FirstAttribute GmbH: : Passlogix Wir zeigen Wege, Sie entscheiden. Vorstellung FirstAttribute Agenda g • Wer ist Passlogix • Lösungsangebot • • • • • • • Enterprise Singe Sign-On Sign On Lös Lösungen ngen Orts- und Clientunabhängiger Zugriff auf Anwendungen Zugriffsmanagement für Home und Travling User Z iff Zugriffsmanagement t für fü Privilegierte P i il i t A Accounts t Verwaltung der Zugriffsrechte von temporären Mitarbeitern) Synchronisation > Account – Owner S Starke Authentisierung für f JEDE Anwendung • Unterstützung von Kunden 3 Passlogix Speed Access, Enable Business Schnellerer und sicherer Zugriff auf alle Anwendungen im Unternehmen – Arbeit wird effektiver und sicherer, sicherer Compliance Richtlinien werden eingehalten • Ziele C Cumulative l ti Li Licenses (millions) • Beseitigung die Logen Probleme, starke Authentisierung und Provisionierung der Prozesse 16,0 • Marktführend… • mehr als 12 Million Lizenzen verkauft • 1,000 Kunden • 10,000’s von Applikationen • Kunden mit Millionen von Mitarbeiter 14,0 12,0 10,0 8,0 6,0 • Patentgeschützte Technologie 4,0 • Bietet schnelle Einsatzbereitschaft an 2,0 und sichert ROI ab (Sparpotenzial) • 2 US Patente, 7 ausländisch, weitere bevorstehend - • Anerkannter Marktführer… 2001 2002 2003 2004 2005 2006 2007 2008 E 4 Recognized Leadership “ Passlogix ist schon längere Zeit ein sehr erfolgreiches Unternehmen auf dem IAM Markt dank Enterprise SSO Produkt. Passlogix ist weltweit in dem Bereich anerkannt, was sehr untypisch für ein Unternehmen dieser Größe ist”. “Passlogix “P l i hat h t eine i sehr h hoch h h entwickelte t i k lt ESSO Technologie … die Firma tritt oft auf dem Markt als Pioniergesellschaft auf…” “Passlogix “P l i bi bietet eine i sichere i h unkomplizierte k li i SSO SSOLösung, die leicht implementierbar und an jeder Umgebung anpassbar ist… die Lösung wird allerbeste ihrer Art genannt…” 100% von Kunden würden das Produkt wieder kaufen 100% von Kunden empfehlen die Lösung weiter g und Beratung g 100% von Kunden sind mit der Leistung des Unternehmens zufrieden 71% nannten Passlogix als besten oder zweitbesten Anbieter ESSO Magic Quadrant 5 Darstellung der Partner… Identity & Access Management Strong Authentication 6 Darstellung der Großkunden Großkunden… 7 Zugang zu Daten Z D t ist i t der d Kern K des d modernen d Geschäftes Schneller und sicherer Zugang zu Ihre Systeme und Applikationen ist der Kernpunkt Ihres Geschäftes und Gewinns. A b it l i t Arbeitsleistung Kosten Sicherheit & Compliance Risk 8 v-GO Access Accelerator Suite Produktpalette: Single Sign-On v-GO On Demand Edition E t d dE Extended Enterprise t i Si Single l Si Sign O On Provisioning Manager Provision Credentials into SSO Shared Accounts Manager Privileged Accounts Management Application Access for Temporary Workers Single Sign-On - User ID Correlation Account Correlation for P i i i SSystem Provisioning Deployment Session Manager Sign-On Secured Kiosks for Users Self-Service Password Reset Windows Password Reset 9 Sign On innerhalb des Unternehmens v-GO Single Sign-On Führende ESSO Lösung mit über 10 Millionen verkauften Lizenzen Anmeldung an Anwendungen findet überwiegende mit Passworten statt Warum Eingreifen? Weitere Anwendungen g kommen hinzu Neue Angriffe über das Internet • Schneller Zugriff – Benutzer werden nur einmal authentifiziert h ifi i – Sie sparen die Zeit, die für das Suchen nach dem richtigen Passwort verschwendet wurde Umständliche und unsichere • Verbesserung der Sicherheit Verwaltung von