi progettuali previste per la realizzazione del sistema e le relative durate. Il progetto sarà svolto in un arco temporale di 8 settimane
34
Software Group – Tivoli Services © 2006 IBM Corporation Domande
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.