Vlastní zaměstnance si firma „uhlídá“, pokud má správně nasazen identity management, v lepším případě dokonce access management. To znamená, že identita uživatele libovolného systému nevzniká z popudu administrátora ICT oddělení (mimochodem ten by v žádném případě neměl o identitě uživatele a jeho rolích rozhodovat), ale zápisem do personálního systému a následně propagací informací o novém zaměstnanci do IDM systému. Někdy dokonce včetně popisu jeho pozice, na základě čeho může být takovému uživateli automaticky přidělen jeho uživatelský profil – sada oprávnění pro přístup do různých aplikací firmy. Výhody takového stavu jsou nasnadě, těmi hlavní jsou vždy aktuální seznam oprávněných uživatelů včetně přidělených oprávnění (rolí), zvýšená bezpečnost a konec problému mrtvých duší. Tedy účtů po zaměstnancích, kteří již dávno z firmy odešli, ale jejich účet nebyl nikdy zablokován. Třeba je někdo stále používá k neoprávněnému přístupu do ICT systémů společnosti!
Co ale dělat s externisty? Tedy uživateli ICT systémů firmy, kteří nejsou vedeni v HR systému, protože prostě nejsou zaměstnanci firmy. Je nutné si uvědomit, že tito lidé mohou být v různém vztahu k organizaci. Někteří jsou tzv. spolupracující externisté. Bývá to obvykle u bank, pojišťoven nebo dodavatelů médií (elektřina, voda, plyn). Jsou to typicky provizní prodejci typu podnikající fyzická osoba s IČ, někdy jsou označování jako „IČaři“. Ti často potřebují přístup k vybraným interním aplikacím firmy. Další skupinou externistů mohou být osoby na dohodu (DPČ nebo DPP), vykonávající konkrétní smluvní úkol. Jejich požadavky pro přístup do interních systémů firmy jsou obvykle jiné než IČařů. Mezi takové osoby lze zařadit poradce, konzultanty, auditory a další.
Takže tady máme najednou minimálně dvě další kategorie uživatelů, pro které potřebujeme zajistit bezpečný přístup s jednoznačnou identifikací a autentizací. Řešení je několik, přičemž většina je těžkopádných a poměrně nákladných. Dost často bývá používán přístup přes VPN. Je to samozřejmě bezpečný způsob zajištění přístupu uživatele, ale značně neefektivní. Největším problémem, nakonec bývá zajištění přehledu, kdo ještě má mít přístup a komu už oprávnění přístupu dávno mělo být odebráno. Prostě protože už skončil důvod, například byl ukončen vztah s provizním prodejcem.
A jak řešíme problém externích uživatelů my v NEWPS.CZ?
V první řadě nás zajímají procesy ve firmě. Je třeba zajistit proces registrace externích uživatelů, přidělování oprávnění a proces odebrání přístupových oprávnění. Bez toho sebelepší technologie nebude k ničemu. Teprve poté přistupujeme k nasazení technologií. Problém nakonec bývá po vstupní analýze menší, než se zdá na začátku. Většinou se jedná o zajištění přístupu k webovým aplikacím. V takovém případě nasazujeme Access Gateway (AGW), řešení které jsme sami vyvinuli a úspěšně provozujeme v robustních systémech pro statisíce uživatelů. AGW je prostě ideální řešení pro organizace s potřebou konsolidovat a/nebo adekvátně zabezpečit přístup uživatelů (nejenom externích) do svých webových aplikací.
AGW je přístupová brána s podporou single sign on, která zajišťuje autentizaci uživatelů do webových aplikací umístěných za přístupovou bránou. Podporuje několik způsobů autentizace a jejich různé kombinace. Ve výsledku pak lze vynutit přihlašování pomocí certifikátu i pro aplikace, které tento způsob ani nepodporují!
Je to škálovatelné řešení vhodné pro nasazení jak v malých organizacích, tak v robustních systémech s miliony uživatelů. AGW lze provozovat samozřejmě v HA režimu, nebo dokonce jako geocluster umístěný ve více lokalitách. Samozřejmostí je dynamické připojování serverů v případě zvýšení zátěže. Velkou výhodou, kterou jistě ocení pracovníci IT oddělení, je, že se nepoužívá žádná klientská aplikace, k přístupu je použit standardní webový prohlížeč. AGW je dokonce možné nasadit a provozovat v cloudovém prostředí Microsoft Azure. Řešení tedy nemusí být provozováno na vlastním hardwaru zákazníka, ale na virtuálních výpočetních prostředcích poskytovaných formou služby.
Ale zpět k registraci externích uživatelů. Jak jsem uvedl, typicky nebývají vedeni v HR systému. Ukázalo se, že je vhodné pro externisty vyhradit samostatný LDAP, ve kterém jsou vedeni. Primární registraci lze zajistit elektronickým formulářem, kam externista sám vyplní požadované údaje a odesílá na pověřenou osobu firmy ke schválení svého přístupového účtu. Pověřená osoba učiní kontrolu údajů, a souhlasí-li, účet schválí. Současně jsou údaje zapsány do LDAP a je vytvořen účet s primárními přístupovými údaji. Pro bezpečné doručení těchto přístupových údajů používáme tzv. virtuální obálku. Vše probíhá elektronicky. Celý proces lze (v případě odpovídající legislativy) doplnit o ztotožnění uživatele (žadatele) v registru obyvatel.
Druhou možností je využití § 14a zákona 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů. To znamená, že pro externí uživatele není nutné budovat další LDAP a řešit bezpečnou distribuci přístupových údajů, ale využít přístupové údaje uživatelů z informačního systému datových schránek. Pokud ji externista nemá, tak si datovou schránku fyzické osoby prostě založí. Není to jednoduché? Stačí se orientovat v legislativě a dostupnosti sdílených služeb e-governmentu ČR. No a abych nezapomněl, v blízké budoucnosti bude možné využít taky tzv. eID, tedy elektronické identity od některého z identity providerů podle nařízení EU o EIDAS.
Pořád zde však zůstává slabé místo – ukončení přístupu externisty do interních systémů. Ale to už je další téma.
Martin Řehořek, jednatel, NEWPS.CZ