Tady již přichází změna v chování zaměstnanců společnosti, kteří již nemusí s každou žádostí o změnu hesla, vytvoření nového zdrojového účtu či rušení účtu žádat IT oddělení nebo své nadřízené. Sami si přes své grafické rozhraní zažádají o provedení určitého úkonu a centrální řešení dle politik tento úkol provede.
Samozřejmostí je definice schvalovacího procesu takového uživatelského požadavku. V závislosti na bezpečnostních pravidlech lze nadefinovat různé druhy schvalovacích procesů, které na sebe mohou vzájemně odkazovat a propojovat. Důležité je mít v centrálním řešení grafický nástroj pro vytváření takovýchto schvalovacích procesů s možností poslání požadavků na schválení odpovědným osobám (dle rolí, dle jména či dle atributu účtu). Je též možné definovat minimální počty schválení požadavku, možnosti jeho vrácení na začátek prvnímu schvalovateli při zamítnutí atd.
Po splnění všech podmínek schvalovacího procesu je proces změny, vytvoření či smazání zdrojového účtu dokončen. Při nedodržení podmínek či zamítnutí odpovědnou osobou je požadavek ukončen a vrácen zpět žadateli. Všechny zúčastněné osoby jsou informování o požadavcích přes své grafické rozhraní a poštovní komunikaci.
Auditování a reportování
Silnou stránkou centrálního řešení pro správu uživatelských účtů je možnost aktuálního nebo historického vytváření podrobných reportů ukazující informace, které jsou žádané. Vždy jsou k dispozici předdefinované reporty vycházející s praktických zkušeností jako jsou zdrojové, uživatelské nebo reporty schvalovacích procesů. Také je možné vytvářen své vlastní a ty pak ukládat pro pozdější znovuvytvoření. Reporty je možné vytvářet plánovitě, exportovat do rozličných formátů (HTML, PDF...) či zasílat odpovědným osobám do poštovních schránek. Reportovací část řešení je důležitá pro celkový audit dodržování nastavených bezpečnostních politik.
Reálné příklady centrálního řešení IM
Ke snadnějšímu pochopení celého procesu poslouží příklad vynechání a zapojení schvalovacího procesu.
V první případě byl uživatel centrálního řešení přes poštovní komunikaci upozorněn, že mu u jeho přiděleného zdrojového účtu vyprší heslo, a je požádán o zadání nového. Uživatel se připojí přes své grafické rozhraní do centrálního systému a heslo změní. Jelikož na tuto operaci není požadován schvalovací proces, je požadavek proveden automaticky. Uživatel a případně jeho nadřízený nebo IT administrátor je poté upozorněn o provedené operaci.
V druhém případě se stalo, že uživateli byl zablokován zdrojový účet (expirace hesla, překročení počtu špatně zadaných hesel účtu a jiné). Do uživatelského požadavku odblokování zdrojového účtu je zapojen schvalovací proces, který žádá o akceptaci pověřené osoby (vše přes poštovní komunikaci). Tyto osoby (nebo alespoň minimální počet z nich) se připojí přes grafické rozhraní a akceptují požadavek. Po splnění podmínek schvalovacího procesu je požadavek proveden a žadatel je informován o novém hesle a odblokování účtu.
Další praktická ukázka nasazení centrálního řešení Identity Management ve společnosti s popisem funkcionalit vychází z příkladu společnosti, která již má definovanou strukturu a organizační role.
Proces 1 – Společnost vytvořila centrální uživatelské účty synchronizací již zavedených účtů z připojených zdrojů (typu LDAP). Každý centrální uživatelský účet již má přidělenou jednu nebo více organizačních rolí a tím definovány privilegia.
Proces 2 – V rámci načtení účtů z nově definovaných zdrojů došlo manuálně či automaticky k propojení centrálních účtů se zdrojovými. V tomto případě zaměstnanec John C. Doe získal ke správě 2 zdrojové účty (jcd0895 a jdoe03).
