Netradiční využití Identity Managementu díl první
Identity Management (IDM) může sloužit k mnoha účelům. Základním přínosem je automatizace a zavedení pořádku ve správě účtů a jejich práv v mnoha heterogenních systémech. IDM se stává základním stavebním kamenem bezpečnosti při nakládání s informacemi o účtech, bezpečnosti celé organizační struktury. IDM má srozumitelné webové rozhraní pro administraci, má konektory na systémy. Má parametrizovatelné schvalovací workflow, vše se audituje. Proč tolik informací a funkcí nevyužít k dalším úkolům? S takovým systémem mohu schvalovat nejenom účty, ale také jakékoliv předávání fyzických věcí – například přístupové karty, ale i licence, VPNky, práva k souborovým složkám, dovolené, objednávky, nákupy atd.
Zde jsou některé příklady netradičních využití IDM.
Správa souborového systému – Microsoft Active Directory
Active Directory (AD) poskytuje jako jednu ze služeb sdílené souborové složky (sdílené disky). Co ale AD nenabízí, je funkce jednoduchého schvalování žádostí o přístup ke sdíleným složkám. IDM může tuto funkci zajistit. Nastavení práv ke složkám lze v IDM delegovat od adminů k uživatelům i vlastníkům složek/dat. Uživatel zařazený do určité skupiny v AD tak má právo na sdílený disk. Admini se o přístupy k těmto složkám nemusí starat. Nastavení práv ke složkám v IDM je pro uživatele transparentní a jednoduché.
Po technologické stránce se celé řešení skládá ze dvou částí – zařazování uživatelů do skupin v AD a spouštění skriptů pro nastavování práv na adresářích.
Certifikační autorita
Organizace potřebuje pracovat s certifikáty, například pro přístupy do aplikací bez hesel. Lze si zakoupit certifikáty veřejně uznávané, které jsou ovšem placené. Nebo si ve firmě můžete postavit certifikační autoritu vlastní. Pak si můžete vydávat certifikáty uznávané pouze v rámci vaší organizace. Jejich vydání je zcela zdarma. K tomuto účelu lze velmi dobře využít Identity Manager integrovaný s certifikační autoritou. Pro uživatele je přirozené si v uživatelském rozhraní IDM jednoduše zažádat o certifikát. IDM zajistí schvalování garantem a předávání certifikátů uživateli i do aplikací, kam se má hlásit bez hesla. IDM hlídá platnost certifikátu, jeho vypršení, revokaci nebo změnu garanta.
V CzechIdM máme modul certifikační autority integrován – viz. článek v blogu zde.
Dovolené – žádosti, schválení a evidence
Potřebujete jednoduše žádat, schvalovat a evidovat dovolené, případně je někam zapisovat. Jak na to v IDM?
Pro jednoduchost použijme roli, s parametry od kdy a do kdy. IDM zná mého nadřízeného. Vstoupím do portálu IDM, požádám o roli Dovolená, vyplním termín a dám ke schválení. Nadřízení (jeden nebo více) žádost schválí a dovolená se zaeviduje. IDM propíše informaci do systému dovolenek. Využívají se k tomu zabudované funkce IDM:
- životní cyklus rolí,
- organizační struktura – vím, kdo je můj nadřízený,
- workflow schvalování – vícekolové, možnost vrácení k doplnění, odmítnutí,
- zástupy i eskalace ve schvalování, pokud je nadřízený nedostupný,
- v uživatelském portálu IDM vidím stav svého požadavku,
- evidence splněných požadavků.
Závěr
IDM je integrační nástroj, který umožňuje načítat, transformovat, prezentovat, schvalovat a ukládat velký rozsah různých dat. Proto jej lze využít k mnoha účelům, ne jen pro účty a práva.
Následovat bude další díl, kde popíši například samoregistraci nebo jak na VPN.
Seriál o Identity Managementu:
- Co je to Identity Management?
- Jak vybrat IDM?
- Jak migrovat Identity Management?
- Modely spolupráce s dodavatelem IDM.
- Jak zabrátit vendor lock-in?
- Jak z personalistiky identifikovat vedoucího pro IDM?
- Jak se zbavit rutinních úkolů při správě IT systému automatizací Identity Managementu?
- Jak správně nasadit IDM do produktivního provozu?
- Co je to SCIM?
- JIP/KAAS – jak předávat data.