Passwörtern führt zu und Compliance Sicherheitslücken und Reduktion der – Keine Notizen mit Passwörter Arbeitsleistung Arbeitsleistung. am Arbeitsplatz – Verbesserung der Passwortpolice – Vermeiden der gemeinsamen Nutzung der Passwörter 10 Use Case: Problem: Das D vorrangigste i t von den d Mitarbeiter Mit b it gemeldete ld t Problem P bl : zu viel i l Passwörter Eine sehr große Umgebung • • • • • • • • • instrumental in • 3 Millionen Benutzer • 155,000 Fachmitarbeiter h l i the helping h USPS • 1000’s von Applikationen, viel davon nicht im Zentralsystem vorhanden solve its most Internes IT-Team ist zu klein, um die Implementierung und Durchführung eines aufwendigen Projektes zu ermöglichen Die Anforderung des Kunden: eine Lösung, die innerhalb eines Jahres komplett eingesetzt werden kann. Lösung: • “Passlogix was Sieben verschiedenen SSO Anbieter wurden ausgewertet; Auswahl – v-GO SSO 155,000 Benutzer wurden in weniger als 8 Monate umgestellt Mehr als 7,000 Applikationen wurden freigegeben Das Projekt wurde durch internes IT-Team umgesetzt Die Helpdesk Calls für Passwort Zurücksetzung sanken von >1,000 täglich auf 10 pro Tag Über 4 Millionen Übe o e Dollar o a wurden u de gespart gespa critical end user problem – forgotten g passwords – and solve it quickly.” Bob Otto CTO 11 Enterprise Single Sign Sign-On On Konzept 12 v-GO v GO SSO Architektur Administrative K Konsole l Point & click Konfiguration Definiert Policen und Einstellungen AD, LDAP, SQL Fragt die Credentials, Policen und Passwörter ab Single Sign-On Akzeptiert Windows oder LDAP Authentifizierung Zugriff auf die Applikationen On‐Demand Agent aufgesetzt über ein Portal. Der Agent installiert sich automatisch und startet den lokalen Client. 13 Orts- und Clients abhängigen gg Zugriff auf Anwendungen v-GO On-Demand Edition Erweitert ESSO außerhalb des Unternehmens • Organisationen benötigen Single Sign On außerhalb des Unternehmens! Begründung: • • • • Home Offices von Mitarbeiter (arbeiten vom Zu Hause) Arztpraxis Internet Kaffees am Flughafen Hotel Business Zentren 14 v-GO On Demand Extends ESSO außerhalb des Unternehmens From any location, from any computer User 1. User access portal Initiate Access User 2. downloads, runs On Demand Enter prise Company Web Portal 3. authenticates Authentication User On Demand 4 credentials retrieved 4. 5. User signs-on Sign On User On Demand 6. User accesses application 7. User signs-off computer Sign Off User On Demand 8. Credentials and v-GO SSO deleted Corporate Directory, Database 15 v-GO On Demand Host for: ‐v‐GO software components ‐Application XML ‐Deployment XML On‐Demand agent hosted on employee intranet or portal, downloads and runs on downloads and runs on local client Storage repository for: ‐ Credentials ‐ Policies ‐ Settings AD, LDAP, SQL Web Server VPN or other secure access On Demand Accepts Windows or LDAP authentication 16 2SSO) Extended Enterprise Single Sign-On (E Company User 1. user registers Enrollment 2. downloads, runs User On Demand 3. Application credentials enrolled Internet Corporate Directory, Database Authentication 6. user signs‐on Sign On User On Demand 17 v-GO On Demand On‐Demand Agent wird über das Portal bereitgestellt und auf dem lokalen Client ausgeführt Host for: ‐v‐GO software components ‐Application XML ‐Deployment XML Storage repository for: ‐ Credentials ‐ Policies ‐ Settings AD, LDAP, SQL Web Server VPN or other secure access On Demand Accepts Windows or LDAP authentication 18 Zugang zu und Verwaltung