Identity management zjednodušuje správu uživatelských účtů (2)

21. 8. 2011

Sdílet

Minule jsme se zaměřili na architekturu identity managementu, tentokrát se podíváme na možnosti spojené s implementací tohoto řešení.

Čtěte také:

Identity management  zjednodušuje správu uživatelských účtů (1)

 

Ambicí nasazení IM v organizaci není většinou vytvářet nové procesy, ale převzít maximum stávajících IT procesů do své správy. K tomu aby IM mohl efektivně vykonávat svoji práci, je nutné jej integrovat do stávající infrastruktury, což samo o sobě není jednoduchý krok a vyžaduje značnou míru koordinace. Jak tedy v praxi probíhá jeho zavedení do provozu? Nejprve je nutné IM napojit na existující koncové systémy a jejich účty tzv. napárovat na identity v něm uložené. Toto napárování probíhá v procesu rekonciliace, což v původním významu znamená usmíření se s církví či přijetí hříšníka zpět do společnosti.

Ve světě identity managementu jde ale o uvedení účtů do souladu s IM, tedy účtům v koncových systémech se přidělují vlastníci (identity IdM) na základě logických podmínek například korelace uživatelského jména, e-mailu apod. Účty bez vlastníka jsou reportovány nebo dokonce rovnou mazány z koncového systému. Procesem rekonciliace je vynucen soulad a řád v koncových systémech.

Dalším úkonem při integraci IM do stávající infrastruktury je napojení na autoritativní zdroj identit, to znamená obvykle HR systém organizace, který poskytne vstupní data o nových či změněných identitách pro IM.

Takovýto zdroj může být zpracováván v reálném čase, nebo v pravidelných intervalech synchronizován na koncové systémy, kde se změny provedou. Zde je nutné dobře řízenou koordinací se správci koncových systémů domluvit seznam povolených operací, které může IM v systému vykonávat, jaké účty IM řídí a jak provádět reporting o změnách v účtech.

Ve většině systémů se totiž vyskytují například i technické či systémové účty, které není možné jednoduše přiřadit k identitě uživatele. V některých případech není vhodné provádět na koncových systémech některé automatické akce jako je mazaní účtu, místo toho stačí účet jen zneplatnit.

Správce koncových systémů je možné zahrnout do schvalovacích procesů v IM tak, aby i nadále měli vliv na životní cyklus účtů ve svých systémech. Většina produktů IM nabízí základní procesy pro řízení životního cyklu uživatele již v základní instalaci, funkcionalitu je však nezbytné vlastním vývojem upravit tak, aby odpovídala potřebám organizace.

 

Samoobsluha uživatelů

Co poskytuje IM běžným uživatelům? Kromě toho, že jejich účty budou založeny rychleji než manuálním procesem, je to možnost samoobsluhy některých úkonů, které dosud musely být zdlouhavě řešeny přes helpdesk či IT oddělení.

Jednou z nejčastěji prováděných aktivit je změna hesla v koncovém systému ať z důvodu toho, že jej uživatel zapomněl nebo v případě, že to vyžaduje firemní politika. Řešení IM obvykle nabízí předpřipravené webové uživatelské rozhraní, které se dá dalšími úpravami rozšířit pro potřeby zákazníka.

Mezi základní funkčnosti patří již zmíněná změna hesla nebo žádosti o zřízení přístupu do koncového systému. IM je také možné přímo integrovat se stávajícím řešením helpdesku - uživatelé nadále podávají své požadavky do známého rozhraní, přičemž obsluhu svého požadavku si buď mohou vyřídit sami ve webovém rozhraní IM, nebo toto mohou ponechat stejně jako dříve na obsluze helpdesku. Ta ke své práci využije s výhodou IM, kdy uživateli například založí účet, nebo centrálně změní heslo z jednoho rozhraní. Pokud se zaměstnanec rozhodne vyřídit svůj požadavek v IM, je výhodou zkrácená doba řešení, protože odpadá manuální práce řešitele požadavku. IM pak může zpětně informovat helpdesk o výsledku zpracování požadavku uživatele například přes rozhraní webových služeb.

 

Autor je softwarovým specialistou ve společnosti AMI Praha.


Příště se zaměříme na řízení oprávnění a na problematiku role managementu.

ICTS24

 

Tento článek vyšel v tištěném Security Worldu 4/2010.