Zarządzanie tożsamością w akcji

Korzyści ze stosowania narzędzi do zarządzania tożsamością są łatwe do wykazania. Są to m.in. możliwość zautomatyzowania "cyfrowej aprowizacji" użytkowników, zmniejszenie obciążeń help desk dotyczących zapomnianych haseł i zrobienie porządku w zarządzaniu dostępem w ramach całej organizacji. Testom poddano rozwiązania zarządzania tożsamością z firm IBM, Microsoft, Novell i Sun.

Korzyści ze stosowania narzędzi do zarządzania tożsamością są łatwe do wykazania. Są to m.in. możliwość zautomatyzowania "cyfrowej aprowizacji" użytkowników, zmniejszenie obciążeń help desk dotyczących zapomnianych haseł i zrobienie porządku w zarządzaniu dostępem w ramach całej organizacji. Testom poddano rozwiązania zarządzania tożsamością z firm IBM, Microsoft, Novell i Sun.

Pozostaje jednak pytanie, jakie są rzeczywiste koszty implementacji rozwiązań - mierzone włożonym wysiłkiem, koniecznością zatrudnienia konsultantów i zakresem niespełnionych oczekiwań? A także, które rozwiązania są do tego przygotowane?

Zarządzanie tożsamością w akcji

Jakie zadania powinien wykonywać optymalny system zarządzania tożsamością

Są to pytania, na które starano się odpowiedzieć podczas testów przeprowadzonych na zlecenie Info-World w Advanced Network Computing Lab na Uniwersytecie Hawajskim. W testach wzięły udział produkty firm: IBM (Tivoli Identity Manager 4.6), Microsoft (Identity Integration Server 2003 Enterprise Edition), Novell (Identity Manager 2) i Sun (Java System Identity Manager 5.5). Starano się wykonać przy ich użyciu wiele zadań z dziedziny zarządzania tożsamością przy wykorzystaniu scenariuszy typowych dla biznesu i symulowanych profili pracowników.

Sieć testowa symulowała organizację o nazwie "AB&C". Oparto ją na usługach katalogowych Active Directory (AD) i wyposażono w serwery Microsoft Exchange 2000, linuksową aplikację kadrową (HR) o nazwie e-HRMS i linuksową aplikację księgową web-ERP oraz kilka innych systemów. Dostawcy rozwiązań musieli zintegrować swoje produkty z tymi systemami i następnie podjąć poszczególne zadania związane z zarządzaniem tożsamością, obejmujące: przyjęcie do pracy, zwolnienie z pracy, wykrywanie nielegalnych kont użytkowników, jak również przejęcie przez "AB&C" hipotetycznej firmy "Biznes i spółka" i w rezultacie dokonanie migracji katalogów.

W celu wykonania wymaganych zadań każde rozwiązanie zarządzania tożsamością musiało być zintegrowane z systemem e-HRMS, usługami katalogowymi AD, systemem webERP i serwerem Exchange. Testowane produkty wykorzystywały różne sposoby do osiągnięcia tego celu, ale podstawowymi procedurami dla każdego dostawcy były: utworzenie dostosowanych konektorów dla MySQL (zaplecza e-HRMS) i odwzorowanie różnych pól danych w bazie danych na takie same pola w AD. Konieczne było też utworzenie różnorodnych reguł polityki dla formatu nazw użytkownika, wymagań na hasło itp.

Zarządzanie tożsamością w akcji

Motor przepływu zadań w Tivoli Identity Manager umożliwia implementację procesów biznesowych i automatyzację administrowania ochroną.

Zarządzanie tożsamością w akcji

Microsoft Identity Integration Server - centralna konsola Identity Manager.

Po osiągnięciu takiej funkcjonalności początkowym zadaniem związanym z ujednoliceniem danych (rekoncyliacją) było wykonanie synchronizacji danych pomiędzy serwerem zarządzania tożsamością, bazą danych e-HRMS i Active Directory. Kolejne zadanie rekoncyliacji powinno wykrywać zmiany w systemie e-HRMS, które wyzwalają akcje w aplikacji zarządzania tożsamością.

Wszystkie testowane rozwiązania spełniały postawione w testach wymagania, ale ujawniły się istotne różnice w sposobie ich wykonania. Niektóre produkty pracowały dobrze od strony zaplecza, ale brakowało im zunifikowanego zarządzania i interfejsu raportowania. Inne prezentują się dobrze "od frontu", ale dysponują gorszym zapleczem. Niektórzy dostawcy wykazali się też większą starannością w łączeniu wielu narzędzi zarządzania tożsamością w pojedyncze zunifikowane rozwiązanie.

IBM Tivoli Identity Manager 4.6

IBM Tivoli Identity Manager (ITIM) 4.6 wykorzystuje dostosowywane agenty, które zainstalowano na każdym zarządzanym zasobie, tj. kontrolerach domen AD, serwerach baz danych itp. Agenty charakteryzują się niewielkim zapotrzebowaniem na pamięć i wymagają minimalnego konfigurowania.

