Tożsamość pod kontrolą

System zarządzania tożsamością, chociaż mało widoczny w przedsiębiorstwie, odgrywa istotną rolę w codziennym jego funkcjonowaniu.

System zarządzania tożsamością, chociaż mało widoczny w przedsiębiorstwie, odgrywa istotną rolę w codziennym jego funkcjonowaniu.

Jednym z najważniejszych powodów wdrożenia systemów centralizujących zarządzanie tożsamością jest przeniesienie z działu IT na kadrę zarządczą ciężaru odpowiedzialności za uprawnienia pracowników. Chociaż dział informatyki nadal odpowiada za utrzymanie systemów, wprowadzanie uprawnień dla kont jest zadaniem pracochłonnym i podatnym na błędy. Można to przedstawić na przykładzie często odbywającego się procesu, jakim jest wdrożenie do pracy nowego pracownika.

Zatrudnienie nowego pracownika wiąże się z przypisaniem mu odpowiednich uprawnień w systemach teleinformatycznych. W tradycyjnym modelu proces przyznawania dostępu jest zazwyczaj kilkuetapowy. Najpierw przełożony opisuje obowiązki i potrzeby danego pracownika, następnie podlegają one zatwierdzeniu. Na tej podstawie dział IT przygotowuje zestawy uprawnień, które następnie wdraża w życie. Ponieważ mogą one dotyczyć wielu systemów, proces niejednokrotnie wymaga korekt i dodawania dodatkowych uprawnień. Ponieważ fizyczne wprowadzenie uprawnień wykonuje dział informatyki, menedżerowie nie mają wglądu w rzeczywisty poziom praw konta pracownika. Kontrola w ten sposób zarządzanych uprawnień jest trudna, a sama implementacja – czasochłonna. W dużych firmach od decyzji do prawidłowo ustawionych uprawnień może minąć nawet kilka dni i wymaga to dużego nakładu pracy administratorów.

Korzyści z wdrożenia zintegrowanego systemu zarządzania tożsamością:

- integracja danych osobowych pochodzących z różnych źródeł,

- centralizacja zarządzania uprawnieniami w jednym narzędziu dla wszystkich systemów, aplikacji i usług,

- wyłączenie błędów związanych z czynnikiem ludzkim w procesach zmiany uprawnień,

- uproszczenie zarządzania poprzez nadawanie/odbieranie ról pracownikom,

- kontrola zmian uprawnień poprzez budowę procesów akceptacyjnych z obsługą eskalacji i notyfikacji zdarzeń,

- zmniejszenie ilości podnoszonych incydentów w help desk poprzez implementację usług samoobsługi dla użytkowników,

- usprawnienie czasu realizacji dostępu do usług,

- budowa narzędzi raportujących dla biznesu i działu bezpieczeństwa,

- implementacja w pełni kontrolowanego i audytowalnego procesu zarządzania cyklem życia pracownika, od zatrudnienia do zwolnienia,

- zmniejszenie ryzyka nieautoryzowanego dostępu do zasobów,

- łatwe zarządzanie uprawnieniami,

- przeniesienie poza dział usługowy pracy związanej z ustaleniem uprawnień,

- rzeczywiste uprawnienia mogą podlegać zatwierdzeniu przed wprowadzeniem w życie,

- szybkość i sprawność wprowadzania zmian,

- szczegółowy audyt uprawnień i dostępu,

- zapewnienie zgodności uprawnień wdrożonych w systemach z założeniami polityki bezpieczeństwa,

- można zintegrować system z portalem samoobsługowym, umożliwiając wykonanie typowych czynności (jak wykasowanie hasła) przez użytkownika.

W modelu centralnego, zintegrowanego zarządzania tożsamością, poziom uprawnień jest budowany za pomocą ról przypisywanych pracownikowi. Zatem menedżer, który jest odpowiedzialny za przygotowanie nowo zatrudnionego i ustalenie jego uprawnień, może samodzielnie zestawić role, które będą mu przydzielone. System zarządzający tożsamością i uprawnieniami przekłada je na uprawnienia w poszczególnych systemach, przy czym osoba przypisująca role nie musi być świadoma zmian, jakie niesie ze sobą przypisanie danej roli. Wystarczy, aby prawidłowo dobrał role do funkcji, które nowo przyjęty pracownik ma pełnić w organizacji. Przypisanie tych ról podlega zatwierdzeniu przez właścicieli aplikacji.

