IBM Security Role and Policy Modeler
Versão 1 Release 1
Guia da Visão Geral do Produto
IBM Security Role and Policy Modeler
Versão 1 Release 1
Guia da Visão Geral do Produto
Outubro de 2012
Índice
Tabelas . . . v
Sobre Esta Publicação . . . vii
Acesso a Publicações e Terminologia . . . vii
Biblioteca do IBM Security Role and Policy Modeler . . . vii
Publicações Online . . . vii
Website de Terminologia do IBM . . . vii
Acessibilidade . . . viii
Treinamento Técnico . . . viii
Informações de Suporte . . . viii
Capítulo 1. Introdução ao IBM Security Role and Policy Modeler . . . 1
Recursos. . . 1
Quem Usa este Produto . . . 3
Integração do Processo de Segurança . . . 3
Ciclo de Gerenciamento de Funções e Políticas . . . 4
Capítulo 2. Recursos do Produto . . . . 9
Entendendo os Dados . . . 9
Objetos Básicos da Modelagem de Funções . . . 9
Grupos . . . 18
Gerenciamento de Dados . . . 19
Importação do Esquema . . . 20
Importação de Dados . . . 20
Fluxo de Dados . . . 20
Ferramentas de Análise de Modelagem de Função 22 Estatísticas do Projeto e da Função . . . 22
Gerando Funções . . . 22
Catálogo de Análises . . . 23
Qualificadores de Associação . . . 23
Analítica de Relatório . . . 23
Integração com Funções do IBM Security Identity Manager . . . 24
Gerenciamento de Ciclo de Vida de Função. . . . 24
Fluxo do Processo Para Aprovação de Função . . 25
Introdução ao Business Process Manager . . . 26
Solicitação de ciclo de vida de aprovação de função . . . 27
Solicitação de Ciclo de Vida Customizado . . . 28
Ambientes de Teste e Produção. . . 28
Registros do Usuário . . . 28
Definições e Autorização de Usuário e Grupo . . 29
Relatórios . . . 30
Capítulo 3. O Que Há de Novo . . . . 37
Capítulo 4. Introdução ao IBM Security Role and Policy Modeler . . . 39
Iniciando e Parando o IBM Security Role and Policy Modeler . . . 39
Efetuando Logon . . . 39
Entendendo a Interface com o Usuário . . . 40
Página Inicial e Área de Janela de Navegação . . 40
Funções e Políticas de Modelagem. . . 41
Relatório . . . 46
Importando Dados de Identidade e Autorização 47 Ajuda e Documentação Online . . . 47
Capítulo 5. Requisitos de Hardware e Software . . . 49
Compatibilidade com outro Software . . . 49
Requisitos do Sistema Operacional . . . 50
Bibliotecas de Pré-Requisito para Linux . . . . 50
Requisitos de Hardware . . . 52
Requisitos de Software . . . 53
Requisitos do WebSphere Application Server . . 54
Requisitos do Servidor de Banco de Dados . . . 54
Requisitos do Java Runtime Environment . . . 55
Requisitos do Navegador . . . 55
Requisitos do Servidor de Relatório . . . 56
Pré-requisitos para Ferramentas Extract and Load 57 Capítulo 6. Limitações Conhecidas, Problemas e Soluções Alternativas . . 59
Apêndice A. Convenções Usadas Nestas Informações . . . 75
Convenções de Fontes . . . 75
Definições para HOME e Outras Variáveis do Diretório . . . 76
Apêndice B. Recursos de Acessibilidade para o IBM Security Role and Policy Modeler . . . 79
Avisos . . . 81
Índice Remissivo . . . 85
Tabelas
1. Etapas do Fluxo do Processo de Aprovação de Função do Gerenciamento do Ciclo de Vida de Funções . . . 26 2. Relatórios para IBM Security Role and Policy
Modeler. . . 31 3. O Que Há de Novo no Fix Pack 1 . . . 37 4. O Que Há de Novo no Fix Pack 2 . . . 38 5. Compatibilidade de Instalação do IBM Security
Role and Policy Modeler . . . 49 6. Requisitos do sistema operacional do IBM
Security Role and Policy Modeler . . . 50
7. Bibliotecas de Pré-Requisito para Red Hat
Enterprise Linux 6.0 e Posterior . . . 51 8. Requisitos de hardware do IBM Security Role
and Policy Modeler . . . 52 9. Requisitos de espaço em disco . . . 53 10. Requisitos do WebSphere Application Server 54 11. Requisitos do Servidor de Banco de Dados. 54 12. Requisitos do Navegador para o IBM Security
Role and Policy Modeler . . . 55 13. Requisitos do Servidor de Relatório . . . . 57 14. Definições de Variável do Diretório Inicial 76
Sobre Esta Publicação
OIBM Security Role and Policy ModelerGuia de Visão Geral do Produtocontém tópicos de visão geral para o IBM®Security Role and Policy Modeler.
Acesso a Publicações e Terminologia
Esta seção fornece:
v “Biblioteca do IBM Security Role and Policy Modeler”
v “Publicações Online”
v “Website de Terminologia do IBM”
Biblioteca do IBM Security Role and Policy Modeler
Os seguintes documentos estão disponíveis na biblioteca do IBM Security Role and Policy Modeler:
v IBM Security Role and Policy Modeler Quick Start Guide, GI13-2313
v Guia de Visão Geral do Produto IBM Security Role and Policy Modeler, GC27-2795 v IBM Security Role and Policy Modeler Guia de Planejamento, SC22-5407
v Guia de Instalação e Configuração do IBM Security Role and Policy Modeler, SC27-2743
v Guia de Administração do IBM Security Role and Policy Modeler, SC27-2796 v IBM Security Role and Policy Modeler Guia de Resolução de Problemas, GC27-2797 v IBM Security Role and Policy Modeler Message Guide, GC27-2744
v Guia de Referência do IBM Security Role and Policy Modeler, SC27-2798 v Glossário do IBM Security Role and Policy Modeler, SC27-2800
Publicações Online
A IBM posta publicações do produto quando ele é liberado e quando as publicações são atualizadas nos locais a seguir:
IBM Security Role and Policy Modeler: Centro de Informações
O site do http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/
com.ibm.security.modeling.doc_1.1.0.2/ic-homepage.htm exibe a página de boas-vindas do centro de informações para este produto.
IBM Security Information Center
O site http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp exibe uma lista alfabética de informações sobre toda a documentação do produto IBM Security.
Centro de Publicações IBM
O site http://www.ibm.com/e-business/linkweb/publications/servlet/
pbi.wss oferece funções de procura customizadas para ajudar a localizar todas as publicações IBM necessárias.
Website de Terminologia do IBM
O website IBM Terminology consolida a terminologia de bibliotecas do produto em um local. É possível acessar o website Terminology em http://www.ibm.com/
software/globalization/terminology.
Acessibilidade
Os recursos de acessibilidade ajudam os usuários com um deficiência física, como mobilidade restrita ou visão limitada, a usarem produto de software com êxito.
Com este produto, é possível usar tecnologias assistivas para escutar e navegar na interface. Também é possível usar o teclado em vez do mouse para operar todos os recursos da interface gráfica com o usuário.
Para obter informações adicionais, consulte Apêndice B, “Recursos de Acessibilidade para o IBM Security Role and Policy Modeler”, na página 79.
Treinamento Técnico
Para obter informações de treinamento técnico, consulte o website IBM Education a seguir em http://www.ibm.com/software/tivoli/education.
