Správa identit a služba MIIS 2003

Správa identit má v současném světě ICT daleko větší význam než kdy dříve. Stále více se propojujeme, stále více komunikujeme, stále více dat je v elektronické podobě...



Přitom musíme najít kompromis mezi dvěma protichůdnými směry. Jednak je to maximální snaha o zajištění bezpečnosti se všemi omezeními, která z ní vyplývají. Hesla, vynucování bezpečnosti, omezení přístupu... Jednak je to neméně maximální snaha zajistit každému přístup k datům, která potřebuje. A to téměř odkudkoliv, protože "mobilní kancelář" dnes nepředstavuje luxus, ale samozřejmost. Je zkrátka potřeba zajistit vnitrofiremní komunikaci, a to i se zaměstnanci na cestách, dále se zákazníky, dodavateli, partnery. Každý má přitom nárok na své informace v odpovídající kvalitě, bez zbytečných komplikací či nesmyslných prodlev.
Pokud necháme promluvit definici, pak identita je souhrn informací o lidech, aplikacích, prostředcích apod. Dnes se již málokdo obejde bez vlastního systému pro správu identit. Ten funguje jako jakási nástavba nad mnoha dalšími systémy, s nimiž dnes musíme operovat a které v nějaké podobě vyžadují práci s identitami - jedná se např. o firemní e-mailový systém, databáze ERP nebo HR, adresářovou službu, informační systém.
V rámci správy identit dochází k plnění několika úkolů. V první řadě je to agregace informací o identitách, tedy spojení dostupných dat do jedné hlavní databáze. V praxi to znamená, že informace o jedné identitě jsou "roztříštěné" na mnoha místech - nějaké informace má adresářová služba, jiné jsou potřebné pro zřízení a provozování e-mailového účtu, další má k dispozici třeba databáze lidských zdrojů. Ty je potřeba nějakým způsobem přebrat a pospojovat. Cílem je získání jednotného náhledu na informace o identitách.
Po agregaci následuje správa informací o identitách. Nyní máme vše (obrazně řečeno) na jedné hromadě, což ale není cílem celého procesu. Tím je především zajistit hladký koloběh informací mezi jednotlivými složkami systému. Tedy provést jakousi synchronizaci informací mezi adresáři. Zároveň je nutné nastavit pravidla, určující právoplatné zdroje o identitě. Často se stává, že při shromažďování dat narazíme na protichůdné informace - např. dvě různé telefonní klapky. Proto je nutné stanovit priority s tím, která informace má větší váhu a zároveň který zdroj je oprávněný data v budoucnu aktualizovat (a jakým způsobem).
A tím jsme se vlastně dostali ke třetímu úkolu systému pro správu identit, kterým je správa změn o informacích v identitě. Celý systém musí být nastavený tak, aby byl schopen detekovat změny (například právě ve výše zmíněné telefonní lince či v e-mailové adrese). Nesmí pouze shromažďovat informace, ale měl by shromažďovat aktuální informace. A tyto změny je samozřejmě třeba ihned směrovat do všech zasažených systémů - protože informace, kterou si systém pro správu identit ponechá sobecky pro sebe, jako by neexistovala. V praxi je prostě nevyužitelná.
Všechny výše uvedené základní úkoly řeší Microsoft Identity Integration Server 2003 (MIIS). Je to centralizovaná služba, která ukládá a integruje informace o identitách z mnoha zdrojů. Jejím hlavním posláním je zajistit organizacím sjednocený přístup ke všem dostupným informacím, týkajícím se identit uživatelů, aplikací a síťových zdrojů. Díky tomu narůstá produktivita, klesá bezpečnostní riziko a snižují se náklady spojené s řízením a integrováním informací o identitách v rámci organizace.
K dispozici je ve dvou verzích. První představuje Identity Integration Feature Pack (IIFP) a je volně ke stažení z www.microsoft.com/miis. Pro svůj chod vyžaduje Windows Server 2003 Enterprise Edition a Microsoft SQL Server 2000 Standard Edition. Možnou nevýhodou je, že synchronizuje pouze Active Directory (Windows Server 200x), Active Directory Application Mode (ADAM) či Microsoft Exchange Server 2000/2003.
Druhá edice představuje Enterprise Edition, která vyžaduje Windows Server 2003 Enterprise Edition a SQL Server 2000 Standard Edition. Výhodou této edice je skutečnost, že synchronizuje celou škálu datových zdrojů.
Mezi klíčové vlastnosti produktu patří synchronizace informací o identitách. S MIIS lze synchronizovat informace o identitách v široké škále nesourodých adresářových i neadresářových úložišť, což v konečném důsledku znamená automatizaci procesu aktualizace informací o identitách napříč platformami.
Další důležitou vlastností je správa účtů. Se službou MIIS se totiž snadno distribuují informace o uživatelských účtech a identitách - a to bez nutnosti dalších zásahů. Nové účty pro zaměstnance jsou vytvářené rychle na základě informací z hlavní databáze. A naopak: je-li potřeba nějaká práva zrušit či přímo omezit (změna pracovního zařazení, ukončení pracovního poměru aj.), pak i toto se děje zcela automaticky napříč celou ICT infrastrukturou.
A do třetice: synchronizace a řízení hesel. To je další klíčová vlastnost MIIS. Umožňuje synchronizaci a samoobslužně či help-deskem iniciované řízení hesel a jejich nastavování z webového rozhraní. Uživatelé i správci mají díky tomu zjednodušenou a zrychlenou práci, protože nemusí používat různé nástroje pro změny a správu hesel - MIIS je automaticky synchronizuje.
Výše uvedené vlastnosti jsou zároveň i hlavními přednostmi služby MIIS. Synchronizace informací o identitách znamená snížení administrativních nákladů, neboť data jsou distribuována napříč celou organizací bez nutnosti ručních zásahů. Správa účtů zase šetří čas jednotlivých pracovníků, protože oprávněná osoba se k potřebným datům dostává prakticky okamžitě po zřízení identity. A stejně tak je chráněná organizace, protože tato práva je možné podle potřeby okamžitě redukovat nebo odebírat - neexistují už žádné "zapomenuté" účty nebo práva, která v organizaci po bývalých pracovnících zůstávají navěky jako strašák. A v neposlední řadě: správa hesel znamená nižší náklady na help-desk, snížení problémů způsobených právě otázkou špatné správy hesel a také nižším zatěžováním pracovníků na různých úrovních.
Kromě svých funkcí a vlastností je MIIS přínosný i jiným způsobem. Jednak pro svoji práci využívá stávající technologie, jednak obsahuje Visual Studio (k rozšíření funkčnosti), dále podporuje .NET Framework a XML. Lze jej ovládat pomocí WMI a pro maximální zjednodušení nasazení/provozu jsou součástí služby i nejpoužívanější scénáře. Obsluha je tak nemusí vytvářet - což vede k další úspoře času a nákladů. Kódování Unicode znamená širokou internacionalizaci, což je dnes vlastnost více než důležitá. K dispozici je celá paleta agentů pro synchronizaci s obvyklými i méně obvyklými zdroji informací o identitách, další jsou ve vývoji.
Význam správy identit se v dnešním světě zvyšuje takříkajíc ze dne na den. A ze dne na den roste i opodstatněnost instalace kvalitního řešení, které by se správě identit věnovalo komplexně a na vysoké úrovni. MIIS je rozhodně volbou, která stojí za zvážení.

Dalibor Lukeš je manažerem divize Server Platform společnosti Microsoft ČR.

Identity Manager

Manager Agent - dialogové okno nastavení

Dialogové okno pro výběr serveru, tabulky nebo náhledu.










Komentáře