Úvod do správy identit Centrální správa identit

29. 9. 2007

Sdílet

Jak u vás probíhá proces přijetí nového zaměstnance z pohledu zavedení do systému? Do kolika aplikací ho musíte zavést? Kolik úkonů je s tím spjojeno a jak dlouho to trvá? Kolik vy osobně používáte uživatelských jmen a hesel pro vstup do často používaných aplikací? Máte propojen docházkový systém se systémem pro vstup do aplikací? Můžete rychle zpětně zjistit, kdo, kdy a do jaké aplikace přistoupil a jaké změny udělal?

Pokud nedokážete na výše uvedené otázky odpovědět nebo jsou vaše odpovědi vesměs negativní, je čas začít se zabývat strategií centrální podnikové správy identit.
Správou identit je v oblasti informačních technologií myšlen celý životní proces správy uživatelů a systémových entit v celé organizaci, případně i mimo ni. Vhodně zvoleným návrhem strategie a její důslednou implementací lze dosáhnout výrazného snížení nákladů, zrychlení implementace nových aplikací a systémů, zvýšení produktivity uživatelů a v neposlední řadě zvýšení bezpečnosti.
Pokud má mít správa identit očekávaný
přínos, je nutné, aby do ní byly zapojeny všechny podnikové systémy a aplikace (nebo alespoň většina z nich) a všichni uživatelé (zaměstnanci, externí uživatelé, obchodní partneři, případně zákazníci). Tím se z projektu centrální správy identit stává jeden z nejdůleži-
tějších projektů v rámci podniku, který zasahuje do všech oddělení a má na ně přímý nebo nepřímý vliv. Proto je nutné, aby zvolená strategie a na jejím základě vybrané technologické řešení splňovalo určité nároky na robustnost, dostupnost, rozšiřitelnost, rozumnou dobu nasazení a podporu uznávaných standardů.
Příkladem dobře zvolené a důsledně implementované strategie centrální správy identit je organizace, která propojila všechny sys-
témy, s nimiž přichází uživatel při své práci do styku. Díky tomuto propojení je dnes zavedení nového zaměstnance do celého systému otázkou minut. Během první návštěvy zaměstnance v personálním oddělení je zaveden do podnikového systému a je mu automaticky vytvořen účet v centrální adresářové službě. Tam je mu vygenerováno heslo a podle jeho pracovní pozice jsou pro něj nastavena přístupová práva do aplikací. Ve stejný okamžik je zaměstnanci vydána karta s certifikátem a s osobním číselným kódem, která slouží jak pro vstup do objektu (karta + kód), tak pro vstup do informačního systému (karta + heslo). Stejnou kartu používá zaměstnanec pro aktivaci kopírovacího stroje, pro platbu v podnikové restauraci atd. Celý proces zavedení i případného smazání zaměstnance ze všech systémů je tedy v této organizaci otázkou minut. To vedlo ke snížení nákladů na správu a současně k výraznému zvýšení bezpečnosti. Dnes už není jen na rozhodnutí zaměstnance, zda bude nebo nebude dodržovat bezpečnostní politiku organizace. Systém centrální správy identit ho k tomu cíleně vede a pomáhá tak prosazovat podnikovou bezpečnostní politiku v praxi. V případě potřeby je navíc snadné zpětně zjistit, kdo se v danou chvíli kde nacházel, s jakým systémem pracoval a případně i co v tomto systému změnil.
Z uvedeného příkladu začíná být zřejmé, co je konkrétně myšleno centrální správou identit. Z pohledu správy uživatelů jde zejména o vytváření uživatelských účtů, jejich aktivace a deaktivace, modifikace rolí a přístupových práv, případně jiných atributů. Z pohledu systémů (někdy také nazývaných síťové entity) se jedná o správu různých zařízení, procesů, aplikací, serverů nebo čehokoliv, co potřebuje komunikovat s ostatními částmi podnikové infrastruktury. V dnešním světě elektronického obchodu se stále častěji do centrální správy identit řadí správa uživatelů a systémů (a jejich atributů), které nejsou přímo součástí podniku a nacházejí se mimo něj. Jedná se o uživatele a systémy obchodních partnerů, dodavatelů, ale i zákazníků.