Informações de Suporte
O IBM Support fornece assistência com problemas relacionados a código e rotina, instalação de duração breve ou questões de uso. É possível acessar diretamente o IBM Software Support em http://www.ibm.com/software/support/probsub.html.
IBM Security Role and Policy Modeler Guia de Resolução de Problemasfornece detalhes sobre:
v Que informações coletar antes de contatar o IBM Support.
v Os vários métodos para contatar o IBM Support.
v Instruções e recursos de determinação de problema para isolar e corrigir o problema sozinho.
Nota: A guiaComunidade e Suporteno centro de informações do produto pode fornecer recursos de suporte adicionais.
Capítulo 1. Introdução ao IBM Security Role and Policy Modeler
O IBM Security Role and Policy Modeler Versão 1.1 fornece uma abordagem centralizada nos negócios para planejamento, entendimento e modelagem das funções de segurança e restrições de separação de obrigações para proteger o acesso a recursos críticos.
Usando ferramentas visuais e técnicas de inteligência de negócios conhecidas, o IBM Security Role and Policy Modeler reduz o tempo e esforço para projetar, gerenciar e aprovar funções e estruturas de funções para controle de TI corporativo. Ele fornece relatórios e interfaces de modelagem baseadas na web para os proprietários de processos de negócios e aplicativos para que eles possam usar o controle de acesso baseado na função para seus funcionários.
Essa liberação tem como foco o entendimento de quemna organização está
autorizado para o acesso a recursos críticos e porquê. O ponto focal são os analistas de função de negócios que desenvolvem e mantêm as funções e políticas. Os analistas de função trabalham com os proprietários de aplicativos e negócios e a TI para entender os ativos e construir os modelos. Esses modelos de comunicam com as linhas de negócios, escritórios executivos corporativos e TI. Eles também fornecem orientação de implementação para TI com base no modelo de negócio.
O analista de função pode customizar os atributos para o IBM Security Role and Policy Modeler. Especificar os atributos de negócios significativos e determinar o acesso apropriado aos recursos otimiza as ferramentas de modelagem e analítica.
Os analistas de função podem trabalhar em paralelo, criando projetos de
modelagem para unidades organizacionais específicas, acesso ao aplicativo-chave ou uma combinação de ambos. Eles podem revisar os dados usados para modelar, gerar, criar, copiar, analisar, editar funções e relatar sobre funções e políticas.
Modelos de funções concluídos podem ser enviados para os proprietários de negócios e, em seguida, exportados para implementação.
Recursos
O IBM Security Role and Policy Modeler é um aplicativo WebSphere com uma interface da web. Ele fornece os recursos a seguir.
Organização baseada em projeto
Um projeto de modelagem contém um conjunto de funções, restrições de separação de obrigações e dados de usuários e de permissão. Os analistas de função definem o escopo dos dados para facilitar mais e gerenciar o processo de desenvolvimento de funções.
Criação, edição, análise de função e simulação interativa
Os analistas de função podem criar funções, alterar hierarquias de função, especificar proprietários, designar membros usuários e anexar permissões.
Eles podem fornecer dados customizados adicionais sobre a função, como o processo de negócios associado e as unidades organizacionais às quais a função se aplica. O recurso de edição de função contém um catálogo de ferramentas de análise para avaliar e ajustar membros ou permissões
designados ou anexados às funções. As mudanças feitas na função são avaliadas interativamente; os resultados são apresentados aos analistas durante a sessão de edição.
Geração de função por meio da mineração de dados
A geração de função minera os dados de usuário-para-permissão em um projeto para criar um conjunto inicial de funções que otimizam o acesso de usuário às permissões. Os analistas de função podem ajustar a
profundidade da hierarquia de função e o número de funções geradas com dois controles de mineração. O catálogo de análises de função é usado com a geração de função para nomear e ajustar as funções geradas.
Restrições de separação de obrigações e simulação interativa
As restrições de separação de obrigações no nível de função podem ser aplicadas às funções e à hierarquia de função. Duas ou mais funções podem ser designadas à mesma pessoa sem aviso. A mudança de associação de função ou de estrutura de função fornece um feedback no nível de função sobre quaisquer violações das restrições.
Relatório baseado em analítica
A tecnologia de relatório do IBM Cognos fornece relatórios que estão prontos para uso imediato. Esses relatórios podem mostrar detalhes da função, acesso de usuário, visualização de designação de permissões e exploração dos dados de modelagem. O componente de relatório é fornecido com um poderoso designer de relatório customizado e a capacidade para planejar, distribuir e enviar relatórios.
Integração com funções operacionais do IBM Security Identity Manager e política de separação de obrigações
É possível importar dados de modelagem, funções existentes do IBM Security Identity Manager e política de separação de obrigações no programa de modelagem com arquivos Comma-Separated Value (CSV).
Esses arquivos CSV são gerados por um utilitário de extração de dados.
Funções novas e atualizadas e a associação de função podem ser exportadas no formato XML e carregadas no IBM Security Identity Manager usando um utilitário de carregamento de função.
Importação de funções de origens de negócios e de terceiros
É possível carregar as funções existentes de origens diferentes do IBM Security Identity Manager no programa de modelagem com um arquivo CSV. O Tivoli Directory Integrator pode ajudar com a geração de arquivos CSV de origens de negócios e aplicativos de terceiros.
Automação do processo de negócios para aprovações e certificações de funções O IBM Security Role and Policy Modeler contém o IBM Business Process Manager para direcionar e controlar a aprovação e certificação de funções.
Gerenciamento de esquema customizado
É possível incluir, alterar e definir atributos de negócios associando a funções, permissões, usuários e separação de restrições de obrigação por meio de uma interface de arquivo CSV.
Gerenciamento de Dados
Os dados de modelagem incluem identidades de usuário, permissões, funções, restrições de separação de obrigações, designações de
usuário-para-permissão, designações de usuário-para-função, designações de permissão-para-função e valores hierárquicos. Eles são carregados como capturas instantâneas de dados de várias fontes, como arquivos CSV. Um conjunto de dados de diversos arquivos CSV pode ser coletado pelo
dados de modelagem para modelar funções e políticas. À medida que os dados são alterados, uma nova captura instantânea na forma de arquivo CSV pode ser usada para atualizar os dados de modelagem. Um utilitário de extração para o servidor IBM Security Identity Manager cria capturas instantâneas de dados do IBM Security Identity Manager. O Tivoli
Directory Integrator pode ajudar com a geração de arquivos CSV de outras origens de negócios e aplicativos de terceiros.
Quem Usa este Produto
O IBM Security Role and Policy Modeler foi projetado para o analista de negócios, o patrocinador de projetos de desenvolvimento de funções, proprietários de funções de negócios e administradores de segurança. O produto suporta
proprietário do sistema de TI que precisam ajudar a carregar dados de modelagem de sistemas de TI.
Os analistas de função trabalham com várias outras pessoas na empresa para projetar, definir e verificar os modelos. Eles colaboram com outros executivos corporativos, proprietários de processos de negócios, gerentes, proprietários de aplicativos, administradores de aplicativos etc. O gráfico a seguir descreve as pessoas que usam esse produto.
