Identity management

Z Wikina

Identity management je správa uživatelů, která řeší organizaci uživatelů, přidělovaní přístupů, práv a auditování změn. Správné nastavení procesů identity managementu slouží k automatizaci administrativních úkonů a lepší IT bezpečnosti v jakékoli společnosti. V realné situaci se jedná o pravidelnou synchronizaci zaměstnanců z HR systému do Identity managera (IdM). Z Identity managera se zakládají účty a přístupy do koncových aplikací dle nastavených pravidel. Synchronizace a změny na koncových systémech mohou běžet v realném čase, každých několik hodin nebo v noční rekonciliaci.

Obsah 1 Identita 2 Oprávnění a přístupy v rámci Identity managementu 3 Organizace a správa identit 4 Automatizace procesů 5 Výhody a nevýhody Identity Managera 5.1 Klady 5.2 Zápory 5.2.1 Řešení nevýhod 6 Typické obavy uživatelů 7 Příklad 8 Podle čeho vybírat firmu na nasazení Identity Managera 9 Odkazy 9.1 Reference 9.2 Související témata 9.3 Literatura 9.4 Internetové odkazy

Identita

Identity jsou lidé. Zaměstnanci, externí pracovníci, partneři, dodavatelé popřípadě i zákazníci. Jedna identita má, ve většině případech, několik účtů do různých systémů. Identifikátor může být dle konvence Active Directory, kombinace jména a příjmení s osobním číslem, pořípadě pouze firemní číslo.

Oprávnění a přístupy v rámci Identity managementu

Jednoduché nastavení práv a přístupů lze řešit pomocí rolí a skupin. Pokud pracujeme s Active Directory, můžeme si představit jako přiřazení AD skupiny pro sdílené úložiště. V náročnejších případech lze nastavovat přístupy pomocí názvů pozic nebo organizačním zařazení ve společnosti. Pokud již nemáte řešení pro schvalování přístupů - můžete využít funkcí schvalování v identity manageru přímým nadřízeným nebo správcem role.

Organizace a správa identit

Organizace a zařazení uživatelů je důležite pro přehlednost a plánování. Identity managery mají obdo

Automatizace procesů

IdM šetří čas IT oddělení, omezuje prostor na chybu nebo překlep a zaručuje chod firemních procesů i bez IT uživatelů. IT oddělení není nahraditelné Identity Managementem, ale přínáší výhody všem. Správný identity manager má i historii nebo audit změn. V nadcházejících letech bude tlak na firmy, aby měli přístupy auditované a většina identity managerů má tuto funkci v základu.

Důležitou součástí automatizace je kontrola expirovaných identit a blokování účtů. Nebudu zde zmiňovat negativní příběhy v případech, kdy se na nějaký účet zapomnělo.

Výhody a nevýhody Identity Managera

Klady

• Automatizace přístupů
• Auditování přístupů
• Rychlost a synchronizace změn ve všech systémech najednou

Zápory

• Prvotní investice času a peněz je středně vysoká
• Identity Manager je dlouhodobá investice.
• Malé firmě do 20 zaměstnanců se IdM nevyplatí z pohledu času.
• Nároky na HW a s tím spojené výdaje.

Řešení nevýhod

• Úspora financí: Existují open source Identity managery, kde neplatíte licenci
• Dlouhodobá investice: Pokud plánujete dopředu a automatizujete, nastavte si plán a body k realizaci s tím jak vám projekt pomůže a kolik vám ušetří času.
• Velikost firmy: Nezáleží pouze na počtu zaměstnanců, ale také na počtu systémů, fluktuaci a interních pravidel.
• Nároky HW: V dnešní době spousta systémů běží na Linuxu a tím nezabírá licenci windows serveru. Linux operační systémy jsou výkonnější.

Typické obavy uživatelů

• ...

Příklad

Teoretická situace Identity Managera ve společnosti o 200 zaměstnancích.

• HR systém
• Active Directory
• Firemní aplikace "Appka" postavená na Postgres databázi.

Začínáme s identity managementem a tím definujeme spravované a důležité firemní aplikace s procesy a pravidly pro správu účtů. V totmo příkladu máme jeden HR systém z kterého budeme data čerpat a dva systémy, které budeme pomocí identity managera spravovat.

Začneme tím, jakým způsobem a s jakou automatizací chceme účty v Active Directory a v Appce spravovat. Po analýze a návrhu prozkoumáme jak můžeme data z HR systému vytáhnout a synchronizovat do IdM. Jde nám o informace o identitách jako je jméno a příjmení, pozice, nadřízený a jejich platnost pracovních úvazků (aktivní / neaktivní). Po transformacích a přípravě dat - synchronizujeme do Identity managera, kde je již máme připravenou strukturu složek a rolí pro správu Active Directory a Appky. Mezi tímto a dalším krokem probíhá důkladné číštění účtů, protože identity manager upozorní na možné nesrovnalosti ve všech systémech.

V IdM máme připravené základní role jako Finance - analytik, ředitel, Marketing - brand, Obchod - junior, Appka finance číst, Appka finance zapisovat. Všechny role jsou schvalované nastaveným vlastníkem role. Role se přiřazují automaticky zaměstnancům již při synchronizaci z HR systému a nastavují se dle názvu pozice. Naštěstí se nám ihned data nepropíší a můžeme si zobrazit změny nanečisto. Pokud jsme něco při čištění přehlídli, opravíme a následně začneme změny propisovat.

Noví zaměstnanci a změny u stávajících zaměstnanců se organizují na HR a automaticky se přiřazují aktuální role. Samozřejmě vše automatizovat nejde a nebo nechceme. Můžeme přiřadit speciální roli a práva jen ručně. V auditu bude vidět, kdo, kdy a komu role byla přiřazena.

Podle čeho vybírat firmu na nasazení Identity Managera

Odkazy

Reference

Související témata

Literatura

Internetové odkazy

• BCV Solutions - open source identity management