Identity management
Z Wikina
Identity management je správa uživatelů, která řeší organizaci uživatelů, přidělovaní přístupů, práv a auditování změn. Správné nastavení procesů identity managementu slouží k automatizaci administrativních úkonů a lepší IT bezpečnosti v jakékoli společnosti. V realné situaci se jedná o pravidelnou synchronizaci zaměstnanců z HR systému do Identity managera (IdM). Z Identity managera se zakládají účty a přístupy do koncových aplikací dle nastavených pravidel. Synchronizace a změny na koncových systémech mohou běžet v realném čase, každých několik hodin nebo v noční rekonciliaci.
Obsah |
Identita
Identity jsou lidé. Zaměstnanci, externí pracovníci, partneři, dodavatelé popřípadě i zákazníci. Jedna identita má, ve většině případech, několik účtů do různých systémů. Identifikátor může být dle konvence Active Directory, kombinace jména a příjmení s osobním číslem, pořípadě pouze firemní číslo.
Oprávnění a přístupy v rámci Identity managementu
Jednoduché nastavení práv a přístupů lze řešit pomocí rolí a skupin. Pokud pracujeme s Active Directory, můžeme si představit jako přiřazení AD skupiny pro sdílené úložiště. V náročnejších případech lze nastavovat přístupy pomocí názvů pozic nebo organizačním zařazení ve společnosti. Pokud již nemáte řešení pro schvalování přístupů - můžete využít funkcí schvalování v identity manageru přímým nadřízeným nebo správcem role.
Organizace a správa identit
Organizace a zařazení uživatelů je důležite pro přehlednost a plánování. Identity managery mají obdo
Automatizace procesů
IdM šetří čas IT oddělení, omezuje prostor na chybu nebo překlep a zaručuje chod firemních procesů i bez IT uživatelů. IT oddělení není nahraditelné Identity Managementem, ale přínáší výhody všem. Správný identity manager má i historii nebo audit změn. V nadcházejících letech bude tlak na firmy, aby měli přístupy auditované a většina identity managerů má tuto funkci v základu.
Důležitou součástí automatizace je kontrola expirovaných identit a blokování účtů. Nebudu zde zmiňovat negativní příběhy v případech, kdy se na nějaký účet zapomnělo.
Výhody a nevýhody Identity Managera
Klady
- Automatizace přístupů
- Auditování přístupů
- Rychlost a synchronizace změn ve všech systémech najednou
Zápory
- Prvotní investice času a peněz je středně vysoká
- Identity Manager je dlouhodobá investice.
- Malé firmě do 20 zaměstnanců se IdM nevyplatí z pohledu času.
- Nároky na HW a s tím spojené výdaje.
Řešení nevýhod
- Úspora financí: Existují open source Identity managery, kde neplatíte licenci
- Dlouhodobá investice: Pokud plánujete dopředu a automatizujete, nastavte si plán a body k realizaci s tím jak vám projekt pomůže a kolik vám ušetří času.
- Velikost firmy: Nezáleží pouze na počtu zaměstnanců, ale také na počtu systémů, fluktuaci a interních pravidel.
- Nároky HW: V dnešní době spousta systémů běží na Linuxu a tím nezabírá licenci windows serveru. Linux operační systémy jsou výkonnější.
Typické obavy uživatelů
- ...
Příklad
Teoretická situace Identity Managera ve společnosti o 200 zaměstnancích.
- HR systém
- Active Directory
- Firemní aplikace "Appka" postavená na Postgres databázi.
Začínáme s identity managementem a tím definujeme spravované a důležité firemní aplikace s procesy a pravidly pro správu účtů. V totmo příkladu máme jeden HR systém z kterého budeme data čerpat a dva systémy, které budeme pomocí identity managera spravovat.
Začneme tím, jakým způsobem a s jakou automatizací chceme účty v Active Directory a v Appce spravovat. Po analýze a návrhu prozkoumáme jak můžeme data z HR systému vytáhnout a synchronizovat do IdM. Jde nám o informace o identitách jako je jméno a příjmení, pozice, nadřízený a jejich platnost pracovních úvazků (aktivní / neaktivní). Po transformacích a přípravě dat - synchronizujeme do Identity managera, kde je již máme připravenou strukturu složek a rolí pro správu Active Directory a Appky. Mezi tímto a dalším krokem probíhá důkladné číštění účtů, protože identity manager upozorní na možné nesrovnalosti ve všech systémech.
V IdM máme připravené základní role jako Finance - analytik, ředitel, Marketing - brand, Obchod - junior, Appka finance číst, Appka finance zapisovat. Všechny role jsou schvalované nastaveným vlastníkem role. Role se přiřazují automaticky zaměstnancům již při synchronizaci z HR systému a nastavují se dle názvu pozice. Naštěstí se nám ihned data nepropíší a můžeme si zobrazit změny nanečisto. Pokud jsme něco při čištění přehlídli, opravíme a následně začneme změny propisovat.
Noví zaměstnanci a změny u stávajících zaměstnanců se organizují na HR a automaticky se přiřazují aktuální role. Samozřejmě vše automatizovat nejde a nebo nechceme. Můžeme přiřadit speciální roli a práva jen ručně. V auditu bude vidět, kdo, kdy a komu role byla přiřazena.