Adresářová služba nestačí
V dnešní době lze stále ještě slyšet názor, že správa identit se vyřeší zavedením adresářové služby, tedy úložištěm uživatelských jmen, hesel a dalších atributů. Tento přístup však není úplně správný. Centrální adresářová služba je sice základním stavebním kamenem pro všechna řešení správy identit, ale není zdaleka kamenem jediným. Pokud má být projekt podnikové správy identit úspěšný, je třeba kromě centrálního úložiště zavést další služby, které umožní její plnohodnotné využití. Jedná se zejména o následující:
Již zmíněnou adresářovou službu, která je založena na standardech (zejména na protokolu LDAP) a je možné ji podle potřeby škálovat a zabezpečit.
n Infrastrukturu, která je buď přímo propojena s databází zaměstnanců v personálním podnikovém systému, nebo je možné ji s tímto systémem alespoň synchronizovat.
n Model a aplikaci delegované administrace, umožňující administrátorovi centrálního systému správy identit selektivně delegovat přístupová práva administrátorům jednotlivých aplikací a systémů, případně přenést určitá omezená práva až na jednotlivé uživatele.
n Integrační platformu, která zajistí propojení a synchronizaci centrální adresářové služby s proprietárními úložišti jednotlivých aplikací a systémů (docházkový systém, intranet, ekonomické aplikace atd.).
n Systém pro centrální autentifikaci a autorizaci uživatelů.
Systém pro správu (aktivaci, deaktivaci či obnovení) certifikátů
Aby byla jednotná správa identit efektivní, je třeba ji postavit na robustní, výkonné, dostupné, bezpečné a samozřejmě standardizované architektuře. Není totiž v této oblasti nic horšího než perfektně fungující informační systém, do kterého se kvůli špatně navržené nebo implementované správě identit nikdo nedostane.
Přemýšlíte-li tedy v rámci sjednocení vaší bezpečnostní platformy o jednotné správě identit, doporučujeme při výběru řešení věnovat tomuto problému zvýšenou pozornost. Při výběru vám může pomoci několik kritérií, jako například výkonnostní testy nabízených produktů, vzájemná integrace jednotlivých komponent nebo počet mezinárodních bezpečnostních certifikátů (např. Common Criteria) nabízených produktů. Bezpečnostní certifikáty potvrzují kvalitu produktů a dávají tak zákazníkům záruku, že splňují ta nejnáročnější bezpečnostní kritéria. Někteří dodavatelé, např. Oracle, nechávají z tohoto důvodu prověřit certifikačním procesem své produkty v okamžiku jejich uvedení na trh. U Oracle byl tento proces vždy úspěšný a nyní vlastní již 19 těchto certifikátů.

David Matějů je zaměstnancem společnosti Oracle Czech.


Důvody pro implementaci centrální správy identit

Jak již bylo zmíněno v úvodu, motivací pro zavedení centrální správy identit existuje několik. Zde uvádím výčet těch nejdůležitějších:
n Snížení nákladů. V mnoha podnicích a organizacích je správa uživatelů velice nákladnou manuální činností, zabírá mnoho času jednotlivých administrátorů a je tak současně náchylná na lidské chyby. Správa identit tyto distribuované a manuální úkony centralizuje a automatizuje, čímž při zvýšené bezpečnosti současně snižuje náklady a náchylnost k chybám.
n Zrychlení implementace aplikací. V minulosti bylo běžné, že při zavádění každé nové aplikace nebo systému se současně řešilo, jakým způsobem se budou do aplikace hlásit uživatelé a kam uložit nastavení jejich jmen, hesel a přístupových práv. Centrální správa uživatelů v tomto ohledu výrazně pomáhá, neboť nové aplikace a systémy mohou využít jednotnou bezpečnostní platformu a úložiště, a to buď přímo, nebo pomocí automatizovaných replikací se svým vlastním úložištěm. Není tedy nadále nutné spravovat (zadávat, mazat, modifikovat) uživatele individuálně v jednotlivých aplikacích, ale lze vše zařídit centrálně z jednoho místa. Jakékoliv změny uživatelských účtů se tak automaticky promítnou do všech integrovaných a synchronizovaných aplikací a systémů.
n Zvýšení produktivity uživatelů.
Dobře implementovaná správa uživatelů umožní mnohem rychlejší a flexibilnější přiřazování, ubírání a modifikaci práv jednotlivých uživatelů k aplikacím. Tím se eliminují zbytečné prodlevy v práci uživatelů, a to zejména při náboru nových zaměstnanců nebo v případě změny jejich rolí v rámci organizace, která vede také ke změně práv ke vstupu do různých částí informačního systému.
n Zvýšení bezpečnosti. Jedno centrální úložiště uživatelských jmen, hesel a pří-
stupových práv je možné na rozdíl od mnoha distribuovaných úložišť zabezpečit snáze. Současně s tím lze dosáhnout i snížení počtu hesel k jednotlivým aplikacím, v ideálním případě až na jedno uživatelské jméno a heslo do celého informačního systému, to vše při zachování specifických práv daného uživatele k různým jeho částem. Výsledkem je potom možnost centrálního auditu a jednodušší prosazování definovaných bezpečnostních politik (délka hesla, frekvence jeho změny atd.)

Autor článku