CIO, CSO, Executivos de Conformidade Linhas de Negócios
Sistemas de TI e
Proprietários de Aplicativos
Gerenciamento de TI
Objetivos de controle Escopo
Políticas de negócios Dados da
entrevista
Analista de Função e Política
IBM Security Role and Policy Modeler
Análise de risco Colaboração Relatórios de conformidade
Dados do Aplicativo Necessidade Comercial
Verificar
Implementar CSV
Propor Modelos de Função e Política
Relatórios XML de Função e Política
Outros consumidores de funções e políticas IBM
Security Identity Manager Outras origens de dados do aplicativo
Identidades Permissões Autorizações
IBM Security Identity Manager
Integração do Processo de Segurança
A modelagem e o planejamento fazem parte da integração do processo de
segurança geral em uma organização. As necessidades e os requisitos de segurança organizacional são priorizados, implementados, estabelecidos, aplicados e
monitorados. Conforme uma organização ou seus requisitos são alterados, o ciclo de integração do processo de segurança continua o planejamento usando o feedback do processo.
O processo iterativo é um esforço colaborativo de planejamento e acomodação de mudanças diárias nas organizações e principais eventos de negócios, como reorganizações e aquisições. O IBM Security Role and Policy Modeler é um
provedor de serviços de aplicativo que ajudam o plano de negócios para requisitos de acesso baseado em função e lançamento e a manutenção diária de funções e restrições de separação de obrigações.
Modelagem de Função e Política
• Modelagem e simulação de função e política
• Gerenciamento de ciclo de vida de função e política
Integração do Processo de Controle de Identidade e Acesso da IBM
Planejamento
Rastreamento
Aplicação
Controle Acionado por Política
Monitoramento de Atividade do Usuário
• Relatório e auditoria unificados
• Módulos de relatório de conformidade
• Feedback para funções e políticas
Gerenciamento de Identidade
• Gerenciamento de ciclo de vida de identidade
• Certificação de acesso
• Correção de direitos de acesso de usuário
• Gerenciamento de função
• Gerenciamento de identidade privilegiado
Gerenciamento de Acesso e de Autorização
• Gerenciamento de ciclo de vida de autorização
• Ambiente de acesso baseado em contexto
• SSO (web, área de trabalho, federado)
• Autenticação
• Cumprimento de acesso
Ciclo de Gerenciamento de Funções e Políticas
O design e a implementação de funções são um esforço colaborativo entre a linha de negócios e o provedor de serviços de aplicativo. A linha de negócios precisa de acesso aos aplicativos de negócios enquanto o provedor de serviços de aplicativo, geralmente a organização de TI, suporta as linhas de negócios. O ciclo de vida de função geralmente inicia com uma solicitação de uma linha de negócios para simplificar a administração do acesso aos aplicativos. Ele é geralmente orientado por políticas de controle corporativo.
Proprietários do Recurso de TI
CSO, CIO
Administrador do IM
Analista de Função
Proprietário de LOB
Auditor Administrador de TI Proprietários
do Recurso de TI
CSO, CIO Proprietário
de LOB CSO,
CIO
Proprietários do Recurso de TI
Proprietários do Recurso de TI Administrador do
IM Proprietário
de LOB CSO, CIO
CSO, CIO Proprietário
de LOB CSO,
CIO
Ciclo de Gerenciamento de Função da IBM
• entrevista de negócios
• Reconciliar
• Normalizar
• Correlacionar
• Limpar
• Verificações investigativas de separação de obrigações
• Certificação de acesso
• Relatórios sobre o modelo
• Relatórios sobre configuração de acesso
• Relatórios sobre aprovação
• Relatórios sobre mudanças
• Visualizar estruturas RBAC
• Estrutura de função RBAC
• Restrições de separação de obrigações
• Suporte ao grupo
• Aprovação de estrutura de função
• Relatório de modelo de função
• Modelagem de função
• Mineração de função
• Verificações de política
• UI de negócios
• Analítica/relatório
• Controlando aprovações
• Controlando mudanças
• Verificações preventivas de separação de obrigações
• Política de fornecimento
• Implementar funções modeladas
• Criação/exclusão/mudança de função
• Designação de associação
• Fluxo de trabalho de aprovação
• Solicitação de associação de função IBM Security Identity Manager
IBM Security Role and Policy Modeler Legenda Agregar
Dados de Acesso Validar Acesso
Relatório de
Conformidade Administração
Gerenciamento de Ciclo de Vida da Estrutura de Acesso
Planejando a Estrutura de Acesso
Cumprimento de
Conformidade Operação
A seguir, o cenário de uma empresa que está migrando para o controle de acesso baseado na função ilustra o ciclo de gerenciamento de função.
JKHealthcare é um provedor de assistência médica que aumentou para mais de 5.000 funcionários nos últimos cinco anos. Eles possuem mais de 400 aplicativos em produção. Seus aplicativos incluem um portal de cliente, integração B2B com a rede de fornecedores e fóruns de funcionários. Eles também possuem sistemas de arquivos compartilhados e aplicativos financeiros e de assistência médica
controlados por vários regulamentos. Os gerentes solicitam acesso para seus funcionários por meio de uma coleção de ferramentas internas, help desk e email.
Recentemente, Dennis Moreland, Gerente de Conformidade de Segurança, solicitou ao auditor, Jeff Benson, para executar uma auditoria interna do acesso a vários aplicativos-chave de assistência médica. Eles descobriram que existiam mais contas que funcionários em alguns aplicativos. Vários grupos receberam acesso a projetos que nunca iniciaram. Em outros aplicativos, nenhuma conta ou acesso de
funcionário ressaltado com um sinalizador vermelho.
Dennis é solicitado a trabalhar com outras pessoas para limpar o acesso a 18 aplicativos-chave e mover esses aplicativos para o controle de acesso baseado na função. Dessa maneira, eles podem melhorar a variação de conformidade dos aplicativos e reduzir o custo de manutenção do acesso adequado. Isso torna mais fácil para os gerentes aprovarem e recertificarem o acesso.
Dennis considera os problemas iniciais localizados por Jeff e decide tomar uma ação. Ele planeja direcionar itens de prioridade para si mesmo e o Analista de Função e Política, Ram Laxman, líder do grupo de segurança, Mike Stevens, proprietário do aplicativo, Wanda Liu, e gerentes como Chuck Reigle.
v Dennis trabalha com Ram para definir os objetivos para fazer a transição para o controle de acesso baseado na função. Os objetivos incluem a identificação e priorização dos aplicativos críticos, unidades organizacionais e métricas para medir o sucesso do esforço. Eles decidem um conjunto de marcos, em que o
objetivo de cada marco é modelar três departamentos para dois aplicativos críticos. Esses marcos podem mostrar o progresso e sucesso em um ritmo sustentável.
v Ram trabalha com Marjorie Ramsey-Schmidt, um desenvolvedor sênior da equipe de tecnologia da informação, para reunir os dados de autorização de permissão a partir dos aplicativos identificados. Eles também reúnem as informações de identidade do usuário a partir das unidades organizacionais priorizadas. Marjorie usa um utilitário de linha de comandos para o IBM Security Identity Manager para extrair o esquema, as autorizações de permissão e as informações de perfil do usuário para a modelagem. Se as funções e as políticas de separação de obrigações tiverem sido definidas no IBM Security Identity Manager, Marjorie incluirá os dados nos dados de modelagem.
v Um aplicativo, o sistema de acesso por badge, não é provisionado pelo IBM Security Identity Manager. Dennis deseja desenvolver funções para o acesso por badge para áreas seguras. Marjorie use as interfaces do sistema de acesso por badge para extrair as informações de modelagem e preparar os arquivos CSV de informações. Marjorie importa os dados para o banco de dados de Identidade e Autorização.
v Ram executa relatórios para verificar o estado da importação de dados iniciais e avaliar a completude e qualidade dos dados. Quando necessário, Ram cria relatórios customizados para atender às necessidades específicas dos negócios.
