Co je to Identity Management

Identity Management (IdM) je centralizovaná správa identit v IT systémech. Umožňuje správným osobám přístup ke správným zdrojům, ve správný čas, ze správných důvodů a s plnou evidencí. IT systémy jsou typicky heterogenní a jsou dostupné po interní síti. Správa je prováděna zásahem administrátora v IdM nebo automatizovanými procesy.

Co je identita?

Identita je elektronická reprezentace osoby nebo objektu (například počítače nebo telefonu) z reálného světa. Identity Management v IT centrálně řídí přístup identit ke zdrojům (účtům, vpn, certifikátům) napříč spravovanými IT systémy.

Co je Identity Manager?

Identity Manager je SW, nástroj, který zajišťuje identity management. Jedná se o procesní nástroj, který má komunikační rozhraní do mnoha spravovaných systémů. Identity Manager integruje spravované systémy a umožňuje nad nimi provádět procesy a spravovat účty. Součástí IdM jsou synchronizační nástroje pro přenos dat, auditní a reportovací funkce a samozřejmě uživatelské rozhraní, které umožňuje přenést odpovědnost za určité úkoly na uživatele.

Proč Identity Management?

Jaké jsou obvyklé problémy, které IdM pomáhá řešit?

  1. Nemáme přehled, kdo kam má přístupy.
  2. Dlouho trvá manuální založení účtu a nastavení práv.
  3. Je časově náročné získat podklady pro auditní kontrolu.
  4. Uživatelé si nemohou jednoduše sami zažádat o přístupy a nadřízený schválit.
  5. Administrátoři jsou zahlceni rutinními pracemi s nastavováním přístupů.
  6. Zůstávají účty, které již být v systému nemají.

IdM zajišťuje principiálně několik základních cílů:

  1. Automatizuje rutinní procesy správy identit. Ulevuje administrátorům od rutinních procesů. Viz. článek: Jak se zbavit rutinních úkolů při správě IT systému automatizací Identity Managementu
  2. Centralizuje systémy pod jedinou správu – získáte přehled o přístupech v  systémech. Identifikujete osobu napříč systémy.
  3. Delegujte správu účtů na business vlastníky. Tj. například nadřízení žádají a schvalují přístupy do CRM. Administrátoři se mají věnovat rozvoji systémů, ne schvalování, zda tam má mít žadatel daný přístup.
  4. Eviduje, audituje operace nad účty a právy. Získáte rychle podklady pro audity IT.
  5. Zvýší bezpečnost například zamezením existence mrtvých duší. Již se nestane, že pracovník po ukončení smlouvy má stále přístupy do systému a může si odnést data.
Benefity IdM dle rolí?
Pro běžné uživatele
  1. Reset hesla do všech systémů z jednoho místa.
  2. Žádost o přístupy bez nutnosti kontaktovat IT helpdesk.
  3. Přehled o oprávněních (kam můžu, kdo mi to schválil, kdy jsem přístup dostal, na koho čeká schválení).
  4. Přehled o svých pracovních úvazcích a navázaných právech.
  5. Rychlý nástup do zaměstnání pomocí automatického přidělení přístupů
Pro nadřízené
  1. Přehled o právech podřízených + možnost je měnit či požádat o změnu bez zásahu IT
  2. Reset hesla podřízenému, například pokud zapomněl heslo
  3. Časové omezení práv např. pro externisty, automatické notifikace
Pro IT bezpečnost.
  1. Centrální auditní nástroj účtů ve firmě
  2. Schvalování rolí na základě jejich důležitosti.
  3. Řízené rušení účtů po odchodu zaměstnance, zamezení mrtvím duším.
  4. Naplnění bezpečnostních norem z pohledu řízení uživatelských práv
Pro IT pracovníky
  1. Automatizace manuální správy (odstranění operativy) – úspora času
  2. Jasný přehled o účtech a oprávněních napříč společností
  3. Výrazné zjednodušení přípravy podkladů pro audit
Pro vedení organizace
  1.  Úspora času kompetentních pracovníků
  2. IT se může věnovat údržbě a rozvoji prostředí,  ne operativě.
  3. Snížení množství požadavků na helpdesk.
  4. Zvýšení bezpečnosti citlivých dat, zejména po odchodu či přeřazení pracovníka

Jaké účty IdM spravuje?

IdM může spravovat všechny účty, protože pro každý typ účtů lze nastavit různé procesy. Jaké účty má smysl spravovat? Integrace a automatizace i s nástrojem IdM stojí nějaké investice. Asi nemá smysl automatizovat proces, který se aplikuje zřídka na minimu účtu. Takový proces může asi levněji provést administrátor.

