Lokalne czy globalne zarządzanie tożsamością

Zarządzanie tożsamością to kluczowy element bezpieczeństwa IT, stąd też pojawiają się idee wprowadzenia globalnych standardów identyfikacji.

Zarządzanie tożsamością to kluczowy element bezpieczeństwa IT, stąd też pojawiają się idee wprowadzenia globalnych standardów identyfikacji.

Zarządzanie tożsamością to proces zarządzania prawami dostępu do zasobów IT. Jest on realizowany przez określenie procedury opisującej, kto może mieć dostęp do zasobów (proces autentykacji), co może z tymi zasobami zrobić (autoryzacja), oraz wdrożenie systemów nadzorujących te ustalenia. Największym problemem, w dużych organizacjach, jest konieczność stałego nadzoru i weryfikacji uprawnień. Na przykład, w przypadku odejścia pracownika, zmiany stanowiska lub zmiany zakresu obowiązków procedurę nadawania uprawnień należy powtórzyć. Zazwyczaj jednak takie dane są przechowywane w wielu bazach, katalogach i plikach tekstowych. Są one podatne na redundancję, co czyni zarządzanie nimi procesem trudnym, a dodatkowo powoduje luki w bezpieczeństwie.

Rozwiązaniem, które ma pozwolić na uniknięcie niespójności zbioru informacji o uprawnieniach, są systemy do zarządzania tożsamością. Pozwalają one na zebranie wszystkich obiektów w systemie przedsiębiorstwa, które wymagają procesu autentykacji i stworzenia bazy pracowników i klientów, zawierającej informacje o tym, kto i na jakich zasadach może uzyskać dostęp do danego zasobu.

Trudna synchronizacja

10 tys. USD

to średnia cena podstawowej instalacji systemu do zarządzania tożsamością.

Modelowa infrastruktura IT składa się z systemu przechowującego dane personalne, serwera poczty elektronicznej oraz systemu katalogowego Active Directory zawierającego informacje o kontach systemowych i odpowiedzialnego za uwierzytelnianie oraz kontrolę dostępu do zasobów. Każdy z tych systemów ma własne lokalne kopie danych dotyczących pracownika. Problem pojawia się, gdy dochodzi do zmiany danych, bo powinna być ona odzwierciedlona we wszystkich systemach. Stąd potrzeba wdrożenia narzędzi wspomagających proces synchronizacji danych i kontroli spójności informacji.

Podstawowe zadania systemu do zarządzania tożsamością to: konsolidacja danych o pracownikach z wielu źródeł do postaci pojedynczego, centralnego obiektu, prezentacja skonsolidowanego widoku o najważniejszych informacjach dotyczących pracownika i zasobów, eliminacja redundantnych danych, umożliwienie efektywnego zarządzania nimi, zapewnienie automatycznego tworzenia kont użytkowników w połączonych źródłach danych, kontrola zachowania systemu zgodnie z określonymi parametrami i wspieranie procesu usuwania/blokowania kont użytkowników, gdy ci np. odchodzą z firmy. Niezgodna z założeniami realizacja tych zadań może doprowadzić do problemów, przede wszystkim naruszenia bezpieczeństwa (aktywne konta byłych pracowników), zmniejszenia wydajności, niepotrzebnego zwiększenia złożoności systemów i wzrostu kosztów ich utrzymania.

Zadaniem narzędzia do zarządzania tożsamością jest określenie ról biznesowych, na podstawie których zachodzi synchronizacja informacji o uprawnieniach użytkowników. System taki kontroluje przepływ danych, a także wybiera te atrybuty obiektów, które są ważne i powinny znaleźć się w centralnym repozytorium.

Globalna tożsamość

Systemy zarządzania tożsamością istotnie ułatwiają pracę w wypadku, gdy użytkownik musi korzystać z wielu systemów IT. Jedną z ich odmian jest oprogramowanie umożliwiające użytkownikom jednorazowe zalogowanie się do systemu, a następnie automatyczne logowanie do innych systemów i zasobów, z których mają prawo korzystać. Rozwiązanie takie jest zwane z angielskiego SSO (Single Sign-On). Mogłoby się wydawać, że jego wdrożenie obniża poziom bezpieczeństwa, ale jest inaczej. SSO automatycznie zarządza hasłami do wszystkich zasobów wchodzących w skład systemu, regularnie zmienia w nich hasła na losowo generowane ciągi, a w efekcie minimalizuje prawdopodobieństwo włamania do systemu.

Schematnadawania uprawnień

  • Przełożony pracownika
  • Określenie zadań pracownika, "roli" w organizacji
  • Opiekun systemu
  • Określenie systemów i aplikacji, jakie będą mu potrzebne do wykonywania tych zadań oraz zakresu dostępu do danych w tych systemach
  • Komórka bezpieczeństwa
  • Weryfikacja uprawnień
  • Administratorzy
  • Nadanie uprawnień

Koncepcja SSO została zauważona przez World Wide Web Consortium (W3C) oraz The Open Group, które próbują stworzyć standard umożliwiający globalne zarządzanie tożsamością. W systemie takim każda osoba lub firma mogłaby być unikalnie identyfikowana i do jej konta mogłyby być przypisane wszystkie właściwe dane. W opublikowanym przez W3C dokumencie "Wymagania dla usługi globalnego zarządzania tożsamością" jego autorzy podkreślają, że ustalenie globalnego standardu zarządzania tożsamością jest kluczowe dla rozwoju usług Web i Internetu. Podstawowe założenia przewidują, że powinien on być uniwersalny, przenośny i kompatybilny ze wszystkimi popularnymi systemami, wspierać nieograniczoną liczbę atrybutów związanych z identyfikacją, dostarczać mechanizmy zapewniające prywatność oraz musi być zarządzany przez niezależne organizacje.

Praktyczną realizacją tych idei ma być standard XNS (Extensible Name Service) - otwarty protokół, udostępniający automatyczną wymianę danych i kontrolę prywatności. XNS bazuje na dwóch kluczowych technologiach - XML oraz agentach Web, umożliwiających wymianę, linkowanie i synchronizację informacji pomiędzy nadawcami i odbiorcami.Podobnie jak DNS, XNS to usługa, która może być wdrożona przez dowolnego dostawcę usług internetowych, portal, korporację lub uniwersytet. Ale w przeciwieństwie do DNS, wszystkie wdrożenia XNS muszą być zgłoszone do XNS Public Trust Organization (XNSORG), niezależnej organizacji odpowiedzialnej za rozwój globalnej społeczności XNS.

Zgodnie ze specyfikacją, adres XNS nie funkcjonuje jak zwykły adres e-mail, numer telefonu, faksu lub strona Web, ale jest pojedynczym superadresem, który konsoliduje wszystkie pozostałe adresy i dane w jednym cyfrowym repozytorium XML, zarządzanym przez agenta XNS, działającego zgodnie z zasadami prywatności i bezpieczeństwa użytkownika. Jedną z korzyści, które oferuje wdrożenie XNS, jest to, że właściciel adresu nigdy nie musi go zmieniać, niezależnie od tego jak zmieniają się operatorzy poczty elektronicznej, telefonu czy innych usług, a także dane osobiste. Adres XNS może zawierać do 64 znaków w dowolnym języku wykorzystującym format Unicode.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200