Funkce Identity a Access Managementu
Identity a Access Management (IAM) je centralizovaná správa identit a přístupů. Základní funkce Identity a Access Managementu je o definování a správě rolí a řízení přístupů jednotlivých uživatelů sítě. Těmito uživateli mohou být zákazníci nebo zaměstnanci. Důvodem, proč IAM je využívána je, že IT systémy jsou typicky heterogenní a jsou dostupné po interní síti.
Identity a Access Management se skládá ze dvou základních oblastí – z Identity Managementu (IdM) a Access Managementu (AM).
Dnes většina platforem IAM poskytuje určitou kombinaci následujících nástrojů a funkcí, i když s různou úrovní přizpůsobitelnosti a rozšiřitelnosti.
Funkce Identity a Access Managementu
Správa životního cyklu uživatelských identit
Správa životního cyklu identit je základní funkce Identity a Access Managementu. Zahrnuje synchronizaci identit, zajišťování, zrušení zajišťování a průběžnou správu uživatelských atributů, pověření a oprávnění.
Systémy IAM spravují digitální identity uživatelů, obvykle účet nebo certifikát, token, apod. IAM je obvykle integrován s jedním nebo více dalšími zdroji uživatelský identity jako je například Microsoft Active Directory nebo HR SAP.
Díky nasazení IAM platformy je obvykle pokryt celý cyklus uživatele v organizaci. Od jeho nástupu, kdy je potřeba předat prvotní heslo, vygenerovat nástupní list, vydat vstupní kartičku a zřídit licenci do o365. Identita se v průběhu působení ve firmě mění – dojde k povýšení a jsou potřeba jiné přístupy (např. Vyšší licence v o365) a s tím dokáže IAM platforma pomoct. V případě odchodu zaměstnance je potřeba všechny přístupy odebrat, aby nedošlo k běžnému scénáři, že zaměstnanec odejde a přesto má přístupy do CRM. Pokud přejde ke konkurenci využije data z předchozího zaměstnání ke kterým má ještě přístup?
Identity a Access Management
Role-Based access control (RBAC)
Mnoho systémů IAM používá řízení přístupu na základě rolí (Role-Based access control RBAC). V rámci tohoto přístupu existují předdefinované role se specifickými sadami přístupových oprávnění. Jako příklad může být zaměstnanec účetního oddělení. Každý zaměstnanec získá při nástupu automaticky firemní emailový účet a právo tisknout a to pomocí přiřazení role.
Provisioning/deprovisioning uživatelských účtů
Jakmile je uživatel přijat do organizace, musí mu IT vytvořit přístupy do systémů. Protože by bylo časově náročné specifikovat přístupy každého jednotlivce ke každému systému, systémy správy identit IAM umožňují přiřazování přístupu na základě rolí (RBAC). Uživatelům je přiřazena jedna nebo více rolí, obvykle na základě pracovní pozice v organizaci.
Časově náročné také bývá zrušit přístupy ke všem aplikacím a systémům. Systém IAM automatizuje tento proces. Což je důležité, protože bývalí zaměstnanci, kteří mají stále přístup, představují vážné bezpečnostní riziko.
Ověření uživatele (Autentizace)
Systémy IAM provádějí úlohu ověřování uživatele, když uživatel požaduje přístup. Bezpečné ověřování dnes znamená vícefaktorové ověřování.
Autorizace uživatelů
Po ověření (autentizaci) uživatele systém IAM uživatele autorizuje pro přístup ke konkrétním aplikacím a prostředkům. Uživatel má tedy přístup k předem jasně určeným datům a nedostane se tam kam nemá.
Systém jednotného přihlášení – SSO
Pomocí systému jednotného přihlášení (SSO) se uživatelé musí ověřit (autentizovat) pouze jednou. Poté je uživateli umožněn přístup do všech systémů bez nutnosti samostatného přihlášení do každého systému. Například když se přihlásíte do Googlu, jste automaticky přihlášen do svých účtů Gmail a YouTube. Jedná se o zjednodušení práce pro uživatele, který si nemusí pamatovat další hesla nebo loginy. Zároveň lze z jediného místa centralizovaně přístup odebrat.
Hodně času helpdesk tráví často na tom, že si uživatel zapomněl heslo a je nutné jej resetovat. Zároveň jaký komfort má uživatel, pokud si má pamatovat 10 hesel a k tomu ještě o různé délce s různými znaky (nepočítám, že do kritických systémů si ho každé 3 měsíce musí měnit). Systém jednotného přihlášení redukuje počet hesel, zvyšuje komfort uživateli a snižuje náklady na helpdesk. Například lékař v nemocnici se má soustředit na léčení pacientů a ne řešení, že si opětovně zapomněl heslo
Federovaná identita (Federated identity management)
Federovaná správa identit vám umožňuje sdílet digitální identitu s důvěryhodnými partnery. Jedná se o mechanismus sdílení ověření identity (autentizace), který umožňuje uživatelům používat stejné uživatelské jméno, heslo nebo jiné ID pro získání přístupu do více než jedné sítě.
Systém jednotného přihlášení (SSO) je důležitou součástí správy federovaných identit. Zatímco jednotné přihlášení SSO umožňuje uživatelům přihlásit se k různým systémům v organizaci, federovaná identita dělá totéž ve více organizacích. Tento model funguje pouze mezi spolupracujícími organizacemi – známými jako důvěryhodní partneeři -, které v zásadě ručí za své uživatele.
Přínosy funkcí Identity a Access Managementu
Implementace IAM firmě může zajistit významnou konkurenční výhodu. V dnešní době potřebuje většina organizací poskytnout uživatelům přístup k interním systémům z vnější sítě. IAM organizaci umožňuje rozšířit přístup k jejím informačním systémům napříč on-premise aplikacemi, mobilními aplikacemi a SaaS, aniž by to ohrozilo zabezpečení. Poskytnutím přístupu z vnější sítě je možné zvýšit produktivitu, spokojenost zaměstnanců, výzkum a vývoj a v konečném důsledku i příjmy.
Mohlo by vás také zajímat ke správě identit
Seriál o Identity Managementu:
- Co je to Identity Management?
- Jak vybrat IDM?
- Jak migrovat Identity Management?
- Modely spolupráce s dodavatelem IDM.
- Jak zabrátit vendor lock-in?
- Jak z personalistiky identifikovat vedoucího pro IDM?
- Jak se zbavit rutinních úkolů při správě IT systému automatizací Identity Managementu?
- Jak správně testovat IdM?
- Jak správně nasadit IDM do produktivního provozu?
- API pro připojení systému do IDM
- Co je to SCIM?
- IdM nebo formulářový systém?
- Netradiční využití IdM 1, 2, 3