Ram também revisa essas informações com Dennis e os gerentes de
departamento. Ele captura dados ausentes, que impacta a qualidade das funções.
Ele descobre que algumas das permissões para o aplicativo crítico não possuem uma descrição do negócio. Ram solicita à Wanda, que é responsável pelos aplicativos, e ao Mike, que possui a implementação de segurança dos aplicativos, para verificarem as informações e preencherem as diferenças.
v Ram também reúne dados da entrevista de Wanda e Chuck para entender melhor o que as linhas de negócios esperam quando trata-se do acesso aos recursos da empresa. Chuck também é responsável por verificar se as pessoas corretas possuem o acesso correto ao aplicativo.
v Com os novos dados coletados por Ram, Marjorie trabalha com Ram para atualizar os arquivos CSV e importar as atualizações, inclusões e exclusões para o IBM Security Role and Policy Modeler.
v Ram cria um modelo de função inicial selecionando todos ou um subconjunto de usuários e permissões do aplicativo. Ele usa várias opções e ferramentas
analíticas no IBM Security Role and Policy Modeler para gerar automaticamente as funções com base na mineração de dados do IBM Security Role and Policy Modeler. Ele revisa e altera as opções de geração de função, cria funções baseadas na entrada de negócios e copia as funções existentes. Depois, ele pode visualizar, editar, analisar e ajustar essas funções.
v Ram produz relatórios de análise para compartilhar com outras partes interessadas, como Dennis, Wanda, Mike e assim por diante. Esses relatórios incluem as funções, políticas, usuários, permissões e designações de usuário para permissões que resultam dos modelos. Onde necessário, Ram cria relatórios customizados para atender às necessidades específicas dos negócios. As partes interessadas fornecem feedback para Ram, que refina ainda mais o modelo.
v Quando Ram e as partes interessadas concordam com o modelo, Ram submete a função para o proprietário da função, Chuck, para a aprovação formal da função. Chuck é notificado dessa solicitação de aprovação da função por correio.
Ele clica no link no email, revisa o rascunho final da função e o aprova. Ram recebe um email, indicando se Chuck aprova ou rejeita a função.
Após a aprovação da função, Ram exporta o modelo em um formato de arquivo
de linha de comandos para o IBM Security Identity Manager para carregar e atualizar as funções e as políticas de separação de obrigações. Depois, ele usa a UI administrativa do IBM Security Identity Manager para concluir as políticas de fornecimento ou alinhar as funções importadas com as políticas de fornecimento existentes.
v Ram também fornece ao Mike relatórios que descrevem o modelo para
implementação nos sistemas de TI, como o sistema de acesso seguro à sala por badge. Mike revisa o modelo e, em seguida, trabalha com o coordenador de acesso por badge para implementar o modelo. Além disso, ele configura um serviço manual do IBM Security Identity Manager que designa uma tarefa ao coordenador de acesso por badge para provisionar usuários para áreas seguras.
v Periodicamente, Marjorie reúne os dados atuais do IBM Security Identity Manager, outros aplicativos identificados e bancos de dados de HR para atualizar o banco de dados do IBM Security Role and Policy Modeler. Ram usa as ferramentas analíticas e estatísticas fornecidas pelo IBM Security Role and Policy Modeler para determinar como as funções funcionam. Ele executa relatórios sobre a analítica do modelo para compartilhar com Dennis e outras partes interessadas para avaliar se mudanças são necessárias no modelo. Ele também pode solicitar aos proprietários de função para certificarem que as funções que eles possuem ainda necessárias e exatas.
v Com base na análise e no feedback da certificação de função, Ram modifica as funções e políticas. Ele obtém a aprovação das mudanças e trabalha com Mike para implementá-las.
v Algumas vezes durante o ano, Jeff Benson, um auditor, recebe relatórios do IBM Security Role and Policy Modeler sobre o design de modelos desejado. Ele os compara com o estado dos sistemas de TI para saber o quanto a empresa está controlando satisfatoriamente o modelo de segurança e para identificar áreas de preocupação. Jeff usa a comparação de linha de base do modelo como uma entrada no processo de auditoria.
Conforme esse cenário ilustra, quando uma empresa adota o controle de acesso baseado na função, as funções entram em um ciclo de processo de criação, atualização, validação e implementação.
Capítulo 2. Recursos do Produto
O IBM Security Role and Policy Modeler entrega os recursos de modelagem de função e política que protegem o controle do acesso a seus recursos de negócios.
Entendendo os Dados
Para produzir funções de fácil manutenção, os analistas de função usam o IBM Security Role and Policy Modeler para explorar usuários, permissões, funções e seus atributos, além dos relacionamentos entre eles.
Para aumentar ainda mais as permissões para milhares de usuários, os analistas de função modelam as designações de usuário-para-permissão por meio de funções e hierarquias de função.
Para modelar de modo eficaz, os analistas de função precisam escolher atributos para usuários, permissões e funções que são significativos para os negócios. Eles podem ajudar a criar funções de segurança com base nos valores de atributos comuns. Por exemplo, todos os funcionários responsáveis como Enfermeiro-chefe no Grace Hospital precisam da autoridade para aprovar mudanças nos “Pedidos de Atendimento ao Paciente” no aplicativo. Para suportar essa análise, atributos de modelagem significativos são necessários. Esses atributos incluem o código da tarefa, seu local de trabalho, os atributos de permissão de autoridade, recurso e nome do aplicativo.
Os dados e o esquema customizado para usuários, permissões e funções são importados inicialmente para o banco de dados de Identidade e Autorização com as sessões de importação do IBM Security Role and Policy Modeler e arquivos CSV. As mudanças e exclusões dos dados e esquema de modelagem no banco de dados de Identidade e Autorização são manipuladas com importações
subsequentes de dados dos arquivos CSV.
Objetos Básicos da Modelagem de Funções
Os analistas de função trabalham com quatro tipos de objetos: usuários, permissões, funções e restrições de separação de obrigações. Eles também trabalham com cinco tipos de relacionamento: usuário-para-permissão, usuário-para-função, função-para-permissão, função-para-função e função-para-restrição (restrição de separação de obrigações).
Além de direcionar os relacionamentos de usuário-para-função, os qualificadores de associação podem simplificar o processo de mapeamento de usuários para funções definindo a associação com base nos valores de atributos de um usuário.
Os analistas de função criam designs de função eficientes usando os dados, o editor visual, as ferramentas de análise e os recursos automatizados de geração de função.
Atributos de Esquema Necessários e Atributos de Esquema Customizados
Cada um dos objetos de modelagem tem um conjunto de esquema predefinido que não pode ser alterado. Entretanto, é possível estendê-lo com atributos
customizados.
Se os atributos customizados estiverem definidos e preenchidos, o IBM Security Role and Policy Modeler fornecerá uma análise minuciosa sobre os dados para criar funções otimizadas para a organização. É possível criar, atualizar ou remover os valores para o esquema customizado importando os dados.
O IBM Security Role and Policy Modeler usa atributos de esquema customizados de duas maneiras: para definir o escopo de projetos e para analisar e otimizar as funções. Por exemplo, os analistas de função usam um atributo customizado no objeto de usuário para definir o escopo de um projeto para os usuários contidos em um subconjunto de unidades organizacionais. Posteriormente, os analistas de função revisam uma distribuição de associação de função por unidade
organizacional para entender melhor quem precisa de uma função.
Se o IBM Security Identity Manager for implementado, o utilitário de extração do IBM Security Identity Manager criará um arquivo de esquema com atributos de
Qualificador de Membro
Usuário
Permissão Função
Separação de Obrigações Função A, Função B;
apenas1
Usuário
Usuário
Usuário
extração do IBM Security Identity Manager também cria os arquivos CSV a partir dos dados de função, usuário e permissão (designação de conta e de grupo) do IBM Security Identity Manager para carregar no IBM Security Role and Policy Modeler.
Tipos de Atributos
Os objetos do IBM Security Role and Policy Modeler possuem quatro tipos de dados de atributos que devem ser especificados.
Sequência
Qualquer sequência com menos de 241 caracteres de comprimento.
Número Inteiro
Um número inteiro positivo ou negativo.
Identidade
Uma referência a um objeto de usuário no projeto.
Hierarquia
Atributos com um nome, descrição e identificador que podem ser organizados em uma hierarquia, como uma árvore organizacional.
Origens de Dados
Todos os dados importados para o banco de dados de Identidade e Autorização devem ser associados a uma origem.
A origem pode representar todos os dados de um repositório físico como todos os dados do usuário de um diretório LDAP. Também pode ser um subconjunto lógico de dados como todos os usuários A-J de um banco de dados HR. Para funções, permissão e restrições de separação de obrigações, todos os atributos de um objeto devem ser importados como um único registro associado a uma origem. Os objetos podem ser provenientes de diversas origens.
Os atributos de identidade do usuário podem ser provenientes de diversas origens.
Eles são unidos ao banco de dados de identidade e autorização com um ID de usuário exclusivo como o correlacionador. Por exemplo, os atributos de HR de dados de identidade do usuário podem ser provenientes da origem de identidade do IBM Security Identity Manager com certificações de treinamento adicionais de uma origem de banco de dados de treinamento.
Feeds de Origem de Permissões, Funções, Separação de Obrigações
Esquema de Atributos no CSV
Origens de permissão, função e dados de separação de obrigações
Arquivos CSV contendo conjuntos de dados completos para um objeto ou tipo de relacionamento de origens
Atributos de Permissão
#Origem de Permissão, Produção-TIM
Registros no Banco de Dados de Identidade e Autorização
LDAP/AD Aplicativo
Farmácia
Esquema de Atributos no CSV
#AD de Origem de Permissão
#Origem de Permissão, BD de Treinamento
Grupos do Gerenciador de Identidade Contas do
Identity Manager
A origem representa um conjunto completo dos dados logicamente particionados.
O IBM Security Role and Policy Modeler compara os dados atuais no banco de dados de identidade e autorização de uma origem com as informações de identidade atualizadas da mesma origem. Ele detecta as informações de
identificação excluídas. Para excluir todos os dados de uma origem, a origem deve ser especificada em um arquivo de importação sem nenhum registro de dados correspondente.
Identidades do Usuário
Uma identidade do usuário é a coleção de atributos e valores para uma pessoa específica. No mínimo, uma identidade do usuário inclui um ID e um nome.
Por meio da importação de dados dos arquivos CSV, as identidades do usuário são incluídas no banco de dados de identidade de autorização do IBM Security Role
Construindo Registros de Identidade Composta
Esquema de Atributos no CSV
Origens de dados de identidade do usuário
Pessoas do Identity
Manager
Blocos CSV de dados para Produção-TIM, AD e BD de Treinamento
Arquivos CSV para atributos de identidade do usuário provenientes de diversas origens
Atributos de Identidade
#Origem de Identidade, Produção-TIM
Registros do usuário compostos no Banco de Dados de Identidade e Autorização
Contas do Identity
Manager LDAP/AD Banco de Dados
de Treinamento e Certificação
Esquema de Atributos no CSV
#AD de Origem de Identidade
#Origem de Identidade, BD de Treinamento
and Policy Modeler. Consulte o tópico “Importando dados” no Centro de Informações do IBM Security Role and Policy Modeler para obter detalhes sobre importação de dados. As identidades do usuário possuem um pequeno conjunto de atributos necessários definidos para o esquema. Entretanto, é possível
customizar atributos para estender o modelo de dados.
Aqui estão os atributos de esquema necessários para identidades do usuário:
UID de Pessoa
Identifica exclusivamente um usuário para todos os atributos do usuário associados de todas as origens de identidade no banco de dados de Identidade e Autorização e projetos de modelagem. Esse atributo não é exibido na GUI; ele é usado internamente para correlacionar e gerenciar usuários nos modelos.
UID de Registro de Origem
Em uma origem de identidade, um usuário pode ter diversas entradas. Por exemplo, um usuário pode possuir diversas contas. Registros de origem individuais para um usuário estão correlacionados usando o UID de Pessoa para registros com UIDs de Registro de Origem diferentes.
Nome da Pessoa
O nome exibido na UI e em relatórios. O nome da pessoa não é garantido ser exclusivo.
Usando apenas UIDs de pessoas e mapeamentos de usuário-para-permissão, o IBM Security Role and Policy Modeler pode gerar e otimizar funções. Entretanto, a inclusão de atributos de negócios adicionais no objeto de usuário aumenta o valor da otimização e da análise de função. É uma boa prática que os analistas de função customizem o esquema de usuário para incluir dados adicionais úteis para a modelagem. Aqui estão alguns exemplos úteis de atributos de dados de identificação:
Responsabilidade da Tarefa ou Código da Tarefa
Associe pessoas a funções com base nas responsabilidades similares.
Organização
Associe pessoas a funções com base na área de negócios.
Departamento
Associe pessoas a funções com base no grupo de trabalho.
Local de Trabalho
Associe pessoas a funções com base no local geográfico ou físico.
Relacionamentos
Associe pessoas a funções com base no relacionamento de identidades comum, como uma função.
Nível de Educação
Acesso restrito com base no nível de educação.
Os dados para atributos customizados também devem ser incluídos na importação dos dados de origem do usuário com o UID associado a eles. Pelo menos uma origem de identidade deve fornecer o valor de Nome da Pessoa.
Permissões
Para modelagem, as permissões são representações abstratas de uma ação em um recurso.
A permissão pode conter diferentes níveis de detalhes para atender aos objetivos de modelagem. A implementação de TI de uma permissão modelada pode
representar uma permissão de alto nível, como uma conta em um sistema ou uma associação em um grupo. A permissão também pode representar uma transação de baixa granularidade em uma coluna ou linha de um banco de dados.
Por meio da importação de dados dos arquivos CSV, as permissões são incluídas no banco de dados de Identidade de Autorização do IBM Security Role and Policy Modeler. As permissões possuem um pequeno conjunto de atributos necessários definidos para o esquema, mas é possível customizar os atributos para estender o modelo de dados.
Aqui estão os atributos de esquema necessários para permissões:
UID de Permissão
Identifica exclusivamente uma permissão no banco de dados de Identidade e Autorização e todos os projetos de modelagem. O UID de Permissão deve ser exclusivo entre todas as origens de dados de permissão. Esse atributo não é exibido na interface com o usuário, mas é usado internamente para correlacionar e gerenciar permissões nos modelos.
Nome da Permissão
O nome de exibição usado na interface com o usuário e em relatórios. O nome da permissão não é garantido ser exclusivo. Uma boa prática é usar uma convenção de nomenclatura para nomear a permissão exclusivamente entre todas as origens de permissão.
