Správa identit: Vyberte si řešení podle vaší potřeby

Ľuboslav Lacko | 24.05.2012 | Bezpečnost | Žádné komentáře

Identity Management je komplexní množina obchodních procesů a podpůrné infrastruktury na vytváření, správu a používání digitálních identit. Slouží k propojení lidí a IT prostředků a aplikací. Propojuje technické prostředky s organizační strukturou, ze které vyplývají pravidla přístupu zaměstnanců k informacím a aplikacím.

Z hlediska kombinatoriky Identity Management (IM) představuje kontrolovaný relační vztah uživatele k systémům a aplikacím typu M: N (více k více).

Dříve, než si uděláme přehled o konkrétních produktech a řešeních na trhu, zdůrazníme některá klíčová kritéria.

Velký a malý životní cyklus zaměstnance

Identity Management pokrývá celý životní cyklus zaměstnance, a abychom byli přesnější, u zaměstnanců můžete ve firmě rozlišit dva životní cykly.

Velký životní cyklus zahrnuje celkové působení zaměstnance ve firmě od jeho nástupu přes změny zařazení až po rozvázání pracovního poměru. Malý životní cyklus zaměstnance představuje jeho jeden pracovní den ve firmě.

Identity Management musí pokrýt oba tyto dynamické cykly. Pokud se provádí klasickým způsobem, je to proces velmi náročný na kapacity, přesnost a spolehlivost. Navíc i při maximální snaze o bezpečnost do procesu vstupuje do značné míry lidský faktor as ním riziko neúmyslného nebo i úmyslných chyb.

Od User Provisioningu po Single SignOn

Správa identit může být implementována na různé úrovni – od vzdálené automatizované správy účtů až po Single SignOn (SSO). Princip SSO je velmi jednoduchý. Uživatel se přihlásí pouze do jednoho systému (například do toho, který v daný den použije jako první) a tím automaticky získává přístup k ostatním systémům.

Z toho logicky vyplývá, že implementace Single SignOn vyžaduje centrální databázi uživatelů. V procesu implementace SSO se zpravidla zjistí, že ne všechny aplikace lze integrovat. Klíčový důvod selhání komplexní implementace jednotné identity bývá spíše nepřipravenost byznysu než technologické problémy.

IAM Maturity Model od KPMG a metodika I AM in Control

Podle zjištění z průzkumu realizovaného společností KPMG má pouze 40 % respondentů aktuální a přesný přehled o přidělených přístupových právech. 93 % organizací má více než dva systémy, ve kterých spravuje informace o uživatelích a jejich přístupových právech a 51 % organizací nemá dostatečně přesný přehled o nákladech a přínosech svého současného systému řízení uživatelů a přístupových práv.

Proces nasazování správy identit je velmi náročný, proto je velmi důležitá fáze analýzy a modelování a následně promyšlená metodika implementace. Příkladem může být IAM Maturity Model od společnosti KPMG. Model je založen na stávajících standardech, jako je CMMI a COBIT. Využívá se k určení aktuálního stavu organizace v oblasti IM, pro efektivní rozhodování, kterým směrem by se měla posunout, a také poskytuje prostředky pro měření pokroku ve vztahu k definovaným cílem.

SAP NetWeaver identity Management

Ideální stav, kdy se uživatel přihlásí pouze do jednoho systému, se dá nejjednodušeji dosáhnout tak, že centrální databáze uživatelů a správa identit bude integrována do klíčového systému podnikové informatiky, nejčastěji do ERP.

Tuto skutečnost si velmi dobře uvědomuje SAP. Produkt SAP NetWeaver Identity Management umožňuje společnostem zajistit centrální řízení uživatelských identit. Opačný přístup, tedy napojení SAPu na jiný systém IM, je mnohem složitější. Pro ilustraci, oprávnění systému SAP představují instance generických objektů oprávnění a jsou definována v závislosti na činnosti a kompetenci pracovníka. Oprávnění se slučují do profilu oprávnění, který je spojen s rolí. Administrátor následně přidělí uživateli příslušné role pomocí kmenového záznamu uživatele tak, aby ten mohl používat třeba transakce.

