Ve velké organizaci s mnoha zaměstnanci pak hrozí zmatek s možnými vážnými důsledky. Počet aplikací a systémů stále narůstá a schopnost uřídit velké množství účtů v dostatečném čase může být pro organizaci problém. Aby organizace měla jasný přehled o tom, kdo a kdy má k jaké informaci přístup, je třeba uživatelské účty spravovat z jednoho místa. Odpovědi na tyto potřeby nabízí software pro centralizovanou správu uživatelů, zvaný identity management.
Základním procesem identity managementu (IM) je životní cyklus identity uživatele. Ten zpravidla začíná nástupem zaměstnance do organizace, kdy jsou uživateli zřízeny základní přístupy, například na koncovou stanici, do firemní pošty a intranetu.
V průběhu času uživatel získává další nové účty a oprávnění, nebo o oprávnění naopak přichází. Pokud dojde k přerušení pracovního poměru, jsou obvykle účty zaměstnance zneplatněny tak, aby se na ně nemohl přihlásit, přičemž účty fakticky dál existují.
Při obnovení pracovního poměru je možné účty jednoduše znovu aktivovat a pokračovat v práci. Při definitivním odchodu zaměstnance jsou účty vymazány. Organizace také poměrně často zažívají změnu uživatelského jména uživatele (uživatelky) či změnu organizačního zařazení pracovníka a s ní související změny v oprávněních.
IM je tedy informační systém, který dokáže z jednoho místa ovládat životní cyklus všech uživatelských účtů v organizaci a zároveň sledovat jejich změny díky auditu. Pokud přijde nový pracovník, je zařazen do personálního systému (Human resources systém, HR) a pomocí centralizované správy založen do systémů společnosti – tzv. provisioning účtů. Veškerá získaná oprávnění jsou monitorována, zpětně dohledatelná a zaznamenána takovým způsobem, že pokud pracovník ukončí pracovní poměr je možné všechny jeho nabyté účty vymazat.
Navíc je možné kdykoli zjistit, jakými účty uživatel v organizaci disponuje a jaká má aktuálně přidělená oprávnění. Stávající procesy v organizaci, které zahrnují správu účtů, je možné podpořit workflow IM. Workflow obsluhují řadu automatických akcí, jako například synchronizaci identit ze systému HR nebo schvalovací procesy provisioningu.
Automatizace procesů přinášejí další přidanou hodnotu v podobě snížení nákladů na lidskou obsluhu a díky automatické synchronizaci identit také vyšší konzistenci dat mezi heterogenními systémy. Samozřejmě je možné řízení účtů zajistit i organizačně bez dodatečné podpory IT, například vytvořit oddělení pracovníků, kteří tyto aktivity včetně spolehlivé evidence zajistí. Nikdy však nebude možné vyloučit lidskou chybu a personální náklady zřejmě převýší investiční a provozní náklady softwaru, který toto zajistí.
Architektura IM
Typická architektura IM je centrálně orientovaná, přičemž jednotlivé koncové systémy jsou k centrálnímu uzlu IM napojeny pomocí tzv. konektorů, nebo též adaptérů či agentů. Koncové systémy jsou všechny aplikace či systémy, které obsahují vlastní úložiště uživatelských účtů.
Konektor je pak komponenta IM, která abstrahuje spojení k úložišti uživatelů v koncovém systému, případně pak obstarává další operace jako je například řízení domovských adresářů nebo poštovních schránek. Implementace konektorů se liší podle konkrétního výrobce IM, avšak v dnešní době převažuje tzv. neinvazivní způsob komunikace, který využívá standardní protokoly a vrstvy jako např. JDBC, SSH, LDAP atd.
Tento přístup má výhodu v tom, že ve vlastním koncovém systému není třeba realizovat žádnou adaptaci pro IM na rozdíl od klasického způsobu, kdy se musí ovládaný systém pro identity management uzpůsobovat. Většina produktů IM nabízí celou škálu předpřipravených konektorů pro řízení uživatelských účtů ve většině nejběžnějších koncových systémů, čímž jsou sníženy náklady na vývoj vlastních řešení.
Identity management tedy funguje na principu dodání potřebných dat do koncových systémů na základě autoritativní informace. Koncové systémy si pak již vlastními prostředky řídí autentizaci a autorizaci uživatele proti svému úložišti.
Opačnou filozofií je access management, kdy si jednotlivé aplikace aktivně ověřují přístup uživatele proti centrální autoritě. V praxi se mohou obě architektury kombinovat, a proto se často hovoří o řešení identity a access managementu.
***
Co to je Identity management?
Identity management je software, který zajišťuje centrální správu uživatelských účtů a jejich oprávnění v organizaci. Mezi základní funkce patří automatické zakládání a mazání uživatelských účtů z jednoho místa, změna hesla nebo schvalovací workflow.
Nasazení centrální správy uživatelů přispívá ke snížení nákladů a posílení bezpečnosti díky automatizaci procesů a zpětné dohledatelnosti akcí pomocí auditního logu. Navíc tento software dovoluje výrazně zkrátit lhůty pro vyřízení uživatelských požadavků díky vlastnímu webovému rozhraní, ve kterém si uživatel například sám změní zapomenuté heslo nebo zažádá o zřízení přístupového účtu.
***
Autor je softwarovým specialistou ve společnosti AMI Praha.
Příště se podíváme, co odborníci doporučují provádět a čemu se naopak vyhnout při implementaci IM.
Tento článek vyšel v tištěném Security Worldu 4/2010
PŘEDPLATNÉ
ČLÁNKY DO MAILU