Jak to zwykle bywa - nie ma uniwersalnej zasady mówiącej, co konkretnie wybrać. Patrząc na rynek i przeglądając wyniki raportów analityków (np. Burton Group czy Forrester), nie można nie odnieść wrażenia, że IdM/IAM zdominowany został przez kilku producentów. Najbardziej agresywnym graczem w ostatnim czasie okazał się Oracle, który wyraźnie poświęca mnóstwo środków na rozwój swojego "menu". Równie silną pozycję utrzymują Sun, IBM, Novell oraz CA. Niedawny gracz HP w zasadzie całkowicie wypadł z gry. Najwięksi rynkowi rozgrywający podążają też drogą od kilku lat wyznaczającą pewien standard - starają się raczej kupować firmy, które oferują produkty wypełniające lukę w ofercie, aniżeli samemu "dorabiać" kolejne elementy (OpenNetwork -> BMC; Encentuate -> IBM; Vaau -> Sun; Thor, Octet string, Bharosa -> Oracle itd.). Może się więc okazać, że wybierając jakiś element pochodzący od niewielkiego producenta, i tak za jakiś czas wpadniemy pod skrzydła jednego z gigantów. Bez względu na to, którą ze strategii wybierzemy, należy zwrócić uwagę na następujące cechy produktów:

• Skalowalność: sprawdźmy, w jakim stopniu dany produkt lub zestaw produktów odpowiada naszym wymaganiom. Być może nie mamy mainframe'ów, a nasze środowisko jest wyjątkowo homogeniczne i nie trzeba napinać budżetu, płacąc za coś, czego i tak nie wykorzystamy. Z drugiej strony dobrze jest skontrolować, czy za wzrostem naszej organizacji rozwiązanie będzie w stanie nadążyć - zarówno funkcjonalnie, jak i wydajnościowo.
• Funkcjonalność: zweryfikujmy funkcjonalność rozwiązania i bogactwo oferowanych przez nie możliwości - zwłaszcza w zakresie ewentualnych prac deweloperskich, pozwalających dostosować produkt do nietypowych potrzeb. Zwracać uwagę należy na ilość i rodzaj wspieranych źródeł uwierzytelniania (Radius, LDAP, AD itp.), łatwość konstruowania i modyfikowania workflow, elastyczność budowania ról (uwzględnienie SoD, wsparcie dla wielu rodzajów ról, spójność z mechanizmami autoryzacji). Nie bez znaczenia jest także moduł raportowania, który powinien umożliwiać dotarcie do informacji leżących na wielu poziomach (łącznie z systemami operacyjnymi). Do tego konieczna jest przejrzysta dokumentacja. Nie zaszkodzi również, jeżeli wraz z rozwiązaniem dostaniemy pakiet gotowych szablonów polityk do zastosowania. Nie będziemy musieli robić tego od podstaw. Niezwykle ważne jest też sprawdzenie, jakie usługi, systemy czy aplikacje wspierane są "z pudełka". To pozwoli uniknąć dodatkowych wydatków na wdrożenie.
• Kompatybilność: jak już wspomnieliśmy, w różnych obszarach IdM królują różne protokoły. Starajmy się szukać takich rozwiązań, które wspierają ogólnie przyjęte standardy, np. XACML czy SAML. Sprawdźmy też, czy umożliwiają realizację wymogów wynikających z zewnętrznych regulacji, m.in. SOX czy PCI.

Wdrażanie IdM

Jakie korzyści możemy odnieść z wdrożenia systemu IdM? Przede wszystkim podniesiona zostaje wydajność - łatwiej zarządzać uprawnieniami użytkowników i ich kontami, rozwiązywać problemy w razie kłopotów z dostępem do aplikacji. Znacznie prostsze jest także spełnienie wymogów zgodności z różnorodnymi regulacjami, wręcz zalewającymi niemalże wszystkie większe organizacje. Niewątpliwą zaletą tego typu systemów jest także podniesienie ogólnego poziomu bezpieczeństwa firmy dzięki zautomatyzowanym mechanizmom ułatwiającym "posprzątanie" kiedy pracownik odchodzi, zmienia rolę, czy też traci albo zyskuje uprawnienia. Zautomatyzowany zostaje również proces audytowania, logowania i raportowania.