von privilegierten Accounts v-GO Shared Accounts Manager Gemeinsame Nutzung von Acccounts ist tägliche Realität Risiken • – Benutzer hat keinen Zugang zu seinen Passwörtern OS: Unix Root, Windows Administrator, z/OS IBMUSER • DB: SQLServer sa, DB2 dba • Compliance • Router: Admin, Cisco Freigabe – Steigert die Verantwortlichkeit – Nachvollziehbarkeit durch Sicherheits- und Compliance Logging • • • Sicherheitsverbesserung Die Zugänge sind nicht nachvollziehbar: wer, wann was gemacht hat 19 v-GO Shared Accounts Manager Darstellung der Architektur IDM System 5. provides credential to v-GO PM Shared Accounts Manager Provisioning Manager Directory, Domain, Database 7. retrieves credential Single Sign-On 8 logs user on 8. Target System Authentication Manager 1. User authenticates to corporate directory with password (or optionally, with smart card, token, biometric, etc.) Optional steps or components U s e r 20 Verwaltung des Zugang zu Applikationen für temporären Mitarbeiter; Mitarbeiter benötigt Zugriffe auf verschiedene Anwendungen Administrator Provision 1. administrator access v-GO SAM Console Enter prise User Contractor Initiate Access User 2. generic ids preissued to contractor 3. contractor accesses portal 4. downloads, runs Company p y Web Portal On Demand 5 authenticates 5. th ti t Authentication User On Demand 6. pre-issued credentials retrieved 7. contractor signs-on Sign On User On Demand 8. Contractor accesses applications Corporate Directory, Database 9 generic 9. i id ids checked back in automatically 21 v-GO Shared Accounts Manager I l Implementiert ti t ein i Modell M d ll zur Kontrolle K t ll von generischen i h Accounts A t U User U User U User U User U User U User U User U User U User U User U User U User U User U User U User U User Shared Accounts Manager Deutliche Kosteneinsparungen durch weniger notwendige Lizenzen in den Anwendungen, de we du ge , zum u Beispiel SAP id: APClerk-1 password: (K(&^D23sadD id: APClerk-2 password: saD2F#^%6sd id: APClerk-3 password: kjsad^D92aspp id APCl id: APClerk-4 k 4 password: d opysdF5#%6sd dF5#%6 d id: APClerk-5 password: kjafd$%j432lkuj … … … … Application pp Financials Financials Financials Financials Financials Financials Financials Financials Id APClerk-1 APClerk-1 APClerk-1 APClerk-1 APClerk-1 APClerk-1 APClerk-1 APClerk-1 User Grace Adams Grace Adams Grace Adams Grace Adams Grace Adams Grace Adams Grace Adams Grace Adams Event Check out Logon Logon Logon Logon Logon Check in Password change Date 11/15/2007 11/15/2007 11/16/2007 11/17/2007 11/18/2007 11/19/2007 11/20/2007 11/20/2007 Time 8:47am 8:53am 8:28am 8:32am 8:50am 7:45am 5:00pm p 5:01pm Financials Financials Financials Financials Financials Financials Financials APClerk-1 APClerk-1 APClerk-1 APClerk-1 APClerk-1 APClerk-1 APClerk-1 John James John James John James John James John James John James John James Check out Logon Logon Logon Logon g Check in Password change 11/22/2007 11/22/2007 11/23/2007 11/24/2007 11/25/2007 11/16/2007 11/16/2007 9:25am 9:22am 9:16am 9:07am 9:26am 5:00pm 5:02pm APClerk-1 – User Activity Log U User U User U User U User U User 22 Synchronisation > Account - Owner ID ist keine 100% Identifikation des Benutzers john.smith vs. johns AD: john.smith1 and john.smith2 Benutzer mit gleichen Namen ? ? Webex: john.smith1 and john.smith2 Änderung des Namens (Z.B. die H i t) Heirat) email id: jane.jones jane.smith AD id: jane.jones AD id: jane jones jane.jones jane jones Non‐identifying Attribute skibum 23 v-GO