Řízení identit podle Sunu

12. 10. 2006

Sdílet

Implementace systému bezpečné správy identity je aktuálním tématem pro mnoho organizací.

Organizace se dnes vypořádávají s rostoucími nároky na ochranu citlivých dat a maximalizaci efektivnosti nejdůležitějších podnikových procesů. Zároveň musí kontrolovat náklady, které jsou s tím spojené. Řešení správy identity je přirozeným důsledkem, vyplývajícím ze souhry několika trendů:

n rostoucí množství změn v prostředí podniku,
n rostoucí počet aplikací a systémů,
n požadavek na rychlé řešení požadavků včetně distribuované odpovědnosti,
n vzrůstající důležitost zabezpečení informací včetně legislativních předpisů,
n rostoucí tlak na kontrolu a minimalizaci nákladů.

Zavedení systému správy identit je jedním ze základních předpokladů pro všechny organizace, které chtějí vyhovět některému z legislativních předpisů, jako jsou Sarbanes-Oxley Act, Gramm-Leach-Bliley (GLB) Act, Health Insurance Portability and Accountability Act (HIPAA), EU-IAS, Basel II, European Data Protection Act, BS 7799 nebo CA 1836.

Sun Java System Identity Manager
Jedním z dodavatelů v oblasti správy identit je i společnost Sun Microsystems, která se svým řešením Identity Manager vymezuje oproti dalším dodavatelům řešení v této oblasti.
Řešení Sunu se vyznačuje tím, že se jedná o aplikaci na platformě Java EE (Java Enterprise Edition), která je spustitelná a schopná provozu na libovolné hardwarové a softwarové platformě (operační systémy, databázové
systémy a Java EE aplikační servery). Společnosti nebo instituce tento systém nasazují do vlastního prostředí, ve kterém mají zavedené podnikové standardy. Dále používá na trhu stále unikátní technologii tzv. přístupu bez agenta (agent-less technologie), což umožňuje správu uživatelských účtů a přístupových rolí, bez nutnosti zásahu do koncové aplikace, která má být součástí celého řešení.
Identity Manager obsahuje kompletní sadu služeb pokrývající veškeré aspekty bezpečné a efektivní správy identit. Patří sem například služba správy aktivace (provisioning), řízení správy hesel, řízení profilu identity, kompletní auditování celého systému, jednotná ovládací konzola (Enterprise Identity Console) a další služby, spojené se správou identity (Identity Platform Services).
Z pohledu rychlého nasazení a minimalizace rizika je důležité, že k dispozici je velké množství hotových adaptérů, které umožňují přístup k jednotlivým technologiím a aplikacím.

Provisioning Manager - služba přidělování prostředků
S nástrojem Provisioning Manager lze velmi rychle zřídit nové účty a měnit je či rušit, ihned poté, co uživatelé odejdou z místa anebo se změní jejich práce. Provisioning Manager zabezpečuje automatické přidělování prostředků pro uživatele uvnitř organizace (pro zaměstnance, kontraktory) i mimo organizaci (pro partnery, dodavatele, zákazníky). Působí napříč všemi platformami a aplikacemi, včetně zákaznických aplikací, které jsou nejkritičtější. Zajišťuje automatické schvalovací procesy a používá kontrolu přístupu na základě rolí, čímž bezpečně řídí velké množství uživatelů. Kontrola přístupu je založena na pravidlech, s cílem zajistit dodržování organizačních a bezpečnostních pravidel a postupů. Tato pravidla se vztahují na přístup k prostředkům, uživatelům, organizacím a rolím.

Password Manager - služba pro správu hesel
Password Manager je bezpečný, centralizovaný systém pro řízení správy hesel. Pomocí automatizace a jednoduchých služeb správce odstraňuje potřebu opakovaného volání na help desk. Dává koncovým uživatelům možnost změnit si heslo z libovolného webového prohlížeče. Password Manager umožňuje odstranit problém mnohonásobných hesel a položit tím základ k podnikovému řešení Single Sign-on (SSO, systém jediného přihlášení). Zlepšuje celkovou bezpečnost tím, že poskytuje centrální místo, odkud se dodržování politiky hesel prosazuje.

Identity broker - služba pro distribuci dat
Identity Broker používá novátorskou technologii k propagování dat, přičemž díky automatizaci a distribuci udržuje přesné a konzistentní profily identit. Jedná se o propagaci změn o identitě do všech relevantních systémů a aplikací. Dodávané adaptéry bez agentů (Agentless Adapters) využívají standardní protokoly pro vzdálenou správu, aby se bezpečně připojili ke spravovanému zdroji uživatelských dat. Díky tomu je vlastní nasazení celého systému řízení identit jednodušší, rychlejší a s výrazně nižším rizikem.

Audit a reporting
Tato služba zajišťuje vytvoření kompletních a spolehlivých záznamů o přístupech a událostech. Organizace je schopna přesně zjistit, kdo má přístup k určitým zdrojům v určitém období. Audit a reportování dává administrátorům nástroje pro vše, co potřebují ke kontrole přístupových práv a k validaci změn v těchto právech. Základ tvoří skupiny reportů a služby pro kontrolu bezpečnostních politik. Identity Manager nabízí velké množství předpřipravených reportů, takže přímo podporuje výše uvedené legislativní předpisy (Sarbanes-Oxley Act...), ale zároveň umožňuje administrátorům vytvořit si podle potřeby vlastní.

Enterprise Identity Console - jednotná ovládací konzola
Konzola je uzpůsobena jak pro úlohy běžného uživatele, tak pro administrátory nebo netechnického zákazníka. K přístupu stačí pouze webový prohlížeč. Administrátorům konzola poskytuje služby pro celkovou správu systému, včetně jeho nastavení. Umožňuje snadné nastavení různých úrovní práv pro jednotlivé administrátory, delegované administrátory a konkrétní osoby. Obvykle mohou administrátoři získat kompletní zobrazení veškerých dat, zatímco delegovaní administrátoři vidí jen to, co potřebují, aby mohli plnit úkoly delegované administrace.

Doplňující služby v Identity Manageru
Snížení dopadu pro podnik na minimum je dosaženo díky unikátní neinvazivní technice v přístupu ke koncovým systémům. Identity manager je schopen propojit informace o identitě z mnoha zdrojů v organizaci a vytvořit pro každého uživatele tzv. virtuální identitu. Správa virtuální identity pracuje s informacemi o identitě tam, kde se nacházejí, čímž se vylučuje potřeba vytvářet a udržovat další zdroje uživatelských dat.

Cesta k úspěšné implementaci
K úspěšnému nasazení nestačí pouze nejlepší technologie, je zapotřebí i metodologie a zkušenosti z projektů tohoto typu. Díky metodologii IDM a zkušenostem, které Sun Microsystems má, se daří řídit projekty s minimalizovaným rizikem. To se pozitivně odráží v celkových nákladech na celý projekt, zkracuje se rovněž doba návratnosti této investice.

Petr Chmelík pracuje jako Solution Architect u společnosti Sun Microsystems Czech.

Autor článku