Zanim zarządzanie tożsamością stanie się możliwe, muszą być zintegrowane istniejące aplikacje HR oraz usługi katalogowe. Do tego zadania IBM używa aplikacji Java - Tivoli Directory Integrator (TDI), która funkcjonuje jako pośrednik dla danych o tożsamości - zarówno dla celów integracji początkowej, jak i w formie stałego konektora, kiedy jest potrzebny. TDI pracuje na platformie Linux i Windows i zapewnia klarowny ogląd wszystkich zarządzanych zasobów. Podczas testów narzędzie to było używane przede wszystkim do odwzorowywania danych z baz danych HR na Active Directory (i vice versa), przy wsparciu producenta.

Włączając konektory MySQL Java do narzędzia TDI i pracując z AD za pośrednictwem LDAP specjalista IBM szybko odwzorował pola bazy danych na pola LDAP i utworzył dostosowany konektor do przemieszczania danych - w całości lub w części wybieranej przez wyzwalacze, harmonogramy lub wybór ręczny. TDI obsługuje wszystkie zadania integracyjne, zapewniając proste metody przeformatowania różnorodnych danych, takich jak spójne sformatowanie numerów telefonicznych, dat urodzeń itp.

Scenariusz testów wymusił na specjalistach IBM konieczność wykonania pewnych czynności dostosowujących i czasami firmowy interfejs wydawał się dla nich przeszkodą, ale momenty takie były krótkotrwałe. Ogólnie, każdy aspekt testu został wykonany zadowalająco, w tym dodatkowa integracja z serwerami z/OS i Lotus Notes. Są to jednak produkty IBM.

Zarządzanie tożsamością w akcji

Microsoft Identity Integration Server - konfigurowanie przepływu atrybutów między dwoma katalogami.

Zarządzanie tożsamością w akcji

Novell iManager - ustawianie atrybutów hasła użytkownika.

W czasie testów zauważalna była pewna niedojrzałość Web GUI ITIM. Interfejs ten pozwala administratorowi tworzyć i modyfikować strony użytkownika końcowego - w zakresie podziału strony i wybieralnej funkcjonalności. Relatywnie prosto można np. zadeklarować pola baz danych dotyczące użytkownika, oglądane przy przeglądaniu firmowych katalogów informacyjnych lub przy modyfikowaniu danych personalnych, oraz to, czy poszczególne pola mogą być modyfikowane. Ogólna nawigacja po interfejsie użytkownika nie jest jednak zbyt klarowna. W wielu miejscach jedyną drogą konstruowania poszczególnych akcji jest włączenie kodu JavaScript, przykrojonego do niewielkich pól tekstowych w interfejsie użytkownika. Zapewnia to duże możliwości, ale jest także bardziej złożone i mniej eleganckie, niż można by oczekiwać. Rozwiązanie pozbawione jest także możliwości cofnięcia akcji. Po skonfigurowaniu i rozpoczęciu akcji - np. rekoncyliacji danych AD z bazą danych HR - nie można po prostu cofnąć się do poprzedniego stanu (można go przywrócić, konstruując inną akcję). Po stronie plusów jest możliwość symulacji, pozwalającej na wypróbowanie zasad polityki przed ich włączeniem.

Funkcje przepływu zadań w ITIM są wysokiej jakości. Przepływ zadań w GUI jest prezentowany w aplecie Java, pozwalającym na przeciąganie elementów w celu tworzenia kroków procedur zatwierdzających, przydziału zadań itp.

Motor raportów ITIM jest obszerny i kompleksowy. Umożliwia generowanie raportów zawierających prawie wszystkie dane obecne w systemie. Jednak zebranie tych danych w logiczną formę jest pewnym wyzwaniem. Dostępna jest jednak integracja z Crystal Reports i to raczej ona powinna być wybierana jako narzędzie raportowania w rzeczywistej implementacji.

Utworzenie konta w AD przez użytkownika używającego skradzionego hasła admina zostało przez ITIM wykryte: po zidentyfikowaniu nieautoryzowanego konta w czasie rekoncyliacji, zostało ono po prostu usunięte. Automatyczne wykreślanie konta może wyglądać na zbyt drakońskie, ale jeżeli zarządzanie tożsamością dysponuje centralnym, oficjalnym rejestrem danych tożsamościowych, to nadmierna ostrożność nie zawadzi.

Podsumowując: IBM Tivoli Identity Manager jest wartościowym pakietem, który może obsługiwać najbardziej wyszukane aspekty każdego przedsiębiorstwa. Zapewnia solidne zaplecze i mocne narzędzia integracyjne, jednak integracja ITIM z siecią produkcyjną wymaga pewnych umiejętności. Prawdopodobnie w tym celu trzeba będzie zdać się na posiłki zewnętrzne.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200