Lokalne czy globalne zarządzanie tożsamością
- Krzysztof Jakubik,
- 05.02.2008
Zarządzanie tożsamością to kluczowy element bezpieczeństwa IT, stąd też pojawiają się idee wprowadzenia globalnych standardów identyfikacji.
Zarządzanie tożsamością to kluczowy element bezpieczeństwa IT, stąd też pojawiają się idee wprowadzenia globalnych standardów identyfikacji.
Zarządzanie tożsamością to proces zarządzania prawami dostępu do zasobów IT. Jest on realizowany przez określenie procedury opisującej, kto może mieć dostęp do zasobów (proces autentykacji), co może z tymi zasobami zrobić (autoryzacja), oraz wdrożenie systemów nadzorujących te ustalenia. Największym problemem, w dużych organizacjach, jest konieczność stałego nadzoru i weryfikacji uprawnień. Na przykład, w przypadku odejścia pracownika, zmiany stanowiska lub zmiany zakresu obowiązków procedurę nadawania uprawnień należy powtórzyć. Zazwyczaj jednak takie dane są przechowywane w wielu bazach, katalogach i plikach tekstowych. Są one podatne na redundancję, co czyni zarządzanie nimi procesem trudnym, a dodatkowo powoduje luki w bezpieczeństwie.
Rozwiązaniem, które ma pozwolić na uniknięcie niespójności zbioru informacji o uprawnieniach, są systemy do zarządzania tożsamością. Pozwalają one na zebranie wszystkich obiektów w systemie przedsiębiorstwa, które wymagają procesu autentykacji i stworzenia bazy pracowników i klientów, zawierającej informacje o tym, kto i na jakich zasadach może uzyskać dostęp do danego zasobu.
Trudna synchronizacja
to średnia cena podstawowej instalacji systemu do zarządzania tożsamością.
Podstawowe zadania systemu do zarządzania tożsamością to: konsolidacja danych o pracownikach z wielu źródeł do postaci pojedynczego, centralnego obiektu, prezentacja skonsolidowanego widoku o najważniejszych informacjach dotyczących pracownika i zasobów, eliminacja redundantnych danych, umożliwienie efektywnego zarządzania nimi, zapewnienie automatycznego tworzenia kont użytkowników w połączonych źródłach danych, kontrola zachowania systemu zgodnie z określonymi parametrami i wspieranie procesu usuwania/blokowania kont użytkowników, gdy ci np. odchodzą z firmy. Niezgodna z założeniami realizacja tych zadań może doprowadzić do problemów, przede wszystkim naruszenia bezpieczeństwa (aktywne konta byłych pracowników), zmniejszenia wydajności, niepotrzebnego zwiększenia złożoności systemów i wzrostu kosztów ich utrzymania.
Zadaniem narzędzia do zarządzania tożsamością jest określenie ról biznesowych, na podstawie których zachodzi synchronizacja informacji o uprawnieniach użytkowników. System taki kontroluje przepływ danych, a także wybiera te atrybuty obiektów, które są ważne i powinny znaleźć się w centralnym repozytorium.
Globalna tożsamość
Systemy zarządzania tożsamością istotnie ułatwiają pracę w wypadku, gdy użytkownik musi korzystać z wielu systemów IT. Jedną z ich odmian jest oprogramowanie umożliwiające użytkownikom jednorazowe zalogowanie się do systemu, a następnie automatyczne logowanie do innych systemów i zasobów, z których mają prawo korzystać. Rozwiązanie takie jest zwane z angielskiego SSO (Single Sign-On). Mogłoby się wydawać, że jego wdrożenie obniża poziom bezpieczeństwa, ale jest inaczej. SSO automatycznie zarządza hasłami do wszystkich zasobów wchodzących w skład systemu, regularnie zmienia w nich hasła na losowo generowane ciągi, a w efekcie minimalizuje prawdopodobieństwo włamania do systemu.
- Przełożony pracownika
- Określenie zadań pracownika, "roli" w organizacji
- Opiekun systemu
- Określenie systemów i aplikacji, jakie będą mu potrzebne do wykonywania tych zadań oraz zakresu dostępu do danych w tych systemach
- Komórka bezpieczeństwa
- Weryfikacja uprawnień
- Administratorzy
- Nadanie uprawnień
Koncepcja SSO została zauważona przez World Wide Web Consortium (W3C) oraz The Open Group, które próbują stworzyć standard umożliwiający globalne zarządzanie tożsamością. W systemie takim każda osoba lub firma mogłaby być unikalnie identyfikowana i do jej konta mogłyby być przypisane wszystkie właściwe dane. W opublikowanym przez W3C dokumencie "Wymagania dla usługi globalnego zarządzania tożsamością" jego autorzy podkreślają, że ustalenie globalnego standardu zarządzania tożsamością jest kluczowe dla rozwoju usług Web i Internetu. Podstawowe założenia przewidują, że powinien on być uniwersalny, przenośny i kompatybilny ze wszystkimi popularnymi systemami, wspierać nieograniczoną liczbę atrybutów związanych z identyfikacją, dostarczać mechanizmy zapewniające prywatność oraz musi być zarządzany przez niezależne organizacje.
Praktyczną realizacją tych idei ma być standard XNS (Extensible Name Service) - otwarty protokół, udostępniający automatyczną wymianę danych i kontrolę prywatności. XNS bazuje na dwóch kluczowych technologiach - XML oraz agentach Web, umożliwiających wymianę, linkowanie i synchronizację informacji pomiędzy nadawcami i odbiorcami.Podobnie jak DNS, XNS to usługa, która może być wdrożona przez dowolnego dostawcę usług internetowych, portal, korporację lub uniwersytet. Ale w przeciwieństwie do DNS, wszystkie wdrożenia XNS muszą być zgłoszone do XNS Public Trust Organization (XNSORG), niezależnej organizacji odpowiedzialnej za rozwój globalnej społeczności XNS.
Zgodnie ze specyfikacją, adres XNS nie funkcjonuje jak zwykły adres e-mail, numer telefonu, faksu lub strona Web, ale jest pojedynczym superadresem, który konsoliduje wszystkie pozostałe adresy i dane w jednym cyfrowym repozytorium XML, zarządzanym przez agenta XNS, działającego zgodnie z zasadami prywatności i bezpieczeństwa użytkownika. Jedną z korzyści, które oferuje wdrożenie XNS, jest to, że właściciel adresu nigdy nie musi go zmieniać, niezależnie od tego jak zmieniają się operatorzy poczty elektronicznej, telefonu czy innych usług, a także dane osobiste. Adres XNS może zawierać do 64 znaków w dowolnym języku wykorzystującym format Unicode.