Oracle Identity Management 11g

Dodává se jako součást middlewarových produktu Oracle Fusion Middleware 11g a obsahuje komponenty balíku správy identit, který je do hloubky integrován s ostatními řešeními Oracle Fusion Middleware is novými funkcemi včetně Deployment Accelerators a Universal Federation Framework. Používá moderní jednotné uživatelské rozhraní, založené na technologii Oracle Application Development Framework (ADF) Faces. Akvizicí společnosti Sun získal Oracle její produkt Sun Identity Management, který se bude dále inovovat a integrovat do nových řešení.

IBM Tivili Identity Management

IBM Tivoli Identity Manager představuje bezpečné automatizované řešení správy na bázi určených pravidel, která přispívá k řešení těchto klíčových podnikových dilemat, a to jak v klasickém prostředí, tak v prostředí elektronického obchodu. IBM Tivoli Identity Manager poskytuje intuitivní webové rozhraní pro správu, model administrace na základě přiřazených úkolů umožňující delegování administrativních privilegií a několik vnořených jader na automatizaci procesů souvisejících se správou identit. Například vnořené jádro workflow slouží k automatizované zadávání a schvalování uživatelských požadavků, jiné jádro má na starosti zajišťování automatizované realizace administrativních požadavků či automatické porovnávání dat z různých archivů, jako jsou databáze personalistiky nebo podnikové adresáře (LDAP). Vůči uživatelům je směřována filozofie uživatelského rozhraní typu „samoobsluha“ s možností definování dodatečných otázek a odpovědí na kontrolu identity.

Microsoft Forefront Identity Manager 2010

Tento produkt kromě jednoduché integrace se servery patřícími do rodiny Office Systems 2010 obsahuje i SDK pro vývojáře, který umožňuje jeho integraci s jinými produkty. Produkt je nástupcem verze 2007, která se prodávala pod názvem Identity Lifecycle Manager. Nová verze má zdokonalenou automatizaci několika procesů, což podstatně urychluje nasazení nového systému. Pro ilustraci, ve firmě First American Title Insurance, která má v USA kolem 1000 poboček a 13 000 zaměstnanců, trvalo nasazení necelé dva měsíce. Forefront Identity Manager 2010 funguje primárně se službou Active Directory, ale lze jej synchronizovat i s jinými adresářovými službami. Může se používat ve spolupráci se SharePointu jako konzola pro správu uživatelů a identit.

Audit identit

Každý, kdo dělal audit zabezpečení nebo jím prošel, ví, že je to manuálně poměrně náročný, a tedy i drahý proces. Pomáhá dosáhnout efektivní shodu a snižuje riziko. Z produktů IM uvedených v článku poskytují možnost auditů identit napříč celým podnikem a systémy Sun Identity Management a Microsoft Forefront Identity Manager 2010. Umožňují definovat pravidla na dosažení shody a poskytují neustálou kontrolu, čímž zabraňuje porušování bezpečnostních politik.

Závěr

Při centralizované architektuře není implementace správy identit problémem, přičemž výsledkem není jen zvýšení bezpečnosti, ale i značné úspory nákladů, které vyplývají z urychlení zavádění a správy uživatelů.

Přínosem je i méně volání na helpdesk z důvodu zapomenutých hesel. Důslednou aplikací otevřené integrovatelné architektury dochází i ke snížení nákladů na vývoj. Snížení nákladů je markantní téměř ve všech fázích „velkého“ cyklu pracovníka ve firmě, počínaje náklady na jeho přijetí do zaměstnání se všemi formalitami, co s tím souvisí, hlavně s vygenerováním jeho „digitální identity“. Stejně při organizačních změnách a hlavně při jeho odchodu z firmy je jednoduché zablokovat všechny dosud přenesené pravomoci.

V článku byly použity informace z firemní literatury a webů společností IBM, KPMG, Microsoft, Oracle a SAP.

Zdroj: Infoware.sk

Článek je součástí tématu Nevystavujte firemní data zbytečným rizikům. Partnerem tématu je firma:

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


tři + = dvanáct

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz