Federated Identity Management

V mnohých společnostech roste význam zabezpečení přístupu k datům, a to jak těch týkajících se vlastních zaměstnanců, tak i zákazníků či dodavatelů. Musí čelit problémům dvojího druhu. Prvním je bezpečnostní riziko spojené s obchodním růstem a s rostoucím počtem spolupracujících obchodních partnerů. Druhým problémem jsou pak vysoké náklady na komunikaci a zpracování informací.
Federated Identity Management je řešení, které si klade za cíl umožnit komunikujícím subjektům bezpečně spravovat své identity, tedy uživatele prostředků IT, a zajistit kontrolu nad jejich přístupem k informacím. Komunikující subjekty mohou pomocí Federated Identity Managementu komunikovat snadno a s přesně definovanými vztahy. Mohou vzájemně propojit, snadno udržovat, schvalovat, vytvářet, měnit a blokovat přístupová oprávnění uživatelů k informacím, řídit a auditovat jejich užití.
V informacemi překypujícím prostředí je obtížné udržovat samostatné systémy pro zpracování dat. Dříve musela každá společnost data od dodavatelů nebo odběratelů a jiných spolupracujících subjektů vkládat do svých systémů ručně. Komunikace probíhala na úrovni přeposílaných zpráv. Autorizovaný uživatel na straně jedné společnosti exportoval informaci, ať již v digitální či v papírové podobě, ze zdrojového systému a předal cílové straně. Na cílové straně tuto informaci jiný autorizovaný uživatel zapsal do své aplikace. To vyžaduje speciální procesy, čas a zdroje.
Lepší variantou řešení tohoto zadání je připravit pro uživatele na zdrojové straně možnost přímo vstoupit do systému cílového uživatele a jedním krokem tak získat, převést nebo zadat data do cílového systému, ovšem bezpečně a kontrolovatelně. Je evidentní, že úskalím tohoto řešení je zajištění bezpečné úrovně oprávnění k přístupu "cizího uživatele" ve vlastním systému. Dnes se intenzivně sdílí zejména webové aplikace v prostředích B2C (business-to-customer) a B2B (business-to-business). Správní lidé musí být připojeni ke správným zdrojům ve správnou chvíli. Současně musí být zajištěna integrita a bezpečnost interních systémů.
Jako příklad z běžného života si představte spoustu dokladů, které musíte doložit při žádosti o nový pas. Oddací list, rodné listy dětí a podobně. Pokud bychom chtěli propojit systémy subjektů, které vlastní tyto údaje, bylo by třeba vyřešit uživatelský přístup pro pracovníky u okénka na vydávání pasů do systémů na matrice a dalších. To s sebou nese jejich schválení, změny hesel, nové účty s novými silnými hesly, nároky na uživatele, který musí vyplňovat přihlašovací údaje do mnoha systémů a provádět pravidelné změny hesel, a rovněž nesnadno zajistitelný dohled nad bezpečností využívání těchto přístupů.
Všechny tyto nedostatky řeší Federated Identity Management. Na základě schvalovacího workflow, propojeného napříč subjekty, vytvoří propojení účtů v cizích systémech, řídí přístup, audituje přístup k informacím, umožní Single Sign-on a uživatel se bude moci s jedním přihlášením do interního systému bezpečně připojit k systému jiné organizace, aniž by tím omezil svoji nebo cizí bezpečnost. Poskytuje komfortní centralizovanou správu hesel s minimálními nároky na uživatele.
Hlavní součásti IBM Tivoli Federated Identity Manageru tvoří IBM Tivoli Identity Manager a IBM Tivoli Access Manager. První automatizuje správu uživatelských účtů, druhý zabezpečí ověření uživatele a přístup k informacím.
IBM Tivoli Federated Identity Manager poskytne cizím uživatelům přístup k lokálním datům, bez nutnosti spravovat lokální přístupové účty. Umožní automatizovat proces přidělování a řízení přístupu k informacím interním uživatelům i uživatelům třetích stran. Řídí vytváření, mazání a modifikaci lokálních oprávnění na základě rolí vzdáleného systému řízení identit. Poskytuje nástroje pro propojení (federate) a rozpojení (defederate) partnerských uživatelských účtů, automatickou deaktivaci přístupových oprávnění v případě zániku či zablokování federované partnerské identity a mnoho dalších funkcí. Výsledkem je jednoduchá správa, efektivní komunikace, nižší provozní náklady, jednodušší práce uživatelů systémů všech zúčastněných stran a zejména vyšší úroveň zabezpečení IT systémů.

Petr Klabeneš, Tivoli Brand Leader CZ/SK.