Identity Management je nejen v IT sektoru velmi známý a používaný termín, který rok od roku nabývá na své popularitě. Jedná se o centralizovanou správu identit v IT systémech – jinak řečeno – IdM udílí určeným jedincům přístup ke konkrétním zdrojům. Například účtům a aplikacím.
Povolení je uděleno v konkrétní čas, na základě oprávnění, a tudíž ze správných důvodů, a s kompletní evidencí. Samotné řízení je prováděné díky administrátorovi v Identity Manageru anebo je správa prováděna již automatizovanými procesy.
Identita a Identity Manager
Hned z kraje by bylo pravděpodobně více než vhodné rozlišit a vysvětlit oba termíny. Pojem identita se v IT sektoru považuje jakékoliv elektronické zastoupení osoby či jakéhokoliv objektu – příkladem lze uvést například telefon či počítač – z tohoto, a tedy reálného, světa. Identity management v tomto případě funguje jako jakýsi centrální mozek, který ústředně řídí přístup jednotlivých identit k určeným zdrojům – ke svým účtům, certifikátům, VPN (vzdálený přístup) – napříč řízenými IT systémy.
Napříč tomu Identity Manager je softwarovým nástrojem, díky kterému je zajišťován samotný identity management, a tedy řízení / spravování konkrétních účtů. Identity Manager je procesní nástroj, kterému je vlastní komunikační rozhraní do různých spravovaných systémů. V rámci své činnosti spojuje spravované systémy a na základě toho pak nad nimi umožňuje správu účtů a provádění různých procesů. V rámci Identity Manageru fungují synchronizační nástroje, díky kterým je umožněn přenos dat, dále pak je součástí reportovací funkce, auditní funkce a součástí je i uživatelské rozhraní, díky kterému je umožněna delegace odpovědnosti za konkrétní úkoly na konkrétní uživatele.
Kdy zvolit Identity Manager?
Váháte, zdali je pro vás Identity Manager vhodný? Přemýšleli jste nad riziky, kterým v současnosti se zastřešováním svých činností můžete čelit? Uvažovali jste nad úkoly, se kterými by vám právě IdM mohl pomoci?
Je možné, že v rámci svého fungování nemáte anebo nemusíte mít úplný přehled, kdo má kam jaké přístupy. Máte problém se správou účtů? Po odchozích zaměstnancích vám v systému zůstávají uživatelské účty, které už dávno nepotřebuje? Je pro vás časově velmi náročná otázka auditní kontroly? Jednotlivci u vás nemohou napřímo zažádat o konkrétní přístupy? Je vše běh na dlouhou trať čítající různá schválení z různých nadřízených pozic? Otázka manuálního založení nového účtu s jeho kompletním udělením práv je časově náročná? – S tím souvisí i poslední bod: Jsou vaši administrátoři zahlceni podobnými, rutinními, úkoly?
Pomoc v podobě Identity Managementu
Zajímá vás, které konkrétní problémy či mnohdy lépe řečeno – situace – IdM pomáhá řešit? Pojďme se na ně společně podívat.
- Automatizace procesů – díky IdM se mohou automatizovat rutinní procesy při jednotlivém řízení identit, díky čemuž pak mají administrátoři méně starostí. Vyřizování nástupu do pracovního poměru je mnohdy výrazně usnadněno díky automatickému přidělování přístupů. IdM má na starosti vznik identity i pracovního úvazku, zařazení jedince do firemní struktury, změnu údajů (telefon, e-mail a jiné), vyjmutí z evidence v případě mateřské či rodičovské dovolené aj. a samozřejmě řeší i zánik samotné identity.
- Delegace oprávnění schvalování – v případě získání či odebrání potřebných oprávnění na konkrétní pracovní pozici, není třeba čekat na schválení administrátorů (v situacích, kdy manažeři či další oprávnění žádají o přístupy pro své podřízené a čekají na schválení přístupů do CRM). Nadřízení mají přehled o konkrétních právech svých podřízených a zároveň mají možnost jednotlivá práva měnit dle potřeby – bez zásahu IT. Dále také mohou nadřízení resetovat hesla (v případě, že podřízení svá hesla zapomenou). Nadřízení mohou nastavovat časová omezení ke konkrétním účtům.
- Bezpečnost – díky IdM předejdete nepřehlednosti v případě neaktivních účtů – kupříkladu bývalých zaměstnanců. Nebude se stávat, že by bývalému zaměstnanci zůstaly veškeré přístupy, které mu byly uděleny, když na svou pozici nastupoval. V případě, kdy mu veškeré jeho přístupy zůstávají, vznikají nemalá rizika.
- Centralizace systémů – v rámci centralizace má firma jasný přehled o konkrétních přístupech v jednotlivých systémech. V rámci centralizace lze uživatele identifikovat napříč všemi systémy.
- Evidence – IdM eviduje konkrétní operace nad účty, eviduje jejich práva, čímž má firma další přehled a podklady pro audity.
IdM a správa účtů
V rámci Identity Managementu je možné spravovat veškeré účty, kterých je třeba. Pro každý jednotlivý účet lze nastavit různé procesy – je možné nastavit konkrétní práva i povinnosti. Do základní skupiny účtů patří následující:
- technické, popřípadě servisní – to jsou zejména účty administrátorské anebo účty aplikací
- zaměstnanecké – těm obvykle vzniká výše zmiňovaná identita začátkem zaměstnaneckého poměru, kdy je nový zaměstnanec zaveden díky personálnímu oddělení do firemního systému
- účty pro externisty – externisty mohou být dodavatelé, studenti, zákazníci aj.
Identity Management obvykle zpracovává jednotlivé identity (osoby), zpracovává účty identit, řeší a zpracovává úvazky, fotografie, složky, certifikáty. Dále má na starosti softwarovou licenci, VPN přístupy i celou organizační strukturu.
Co není Identity Management
Identity Management není organizační soustředění účtu v Active Directory (AD). AD totiž nenabízí uživatelské rozhraní na žádosti, ani kontrolu toho, co kdo schválil, ani proč má ten či onen účet taková práva. Active Directory také pro fungování s jinými systémy musí být připravené – respektive – aplikace musí být připravena či upravena, což je také otázka financí, jelikož podobná úprava může být dost časově náročná a samozřejmě také drahá.
Jako Identity Management není vhodné uvádět ani access manager, který neřeší proces přidělování konkrétních práv. Má na starosti pouze centrální autorizaci / autentizaci uživatelů skrze systémy.
Identity Managementem nejsou ani monitorovací nástroje, které ve své podstatě řeší pravidelný či online reporting toho, v jakém stavu je aktuální systém. Opět neřeší několikrát zmiňovaný management konkrétních práv jednotlivých účtů pro konkrétní systém.
LUKÁŠ CIRKVA, jednatel ve společnosti BCV solutions s.r.o.
Foto 1: Pixabay
Foto 2 + Zdroj: KASPAR PR