Proces 3 – Díky procesu 2 byly nalezeny zdrojové účty, které není možné dle nastavených bezpečnostních pravidel automaticky či manuálně spárovat s centrálními účty. Tyto osiřelé účty byly řešením automaticky zablokovány a po zásahu odpovědného administrátora řešení smazány ze zdroje, jelikož představovali bezpečnostní riziko.
Proces 4 – Zaměstnankyně Sarah K. Smith nově nastoupila do společnosti a byl jí vytvořen centrální účet do řešení. V rámci přidělených statických rolí při vzniku uživatelského účtu automaticky získala přístup k jednomu ze zdrojů (účet Sarah_s4). Po zažádání svého managera byl spuštěn schvalovací proces, který po úspěšném schválení vytvořil zaměstnankyni další účet k požadovanému zdroji (účet smiths17).
Proces 5 – Jakékoliv změny nastavení řešení a požadavky od uživatelů jsou historicky zaznamenávány pro pozdější požadavky auditu a reportování.
Jednotlivé komponenty centrálního řešení Identity Management
Centrální řešení pro správu přístupů k uživatelským zdrojům je postaveno na bázi server – agent. Centrální server umožňuje grafické přístupy administrátorům řešení, ale i uživatelům správu zdrojů, definici politik či vytváření požadavků. Samotný centrální server poté oboustranně komunikuje se spravovanými zdroji a plní požadavky administrátorů a uživatelů. Informace o nastavení centrálního serveru (struktura společnosti, definice organizačních rolí, definice zdrojů, schvalovací procesy, bezpečnostní politiky) jsou uloženy v interní relační databázi a jsou zabezpečeny šifrováním. Informace o centrálních účtech řešení, jejich atributy a hesla jsou uloženy v interní LDAP aplikaci.
Modelový příklad znázorňuje vytvoření závislosti jednotlivých komponentů centrální řešení Identity Management na hypotetickém příkladu implementace ve společnosti. Centrální uživatelské účty jsou vytvářeny načítáním záznamů z personálního systému a ukládány do IM Directory (LDAP) aplikace.
Nastavení celého řešení je poté uloženo v IM relační databázi (samostatná aplikace). Centrální server přistupuje a spravuje definované zdroje (v tomto případě docházkový systém, Active Directory, MS Exchange, CRM a SAP/R3 řešení), provádí načtení zdrojových účtů nebo porovnání stávajícího stavu.
K centrálnímu řešení přes definované webové grafické rozhraní mohou poté přistupovat registrovaní uživatelé (webové rozhraní „samoobsluha“ pro zjištění informací o účtech, vytváření požadavků), dále auditoři (vytváření specializovaných historických reportů v zaměření na uživatele, zdroj nebo časové období). V neposlední řadě jsou tu administrátoři celého systému nebo jednotlivých zdrojů. Každý z přistupujících vidí a může nastavovat tu část, ke které má privilegia.
Integrace centrálního řešení správy účtů a hesel
Vedle centrálního řešení správy uživatelských účtů ve společnosti (Identity Management) existuje ještě jedno řešení, které se v dnešní době často navzájem společně integruje. Je jím řešení pro správu uživatelských hesel (Access Management).
Uživatelé ve společnosti mohou být na počátku vícenásobně ověřeni (jméno + heslo + certifikát/otisk prstu/čipová karta...) a po zjištění, že se jedná o autorizovanou osobu, získávají na lokální stanici soukromou „peněženku“, která obsahuje uživatelské jména a hesla ke zdrojům (tuto peněženku naplňuje řešení Identity Management). Řešení Access Management poté peněženku využívá k automatickému přihlašování uživatele ke zdrojům, ke kterým má přístup. Tímto spojením dvou řešení se snižuje nárok na zaměstnance společnosti, který si nemusí pamatovat spoustu přihlašovacích údajů ke zdrojům, ale je přihlašován plně automaticky. Toto spojení opět posouvá zabezpečení uživatelských účtů a hesel o něco výše.
---Tento článek vyšel v tištěném SecurityWorldu 4/2008