Descrição da Permissão
As informações opcionais para descrever a permissão para os analistas de função e os usuários corporativos. Um valor para essa descrição é opcional.
Usando apenas UIDs de Permissão e mapeamentos de usuário-para-permissão, o IBM Security Role and Policy Modeler pode gerar e otimizar funções e modelos de funções. Entretanto, quanto mais atributos de negócios forem incluídos no objeto de permissão, melhores a otimização e a análise de função serão. É uma boa prática que os analistas de função customizem o esquema de permissão para incluir dados adicionais úteis para a modelagem. Aqui estão alguns exemplos úteis de atributos de dados de permissão:
Ação Atributos de ação de permissão, tais como, representar, ler, gravar, excluir e assim por diante. A ação de permissão está geralmente no nome da
permissão. Entretanto, a inclusão de alguns atributos customizados ajuda na análise e definição de escopo da função.
Recurso
Dados ou transação protegidos por essa permissão. O recurso protegido está geralmente no nome e descrição da permissão. Entretanto, a inclusão de alguns atributos customizados ajuda na análise e definição de escopo da função.
Aplicativo
O nome do aplicativo que contém os recursos protegidos.
Proprietário
Um ou mais proprietários de negócios ou de TI da permissão.
Sensibilidade de Risco
Uma avaliação do risco de designar essa permissão para apresentar à organização. Por exemplo, a gravação dos registros do paciente pode ser um alto risco, em que a leitura dos registros do paciente é um risco médio.
Os dados de avaliação de negócios podem ajudar o analista de função a criar funções para proteger adequadamente ativos de risco mais alto.
Os dados para atributos customizados também devem ser incluídos na importação dos dados de origem da permissão com valores de UID, Nome e Descrição.
Funções
As funções são um método de mapeamento de usuários para permissões de gerenciamento de recursos. É uma função de tarefa que identifica as tarefas que os usuários podem executar e os recursos aos quais os usuários têm acesso.
É possível criar funções com o editor de função e as ferramentas de geração de função. As funções também podem ser importadas para o banco de dados de Identidade e Autorizações e copiadas em projetos de modelagem. As funções importadas podem ser as funções extraídas do IBM Security Identity Manager ou de outros sistemas de TI. Elas podem ser funções de negócios desenvolvidas por entrevista de linhas de negócios ou proprietários de aplicativos.
As funções são incluídas no banco de dados de Identidade e Autorização do IBM Security Role and Policy Modeler importando dados dos arquivos CSV. As funções possuem um conjunto maior de atributos necessários definidos para o esquema, mas é possível customizar os atributos para estender o modelo de dados.
Aqui estão os atributos de esquema necessários para funções:
UID de Função
Identifica exclusivamente uma função para todas as funções importadas para o banco de dados de Identidade e Autorização. Diferente de usuário ou permissão, o UID de Função pode não ser exclusivo entre todos os projetos de dados e modelagem importados. Um UID de Função é
exclusivo dentro de um projeto e no conjunto de dados importados. O UID de Função deve ser exclusivo em todas as origens de dados da função importados. Esse atributo não é exibido na interface com o usuário, mas é usado internamente para correlacionar e gerenciar permissões nos modelos.
Os UIDs de Função desempenham uma parte especial na associação de funções modeladas com as funções implementadas no IBM Security Identity Manager. Quando as funções são importadas do IBM Security Identity Manager, o UID de Função é configurado para o UID gerado pelo IBM Security Identity Manager. Quando essas funções são copiadas em um projeto para modelagem, o analista pode manter o UID existente ou gerar um novo UID. Se o UID da função no projeto for igual ao UID da origem externa da função, será possível associar a função modelada à função implementada quando exportá-la. Por exemplo, as funções existentes do IBM Security Identity Manager podem ser importadas para o IBM Security Role and Policy Modeler e, depois, copiadas em um projeto. Os analistas podem alterar os atributos da função, a estruturas das funções e as restrições de separação de obrigações das funções. Ao exportar do projeto com o UID gerado pelo IBM Security Identity Manager, as mudanças da função podem ser carregadas no IBM Security Identity Manager,
atualizando as funções existentes.
Nome da Função
O nome de exibição usado na interface com o usuário e em relatórios. O nome da função não é garantido ser exclusivo.
Descrição da Função
As informações para descrever a função e seu uso para os analistas de função e os usuários corporativos. Um valor para a descrição é opcional.
Tipo de Função
Um tipo de uso opcional para a função, como função de Negócios ou função do Aplicativo, para descrever a classificação da função para os usuários corporativos. Os tipos de funções são customizáveis para qualquer sequência. Depois da instalação,IBM Security Role and Policy Modeler configure a função de Negóciose afunção do Aplicativo como seleções para tipo. É possível remover estes tipos e incluir outros para corresponder à terminologia da administração baseada em função
corporativa. O termo Classificação de Funçãona interface com o usuário do IBM Security Identity Manager é equivalente em significado ao Tipo de Função no IBM Security Role and Policy Modeler. Um valor para Tipo de Função é opcional.
Proprietário de Função
O proprietário de função é um atributo com diversos valores que especifica opcionalmente os usuários responsáveis pela função no ciclo de vida da função. O atributo proprietário de função é usado ao determinar quem precisa aprovar uma função.
Nota: O proprietário de função é limitado a identidades. As funções como proprietários não são suportadas.
Pai da Função
Se a função for parte de uma hierarquia de função, o atributo Pai da Função conterá um ou mais UIDs de Funções Pai para as funções importadas.
As funções podem ter atributos customizados adicionais. Os atributos
customizados ajudam uma empresa a identificar e gerenciar melhor as funções. Os valores de atributos customizados podem ser visualizados no editor de função e fazem parte de relatórios do IBM Security Role and Policy Modeler. Aqui estão alguns exemplos úteis de atributos de função customizada:
Organização
Nome da organização que usa essa função ou o nome da organização que possui essa função.
Aplicativo
Se a função estiver estreitamente ligada a um aplicativo, o nome do aplicativo poderá ser associado à função.
Tarefa de Negócios
O nome do processo ou tarefa de negócios que requer essa função.
Revisores Opcionais
As partes interessadas afetadas por mudanças na função ou pessoas que podem fornecer insight para os analistas de função.
Classificação de Risco
Uma avaliação de negócios do risco que uma função representa em termos de acesso.
Os dados para atributos customizados também devem ser incluídos na importação dos dados de origem da função com os valores de UID, Nome e Descrição.
Restrições de Separação de Obrigações
Uma restrição de separação de obrigações é um controle de negócios aplicado a uma função. A restrição especifica que um usuário não pode receber mais de um conjunto de funções que representem um risco aos negócios.
Por exemplo, um usuário não pode ser um membro da funçãoCompra e da função Pagamentos ao mesmo tempo. Os analistas de função usam regras de restrição de separação de obrigações para criar um modelo de função que respeite os riscos de negócios aceitáveis. As violações podem ser visualizadas e relatadas a partir do modelo.
Aqui estão os atributos de esquema necessários para restrições de separação de obrigações:
UID de Regra
Identifica exclusivamente uma restrição de separação de obrigações envolvendo duas ou mais funções.
Descrição da Regra
As informações descrevem a restrição.
Cardinalidade
O número máximo de funções associadas à restrição pode ser designado a um usuário antes que uma violação ocorra.
UID de Função
Dois ou mais identificadores de função exclusivos que tornam a lista de funções restrita pela regra.