SSO stellt den Zusammenhang zwischen Account und Benutzer her Application SAP Americas SAP Americas SAP Americas SAP Americas SAP Americas SAP Americas SAP Americas SAP Americas SAP Americas Id GraceA GraceA GraceA GraceA GraceA JohnJ JohnJ JohnJ JohnJ User Grace Adams Grace Adams Grace Adams Grace Adams Grace Adams John James John James John James John James Event Logon Logon Logon Logon Logon Logon Logon Logon Logon Date 11/15/2007 11/16/2007 11/17/2007 11/18/2007 11/19/2007 11/22/2007 11/23/2007 11/24/2007 11/25/2007 Time 8:53am 8:28am 8:32am 8:50am 7:45am 9:22am 9:16am 9:07am 9:26am 24 Korrelations Analyse mit v-go Access to privileged account Possible identity theft Low usage Generic ID Possible identity theft f Possible duplicate IDs 25 Starke Authentifizierung g v-GO Authentifizierungsmanager • Starke Authentifizierung im Network kann nicht ausreichend sein • • • Insider Attacke SAAS Applikationen Die meisten Applikationen unterstützen keine starke Authentifizierung •Viele Zugangsmethoden werden nicht vom Windows unterstützt • • • RFID / Z Zugangskarten k t Biometrik Manche OTP Token • Reduziert die Zeit und den Aufwand für die Beschaffung einer g zur starken Authentisierung g Lösung • Erhöht die Zugangssicherheit zu pp Applikationen • Implementierung einer flexiblen aber starken und sicheren ut e t eu g Authentifizierung – Die Benutzer Authentifizierungsparameter werden zentral überwacht 26 3849 18273 v-GO Authentication Manager Starke k Authentisierung h ii für f alle ll Anwendungen d ABC Hospital Device reader v-GO Authentication Manager Dr. Smith Badge #, Digital certificate, OTP…v-GO v-GO Single Sign-On Accepts id/password only 27 Customer Care Program Focus auf der Zufriedenheit des Kunden: • FirstAttribute und Passlogix bieten die Unterstützung beim Auswerten und der Einsetzung • Pre Pre-sales sales Engineering • Implementierung • Training Betriebs- und Helpdeskunterstützung Betriebs •FirstAttribute und Passlogix g unterstützt die Kunden beim Rollout des Produktes • Beschleunigen von Deployment • Analyse und Identifizierung von möglichen Probleme oder Risiken 28 Customer Care Program S l E Sales Engineering i i Unterstützt interessierte Kunden bei der Evaluierung des Produktes Professional Services Unterstützt den Kunden bei der Planung, g und dem Rollout von dem Management v-GO Bringt Erfahrungen und best Practices aus hunderten Kundenprojekten mit Training – Spezielle Trainings für Administratoren, Implementierer und Support Teams – Verfügbar als individuelles On Site Training oder als offener Kurs – Wöchentliche Webcasts über Neuerungen Tips und Tricks Neuerungen, Customer Relationship Management – Passportal gibt Zugang zu – Case management g – Dokumentation – Downloads – Knowledge base – Technical Account Manager (premium service über FirstAttribute) – Customized Testkonzepte – Eskalations Management – Ünterstützung bei der Implementierung – Erweiterte E i Implementation I l i – Issue Control Calls – Hilft Kunden bei ungewöhnlichen Herausforderungen während des Deployment und zeigt einen klaren Weg zum Ziel 29 Passlogix Speed Access, Enable Business Schneller h ll Zugang zu Anwendungen d und d Systemen im erweiterten Unternehmen h – Anwender werden effektiver und zufriedener bei gesteigerter Sicherheit Markerprobte Lösungen Patentierte Technologie g für schnelles Deployment, p y , schneller ROI Führende Position im Marktsegment Kunden und Partner sind weltweit führende Unternehmen Hohe Kundenzufriedenheit ist uns wichtig