Skupiny účtů:

  1. Zaměstnanci – obvykle identita vzniká začátkem smluvního úvazku, který je načten do IdM z personalistiky.
  2. Externisti – zákazníci, dodavatelé, studenti apod. Přistupují do systémů pomocí VPN, často využívají certifikáty. Pro vznik identity se může využívat webové rozhraní IdM.
  3. Technické a servisní účty – například administrátorské účty nebo účty aplikací. Tyto účty obvykle nesmí zaknitout i po odchodu vlastníka účtu. Nelze na ně aplikovat běžné personální procesy zaměstnanců. Mají vlastní agendu procesů. IdM může řešit i agendu předávání hesla.

Jaké objekty IdM zpracovává?

  • Identity, účty, role, skupiny, složky, organizační strukturu, úvazky, certifikáty, fotky, katalog rolí, SW licence, vpn přístupy…

Jaké procesy IdM zajišťuje?

Jedním z hlavních přínosů IdM je automatizace. K tomu slouží různé typy procesů na různé typy identit.

Typy procesů:

  1. Automatizované procesy zaměstnanců:
    1. Nástup zaměstnance a vznik identity, vznik pracovního úvazku,
    2. změna organizačního zařazení v rámci úvazku
    3. změna popisných atributů (telefon, adresa apod.)
    4. vynětí z evidenčního počtu (mateřská/rodičovská)
    5. Ukončení úvazku, zánik identity.
  2. Ruční zásahy – žádosti o přístupy, vpn, certifikát a schválení žádosti, manuální založení účtu administrátorem apod.
  3. Automatické synchronizace – účtů, rolí, úvazků, organizačního zařazení,
  4. Reporting – reporty pro audity, měsíční přehledy atd. podklad pro recertifikaci přístupů,

Co je řízení přístupů rolemi (RBAC)?

IdM využívá nastavování práv na základě přiřazení role, RBAC – Role-Based Access Control. Jedná se o základní funkční mechanismus IdM. Pokud získám roli, znamená to, že jsem typicky získal přístup do systému nebo nějaké konkrétní oprávnění v systému, jako například zařazení do MS Active directory skupiny.

Ukázka aplikačních rolí

IdM spravuje následující typy rolí:

  1. Role aplikační – mám roli, mám přístup do aplikace nebo konkrétní právo v aplikaci.
  2. Přístupové role v IdM – mám roli, mám nějaké vyšší pravomoci práce v Identity Manageru. Například mohu schvalovat někomu práva.
  3. Byznys role – seskupují výše zmíněné. Například role “sekretářka” má role pro Docházkový systém a Helpdesk.
  4. Dle typu přiřazení:
    1. Automatické – například na základě příslušnosti k organizaci, úvazku nebo na základě atributu u identity.
    2. Ručně administrátorem nebo na základě žádosti a schválení pověřenou osobou (nadřízený, byznys vlastník role apod.).

Zajímavé vlastnosti rolí:

  • Garanti role – typicky schvaluje přidělení role, může roli sám přidělit.
  • Různá schvalovací workflow pro role – dle důležitosti/kritičnosti.
  • Časově omezené přiřazení rolí – například VPN pro externisty nebo po dobu práce na projektu.
  • Separation of duties (SoD) – oddělení pravomocí v řízených aplikacích, možnost zavést princip více očí ve vícekolovém schvalování.
  • Sloučení rolí do byznys rolí
  • Automaticky přidělované role dle organizační struktury nebo atributu (např. všichni lékaři)
  • Synchronizace rolí z externího zdroje – často MS AD skupiny nebo LDAP skupiny
  • Export rolí do spravovaného systému
  • Katalogizace rolí – zjednodušuje výběr role uživateli v žádosti o roli
  • Report rolí – kdo má jakou roli a jakým způsobem ji získal (automaticky, manuálně)

Podpora spravovaných systémů?

K IdM je možné připojit libovolný systém, který je dostupný po síti a je známa (nebo zjistitelná) struktura identit. Výše popsané může vyvolávat dojem, že připojení koncových systémů k systému IdM musí vyžadovat jejich nemalé uzpůsobení pro podporu identity managementu. Opak je pravdou. Velkým přínosem IdM je snadnost připojení koncového systému bez nutnosti jeho přizpůsobení nebo dokonce i restartu. A jak na to? Využívají se obecnější přístupy mezi něž patří také tzv. identity konektory.

Konektor je malý programový nástroj na straně IdM, který dovoluje výměnu dat s napojeným systémem pomocí jeho nativního API. Tím pádem se konektor přizpůsobuje napojenému systému, nikoli naopak.