No i na koniec coś, co jest słowem kluczem otwierającym kieszenie zarządu - współczynnik ROI (Return of Investment). Automatyzacja zadań wpływa znacząco na obniżenie kosztów zarówno obsługi środowiska, jak i tych, które związane są z brakiem dostępu pracowników do określonych zasobów. Zalet - jak widać - jest wiele, a co z wadami? Systemy IdM nie należą do najprostszych, są drogie i trudne w implementacji. Dlatego też należy liczyć się z tym, że ich wdrożenie nie będzie trwało kilka dni, a może ciągnąć się (w zależności od stopnia skomplikowania środowiska) przez kilka lub kilkanaście miesięcy. Z tym z kolei wiążą się dodatkowe koszty. Oprócz ceny zakupu produktu, trzeba będzie ponieść wydatki na profesjonalną implementację - nie ma bowiem nic gorszego, niż amatorzy wdrażający IdM. Gartner szacuje, że koszty wdrożenia mogą być nawet pięciokrotnie wyższe, niż samego zakupu.

Jednym z największych błędów projektowych jest przekonanie, że nad całością projektu powinien czuwać dział IT. Takie podejście może doprowadzić tylko do katastrofy. Z uwagi na wielowątkowość i duży stopień oddziaływania projektu na całość organizacji, wola działania powinna spływać "z góry".

Przygotowując wdrożenie, należy liczyć się z tym, że będzie musiało być podzielone na wiele etapów i prowadzone strategią małych kroczków zakończonych małymi (lub malutkimi) sukcesami. W ten sposób management będzie wiedział, że zmiany są stopniowo, ale skutecznie wprowadzane, a dzięki temu projekt nie utknie w martwym punkcie i nie zakończy się niepowodzeniem.

Jak już wiemy, wdrażając rozwiązanie, musimy przygotować określone role, reguły czy zasady polityki. Jeżeli nie mamy gotowych w danym obszarze, starajmy się nie wynajdywać koła. W większości przypadków producenci dostarczają gotowych wzorców. Niezmiernie istotne - także ze względu na wymogi zgodności z regulacjami - jest dokumentowanie wszystkiego, co związane jest z wdrożeniem, a w szczególności: filozofii, w oparciu o którą zbudowane są workflow, procesów i procedur (szczegółowo) czy architektury całości rozwiązania włącznie z tym, jak wpasowuje się ona w całość infrastruktury.

Jaka przyszłość?

Obserwując rynek, można zauważyć dążenie do wyniesienia wszystkich elementów zarządzania tożsamością i dostępem poza usługi i aplikacje. Widać wyraźne przejście do architektury SOA (Service Oriented Architecture). Według PricewaterhouseCoopers, działania producentów ukierunkowane są na rozbudowywanie modułów raportowania i audytu, które mogłyby szybko dostarczać czytelnych informacji.

Z kolei zdaniem Burton Group, przyszłością będzie protokół o kodowej nazwie RCSL (Relational Continuity Socket Layer), opierający działania na zastosowaniu swojego rodzaju kontenera, który przechowywałby informacje o stanie relacji zmieniającej się w czasie. Dzięki niemu możliwe ma być współdzielenie sesji pomiędzy różnymi stronami transakcji, przy czym sesje te mogłyby trwać bardzo długo (nawet kilka miesięcy). Jedną z zalet tego protokołu ma być możliwość podejrzenia przez użytkownika tego, gdzie w całym procesie decyzyjnym znajduje się aktualnie jego tożsamość. Więcej informacji o RCSL nahttp://identityblog.burtongroup.com

Rynek rozwija się

Mimo że rynek IdM/IAM uważany jest za dosyć dojrzały, to jednak daleko mu do stagnacji. Według badań przeprowadzonych przez Forrestera ("Identity Management Market Forecast 2007 to 2014"), z 2,6 mld USD w 2006 r. ma "skoczyć" aż do 12,3 mld w roku 2014. Obecnie najwięcej zysków generuje provisioning i ta tendencja ma się utrzymać. Warto więc zastanowić się, czy nie czas na zmiany. Ostatnio lansowana jest koncepcja GRC (Governance, Risk and Compliance) lub GRCA (Governance, Risk, Compliance and Access), w którą znakomicie wpisują się systemy IdM.