Issuu on Google+

Prod duk kt端b berb blick k


Ansprrechparttner

G+HN Netzwerk-D Design Gesells schaft für IT T Consultin ng mbH Grenzstraße e 74 Obere G 63071 O Offenbach am a Main

Jürgen Bähr Telefon: +49 (0) 69 9 / 85 00 02 2-42 Telefax: +49 (0) 69 9 / 85 00 02-51 E-Mail: j.baehr@ne etzwerk-des sign.de

Alexand dra Krügerr Telefon: +49 (0) 69 9 / 85 00 02 2-28 Telefax: +49 (0) 69 9 / 85 00 02-51 E-Mail: a.krueger@ @netzwerk-d design.de

2


Inhaltsverze eichnis

1  E Einsatzgeb biet und Fu unktionswe eise ............................................................................... 4  1.1 

Umfeld und u Einsatz zgebiet ............................................................................................ 4 

1.2 

Funktionssweise .............................................................................................................. 4 

1.2.1 

Collecttor Engine ........................................................................................................ 5 

1.2.2 2 

Notifica ation Engin ne und Rep porting ......................................................................... 6 

1.2.3 3 

User Frontend F un nd Reportin ng - Alles auf a einen Blick B ....................................... 7 

1.2.4 4 

Admin Frontend und Reporrting .............................................................................. 8 

1.2.5 5 

Archite ektur .................................................................................................................. 9 

2  L Lizenzmodell.................................................................................................................... 10  2.1 

Basissysstem ................................................................................................................. 10 

2.2 

Advanced Connecttoren ............................................................................................. 10 

3


1 Ein nsatzge ebiet und Funkttionswe eise 1.1

U Umfeld und Einsa atzgebiet

In  den  leetzten  Jahreen  wuchsen  die  IT‐Landsschaften  der  Unternehm men  schnell  uund  heterogen.  Doch  oft  werd den  Rechte  und  Berechttigungen  fürr  eine  Identiität  auf  Systteme  und/odder  Daten  willkürlich  w und  untter  Zeitdruckk  gewährt,  ohne  o die  bissherigen  Rechte  und  Be erechtigungeen  einer  Ide entität  in  Betrachtt zu ziehen. D Das Zurückse etzen dieser  Zugriffe erfo olgt meist gar nicht oder  unvollständig.    dundanzen und entsprecchend große Sicherheitslücken in denn Systemen sind die  Inkonsisstenzen, Red Folge.    Häufig trreten Abweiichungen auf oder es fehhlt der Abgle eich zwische en den Berecchtigungen,  die einer  Identitätt  gewährt  worden  w sind,  und  den  efffektiven  Identitäts‐  bzw.  Gruppenbeerechtigunge en  in  den  Systemeen.  Zustandee  kommen  diese  d Abweiichungen  du urch  organisatorische  Veeränderunge en,  Miss‐ verständ dnisse, Vergeesslichkeit od der evtl. Mannipulationen n.  Für ein A Aufzeigen dieeser Abweich hungen ist eiine kontinuie erliche Überprüfung der  aktuellen, effektiven  Berechtiigungen von Identitäten notwendig.   Das  G+H H  daccord  access  a contrrol  &  rights  display  erffüllt  diese  Herausforder H rungen.  Mit  daccord  können  alle  Zugrifffsberechtigu ungen  von  Benutzern  und/oder Gruppen,  d.h.  die  effektiven  e Berechtiigungen  von n  Identitäten n,  ausgewerttet  werden.  Dies  ist  die e  Grundlagee,  um  Abweichungen  gegenüb ber  den  gen nehmigten  und  u benötiggten  Berechttigungen  aufzuzeigen.  SSo  gewinnen  Sie  im  Bereich A Access Rightts Control ein n großes Ma ß an Sicherh heit und Tran nsparenz.     

