Jak se zbavit rutinních úkolů při správě IT systému automatizací Identity Managementu

Nazdar Karle, Jarda, prosím tě, zíjtra mi nastoupí ten brigádník. Potřebuji, aby měl všude přístup, dík“. Karel pak jde, do Active Directory založí nový účet. Přidělí mu emailovou schránku v MS Exchange. Vygeneruje heslo a pošle ho mailem Jardovi. Atributy účtu, případně AD skupiny nastaví dle svého nejlepšího vědomí a svědomí. I takhle může vypadat správa účtů (Identity Management) a do určité míry je i funkční, ale:

  • Přijde audit a bude chtít vědět, na základě čeho dostal uživatel účet v AD? Kdo o to požádal a kde je o tom záznam? Existuje nějaká standardní matice práv pro zaměstnance?
  • Proč má Karlův účet atributy, takové, jaké má?
  • Kdo schválil jeho práva v AD?
  • Jarda odchází, musíte řešit předání “know how” rutinních operací v IT systémech – založ účet, smaž, archivuj, blokuj schránku, obnov…
  • Jak se předává heslo, kdo všechno ho měl v ruce?

Jde to i jinak.

Co je zodpovědností admina?

Z předchozího seznamu vyplývá, že administrátor v procesu zavádění zaměstnance nese na svých bedrech poměrně velkou zodpovědnost. Fakticky rozhoduje o tom, kdo má jaká práva, kdy je dostane a kdy o ně přijde. Tím pádem nese i odpovědnost za to, že někdo může potenciálně zneužít svůj účet k věcem, ke kterým nemá ze podstaty svého zaměstnání přistupovat. Musí si navíc zajistit informace o tom, kdy zaměstnanci končí. A ruku na srdce, tahle informace často na IT nedorazí včas nebo také vůbec. Tak proč by měl admin rozhodovat, kdo má jaká práva? On není ten, kdo určuje bezpečnostní politiku společnosti, kdo by měl stavět matici přístupů. Tohle nesmí být zodpovědnost administrátora.

Administrátor IT systému, třeba AD má být zodpovědný primárně za provoz systému, jeho údržbu a hlavně: systematické zlepšování jeho chodu tak, aby firmě jeho provoz přinášel co největší benefit.

Nechte svoje zaměstnance tvořit

Nechte administrátory, aby se starali o rozvoj IT systémů. Jenže jak se má této činnosti věnovat, když se neustále věnuje přidělování skupin, zakládání účtů, resetování hesel uživatelům atd.? Zamezte rutinní operativě. Automatizujte. Identity Management může pomoci.

Zavedením systému pro správu identit, identity management, můžete jednoduše zbavit administrátora rutinních činností jako jsou:

  • Založení účtu v AD, Exchange, helpdesk, docházka apod…
  • Distribuce hesla zaměstnanci, například pomocí SMS.
  • Reset zapomenutého hesla. Moderní IdM SW, jako je například CzechIdM, mají samoobsluhu uživatele, kde si každý své zapomenuté heslo může sám resetovat.
  • Změna práv, například žádost o novou AD skupinu. To může přeci požádat uživatel sám a jeho žádost nadřízený (nebo garant systému) schválí.
  • Zrušení účtu při konci úvazku, archivace účtu dle interní politiky firmy, smazání z archivu po uplynutí archivačního období.
  • Schválení zřízení účtu/přidělení oprávnění. Admin by neměl rozhodovat o tom, kdo má v AD jaká práva. Definováním vhodného mechanismu schvalování přístupů v IdM sejmete toto břemeno z jeho beder. Moderní IdM systémy umožňují vícekolové schvalování přidělení oprávnění vlastníkem dat systému nebo nadřízeným.
  • Příprava dat pro audit. Usnadněte práci adminovi. Ať ze změti logů různých systémů neloví auditní informace o přístupech zaměstnanců. S IdM máte přehled práv uživatelů na jednom místě. Audit bez Identity Managementu může zabrat dny práce.

Tohle všechno v důsledku ušetří čas zaměstnancům IT, který můžete investovat daleko efektivněji, než do rutinních činností.

Shrnutí

Na praktickém příkladu jsme si ukázali, jak může zavedení identity manageru pomoct při správě účtů, jedná se zejména o oblasti:

  • automatizace procesů správy identit
  • integrace IT systémů, často také HR systémů
  • schvalování přístupů
  • centrální přehled práv
  • auditing změn a příprava reportů pro audit
  • zvýšení bezpečnosti

Chcete efektivně řídit přístup zaměstnanců?

Více informací o tom, jak IdM funguje, můžete najít v naší online dokumentaci. Prakticky si CzechIdM můžete vyzkoušet v online demu. Máte-li jakékoli připomínky či dotazy, můžete přispět do našeho redmine, github nebo nám napsat na email info@bcvsolutions.eu. Zůstaňte s námi v kontaktu pomocí google group.

About Marcel Poul

Vedoucí realizace IdM projektů, BCV solutions. Problematice správy identit se věnuje více než 8 let. Dodává projekty IdM pro zákazníky ve státní správě, soukromé firmy i velké nadnárodní korporace. V BCV solutions se také věnuje analýze potřeb zákazníků a rozvoji SW produktu CzechIdM.

Leave a Reply

Your email address will not be published. Required fields are marked *