Realizace jednotného přihlašování pokulhává

Bez účasti oddělení pro bezpečnost IT je zvolen systém SSO, který ignoruje určité aplikace a přináší i další pr...


Bez účasti oddělení pro bezpečnost IT je zvolen systém SSO, který ignoruje
určité aplikace a přináší i další problémy.
Právě ve chvíli, kdy jsem se domníval, že jsme vyřešili jeden okruh problémů
týkající se personálního oddělení, objevily se problémy jiné. Radost z toho, že
se nám podařilo donutit výše zmíněný útvar, aby patřičným způsobem proškoloval
nové zaměstnance, nám zkazily potíže s nasazeným systémem pro jednotné
přihlašování (SSO, Single Sign-On).
Systém jednotného přihlašování byl navržen bez konzultace s bezpečnostním týmem
a přinejmenším jedním dalším oddělením, jehož se věc týká. A tak se nyní
potýkáme s potížemi, které vůbec nemusely nastat.
Ale vezměme to pěkně popořádku. Projekt jednotného přihlašování řeší důležitý
problém: Existují-li různé způsoby přihlašování zaměstnanců k různým částem IT
infrastruktury, každý z nich vyžaduje zadání odlišných přihlašovacích údajů. To
je pro uživatele nepříjemné. Jednotné přihlašování jim usnadní život zpřístupní
jim totiž celou škálu aplikací a služeb najednou budou potřebovat jen jedno
jediné uživatelské jméno a heslo.

Složitá struktura
IT tým o tom již nějakou dobu hovořil, ale několik překážek dosud realizaci
projektu odsouvalo. Největším problémem byla skutečnost, že jsme zakoupili
několik odlišných součástí infrastruktury, které si tak úplně nerozuměly.
Konkrétně jde o Novell eDirectory, software pro správu identity iChain, který
se stará o autentizaci pro náš systém PeopleSoft, operační systém Windows 2000,
který využívá pro ověřování uživatelů Active Directory, a Exchange servery
využívající ještě další adresářovou strukturu.
Bohužel byly tyto infrastruktury navrženy odděleně, bez jakékoliv společné
vize, takže existuje spousta duplicit. A co je horší, nebylo zajištěno
zrcadlení žádného z proprietárních adresářů pro případ katastrofy. Data byla
pochopitelně zálohována, ale neměli jsme další systém, který by převzal
ověřování identity uživatelů, pokud dojde k selhání hardwaru.
Tento týden jsme konečně s IT týmem zahájili migraci našich uživatelů na systém
jednotného přihlašování založený na eDirectory, jenž je plně zrcadlen,
clusterován a využívá load ballancing.
Data zrcadlíme s jiným datovým centrem, takže v případě požáru, úmyslného
poškození nebo dalších problémů převezme toto datové centrum automaticky
vyřizování požadavků na ověřování uživatelů.

Bezejmenné přihlašování
S novým systémem je přihlašování velmi pohodlné až na jeden problém. Namísto
přihlašování tradičními uživatelskými jmény (používali jsme konvenci, která
blízce odpovídá skutečným jménům uživatelů) využívá identifikačních čísel
zaměstnanců.
Osobně si ani nevzpomínám, že mi bylo nějaké identifikační číslo přiděleno,
natož abych si jej pamatoval. Až dosud tato čísla využívalo výhradně oddělení
lidských zdrojů a finanční oddělení. Byl jsem proto překvapen, když jsem
obdržel e-mail, který vyžadoval, abych jej použil pro přihlášení. Stejně jako
další zaměstnanci jsem byl informován s týdenním předstihem a byl jsem současně
upozorněn, že si musím změnit heslo.
Rozhodnutí o užívání identifikačních čísel k tomuto účelu má své důsledky pro
bezpečnostní tým. Přidělá nám spoustu práce koneckonců stejně jako jednomu
dalšímu oddělení, totiž helpdesku.
V našem případě většina auditovacího a bezpečnostního softwaru umožňuje
zobrazení uživatelů podle jejich jmen. Protože jsou uživatelská jména vytvořena
podle jejich skutečných jmen, lze snadno přiřadit příslušnou událost k určité
osobě. S novým systémem vidíme pouze čísla. Identifikace uživatele tak vyžaduje
další krok přiřazení jména uživatele k těmto identifikačním číslům. Uvědomíme-
li si, jak často je tento krok třeba provádět, je to otravné a zabere to
spoustu času.
Ani bezpečnostní tým, ani helpdesk se při návrhu systému jednotného
přihlašování neúčastnil procesu rozhodování. Pokud by nás byl někdo přizval,
uvedli bychom proti využívání identifikačních čísel k tomuto účelu závažné
námitky.
Dosud nevíme, proč vlastně k takovému nešťastnému rozhodnutí došlo. Jistě bych
mohl souhlasit třeba s tím, že využívání čísel má svůj význam pro anonymitu
uživatelů. Možná právě to byl rozhodující faktor. Otázkou je, jestli to stojí
za všechny následné problémy.
Dosud ale není celý problém tak vážný. Na nový systém přešlo jen několik stovek
uživatelů. Avšak zanedlouho ho bude využívat celá firma.

Ne až tak jednotné
Nový systém přinesl i další problém: nezahrnuje všechny naše aplikace.
Například vývojáři softwaru používají program pro správu verzí, který sleduje
změny vyvíjeného softwaru. Máme také zhruba deset externích poboček
zabývajících se vývojem, které tento systém využívají, z nichž několik je
umístěno v zahraničí. Konfigurace tohoto programu tak, aby mohl využívat
jednotné přihlašování, by byla noční můrou.
Oddělení prodeje zase využívá nástroje CRM. Jelikož jsou informace v nich
obsažené vysoce důvěrné, rozhodlo se oddělení IT, že jednotné přihlašování k
nim nebude součástí firemního adresáře.
A bezpečnostní oddělení disponuje RSA SecurID servery, nastavené pro
autentizaci systémů a správců sítě v rámci celé IT infrastruktury. Bylo by
pěkné, pokud bychom mohli celý systém zapojit do firemní struktury jednotného
přihlašování, ale rizika v případě porušení bezpečnosti by byla příliš velká.
Využíváme SecurID pro přístup k našim nejkritičtějším systémům, které jsou
odpovědné za příjmy a firemní image. Prozatím zůstanou všechna tato
specializovaná prostředí oddělena od struktur, které se starají o většinu
našich zaměstnanců.
A co jsme tedy nakonec zjistili? Přestože vedení IT oddělení naší firmy všude
okolo s oblibou trousí lichotivé poznámky týkající se termínu jednotné
přihlašování, realita je odlišná. Jen zřídkakdy může organizace naší velikosti
zavést skutečné prostředí pro jednotné přihlašování, jež by fungovalo pro
veškeré aplikace v ní užívané.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.