1.2

F Funktionsweise

daccord  gibt einen ttransparente en Überblick  über die Be erechtigungsvergabe an  Personen in  einer IT‐ ung.  Wesenttliche  Aufgab ben  von  dacccord  sind,  Daten  aus  unterschiedli u Umgebu ichsten  Systtemen  zu  aggregieeren,  Vorgessetzte  bei  Re echteverletzuungen  zu  be enachrichtige en  und  Rep orts  über  ve ergebene  Berechtiigungen zu eerstellen.    Für die B Bewerkstelliggung dieser A Anforderunggen setzt die G+H Netzwe erk‐Design a uf einen modularen  Aufbau d der daccord‐‐Software. Diese bestehtt im Wesentlichen aus folgenden  Lösungskkomponenteen:    Collector EEngine  Notification Engine und d Reporting User Frontend und Rep porting  Admin Frontend und Reporting 

4


1.2.1

C Collector Engine E

Mithilfe  der  Collector  Engine,  als  eine  H Hauptkompo onente  von  daccord,  w wird  der  Ko ontakt  zu  Zielsysteemen  hergesstellt,  um  Pe ersons,  User,,  Rights  und  Relations  zu  identifizie ren  und  diese  in  das  zentrale  daccord‐Sysstem zu übertragen. Hieerbei gleicht  daccord zwischen den z urückgeliefe erten und  herigen Dateen ab (Differenzabgleich)) und speichert das Erge ebnis sowie ddie zurückge elieferten  den bish Daten in n der daccord d‐Datenbankk.    Derzeit b beinhaltet diie Collector E Engine folgennde Connecttoren:     Novell eDireectory Conne ector   Microsoft Acctive Directory Connectoor   C CSV Connecttor   JJDBC Connecctor   Fix Length Co onnector zurr Anbindungg von Mainfraame‐Systemen   O Oracle JDBC Connector zzur Anbindunng von Oracle‐Datenbankken   X XML‐Connecctor zum Imp port auf Basi s von XML‐D Dateien   w weitere in Vo orbereitung    Somit kaann immer auf den IST‐Sttand der Berrechtigung einer Person, aber auch a uf historisch he Stände  der Bereechtigungen  zurückgegrifffen werden . Die Aufnah hme der Verb bindung zu eeinem Zielsysstem und  dem darraus resultieerende  Import von Datenn werden du urch einen S Scheduler  in  der Collecto or Engine  verwalteet. Dieser kan nn aber auch h manuell anngestoßen werden.    Zudem kkann die Collector Engine e auf Ereignissse aktiv reagieren und ffestgelegte A Aktionen automatisch  durchfüh hren.  Dies  können  k Aktionen  zu  einnem  bestimmten  Datum m  sein  –  z.BB.  das  Lösch hen  aller  historiscchen Daten zzu einer Persson – oder ddie automatissche Benachrichtigung aan den Administrator,  wenn z.B B. ein Importt von Daten ffehlgeschlaggen ist.    Von der Collector En ngine initiiertte Aktionen:    MailAction (bspw. autom matisierte Beenachrichtigu ung per E‐Ma ail)  matisierter A Aufruf einer Datenbereinigung)   JJDBCAction ((bspw. autom  ReportAction n (bspw. auttomatisierte  Reporterstellung)  Weitere Aktionen sind in n Planung   W o Worrkflow  o SMSS    

5


1.2.2 Notification Engine und u Reportting   Die Notification Engine ist in derr Lage, eine automatisie erte Überwacchung der veergebenen R Rechte an  d die Benach hrichtigungenn an Vorgesetzte bei Regelverstößenn durchzuführen. Die  Personen (User) und den vollständdigen Datenbestand hera anziehen.  Notificattion Engine kkann hierzu d   Zeitgesteeuerte  oder  manuell  gestartete  Benachrichttigungen  an n  im  System m  hinterleggte  oder  dynamissch  ermittelte  Personen  können  per  E‐Mail  abgesetzt  und  zusätzlliche  Inform mationen,  Dokumeente  (z.B.  An nweisungen))  oder  dynaamisch  generierte  Reports  angehänngt  werden.  Darüber  hinaus b besteht die M Möglichkeit, ü über eine Nootification einen Workflo ow anzustoßeen.    Beispiel einer Notificcation per E‐Mail:    Senden  einer E‐Maill an den verantwortlicheen Abteilunggsleiter (wird d dynamisch  ermittelt), w wenn bei  externen n  Mitarbeittern  kein  Austrittsdatu A um  identifizziert  wurde e.  Hier  könnnen  optional  eine  Verfahreensanweisun ng  (Was  ist  zu  tun?)  u nd/oder  ein n  Report  üb ber  diesen  eermittelten  externen  Mitarbeiiter angehän ngt werden.   