Relacionamentos entre Usuários, Permissão, Funções e Restrições
Os cinco tipos de relacionamento também são especificados como dados
importados: usuário-para-permissão, usuário-para-função, função-para-permissão, função-para-função e função-para-restrição.
O relacionamento para a hierarquia de função-para-função é configurado no atributo pai Função do objeto de função. O relacionamento função-para-restrição é configurado no objeto de restrição de separação de obrigações. Os relacionamentos restantes, usuário-para-permissão, usuário-para-função e função-para-permissão, são importados em suas próprias definições de origem dos arquivos CSV.
Aqui estão os atributos necessários para importação:
v Usuário-para-permissão é um UID de Pessoa e UID de Permissão para cada mapeamento
v Função-para-permissão é um UID de Função e UID de Permissão para cada associação
v Usuário-para-função é um UID de Função e UID de Pessoa para cada associação
Grupos
Os grupos em registros podem ter vários significados, dependendo de como os grupos são usados pelo aplicativo e pelo processo de negócios.
Para modelagem de funções e políticas, o IBM Security Role and Policy Modeler mantém o foco em dois padrões de uso para grupos: grupos que representam uma designação a uma função e grupos que representam uma designação à permissão.
Grupos que Representam uma Designação a uma Função
Os proprietários de negócios usam grupos em um diretório para representar uma função de negócios. Um grupo é uma coleção de usuários com uma
responsabilidade de tarefa comum.
Grupos que Representam uma Designação a uma Permissão
Em uma lista de controle de acesso (ACL), os grupos facilitam a administração do mapeamento de usuários para as permissões. O grupo representa um mapeamento de usuário-para-permissão para conceder a permissão a um conjunto de usuários.
É geralmente chamado de função do aplicativo. O mapeamento de um grupo a uma permissão é geralmente predeterminado pelo aplicativo, ou configurado pelo departamento de TI durante a implementação do aplicativo.
Grupos do IBM Security Identity Manager
O utilitário de extração do IBM Security Identity Manager permite que um grupo nos dados de modelagem seja configurado. Os grupos provisionados no IBM Security Identity Manager podem ser configurados para representar permissões e designação de permissão ou funções e designações de função quando extraídos em um arquivo CSV.
Gerenciamento de Dados
O gerenciamento de dados do IBM Security Role and Policy Modeler inclui a customização e o gerenciamento do esquema de dados e o carregamento e manutenção dos dados de modelagem.
O esquema e os dados são gerenciados em um processo de três estágios:
carregamento de arquivos de dados, validação de dados e confirmação de esquema e dados para modelagem.
Em geral, os dados são preparados para modelagem nestas etapas:
1. Reúna os dados do IBM Security Identity Manager, de origens de TI e linhas de negócios.
2. Se necessário, crie os arquivos formatados separados por vírgula.
3. Inicie uma sessão de importação de dados e escolha se a atualização é uma atualização de esquema ou de dados.
4. Faça upload dos arquivos na sessão. Verifique os erros e resolva-os nos arquivos.
5. Valide o esquema ou dados na sessão antes de confirmar a atualização. Corrija os erros carregando arquivos adicionais, removendo arquivos de dados ou alterando os arquivos de dados e recarregando os arquivos. O relatório de operação pode ser usado para revisar os dados em uma sessão de importação e os dados confirmados no banco de dados de Identidade e Autorização.
6. Confirme a atualização do esquema e dos dados. A confirmação do esquema torna novos atributos disponíveis para serem carregados como dados e remove os valores de atributos excluídos. A confirmação dos dados mescla os dados na sessão de importação com os dados confirmados pela sessão de importação anterior.
O gerenciamento de dados e de esquema é iterativo para escala e manutenção.
Apenas o esquema e os dados necessários para modelar projetos planejados devem ser confirmados no banco de dados de modelagem. Como os novos projetos requerem esquema ou origens de dados adicionais, inclua incrementalmente delta
de novas informações. Inclua novos dados e atualizações de dados em incrementos planejados com uma ou mais sessões de importação de dados.
Importação do Esquema
O esquema do IBM Security Role and Policy Modeler pode ser alterado importando as atualizações do esquema.
As mudanças incluem:
v Origens lógicas de dados usadas para importar dados. As origens de dados permitem que o administrador planeje e mantenha temporariamente os dados confirmados para o banco de dados de modelagem.
v Atributos de permissões e usuários exibidos nas interfaces com o usuário e relatórios do IBM Security Role and Policy Modeler.
v Atributos customizados de uma função que podem ser associados, visualizados e gerenciados como informações adicionais.
v Atributos customizados sobre restrições de separação de obrigações importadas para serem exibidos nos relatórios.
v Os valores do atributo de tipo de função de uma função que podem ser usados para classificar uma função.
Para obter detalhes sobre o formato do arquivo CSV de esquema, consulte o tópico
“Importando esquema” no Centro de Informações do IBM Security Role and Policy Modeler.
Importação de Dados
Os dados do IBM Security Role and Policy Modeler podem ser alterados importando as atualizações de dados.
As mudanças incluem:
v Criar, excluir e atualizar uma função, usuário, permissão e restrição de separação de obrigações.
v Criar, excluir e atualizar os dados de mapeamento de usuário-para-permissão, usuário-para-função, função-para-permissão, função-para-função e
função-para-restrição.
v Valores e hierarquia para dados hierárquicos.
Para obter informações sobre o formato do arquivo CSV de dados, consulte o tópico “Importando dados” no Centro de Informações do IBM Security Role and Policy Modeler.
Fluxo de Dados
Os dados de modelagem de função são fornecidos com o IBM Security Role and Policy Modeler sendo importados como arquivos de formato CSV.
As origens de dados e o esquema de atributos para a origem são definidos pelos arquivos CSV. Os arquivos CSV são criados pelo utilitário de extração do IBM Security Identity Manager. Eles também podem ser criados editando arquivos CSV existentes, ou por outras ferramentas, como o Tivoli Directory Integrator.
Para produzir uma experiência de modelagem interativa para o analista de função, o IBM Security Role and Policy Modeler divide o processo de modelagem em duas
fases: importação de dados e modelagem de segurança. O servidor e banco de dados do IBM Security Role and Policy Modeler suportam essas duas fases gerenciando dois conjuntos de dados:
Banco de dados temporário para coletar dados para importação
Conforme os dados são coletados, eles são importados para o banco de dados temporário. Os dados no banco de dados temporário não afetam projetos de modelagem de função.
As informações estatísticas podem ser revisadas na sessão de importação e podem ser geradas como relatórios detalhados. Depois de passarem pela revisão, os dados são confirmados e movidos para as tabelas de
modelagem do banco de dados. Durante o processamento de confirmação, os registros no banco de dados temporário são mesclados e resolvidos com dados no banco de dados de modelagem. Esses registros incluem registros novos, atualizados e excluídos.
Banco de dados de Identidade e Autorização para modelagem
Quando os dados são importados para o banco de dados de Identidade e Autorização, os analistas de função podem iniciar o processo de
modelagem de segurança.