Różnica między nowym a starym modelem zarządzania tożsamością dotyczy także tego, że w tradycyjnym modelu zatwierdza się opis funkcji pracownika, podczas gdy w nowym – konkretne, zdefiniowane role w systemie, które mogą być natychmiast przełożone na drobiazgowy opis uprawnień we wszystkich systemach firmy. „Kiedy przyjmowaliśmy nowego pracownika – administratora czy konsultanta, musieliśmy ręcznie tworzyć konta na dziesiątkach systemów. Pochłaniało to bardzo dużo naszego czasu” – mówi Wojciech Darłowski, dyrektor Centrum Systemów Informatycznych w itelligence.

„W tej chwili operacja wnioskowania o uprawnienia oraz akceptacji jest obsługiwana przez mechanizmy systemu IBM Tivoli Identity Manager, a po zatwierdzeniu wniosku samo nadawanie uprawnień na systemach zajmuje dosłownie kilka sekund. Analogicznie odebranie uprawnień skutkuje natychmiastowym działaniem na systemach. To nie tylko upraszcza nam pracę, ale bardzo podnosi bezpieczeństwo systemów naszych klientów, dzięki eliminacji wszelkiego typu możliwych pomyłek i przeoczeń”- dodaje.

Od roli do szczegółów

System zarządzania tożsamością składa się z narzędzi do zarządzania rolami oraz wtyczek, przeznaczonych do integracji z systemami biznesowymi. Uprawnienia w każdym z tych systemów podlegają przepisaniu do systemu ról i kojarzeniu z nimi. Podczas wdrożenia opracowywana jest dokładna mapa uprawnień, która opisuje, jak każda z zaprojektowanych ról przekłada się na elementarne uprawnienia w tych systemach. W momencie przydzielenia i zatwierdzenia użytkownikowi wybranej roli, system dokonuje zmian we wszystkich zintegrowanych składnikach za pomocą konektorów.

Dla systemu nie jest problemem rozdrobnienie elementarnych uprawnień i połączenie ich w całość. Z drobiazgów w postaci: prawo do zalogowania do stacji roboczej, skrzynka poczty elektronicznej i systemu pracy grupowej, prawo do uruchomienia przeglądarki, prawa do zapisania dokumentów na stacji roboczej, prawo dostępu do aplikacji biurowych, zezwolenie na wydruk na drukarce sieciowej, integracja z telefonią, można złożyć jedną rolę o nazwie pracownik biurowy standard. Dopełnieniem systemu jest zestaw narzędzi umożliwiający samodzielne rozwiązanie niektórych problemów przez użytkownika. Do zadań, które można łatwo automatyzować, należy np. proces samoobsługowej zmiany hasła przez użytkownika. Umieszczenie takiej opcji w firmowym portalu bardzo odciąża dział help desk.

Szybkie zmiany

System bazujący na rolach cechuje się dobrą elastycznością biznesową. Gdy uprawnienia muszą zostać zmienione, wystarczy zmiana w rolach albo przypisanie nowych ról temu samemu pracownikowi. W tradycyjnym modelu administratorzy muszą wprowadzić te zmiany ręcznie (lub za pomocą narzędzi ułatwiających niektóre z tych zmian), zgodnie z listą dostarczoną przez menedżerów. Przy tych zmianach zatwierdzane są decyzje dostarczane do działu IT, a nie gotowa lista uprawnień.

Proces wprowadzania zmian w życie w tradycyjnym modelu mógł trwać nawet kilka dni, zależnie od nagromadzenia prac w dziale IT oraz tego, czy nowe uprawnienia musiały zostać dopracowane pod kątem potrzeb pracownika. Przy użyciu systemów scentralizowanego zarządzania tożsamością, zmiany uprawnień wynikające z przypisania innych ról wdrażane są prawie natychmiast, typowo proces ten trwa kilka minut. Przed wprowadzeniem zmian w życie, podlegają one zatwierdzeniu, dzięki czemu firma ma pewność, że system jest spójny i dokładnie oddaje potrzeby przedsiębiorstwa.