Derzeit unterstütztt die Notificcation Enginne folgende Arten von Benachrichttigungen:     Mail Benachrichtigungg (E‐Mail mitt dynamisch hem Inhalt und einer bbeliebiger A Anzahl  vvon Anhänggen)   Mail Reportt Benachrichtigung (E‐M Mail mit dyynamischem m Inhalt undd einer belie ebiger  A Anzahl von Anhängen und einer bbeliebigen A Anzahl von a angehängteen, dynamissch  ggenerierten n Reports)   w weitere Ben nachrichtigu ungen in Voorbereitungg                                             

6


1.2.3 User Fronttend und Reporting R - Alles auf einen e Blick k   Die  in  daccord  vorlieegenden  Infformationen  über  Persons,  User,  Rig ghts  und  Rellations  stelltt  daccord  den  End danwendern n  übersichtlich  und  plaausibel  zur  Verfügung.  Hierzu  verw wendet  dacccord  ein  webbasiertes User Frontend. Im Zuge der Annmeldung mit Benutzerkennung und  Passwort fin ndet eine  Authentisierung  geggen  Novell  eDirectory  odder  Microsofft  Active  Dire ectory  statt..  Der  Benutzzer  erhält  Zugang zzum User Fro ontend von d daccord.    Das  Frontend  stelltt  sich  in  drei  Bereichenn  dar.  Im  oberen  o Bere eich  des  Froontends  werden  die  Stammdaten  des  an ngemeldeten n  Endanwendders  angezeigt.  Im  mittleren  und  unnteren  Bereiich  wählt  der Endaanwender zw wischen drei Perspektive n (Reitern):   und Berechtiigungen   Meine Benuttzerkonten u  Mitarbeiter, die ich verw walte   Berechtigungen, die ich vverwalte     In  der  P Perspektive  „Meine  Benutzerkonte n  und  Bere echtigungen““  sieht  der  Endanwend der  seine  Konten u und Berechtiigungen.    In der Peerspektive „Mitarbeiter, die ich verw walte“ sieht  der Endanw wender die M Mitarbeiter, ffür die er  bzgl. derr Berechtigun ngsvergabe vverantwortli ch ist.    In der Peerspektive „B Berechtigunggen, die ich vverwalte“ werden dem E Endanwendeer Rechte  au ufgezeigt,  für die eer verantworttlich ist.    Jede  Perspektive  biietet  dem  Endanwende E er  die  Möglichkeit,  aktu uelle  Reportss  im  PDF‐Fo ormat  zu  generierren.  Die  Staandardreporrts  liefern  IInformatione en  auf  z.B.  folgende  FFragestellungen  und  Informattionen:    Welche Iden ntität hat welche Accountts (Benutzerrkonten) in den Unternehhmenssystem men?   W  W Wer hat welche Berechtigungen in dden Unterneh hmenssystem men?   V Verantwortliche  für  Syssteme,  Anw wendungen  und  u Rechte  erhalten  e inen  Überblick  über  emen.  Benutzer und deren Rechte in den zuu verantworttenden Syste  V Vorgesetzte erhalten ein nen Überblic k über ihre M Mitarbeiter u und deren Reechte in  U Unternehmeenssystemen n. 