Analista de Função
Relatórios e XML atualizados Analisar
emodelar
Validar Dados
Atualizações de função
Reunir dados de TI e linha de negócios
Fazer upload na
sessão Confirmar
Modelos e estatísticas atualizados Requisitos
para
usuários, aplicativos
eassim por
diante
Identity Manager Usuários,
permissões, funções
erestrições Suporte de TI
Atualizar e expandir
CSV
CSV
HR Dir Sistemas,
Aplicativos
XML Relatórios
Projetos Dados de Modelagem Dados
Temporários
Os dados confirmados do banco de dados temporário devem ser um conjunto completo de dados de uma determinada origem por entidade. Por exemplo, eles devem ser todos os registros de identidade e atributos dos usuários a serem modelados. Eles devem ter todas as permissões (grupos) e mapeamentos de permissões (associações ao grupo) de um diretório LDAP. Com um feed completo de uma origem, o IBM Security Role and Policy Modeler pode detectar os registros excluídos. Ele compara o conjunto completo de registros da origem por tipo de entidade com os registros no banco de dados de modelagem e obtém os registros excluídos.
O administrador do aplicativo IBM Security Role and Policy Modeler atualiza os dados de modelagem de feeds em uma base periódica. Os processos de validação e confirmação são assíncronos e potencialmente tarefas de longa execução. Como os dados novos podem alterar as estatísticas e informações sobre um modelo de
função, a confirmação de dados novos afeta quaisquer projetos existentes. Quando os dados são recém-confirmados, nenhuma edição ou visualização dos projetos pode ser feita. A edição e visualização podem iniciar após o processamento de confirmação ser concluído e as estatísticas do projeto serem recalculadas. Quando o estado do projeto é Recálculo Necessário, os analistas de função podem selecionar os projetos e submeter o projeto para recálculo. Depois que o recálculo é concluído, o projeto está pronto para edição.
Ferramentas de Análise de Modelagem de Função
O IBM Security Role and Policy Modeler fornece diversas ferramentas para os analistas de função entenderem, gerarem e ajustarem funções. Essas ferramentas podem ajudar a criar e manter funções ideais para uma organização.
Estatísticas do Projeto e da Função
O projeto de modelagem exibe um resumo das estatísticas sobre as funções e o projeto de modelagem de funções.
As estatísticas do projeto incluem o número total de usuários, permissões, funções e restrições no escopo do projeto. Também incluem a porcentagem de permissões designadas às funções no escopo do projeto.
As estatísticas da função incluem o número de usuários e permissões designados a cada função, número de usuários e permissões herdados e hierarquia de função. É possível revisar uma visão geral da hierarquia de função por meio da Visualização de Hierarquia do projeto com resumos pop-up de cada função.
Gerando Funções
O IBM Security Role and Policy Modeler pode gerar um conjunto de funções com base nos mapeamentos de usuário-para-permissão importados para o banco de dados de Identidade e Autorização.
As funções são criadas com base na mineração dos mapeamentos de
usuário-para-permissão, criando usuários com permissões semelhantes para a mesma função. Os analistas de função podem controlar o número de funções geradas de duas maneiras:
v Configurar a quantia de hierarquia que é usada pelo processo de mineração.
v Permitir que o algoritmo ignore potenciais funções, em que as funções contêm apenas um ou dois membros e permissões.
Usando esses métodos, os analistas de função podem gerar funções que atendam aos critérios específicos do projeto quanto ao número de funções a serem
gerenciadas e a cobertura de designações de usuário-para-permissão.
Depois de gerar as funções, os analistas de função podem revisar as informações sobre as funções. A revisão dos atributos dos usuários e permissões em uma função ou das ferramentas analíticas no catálogo de análises de função ajuda a entender melhor as funções geradas. Eles podem nomear e descrever a função e construir qualificadores de associação de função para ajudar a identificar os usuários que devem, ou não, estar na função.
Para obter informações adicionais, consulte o tópico “Administração de função” no Centro de Informações do IBM Security Role and Policy Modeler.
Catálogo de Análises
O catálogo de análises é um conjunto de resumos analíticos e drill downs que ajudam os analistas de função a ajustarem as funções para eficiência.
As tarefas de análise responde às perguntas sobre as funções e identifica potenciais usuários, permissões e problemas. Aqui estão perguntas de amostra que o catálogo de análises pode responder:
v Quais atributos dos membros da função são um bom prognosticador de associação de função?
v Quais atributos das permissões da função são um bom prognosticador de outras permissões que podem ser designadas à função?
v Quais atributos os membros têm em comum?
v Há bons candidatos para a função baseada nesses atributos?
v Quais acessos os membros têm em comum?
v Há bons candidatos para a função baseada nesses acessos similares?
v Como os atributos das permissões estão designados à função similar?
v Há permissões de bons candidatos para incluir na função.
Para obter informações adicionais sobre como analisar funções e políticas, consulte o tópico “Análise de função e política” no Centro de Informações do IBM Security Role and Policy Modeler.
Qualificadores de Associação
Os analistas de função podem criar um qualificador de associação para filtrar a associação de uma função por meio da entrada das linhas de negócios ou catálogo de análises.
Um qualificador de associação ajuda um analista de função a identificar os usuários que não pertencem a determinadas funções e incluir automaticamente os usuários que pertencem. Por exemplo, a analítica de função pode mostrar que a associação de uma função é constituída de funcionários que trabalham no departamento de farmácia de um hospital. Essas pessoas foram treinadas e certificadas em processos de substância controlada. Portanto, um qualificador de associação usa os atributos do departamento de farmácia e a certificação para filtrar as pessoas qualificadas. Ele inclui os novos membros que compartilham esses atributos, mas que não eram anteriormente membros da função.
Os qualificadores de associação podem ser expressões Booleanas multipartes e são construídos usando um editor de qualificador. Para obter informações adicionais, consulte o tópico “Criando um qualificador de associação de função” no Centro de Informações do IBM Security Role and Policy Modeler.
Analítica de Relatório
Além da analítica construída na interface com o usuário, o IBM Security Role and Policy Modeler fornece mais detalhes sobre os modelos de função por meio da interface de relatório.
Para obter informações adicionais sobre relatórios do IBM Security Role and Policy Modeler, consulte o tópico “Relatórios” no Centro de Informações do IBM Security Role and Policy Modeler.
Integração com Funções do IBM Security Identity Manager
As funções importadas do IBM Security Identity Manager podem ser copiadas em um projeto, em seguida, visualizadas e analisadas sobre sua associação.
Usando o editor de função do IBM Security Role and Policy Modeler, é possível atualizar o nome da função, descrição, hierarquia e associação. As mudanças podem ser exportadas e carregadas de volta no IBM Security Identity Manager. As funções importadas do IBM Security Identity Manager não possuem permissões anexadas a elas. No IBM Security Identity Manager, o fornecimento de atributos que equivale às permissões é feito por meio de um objeto de política de
fornecimento. Esse objeto contém código e script especiais para determinar o acesso final concedido pela política. A função do IBM Security Identity Manager importada para o IBM Security Role and Policy Modeler possui um atributo de informações adicionais que contém o identificador de quaisquer políticas de fornecimento associadas à função.
Gerenciamento de Ciclo de Vida de Função
O Gerenciamento do Ciclo de Vida de Funções fornece um processo para aprovar o design de função para o IBM Security Role and Policy Modeler. Usando o console do IBM Security Role and Policy Modeler e o arquivo de modelo de definição de processo do IBM Business Process Manager, é possível obter uma introdução sobre o processo de aprovação de função. Também é possível criar uma solicitação de ciclo de vida customizado.
Por exemplo, quando um analista de funções cria uma função ou uma hierarquia de função no IBM Security Role and Policy Modeler, os proprietários da funções devem aprovar este novo design. O diagrama a seguir mostra as interações e o fluxo deste tipo de processo.
