Čtěte také:
Identity management zjednodušuje správu uživatelských účtů (1)
Identity management zjednodušuje správu uživatelských účtů (2)
Uživatelé zpravidla v podnikových systémech či aplikacích vykonávají různé činnosti, mají přístup k určitému obsahu či funkcím na základě svého systémového oprávnění, tedy autorizace.
Autorizační data jsou obvykle uložena v uživatelském účtu na koncovém systému a proto je možné s výhodou k jejich řízení využít IM. Oprávnění se dle typu koncového systému mohou nazývat různě, například skupiny, role či profily.
Praxe nasazení identity managementu ve velkých organizací ukazuje, že správa oprávnění v koncových systémech je nedílnou součástí správy identit. Zvláště podniky, které disponují ERP systémy nebo dalšími aplikacemi, kde existuje velké množství rolí, řeší otázku, jak efektivně tato oprávnění řídit. Jistě je možné tato oprávnění řídit ručně, pomineme-li však nákladnost takového řešení, hraje zde velkou roli i bezpečností aspekt. Uživatelé mají tendenci během svého působení v organizaci oprávnění spíše akumulovat než naopak.
Nová oprávnění nabývají v situacích, kdy je zaváděn nový systém, mění organizační zařazení nebo se účastní projektu. Proto je výhodné oprávnění pevně svázat s organizačním zařazením pracovníka nebo oprávnění časově omezit pouze na dobu trvání jejich potřeby (např. po dobu projektu).
Dnes již rozšířeným principem v řízení oprávnění je Role-Based Access Control (RBAC), který využívá opakovaně přidělitelné objekty – role. Uživatel mající roli pak získá oprávnění nepřímo přes tuto přidělenou roli. Role samotná pak může obsahovat další atributy, kromě názvu například i schvalovatele či vlastníka role nebo popis.
Dále je možné na úrovni rolí řídit pravidla exkluzivity tzv. Segregation of Duties (SoD), kdy uživatel nemůže mít například roli, která jej opravňuje k vydávání faktur společně s rolí, která faktury kontroluje.
IM reprezentuje dílčí oprávnění v koncovém systému pomocí aplikační role. Uživatelé mohou často mít i stovky až tisíce různých aplikačních rolí. Je jasné, že efektivní správa takového množství rolí je možná jen pokud aplikační role sdružíme do skupin. Tyto skupiny aplikačních rolí se nazývají business role a mohou odkazovat na více oprávnění v různých koncových systémech organizace.
Uživatelé tak místo velkého množství aplikačních rolí mají přiřazeno jen několik málo obchodních rolí. Business role zpravidla reprezentuje skupinu zaměstnanců, kteří vykonávají podobné činnosti v rámci organizace, a může být odvozena od organizační struktury, kdy zahrnuje všechna oprávnění, která zaměstnanec potřebuje pro zastávání pozice na příslušném organizačním místě.
Dalším typem mohou být byznys role vázané na proces v organizaci nebo na projekt a zahrnují tak oprávnění, která jsou nutná pro vykonávání určité činnosti.
Role management
Základním předpokladem správy oprávnění za pomoci obchodních rolí je jejich vlastní návrh. K návrhu je možné fakticky použít dvou přístupů – přístup shora dolů nebo přístup zezdola nahoru.
První přístup vyžaduje analýzu oprávnění na úrovni procesního modelu, tedy toho, jaké činnosti uživatel na dané pozici vykonává a jaká oprávnění k tomu potřebuje. Přístup zezdola nahoru naopak vychází od již existujících oprávnění uživatelů, nad kterými jsou podle stanovených podobností a algoritmů stavěny business role. Této metodě se také říká role mining.
Posledním trendem ve vytváření byznys rolí jsou specializované management nástroje, které dokáží zmíněné role z koncových systémů „vytěžit“ a samy navrhnout odpovídající podobu. Nástroje podporují obsluhu celého životního cyklu role od vzniku přes aktualizaci a zneplatnění až po výmaz role. Životní cyklus je podpořen schvalovacími workflow, kdy například všechny změny ve složení role musí schválit její vlastník. Použití nástroje role managementu efektivně zjednodušuje správu rolí a umožňuje obchodním procesům lépe spolupracovat s IT.
Důležitým aspektem problematiky řízení přiřazení oprávnění je soulad s pravidly organizace a legislativou, jako je například Sarbanes-Oxleyův zákon či odpovídající směrnicemi EU. Splnění legislativy je v organizacích bez IM zpravidla hlídáno manuální evidencí přístupů a oprávnění uživatelů.
Nevýhoda takové evidence je v tom, že neexistuje propojení na koncové systémy, takže není možné zjištěné rozpory okamžitě vynutit. K tomu jsou často využívány e-maily nebo jiné obtížně auditovatelné komunikační kanály.
Naopak vynucení souladu pomocí IM je velmi efektivní z důvodu přímého propojení evidence a koncových systémů. Pomocí identity a role managementu je možné soulad hlídat v několika rovinách. Je to již zmíněná exkluzivita rolí čili mechanismus SoD, nebo také nastavení nejrůznějších logických omezení na identitě uživatele.
Dalším přístupem v ohlídání souladu je proces certifikace oprávnění (nebo také atestace). Smyslem certifikace je v pravidelných intervalech ověřovat, zda uživatel má přiděleny stále ta oprávnění, která má mít vzhledem ke své pozici, projektu či procesu, který vykonává. Nadbytečná oprávnění jsou v reálném čase odebrána. Proces certifikace je možné chápat jako dodatečnou kontrolu automatických rutin pomocí lidského faktoru, kterým je například nadřízený uživatele nebo auditor.
V současnosti na trhu působí řada výrobců software pro Identity Management. Mezi nejvýznamnější patří produkty od Sun Microsystems (nyní již v portfoliu Oracle), Oracle, IBM a či řešení od společností Novell, CA nebo Courion.
Autor je softwarovým specialistou ve společnosti AMI Praha.
Tento článek vyšel v tištěném Security Worldu 4/2010.
PŘEDPLATNÉ
ČLÁNKY DO MAILU