Konektory obecně poskytují metody pro:
  • vytvoření nového uživatelského účtu, popř. skupiny, role, organizace atd.
  • editaci stávajícího uživatelského účtu
  • smazání uživatelského účtu
  • čtení uživatelského účtu
  • vylistování všech účtů
  • vyhledání účtů dle vybraného filtru (například pouze toho, který se od posledního hledání změnil)
Seznam konektorů?

Ptejte se svého dodavatele. Obvykle je seznam podporovaných systémů velmi rozsáhlý. Pokud nemáte nějaký lokální systém, tak bude podporován.

Příklad podporovaných konektorů

Na co si dát u nabízeného konektoru pozor?

  1. Zda konektor podporuje vaší verzi spravovaného systému.
  2. Jaké funkce/operace konektor podporuje. Například zda podporuje blokaci účtu, změnu hesla nebo změnové synchronizace.
  3. Jaké objekty v koncovém systému podporuje. Například konektory pro Active Directory často nepodporují správu skupin.
  4. Licenční omezení, protože cena konektoru nemusí být nízká…
Virtuální neboli nepřímo spravované systémy

Modernější Identity Managery nabízejí takzvané virtuální připojení. Virtuální systém je takový systém, na němž IdM přímo nespravuje uživatelské účty. Místo toho se odesílá emailová notifikace administrátorům daného systému, aby požadovanou akci (založení účtu uživatele, modifikaci atributů účtu, smazání účtu uživatele) provedli ručně a potvrdili splnění v IdM.

Získáte centrální podporu životního cyklu identit a centrálního řízení rolí pro velké množství systémů levně a rychle.

Virtuální systémy nacházejí uplatnění například tam, kde:

  • daný systém není možné z technických důvodů napojit přímo,
  • přímé napojení daného systému není ekonomicky výhodné, například jsou v systému pouoze jednotky účtů,
  • nebo je žádoucí systém nejdříve napojit jako virtuální a ověřit tím správnou funkcionalitu napojení.

Uživatelské rozhraní musí být pro adminy srozumitelné.

Ukázka úkolu na admina virtuálního systému s přesnou strukturu, kterou má nastavit:

Co není Identity Management?

Centralizace účtů v Active Directory (AD) není Identity Management z definice tohoto článku, protože AD nenabízí:

  1. Rozhraní na žádosti a schvalování  o přístupy,
  2. Auditování kdo co schválil a proč má účet daná práva,
  3. Delegaci úkonů na byznys vlastníky.
  4. Možnost integrace s API jiných systémů – pro integraci systému s Active Directory musí být aplikace připravena nebo upravena. Taková úprava je možná, ale bývá pracná a drahá.

Z definice výše dále nelze použít jako IdM:

  1. access manager – Ten typicky řeší centrální autentizaci a autorizaci uživatelů napříč systémy, nikoli proces přidělení práv.
  2. Intrusion and detection SW a Monitorovací nástroje – řeší online či pravidelný reporting aktuálního stavu systému, neřeší samotný management práv pro systém.

Závěr?

Identity Manager může být výborným pomocníkem, který udělá pořádek v identitách – centralizovat, automatizovat a zabezpečit správu účtů a jejich práv v  IT systémech. Identity Manager může být finančně návratný i ve středních firmách, které se potkávají s náročností správy identit. Moderní Identity Managery svou jednoduchostí a množstvím funkcí umožňují rychlé nasazení do produkčního provozu a postupné budování centrálního bezpečnostního prvku firemní IT infrastruktury.

V případě dotazů mne neváhejte kontaktovat: lukas.cirkva@bcvsolutions.eu.

Použité zdroje:

  1. Wikipedia – Identity Management
  2. článek: Vývoj konektoru pro systém CzechIdM
  3. RBAC Wikipedia
  4. Roles in CzechIdM – who approves their assigning?

Mohlo by vás také zajímat:

  1. Jak vybrat IDM?
  2. Jak migrovat Identity Management?
  3. Modely spolupráce s dodavatelem IDM.
  4. Jak zabrátit vendor lock-in?
  5. Jak z personalistiky identifikovat vedoucího pro IDM?
  6. Jak se zbavit rutinních úkolů při správě IT systému automatizací Identity Managementu?
  7. API pro připojení do Identity Managementu.
  8. Co je to SCIM?

 

 

About Lukáš Cirkva

CEO, Identity Management consultant with 10+ years of experience. I have also played a leadership role in the development of our company's own SW tool - CzechIdM. We also service our delivered solutions. Please see www.CzechIdM.com and linkedin for more info: www.linkedin.com/in/lukascirkva/

Leave a Reply