Få mere ud af dine ITløsninger SolutionsDay 2011 Morten Strunge Nielsen msn@globeteam.com Globeteam Virumgårdsvej 17A 2830 Virum
Virkeligheden anno 2011 Der findes en del brugerdatabaser i en typisk mellemstor eller stor organisation Langt de fleste applikationer er hårdt koblet til en bestemt brugerdatabase I værste fald applikationens lokale brugerdatabase? I bedste fald er det organisationens eget bruger directory Brugerne jonglerer med flere forskellige passwords.. og måske endda flere forskellige brugernavne Eneste umiddelbare vej til at reducere antallet af brugernavne eller passwords ved hjælp af et metadirectory har en væsentlig ekstraomkostning i udvikling, drift og support. Det er en udfordring at åbne op til interne services for eksterne brugere VPN er i mange tilfælde den eneste farbare vej..
Målet fra brugerens perspektiv
De basale mønstre Hos organisationen Fra eksterne parter ind til organisationens egne tjenester samt evt. tjenester, der bliver host et andetsteds Internt i organisationen Mod andre organisationer og tjenester Cloud/dynamisk datacenter Partnering
Målet fra det tekniske perspektiv: Internt Cloud Fuldautomatisk login Active Directory? Indre net? Fuldautomatisk login Organisation Fuldautomatisk login Organisation password password Webapp til adm af brugere og roller? DMZ Brugere Resten af verden Leverandøren
Målet fra det tekniske perspektiv: Eksternt Cloud? Active Directory Indre net? DMZ Cloud
Business drivers Højere brugervenlighed Vælg mellem flere forskellige logins Et enkelt login dækker flere applikationer Ved fuld implementering kan man endda opnå nul logins! Brugerne logger kun på deres lokale directory. Nedsat logintid Højere fleksibilitet Muligheder for differentiering af loginmuligheder efter applikationer Fungerer også med Web Services Højere sikkerhed Flerfaktor-autentificering Mulighed for differentiering efter brugergrupper Ingen brugere og passwords med usikker lagring ude i applikationerne Reduceret kompleksitet Hurtigere tilkobling af nye løsninger Lavere udviklingsomkostninger Lavere driftsomkostninger En enkelt central komponent (evt. med dublering for bedre oppetid) Samlet opkobling og administration af partnere
Svaret er.. En claims-baseret infrastruktur Også kaldet for en føderal it-infrastruktur Er i stand til at dække enhver platform og applikation Høj sikkerhed som også er tilstrækkelig til Internet-brug Der skal ikke overføres passwords! Claims er XML-formatterede dokumenter, der indeholder information om brugeren: Attributtter Roller Baseret på åbne og bredte accepterede standarder: SAML 2.0 og/eller WS- Federation
Føderal it-infrastruktur Cloud Fuldautomatisk SSO-login Active Directory IdP FS Organisation (føderationspartner) IdP og SP FS Indre net Fuldautomatisk SSO-login Fuldautomatisk SSO-login med partnerens rolleinfo Webapp til adm af brugere og roller Organisation (ikke føderationspartner) SSO-login via anden IdP eller direkte (evt.roller administreres af leverandør eller organisationen selv via webapp en) SSO-login via anden IdP eller direkte (evt.roller administreres af leverandør via webapp en) IdP og SP FS DMZ Brugere Resten af verden Leverandøren
Og nej, det er ikke munter fremtidsmusik Det sker derude i virkeligheden Vi har været i gang siden 2006 og har allerede leveret en pæn del eksternt rettede SSO-løsninger Med alle mulige platforme lige fra mainframes til ASP3, ASP.Net, Java og CA Siteminder Og nogle få (og relativt afgrænsede) interne SSO-løsninger Den hidtil mest udfordrende var helt klart mainframe-løsningen. Det kan (formentlig) også lade sig gøre hos jer! Vores erfaring tilsiger at det kan lade sig gøre med de fleste applikationer.. Og det bliver bedre og bedre hver dag De store applikationsleverandører har nemlig også fået øjnene op for føderation Worst-case så kan der naturligvis risikere at være enkelte af jeres nuværende applikationer, der ikke kan komme med over i første omgang Men det giver jo stadig mening, selvom man ikke får alt med i første ombæring Og det skal på plads snart af hensyn til alle jeres fremtidige applikationer! Indtil I er på omgangshøjde anbefales det at kræve at applikationerne kan implementeres på en claims-baseret infrastruktur