7


1.2.4

A Admin Fro ontend und Reporting g

Für administrative Täätigkeiten steht ein umfaangreiches A Admin Fronte end zur Verfüügung. Hierü über  können aalle Kompon nenten des Syystems adm inistriert werden. Collecttor‐ und Nottification Gro oups  ermöglicchen eine klaare Darstellung der Grup pierung der Collectoren und Notificaations in logische  Einheiten.    m Administraator, neben e einer Hilfeop ption und einner Kurz‐ Nach der Anmeldungg stehen dem oad), unterscchiedliche Pe erspektiven zzur Verfügunng:  dokumentation (auch als Downlo    Home   Engines   Frontends   User und Rollen  daccord‐Datten   d    

    des Admin Frontends – Schematiscche Darstellung Abbildung 11: Perspektiven d

 

  Innerhalb dieser Perrspektiven ka ann der Adm ministrator M Modifizierungen vornehm men und die e einzelnen  Bereichee  verwalten.  Entspreche ende  Definitiionen  könne en  hinterlegtt,  Ergänzunggen  und  Änd derungen  sowie  Lö öschungen  getätigt  g und d  Regeln  fesstgelegt  werden.  Konfig gurationen  ssowie  Aktivierungen,  Deaktivieerungen  und  Zuordnun ngen  sind  ggenauso  möglich  wie  die  Überwacchung  der  einzelnen  e Bestandtteile der Perrspektiven.    min Frontend d bietet auch h die Möglichhkeit detaillie erter Suchen n, automatisccher Importss und der  Das Adm Generierrung  von  Reeports.  Diese e  werden,  w wie  auch  im  User  Fronte end,  im  PDF‐‐Format  erze eugt  und  listen diee entsprecheenden Inform mationen tabbellarisch auff.    Bedarfso orientierte A Anpassungen an Vorgabe n und individ duelle Anforderungen ei nes Unterne ehmens  sind mit daccord jederzeit umsettzbar.     

8


1.2.5

A Architektur

omponenten:  Nachfolggend eine Geesamtansichtt der daccordd‐Lösungsko   Darunter finden sich h die schon vorgestellten  Komponentten:     C Collector Enggine   Notification Engine und Reporting Enngine   User Fronten nd und Repo orting Enginee   A Admin Fronttend und Rep porting Enginne      sowie weitere Komp ponenten:     TTime Schedu uler in der No otification‐ uund Collectorr Engine  Für zeitgesteeuerte Ausfü ührung von D Datenabrufen n, Benachrichtigungen, RReportserstellung, ..   C Connectoren n zu Zielsyste emen (Activee Directory, e eDirectory, JDBC, XML ....)   Mapping‐, Converting‐, M Matching‐Meechanismen Collector Agent zur Anbindung von eentfernten Syystemen. Daten eines enntfernten Sysstems   C w werden mit einem CollecctorAgent errhoben und zzu einem deffinierten Zeittpunkt mit d dem  d daccord‐Systtem ausgetauscht  .     

 

  Abbildung 22: daccord schem matische Darstellu ung 

9


2 Lizzenzmodell Die Lizen nzierung von n daccord unterteilt sich zzum einen in n die Lizenzie erung des daaccord‐Basisssystems  inkl. der Basis‐Conneectoren und zum andere n in die Lizen nzierung zusätzlicher Advvanced Conn nectoren.    Sowohl d das daccord‐Basissystem m als auch diie Connectoren unterlieg gen einer usserbasierend den  Lizenzierrung.   

2.1

B Basissys stem

Das daccord-Basissyystem beinha altet folgende e Komponen nten.

     

C Collector Enggine  N Notification Engine  R Reporting En ngine  U User Fronten nd  A Admin Fronttend  B Basis‐Connectoren  o JDBC‐Con nnector  o CSV‐Conn nector  o eDirectorry‐Connectorr  o ADS‐Conn nector 

 

2.2

A Advanced d Connec ctoren

 FFix Length Co onnector zurr Anbindung  von Mainfraame‐Systeme en   O Oracle JDBC Connector zzur Anbindunng von Oracle‐Datenbankken   X XML‐Connecctor zum Imp port auf Basiss von XML‐D Dateien   w weitere in Vo orbereitung  Produk kt Einzelpreiis Benutze erlizenz

10


/daccord_product_overview