Sprawny audyt

Pewna część wdrożeń dotyczy organizacji, gdzie audyt jest równie ważny, jak zarządzanie poprzez role. Firmy, które muszą zachować zgodność z regulacjami prawnymi, sporządzają bardzo często raporty, zawierające listę kont, zapis ich aktywności oraz szczegóły uprawnień. W tradycyjnym modelu samo opracowanie wartościowego raportu trwa długo i wymaga sporego nakładu pracy od działu IT. W skomplikowanych strukturach nowoczesnej infrastruktury teleinformatycznej, opis powiązań jest zawiły i mało czytelny. Menedżerowie podpisujący takie raporty co kwartał czy co miesiąc, zazwyczaj nie mają czasu, aby się z nimi dogłębnie zapoznać. W nowoczesnym modelu, gdzie przydział uprawnień do ról użytkowników realizuje system, a więc sporządzenie raportu z listą aktywnych kont oraz ich uprawnieniami jest o wiele prostsze. Opisanie kont wraz z ich rolami jest łatwe do zrozumienia i audytu, zatwierdzanie przebiega prosto, a cały proces jest przejrzysty.

Dla obsługi standardowych zmian w uprawnieniach wystarcza pewna, dość ograniczona ilość ról, jednak drobiazgowy audyt niesie za sobą poważne zadanie rozbicia uprawnień w każdym z powiązanych systemów na elementarne składniki. W złożonych aplikacjach obsługujących core business (a mogą to być np. systemy transakcyjne banków lub zaawansowane aplikacje biznesowe) atomizowanie uprawnień umożliwia późniejszą analizę aktywności każdego z kont oraz rozpoznanie w najdrobniejszych szczegółach działań, które podjął każdy z pracowników. Taka dokładność jest niezbędna dla celów audytu zgodności z regulacjami prawnymi. Wykonanie audytu bez użycia sprawnych narzędzi jest bardzo pracochłonne.

Dla Computerworld komentuje Zbigniew Szmigiero, Tivoli Security Sales Manager w IBM Polska

Wyznaczenie ROI w projektach zarządzania tożsamością nie jest łatwym wyzwaniem. Ocena wartości implementowanego rozwiązania może być dokonywana poprzez porównanie kosztów wydatkowanych na poszczególne zadania przez przedsiębiorstwo przed i po wdrożeniu. Niestety polskie - a nawet szerzej – europejskie firmy nie posiadają wskaźników kosztowych związanych z tym zagadnieniem (np. koszt obsługi zlecenia wykasowania hasła w dziale help desk, koszt budowy konta i uprawnień w systemach). Dlatego też kluczowym czynnikiem wyboru rozwiązania staje się dla klienta usunięcie uciążliwych dla niego procedur, poprawienie efektywności pracy i wypełnienie wymagań audytowych.

System audytu to jedynie źródło informacji dla cyklicznego sprawdzania zgodności stanu zarządzanych systemów z zatwierdzonym standardem. Przykładowo w zarządzanych systemach typu Unix, sprawdzana jest zawartość plików odpowiedzialnych za uprawnienia (/etc/passwd /etc/shadow i /etc/group). W razie niezgodności - np. pojawienia się konta, które zostało wprowadzone poza TIM i nie ma swojego odpowiednika w rolach przypisanych pracownikom - system raportuje powstanie wątpliwego konta, zwanego „duchem” i podnosi alarm. W ten sposób można wykryć nie tylko nadużycia, ale także typowe błędy ludzkie. Analiza wielu stron raportów z wielu systemów jest trudniejsza niż sprawdzenie opisów ról.

Heterogeniczność środowisk

Przy każdym wdrożeniu powstają nowe struktury oraz zadania, nowy system staje się częścią infrastruktury firmy i podlega tym samym procesom, co pozostałe składniki. Firma itelligence za pomocą IBM Tivoli Identity Manager zarządza systemami: operacyjnymi, SAP ERP, portalami SAP, domenami Active Directory i bazami danych. Do prac na każdym z tych systemów specjaliści itelligence wykorzystują konta imienne, do których z kolei potrzebne są dostępy, odpowiednie uprawnienia i hasła. Całość jest kontrolowana za pomocą systemu Tivoli Identity Manager.

Chociaż systemy zarządzania tożsamością posiadają wiele wtyczek dla różnych systemów i programów, dla wielu aplikacji niezbędny będzie specjalnie zbudowany konektor. Proces jego budowy będzie jednym z etapów wdrożenia, sam agent stanie się częścią aplikacji biznesowej. Musi on podlegać testom, aktualizacji oraz kontroli działania, tak samo jak infrastruktura, z którą się integruje. Taki agent musi być testowany razem z kolejnymi wersjami aplikacji. Należy także uwzględniać go w planie ich uaktualnień. Integracja systemów powoduje pewne koszty, ale są one z nawiązką rekompensowane przez mniejsze obciążenie działu usługowego bieżącymi zadaniami, związanymi z obsługą kont użytkowników.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200